المملكة المتحدة تُسقِط حُصون آبل المشفرة

مع تصاعد التهديدات السيبرانية وتزايد القلق بشأن الخصوصية، أصبح التشفير من طرف إلى طرف الملاذ الأخير لحماية بيانات المستخدمين من أي اختراق غير مرغوب فيه. ورغم ذلك، لا تتوقف الضغوط الحكومية عن محاولة فرض "أبواب خلفية" في أنظمة التشفير، تحت ذريعة تعزيز الأمن القومي ومكافحة الجريمة.

وفي هذا السياق، تشير تقارير إلى أن الحكومة البريطانية تسعى لإجبار آبل على فتح نسخة غير مشفرة من خدمة النسخ الاحتياطي في "آي كلاود" (iCloud)، وهي خطوة يراها الخبراء بمثابة  "باب خلفي" قد يفتح المجال أمام مخاطر واسعة النطاق.

وبينما ترى السلطات في ذلك أداة ضرورية لحماية الأمن، يحذر الخبراء من أن أي ثغرة تفتح عمدًا، مهما كان مبررها، قد تتحول إلى نقطة ضعف خطيرة تستغل بطرق لا يمكن التنبؤ بها.

آبل تحت الضغط.. معركة التشفير تتصاعد

تصاعد الجدل حول ثغرات الخدمات المشفرة بعد تقارير تفيد بأن الحكومة البريطانية تسعى لإجبار شركة آبل على فتح خدمة النسخ الاحتياطي المشفر بالكامل (End-to-End-Encryption – E2EE) في "آي كلاود" (iCloud).

وفي هذا السياق، ووفقا لتقرير نشرته رويترز، استجابت آبل لضغوط الحكومة البريطانية،  وأعلنت عن إزالة ميزة التشفير الأمني الأكثر تقدما للبيانات السحابية في المملكة المتحدة، وذلك استجابة لضغوط مسؤولي الأمن الذين طالبوا بإحداث "باب خلفي" يتيح لهم الوصول إلى جميع محتويات المستخدمين المشفرة.

إعلان

ويستند هذا الطلب إلى سلطات رقابية موسعة تتمتع بها المملكة المتحدة منذ تعديل قانون سلطات المراقبة الحكومية عام 2016.

وبحسب صحيفة واشنطن بوست، استخدم المسؤولون البريطانيون قانون سلطات التحقيق "آي بي إيه" (IPA) لمطالبة آبل بمنحهم وصولا شاملا إلى البيانات التي صمّمت خدمة حماية البيانات المتقدمة "إيه دي بي" (ADP) في "آي كلاود" (iCloud) خصيصا لمنع أي طرف ثالث، بما في ذلك آبل نفسها من الاطلاع عليها.

ورغم أن البنية التقنية لخدمة "إيه دي بي" (ADP) تعتمد على التشفير من الطرف إلى الطرف (E2EE)، مما يمنع آبل من الاحتفاظ بمفاتيح التشفير أو الوصول إلى بيانات المستخدمين، إلا أن القرار الأخير غير هذه المعادلة.

حيث أكدت الشركة أن ميزة حماية البيانات المتقدمة لم تعد متاحة للمستخدمين الجدد في المملكة المتحدة، بينما سيتلقى من يحاول تفعيلها رسالة خطإٍ. أما المستخدمون الحاليون، فسيتعيّن عليهم في النهاية تعطيل هذه الميزة الأمنية.

وبذلك، لن تحتوي النسخ الاحتياطية على "آي كلاود" (iCloud) في بريطانيا بعد الآن على مستوى التشفير العالي ذاته، ما يعني أن آبل ستتمكن من الوصول إلى بيانات المستخدمين في بعض الحالات التي كانت غير ممكنة سابقا.

ونتيجة لذلك، قد تصبح بيانات المستخدمين عند الطلب، مما يثير مخاوف متزايدة بشأن الخصوصية وأمن البيانات.

آبل أكدت أن ميزة حماية البيانات المتقدمة لم تعد متاحة للمستخدمين الجدد في المملكة المتحدة (رويترز) "الباب الخلفيّ".. مدخل سري يقوض الأمان

"الباب الخلفي" هو مصطلح يُستخدم لوصف ثغرة سرية تدرج في الشيفرة البرمجية لتجاوز أو تقويض تدابير الأمان، مما يسمح لأطراف ثالثة، مثل وكالات الاستخبارات أو سلطات إنفاذ القانون بالوصول إلى البيانات المشفرة. وفي حالة "آي كلاود" (iCloud)، يستخدم هذا الإجراء للوصول إلى بيانات المستخدمين في المملكة المتحدة.

