منصات التواصل Communication Platforms

من SalamaTech Wiki سلامتك ويكي
اذهب إلى التنقل اذهب إلى البحث

مقدمة

برامج التواصل هي الأدوات التي نستخدمها لإرسال الرسائل النصية ولإجراء المكالمات الصوتية ومكالمات الفيديو الفردية أو الجماعية عبر شبكة الانترنت.

هناك المئات إن لم يكن الآلاف من برامج التواصل، تختلف فيما بينها بدرجة الانتشار والإمكانيات التي تتيحها للمستخدم وخيارات التخصيص ودعهما للغات وأنماط التواصل وتجربة المستخدم بشكل عام. وأيضا تختلف فيما بينها بتصميم البنية التحتية التي تعتمد عليها هذه البرامج بما في ذلك الخادمات على الانترنت وطبيعة تخزين البيانات وتقديمها للمستخدمين وأيضا بروتوكولات التواصل التي تعتمدها هذه البرامج لتأمين التواصل بين المستخدمين.

يطرح المستخدون عادة السؤال: "أي هذه المنصات أفضل؟" أو "هل واتس أب أفضل من تيليغرام أم بالعكس؟" وفي كثير من الأحيان يتطرق السؤال لموضوع الأمان على منصات التواصل، فيكون السؤال: "هل التيليغرام أكثر أمانا من الواتس أب؟". طبعا جميعها أسئلة جيدة، يستحق طارحها الحصول على الإجابة. لكن الإجابة على هذه الأسئلة أصعب مما قد يبدو عليه الأمر. فكي تكون الإجابة وافية ومفيدة يتوجب على السائل، إعطاء معلومات إضافية أو معايير Criteria إضافية، يمكن استخدامها عند التمييز بين منصة وأخرى، بين تطبيق وآخر. يشبه ذلك عندما يسأل أحدهم هل السيارة الفلانية أفضل من السيارة الآخرى، بالطبع لا يمكن الإجابة عن هذا السؤال إلا عند معرفة المعايير التي تجعل سيارة أفضل من أخرى للسائل. وقد تكون هذه المعايير معاييرا يغلب عليها الطابع الشخصي، كلون السيارة ولون ونوع فرش المقاعد. وقد تكون المعايير موضوعية، مثل السعر، استهلاك الوقود، نوع الوقود، التأمين والصيانة، وقد تكون المعايير متعلقة بطبيعة العمل أو بحاجة السائق للسيارة، كأن تكون سيارة رباعية الدفع مصممة للقيادة في لأماكن الوعرة أو الجبلية، أو صغيرة الحجم ليصبح بالإمكان ركنها بسهولة في المدن المكتظة،

إذا عند طرح السؤال: "هل منصة التواصل هذه أفضل من تلك؟" يجب تحديد المعايير Criteria الضرورية لمقارنة المنصتين، وطبيعة الحاجة Context، و نموذج التهديد Threat Model للمستخدمين، لكي تكون الإجابة مفيدة وموضوعية.

سنحاول فيما يلي تقديم طريقة عملية لتحديد المنصة المناسبة لمجموعة من المستخدمين أو لمؤسسة ترغب بتحديد المنصة الأفضل لاستخدامها. تعمد الطريقة على تحديد نموذج التهديدات Threat Model الخاص بالمستخدمين ضمن المجموعة أو المؤسسة واستخدام نموذج الأمان لاختيار معايير الأمان Security Criteria، ثم تحديد المنصة الأفضل بناء على ننائج معاينة المعايير.

الأمان في منصات التواصل

عند الحديث عن منصة تواصل Communication Platform مثل منصة WhatsApp. أول ما يتبادر للذهن التطبيق الخاص بالمنصة الذي نقوم بتحميله وتنصيبه على أجهزتنا مثل تطبيق WhatsApp. وهو الجزء الذي نعرفه من المنصة والذي نتعامل معه بشكل عام كـ مستخدمات ومستخدمين. لكن منظومة منصة التواصل تتضمن إلى جانب التطبيق مكونات كثيرة أخرى، مثل مخدمات المنصة Servers، البرنامج على المخدم Server-Side Software، قواعد البيانات Databases التي تعتمد عليها الخدمة، بالإضافة إلى مكونات كثيرة غيرها، وعند الحديث عن أمان منصات التواصل، يجب التطرق لجميع هذه المكونات.

