نظرة تأمل | تشفير الواتساب الجديد بين الحقيقة والزيف!

facebook_whatspp-680x400

فوجئنا قبل أيام بإعلان العديد من المواقع التقنية الشهيرة عن تشفير جديد لتطبيق الواتساب “التابع للفيسبوك” بالتعاون مع خبير في التشفير وهو “موكسي” صاحب شركة Whisper Systems حيث تمت إضافة تشفير عالي وهو End-To-End Encryption للواتساب مما يجعل من الإستحالة على الحكومات وشركات الإتصالات ووكالات الإستخبارات ومنهم الفيسبوك التجسس عليه أو مراقبة محتوياته إذا تم تطبيقه بالشكل الصحيح!

ولأننا لسنا فقط ناقلين للأخبار ونعيد ما يتم نشره في المواقع العالمية، ولكنا خبراء ومتخصصين في الأمن الإلكتروني فيجب علينا النظر للموضوع من كل الجوانب وهذه بعض النقاط والتساؤلات التي نوردها في هذا الشأن:-

1- شركة الفيسبوك ذات التاريخ الأسود في إنتهاك الخصوصيات وإستغلال معلومات وبيانات المستخدمين سواء للجهات الدعائية أو الإستخباراتية، حتى أنها توفر بوابة خاصة Portals للشركات الدعائية وأيضا للجهات القضائية وقوى تنفيذ القانون LE قابلة للبحث وإعداد التقارير عن المستخدمين، هذه الشركة الآن هي التي تريد تشفير الواتساب بطريقة تمنع فيها نفسها وشركائها في التجسس من التجسس!!

2- إشترت فيسبوك برنامج واتساب بمبلغ 19 مليار دولار! وهو مبلغ ضخم فقط لما يحتوي الواتساب من قاعدة بيانات كبيرة تعدت 600 مليون مستخدم، بياناتهم المتناقلة بالتطبيق هو الوجبة الرئيسية للصفقة، كما اشترى سابقاً تطبيق “الإنستغرام” لما له من قاعدة مستخدمين يرفعون “مليار صورة يوميا” وللحصول بشكل أكبر على معلومات حول الفسيبوك وصفقته مع الواتساب راجع مقالنا التالي : بين الحقيقة والإشاعة | سؤال لكل جواب حول الصفقة بين الفيسبوك والواتساب! ماذا علينا أن نخشى ولماذا علينا أن نقلق !!

3- عند النظر في موقع الواتساب وحسابهم في تويتر لم أجد اي مقال أو تعليق على خبر التشفير أصلاً !! فقط كلام لشركة Whisper Systems الخاصة بـ “موكسي” والذي إدعى أن التشفير تم تطبيقه والعمل به في الأندرويد ومفعل في ملايين الأجهزة الآن !! رغم عدم وجود تحديث أو حتى بيان “Statement” من شركة الواتساب او الفيسبوك ولا حتى Release Notes في متجر الآندرويد يتعلق بخبر التشفير!

4- يعتبر التشفير End-To-End Encryption من أفضل أنواع التشفير إذا تم تطبيقه بالشكل الصحيح وكان المقصود بالـ End هو المستخدم وليس الشركة! بمعنى EndUser-To-EndUser Encryption وهو ليس إدعاء ولايتم بشكل خفي أصلاً!! لأنه يعتمد على مفاتيح التشفير الـ Encryption Keys والتي يجب أن تصدر Generating Keys وتخزن Stored في جهاز المستخدم فقط! وليس عند الشركة ,يتم تغيير مفتاح التشفير مع كل محادثة وتكون للمستخدم القدرة على مقارنتها مع الطرف الآخر Key Verification ليتأكد من عدم تغير مفتاح التشفير أثناء المحادثة مع الطرف الآخر وذلك للتأكد من عدم قيام جهة خارجية بإعتراض المحادثة بما يتسبب بتغير الـKey.

