منصات التواصل Communication Platforms

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

محتويات

مقدمة

برامج التواصل هي الأدوات التي نستخدمها لإرسال الرسائل النصية ولإجراء المكالمات الصوتية ومكالمات الفيديو الفردية أو الجماعية عبر شبكة الانترنت.

هناك المئات إن لم يكن الآلاف من برامج التواصل، تختلف فيما بينها بدرجة الانتشار والإمكانيات التي تتيحها للمستخدم وخيارات التخصيص ودعهما للغات وأنماط التواصل وتجربة المستخدم بشكل عام. وأيضا تختلف فيما بينها بتصميم البنية التحتية التي تعتمد عليها هذه البرامج بما في ذلك الخادمات على الانترنت وطبيعة تخزين البيانات وتقديمها للمستخدمين وأيضا بروتوكولات التواصل التي تعتمدها هذه البرامج لتأمين التواصل بين المستخدمين.

يطرح المستخدون عادة السؤال: "أي هذه المنصات أفضل؟" أو "هل واتس أب أفضل من تيليغرام أم بالعكس؟" وفي كثير من الأحيان يتطرق السؤال لموضوع الأمان على منصات التواصل، فيكون السؤال: "هل التيليغرام أكثر أمانا من الواتس أب؟". طبعا جميعها أسئلة جيدة، يستحق طارحها الحصول على الإجابة. لكن الإجابة على هذه الأسئلة أصعب مما قد يبدو عليه الأمر. فكي تكون الإجابة وافية ومفيدة يتوجب على السائل، إعطاء معلومات إضافية أو معايير Criteria إضافية، يمكن استخدامها عند التمييز بين منصة وأخرى، بين تطبيق وآخر. يشبه ذلك عندما يسأل أحدهم هل السيارة الفلانية أفضل من السيارة الآخرى، بالطبع لا يمكن الإجابة عن هذا السؤال إلا عند معرفة المعايير التي تجعل سيارة أفضل من أخرى للسائل. وقد تكون هذه المعايير معاييرا يغلب عليها الطابع الشخصي، كلون السيارة ولون ونوع فرش المقاعد. وقد تكون المعايير موضوعية، مثل السعر، استهلاك الوقود، نوع الوقود، التأمين والصيانة، وقد تكون المعايير متعلقة بطبيعة العمل أو بحاجة السائق للسيارة، كأن تكون سيارة رباعية الدفع مصممة للقيادة في لأماكن الوعرة أو الجبلية، أو صغيرة الحجم ليصبح بالإمكان ركنها بسهولة في المدن المكتظة،

إذا عند طرح السؤال: "هل منصة التواصل هذه أفضل من تلك؟" يجب تحديد المعايير Criteria الضرورية لمقارنة المنصتين، وطبيعة الحاجة Context، و نموذج التهديد Threat Model للمستخدمين، لكي تكون الإجابة مفيدة وموضوعية.

سنحاول فيما يلي تقديم طريقة عملية لتحديد المنصة المناسبة لمجموعة من المستخدمين أو لمؤسسة ترغب بتحديد المنصة الأفضل لاستخدامها. تعمد الطريقة على تحديد نموذج التهديدات Threat Model الخاص بالمستخدمين ضمن المجموعة أو المؤسسة واستخدام نموذج الأمان لاختيار معايير الأمان Security Criteria، ثم تحديد المنصة الأفضل بناء على ننائج معاينة المعايير.

الأمان في منصات التواصل

عند الحديث عن منصة تواصل Communication Platform مثل منصة WhatsApp. أول ما يتبادر للذهن التطبيق الخاص بالمنصة الذي نقوم بتحميله وتنصيبه على أجهزتنا مثل تطبيق WhatsApp. وهو الجزء الذي نعرفه من المنصة والذي نتعامل معه بشكل عام كمستخدمين. لكن منظومة منصة التواصل تتضمن إلى جانب التطبيق مكونات كثيرة أخرى مثل مخدمات المنصة، البرنامج على المخدم، قواعد البيانات التي تعتمد عليها الخدمة ومكونات كثيرة غيرها. يجب عند الحديث عن أمان منصات التواصل التطرق لجميع هذه المكونات.