المكونات الأساسية لمنظومة التواصل

نورد فيما يلي لائحة تتضمن المكونات الأساسية لمنصة التواصل والتي يجب أخذها بعين الاعتبار عند الحديث عن أمان منصة تواصل معينة:

  1. تطبيق العميل Client Application: وهو التطبيق الذي نحمله وننصبه على الأجهزة ونستخدمه للتواصل عبر خدمة المنصة.
  2. البرنامج على الخادم Server Side Application: وهي مجموعة البرامج التي تعمل على خوادم الخدمة، وتقوم بتلقي طلب الاتصال وتحويله إلى الجهة المطلوبة، ونقل الرسائل من المرسل إلى المستقبل، وتقوم بمتابعة وتحديث حالة Status المستخدمين، وتقوم بإدارة الحسابات Accounts على الخدمة. والكثير من العمليات التي تجري بعيدا عن أعين المستخدمات والمستخدمين، كإدارة قواعد البيانات، وإدارة مفاتيح التشفير (إن وجدت) وغير ذلك.
  3. قواعد البيانات Databases: حيث تحتفظ الخدمة بمعلومات عن عملائها كحساباتهم، ومعلومات عن مفاتيح التشفير، وبيانات التواصل، والرسائل المتبادلة، مواعيدها ومن اتصل بمن ومتى، إلخ.
  4. أنظمة تشغيل الخوادم Servers' Operating Systems: وهي أنظمة التشغيل التي تعمل على الخوادم حيت تتواجد برامج جهة الخادم، وأنظمة التشغيل التي تدير قواعد البيانات.
  5. مراكز البيانات Data Centers: وهي الأبنية حيث تتواجد الخوادم وقواعد البيانات وجزء كبير من البنية التحتية اللازمة لتشغيل المنصات. غالبا ما تكون هذه المراكز ملكا لجهات ثالثة تدير هذه المراكز، وتقوم بصيانة البنية التحتية وضمان استمرار واستقرار عملها وتقدم خدمات الاستضافة Hosting للشركات كالتي تدير منصات التواصل.
  6. بروتوكول/بروتوكولات الاتصال Communication Protocol/Protocols: وهي الطريقة التي تحكم آلية الإتصال بين المستخدمين Clients عبر خوادم Servers المنصة. وتحدد هذه البروتوكات تفاصيل الاتصال نوع وطبيعة التشفير، وآلية تبادل مفاتيح التشفير، وغيرها من المحددات اللازمة لضمان انتقال البيانات بين مستخدمات ومستخدمي المنصة.
  7. سياسة الخصوصية Privacy Policy: وهي سياسة الشركة تجاه خصوصية المعلومات الخاصة بالمستخدمات والمستخدمين بما في ذلك البيانات الوصفية Metadata، وتحدد هذه السياسة، ما هي البيانات الوصفية التي تحتفظ بها الشركة، ومن يمكنهم الحصول عليها أو معاينتها وهل يتم حفظها بشكل مشفر وهل يمكن للشركة معاينتها أم فقط صحابات وأصحاب البيانات من المستخدمات والمستخدمين.
  8. سياسة دورة حياة البيانات Data Cycle Policy: وهي السياسة التي تحكم ماذا يحصل للمعلومات المحتفظ بها على خوادم المنصة، أين تحفظ، وما هي المدة الزمنية للاحتفاظ بها، وكيف يتم التخلص منها أو أرشفتها.
  9. البنية التحتية لمعدات الاتصال Telecommunication Infrastructure: وهي أجهزة ووسائط الاتصال التي تعتمد عليها المنصة لتشغيل خدمتها، ويقصد بها الأجهزة والوسائط التي تؤمن اتصال الخوادم وقواعد البيانات بعضها ببعض وبشبكة الانترنت.
  10. سياسة الشفافية في تطبيق القانون الساري Complience Transparency Policy: وهي سياسة الشركة في الاعلان عن طلبات الشرطة والقضاء وطريقة التعامل معها، وربما احصائيات بعدد الطلبات التي تصل الشركة ونسبة استجابة الشركة للطلبات.
  11. شركاء الجهة الثالثة 3rd Party partners: وهي الجهات التي تتعاقد معها الشركة التي تدير المنصة، للقيام بأعمال مرتبطة بالمنصة، كإدارة البنية التحتية، وإدارة وضمان عمل قواعد البيانات وما إلى ذلك.
  12. نموذج العمل الخاص بالشركة Business Model: ونقصد بذلك الطريقة التي تحصل فيها الشركة التي تدير منصة التواصل على الربح.
  13. سياسة التبليغ عن الخروق الأمنية Breach Reporting Policy: هل تقوم الشركة التي تدير المنصة بتبليغ المستخدمين بحدوث خرق اختراق أمني لمخدماتها أو قواعد البيانات، وما هي الطريقة التي تقوم بها الشركة بإعلام المستخدمات والمستخدمين.

وغير ذلك...

