شكراً لكم لمتابعتكم حوارنا لشهر سبتمبر/أيلول 2014 بالشراكة مع سمير نصار "مدرب في مجال الأمن الرقمي" ، وبهاء نصر من اكاديمية سايبر أراب - معهد صحافة الحرب والسلام، ومحمد المسقطي من Front Line Defenders حول الأمن الرقمي كأداة لحماية المدافعين والمدافعات عن حقوق الإنسان. اضافة الى باقي قادة الحوار أحمد مكاوي، وزيد حسين، ورامي رؤوف، وكيرلس ناثان، وحنا قريطم، ومنصف خبير، وأحمد جدو، ورضوة فودة، واسامة محمد، وحيدر حمزوز. والذي امتد لمدة اربعة ايام في الفترة ما بين 21-24 سبتمبر/ايلول 2014
تالياً ملخص لأبرز ما تم ذكره في الحوار:
ملاحظة: عند الضغط على الكلمات الملونة سيظهر لكم رابط التعليق الأصلي، أو البرنامج او التطبيق.
يتعرض نشطاء حقوق الإنسان للتهديد المباشر سواء من جماعات او من اشخاص لديهم المصلحة في معادات حقوق الانسان والناشطين وتتبعهم او ممارسة الضغوط عليهم من خلال ثغرات في المنظومة الرقمية.
اضافة الى انه هؤلاء المدافعون عن حقوق الإنسان لا يعرضون أنفسهم فقط للخطر ولكن للذين يسعون لمساعدتهم حيث أنه عند عدم الاهتمام بسرية المعلومات وأمنها، يمكن لهذه البيانات أن تتسرب لأشخاص وجهات قد تكون مصدر خطر للأشخاص الذين تعرضوا لاضطهاد حقوقهم. وبدلا من مساعدتهم، يكون المدافع عن حقوق الإنسان قد ضرهم.
الا ان اهمية الامن الرقمي تكمن بحماية خصوصية عمل المدافعات والمدافعين عن حقوق الانسان، ويتوجب اخذ الحيطة لثغرات قد تمثل تهديد واضح والتي من بينها: اختراق المعلومات الشخصية واستخدامها في حملات التشويه، غلق صفحات التواصل الاجتماعي أو التحكم فيها، كشف الهوية الحقيقية لبعض المتطوعين المجهولين، انتحال هوية شخص معروف بين النشطاء لتشويه شخصيته أمام الرأي العام، وحتى التواصل مع جهات دولية باسمه، تحديث تصوره عن اتصال المجموعات الناشطة ببعضها عن طريق معرفة من يتواصل مع من بصفة منتظمة، زرع ملفات تجسس على اجهزة الضحية سواء كانت جهاز كمبيوتر أو هاتف نقال. ولكن كما وجدت الثغرة وجد الحل وعلى نشطاء حقوق الانسان الاستعانة في اعمالهم بتقنيين اعلاميين
قد يتبادر الى ذهننا تساؤل حول الآمن الرقمي هل هو برامج، أم نمط حياة ؟
وقد تكون الإجابة الأصح هو مزيج بين الإثنين، فلا يمكن للبرامج والتطبيقات ان تمنع من سرقة هاتفنا او جهاز الكمبيوتر إذا وضعنا الجهاز على طاولة المقهى مثلا دون مراقبة أو خراب الأجهزة. كما أن إهمال الجانب الأمني للإنترنت قد يأتي بعواقب وخيمة حيث هنالك العديد من التهديدات والتي منها على سبيل المثال:
· الكشف عن المدون والملاحقة القانونية له
· تدمير أو سرقة البيانات عبر البرمجيات الخبيثة (Malware)
· الاختراقات (Hacking) والهجمات على المواقع (DDoS)
· التجسس على الاتصالات مثال: PRISM))
· التضليل وانتحال الشخصية (مثال: إنشاء صفحة مزورة على الفيس بوك)
· حجب المواقع التي تنشر مواد قد لا تروق للنظام (مثل مواد حول الفساد)
