منصات التواصل Communication Platforms

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

محتويات

مقدمة

برامج التواصل هي الأدوات التي نستخدمها لإرسال الرسائل النصية ولإجراء المكالمات الصوتية ومكالمات الفيديو الفردية أو الجماعية عبر شبكة الانترنت.

هناك المئات إن لم يكن الآلاف من برامج التواصل، تختلف فيما بينها بدرجة الانتشار والإمكانيات التي تتيحها للمستخدم وخيارات التخصيص ودعهما للغات وأنماط التواصل وتجربة المستخدم بشكل عام. وأيضا تختلف فيما بينها بتصميم البنية التحتية التي تعتمد عليها هذه البرامج بما في ذلك الخادمات على الانترنت وطبيعة تخزين البيانات وتقديمها للمستخدمين وأيضا بروتوكولات التواصل التي تعتمدها هذه البرامج لتأمين التواصل بين المستخدمين.

يطرح المستخدون عادة السؤال: "أي هذه المنصات أفضل؟" أو "هل واتس أب أفضل من تيليغرام أم بالعكس؟" وفي كثير من الأحيان يتطرق السؤال لموضوع الأمان على منصات التواصل، فيكون السؤال: "هل التيليغرام أكثر أمانا من الواتس أب؟". طبعا جميعها أسئلة جيدة، يستحق طارحها الحصول على الإجابة. لكن الإجابة على هذه الأسئلة أصعب مما قد يبدو عليه الأمر. فكي تكون الإجابة وافية ومفيدة يتوجب على السائل، إعطاء معلومات إضافية أو معايير Criteria إضافية، يمكن استخدامها عند التمييز بين منصة وأخرى، بين تطبيق وآخر. يشبه ذلك عندما يسأل أحدهم هل السيارة الفلانية أفضل من السيارة الآخرى، بالطبع لا يمكن الإجابة عن هذا السؤال إلا عند معرفة المعايير التي تجعل سيارة أفضل من أخرى للسائل. وقد تكون هذه المعايير معاييرا يغلب عليها الطابع الشخصي، كلون السيارة ولون ونوع فرش المقاعد. وقد تكون المعايير موضوعية، مثل السعر، استهلاك الوقود، نوع الوقود، التأمين والصيانة، وقد تكون المعايير متعلقة بطبيعة العمل أو بحاجة السائق للسيارة، كأن تكون سيارة رباعية الدفع مصممة للقيادة في لأماكن الوعرة أو الجبلية، أو صغيرة الحجم ليصبح بالإمكان ركنها بسهولة في المدن المكتظة،

إذا عند طرح السؤال: "هل منصة التواصل هذه أفضل من تلك؟" يجب تحديد المعايير Criteria الضرورية لمقارنة المنصتين، وطبيعة الحاجة Context، ونموذج التهديد Threat Model للمستخدمين، لكي تكون الإجابة مفيدة وموضوعية.

سنحاول فيما يلي تقديم طريقة عملية لتحديد المنصة المناسبة لمجموعة من المستخدمين أو لمؤسسة ترغب بتحديد المنصة الأفضل لاستخدامها. تعمد الطريقة على تحديد نموذج التهديدات Threat Model الخاص بالمستخدمين ضمن المجموعة أو المؤسسة واستخدام نموذج الأمان لاختيار معايير الأمان Security Criteria، ثم تحديد المنصة الأفضل بناء على ننائج معاينة المعايير.

الأمان في منصات التواصل

عند الحديث عن منصة تواصل Communication Platform مثل منصة WhatsApp. أول ما يتبادر للذهن التطبيق الخاص بالمنصة الذي نقوم بتحميله وتنصيبه على أجهزتنا مثل تطبيق WhatsApp. وهو الجزء الذي نعرفه من المنصة والذي نتعامل معه بشكل عام كمستخدمين. لكن منظومة منصة التواصل تتضمن إلى جانب التطبيق مكونات كثيرة أخرى مثل مخدمات المنصة، البرنامج على المخدم، قواعد البيانات التي تعتمد عليها الخدمة ومكونات كثيرة غيرها. يجب عند الحديث عن أمان منصات التواصل التطرق لجميع هذه المكونات.

المكونات الأساسية لمنظومة التواصل

نورد فيما يلي لائحة تتضمن المكونات الأساسية لمنصة التواصل والتي يجب أخذها بعين الاعتبار عند الحديث عن أمان منصة تواصل معينة:

  • تطبيق العميل Client Application: وهو التطبيق الذي نحمله وننصبه على الأجهزة ونستخدمه للتواصل عبر خدمة المنصة.
  • البرنامج على الخادم Server Side Application: وهي مجموعة البرامج التي تعمل على خوادم الخدمة، وتقوم بتلقي طلب الاتصال وتحويله إلى الجهة المطلوبة، ونقل الرسائل من المرسل إلى المستقبل، وتقوم بمتابعة وتحديث حالة Status المستخدمين، وتقوم بإدارة حسابات المستخدمين Accounts على الخدمة. والكثير من العمليات التي تجري بعيدا عن أعين المستخدمين، كإدارة قواعد البيانات، وإدارة مفاتيح التشفير (إن وجدت) وغير ذلك.
  • قواعد البيانات Databases: حيث تحتفظ الخدمة بمعلومات عن عملائها كحساباتهم، ومعلومات عن مفاتيح التشفير، وبيانات التواصل، والرسائل المتبادلة، مواعيدها ومن اتصل بمن ومتى، إلخ.
  • أنظمة تشغيل الخوادم Servers' Operating Systems: وهي أنظمة التشغيل التي تعمل على الخوادم حيت تتواجد برامج جهة الخادم، وأنظمة التشغيل التي تدير قواعد البيانات.
  • مراكز البيانات Data Centers: وهي الأبنية حيث تتواجد الخوادم وقواعد البيانات وجزء كبير من البنية التحتية اللازمة لتشغيل المنصات. غالبا تكون هذه المراكز ملكا لجهات ثالثة تدير هذه المراكز، وتقوم بصيانة البنية التحتية وضمان استمرار واستقرار عملها وتقدم خدمات الاستضافة Hosting للشركات كالتي تدير منصات التواصل.
  • بروتوكول/بروتوكولات الاتصال Communication Protocol/Protocols: وهي الطريقة التي تحكم آلية الإتصال بين المستخدمين Clients عبر خوادم Servers المنصة. وتحدد هذه البروتوكات تفاصيل الاتصال نوع وطبيعة التشفير، وآلية تبادل مفاتيح التشفير، وغيرها من المحددات اللازمة لضمان انتقال البيانات بين المستخدمين.
  • سياسة الخصوصية Privacy Policy: وهي سياسة الشركة تجاه خصوصية المعلومات الخاصة بالمستخدمين بما في ذلك البيانات الوصفية Meta-Data، وتحدد هذه السياسة، ما هي البيانات الوصفية التي تحتفظ بها الشركة، ومن يستطيع الحصول عليها أو معاينتها وهل يتم حفظها بشكل مشفر وهل يمكن للشركة معاينتها أم فقط أصحابها من المستخدمين.
  • سياسة دورة حياة البيانات Data Cycle Policy: وهي السياسة التي تحكم ماذا يحصل للمعلومات المحتفظ بها، أين تحفظ، وما هي المدة الزمنية للاحتفاظ بها، وكيف يتم التخلص منها أو أرشفتها.
  • البنية التحتية لمعدات الاتصال Telecommunication Infrastructure: وهي أجهزة ووسائط الاتصال التي تعتمد عليها المنصة لتشغيل خدمتها، ويقصد بها الأجهزة والوسائط التي تؤمن اتصال الخوادم وقواعد البيانات بعضها ببعض وبشبكة الانترنت.
  • سياسة الشفافية في تطبيق القانون الساري Complience Transparency Policy: وهي سياسة الشركة في الاعلان عن طلبات الشرطة والقضاء وطريقة التعامل معها، وربما احصائيات بعدد الطلبات التي تصل الشركة ونسبة استجابة الشركة للطلبات.
  • شركاء الجهة الثالثة 3rd Party partners: وهي الجهات التي تتعاقد معها الشركة التي تدير المنصة، للقيام بأعمال مرتبطة بالمنصة، كإدارة البنية التحتية، وإدارة وضمان عمل قواعد البيانات وما إلى ذلك.
  • نموذج العمل الخاص بالشركة Business Model: ونقصد بذلك الطريقة التي تحصل فيها الشركة التي تدير منصة التواصل على الربح.
  • سياسة التبليغ عن الاختراقات الأمنية Breach Reporting Policy: هل تقوم الشركة التي تدير المنصة بتبليغ المستخدمين بحدوث اختراق أمنية لخادماتها أو قواعد البيانات، وما هي الطريق التي تقوم بها الشركة بإعلام المستخدمين.
  • ...

ما نحاول توضيحه في هذه الفقرة هو أن أي منظومة منصة التواصل تتكون من جميع هذه النقاط (وغيرها) التي يجب أخذها بعين الاعتبار عند النظر في أمان منظومة منصة التواصل. ولا يمكن الحديث عن أمان منظومة التواصل إلا عبر فهم طريقة عمل المنظومة وعبر معاينة الأمان لجميع هذه الاجزاء من وجهة نظر نموذج الخطر Threat Model الخاص بالمستخدمين. ويجب التذكر أن هذه عملية صعبة وتتطلب معرفة معلومات واضحة ودقيقة عن جميع النقاط المذكورة (وغيرها) والتي تؤثر على عمل منظومة منصة التواصل وأمنها.

كيف تعمل منصات التواصل؟

يبين الشكل التالي المخطط العام لمنظومة التواصل بشكل مبسط. ويوضح بالتحديد المحطات الرئيسية للبيانات على طريق انتقالها بين هاتف ذكي لمستخدم وآخر. نستخدم هنا على سبيل المثال منصة WhatsApp.

Communication Platform System Macro Simple End to End.png

يقوم المستخدم، في الجهة اليسرى من الشكل، بإرسال رسالة إلى صديقته من تطبيق WhatsApp على هاتفه الذكي المتصل بشبكة الواي فاي Wifi في منزله، تمر الرسالة عبر الراوتر إلى مزود خدمة الانترنت، شركة فودافون في مثالنا، ليقوم مزود خدمة الانترنت بتوجيه الرسالة عبر شبكات الاتصالات المتوفرة إلى مخدمات المنصة أو مراكز بيانات المنصة، في مثالنا WhatsApp، التي تقوم بدورها بتوجيه الرسالة عبر شبكات الاتصال المتوفرة إلى مزود خدمة الجوال والانترنت، في مثالنا شركة أورانج، الذي يقوم بإيصال الرسالة إلى الهاتف الذكي للجهة المستقبلة.

في هذا المخطط تبسيط كبير إذ لا يوضح الشكل آلية إنشاء الاتصال، ودور مخدمات WhatsApp في بناء الاتصال، ولا يتطرق أيضا للطريقة التي تستطيع مزودات الخدمة WhatsApp من خلالها معرفة عنوان الجهة المستقبلة وحالة Status اتصاله بالشبكة. ولا يتطرق الشكل أيضا لأي من تقنيات الاتصال والبنية التحتية لأنظمة الاتصال التي تربط مزودات الخدمة ومراكز البيانات، ولا يتطرق أيضا لأي من السياسات المتعلقة بمزود خدمة الانترنت ولا السياسات المرتبطة بمنصة التواصل ودورة حياة البيانات. على الرغم من ذلك يمكن القول أن هذا المخطط العام يصف الطريق التي تنتقل بها الرسائل وغيرها من البيانات بين مستخدمي منصة التواصل.

معايير الأمان عند اختيار منصات التواصل Selection Criteria of Secure Communication Platforms

هل يتم تشفير الرسائل عند إرسالها/استقبالها

هل يستطيع مزود خدمة التواصل قراءة الرسائل

هل يمكن التحقق من هوية الطرف الآحر في المحادثة

هل تبقى الرسائل التي تم تبادلها سرية إن حصل تسريب لرموز تشفير المستخدمين

هل سطور برمجة الخدمة متاحة لمعاينتها من قبل أي جهة مستقلة عن مزود الخدمة

وهذا لا يعني بالضرورة أن تكون سطور البرمجة متاحة للعموم كما هو حال البرامج أوالبرمجيات مفتوحة المصدر Open Source، لكن متاحة لجهة مستقلة عن المطور يقوم المطور بالتعاقد معها لمعاينة سطور البرمجة غير المتاحة عادة على العموم.

