قدمته «غوغل» و«موزيلا» كـ«دواء شافٍ» لمشكلات تتبع تحركات المستخدمين
خبراء: بروتوكول «دي أو إتش» يدمّر نظم التأمين والحماية
يواجه البروتوكول الجديد المخصص لحماية خصوصية المستخدمين عبر الإنترنت، والمعروف باسم «دي أو إتش» موجة رفض عارمة من قبل خبراء أمن المعلومات وخبراء الشبكات والإنترنت بالمحافل والمنتديات العلمية، وفي مؤسسات القطاع الخاص، والمؤسسات الرسمية والحكومية على السواء، ما يهدّد خطط نشره على نطاق واسع، والتي كان مقرراً لها أن تتم قبل نهاية العام الجاري، ليصبح جزءاً لا يتجزأ من عمل أهم اثنين من برامج تصفح الإنترنت، وهما «غوغل كروم»، و«موزيلا فاير فوكس».
واشتدت موجة الرفض واتسع نطاقها بصورة كبيرة خلال الأسبوع الماضي، مع اقتراب الموعد الذي حددته كل من «غوغل» و«موزيلا» لبدء تشغيل البروتوكول الجديد، ووصل الأمر إلى بعض الجهات التشريعية بالبلدان الكبرى كمجلس العموم البريطاني، والكونغرس الأميركي، فضلاً عن بعض الكيانات والمؤسسات العالمية الكبرى العاملة في مجال الإنترنت، للضغط على الشركتين وإثنائهما عن نشر البروتوكول الجديد ببرامج التصفح الخاصة بهما، في الموعد الذي قامتا بتحديده مسبقاً لبدء العمل بهذا البروتوكول خلال أكتوبر الجاري، أو قبل نهاية العام على أقصى تقدير.
ونظراً للتفاعلات الجارية في هذه القضية، قام خبراء شبكة «زد دي نت» المتخصصة في التقنية، بتجميع أبرز هذه الاعتراضات ونشرها في صفحة مخصصة لذلك كحدث جارٍ، يتم تطويره ومتابعته طوال الوقت.
تعريف البروتوكول
بروتوكول «دي أو إتش» يقصد به معيار تقني، تتم إضافته إلى برامج تصفح الإنترنت، كجزء من مجموعة المعايير أو البروتوكولات المستخدمة في تحقيق التواصل بين حاسبات المستخدمين، والحاسبات الخادمة التي تستضيف المواقع والخدمات والأنظمة والتطبيقات المختلفة على الإنترنت، ومهمته هي تعمية وتشفير وإخفاء البيانات الخاصة بنطاق الأسماء الذي يخص مستخدم الإنترنت، والتي يطلق عليها بيانات «دي إن إس»، بحيث يصعب تتبعها ورصدها من قبل موفري خدمة الإنترنت، أو أنظمة الحماية والتأمين والتتبع الموضوعة بشبكات المؤسسات والمنظمات المختلفة، أو من قبل الجهات الرسمية. والغرض من ذلك حماية خصوصية مستخدم الإنترنت بصورة كاملة، وعدم السماح لأي طرف بالتعرف عليه أو رصد وتتبع ما يفعله على الشبكة، وفي الوقت نفسه منحه القدرة على الوصول إلى أي مكان أو موقع على الشبكة من دون عوائق.
والطريقة التي يستخدمها هذا البروتوكول أو المعيار التقني، هو إخفاء بيانات المستخدم ودمجها ضمن البيانات المستخدمة في معيار أو بروتوكول «نقل النص الفائق المؤمن» والمعروف في عالم الإنترنت باسم معيار «اتش تي تي بي إس»، ولذلك جرى تعريفه من قبل مطوريه بأنه «بروتوكول تعمية معلومات دي إن إس عبر بروتوكول إتش تي تي بي إس»، واختصاراً أطلق عليه «دي أو إتش»، وهي الأحرف الأولى من الكلمات المستخدمة في التعريف.
وجرى العمل على تطوير هذا البروتوكول قبل سنوات عدة، كنوع من الاستجابة للدعوات العديدة المتواصلة الساعية لحماية الخصوصية عبر الإنترنت، وتم الانتهاء من تطويره وتجهيزه بصورة اختبارية في مارس 2018. وتعتبر شركتا «غوغل» و«موزيلا» من أكبر الشركات المتحمسة لتطوير ونشر هذا البروتوكول، وقررتا البدء بنشره خلال هذا الشهر، بكل من متصفح «كروم»، و«فايرفوكس».