الإجرءات الإحتياطية الواجب اتباعها عند استخدام الإنترنت والحواسيب
· عمل نسخة احتياطية للعمل بوحدة خزن خارجية، لإمكانية استرجاعها في حالة تلف المادة الاصلية في الجهاز المحمول
· عند شراء لابتوب فيفضل شراء نوع يحمل نظام تشغيل أصلي لوجود حماية داخلية في النظام الاصلي
· قبل استعمال الانترنت يجب تنصيب انتي فايروس
· عند ادخال اي قطعة خارجية كالفلاش او الهارد او القرص الصلب فيجب فحصه قبل استعماله لخلوه من الفايروسات
· عدم فتح اي بريد الكتروني غريب وفي حالة فتحه يفضل عدم فتح اي رابط بداخله او الملفات المرفقة الا التأكد من خلوه من الفايروسات
هنالك عدة وسائل من الممكن تطبيقها لتخفيض مخاطر الانترنت ومنها:
· اختيار كلمات سر قوية وطويلة وتجديدها بشكل دائم ومستمر
· تثبيت برنامج مكافحة البرمجيات الخبيثة
· تثبيت برنامج جدار ناري لمنع الاتصالات الغير مرخص لها
· الحرص على تحديث نظام التشغيل وعدم استخدام برامج مقرصنة
· تشفير الملفات الحساسة، والتواصل بشكل مشفر مع مصادر هامة
· استخدام برنامج لإخفاء الهوية عند نشر مواد حساسة مثل البلاغات لإخفاء الهوية مثل برنامج Tor
· طول كلمة السّر: الحد اﻷدنى لطول كلمة السّر 20 والعدد الملائم 25 خانة. ممكن تخيّل أن 25 خانة جملة مكوّنة من 5 أو 6 كلمات على إعتبار أن معدّل طول الكلمة حوالي 5 أحرف، فمثلا استخدام عبارة مؤلفة من بضع كلمات ونغير احد تلك الكلمات لنجعل العبارة غير منطقية. مثلاً : shariba el waladou el toufaha el zarka
· خصوصيّة كلمة السّر: من المهم جدّاً عدم استعمال كلمة سر في أكثر من موقع.
· عدم ارفاق معلومات خاصة: حتّى لا نسهّل عمل المخترقين يوجب عدم إضافة معلومات خاصّة مع كلمات السّر. أمثلة على ذلك: أعياد ميلاد، أسماء أحبّاء، أو أسماء حيوانات أليفة
· زر space وهاشتاغ # هما أكثر علامتين يصعب اختراقهما
· ضرورة عدم حفظ كلمات السّر داخل المتصفح، ولحفظ كلمات السر ننصح باستخدام برنامج keepass.
ترتيبات لتأمين معلوماتنا في حالة الرّكود، التعمية "التشفير"
يعني تأمين المعلومات وهي موجودة على أقراص الحواسيب.أهم شيء نستطيع عمله لتأمين معلوماتنا من التّغيير أو التّزييف هو استعمال التعمية (التّشفير) الّشاملة لقرص الحاسوب الرّئيسي. كل أنظمة التّشغيل لديها هذه القابليّة:
· نظام الويندوز: يجب استعمال Windows 8 Pro أو Windows 8.1 Pro
· نظام الماكنتوش: أيّ اصدار
· نظام لينوكس: معظم أنظمة اللينوكس
· بالإضافة لدينا أنظمة الهواتف النّقالة: أندرويد و iOS
وباﻹضافة إلى التّعمية تستطيع الحفاظ على معلوماتنا بنسخها. قد تلاحظون أن التّعمية ونسخ المعلومات عمليّتان تفاعليّتان: النّسخ يحفظ المعلومة والتعمية تحمي المعلومات المحفوظة من النّسخ الغير مرخّص والتّزييف والتّحريف.
بعض أنظمة التّشغيل تأتي بأنظمة حفظ وتدارك ملفّات مثل الماكنتوش الّذي يضم برمجيّةTime Machine والتي تتعامل مع اﻷقراص المعمّاة بسهولة.