المكونات الأساسية لمنظومة التواصل

نورد فيما يلي لائحة تتضمن المكونات الأساسية لمنصة التواصل والتي يجب أخذها بعين الاعتبار عند الحديث عن أمان منصة تواصل معينة:

  • تطبيق العميل Client Application: وهو التطبيق الذي نحمله وننصبه على الأجهزة ونستخدمه للتواصل عبر خدمة المنصة.
  • البرنامج على الخادم Server Side Application: وهي مجموعة البرامج التي تعمل على خوادم الخدمة، وتقوم بتلقي طلب الاتصال وتحويله إلى الجهة المطلوبة، ونقل الرسائل من المرسل إلى المستقبل، وتقوم بمتابعة وتحديث حالة Status المستخدمين، وتقوم بإدارة حسابات المستخدمين Accounts على الخدمة. والكثير من العمليات التي تجري بعيدا عن أعين المستخدمين، كإدارة قواعد البيانات، وإدارة مفاتيح التشفير (إن وجدت) وغير ذلك.
  • قواعد البيانات Databases: حيث تحتفظ الخدمة بمعلومات عن عملائها كحساباتهم، ومعلومات عن مفاتيح التشفير، وبيانات التواصل، والرسائل المتبادلة، مواعيدها ومن اتصل بمن ومتى، إلخ.
  • أنظمة تشغيل الخوادم Servers' Operating Systems: وهي أنظمة التشغيل التي تعمل على الخوادم حيت تتواجد برامج جهة الخادم، وأنظمة التشغيل التي تدير قواعد البيانات.
  • مراكز البيانات Data Centers: وهي الأبنية حيث تتواجد الخوادم وقواعد البيانات وجزء كبير من البنية التحتية اللازمة لتشغيل المنصات. غالبا تكون هذه المراكز ملكا لجهات ثالثة تدير هذه المراكز، وتقوم بصيانة البنية التحتية وضمان استمرار واستقرار عملها وتقدم خدمات الاستضافة Hosting للشركات كالتي تدير منصات التواصل.
  • بروتوكول/بروتوكولات الاتصال Communication Protocol/Protocols: وهي الطريقة التي تحكم آلية الإتصال بين المستخدمين Clients عبر خوادم Servers المنصة. وتحدد هذه البروتوكات تفاصيل الاتصال نوع وطبيعة التشفير، وآلية تبادل مفاتيح التشفير، وغيرها من المحددات اللازمة لضمان انتقال البيانات بين المستخدمين.
  • سياسة الخصوصية Privacy Policy: وهي سياسة الشركة تجاه خصوصية المعلومات الخاصة بالمستخدمين بما في ذلك البيانات الوصفية Meta-Data، وتحدد هذه السياسة، ما هي البيانات الوصفية التي تحتفظ بها الشركة، ومن يستطيع الحصول عليها أو معاينتها وهل يتم حفظها بشكل مشفر وهل يمكن للشركة معاينتها أم فقط أصحابها من المستخدمين.
  • سياسة دورة حياة البيانات Data Cycle Policy: وهي السياسة التي تحكم ماذا يحصل للمعلومات المحتفظ بها، أين تحفظ، وما هي المدة الزمنية للاحتفاظ بها، وكيف يتم التخلص منها أو أرشفتها.
  • البنية التحتية لمعدات الاتصال Telecommunication Infrastructure: وهي أجهزة ووسائط الاتصال التي تعتمد عليها المنصة لتشغيل خدمتها، ويقصد بها الأجهزة والوسائط التي تؤمن اتصال الخوادم وقواعد البيانات بعضها ببعض وبشبكة الانترنت.
  • سياسة الشفافية في تطبيق القانون الساري Complience Transparency Policy: وهي سياسة الشركة في الاعلان عن طلبات الشرطة والقضاء وطريقة التعامل معها، وربما احصائيات بعدد الطلبات التي تصل الشركة ونسبة استجابة الشركة للطلبات.
  • شركاء الجهة الثالثة 3rd Party partners: وهي الجهات التي تتعاقد معها الشركة التي تدير المنصة، للقيام بأعمال مرتبطة بالمنصة، كإدارة البنية التحتية، وإدارة وضمان عمل قواعد البيانات وما إلى ذلك.
  • نموذج العمل الخاص بالشركة Business Model: ونقصد بذلك الطريقة التي تحصل فيها الشركة التي تدير منصة التواصل على الربح.
  • سياسة التبليغ عن الاختراقات الأمنية Breach Reporting Policy: هل تقوم الشركة التي تدير المنصة بتبليغ المستخدمين بحدوث اختراق أمنية لخادماتها أو قواعد البيانات، وما هي الطريق التي تقوم بها الشركة بإعلام المستخدمين.
  • ...