والدافع لدى الشركتين هو زيادة خصوصية المستخدم وأمنه من خلال منع التنصت على بيانات «دي إن إس» الخاصة به، فضلاً عن أنه يحقق تحسناً كبيراً في الأداء، حيث أظهرت الاختبارات أنه يقلل من الوقت اللازم لكي يستجيب الحاسب المضيف، لحاسب المستخدم ويعود إليه بالمحتوى الذي يطلبه، ومن ثم يجعل تحميل الصفحات والمواقع اسرع كثيراً.
الدواء الشافي
وما أن اقترب موعد التطبيق الرسمي للبروتوكول بمتصفحي «كروم» و«فاير فوكس»، حتى اندلعت موجة رفض عارمة ضده، ووصفه كثير من الخبراء في مجال شبكات المعلومات والإنترنت وأمن المعلومات بأنه «كذبة كبرى»، ولا يعتبر مطلقاً «الدواء الشافي» لحماية الخصوصية، لأنه يشفر بيانات «دي إن إس» فقط، ويخفيها ضمن بروتوكول «اتش تي تي بي إس» المؤمن. في حين يترك الكثير من بيانات المستخدم الأخرى مكشوفة وظاهرة، ويسهل تتبعها ورصدها، وأهمها على الإطلاق بيانات العناوين الرقمية أو «آي بي» المعتمدة على بروتوكولات الإنترنت نفسها، والمستخدمة في تعريف هوية الحاسب لتوصيله للمكان الذي يطلبه أو يزوره، وكذلك بيانات نظام «محدد موقع الموارد المُوحّد» والمعروف لدى المستخدمين بـ«يو آر إل»، أو الكلمات التي تظهر بالمتصفح كعنوان للمكان الذي يزورونه.
وانطلاقاً من هذه الحقيقة، يرى المنتقدون أن التعمية والتشفير اللذين يقوم بهما معيار «دي أو إتش» لبيانات نطاق الأسماء الخاص بالمستخدم، يعدان من الناحية الواقعية تدميراً وتجاوزاً لكل إجراءات الأمن والسلامة والحماية التي تتخذها مؤسسة ما، وحتى المستخدم نفسه على المستوى العائلي والمنزلي، للحماية من المحتوى الضار والخبيث، كالمواد اللاأخلاقية، والمحتوى الذي يحض على العنف، ومواقع الإنترنت المظلمة، وما يدور فيها من عمليات للاتجار بالشر والسلاح والبرمجيات الممنوعة وغيرها.
لأن المعيار بهذه الصورة، يجعل المستخدم يقفز على كل قوائم وإجراءات الفلترة والمنع والتصفية الموضوعة كخطط تأمين وحماية، ويتيح له الوصول لكل ما يريد وقتما يريد، بلا ضوابط، وفي الوقت نفسه لا يمنحه التغطية والحماية التامة المزعومة، لأنه مكشوف عبر العناوين الرقمية وغيرها. ولذلك فهو عملياً بروتوكول «نصف مخبأ»، لا يحمي المستخدمين فعلياً، ويسبب مشكلات أكثر مما يقدم من حلول، خصوصاً في قطاع المؤسسات.
تحركات مضادة
وتوالت خلال الفترة الأخيرة التحركات المضادة لنشر هذا البروتوكول، حيث أصدر معهد «سانس» وهو من أكبر منظمات التدريب على أمن المعلومات في العالم، ورقة بحثية نشرت أخيراً، أكد فيها أن استخدام هذا البروتوكول يمكن أن يسمح للمهاجمين والمطلعين بتجاوز الضوابط التنظيمية.
ويوم الرابع من أكتوبر الجاري، صدر تحذير مماثل عن المركز الوطني لأمن المعلومات والإنترنت في هولندا، من أن المؤسسات التي تستخدم حلولاً لمراقبة الأمن المستندة لهذا البروتوكول، ستشهد على الأرجح انخفاض كفاءتها. وفي سبتمبر الماضي، بدأت اللجنة القضائية بمجلس النواب الأميركي، تحقيقاً في خطط «غوغل» و«موزيلا» لنشر هذا البروتوكول، باعتبار أنه يمكن أن يتعارض على نطاق واسع مع وظائف الإنترنت المهمة.
وفي بريطانيا، طالبت نائبة حزب العمال بالبرلمان البريطاني، البارونة ثورنتون، برفض هذا البروتوكول، واصفة إياه بأنه تهديد لسلامة المملكة المتحدة عبر الإنترنت. كما حذرت مؤسسة «تي دبليو إف» البريطانية التي تعمل في مجال حماية الأطفال عبر الشبكة، من أن البروتوكول يدعم عمليات الاعتداء الجنسي على الأطفال، ويخرب سنوات من العمل في مجال حماية الجمهور البريطاني من المحتوىي المسيء وغير القانوني.
الاختبارات تؤكد تقويض البروتوكول لإجراءات التأمين ضد البرمجيات الخبيثة والمحتوى المرفوض أخلاقياً وأمنياً.