التواصل الآمن عبر البريد الالكتروني والمحادثات المكتوبة او عبر الصوت والصورة
ان استخدام برامج المحادثة على الهاتف النقال مثلViber وwhatsAPP وبرامج مشابهة غير آمن، ومن السهل مراقبة هذه المحادثات. لذلك يجب استبدال هذه التطبيقات بأخرى توفر محادثات مشفرة وآمنة وبرامج محادثة تدعم تعمية المحادثات النصية باستخدام OTR مثل pidgin وفي حال رفض الطرف الآخر استخدام التطبيقات الآمنة علينا محاولة إقناعه بها وإذا رفض نعتذر منه ولا نتحادث بأمور قد تشكل خطر على حياتي عبر هذه التطبيقات.
لتامين التواصل الآمن بين الأشخاص يجب أن نستخدم أحد طرق التشفير، أفضل أنواع التشفير هو الذي يقوم بالتشفير على جهازنا وفك التشفير على جهاز الطرف الاخر. وهذه الطريقة معروفة بالتشفير من طرف الى طرف. بعض البروتوكولات التي تقوم بهذه العملية هي: OTR, PGP, ZRTP
تعتبر الهواتف المحمولة وخاصة الذكية نقطة ضعف شديدة، لا تنس اغلاق ال GPS وعمل قفل للشاشة، وتشفير الهاتف من خلال استخدام برمجيات مثل: "في حالة هواتف الأندرويد"
· تشفير الرسائل النصية بإستخدام: OTR textsecure
· تشفير مكالمات الصوت: Redphone ولمحادثات امنة pidgin ولمحادثات واتصالات مشفرة Jitsi ولمحادثات مشفرة من خلال المتصفح Cryptocat
· ولتفشير الايميلات بإستخدام: GPG,k9 +, APG ولتبادل البريد المشفر يمكنكم استخدام gpg4usb or Thunderbird + Enigmail
· ترتيبات لتأمين معلوماتنا في حالة التحرك
ماذا يعني تأمين معلوماتنا في حالة التّحرّك؟ كلما نقلنا ملفّات من داخل حاسوبنا إلى حاسوب آخر وبالعكس نستطيع أن نقول أن المعلومات في حالة التّحرّك وحماية المعلومة في حالة التّحرّك يختلف عمليّاً عن حماية المعلومة في حالة الرّكود.
من المهم أن نعرف أن هناك أنواع مختلفة من الحماية:
· حماية المعلومة: هنا نتكلّم عن تعمية المعلومات (التّشفير) قبل تحرّكها
· حماية مجرى المعلومة: استخدام غلاف معمّى لحماية معلوماتنا واﻷهم حماية اسم الدّخول وكلمة السّر.
· حماية المعلومة عندما تصل: هل الحاسوب المستقبل لمعلوماتكم آمن وهل تأمنون المؤسّسة أو الشّركة الّتي أرسلتم معلوماتكم لها؟
هل عندكم موقع على اﻹنترنت؟ أنظروا في خانة الوصلة على المتصفّح (مثل موقع التّكتيكات الجديدة). إذا لم تروا HTTPS و رأيتم فقط HTTP فإن مجرى المعلومة غير محمي. فالولوج إلى منتديات لا تحمي مجرى المعلومة سبب رئيسي في اختراق الحسابات وخصوصاً إذا استخدمتم نفس كلمة السّر في أكثر من موقع.
تخطي الحجب والحفاظ على المجهولة
بداية وقبل التطرق الى كيفية تخطي الحجب والحفاظ على مجهولية الهوية، من المهم التفريق ما بينهما، فإستخدام برامج معينة لتخطي الحجب لن توفر لك الغطاء لحماية مجهوليتك من الناحية الجغرافية إلا ان هذه الخدمة قد تتوفر في بعض البرامج كبرنامج تور TOR
قد يواجه بعض مستخدمي برنامج TOR مشكلة ان يقوم الفيس بوك أو أي موقع اخر برفض دخول المستخدم في حالة اكتشافه استخدامك لشبكة تور، لكنه في هذه الحالة يسألك أسئلة شخصية للتأكد من هويتك أو يرفض دخولك حتى تخرج من تور. ولكن ليس من الطبيعى أن يقوم باغلاق حسابك مثلا.
