نظرة تأمل | تشفير الواتساب الجديد بين الحقيقة والزيف!

فوجئنا قبل أيام بإعلان العديد من المواقع التقنية الشهيرة عن تشفير جديد لتطبيق الواتساب “التابع للفيسبوك” بالتعاون مع خبير في التشفير وهو “موكسي” صاحب شركة Whisper Systems حيث تمت إضافة تشفير عالي وهو End-To-End Encryption للواتساب مما يجعل من الإستحالة على الحكومات وشركات الإتصالات ووكالات الإستخبارات ومنهم الفيسبوك التجسس عليه أو مراقبة محتوياته إذا تم تطبيقه بالشكل الصحيح!

ولأننا لسنا فقط ناقلين للأخبار ونعيد ما يتم نشره في المواقع العالمية، ولكنا خبراء ومتخصصين في الأمن الإلكتروني فيجب علينا النظر للموضوع من كل الجوانب وهذه بعض النقاط والتساؤلات التي نوردها في هذا الشأن:-

1- شركة الفيسبوك ذات التاريخ الأسود في إنتهاك الخصوصيات وإستغلال معلومات وبيانات المستخدمين سواء للجهات الدعائية أو الإستخباراتية، حتى أنها توفر بوابة خاصة Portals للشركات الدعائية وأيضا للجهات القضائية وقوى تنفيذ القانون LE قابلة للبحث وإعداد التقارير عن المستخدمين، هذه الشركة الآن هي التي تريد تشفير الواتساب بطريقة تمنع فيها نفسها وشركائها في التجسس من التجسس!!

2- إشترت فيسبوك برنامج واتساب بمبلغ 19 مليار دولار! وهو مبلغ ضخم فقط لما يحتوي الواتساب من قاعدة بيانات كبيرة تعدت 600 مليون مستخدم، بياناتهم المتناقلة بالتطبيق هو الوجبة الرئيسية للصفقة، كما اشترى سابقاً تطبيق “الإنستغرام” لما له من قاعدة مستخدمين يرفعون “مليار صورة يوميا” وللحصول بشكل أكبر على معلومات حول الفسيبوك وصفقته مع الواتساب راجع مقالنا التالي : بين الحقيقة والإشاعة | سؤال لكل جواب حول الصفقة بين الفيسبوك والواتساب! ماذا علينا أن نخشى ولماذا علينا أن نقلق !!

3- عند النظر في موقع الواتساب وحسابهم في تويتر لم أجد اي مقال أو تعليق على خبر التشفير أصلاً !! فقط كلام لشركة Whisper Systems الخاصة بـ “موكسي” والذي إدعى أن التشفير تم تطبيقه والعمل به في الأندرويد ومفعل في ملايين الأجهزة الآن !! رغم عدم وجود تحديث أو حتى بيان “Statement” من شركة الواتساب او الفيسبوك ولا حتى Release Notes في متجر الآندرويد يتعلق بخبر التشفير!

4- يعتبر التشفير End-To-End Encryption من أفضل أنواع التشفير إذا تم تطبيقه بالشكل الصحيح وكان المقصود بالـ End هو المستخدم وليس الشركة! بمعنى EndUser-To-EndUser Encryption وهو ليس إدعاء ولايتم بشكل خفي أصلاً!! لأنه يعتمد على مفاتيح التشفير الـ Encryption Keys والتي يجب أن تصدر Generating Keys وتخزن Stored في جهاز المستخدم فقط! وليس عند الشركة ,يتم تغيير مفتاح التشفير مع كل محادثة وتكون للمستخدم القدرة على مقارنتها مع الطرف الآخر Key Verification ليتأكد من عدم تغير مفتاح التشفير أثناء المحادثة مع الطرف الآخر وذلك للتأكد من عدم قيام جهة خارجية بإعتراض المحادثة بما يتسبب بتغير الـKey.

5- يجب على الواتساب أن يوضح بشكل كامل طريقة عمل التشفير ونوعيته وطريقة تبادل مفاتيح التشفير وطولها ونوعها وأن يكون ذلك كله مشروح تقنياً وDocumented لكي يفهم المتخصصون ماذا يجري أصلاً!! كما يجب أن ينشر طريقة الـ Security Design للتطبيق وللتشفير، و طريقة الـ Implementation الخاصة به، أو جعل كل ما سبق مفتوح المصدر Open Source ليتم فحصه والتأكد حتى لو بشكل محدود للخبراء فقط.