ما نحاول توضيحه في هذه الفقرة هو أن أي منصّة تواصل تتكون من جميع هذه النقاط والتي يجب أخذها بعين الاعتبار عند التمحيص في أمان منصّة التواصل. فلا يمكن الحديث عن أمان برنامج التواصل إلا عبر فهم طريقة عمل المنظومة وعبر معاينة الأمان لجميع هذه الاجزاء من وجهة نظر نموذج الخطر Threat Model الخاص بالمستخدمات والمستخدمين. ويجب التذكر أن هذه عملية صعبة وتتطلب معرفة معلومات واضحة ودقيقة عن جميع النقاط المذكورة والتي تؤثر على عمل منظومة منصة التواصل وأمنها، والتي قد لا تكون متاحة للعموم، كأن لا تفصح الشركة التي تدير منصة التواصل أي تفاصيل عن البرامح على الخادم.

كيف تعمل منصات التواصل؟

يبين الشكل التالي المخطط العام لمنظومة التواصل بشكل مبسط. ويوضح بالتحديد المحطات الرئيسية للبيانات على طريق انتقالها بين هاتف ذكي لمستخدم وآخر. نستخدم هنا على سبيل المثال منصة WhatsApp.

Communication Platform System Macro Simple End to End.png

يقوم المستخدم، في الجهة اليسرى من الشكل، بإرسال رسالة إلى صديقته من تطبيق WhatsApp على هاتفه الذكي المتصل بشبكة الواي فاي Wifi في منزله، تمر الرسالة عبر الراوتر إلى مزود خدمة الانترنت، شركة فودافون في مثالنا، ليقوم مزود خدمة الانترنت بتوجيه الرسالة عبر شبكات الاتصالات المتوفرة إلى مخدمات المنصة أو مراكز بيانات المنصة، في مثالنا WhatsApp، التي تقوم بدورها بتوجيه الرسالة عبر شبكات الاتصال المتوفرة إلى مزود خدمة الجوال والانترنت، في مثالنا شركة أورانج، الذي يقوم بإيصال الرسالة إلى الهاتف الذكي للجهة المستقبلة.

في هذا المخطط تبسيط كبير إذ أنه لا يوضح الشكل آلية إنشاء الاتصال، ودور مخدمات WhatsApp في بناء الاتصال، ولا يتطرق أيضا للطريقة التي تستطيع مزودات الخدمة WhatsApp من خلالها معرفة عنوان الجهة المستقبلة وحالة Status اتصال الجهة المستقبلة بالشبكة. كما أنه لا يتطرق لأي من عتاد وتقنيات الاتصال والبنية التحتية لأنظمة الاتصال التي تربط مزودات الخدمة ومراكز البيانات، ولا يتطرق أيضا لأي من السياسات المتعلقة بمزود خدمة الانترنت ولا السياسات المرتبطة بمنصة التواصل ودورة حياة البيانات. على الرغم من ذلك يفيد المخطط في إعطاء وصف عام للطريق الذي تنتقل عبره الرسائل وغيرها من البيانات بين مستخدمي منصة التواصل.

معايير الأمان عند اختيار منصات التواصل Selection Criteria of Secure Communication Platforms

هل يتم تشفير الرسائل عند إرسالها/استقبالها

يعتبر هذا المعيار من أهم المعايير التي نراعيها عند مقارنة منصات التواصل من ناحية ضمان المعلومات. فبدون تشفير Encryption البيانات المتبادلة بين المتراسلين سيتمكن كل من يتنصت على الاتصال أن يعاين محتوى البيانات سواء كانت رسائل أو مكالمات صوتية إلخ. فإن كان التواصل يتم عبر شبكة الإنترنت سيستطيع أي جهاز موجود بين الأطراف المتواصلة معاينة محتوى البيانات، بما في ذلك كل الأجهزة الأخرى الموجودة على الشبكات المحلية حيث تتصل الأطراف المتراسلة بالإنترنت، مزوّدو خدمة الإنترنت Internet Service Providers، وجميع الخادمات Servers على طريق البيانات إلى خادمات منصة التواصل على الإنترنت.

مثلا لا يتم تشفير رسائل البريد الالكتروني Email عند إرسالها باستخدام بروتوكول SMTP. كذلك هو الأمر عند قيام الجهة المستقبلة بفحص صندوق الرسائل الواردة Inbox واسترداد الرسائل الجديدة من الصندوق باستخدام بروتوكول POP3 حيث لا يتم تشفير الرسائل بين صندوق الوارد الموجود على الإنترنت والجهاز. (هذه المشكلة تم تفاديها عند تطوير بروتوكولات POP3s وSMTPs التي تضيف التشفير إلى البروتوكولين POP3 وSMTP)

وفي حين يتم تشفير البيانات على منصات التواصل سيغنال Signal، واتس أب WhatsApp، واير Wire وثريما Threema لا يتم تشفير البيانات المتبادلة على منصة التواصل وي تشات WeChat المنتشرة في الصين.