توجد عدة طرق لتخطي الحجب وجميعها تعتمد على استخدام خادم وسيط proxy server والتي منها:
· استخدام مواقع بروكسي web proxy server مثل https://guardster.com
· استخدام بروكسيات تعمل عبر بورتات SOCKS أو HTTP/HTTPS
· بروكسيات تنصب في الجهاز مثل Tor والكاسر https://alkasir.comومنها ما هو مفتوح مثل تلك التي في موقع http://www.xroxy.com
· مفتوحة مثل تلك التي في موقع http://www.xroxy.com
· خوادم ال VPN والتي تعمل ببروتوكولات مختلفة والتي معظمها تجاري ولكن منها ما يمكن تنصيبه مثل Hotspot Shield
ومن المهم القاء الضوء على بعض الأمور عند استخدام أدوات لتخطي الحجب:
عند اختيار برنامج لتخطي الحجب يجب أن نعرف كيفية عمل هذه الأداة ومن يديرها. إذ أن بعض هذه الأدوات مصممة فقط لتخطي الحجب وليس لتامين الأمان عند التصفح. لذلك لا ننصح بفتح حساباتنا عبر استخدام مواقع بروكسيWeb Proxy. وننصح باستخدام هذه الطريقة فقط لقراءة وتصفح المواقع المحجوبة وليس للدخول الى حساباتنا وإدخال اسم مستخدم وكلمة سر.
بينما عندما نستخدم أدوات مثل تور والكاسر فنحن نعرف كيفية عملها ودرجة الآمن الذي تقدمه ومن هم الأشخاص الذين يديرون هذه المشاريع التي تدعم هذه الأدوات واهدافهم، فنستطيع فتح حساباتنا بأمان. وأدوات مثل هذه ننصح باستخدامها ليس فقط لتخطي الحجب فهي ايضاً تؤمن لنا طبقة إضافية من التشفير لحمايتنا من الهاكرز ومراقبة بعض الجهات لتصفحنا.
عند استخدامك لبرنامج تور أو بروكسي يجب استخدامها ببعض الاستراتيجيات:
· استخدامك يجب الا يكون مقصوراً على المواقع المهمة فقط... أو للتواصل مع زملائك النشطاء فقط.
· عند استخدامك لمثل هذه الوسائل فأنك ترفع لدى الحكومات او أجهزة الرقابة انذاراً انك تستخدم وسائل حجب هوية او بروكسي، مما يركز الأعين عليك، يجب ان يكون استخدامك لها دائم في مواقع غير مهمة (كالألعاب والأفلام وغيرها(
· غير مسموح أبداً بالدخول على حساباتك الشخصية على مواقع التواصل الإجتماعي أو البريد الالكتروني الشخصي
· لا تثق أبداً في مقدمي البروكسي والـ VPN المجانية
لمعرفة كيف يعمل برنامج تور، باللغة الأنجيلزية وباللغة العربية
هل هناك طريقة مثالية لحماية مراسلاتنا او ملفاتنا او معلوماتنا ؟
العديد يتساءل ان كان هناك طريقة مثالية واحدة لحماية المعلومات او المراسلات او الملفات ولكن فعلياً لا يوجد طريقة واحدة و لكل شخص طريقته الخاصة التي قد تؤدي الى حفظ هذه المعلومات عن اعين الآخرين، من هم هؤلاء الآخرين :
1- السلطات المحلية التي قد ترغب في الحصول على هذه المعلومات من أجل الوصول الى اشخاص (ضحايا تعذيب مثلاً) او تريد الحصول على معلومات لإثبات تهمة ضد شخص او غيرها.
2- جهات غير حكومية كالجهات المسلحة او الاحزاب الذي يرغبون في الحصول على المعلومات لأهداف أخرى.
