مراجعة لقضايا الاتصال الآمن بالإنترنت- الجزء الأول
يتشكّل الإنترنت من عدد لا يحصى من الأجهزة الإلكترونية القادرة على الاتصال فيما بينها عبر شبكات مختلفة.
تتباين هذه الأجهزة في قدراتها، وبيئات عملها، وحاجاتها، وأنظمة تشغيلها. وانعكاساً لذلك، تتباين أمثلة استخدامها في واقعنا اليومي من كاميرات المراقبة البسيطة في المتاجر، إلى الأجهزة الطبية الدقيقة مرورا بالهواتف الذكية. إلا أن حاجة وقدرة هذه الأجهزة على الاتصال تبقى ثابتة إلى حد ما، وذلك لأسباب عدة أبرزها تبادل المعلومات أو تحديث برمجياتها.
يعتمد الإنترنت على بنية تحتية تمكّن كل هذه الأجهزة من تشكيل عناقيد(clusters) محلية في المنزل أو الشركة، تتصل فيما بينها وتتصل عبر نقاط عبور (ports) بالشبكة العامة. وتتباين آليات هذا الاتصال تبعاً لتقنيات مختلفة، أكثرها رواجاً خطوط نفاذ البيوت التي تستخدم شبكة الهاتف العامة للاتصال بمزودي الخدمة. بينما توفر شبكات الاتصال الخلوي بديلاً أخر لنفاذ الهواتف النقالة إلى الشبكة العامة عبر أبراج اتصال تتوزع جغرافياً وتتصل فيما بينها سلكياً أو لاسلكياً. وعليه، تتداخل -بشكل طبيعي- الكثير من الجهات لتوفير بنية تحتية لعملية الاتصال.
لا شك أن الشبكة العالمية (www - World Wide Web) تعدّ واحدة من أهم التطبيقات التي يوفرها الإنترنت. تتكون هذه الشبكة من أجهزة لها عناوين (IP Address) ثابتة، توفر خدمات مختلفة، على سبيل المثال أخبار الطقس، وتعرف بالخوادم (Servers)، بالمقابل هناك أجهزة أخرى بعناوين متغيرة تتلقى هذه الخدمات، والمثال على ذلك هاتف نقال تستعرض من خلاله حالة الطقس، ويعرف بعميل الخدمة (Client) أي متلقيها. وعليه يحوي الإنترنت مليارات الخدمات المتوفرة على شكل مواقع يتصفحها المستخدم. تتراوح هذه الخدمات في حساسيتها من مواقع توفر إرشادات خاصة بتقليم أشجار الزيتون، إلى مواقع إصدار معاملات حكومية، أو بنكية، أو صحية. لذلك ينتظم عمل استخدامنا للشبكة بمعيار نقل بيانات يوحّد طريقة طلب واسترجاع الخدمات، ثم عرضها من خلال برنامج خاص وهو المتصفح (Browser). يُختصر هذا المعيار ببروتوكول "HTTP". تبعاً لاتساع حيز هذه الخدمات في حياتنا، لا بد من نقاش بنيتها من ناحية احترام أمن المستخدمين، وكيفية الحد من المشاكل بشكل مبسط ومتاح لجمهور واسع من القراء.
إشكالية أمان الاتصالات
بناء على ما تقدم، يتكون الإنترنت من عقد اتصال تحمل الرسائل بين العملاء والخوادم، عبر بنية تحتوي الكثير من الجهات بتوجهات مختلفة. لذلك، فإن أي اتصال عبر بروتوكول HTTP يمر عبر جهات أخرى إلى جانب عن طرفي الاتصال. أي أن الاتصال قد يكون مكشوفا أمام آخرين، على غرار المستخدمين للشبكة ذاتها، مدراء العمل، أجهزة الأمن، كوكالة الأمن القومي الأمريكية، عصابات الإجرام، وغيرهم. يستطيع كل هؤلاء، نظرياً، مراقبة تعاملاتنا اليومية عبر الإنترنت، أو حتى التدخل في محتوى التبادلات التي تتم عبر الشبكات السلكية واللاسلكية في المطاعم والمقاهي.