هل التشفير المستخدم تشفير جيد

ليست خوارزميات وبروتوكولات التشفير سيان، نقول عن خوارزمية تشفير أنها جيدة عندما يكون من المحال الحصول على مفتاح فك التشفير في زمن معقول. وعندما لا يكون هناك ثغرات في بروتوكول التشفير تسمح بتجاوز التشفير أو بالحصول على مفتاح التشفير أو أي معلومات مفيدة عن البيانات المشفرة.

لذلك لا يكفي معرفة أن منصة ما تقوم بتشفير البيانات المتبادلة، وإنما ينبغي أيضا معرفة خوارزميات وبروتوكولات التشفير المستخدمة في جميع أجزاء منصة التواصل.

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل تشفير المحادثات هو الوضع الافتراضي على المنصة

ففي العديد من منصات التواصل يكون الوضع الافتراضي لإرسال الرسائل والتخابر (صوت وصورة) هو إرسالها بدون تشفير. وتتطلب جلسات المحادثة المشفرة أن يقوم المستخدم بتحديد الرغبة بالتشفير بشكل يدوي، كأن يقوم المستخدمون باختيار "محادثة مشفرة" ما يعني ان أغلب المستخدمين غير الخبراء أو غير الملتزمين سيقومون بالتواصل عبر الوضع الافتراضي غير المشفر على تلك المنصة. لذلك يعتبر أن يكون وضع التشفير هو الوضع الافتراضي على منصة التواصل معيارا هاما يجب أخذه بعين الاعتبار.

من بين الخدمات التي تقدم التشفير كخيار إضافي:

هل يستطيع مزود خدمة التواصل قراءة الرسائل

تختلف منصات التواصل فيما بينها في إذا كان بإمكان مزود خدمة قراءة الرسائل المتبادلة من عدمه. فإن كانت المنصة لا تدعم التشفير أبدا فذلك يعني قدرة مزود الخدمة قراءة الرسائل.

أما بالنسبة لمنصات التواصل التي تقوم بتشفير الرسائل فهناك نوعات أساسيان لبروتوكولات التشفير

  • الأول يسمى Client-Server Encryption ونسميه تشفير طرف إلى مركز حيث يتم تشفير البيانات بين تطبيق المستخدمين من جهة وخوادم منصة التواصل من جهة أخرى. أي عندما تتصل رباب بباسل على منصة مثل فيسبوك ميسينجر Facebook Messenger، يكون الاتصال بين جهاز باسل وخوادم شركة فيسبوك Facebook مشفرا، وكذلك الاتصال بين خوادم شركة Facebook وجهاز رباب، لكن على خوادم شركة يكون محتوى المكالمة أو محتوى الرسائل غير مشفرا. بكلمات آخرى، يقوم التطبيق بتشفير الرسالة على جهاز باسل وإرسالها إلى خادم Facebook حيث يتم فك تشفيرها، ثم تشفيرها من جديد من قبل الخادم قبل إرسالها إلى رباب حيث يقوم الأخير بفك تشفير الرسالة وإتاحتها لرباب. هنا نقول أن الرسال ترسل بشكل مشفر، لكن للمنصة القدرة على معاينة الرسائل.

Client Server Encryption.png

  • وبالنسبة لتشفير طرف إلى طرف End-to-End Encryption يكون الاتصال بين المستخدمين مشفرا بالكامل. فإن أراد باسل إرسال رسالة إلى رباب عبر تطبيق سيغنال Signal، يتم تشفير الرسالة على جهاز باسل، ويتم إرسالها إلى خادم المنصة، الذي يقوم بتمريرها كما هي إلى جهاز رباب. هنا لا يستطيع أحد سوى جهاز رباب فك تشفير الرسالة، بما في ذلك خوادم المنصة.

End-to-End Encryption.png

هل يمكن التحقق من هوية الطرف الآخر في المحادثة

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل تبقى الرسائل التي تم تبادلها سرية إن حصل تسريب لرموز تشفير المستخدمين

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل سطور برمجة الخدمة متاحة لمعاينتها من قبل أي جهة مستقلة عن مزود الخدمة

وهذا لا يعني بالضرورة أن تكون سطور البرمجة متاحة للعموم كما هو حال البرامج أوالبرمجيات مفتوحة المصدر Open Source، لكن متاحة لجهة مستقلة عن المطور يقوم المطور بالتعاقد معها لمعاينة سطور البرمجة غير المتاحة عادة على العموم.