3- اشخاص لديهم حب الفضول والرغبة في اقتحام اجهزة الآخرين
و اما بما يتعلق بخصوص طرق الحماية فأنها تعتمد على البيئة التي يعيش فيها الشخص او البلد بعض البلدان تقوم بتجريم من يقوم بتعمية الملفات او اخفائها بطريقة مختلفة او كما يقال في العام (تشفيرها) لهذا يجب علينا :
1- دراسة البيئة القانونية لبلدك
2- اعداد خارطة للأشخاص الذين يشكلون خطر عليك ويرغبون في الحصول على معلوماتك.
3- دراسة بيئة العمل (تحليل المخاطر في المؤسسة التي تعمل فيها او مع الافراد الذين يشاركونك المعلومات)
من خلال هذه سوف تستطيع ان تجد الطريقة المناسبة لحماية معلوماتك او ملفاتك.
أصبحت محركات البحث الأدوات الأكثر أهمية في مجال الانترنت، فدون محرك البحث تغدو الانترنت مجرد مجموعة من الصفحات دون فهرس. إلا أن معظم محركات البحث تقوم بجمع معلومات خاصة عن مستخدميها، مثل سلوكهم البحثي، وأماكن تواجدهم، وعناوين (IP address)، تستخدم محركات البحث هذه المعلومات لجعل نتائج البحث التي تحصلون عليها تتناسب والمعلومات التي تم جمعها عنكم، ولهذا السبب يحصل كل شخص على مجموعة مختلفة من نتائج البحث.
ورغم أن المعلومات التي تجمعها عنكم محركات البحث قد لا تكون حساسة إلا أن الأمر يثير مخاوف أمنية حقيقية، لأنّ تخزين بعض هذه البيانات يتم على حواسيبكم على شكل سجلات تتبع (أو كوكيز Cookies) من السهل الوصول إليها، كما تقوم هذه المواقع بمشاركة بيانات أخرى مع أطراف ثالثة غير معروفة لمستخدمي محركات البحث. لذلك ننصحكم باستخدام محركات بحث بديلة مثل:
إن جميع برامج تصفح الإنترنت الحديثة مزودة بميزة حماية خاصة، تختلف تسميتها بين متصفح وآخر: InPrivate أو Private Browsing أو Incognito أوPrivate Window. تسمح هذه الميزة باستخدام الانترنت دون تخزين البيانات عن جلسة التصفح. ويشمل هذا: الكوكيز، ملفات الإنترنت المؤقتة، والتاريخ، وغيرها من البيانات. ويتم أيضاً تعطيل أشرطة الأدوات والملحقات الإضافية.
إلا أن هذه الميزة لا تحميك من:
· السماح للمواقع التي تزورها بجمع المعلومات عنك أو تبادلها.
· السماح لمزودي خدمة الإنترنت أو رب عملك بتتبع الصفحات التي تزورها.
· البرامج الضارة التي تتعقب ضربات المفاتيح الخاصة بك ”KeyLogger”
· المراقبة من قبل عملاء سريين.
· الناس الذين يقفون وراءك.
يبدو التخلص من البيانات الموجودة على حاسوبكم عملية بسيطة تتطلب النقر على الملف الذي تريدون التخلص منه واختيار حذف (delete) ومن ثم إفراغ سلة المحذوفات. على الأقل، هذا ما يجعلنا نظام التشغيل نعتقده، إلا ان قلة من الأشخاص فقط تدرك أنّ الملفات المحذوفة تبقى موجودةً على القرص الصلب حتى بعد إفراغ سلة المحذوفات بحيث يمكن لأي شخص يمتلك الأدوات المناسبة استعادة معظم هذه الملفات بسهولة شديدة وخلال ثوان.
لتتمكنوا من حذف الملفات نهائياً دون أن يكون بإمكان أحد استعادتها، أنتم بحاجة إلى برامج خاصة تقوم بحذف الملف غير المرئي الموجود على القرص الصلب، مثل BleachBit و Eraserيمكنكم قراءة المزيد هنا وشرح حول كيفية استخدام برنامج BleachBit
خطط وقاية من شأنها تجنب الكثير من المشاكل الأمنية
· تشغيل جدران الحماية Firewalls.
· عدم تشغيل حساب المدير (administrator) لرصد ما يتم نقله إلى القرص الصلب وما يتم حفظه.