6- مجرد نشر خبر التشفير بهذه الطريقة لايعطي للأمر أي أهمية عند المتخصصين! حتى لو نشرها “موكسي” فهو لم يفصل شيئاً أيضاً، خاصة أن “موكسي” قال أن التشفير تم تطبيقه على ملايين من أجهزة الأندرويد الآن في المحادثات العادية فقط، أي أنه يقوم بتشفير “للمحادثات الكتابية فقط” دون الصور والروابط والمحادثات الصوتية وبقية الأمور.

لماذا نشر الواتساب خبر التشفير بهذه الطريقة العشوائية وبدون أي أدلة !!

نشرت منظمة الحدود الإلكترونية EFF المختصة بالدفاع عن الخصوصية والحقوق الإلكترونية قبل أيام أفضل التطبيقات الآمنة للتواصل بين المستخدمين، حيث حصل فيها الواتساب على “أدنى” درجات التقييم، من حيث الخصوصية والتشفير والأمان مما أثر في سمعة التطبيق بشكل كبير، خاصة أن لمنظمة الـ EFF جمهور عريض بكافة الشرائح.

قيام الواتساب في التحديث السابق بعمل خاصية أزعجت ملايين المستخدمين وهي خاصية مشاهدة تفاصيل من شاهد محادثتك حتى في المجموعات وبأي وقت وساعة وتاريخ! مما اعتبره الناس إنتهاك جديد للخصوصية، فأدرك الواتساب نفسه وقام بتحديث آخر ليمكن المستخدم من التعديل عليها أو تعطيلها.

هذه بعض الأسباب من الممكن أنها جعلت الواتساب يظهر التشفير بهذه الطريقة ويضعه في وجه “موكسي” حتى يرقع ما فعله سابقاً وينساه الناس ويركزون على التشفير الجديد “إن صح” !!

شركة الواتساب تسرق أفكار شركة Telegram وتغري موظفيها لكي يتركوا Telegram وينضموا لها !!

نشر “بافل دايوروف” الرئيس التنفيذي لشركة Telegram الشهيرة والتي تقدم تطبيقها الآمن المشفر مفتوح المصدر في مقال له، أن “جان كوم” الرئيس التنفيذي لشركة الواتساب وعضو مجلس إدارة الفيسبوك، قام بمراسلة مطوري تيليجرام من أجل اغرائهم للخروج والعمل معه وخاصة مطوري نسخة الوب Telegram، وذكر أن الواتساب يقوم حاليا بتطوير المحادثات عن طريق الـ”وب” من خلال ” http://web.whatsApp.com على غرار المحادثات بالـ”وب” الخاصة بالتلجرام https://web.telegram.org كما قاموا بسرقة أغلب أفكار Telegram ولكنهم تورطوا بموضوع التشفير حيث أن تطبيق Telegram يعتمد على بروتوكول تشفير خاص طوره “نيكولاي دايروف” عالم الرياضيات بإسم MTProto .. بينما يعتمد الواتساب على بروتوكول التواصل العادي XMPP.

ماذا نفعل الآن! أين الحقيقة ؟

خطوة إستعانة الواتساب بــ “موكسي” وتبني التشفير وحماية الخصوصية خطوة جيدة نرحب بها، ولكن يجب ان تكون واضحة عملياً وتقنياً، وإلا فإن الوثوق في الفيسبوك أمر لا يمكن قبولة بشكل سريع.

فإن صح الخبر وكان التطبيق صحيحاً، يكون بشرى لـ600 مليون مستخدم وخبر سيء لكل أجهزة الأمن بالعالم.

فيجب علينا الإنتظار حتى تكتمل الصورة وتتضح لنا بشكل حقيقي ونقوم بفحص التطبيق والتأكد منه .. حتى تلك اللحظة ننصح بإستخدام تطبيقات آمنه ومشفرة منها Threema و Wickr و Telegram وغيرهم مما يمكنكم مراجعتهم في مقالنا السابق بعنوان :

عدة الأمن الإلكتروني للنشطاء والإعلاميين والعاملين بمنظمات حقوق الإنسان