Ads Top

الخصوصية على الإنترنت وهل انت آمن تماماً ؟

الخصوصية على الإنترنت وهل انت أمن تماماً ؟
الخصوصية على الإنترنت وهل انت أمن تماماً ؟

الخصوصية على الإنترنت مصطلح شائك قد تدور الخلافات حول تعريفه لكن دعنا نتفق أن منها جزء واضح وصريح يقع تحت تحكمنا بالكامل مثل الصور التي نقرر مشاركتها أو عدم مشاركتها والأشخاص الذين نعطيهم صلاحية الوصول لمعلوماتنا على مواقع التواصل وغيرها وهذا الجانب لا غبار عليه كونه معلن من البداية فيستطيع الفرد رفض التعامل مع خدمات لا توفر له إعدادات الخصوصية التي تناسبه. ثم هناك مرمى آخر للخصوصية على الإنترنت وهو كيفية تعامل مزودي الخدمات مع بيانات المستخدمين وهذه الأخرى هي موضع الإهتمام كونها منطقة مظلمة لا نعلم الكثير عنها ولا يسعنا التحكم فيها وهي محل النقاش.

عند الحديث عن الإنترنت فأول ما يخطر بالبال هو مزودي خدمات الإنترنت ISP التي لا سبيل للإتصال بتلك الشبكة العالمية من الحواسيب بدونها، فعند الإتصال بأي حاسوب على شبكة الإنترنت يكون الـ ISP هو أول مستقبل للمعلومات ومن ثم يقوم بتحويلها إلى مجموعة من أجهزة الشبكات التابعة لشركات أخرى وذلك من أجل إيصال المعلومات للحاسوب المستقبل.

الخصوصية على الإنترنت وهل انت أمن تماماً
الخصوصية على الإنترنت وهل انت أمن تماماً

الخصوصية على الإنترنت وهل انت أمن تماماً


فكر بالأمر كالتالي: تخيل أنك في مكان ما وتريد توصيل رسالة مكتوبة إلى صديقك الذي يبعد عنك بعشرات الأمتار فقررت تمرير الرسالة لشخص بالقرب منك وطلبت منه توصيل الرسالة لصديقك وذلك الشخص وجد أنه أيضاً لا يمكنه تمريره الرسالة لصديقك مباشرة فقام بتمريرها لشخص آخر أقرب إليه وهكذا، بنهاية المطاف قد تكون الرسالة قد مرت على عشرات الأشخاص قبل أن تصل لصديقك.

مزودي خدمات الإنترنت هم تماماً مثل الأشخاص الحاملين للرسالة في المثال السابق وبالتأكيد يمكنهم رؤية كل بت من البيانات المتداولة عبر الشبكة تماماً كما يمكن لأي حامل لرسالتك الإطلاع عليها قبل تمريرها وأخذ نسخه منها إن أراد.

إذاً هل يعرف مزود خدمة الإنترنت كل بياناتك؟


حسناً ليس بشكل مطلق، يتوقف الأمر على طبيعة البيانات التي تقوم بإرسالها هل هي بيانات صريحة في صورتها الأصلية؟ إن كان كذلك فليس فقط مزود خدمة الإنترنت من يمكنه رؤيتها بل حتى الأشخاص المتواجدين معك على الشبكة المحلية أو المتواجدين على الشبكة المحلية للمستقبل وذلك بعد تنفيذ ما يعرف بهجوم MITM. إذا كنت تستخدم بروتوكول إتصال لا يستخدم التشفير مثل http فمراقبة بياناتك هي مهمة سهلة للغاية بل وحتى التعديل على تلك البيانات إرسالاً وإستلاماً دون أن تكتشف!

ماذا عن الإتصال الآمن هل يحقق الخصوصية؟


ليس بشكل مطلق أيضاً، كون مزود خدمة الإنترنت يتحكم بالمسار الذي تسلكة البيانات عبر الشبكة هذا يعني أن بإمكانه توصيل بياناتك إلى خادم تابع له بدلاً من الخادم الذي تحاول الإتصال به فتقوم بإنشاء إتصال مشفر مع ذلك الخادم وبالرغم من أنه لا سبيل لإستخراج البيانات الأصلية إلا عند المستقبل في الإتصال المشفر إلا أن المستقبل في هذه الحالة هو خادم تابع لمزود الإنترنت فيمكنه رؤية البيانات الأصلية ومن ثم ينشأ هو إتصال آخر بالخادم الحقيقي ويعمل كحلقة بالمنتصف ترى البيانات.