· إبقاء برنامج مكافحة البرمجيات الخبيثة مشغّل بهدف رصد أي عملية مشبوهة في حالتي الـ Online والـOffline .
· عدم تشغيل الإضافات التي قد تحتاج لصلاحيات إدارية (Macros, Plug-ins).
· تجنب إستعمال برامج منتهية الصلاحية أو ملفات غير موثوقة أو زيارة مواقع ليست ذات فائدة.
· تجنّب إستعمال البرامج المقرصنة.
· عدم إستعمال الأقراص المدمجة أو الصلبة من أي نوع كانت قبل فحصها.
· حفظ المعلومات بشكل دوري على أقراص خارجية (Cloud/External Drive).
· عدم فتح الملفات المرفقة ربطا ً في الرسائل الإلكترونية.
· تجنب النقر على أي روابط مرسلة عبر بريد إلكتروني غير موثوق المصدر.
· عدم إرسال أو تحويل أي رسالة دون التأكد من مضمونها.
· إستعمال متصفح يحوي برامج رصد صفحات المواقع الإلكترونية المشبوهة (مثل فايرفوكس).
· إستعمال SSL عند تصفّح المواقع الإلكترونية التي تتطلب إدخال بيانات ومن هذه المواقع: (gmail.com, facebook.com, twitter.com, etc.)
· البقاء على إطلاع دائم بآخر تحديثات وطرق الحماية من الفيروس.
التراسل بالبريد الإلكتروني المشفر عبر PGP
التواصل بالبريد الالكتروني المشفر عبر PGP من شأنه منع التجسس سواء من موفر الخدمة أو من مقدم خدمة البريد الالكتروني. ويمكنكم اتباع الخطوات التالية للتمكن من تبادل الايميل بطريقة مشفرة
· تحميل برنامج PGP مثلاُ GPG4Win
· تحديد وخلق مفتاحين خاص وعام لكل عنوان الكتروني خاص بك
· نشر المفتاح العام عبر PGP Server (e.g. pgp.mit.edu, keyserver.pgp.com)
· تزويد كل من تنوي مراسلته بالمفتاح
· عند التواصل مع أي فرد، أكتب الرسالة، أضف تقنية التشفير والمفتاح العام الخاص بك حتى يرد عليك.
· وحده الذي يملك الـمفتاح الخاص Private Key وكلمة السر بإستطاعته قراءتها
· كما عليك استخدام المفتاح العام الذي يوفره لك الشخص الذي تود مراسلته حتى تتمكن من الرد عليه بشكل مشفر
قد يكون أصعب ما سيواجهنا في موضوع الأمان الرقمي تغيير العادات وإقناع الاخرين باستخدام البرامج والأمور التي تعد آمنة أكثر من غيرها. ومن المهم أن نتذكر عند تحدثنا عن البرمجيّات واﻷدوات اﻹلكترونيّة في إطار اﻷمان الرّقمي أنّ اﻷدأة اﻷهم هي العقليّة المتّبعة. في نهاية اﻷمر الاخطار المادية التي قد تصبينا او تصيب الاجهزة التي نستخدمها لا يمكن ان تمنعها التطبيقات وفي المقابل استخدام برامج وتطبيقات لحماية المعلومات او تعمية الرسائل ايضا مهم لأنه لا يمكن السلوك لوحده ان يمنع الآخرين من المراقبة او يعمي الرسائل او يفتح المواقع. ومن المهم جدّاً أن نتذكّر الرّاحة النّفسيّة والعقليّة خصوصاً فيما يتعلّق بالنّاشطين أو أيّ أحد يتعرّض للقمع.
من أساسيات الأمان الرقمي أن لا نثق في أي كان على الشبكة ونكون حذرين جداً وهذا ما ينبغي اسقاطه على الواقع، الحذر هو أساس الحماية. وفي النهاية على المدافعات والمدافعين عن حقوق الإنسان التحري ووضع كل الاحتمالات أمامهم عند استخدامهم أي برنامج.
قادة الحوار الإلكتروني