إعلان

ورغم أن الحكومة البريطانية ترفض تأكيد أو نفي التقارير المتعلقة بالإشعارات الصادرة بموجب قانون صلاحيات التحقيق (IPA)، يحذر خبراء الأمن من تداعيات هذه الإجراءات على نطاق عالمي.

إذ إن أي ثغرة تفتح في البرمجيات، سواء كانت ناتجة عن ضغوط حكومية أو غيرها، تصبح عرضة للاستغلال من قبل أطراف متعددة، بما في ذلك الحكومات والقراصنة، مما يزيد من خطر تعرض بيانات المستخدمين للسرقة أو التلاعب.

فقد يستخدم هذا الباب الخلفي في سرقة الهوية، أو الوصول إلى بيانات حساسة وبيعها، أو حتى نشر برامج الفدية لتحقيق مكاسب غير مشروعة.

لهذا السبب، يتم تصوير محاولات الحكومات للوصول إلى التشفير من طرف إلى طرف (E2EE) على  أنها بمثابة فتح "باب خلفي"، حيث إن إدراج ثغرة عمدا في الشيفرة البرمجية يجعل الاتصالات المشفرة أقل خصوصية وأكثر عرضة للاختراق.

ولمزيد من التوضيح، يمكننا تشبيه ذلك بالأبواب الفيزيائية في المباني، حيث لا يوجد ضمان بأن الشخص الوحيد الذي يمتلك حق الدخول هو مالك العقار أو حامل المفتاح.

فبمجرد وجود فتحة، حتى لو كانت مخفية، تصبح إمكانية الوصول قائمة، إذ قد يحصل شخص غير مخوّل على نسخة من المفتاح، أو حتى يتمكن من اقتحام الباب بقوة.

وفي النهاية، لا يوجد باب يتيح المرور لشخص واحد فقط دون أن يتمكن آخرون من استخدامه بطريقة أو بأخرى. وهذا المبدأ ينطبق أيضا على الثغرات البرمجية والأجهزة، حيث إن أي منفذ سري يضاف، ولو بحجة الأمان، يظل بابا مفتوحا أمام من يسعى لاستغلاله.

"نو باس" (NOBUS).. هل توجد ثغرة خلفية آمنة حقا !

على الرغم من هذه المخاطر، لم تتوقف مساعي الحكومات نحو الأبواب الخلفية على مجرد الحصول على وسيلة للوصول إلى البيانات المشفرة، بل تعدت إلى رغبة في جعل هذه الثغرات حصرية لها وحدها.

في هذا السياق، ظهر مفهوم "نو باس – لا أحد سوى نحن" (Nobody-But-Us – NOBUS)، الذي ابتكرته جهات أمنية لتبرير وجود ثغرات خلفية لا يفترض أن يتمكن من استغلالها سوى طرف واحد فقط، بناء على قدراته التقنية المتفوقة. ولكن هل يمكن ضمان ذلك فعلا؟

إعلان

على مدار سنوات، اعتمدت بعض وكالات الأمن على هذا المفهوم عند تصميم الثغرات الخلفية، إذ تقوم فكرته الأساسية على أن امتلاك قدرة تقنية فائقة يمنح جهة معينة الحق في استغلال ثغرة ما دون أن يتمكن الآخرون من الاستفادة منها.

وبهذه الطريقة، يُنظر إلى هذه الثغرات على أنها توفر وصولا آمنا دون المساس بأمن المستخدمين الآخرين. لكن في الواقع، يواجه هذا الطرح انتقادات حادة من خبراء الأمن، إذ يعتمد على تقديرات غير دقيقة للقدرات التقنية للأطراف الأخرى، والتي قد تتغير مع الوقت.

فالتفوق التقني ليس ثابتا، مما يعني أن ثغرة يفترض أنها حصريّة اليوم قد تصبح متاحة لأطراف أخرى غدا، سواء كانوا حكومات أجنبية أو قراصنة إلكترونيين.