تتعمق تحديات تأمين اتصالنا بالإنترنت في ظل ثقافة ارتياد المقاهي في فلسطين والمقرونة بالقيود الموضوعة على خدمات الخلوي في فلسطين من قبل الاحتلال الإسرائيلي. ففي الوقت الذي يستعد العالم لنشر بنية الجيل الخامس 5G التي توفّر سرعات نقل بيانات عالية على شبكات المحمول، لازالت الضفة المحتلة تستخدم تقنية الجيل الثالث 3G (أفرج عنها أواخر 2018) بأسعار عالية، فيما لا يزال قطاع غزة محروماً حتى من هذه التقنية إذ تتوفر فقط تقنية الجيل الثاني 2G التي تعتبر بطيئة وغير مناسبة للعالم الرقمي الآخذ بالتوسع في شتى مجالات حياتنا. يدفع هذا المستخدمين، بالطبع إلى الاعتماد على الشبكات العامة Public Wi-Fi، كما يدعو أصحاب المطاعم أو البلديات حتى (مشروع رام الله الذكية مثلاً) للحرص على توفير هذه الشبكات، الأمر الذي يحفزنا إلى ضرورة التذكير بالمخاطر الممكن التعرض لها عبر الشبكات العامة بالذات بسبب الاتصالات غير الآمنة بالإنترنت أو ما يعرف بالهجمات الإلكترونية.
إجمالًا، تعرف الهجمات على قنوات الاتصال عبر الشبكات بهجمات الرجل في الوسط MITM - Man In The Middle. تتم هذه الهجمات من قبل شخص يمتلك المعرفة والقدرة على اختراق الاتصالات، فيتعمّدها الى أن يحققها - اي أنها هجمات مقصودة. وتنقسم هذه الهجمات إلى نوعين: هجمات سلبية تعنى فقط بمراقبة الاتصالات لأهداف التنصت والمراقبة. وهجمات أخرى نشطة، تعنى التلاعب بالاتصال إضافة إلى مراقبته. وقد تُستخدم الهجمات النشطة لتأخير وصول الرسائل، أو محوها، أو تعديلها والإضافة عليها، قبل وصولها لهدفها. المقصود هنا بالرسائل، أي اتصال بين طرفين. وقد تكون هذه الرسائل على شكل معاملات بنكية، أو معلومات طبية، أو محتويات لرسائل إلكترونية (خبير الأمن الرقمي Charlie Kaufman). غالبًا، كلما كانت الرسائل تحتوي على معلومات وبيانات حساسة أكثر، كلما كان ضرر الاختراق أكبر.
علمياً، تُعرّف خصائص المهاجم من قدرات، وإمكانيات، ودوافع، ومحددات بنموذج المهاجم. في حالة الهجمات على قنوات الاتصال، يُعتمد نموذج دوليف-ياو Dolev-Yao Model كإطار واقعي لفهم إمكانيات المهاجم. حيث يفترض هذا النموذج التالي: أن المهاجم يسيطر على كل الشبكة، ويستطيع أن ينفذ أي هجوم. أن المهاجم لا يسيطر على طرفي الاتصال أي المرسل (جهاز هاتف العميل مثلاً) والمستقبل (الخادم الذي يشغل خدمة البنك مثلاً). أن المهاجم لا يستطيع، ضمن موارده، اختراق أساسيات التشفير.
