التحقق بخطوتين في مصر: هل هو نقطة قوة أم ضعف للأمن السيبراني؟

الخميس 28 أبريل 2016


حدد باحثون مستقلون في مصر وسيلة تقنية جديدة تتبعها الدولة للمراقبة: التلاعب في عملية التحقق بخطوتين.

يستخدم العديد من النشطاء والصحفيون والمواطنون العاديون في جميع أنحاء العالم تقنية التحقق بخطوتين (انظر أدناه) على وسائل التواصل الاجتماعي وخدمات البريد الإلكتروني من أجل تحقيق درجة جديدة من الأمن لاتصالاتهم. ولكن يبدو أن الجهات الحكومية قد تستغل هذه الميزة لتحقيق مكاسب خاصة بها في الوقت الحالي.

في مصر، كما هو الحال في العديد من البلدان حول العالم، تسيطر الدولة على البنية التحتية للاتصالات وشركات الاتصالات الخاصة التي تشغل الخدمات والشبكات. خلال ثورة 25 يناير 2011، قامت الدولة بسلسلة منظمة من قطع الخدمات عبر أنظمة الاتصالات المختلفة. ولكن الرقابة لم تشكل إلا جزءًا فقط من منظومة السيطرة والتحكم.

كيف تتم عملية التحقق بخطوتين؟

عندما يتم تشغيل خاصية التحقق بخطوتين، يتلقى المستخدم رسالة نصية قصيرة (أو مكالمة صوتية) كلما حاول تسجيل الدخول، باعتبارها وسيلة لمصادقة الوصول إلى الحساب.

بإمكان معظمنا تسجيل الدخول إلى حسابات البريد الإلكتروني ببساطة عن طريق كتابة كلمة المرور، دون خاصية التحقق بخطوتين، ولكن العديد من الخدمات تقدم هذه الخطوة الإضافية، حيث يطلب النظام دليل آخر على أنك “حقاً أنت”. وتستند هذه الخطوة الاضافية على شيء يعرفه المستخدم (كلمة المرور) وشيء آخر لدى المستخدم (الجوال).

في خطوة إضافية أكثر شيوعًا، يقوم النظام بإرسال شفرة سرية فريدة من نوعها إلى الهاتف المحمول المستخدم عندما يحاول المستخدم تسجيل الدخول إلى الحساب. فقط عندما يكون المستخدم قد أدخل كلا من كلمة المرور والرمز المرسل له والذي بإمكانه استخدامه لمرة واحدة فقط فأنه يستطيع تسجيل عملية دخول كاملة.

في ديسمبر/كانون الأول 2015، منعت مصر “الأساسيات المجانية” لتطبيق فيسبوك على الهاتف النقال. في حين كانت ردود أفعال الكثيرين سريعة للتركيز على الحجب كعمل من أعمال الرقابة، إلا أن عدة تقارير أشارت إلى أن الحجب كان بسبب رفض فيسبوك السماح للحكومة المصرية بالتجسس على مستخدمي التطبيق.

أثبتت هذه وغيرها من الحوادث المماثلة لمستخدمي الإنترنت، أن المراقبة العامة والمراقبة المستهدفة سهلة جدًا. في مصر، أثبتت تسريبات لوثائق وبحوث تقنية أن الوكالات الحكومية قد اشترت تقنيات القرصنة الخبيثة وعملت مع شركات اتصالات خاصة كجزء من اهتمامها المستمر بالتنصت على اتصالات مواطنيها.

الآن، باستخدام أدوات ومصادر أكثر تطورًا (كما هو موثق هنا على سبيل المثال في استخدام بلو كوت ومنتجات RCS في مصر)، فإن الدولة لم تعد تعتمد على شركات الاتصالات للوصول إلى بيانات المواطنين واتصالاتهم ومعلوماتهم.

هذا يعني أنه تتم مراقبة المكالمات الهاتفية والرسائل النصية والموقع الجغرافي (GPS) بسهولة والوصول إليها من قبل السلطات المصرية، دون أية إجراءات قانونية أو حماية قانونية مناسبة. إذا “ أراد” أحد المسؤولين معلومات محددة عنك، بإمكانه الوصول إليها. هذا يمنح الدولة سهولة في الوصول لمعلومات عن الناشطين.

إذًا من يستطيع استهداف الناشطين البارزين؟ نظريًا، يمكن للجهات غير الحكومية استهداف النشطاء باستخدام أدوات يتم الحصول عليها في السوق السوداء. ولكن من الناحية العملية، وبما أن مصر مغلقة جدًا وتسيطر عليها الدولة، فإن الدولة والجماعات المرتبطة بالدولة هم الجناة الرئيسيون في هذا النوع من المراقبة.

يُنصح باستخدام خاصية التحقق بخطوتين بانتظام باعتبارها وسيلة بسيطة للتخفيف من هذا النوع من المراقبة. ولكنها تصبح نقطة ضعف عندما تستطيع الدولة الوصول إلى حسابات الشخص عن طريق قرصنة الرسائل الواردة إلى هواتفهم النقالة.

كيف تستغل الجهات الحكومية هذه الميزة؟

كمستخدم، إذا كنت قد نسيت كلمة المرور الخاصة بك لموقع معين، بإمكانك غالبًا استعادة كلمة السر الخاصة بك عن طريق الطلب من الموقع إرسال رمز فريد من نوعه لهاتفك النقال. عند استلام الرمز، يمكنك إدخاله في الموقع للتحقق من هويتك. في مصر، وبفضل سيطرة الدولة القوية على البنية التحتية للاتصالات، استخدمت الجهات الحكومية هذه الميزة لتحقيق مكاسب لها. يحاولون الوصول إلى حسابات النشطاء عن طريق اختيار خيار “نسيت كلمة المرور”، ومن ثم قرصنة (أو حجب) الرمز المرسل إلى هاتف الناشط المحمول. وهذا يسمح لهم بالوصول إلى كلمة المرور للناشط والسيطرة على حسابه (أو حسابها) بفعالية.