5- يجب على الواتساب أن يوضح بشكل كامل طريقة عمل التشفير ونوعيته وطريقة تبادل مفاتيح التشفير وطولها ونوعها وأن يكون ذلك كله مشروح تقنياً وDocumented لكي يفهم المتخصصون ماذا يجري أصلاً!! كما يجب أن ينشر طريقة الـ Security Design للتطبيق وللتشفير، و طريقة الـ Implementation الخاصة به، أو جعل كل ما سبق مفتوح المصدر Open Source ليتم فحصه والتأكد حتى لو بشكل محدود للخبراء فقط.

6- مجرد نشر خبر التشفير بهذه الطريقة لايعطي للأمر أي أهمية عند المتخصصين! حتى لو نشرها “موكسي” فهو لم يفصل شيئاً أيضاً، خاصة أن “موكسي” قال أن التشفير تم تطبيقه على ملايين من أجهزة الأندرويد الآن في المحادثات العادية فقط، أي أنه يقوم بتشفير “للمحادثات الكتابية فقط” دون الصور والروابط والمحادثات الصوتية وبقية الأمور.

لماذا نشر الواتساب خبر التشفير بهذه الطريقة العشوائية وبدون أي أدلة !!

نشرت منظمة الحدود الإلكترونية EFF المختصة بالدفاع عن الخصوصية والحقوق الإلكترونية قبل أيام أفضل التطبيقات الآمنة للتواصل بين المستخدمين، حيث حصل فيها الواتساب على “أدنى” درجات التقييم، من حيث الخصوصية والتشفير والأمان مما أثر في سمعة التطبيق بشكل كبير، خاصة أن لمنظمة الـ EFF جمهور عريض بكافة الشرائح.

قيام الواتساب في التحديث السابق بعمل خاصية أزعجت ملايين المستخدمين وهي خاصية مشاهدة تفاصيل من شاهد محادثتك حتى في المجموعات وبأي وقت وساعة وتاريخ! مما اعتبره الناس إنتهاك جديد للخصوصية، فأدرك الواتساب نفسه وقام بتحديث آخر ليمكن المستخدم من التعديل عليها أو تعطيلها.

هذه بعض الأسباب من الممكن أنها جعلت الواتساب يظهر التشفير بهذه الطريقة ويضعه في وجه “موكسي” حتى يرقع ما فعله سابقاً وينساه الناس ويركزون على التشفير الجديد “إن صح” !!

شركة الواتساب تسرق أفكار شركة Telegram وتغري موظفيها لكي يتركوا Telegram وينضموا لها !!

نشر “بافل دايوروف” الرئيس التنفيذي لشركة Telegram الشهيرة والتي تقدم تطبيقها الآمن المشفر مفتوح المصدر في مقال له، أن “جان كوم” الرئيس التنفيذي لشركة الواتساب وعضو مجلس إدارة الفيسبوك، قام بمراسلة مطوري تيليجرام من أجل اغرائهم للخروج والعمل معه وخاصة مطوري نسخة الوب Telegram، وذكر أن الواتساب يقوم حاليا بتطوير المحادثات عن طريق الـ”وب” من خلال ” http://web.whatsApp.com على غرار المحادثات بالـ”وب” الخاصة بالتلجرام https://web.telegram.org كما قاموا بسرقة أغلب أفكار Telegram ولكنهم تورطوا بموضوع التشفير حيث أن تطبيق Telegram يعتمد على بروتوكول تشفير خاص طوره “نيكولاي دايروف” عالم الرياضيات بإسم MTProto .. بينما يعتمد الواتساب على بروتوكول التواصل العادي XMPP.

ماذا نفعل الآن! أين الحقيقة ؟

خطوة إستعانة الواتساب بــ “موكسي” وتبني التشفير وحماية الخصوصية خطوة جيدة نرحب بها، ولكن يجب ان تكون واضحة عملياً وتقنياً، وإلا فإن الوثوق في الفيسبوك أمر لا يمكن قبولة بشكل سريع.