بالطبع تتفوق المنصات التي تفتح مصدر التطبيق الخاص بالجهاز الذكي كـ تيليغرام Telegram على تلك التي تبقي المصدر مغلقا كتطبيق واتس أب WhatsApp. كما تتفوق المنصات التي تفتح مصدر الخادم كـ سيغنال Signal على تلك التي تبقيه مغلقا كـ تيليغرام Telegram. وتتفوق المنصات التي تفتح كامل مصدرها مثل سيغنال Signal على تلك التي تبقي جزءا منه مغلقا مثل تيليغرام Telegram

هل هناك توثيق جيد لتصميم وميزات الأمان التي تستخدمها الخدمة

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل تم إجراء تدقيق لأمان المنصة من قبل طرف محايد مؤخرا

سواء كانت سطور البرمجة الخاصة بمنصة مفتوحة المصدر أو مغلقة المصدر فإنه من الضروري أن تخضع منصة التواصل بكل أجزائها الوظيفية إلى المعاينة والتدقيق للتأكد من سلامة تطبيق المعايير والخوارزميات الخاصة بعمل المنصة، وللتأكد من الالتزام بمعايير الأمان الخاصة بأجزاء المنصة المختلفة.

التدقيق أمر ضروري في المنصات مفتوحة المصر، إذ أن الجهة المدققة تقوم بالتدقيق بشكل منهجي يضمن عدم نسيان جانب أو آخر في تصميم، أو تطبيق خوازرميات الاتصال وآلياته وأدواته. وهو بذلك يضمن حصول مراجهة موضوعية لسطور البرمجة، ما قد تفتقده البرامج مفتوحة المصدر.

أما بالنسبة للمنصات مغلقة المصدر، فإن إجاء المراجعة من قبل طرف محايد أمر فائق الأهمية، فهي الطريقة الوحيدة التي يمكن بها لمستخدمي المنصة، معرفة ما إذا كانت المنصة تطبق ما تدعيه مواقعها ومؤلفاتها وإعلاناتها، بأمانة وبالشكل الصحيح والتأكد من إجراءات الأمان الخاصة بكامل أجزاء المنصة.

يشترط في التدقيق أن يتم من قبل طرف محايد يتم التعاقد معه لإجراء التدقيق لضمان أن يكون التدقيق موضوعيا.

مكان تواجد الخوادم

يحدد مكان تواجد المخدمات ما إذا كانت السلطات المتواجدة، أو جهات أخرى، قادرة على الوصول إلى الخوادم أو قادرة على إجبار المشغلين بتوفير الوصول إلى الخوادم. إن كانت الخوادم موجودة في دولة فيها سلطة قانون، وكان القانون يمنع السلطات من تفتيش أو مصادرة الخوادم بدون أمر قضائي فهذا أفضل من أن تكون الخوادم في دولة يحق فيها للسلطات أو النافذين بالوصول للخوادم ومصادرتها أو العبث بها.

لسلطة أي قانون يخضع مزود الخدمة

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل تدعم الخدمة ميزة التدمير التلقائي للرسائل

ميزة التدمير التلقائي للرسائل تتيح للمتراسلين تحديد فترة زمنية تمسح بعدها الرسالة من على تطبيق المستخدمين دون أن تترك أي أثر ودون إمكانية استردادها. تختلف المنصات في طريقة تطبيق الميزة فبعضها تبدأ بتسجيل الوقت منذ لحظة إرسالها، وغيرها من المنصات تبدأ بتسجيل الوقت بعد أول معاينة للرسالة من قبل المستقبل.

من المنصات التي تدعم ميزة التدمير التلقائي للرسائل، سيغنال Signal، تيليغرام Telegram وتطبيق واير Wire وأيضا سايلنت سيركل Silent Circle.

هل من الممكن استضافة الخدمة على مخدمات خاصة

كما ذكرنا في المقدة تتكون منصات التواصل بالإضافة للتطبيق على الهاتف الذكي أو الحاسب، من عدة مكونات مثل، تستطيع الجهة التي تدير الخدمة استغلال مكانها في منظومة الاتصال. فمثلا وببساطة شديدة تستطيع الجهة التي تدير منصة التواصل إيقاف الخدمة، أو حرمان أحد المستخدمين من الخدمة، أو تحديد عدد المتصلين بالخدمة. كما تستطيع الاحتفاظ ببيانات وصفية MetaData عن الاتصالات التي تجري عبر المنصة.

لذلك إن أتاحت منصة التواصل إمكانية استضافة الخدمة على مخدمات خاصة تديرها الجهة الراغبة باستخدام المنصة، فإن ذلك يقي من أي إساءة محتملة من قبل مديري الخدمة. لكن ذلك يضع أعباءإضافية إدارية وأمنية وربما قانونية على مدراء المخدم الخاص.