تبعاً لقدرات المهاجم ضمن نموذج دوليف-ياو، نستعرض بعض الأمثلة لهجمات بناء على موقع المهاجم في الشبكة. أولاً، لنفترض أن المهاجم قريب من المرسل (لا يعني القرب هنا بالضرورة التواجد الجسدي للمهاجم، بل الآليات المستخدمة للهجوم، مثلًا يمكن أن يستبدل المهاجم نفسه ببرامج تنصت مثبتة في الشبكة). فإن كان المستخدم جالسا في مقهى مثلاً، واتصل بشبكة المهاجم العامة بدون دراية، عندها يستطيع المهاجم تنفيذ أي هجمة نشطة عليه، مثل التلاعب بكل تبادلات المستخدم غير الآمنة على الإنترنت. يكمن الحل في هذه الحالة في استخدام قناة اتصال آمنة كما سنشرح في الجزء الثاني من هذه المقالة. عندها يستطيع المهاجم فقط أن ينفذ هجمات منع الخدمة* عن المستخدم أو الحرمان من الخدمة Denial of Service والتي لا أثر بالغ لها في مثل هذه الحالات. هجمات منع الخدمة هي هجمات تعمل على تعطيل الخدمات أو إغراق المواقع وموارد الشبكات بسيل من البيانات غير اللازمة التي يتم إرسالها عن طريق أجهزة ومواقع عدة، وهي بالتالي تسبب بتوقف الخدمة عن العمل بشكل مؤقت أو إلى أجل غير مسمى.
ثانياً، لنفترض أن المهاجم يتموضع في مكان ما على الإنترنت. ويعتبر هذا الافتراض واقعي تبعاً لبنية الإنترنت وخوارزميات توجيه الرسائل فيها، حيث إنه من التبسيط افتراض أن قنوات الاتصال عبر الإنترنت ثنائية فقط (قناة مباشرة بين جهاز المستخدم والخادم). في الواقع، تمر الرسائل عبر الكثير من عقد الاتصال التي تحرص على اختيار أسرع الطرق وليس بالضرورة أكثرها أمانا.
يستطيع أي مستخدم أن يتتبع مسارات الرسائل الخارجة من أجهزتهم حتى وصولها لهدفها من خلال أوامر معينة مثل أمر Trace route وتكون صيغة الأمر عند الاستخدام في حواسيب ال tracert host/IP Address PC أو أمر traceroute host/IP Address في حواسيب الماك. (المزيد عن الموضوع في الرابط)
وهنا يبرز التساؤل حول جدارة شركات تزويد خدمات الإنترنت بالثقة، وخصوصاً حول المنفعة التي يمكن للشركات أن تتحصّل عليها نتيجة التنصت، والتلاعب، وتوجيه الرسائل. من الأمثلة البسيطة وغير الخطيرة على الهجمات التي قد يقوم بها مزود الخدمة، أن يقوم بتثبيت إعلانات (تنصت) على المواقع التي يزورها المستخدم مثلاً في شبكات المعابر الحدودية والمطارات. أو أن يقوم المزود بخفض جودة الصور (تلاعب) لتوفير سعة التنزيل، كما يحدث على شبكات المحمول. وفي مثال أخر، قد يقوم المزود بتحويل طلب المستخدم لصفحات غير متوفرة (تنصت وتوجيه)، إلى بوابات خاصة بالمزود تعرض إعلانات يتقاضى عليها عوائد مالية. أما عالمياً، فإن أجهزة الاستخبارات العالمية تمتلك الكثير مما يعرف بالصناديق السوداء، المثبتة في مواقع مختلفة على الإنترنت، ومهمتها توجيه الرسائل عبر الانترنت، بعد احتفاظها بنسخ عنها. في المحصلة، فإن وسائط الاتصال غير الآمنة عبر الإنترنت تفتح المجال أمام العديد من إشكالات الأمان الرقمي. تتمحور هذه الإشكالات حول خصوصية، وسرية، وسلامة هذه الاتصالات، بسبب سهولة التنصت، والتلاعب بمحتوياتها.
وعليه، فإن أي حلول تهدف لتأمين قنوات الاتصال عبر الإنترنت عليها أن توفر آليات محددة قادرة على: المصادقة على هوية طرفي الاتصال، الخادم على الأقل. ضمان سلامة الرسائل، أي القدرة على أثبات أن هذه الرسائل لم يتم التلاعب بها منذ إرسالها ضمان سرية هذه الرسائل حصرياً أي لطرفي الاتصال.
المصادر
Global Connected and IoT Device Forecast Update (David Mercer, May 2019)
What Is A Trace Route (Tracert)? How Do I Run One? (Intermedia Knowledge Base. (2020)
Charlie Kaufman, R. P. (n.d.). Network Security: Private Communication in a Public World (2nd Edition), Prentice Hall, 2002