ما نحاول توضيحه في هذه الفقرة هو أن أي منظومة منصة التواصل تتكون من جميع هذه النقاط (وغيرها) التي يجب أخذها بعين الاعتبار عند النظر في أمان منظومة منصة التواصل. ولا يمكن الحديث عن أمان منظومة التواصل إلا عبر فهم طريقة عمل المنظومة وعبر معاينة الأمان لجميع هذه الاجزاء من وجهة نظر نموذج الخطر Threat Model الخاص بالمستخدمين. ويجب التذكر أن هذه عملية صعبة وتتطلب معرفة معلومات واضحة ودقيقة عن جميع النقاط المذكورة (وغيرها) والتي تؤثر على عمل منظومة منصة التواصل وأمنها.

كيف تعمل منصات التواصل؟

يبين الشكل التالي المخطط العام لمنظومة التواصل بشكل مبسط. ويوضح بالتحديد المحطات الرئيسية للبيانات على طريق انتقالها بين هاتف ذكي لمستخدم وآخر. نستخدم هنا على سبيل المثال منصة WhatsApp.

Communication Platform System Macro Simple End to End.png

يقوم المستخدم، في الجهة اليسرى من الشكل، بإرسال رسالة إلى صديقته من تطبيق WhatsApp على هاتفه الذكي المتصل بشبكة الواي فاي Wifi في منزله، تمر الرسالة عبر الراوتر إلى مزود خدمة الانترنت، شركة فودافون في مثالنا، ليقوم مزود خدمة الانترنت بتوجيه الرسالة عبر شبكات الاتصالات المتوفرة إلى مخدمات المنصة أو مراكز بيانات المنصة، في مثالنا WhatsApp، التي تقوم بدورها بتوجيه الرسالة عبر شبكات الاتصال المتوفرة إلى مزود خدمة الجوال والانترنت، في مثالنا شركة أورانج، الذي يقوم بإيصال الرسالة إلى الهاتف الذكي للجهة المستقبلة.

في هذا المخطط تبسيط كبير إذ أنه لا يوضح الشكل آلية إنشاء الاتصال، ودور مخدمات WhatsApp في بناء الاتصال، ولا يتطرق أيضا للطريقة التي تستطيع مزودات الخدمة WhatsApp من خلالها معرفة عنوان الجهة المستقبلة وحالة Status اتصال الجهة المستقبلة بالشبكة. كما أنه لا يتطرق لأي من عتاد وتقنيات الاتصال والبنية التحتية لأنظمة الاتصال التي تربط مزودات الخدمة ومراكز البيانات، ولا يتطرق أيضا لأي من السياسات المتعلقة بمزود خدمة الانترنت ولا السياسات المرتبطة بمنصة التواصل ودورة حياة البيانات. على الرغم من ذلك يفيد المخطط في إعطاء وصف عام للطريق الذي تنتقل عبره الرسائل وغيرها من البيانات بين مستخدمي منصة التواصل.

معايير الأمان عند اختيار منصات التواصل Selection Criteria of Secure Communication Platforms

هل يتم تشفير الرسائل عند إرسالها/استقبالها

هل يستطيع مزود خدمة التواصل قراءة الرسائل

هل يمكن التحقق من هوية الطرف الآحر في المحادثة

هل تبقى الرسائل التي تم تبادلها سرية إن حصل تسريب لرموز تشفير المستخدمين

هل سطور برمجة الخدمة متاحة لمعاينتها من قبل أي جهة مستقلة عن مزود الخدمة

وهذا لا يعني بالضرورة أن تكون سطور البرمجة متاحة للعموم كما هو حال البرامج أوالبرمجيات مفتوحة المصدر Open Source، لكن متاحة لجهة مستقلة عن المطور يقوم المطور بالتعاقد معها لمعاينة سطور البرمجة غير المتاحة عادة على العموم.