على الرغم من إمكانية حصولك في وقت لاحق على تطبيق إحداث الرمز على هاتفك النقال للحصول على الرموز بدلًا من الحصول على الرسائل القصيرة، فإن هذا يحدث فقط بعد تفعيل خاصية التحقق بخطوتين وتوفير رقم الهاتف المحمول الخاص بك – وهكذا هو الوضع مع معظم الخدمات.

لدى الباحثون المستقلون في مصر أدلة على أن القطاع الأمني والاستخباراتي في مصر لديهما الآن القدرة على استهداف النشطاء ومستخدمي الإنترنت من خلال إرسالهم روابط التصيد للوصول إلى حساباتهم والتحكم عن بعد بأجهزة الكمبيوتر الخاصة بهم. لكن تشير هذه النتائج إلى أنهم ينسقون مع قطاع الاتصالات الخاص بطرق جديدة أيضًا.

تم استهداف العديد من النشطاء البارزين بهذه الطريقة على مدى السنوات القليلة الماضية. وفي الآونة الأخيرة، في 26 مارس/آذار 2016، تم استخدام هذا النموذج لاستهداف الصحافي والمدون البارز الحائز على العديد من الجوائز وائل عباس، وذلك كجزء من حملة قرصنة أكبر. فقد تم استهداف حسابه على Gmail أيضًا: فقد تلقى إشعارًا بالبريد الالكتروني من جوجل يقول: “قد يحاول مهاجمون ترعاهم الدولة اختراق حسابك” في البريد الوارد. على هاتفه المحمول، تلقى وائل رسالة وهمية تخبره بأن عليه تحديث البرنامج. بدت الرسالة غريبة له، فهي مختلفة عن إخطارات التحديثات المعتادة التي يتم إرسالها إلى أجهزة الأنرويد. كما كان في الرسالة خطأ مطبعي.

وفي 30 مارس/آذار 2016، أفاد محمد جابر، ناشط ومصمم جرافيك بارز (يعرف أيضًا باسم Gue3bara)، بالحصول على رسالة نصية قصيرة تفيد بإعادة تعيين كلمة المرور دون طلب. في 1 أبريل/نيسان 2016، أفادت محامية الصحافية والمدافعة عن حقوق الانسان والحائزة على العديد من الجوائز نورة يونس بحصولها على اثنين من هذه الإخطارات. مع توافد كلمة المرور الخاصة بها في متناول يدها، يمكن للشخص القيام بعدة محاولات لتسجيل الدخول إلى حسابها.

تظهر هذه التجارب وغيرها ضعف خاصية التحقق بخطوتين في الحالات التي يكون فيها الخصم قادر على اعتراض الرسائل النصية القصيرة.

كيف لي أن أعرف إن كنتُ مستهدفًا بهذه الطريقة؟ إذا كنت قلقًا، ماذا علي أن أفعل؟

الطريقة الوحيدة لتجنب هذا الاستهداف هو عن طريق إزالة جميع أرقام الهواتف النقالة من حساباتكم على البريد الإلكتروني وحسابات وسائل التواصل الاجتماعي. وكحل بديل يمكنك استخدام حسابات البريد الإلكتروني الثانوية كخيار للاسترداد.

وكما هو الحال دائمًا، فمن المهم استخدام عبارات مرور قوية وفريدة من نوعها، بدلًا من كلمة المرور وتجنب استخدام نفس العبارة أو التردد على تلك العبارة على أكثر من حساب.

إذا كنت بحاجة إلى مساعدة …

إن الأفراد الذين لديهم حسابات على فيسبوك، وياهو وهوتميل هم الأكثر تعرضًا لهذه المشاكل، على الأرجح بسبب الأنظمة الأمنية التقنية لهذه المنصات (لم يتم الإبلاغ عن أي حالات حتى الآن مع جوجل أو تويتر).

لتحديث إعدادات الحساب في أي من هذه المنصات، عليك باتخاذ الخطوات التالية:

حساب هوتميل: تسجيل الدخول هنا https://outlook.live.com انقر على الصورة الرمزية الخاصة بك في الجزء العلوي الأيسر وحدد “عرض الحساب”. انقر على “الأمن والخصوصية” واختر “المزيد من إعدادات الأمن” على اليسار. سوف يتم تحميل صفحة “إعدادات الأمان” وعرض المعلومات التي أضفتها. انتقل للأسفل واختر إلغاء رقم هاتفك المحمول.

حساب ياهو: تسجيل الدخول هنا https://mail.yahoo.com. انقر اسمك في الزاوية العلوية اليمنى واختر “معلومات الحساب”. بعد تحميل الصفحة، اختر “أمن الحساب” على الناحية اليمنى. قد يطلب منك تسجيل الدخول مرة أخرى. عند هذه النقطة، سترى رقم الهاتف للاسترداد. ألغه.

حساب فيسبوك: تسجيل الدخول هنا https://www.facebook.com. انقر على المعلومات. من القائمة في اليسار، اختر الاتصال والمعلومات الأساسية. انتقل للأسفل حتى ترى رقم هاتفك المحمول. ألغه.

رامي رؤوف هو تقني ومستشار الخصوصية والأمن الرقمي في مصر. تجده على تويتر RamyRaoof@.

ساهم محمد نجم بالبحث في هذا المقال.

مصادر

عدل