منذ قام واتساب بتحديث سياسة الخصوصية التي ينتهجها التطبيق، يتحدث الجميع عن الهجرة إلى تليغرام وسيغنال، حتى إن التطبيقين استغلا الفرصة للترويج لتطبيقاتها باعتبارها أكثر أماناً. لكن هل هي كذلك فعلاً؟ وما هي نقاط الأمان والخصوصية التي توفرها تطبيقات المراسلة الفورية الأخرى؟ أو لنكون أدق في السؤال: ما الذي يجعل تطبيقات آمنة وأخرى غير آمنة؟
ما هي المعايير التي تجعل تطبيق أمن وآخر غير أمن
وما الجهات التي تبحث عن مصداقية هذه التطبيقات
هل سيدنا والحرام اكثر أمانا من الواتس اب والفيس بوك والتلجىرام
ما الذي يجعل تطبيقات التواصل الاجتماعي آمنة؟
من المهم أن نعرف أنه لا يوجد تطبيق مثالي يلبي كل الاحتياجات لمستخدميه؛ فقد يكون التطبيق المناسب لشخص ما خطيراً وغير آمن بالنسبة للمطورين، وعلى العكس، قد يرى خبراء الأمن السيبراني أن تطبيقاً ما يمتلك درجة عالية من الأمان، أو درجة أمان في نواحٍ معينة، لكنه بالنسبة للمستخدم غير فعال كفاية.
وقبل أن نشرح سر تفضيل بعض المتخصصين لتطبيق على آخر، دعنا نستعرض بعض المصطلحات التي تبسِّط الشرح.
هناك فرق بين محتوى الرسالة التي تكتبها عبر تطبيق مثل واتساب، وهو ما تعد الشركة بأنها لا تطلع عليه – خصوصاً بعد إضافة خاصية التشفير من طرف لآخر (end-to-end encryption) -، وبين البيانات الوصفية للرسائل (Metadata). والأخيرة هي مجموعة معلومات حول رقم الهاتف، ووقت وتاريخ إرسال الرسائل، ومع من تتواصل وكم مرة تتواصل معه، وما إلى ذلك.
البيانات الوصفية هذه مهمة لتتمكن من إرسال رسالتك عبر البنية التحتية لشبكة الإنترنت، وهي كافية جداً ليتمكن التطبيق من تكوين ملف معلوماتي منظم عن سلوكك وشبكة الأشخاص الذين تتواصل معهم، ونمط تواصلك.
بعض الشركات تحافظ على خصوصية هذا الملف والمعلومات الوصفية الخاصة بمستخدميها وتشفره، لكن البعض الآخر تستخدمه لأغراض دعائية لتصل إلى جمهورها المستهدف بدقة عالية، لكن الخطر الأكبر يكمن في حصول جهات رسمية على هذه البيانات، سيما في الدول القمعية. وفي الغالب يوفر تقرير الشفافية لكل تطبيق هذه المعلومات، وما إذا كان التطبيق تلقى طلباً من الحكومة بالحصول على بيانات مستخدمي التطبيق في بلد معين.
أيضاً هناك نقطة أخرى مهمة للمقارنة؛ فهناك فرق بين طريقة إرسال الرسائل بالنص العادي (Plain Text)، أو بالتشفير من طرف إلى الخادم (Encryption to server)، وبين التشفير من طرف إلى طرف (End-to-end encryption).
النص العادي يعني أنه سيتم إرسال رسائلك عبر البنية التحتية للإنترنت دون أي تشفير، ما يعني أن شركة الاتصالات التي تستخدم شبكة الإنترنت الخاصة بها، والشركة الأم للتطبيق الذي تستعمله، يُمكنهما الاطلاع على محتوى رسائلك، بل أيضاً يُمكن لأي مخترق أن يصل إليها بسهولة.
أما التشفير من طرف إلى خادم، أي أن رسائلكم ستبقى مشفرة حتى تصل إلى الشركة الأم للتطبيق، حيث يفتح التشفير للشركة، ويُمكنها معرفة محتوى الرسائل ثم إعادة تشفيره ليصل إلى المستقبل. وهذا النوع من التشفير هو المستخدم مثلاً مع تطبيق فيسبوك ماسنجر (Facebook Messenger)، أي أن بإمكان شركة فيسبوك الاطلاع على محتوى رسائلكم متى أرادت ذلك، طبعاً بالإضافة إلى البيانات الوصفية التي أشرنا إليها سلفاً.