في الواقع هذه العملية هي بمثابة MITM يتم تنفيذه على مستوى شبكة WAN بدلاً من الشبكة المحلية LAN ولا يمكن تنفيذها بواسطة مزود الإنترنت وحده وذلك لأن متصفح الإنترنت لا يقبل إنشاء إتصال مشفر مع أي خادم قبل أن يتفقد شهادة ذلك الخادم وبدون إمتلاك مفتاح التشفير الخاص لا يمكن لمزود خدمة الإنترنت تزييف تلك الشهادة وبالتالي إن قام بتوجيهك لخادم مختلف ستستقبل تحذير من المتصفح بأن الإتصال غير آمن ولن تتمكن من المتابعة بشكل مباشر قبل الموافقة على تحمل المسؤولية.

ولكن بالإستعانة بالجهات القانونية يمكن تسجيل شهادة خادم آخر بإعتبارها شهادة حقيقية، ويرجع السبب لكون عملية التفقد من شهادة الخادم لا يمكن أن تتم على حاسوبك بمفرده لأن مبدأ عمل شهادات الخادم مبني على الثقة، حيث يوكل المتصفح هذه المهمه لبعض الجهات التي تعرف بالـ Certificate authorities التي تمنح الشهادات وتتحقق من صلاحيتها.

بشكل إفتراضي يثق كل متصفح ببعض الجهات لمراجعة الشهادات مثلا متصفح كروم التابع لجوجل يعتمد هذه الجهات، وبالمثل جميع المتصفحات يجب أن تثق بجهات مختلفة.

الأمر يشبه إلتحاقك بوظيفة ما حيث تقوم بتقديم بعض الشهادات التي حصلت عليها لإثبات ما تدعيه من مهارات ومعرفه وعلى الجانب الآخر ستتفقد الشركة تلك الشهادة وتتأكد من كونها مقدمة من جامعة أو أكاديمية تثق تلك الشركة بها، قد تختلف الجامعات التي تعتمدها الشركات المختلفة ولكن في النهاية لابد لكل شركة من إعتماد الشهادات الصادرة من جامعة واحدة على الأقل وإلا فلن تقبل أي طلبات توظيف مطلقاً.

بالعودة إلى السياق، يمكن للسلطات التدخل قانونياً لإجبار الجهات المعتمدة للشهادات على إنشاء شهادة لخادم مزيف ومن ثم يتصل المستخدم بذلك الخادم المزيف وتُكشف كافة بياناته دون أن يشعر. (وهو ما يكافئ أن تصدر جامعة شهادة لشخص غير مؤهل في الواقع ثم يتم خداع الشركة بتوظيفه لأنها "تثق بتلك الجامعة كجهة موثوقة في إصدار الشهادات")

في الواقع بعض الجهات المعتمدة للشهادات إرتكبت إنتهاكات من هذا القبيل لتحقيق مصالح شخصية وهو ما أدى لإزالتها من قائمة الجهات الموثوقة في المتصفحات والأنظمة. (وهو ما يشبه أن تصبح بعض الشهادات الجامعيه غير معتمدة في سوق العمل)
إذا الخلاصة أن الإتصال المشفر لا يخلوا من الثقة هو الآخر الأمر فقط كما لو أنك أعطيت مفتاح الوصول لبياناتك لشخص وأعطيت البيانات نفسها لشخص آخر والأمر يتطلب فقط تعاون كلاهما للوصول لمعلوماتك، أكثر صعوبة ولكن ممكن.

على الجانب الآخر بعض المعلومات يمكن لمزود خدمة الإنترنت إستخلاصها أثناء إستخدامك للتصفح الآمن دون أن يستعين بجهات أخرى، فمثلاً:

- عند زيارة https://arabefuture.com بالرغم من أن الإتصال آمن سيرسل متصفحك أولاً طلب لخادم DNS لكي يستخلص عنوان موقع عرب فيوتشر الحقيقي (راجع نظام أسماء النطاقات) لكي يتمكن بعد ذلك من الإتصال بالخادم ولكن عملية الإستعلام عن عنوان إسم نطاق لا تستخدم إتصال مشفر وهذا يعطي مزود خدمة الإنترنت معلومات عن المواقع الذي تقوم بزيارتها دون كشف البيانات المرسلة أو المستقبلة خلال تلك المواقع.