هل هناك توثيق جيد لتصميم وميزات الأمان التي تستخدمها الخدمة

هل تم إجراء تدقيق لأمان المنصة من قبل طرف محايد مؤخرا

سواء كانت سطور البرمجة الخاصة بمنصة مفتوحة المصدر أو مغلقة المصدر فإنه من الضروري أن تخضع منصة التواصل بكل أجزائها الوظيفية إلى المعاينة والتدقيق للتأكد من سلامة تطبيق المعايير والخوارزميات الخاصة بعمل المنصة، وللتأكد من الالتزام بمعايير الأمان الخاصة بأجزاء المنصة المختلفة.

التدقيق أمر ضروري في المنصات مفتوحة المصر، إذ أن الجهة المدققة تقوم بالتدقيق بشكل منهجي يضمن عدم نسيان جانب أو آخر في تصميم، أو تطبيق خوازرميات الاتصال وآلياته وأدواته. وهو بذلك يضمن حصول مراجهة موضوعية لسطور البرمجة، ما قد تفتقده البرامج مفتوحة المصدر.

أما بالنسبة للمنصات مغلقة المصدر، فإن إجاء المراجعة من قبل طرف محايد أمر فائق الأهمية، فهي الطريقة الوحيدة التي يمكن بها لمستخدمي المنصة، معرفة ما إذا كانت المنصة تطبق ما تدعيه مواقعها ومؤلفاتها وإعلاناتها، بأمانة وبالشكل الصحيح والتأكد من إجراءات الأمان الخاصة بكامل أجزاء المنصة.

يشترط في التدقيق أن يتم من قبل طرف محايد يتم التعاقد معه لإجراء التدقيق لضمان أن يكون التدقيق موضوعيا.

مكان تواجد الخوادم

يحدد مكان تواجد المخدمات ما إذا كانت السلطات المتواجدة، أو جهات أخرى، قادرة على الوصول إلى الخوادم أو قادرة على إجبار المشغلين بتوفير الوصول إلى الخوادم. إن كانت الخوادم موجودة في دولة فيها سلطة قانون، وكان القانون يمنع السلطات من تفتيش أو مصادرة الخوادم بدون أمر قضائي فهذا أفضل من أن تكون الخوادم في دولة يحق فيها للسلطات أو النافذين بالوصول للخوادم ومصادرتها أو العبث بها.

لسلطة أي قانون يخضع مزود الخدمة

هل تدعم الخدمة ميزة التدمير التلقائي للرسائل

ميزة التدمير التلقائي للرسائل تتيح للمتراسلين تحديد فترة زمنية تمسح بعدها الرسالة من على تطبيق المستخدمين دون أن تترك أي أثر ودون إمكانية استردادها. تختلف المنصات في طريقة تطبيق الميزة فبعضها تبدأ بتسجيل الوقت منذ لحظة إرسالها، وغيرها من المنصات تبدأ بتسجيل الوقت بعد أول معاينة للرسالة من قبل المستقبل.

من المنصات التي تدعم ميزة التدمير التلقائي للرسائل، سيغنال Signal، تيليغرام Telegram وسايلنت سيركل Silent Circle.

هل من الممكن استضافة الخدمة على مخدمات خاصة

كما ذكرنا في المقدة تتكون منصات التواصل بالإضافة للتطبيق على الهاتف الذكي أو الحاسب، من عدة مكونات مثل، تستطيع الجهة التي تدير الخدمة استغلال مكانها في منظومة الاتصال. فمثلا وببساطة شديدة تستطيع الجهة التي تدير منصة التواصل إيقاف الخدمة، أو حرمان أحد المستخدمين من الخدمة، أو تحديد عدد المتصلين بالخدمة. كما تستطيع الاحتفاظ ببيانات وصفية MetaData عن الاتصالات التي تجري عبر المنصة.

لذلك إن أتاحت منصة التواصل إمكانية استضافة الخدمة على مخدمات خاصة تديرها الجهة الراغبة باستخدام المنصة، فإن ذلك يقي من أي إساءة محتملة من قبل مديري الخدمة. لكن ذلك يضع أعباءإضافية إدارية وأمنية وربما قانونية على مدراء المخدم الخاص.

منصة جيتسي Jitsi من المنصات التي تدعم استضافة الخدمة على مخدمات خاصة.