فإن صح الخبر وكان التطبيق صحيحاً، يكون بشرى لـ600 مليون مستخدم وخبر سيء لكل أجهزة الأمن بالعالم.

فيجب علينا الإنتظار حتى تكتمل الصورة وتتضح لنا بشكل حقيقي ونقوم بفحص التطبيق والتأكد منه .. حتى تلك اللحظة ننصح بإستخدام تطبيقات آمنه ومشفرة منها Threema و Wickr و Telegram وغيرهم مما يمكنكم مراجعتهم في مقالنا السابق بعنوان :

عدة الأمن الإلكتروني للنشطاء والإعلاميين والعاملين بمنظمات حقوق الإنسان

عن عبدالله العلي

الرئيس التنفيذي لشركة سايبركوف لتكنولوجيا المعلومات، مهندس ومحقق و خبير بأمن العلومات، مدافع عن الخصوصية الرقمية وحرية الإنترنت، ذو حس أمني أنظر للتقنية من زاوية مختلفة ،حاصل على العديد من الشهادات الدولية.

شاهد أيضاً

لقاء م. عبدالله العلي على قناة الجزيرة حول غسيل المعلومات وبيعها وإستغلال الفيسبوك لها!

لقاء م. عبدالله العلي على قناة الجزيرة حول غسيل المعلومات وبيعها وإستغلال الفيسبوك لها!

14 تعليق

  1. لم يقم الفيس بوك بشراء الوتس اب ب16 مليار دولار ليقوم بتشفيره في النهاية . سلمت اناملك اخي عبدالله

  2. لم يقم الفيس بوك بشراء الوتس اب ب16 مليار دولار ليقوم بتشفيره في النهاية . سلمت اناملك اخي عبدالله

  3. “تطبيق Telegram يعتمد على بروتوكول تشفير خاص طوره “نيكولاي دايروف” عالم الرياضيات بإسم MTProto .. بينما يعتمد الواتساب على بروتوكول التواصل العادي XMPP.”

    من أبجديات أمن المعلومات استخدام اللوغاريتمات المثبتة والـ Well documented.
    فما ذكرته هنا سلبية في وجه تيلغرام بدل أن تكون إيجابية. XMPP أثبت جدارته على مر السنين، وتم فحصه واختباره من خبراء الأمن والتشفير. فالتشفير الذي وصفته بـ”العادي” لأنه ليس روسي المنشأ، هو مصدر قوة لتشفير الواتساب -المزعوم-.

    لم توفق في ذلك الجزء، فانحيازك الروسي يطغى عليك أحيانا.

    عدا ذلك، فهو مقال واقعي أصاب مراده. وعلينا التريث قبل عده آمنا.

    أما بالنسبة لتصريحات الشركة الرسمية، فلربما أنها لم تصرح بعد بسبب عدم إكتمال المشروع؛ فأي كلمة “تشفير” تصدر منهم الآن ستوهم المستخدمين أن جميع ما في البرنامج.أصبح آمنا؛ فليس الجميع ممن يهتم بقراءة كل ما يكتب في الأخبار وليس الجميع ممن يعرف كيف يعمل التشفير أصلا. لربما أنها خطوة حكيمة من عدم الإعلان بعد، وسيتم الإعلان حال اكتمال المشروع.

    على كل، فهذا فيسبوك -كما تفضلت- فيستحيل أن أثق به، وإن طبق كل طرق التشفير، سأضع في حسباني أنه ترك backdoor له، أو أنه تمكن من كسر التشفير.

    • أولا المقال ليس للمقارنة بين تطبيق الواتساب والتيليجرام، ثم لا مقارنة بينهم فتيليجرام أكثر أمناً بكثير.

      ثانيا لا علاقة لروسيا في تقيمي للبرامج، وإلا فإن تطبيق تيليجرام وإن كان أصحابه روس، إلا أنهم هاجرو من روسيا وتركوا جنسيتها ومقر الشركة في المانيا\برلين الآن .. كما ان صاحب الواتساب أصلاً روسي “من الإتحاد السوفيتي” ولديه عدة لقاءات في مجلات روسية ،، وهو يهودي هاجر من اوكرانيا واستقر في الولايات المتحدة .. لذلك نقدك هنا ليس في محله.