هل هناك توثيق جيد لتصميم وميزات الأمان التي تستخدمها الخدمة

هل تم إجراء تدقيق لأمان للخدمة من قبل طرف محايد مؤخرا

مكان تواجد الخوادم

يحدد مكان تواجد المخدمات ما إذا كانت السلطات المتواجدة، أو جهات أخرى، قادرة على الوصول إلى الخوادم أو قادرة على إجبار المشغلين بتوفير الوصول إلى الخوادم. إن كانت الخوادم موجودة في دولة فيها سلطة قانون، وكان القانون يمنع السلطات من تفتيش أو مصادرة الخوادم بدون أمر قضائي فهذا أفضل من أن تكون الخوادم في دولة يحق فيها للسلطات أو النافذين بالوصول للخوادم ومصادرتها أو العبث بها.

لسلطة أي قانون يخضع مزود الخدمة

هل تدعم الخدمة ميزة التدمير التلقائي للرسائل

هل من الممكن استضافة الخدمة على مخدمات خاصة

هل يقوم مزود خدمة التواصل بتخزين البيانات الوصفية Meta-Data

لائحة بالبيانات الوصفية الهامة:

  • توقيت تواجد المستخدم بحالة Online
  • من تواصل معك ومتى وكيف (رسائل نصية، صوتية فيديو، رسائل تحتوي صور أو ملفات، أو اتصال صوتي حي، اتصال فيديو)
  • مع من تواصلت ومتى وكيف (رسائل نصية، صوتية فيديو، رسائل تحتوي صور أو ملفات، أو اتصال صوتي حي، اتصال فيديو)
  • تاريخ التعديل على حالة المستخدم Status
  • تاريخ تغيير صورة المستخدم
  • قائمة الاتصال Contacts list
  • نوع الجهاز
  • اسم الحساب وأي تعديل طرأ على اسم الحساب
  • لائحة بأسماء المجموعات وتاريخ إنشاءها أو الإضافة إليها وحسابات بقية الأعضاء في المجموعات
  • متى عاين المستخدم التطبيق ومدة المعاينة

هل يقوم مزود الخدمة بتخزين الرسائل سواء مشفرة كان أم لا

هل تقوم بالبرامج بتخزين الرسائل على الجهاز

هل يقوم مزود الخدمة بالحصول على بيانات نقاط الاتصال

هل يقوم يقوم البرنامج بالاستماع سرا لما يقال على الميكروفون

ما هي الصلاحيات التي يطلبها البرنامج ليعمل على الهاتف الذكي

هل يدعم البرنامج ميزة التحقق بخطوتين

هل تعمد الخدمة على أرقام هواتف المستخدمين

هل تسرب الخدمة عناوين الآي بي IP Addresses الخاصة بالمستخدمين

هل هناك إمكانية لحذف الحساب نهائيا من الجهاز ومن مزود الخدمة

هل من الممكن منع التنبيهات من الظهور على شاشة الهاتف الذكي عندما تكون الشاشة بوضعية القفل

مقارنة بين برامج التواصل

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

فقرات عن برامج التواصل واسعة الانتشار

Skype-Logo-2-psd41457.png سكايب Skype

Hangouts-Logo.png هانغ أوت Hangout

Facebook messenger logo.png فيسبوك ميسينجر Facebook Messenger

Whatsapp.jpg واتس أب WhatsApp

VIBER LOGO.png فايبر Viber

Telegram logo.svg.png تيليغرام Telegram

Signal Logo iOS.jpg سيغنال Signal

Cryptocat logo.png كريبتوكات Cryptocat

Jitsi logo 128x191.png جيتسي Jitsi

Jitsi.org logo mono.png جيتسي ميت Jitsi Meet