علاوة على ذلك، فإن مجرد وجود منفذ سري، حتى لو كان مخصصا لطرف واحد، يزيد من احتمالية استغلاله بطرق غير متوقعة، مثل استخدام تقنيات الهندسة الإجتماعية لاختراقِ الشخص المخوّل بالوصول إليه.

وليس مستغربا أن العديد من خبراء الأمن يعتبرون "نو باس" (NOBUS) فكرة معيبة من الأساس. لأنه ببساطة، أي وصول يخلق خطرا، لذلك، فإن الدفع نحو الثغرات الخلفية يتعارض مع الأمن القوي.

في حالة آبل، و"آي كلاود" ، يمنع قانون سلطات التحقيق في المملكة المتحدة الشركة قانونيا من الكشف عن أي طلب لاختراق التشفير (غيتي) لماذا تصرّ الحكومات على فرض الأبواب الخلفية رغم المخاطر؟

رغم هذه المخاطر الواضحة، لا تزال الحكومات تمارس ضغوطا مستمرة لإدراج ثغرات خلفية في أنظمة التشفير، متجاهلة التحذيرات الأمنية المتكررة.

والأخطر من ذلك، أن هذه الطلبات غالبا ما تتم بسرية تامة، تماما كما أن الأبواب الخلفية الحقيقية لا تكون مرئية للجميع. ففي حالة آبل، و"آي كلاود" (iCloud)، يمنع قانون سلطات التحقيق في المملكة المتحدة (IPA) الشركة قانونيا من الكشف عن أي طلب لاختراق التشفير، والذي يعرف باسم "إشعار القدرة التقنية" (TCN).

إعلان

ويعدّ هذا الإشعار أمرا قانونيا تصدره السلطات الحكومية في المملكة المتحدة بموجب قانون سلطات التحقيق لعام 2016، المعروف أيضا بين منتقديه بـ"ميثاق المتطفلين"، ويلزم شركات التكنولوجيا باتخاذ تدابير تقنية محددة لتمكين الجهات المختصة من الوصول إلى البيانات المطلوبة لأغراض التحقيق، مثل توفير وسائل لفكّ تشفير المعلومات.

والأكثر إثارة للقلق، أن القانون يحظر على الشركات المستلمة لهذا الإشعار الكشف عن وجوده أو تفاصيله للجمهور، حيث يعتبر ذلك جريمة جنائية.

وهذا يعني أن أي باب خلفي تفرضه الحكومة قد يظل غير معلن لعامة المستخدمين، مما يزيد من الغموض والقلق حول مدى تأثيرهِ على خصوصية البيانات. ووفقا لتقرير نشره موقع "تك كرنش" فإن نية القانون هي أن تكون أي أبواب خلفية من هذا القبيل سريّة عن عمدٍ.

ولا تعدّ هذه المحاولات جديدة، فَوفقا لمجموعة الحقوق "مؤسسة الحدود الإلكترونية" (Electronic Frontier Foundation) يعود مصطلح "الباب الخلفي" إلى الثمانينيات، حيث كان يستخدم آنذاك، إلى جانب "الباب الفخ" (trapdoor)، للإشارة إلى الحسابات السرية وكلمات المرور التي تسمح لأطراف غير معروفة بالوصول إلى الأنظمة.

ولكن مع مرور الوقت، توسع نطاق استخدام المصطلح ليشمل مجموعة واسعة من المحاولات التي تهدف إلى إضعاف أو التحايل على أمن البيانات الذي يوفره التشفير، أو المساس به بأي طريقة أخرى.

لكن هذه المحاولات ليست وليدة اللحظة، بل تمتد جذورها لعقود مضت، حيث سعت الحكومات مرارا لإيجاد طرف للالتفاف على أنظمة التشفير.

شريحة "كليبر".. فشل سابق لم يوقف السعي نحو الأبواب الخلفية

في التسعينيات، سعت وكالة الأمن القومي الأميركية (NSA) إلى تطوير أجهزة مشفرة لمعالجة الرسائل الصوتية والبيانات، تضمنت بابا خلفيا مدمجا يتيح للجهات الأمنية اعتراض الاتصالات المشفرة عند الحاجة.

وأُطلق على هذا الجهاز اسم شريحة "كليبر" (Clipper Chip)، وتمّ تصميمه بحيث يخزن مفتاح التشفير لدى الوكالات الحكومية، مما يمكنها من فكّ تشفير البيانات عند الضرورة.