- يمكن لمزود الإنترنت مطابقة البيانات المشفرة التي تقوم بإرسالها وإستقبالها ببيانات أخرى مشفرة أيضاً ولكن أصلها معلوم، فمثلاً عند زيارة مزود خدمة الإنترنت لموقع عرب فيوتشر على هذه الصفحة تحديداً سيحصل على رد من الخادم يحتوي على هذا المقال فسيحصل بذلك على بيانات هذه الصفحة بصورة مشفرة وأيضاً بصورتها الأصلية بعد فك التشفير، الآن يمكنه مطابقة النسخة المشفرة مع البيانات المشفرة التي تمر من خلال شبكته فإن حصل على تطابق فهو الآن يعلم من قام بزيارة عرب فيوتشر (ما تم هنا هو عملية مطابقة وليست كسر تشفير أو تلاعب بالشهادات وهي أسلوب مشابه لعملية كسر الهاش بالمطابقة أيضاً كما تعرف بـ Cracking) هذا يعني أن بياناتك الفريدة من نوعها التي لا يمكن أن تتطابق مع شخص آخر لا يمكن تعقبها بهذه الطريقة.

- يمكن أيضاً لمزود الإنترنت تعقب عبارات البحث بإستغلال ميزة الإقتراح التلقائي في بعض المحركات مثل جوجل، عندما تكتب حرف ألف من منطقة جغرافية معينة سيقترح عليك محرك جوجل بعض الكلمات التي تبدأ بحرف ألف وتناسب موقعك ذلك الرد الذي يحتوي على الإقتراحات يمكن مطابقته بالأسلوب السابق ذكره فنستنتج أن الحرف المكتوب كان ألف ثم تتابع ردود محرك البحث بعد كل حرف تضيفه وتتابع المطابقات إلى أن يحصل مزود الإنترنت على جملة البحث كاملة، أما عند إستخدام جملة البحث دفعة واحدة بالنسخ واللصق مثلاً أو إستخدام محرك بحث لا يقوم بعمليه الإقتراح هذه سيعجز مزود الخدمة عن تعقب كلمات البحث (بهذا الأسلوب تحديداً)

ماذا عن إستخدام خدمات VPN أو Proxy أو شبكات خاصة مثل Tor؟


هذه النقطة تخدع الكثير من مستخدمي الإنترنت، الحقيقة أنه عند إستخدام هذه الخدمات في وضع مثالي خالي من تسريبات الـ dns وبإستخدام تشفير قياسي خاص بين العميل والخادم ويصبح مزود الإنترنت على علم بأنك تستخدم تلك الخدمات ولكن يعجز عن رؤية بيانات الإتصال تماماً ولكن في المقابل يصبح مزود خدمات التخفي تلك هو المطلع على تلك البيانات فما حدث هنا هو مجرد نقل الثقة من مزود الإنترنت لمزودي تلك الخدمات وليس التخلي عن عنصر الثقة بشكل مطلق!

وصحيح أن شبكة مثل تور تستخدم أكثر من "عقدة" في الإتصال إلا أن تلك الحواسيب التي تعمل كعقد إتصال هي في النهاية ملك لمتطوعين حول العالم ونموذج شبكة تور في الواقع أرض خصبه للدراسة وإبتكار طرق التعقب، راجع للأهمية هذه الورقة البحثية من MIT حول هجمات كشف الهوية على تور. شخصياً لدي قناعة أن الجهات المعنية بشبكة تور (كالوكالات ذات ثلاثة أحرف) هي أكبر المتطوعين بخوادم تور بشكل مخصص يسمح لهم بتتبع الإتصال من بدايته لنهايته [4] [3] [2] [1] جنباً إلى جنب مع نقاط ضعف الشبكة الأخرى.

ومن ناحية أخرى حين تغادر البيانات من شبكة تور أو في بي إن أو البروكسي إلى مسارها الفعلي في الإنترنت تغادرها كما دخلت الشبكة إبتداءاً أي دون التشفير المستخدم أثناء نقل البيانات داخل تلك الشبكات وهذا لابد منه لكي يفهم الخادم النهائي البيانات وإلا فلن تتمكن من زيارة خوادم الويب التي تعمل خارج نطاق تلك الشبكات فإن كنت قد بدأت الإتصال بشكل غير مشفر إبتداءاً ستصبح البيانات غير مشفرة في النهاية ويستطيع مزود خدمة الإنترنت لدى الطرف الأخر رؤية تلك البيانات (وفي شبكة تور يستطيع المتطوع بعقدة الخروج رؤية بياناتك أيضاً في هذه الحالة) وإن كان الإتصال مشفر إبتداءاً بإستخدام SSL مثلاً فسنعود للنقطة السابقة حول إمكانية تعاون مزود خدمة الإنترنت (عند الطرف الآخر) مع الجهات المعتمدة للشهادات بإشراف السلطات القانونية لرؤية تلك البيانات.