منصة جيتسي Jitsi من المنصات التي تدعم استضافة الخدمة على مخدمات خاصة.

هل يقوم مزود خدمة التواصل بتخزين البيانات الوصفية Meta-Data

لائحة بالبيانات الوصفية الهامة:

  • توقيت تواجد المستخدم بحالة Online
  • من تواصل معك ومتى وكيف (رسائل نصية، صوتية فيديو، رسائل تحتوي صور أو ملفات، أو اتصال صوتي حي، اتصال فيديو)
  • مع من تواصلت ومتى وكيف (رسائل نصية، صوتية فيديو، رسائل تحتوي صور أو ملفات، أو اتصال صوتي حي، اتصال فيديو)
  • تاريخ التعديل على حالة المستخدم Status
  • تاريخ تغيير صورة المستخدم
  • قائمة الاتصال Contacts list
  • نوع الجهاز
  • اسم الحساب وأي تعديل طرأ على اسم الحساب
  • لائحة بأسماء المجموعات وتاريخ إنشاءها أو الإضافة إليها وحسابات بقية الأعضاء في المجموعات
  • متى عاين المستخدم التطبيق ومدة المعاينة

هل يقوم مزود الخدمة بتخزين الرسائل سواء مشفرة كانت أم لا

يستطيع مزود خدمة التواصل أو مدراء منصات التواصل، تخزين الرسائل المتبادلة عبر المنصة، بالشكل الذي تصل فيه للمنصة. وفي كثير من الأحيان تفرض القوانين الناظمة لتقديم هذه الخدمات على مزودي هذه الخدمات تخزين الرسائل سواء كانت مشفرة أم لا لعدد ما من الأسابيع أو الشهور.

في حال كان باستطاعة مزود الخدمة معاينة محتوى الرسائل، أي في حال كانت المنصة لا تستخدم تشفير طرف إلى طرف End-to-End Encryption، وفي حال قام مزود الخدمة بتخزين الرسائل، فإن إمكانية انكشافها عالية، سواء للسلطات التي تستطيع فرض سلطة القانون لمعاينة الرسائل، أو في حال تسرب الرسائل أو اختراق مخدمات الشركة المزودة للخدمة.

أما في حال كانت المنصة تستخدم تشفير طرف إلى طرف End-to-End Encryption فقد لا تبدو أهمية هذه النقطة فالرسائل وإن وصلت ليد جهة أخرى فهي مشفرة وإن كانت التشفير جيدا، فكسر التشفير سيتطلب وقتا زمينا و/أو مواردا كبيرة. لكن هذا قد لا يكون صحيحا في المستقبل، فقد تتوفر في المستقبل التقنيات اللازمة لكسر تشفير الرسائل في يومنا هذا. بالتالي قد يكون من المفيد لهذه الجهات، والتي تعزف على الوتر الطويل، تخزين هذه الرسائل المشفرة العصية في يومنا هذا بهدف كسر تشفيرها في المستقبل باستخدم تقنيات المستقبل. أو قد تتوفر لسبب أو لآخر في المستقبل مفاتيح التشفير، كأن تحصل الجهات الأمنية عليها من الشركة التي تدير المنصة، أو كان تحصل جهات عليها بشكل خبيث.

هل تقوم بالبرامج بتخزين الرسائل على الجهاز بشكل مشفر

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل يقوم مزود الخدمة بالحصول على بيانات نقاط الاتصال

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل يقوم يقوم البرنامج بالاستماع سرا لما يقال على الميكروفون

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

ما هي الصلاحيات التي يطلبها البرنامج ليعمل على الهاتف الذكي

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل يدعم البرنامج ميزة التحقق بخطوتين

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

مشكلة الـ SIM Swapping

هل تعتمد الخدمة على أرقام هواتف المستخدمين

تعتمد العديد من منصات التواصل على إرسال رسالة SMS إلى هاتف المستخدمين لتعريفهم وتسجيلهم في الخدمة مثال ذلك واتس أب WhatsApp وسيغنال Signal. في ذلك عدد من المشاكل. أولها هو اعتماد المستخدمين على وصول رسالة الـ SMS من مزود الخدمة الذي قد لا يكون متاحا لأسباب سياسية أو بسبب عقوبات دولية كما هو الحال في سوريا عند كتابة هذه الفقرة في الـ 2020. كذلك يتيح استخدام الـ SMS لتعريف المستخدم إمكانية "خطف" الحساب من قبل جهات مسيئة عبر تحضير بطاقة SIM مطابقة لبطاقة SIM الخاصة بالمستخدم واستخدامها لاستقبال رسالة SMS الخاصة بتعريف المستخدم. كما أن اضطرار المستخدمين لوضع رقم هاتفهم لاستخدام المنصة يعني بالضرورة خسارة المجهولية لصالح المنصة. وقد تفرض المنصة على المستخدمين مشاركة رقهم هاتفهم مع آخرين عند تواجدهم ضمن مجموعة على المنصة وفي هذا خسارة لخصوصيتهم لصالح الموجودين ضمن المجموعة. وفي النهاية نذكر أن ربط الهاتف برقم هاتف معين قد يعني خسارة الحساب في حال خسارة الرقم (بسبب ضياع الهاتف، أو الانتقال لبلد آخر).