النوع الثاني من التشفير، وهو الأكثر أماناً؛ التشفير بين طرفي المحادثة، أي أن الرسالة ستكون مشفرة من المرسل وحتى تصل إلى المتلقي، ولن تستطيع الشركة الأم للتطبيق أن تعرف محتوى الرسائل ولا أي جهة مخترقة، كما شرحت شركة البرمجيات الأمريكية PKWARE. لكن يظل بمقدور الشركة الأم تجميع بيانات وصفية عن شبكة تواصلكم، لكنها لا تعرف أي معلومات دقيقة عن محتوى الرسائل.
قد يقول قائل إن هذه هي طريقة واتساب فعلاً في إرسال الرسائل، فهو يستخدم التشفير من طرفٍ إلى طرف! لكن هناك نقطة مهمة، وهي أن خاصية التشفير هذه مغلقة، أي أنه لا يُسمح لأي جهة خارج شركة واتساب بالتأكد ما إذا كانت الشركة تعمل بهذه الطريقة فعلاً، أم أن التشفير تعرض لخللٍ ما سمح بفك تشفير الرسائل في المنتصف سواءً من الشركة أو المخترقين.
وهذا يحيلنا إلى مصطلح آخر مهم، وهو البرمجة مفتوحة المصدر (Open-source software)، وفيه تسمح الشركة للمطورين وخبراء الأمن المعلوماتي وأي شخص بمعرفة رمز التشفير الخاص بهم، واختبار هذا الرمز، للتأكد من أن التشفير يتم فعلاً بطريقة طرف إلى طرف.
هنا نجد الاختلاف بين تطبيق مثل واتساب مثلاً، وتطبيق سينغال (Signal)، فالتطبيقان يتبعان خاصية التشفير من طرف إلى طرف، إلا أن رمز التشفير في سيغنال مفتوح المصدر، واختبره عشرات ومئات الخبراء المستقلين حول العالم للتأكد من أمان عملية التشفير، وعدم وجود ثغرات أمنية تفتح باباً للمخترقين. لكن مع واتساب، فرمز التشفير مغلق، ولا يعرف أحد باستثناء العاملين في الشركة تفاصيل دقيقة عن مدى فاعليته في التشفير، كما شرح موقع Medium الأمريكي في تقرير سابق.
أيضاً تشمل معايير الأمان أسئلة أخرى حول من يملك التطبيق؟ وأين تقع الشركة الأم للتطبيق؟ وأين تقع الخوادم؟ وما هي القوانين التي يتبعها هذا البلد لضمان الأمن الإلكتروني؟ فمعايير وقوانين شركة تقع في أمريكا تختلف عن أخرى في الصين وثالثة في سويسرا.
كذلك من عوامل المقارنة المهمة لدى الخبراء الأمنيين، مصدر تمويل الشركة، لأنه يحدد ما إذا كانت الشركة تسعى للربح باستخدام معلوماتكم الوصفية. وكذلك تطرح أسئلة حول: كيف تعالج هذه الشركة بياناتك؟ هل تستخدم بياناتك الوصفية لأغراض تجارية أو لبيعها للحكومات؟ هل تؤمن الشركة الحماية لمحتوى الرسائل؟ وأي نوع من التشفير تعتمد؟ وهل تؤمن هذه الشركة من الأساس بخصوصية مستخدميها وتعد بالحفاظ عليها؟
وأيضاً هل يتيح التطبيق خدمات التدمير الذاتي للرسائل أو الاختفاء بعد مدة معينة، حيث تختفي لدى المرسل والمستقبل، وما إذا كانت نسخة من هذه المعلومات تحفظ على الخزان السحابي (Cloud) أم تُحذف، وكذلك ما إذا تورطت الشركات المالكة من قبل في شبهات منح جهات حكومية للبيانات أو بيعها لشركات خاصة.
مرفق مقارنة التطبيقات الرائجة على موقع
https://www.securemessagingapps.com/