هل يقوم مزود خدمة التواصل بتخزين البيانات الوصفية Meta-Data

لائحة بالبيانات الوصفية الهامة:

  • توقيت تواجد المستخدم بحالة Online
  • من تواصل معك ومتى وكيف (رسائل نصية، صوتية فيديو، رسائل تحتوي صور أو ملفات، أو اتصال صوتي حي، اتصال فيديو)
  • مع من تواصلت ومتى وكيف (رسائل نصية، صوتية فيديو، رسائل تحتوي صور أو ملفات، أو اتصال صوتي حي، اتصال فيديو)
  • تاريخ التعديل على حالة المستخدم Status
  • تاريخ تغيير صورة المستخدم
  • قائمة الاتصال Contacts list
  • نوع الجهاز
  • اسم الحساب وأي تعديل طرأ على اسم الحساب
  • لائحة بأسماء المجموعات وتاريخ إنشاءها أو الإضافة إليها وحسابات بقية الأعضاء في المجموعات
  • متى عاين المستخدم التطبيق ومدة المعاينة

هل يقوم مزود الخدمة بتخزين الرسائل سواء مشفرة كان أم لا

يستطيع مزود خدمة التواصل أو مدراء منصات التواصل، تخزين الرسائل المتبادلة عبر المنصة، بالشكل الذي تصل فيه للمنصة. وفي كثير من الأحيان تفرض القوانين الناظمة لتقديم هذه الخدمات على مزودي هذه الخدمات تخزين الرسائل سواء كانت مشفرة أم لا لعدد ما من الأسابيع أو الشهور.

في حال كان باستطاعة مزود الخدمة معاينة محتوى الرسائل، أي في حال كانت المنصة لا تستخدم تشفير طرف إلى طرف End-to-End Encryption، وفي حال قام مزود الخدمة بتخزين الرسائل، فإن إمكانية انكشافها عالية، سواء للسلطات التي تستطيع فرض سلطة القانون لمعاينة الرسائل، أو في حال تسرب الرسائل أو اختراق مخدمات الشركة المزودة للخدمة.

أما في حال كانت المنصة تستخدم تشفير طرف إلى طرف End-to-End Encryption فقد لا تبدو أهمية هذه النقطة فالرسائل وإن وصلت ليد جهة أخرى فهي مشفرة وإن كانت التشفير جيدا، فكسر التشفير سيتطلب وقتا زمينا و/أو مواردا كبيرة. لكن هذا قد لا يكون صحيحا في المستقبل، فقد تتوفر في المستقبل التقنيات اللازمة لكسر تشفير الرسائل في يومنا هذا. بالتالي قد يكون من المفيد لهذه الجهات، والتي تعزف على الوتر الطويل، تخزين هذه الرسائل المشفرة العصية في يومنا هذا بهدف كسر تشفيرها في المستقبل باستخدم تقنيات المستقبل. أو قد تتوفر لسبب أو لآخر في المستقبل مفاتيح التشفير، كأن تحصل الجهات الأمنية عليها من الشركة التي تدير المنصة، أو كان تحصل جهات عليها بشكل خبيث.

هل تقوم بالبرامج بتخزين الرسائل على الجهاز

هل يقوم مزود الخدمة بالحصول على بيانات نقاط الاتصال

هل يقوم يقوم البرنامج بالاستماع سرا لما يقال على الميكروفون

ما هي الصلاحيات التي يطلبها البرنامج ليعمل على الهاتف الذكي

هل يدعم البرنامج ميزة التحقق بخطوتين

هل تعمد الخدمة على أرقام هواتف المستخدمين

هل تسرب الخدمة عناوين الآي بي IP Addresses الخاصة بالمستخدمين

هل هناك إمكانية لحذف الحساب نهائيا من الجهاز ومن مزود الخدمة

هل من الممكن منع التنبيهات من الظهور على شاشة الهاتف الذكي عندما تكون الشاشة بوضعية القفل

مقارنة بين برامج التواصل

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

فقرات عن برامج التواصل واسعة الانتشار

Skype-Logo-2-psd41457.png سكايب Skype

Hangouts-Logo.png هانغ أوت Hangout

Facebook messenger logo.png فيسبوك ميسينجر Facebook Messenger

Whatsapp.jpg واتس أب WhatsApp

VIBER LOGO.png فايبر Viber

Telegram logo.svg.png تيليغرام Telegram

Signal Logo iOS.jpg سيغنال Signal

Cryptocat logo.png كريبتوكات Cryptocat

Jitsi logo 128x191.png جيتسي Jitsi

Jitsi.org logo mono.png جيتسي ميت Jitsi Meet