في المقابل تتفوق المنصات التي لا تطلب من المستخدمين بالضرورة وجود رقم هاتف للتسجيل على المنصة واستخدامها مثل واير Wire لأنها تقدم بذلك مستوىً عالٍ من الخصوصية ولا تعرض المستخدمين للمشاكل المذكورة آنفا.

هل تدعم الخدمة إرسال رسائل الصوت والصور والأفلام

قد توفر منصة التواصل العديد من الميزات المناسبة للمستخدمين من ناحية الأمان، لكن قد لا يكون هذا مناسبا للغرض المرجو من منصة التواصل. فقد يكون من الضروري لغرض التواصل إرسال ملفات الصوت أو الصور أو الأفلام. فمثلا، من الضروري للصحفيين وللمراسلين وللمصورين أن يقوموا بإرسال الصور والأفلام والمقاطع الصوتية إلى زملائهم في مكتب الصحيفة أو في مكتب المؤسسة الإعلامية. وبالتالي فعندما ترغب المؤسسة الإعلامية اختيار وسيلة تواصل آمنة عليها أن تقوم بإضافة هذا المعيار إلى لائحة المعايير التي يجب آخذها بعيد الإعتبار عند القيام باختيار منصة التواصل الآمنة.

هل تدعم الخدمة إرسال واستقبال الملفات من أي نوع كان

تدعم عدد من المنصات إرسال الملفات مهما كان نوعها عبر المنصة. مثلا يمكنكم إرسال أي ملف تريدونه من هاتفكم الذكي عبر تطبيق WhatsApp إلى الجهة المستقبلة. قد تكون هذه ميزة ضرورية لغرض العمل ضمن المؤسسة مثلا. لكن في الوقت نفسه يرافق هذه الميزة خطر استقبال ملفات خبيثة عبر منصة التواصل، مثلا قد يقوم أحد المهاجمين بإرسال ملف خبيث ضمن مجموعة WhatsApp، ما يعرض جميع الموجودين في المجموعة لخطر فتح الملف والإصابة عبر الملف الخبيث وهو أمر نراه بكثرة على مختلف منصات التواصل التي تدعم الميزة.

هل يمكن تمويه الصوت عند إرسال الرسائل الصوتية

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل يتيح البرنامج إرسال الرسوم

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل هناك إمكانية لحذف الرسائل على جهاز الجهة المرسلة

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل هناك إمكانية لحذف الرسائل عن بعد من على جهاز الجهة المستقبلة

من منّا لم يقم بإرسال رسالة لجهة ما لم يندم بعدها متمنيا لو كان بالإمكان حذف تلك الرسالة؟ لكن الأسوأ من ذلك هو أن تصل رسالة هامة تحتوي معلومات قيمة وسرية إلى الجهة الخطأ. تتيح بعض منصات التواصل إمكانية حذف الرسالة عن بعد على جهاز الجهة المستقبلة. من هذه المنصات، منصة واير Wire، واتس أب WhatsApp وتليغرام Telegram. لكن هذه المنصات تختلف فيما بينها حيث تتيح بعضها إمكانية حذف إي رسالة سبق إرسالها إلى جهة ما مثل واير Wire، بينما لا تتيح أخرى مثل WhatsApp إلا حذف الرسائل التي تم إرسالها في غضون الدقائق القليلة الفائتة. لذلك يجب أخذ هذه النقطة أيضا بعين الإعتبار عند مقارنة المنصات.

هل تسرب الخدمة عناوين الآي بي IP Addresses الخاصة بالمستخدمين

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل هناك إمكانية لحذف الحساب نهائيا من الجهاز ومن مزود الخدمة

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

هل من الممكن منع التنبيهات من الظهور على شاشة الهاتف الذكي عندما تكون الشاشة بوضعية القفل

عند استخدام التطبيق الخاص بالمنصة على الأجهزة الذكية كالهواتف، تتيح أغلب هذه التطبيقات تنبيه المستخدم عند وصول الرسائل الجديدة، وتتيح هذه التطبيقات عادة معاينة الرسائل ضمن التنبيهات بدون الحاجة لفتح قفل الهاتف، وفتح التطبيق ما قد يشكل تهديدا أمنيا.