يمكنك أيضاً التفكير بالأمر بطريقة غير تقنية، تسمح العديد من الدول مثل الولايات المتحدة بحماية عقد الخروج exit node في تور وكذلك خوادم في بي إن من المسائلة القانونية (حيث من المعلوم أن البيانات الصادرة منهم لا تمثل صاحب تلك الخوادم بالضرورة) وفي ذات الوقت تتمكن تلك الجهات القانونية من إلقاء القبض على المجرمين الذين إستخدموا تلك الشبكات في التخفي وهذا يؤكد حقيقة تمكنهم من كسر سرية كل تلك الشبكات بطريقة أو بأخرى وهو أيضاً ما تؤكده تسريبات سنودن حول نظام X-Keyscore.

ما الذي يكشفه عنوانك على الإنترنت؟


لما كل هذا العناء وإنفاق الدولارات على خدمات تغيير عنوانك على الإنترنت؟ في الواقع لا يكشف عنوانك على الإنترنت الكثير من المعلومات بالنسبة للجهات التي لا تملك السلطة، صحيح يمكن لعنوانك على الإنترنت تحديد الدولة التي تقيم بها ولكنها ليست معلومة يصعب إكتشافها فمن إعدادات اللغة والوقت وطبيعة نشاطك يمكن للمواقع والأشخاص التنبأ بهذه المعلومة بغض النظر عن عنوانك المستخدم وليس صحيح أن عنوانك على الإنترنت يكشف بالضبط موقعك الجغرافي بل لا يمكنه تحديد المقاطعه بدقة أيضاً ذلك لأن عنوان الإنترنت يشير بالأساس لمواقع مراكز مزود خدمة الإنترنت لا إلى حاسوبك بشكل مباشر، وصحيح أنك تتصل بأقرب مركز لمزود الإنترنت ولكن كثيراً ما تكون الخوادم به مشغولة فيتم تحويلك لمركز آخر وحينها لا يظهر عنوان المقاطعه بشكل صحيح هو الآخر لذلك حتى إن أشار عنوانك إلى المقاطعه الحقيقية التي تقيم بها فهي نتيجة غير موثوقة بالنسبة للطرف الآخر الذي يحاول تتبعك.

أما بالنسبة للجهات التي تملك السلطة فبإستطاعتها تخطي الخصوصية وكشف الهوية حتى عند إستخدام شبكات معدة خصيصاً لتحقيق الخصوصية وإخفاء الهوية كما بينا، لذلك ربما عليك إعادة تقييم الوضع عند إستخدام تلك الشبكات صحيح أنها تضيف طبقات أخرى من التخفي إلا أنها في النهاية "طبقات" سيتم بذل الجهد والتعاون اللازم لإزالتها إن قمت بفعل يستحق العناء لكشف خصوصيتك وهويتك، أما تصفح الويب أو حتى إجراء بعض الأفعال التي لا تعد أخلاقية أو حتى مخالفة القانون بدون إلحاق الكثير من الضرر ففي الواقع لا أحد يكترث بك في هذه الحالة كثيراً وأعتقد أن هذا هو أكبر سلاح للخصوصية اليوم على الإنترنت "كونك لست مهماً بما فيه الكفاية ليهتم أحدهم بتعقبك" وأعتقد أيضاً أنه وضع عادل بما فيه الكفاية حيث لابد للسلطات من إمتلاك كم أكبر من البيانات يساعدها في تقفي الجرائم الإلكترونية التي قد تؤثر على أمن دول بأكملها، وإذا تخيلنا وجود ما يعرف بالخصوصية الكاملة على الإنترنت فسيصبح بيئة صديقة للجرائم الإلكترونية وقد تكون أنت نفسك من فئة تقع هي الضحية التالية ولن تجد من يساعدها!

ملاحظة: يستخدم المهاجم المتقدم شبكات botnet مخصصة لتوجيه مرور البيانات عبر العديد من الأجهزة التي يتحكم بها وهو بمثابة إنشاء شبكة لإخفاء الهوية خاصة تماماً بذلك المهاجم فقط وغير معلومه للسلطات ورغم أن هذا يعد من أقوى أنواع التخفي إلا أن تحقيقات الجرائم الإلكترونية تعتمد على أساليب متقدمة أيضاً من التحاليل الجنائية الرقمية Forensics تعمل على تقفي أثر تلك الهجمات.

إذا خلاصة الأمر أنه لابد من الثقة في مسألة الخصوصية على الإنترنت، يبدوا أنه لا مفر من تلك المنطقة المظلمة ولكن على الأقل وعينا بها قد يساعدنا في إتخاذ قرارات أكثر حكمة في المستقبل.

ليست هناك تعليقات:

يمكنك إضافة الملاحظات او الإستفسار عن محتوي المشاركة او اضافة معلومة جديدة لم يتم التطرق اليها ، يمنع اضافة اية روابط علي سبيل الدعاية

يتم التشغيل بواسطة Blogger.