إعلان

لكنّ هذه المحاولة باءت بالفشل بسبب ضعف تبنيها، إذ قوبلت الشريحة بانتقادات حادّة تتعلق بالمخاوف الأمنية وانتهاك الخصوصية.

وعلى الرغم من ذلك، ساهمت هذه الخطوة في تحفيز علماء التشفير على تطوير ونشر تقنيات تشفير أكثر أمانا، لمواجهة أي محاولات حكومية للالتفاف على خصوصية المستخدمين.

ويعكس ذلك كيف أن شريحة "كليبر" تُعدّ مثالا واضحا لمحاولة فرض وصول حكومي إلى الأنظمة بشكل علنيّ، مما يثبت أن الأبواب الخلفية لا تكون دائما سرية.

فبينما كانت شريحة "كليبر" مشروعا مُعلنا، نجد اليوم أن بعض الحكومات، كما في حالة "آي كلاود" في المملكة المتحدة، تسعى للوصول للبيانات المشفرة دون علم المستخدمين بذلك.

الأبواب الخلفية.. سلاح ذو حدّين قد ينقلب على مُنشئيه

لا يقتصر السعي الحكومي لفرض الأبواب الخلفية على الأساليب التقنية المباشرة مثل شريحة "كليبر"، بل يمتدّ أيضا إلى استراتيجيات أخرى، من بينها استخدام الدعاية العاطفية لإقناع الجمهور بضرورة هذه الثغرات، رغم المخاطر الأمنية التي قد تترتب عليها.

فغالبا ما تلجأ الحكومات إلى خطاب يثير العواطف لكسب التأييد أو الضغط على مقدمي الخدمات للامتثال، مدعية أن الوصول إلى التشفير من الطرف إلى الطرف (E2EE) ضروري لمكافحة الجرائم مثل استغلال الأطفال، أو الإرهاب، أو غيرها من التهديدات الخطيرة.

لكنّ المفارقة تكمن في أن هذه الأبواب الخلفية قد تتحول إلى سلاح ضدّ الجهات التي أنشأتها. على سبيل المثال، استغلّ قراصنة مدعومون من الصين في الخريف الماضي أنظمة التنصت التي فرضتها الحكومة الفيدرالية الأميركية، ما مكنهم من الوصول إلى بيانات مستخدمي شركات الاتصالات ومزودي خدمات الإنترنت.

جاء ذلك بسبب قانون فيدرالي يعود إلى 30 عاما فرض وجود مثل هذه الثغرات، رغم أنه كان يتعلق ببيانات غير مشفرة من الطرف إلى الطرف، مما يبرز المخاطر الناجمة عن فرض نقاط وصول شاملة داخل الأنظمة.

إعلان

ولا تقتصر هذه التهديدات على الداخل فحسب، إذ تواجه الحكومات أيضا تحديات متزايدة بسبب الأبواب الخلفية الأجنبية التي قد تهدد أمنها القومي.

من جهة مماثلة،  كانت هناك عدة حالات تم فيها الاشتباه في أن الأجهزة والبرامج الصينية تحتوي على أبواب خلفية على مر السنين، ما دفع دولا مثل المملكة المتحدة إلى اتخاذ خطوات لحظر أو تقييد استخدام التكنولوجيا الصينية، لا سيما في البنية التحتية الحيوية للاتصالات.

وهكذا، فإن المخاوف من الأبواب الخلفية لا تقتصر فقط على الخصوصية، بل باتت عاملا حاسما في القرارات الجيوسياسية والأمنية.

بالنهاية، لم يعد الضغط على الشركات الكبرى مجرد مسألة تنظيمية، بل ربما أصبح جزءا من صراع أوسع على النفوذ والسيطرة. فهل الهدف الحقيقي حماية البيانات وتعزيز الأمن السيبراني، أم أنّ هناك خيوطا خفية تحرك هذه المعركة لأغراض غير معلنة؟ وهل تمثل هذه القيود وسيلة غير مباشرة للتحكم في تدفق المعلومات وتقويض نفوذ عمالقة التكنولوجيا؟

ويبقى السؤال الأكثر أهمية: من المستفيد الحقيقي من هذه المواجهة؟ ومن سيدفع الثمن في معركة لم تنكشف جميع خيوطها بعد؟

المصدر: الجزيرة