فلنفترض أن الجهاز قد صودر أو سرق وهو في وضع القفل، وأن الهاتف كان في حالة العمل والاتصال بشبكة 4G عند سرقته ولكنه كان مقفولا. في هذه الحالة يكفي للجهة السارقة إبقاء بطارية الهاتف مشحونة لقراءة الرسائل التي تصل الجهاز عبر معاينة تنبيهات التطبيقات. ولا تحتاج لفعل ذلك لفتح قفل الجهاز.

تتيح أغلب التطبيقات الجيدة إمكانية عدم إظهار الرسائل أو أسماء أصحاب الرسائل ضمن التنبيهات طالما كان الهاتف في وضعية القفل. فإن كانت هذه الميزة مهمة من وجهة نظر المستخدم أو المؤسسة فينبغي أخذها بعين الاعتبار عند اختيار التطبيق والمنصة المناسبتين للتواصل من ناحية الأمان.

هل تتيح المنصة إنشاء المجموعات الخاصة

قد يكون إنشاء مجموعات خاصة للتواصل بين ثلاثة أشخاص أو أكثر ميزة هامة في منصة التواصل. تقدم أغلب منصات التواصل هذه الميزة لكن عددا منها لا يتيح هذه الميزة. لذلك يجب أخذ هذه الميزة كمعيار عند اختيار منصة التواصل المناسبة إن كان وجود مجموعات خاصة على منصة التواصل ميزة ضرورية.

هل تتيح المنصة إمكانية إدارة المجموعات

تتيح الكثير من برامج التواصل إمكانية إنشاء مجموعة للتواصل، كما هو الحال في WhatsApp أو Signal أو Wire وغيرها. لكن العديد من هذه التطبيقات لا تتيح إمكانية إدارة المجموعة من قبل أحد أعضائها.

فمثلا على Signal وبعد إنشاء المجموعة، لا يمكن لأحد إخراج أي عضو ضمن هذه المجموعة، كما يمكن لأي عضو ضمن المجموعة إضافة أعضاء آخرين دون العودة لبقية الموجودين ضمن المجموعة، ما قد يخلق عددا من المشاكل الاجرائية وما قد يشكل مصدرا من مصادر التهديد.

لذلك تختلف المنصات فيما بينها أيضا من ناحية إتاحة إمكانية إدارة المجموعات لمستخدمي المجموعات على المنصة.

فمثلا تتيح منصة Wire إنشاء المجموعات وتتيح أيضا لخالق المجموعة التحكم بعضوية المجموعة إي إخراج الأعضاء أو إضافة أعضاء جدد. كما تتيح لمدير المجموعة حذف جميع الرسائل المتبادلة وحذف المجموعة من أساسها.

هل يستطيع الأعضاء الجدد في مجموعة معاينة سجل المحادثات قبل دخولهم

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

مقارنة بين منصات التواصل

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

تحديد المعايير المهمة لنموذج التهديد

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

المقارنة النوعية لمنصات التواصل

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

المقارنة الكمية لمنصات التواصل

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

فقرات عن برامج التواصل واسعة الانتشار

Wire app logo.png واير Wire

Signal Logo iOS.jpg سيغنال Signal

Whatsapp.jpg واتس أب WhatsApp

Jitsi.org logo mono.png جيتسي ميت Jitsi Meet

Jitsi logo 128x191.png جيتسي Jitsi

Cryptocat logo.png كريبتوكات Cryptocat

Telegram logo.svg.png تيليغرام Telegram

Meet google logo.png غوغل ميت Google Meet

Hangouts-Logo.png هانغ أوت Hangout

Facebook messenger logo.png فيسبوك ميسينجر Facebook Messenger

VIBER LOGO.png فايبر Viber

Skype-Logo-2-psd41457.png سكايب Skype

Zoom Icon Logo.png زوم Zoom

Discord Icon Logo.png ديسكورد Discord

WebEx Icon Logo.png ويب إكس WebEx

تنقّل في الكتيب eBook Navigation

خدمات الانترنت Internet Services

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

نموذج التهديد Threat Model

بدائل مفتوحة المصدر Open Source Alternatives

تشفير طرف إلى طرف End-to-End Encryption

مراجع References

Digital Communications Protocols Google Spreadsheet

مقارنة تقنية بسيطة بين منصات التواصل من ناحية الأمان تأخذ المعايير الأساسية المتعلقة بالأمن الرقمي https://www.securemessagingapps.com/

مقارنة بين منصات التواصل على موقع ويكيبيديا بالانجليزية

مجلوبة من "https://salamatechwiki.org/index.php?title=منصات_التواصل_Communication_Platforms&oldid=14807"