      ثالثا: موضوع أستخدام بروتوكول مشهور ومشهود له على مر السنين أفضل من بروتوكول جديد قام بإنشاءه “نيكولاي دايرووف” فأنا معك في هذه النقطة بشكل عام وكلامك صحيح، ولكن هناك ايضا عدة أمور يجب إعتبارها منها:-

      1- بروتوكول Telegram المسمى MTProto مفتوح المصدر و Well documented وأيضا التطبيق نفسه مفتوح المصدر، أضف الي ذلك أن المطورين له اعطوه جائزة لمن يستطيع إيجاد الثغرات فيه، هذه كلها تعطي إنطباعا للثقة بشكل لا جدال فيه، خاصة أن “نيكولاي” مشهود له بعلم التشفير والرياضيات فقط حصل على 3 ميداليات ذهبية في “أولمبيات الرياضيات”

      2- الواتساب يستخدم بروتوكول FunXMPP وهو بروتوكول معدل من XMPP ولم يقومو بنشر تفاصيله وتطبيقهم أصلا مغلق المصدر، والثغرات فيه كثيرة منذ ظهر، كما انهم لا يقومون بعمل اي “بيان” للثغرات التي يتم إكتشافها بل يغلقونها بصمت، والآن بعد التشفير الجديد سيقومون بتغير البروتوكول المستخدم ليكون Axlotl وهو بروتوكل أنشاء موكسي أصلاً !!

      أما عدم نشر الشركة “الـ WhatsApp” للخبر الا لما يكتمل ! فلماذا نشر “موكسي” الخبر بهذه الطريقة والتي تناقلاتها كل وسائل الإعلام في العالم!! ولازالت شركة الـ WhatsApp وأمها Facebook صامته!! ومن المعلوم أن الشراكات بين الشركات أمر يخضع لإتفاقيات وNDA وليس بهذه الطريقة !!

      الا اذا كان “موكسي” دفش ويتحرك بشكل عشوائي كما كشف ما طلبت منه شركة موبايلي السعودية قبل سنتين اعتقد ..

      وشكرا على تعليك

  4. شكراً لك من الأعماق . . يا استاذ عبدالله

  5. كلام سليم 100%، ولابد في الموضوع إن، فكما أسلفت الفيسبوك ذو تاريخ أسود ولا يُعقل أن يشتري تطبيق ب19 مليار ثم يشفره بهاته الطريقة !

  6. مبدع أستاذ عبدالله بارك الله فيك ونفع بك…استمر

  7. احمد الحمادي

    لم يتم دفع هذه الأموال الكبيرة جدا والتي تفوق الخيال دون فائدة ليسو اغبياء ليدفعوا هذه الأموال دون سبب

  8. امي في الكترونيات

    هل يوجد تشفير حساب الفيس بوك وكيف ارجو رد وبارك الله فيك يا أستاذ عبدالله

  9. السلام عليكم
    جزاك اللت خيرة على هذه المواضيع الرائعة …
    لدي عدة استفسارات حول الامان في برنامج skype وبرنامج dropbox.
    ارجو افادتنا .
    ولك جزيل الشكر

  10. مرحبا اخي هل الوتساب يخترق لانو في احد اخترق الوتس تبعي وبعثلي المحادثات نص حرفي وانا ما اعطيت كودي لاحد ولا حتى جهازي تفسيرك للموضوع من وجهه نظرك وخبرتك الطويله وشكرا اخوي

  11. مع العلم ان جهازي سوني وخايف يكون مهكر عندك طريقه او رابط تأمين للجوال الله يجزيك الخير يارب

  12. الفيس بوك حاليا يسرق كل أفكار المنافسين ويرغب فى الإستحواذ على كل شىء

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *