حدود تحسينات الأمن في «أبل»

أبل تريد المنافسة في مجال الخصوصية. وإن إعلان شركة صناعة الهاتف يوم الأربعاء أنها لن تكون قادرة على فتح أجهزة الآيفون استجابة لطلبات من أجهزة تنفيذ القانون هو محاولة لتخفيف المخاوف بشأن التطفل الحكومي وإزعاج منافستها الجائعة للبيانات جوجل. لقد كان خبراء الأمن سريعين في الثناء على أبل بسبب أخذ هذه الخطوة مع ملاحظة بعض الحدود لسلطاتها.
لنبدأ بإعطاء ملخص للموضوع: نظام تشغيل أبل iOS8، الذي أصبح متوفراً هذا الأسبوع، يقوم بتشفير الصور، والرسائل، والبريد الإلكتروني، وأسماء وأرقام الأصدقاء في قائمة المعارف، وسِجل المكالمات، وغيرها من البيانات، من خلال تأمينها جميعاً بكلمة سر للمستخدم. نشرت أبل على موقعها الإلكتروني، «على عكس منافسينا، أبل لا تستطيع تجاوز رمز المرور الخاص بك وبالتالي لا تستطيع الوصول إلى هذه البيانات. لذلك من الناحية الفنية ليس ممكناً بالنسبة لنا الاستجابة لأوامر الحكومة لاستخراج هذه البيانات من الأجهزة التي تقوم بتشغيل نظام iOS8».
هذا هو الأحدث في سلسلة من خطوات ما بعد برنامج البريزم (الذي كانت تطبقه وكالة الأمن القومي الأمريكي للتنصت على المكالمات ومراقبة البيانات) التي تتخذها شركات سليكون فالي من أجل بناء حواجز تكنولوجية تمنعها من الوصول إلى بيانات المستخدمين؛ وتقوم الفكرة على أنه إذا لم تتمكن الشركة الصانعة من الوصول إلى الملفات، فلن تستطيع الحكومة إجبارها على تسليمها.
وقالت جوجل، شركة تشغيل نظام أندرويد، بسرعة إنها ستحذو حذو أبل فيما يتعلق بالتشفير التلقائي لأجهزتها، على الرغم من أنه لن يتم تغطية جميع مستخدمي نظام الأندرويد بسرعة لأن نسبة كبيرة جداً من الأجهزة العاملة بنظام الأندرويد تقوم بتشغيل إصدارات قديمة من برامجه.
وفي الوقت الحاضر تعمل كل من ياهو وجوجل على التشفير حتى النهاية للبريد الإلكتروني وذلك لمنع مزودي البريد الإلكتروني من الوصول إلى محتويات تلك الرسائل (مع أن هناك معلومات قد تكون ذات قيمة بالنسبة للأشخاص الذين يتواصلون معها تبقى قابلة للوصول). بعض الشركات، مثل CloudFlare كلاود فلير، تقوم بنفس الشيء للتخزين عبر خدمة السحابة.
خطوة أبل ستجعل أجهزتها أكثر أمناً، على أساس أنها تترك المستخدمين مكشوفين في القليل من الطرق الرئيسية. أولاً، فقط لأن أبل لن تقوم بفتح الأجهزة أمام مؤسسات تنفيذ القانون لا يعني أن المسؤولين في تلك الوكالات الحكومية لا يستطيعون فتحها بأنفسهم. كتب خبير الأمن جوناثان زدزيارسكي في مدونته: «ما قامت به أبل هنا هو أنها خلقت لنفسها سياسة إنكار معقولة فيما ستفعل من أجل تنفيذ القانون. وفي حين أنه من الممكن تقنياً الدخول بالقوة للحصول على رمز التعريف الشخصي، إلا أنه لا يعني أنه يمكن تنفيذه تقنياً، وبالتالي إخراج أبل من ورطتها فيما يتعلق بالالتزام القانوني».
هجوم «الدخول بالقوة» هو طريقة يقوم فيها قراصنة الإنترنت ببساطة بإدخال جميع كلمات المرور الممكنة، وهو أمر ليس مستحيلاً بالنسبة لرمز مكون من أربعة حروف. وللحماية ضد ذلك، تملك أبل خيارات أمنية حيث يتم مسح البيانات عن الهاتف بعد عدد معين من المحاولات غير الناجحة. كما وجد زدزيارسكي نقطة ضعف أخرى، تحدثت عنها أيضاً صحيفة وايرد يوم الخميس: حيث إن أبل قامت بتصميم أجهزة الآيفون للتواصل مع أجهزة الكمبيوتر الشخصية الخاصة بالمستخدمين حتى لو كانت مغلقة، فإن أي شخص لديه وصول لكل من جهاز الهاتف وجهاز الكمبيوتر يستطيع الدخول إلى جهاز الهاتف. لكن هذا لا يعمل إلا إذا كان جهاز الهاتف يعمل لأن أبل تتطلب إعادة إدخال كلمة المرور عندما يبدأ بتنزيل نظام التشغيل. ويرى زدزيارسكي هذا على أنه تكتيك يُحتمل أن يكون غير مفيد لأمن المطارات، ويوصي أنه ينبغي على الأشخاص القلقين بشأن هذا إطفاء أجهزة الآيفون الخاصة بهم قبل المرور من خلال الأمن.
هناك مسألة أكبر، وهي أن أبل تقوم فقط بحماية جزء معين من المعلومات المُخزّنة على الجهاز. كما يتم أيضاً الاحتفاظ ببعض البيانات الحساسة- مثل سِجل المكالمات- من قِبل مشغلي الشبكات اللاسلكية، والكثير منها مُخزّن على خوادم أبل من خلال خدمات السحابة آيكلاود- كما تم تذكير العالم مؤخراً، عندما قام قراصنة بسرقة صور عارية للمشاهير. لكن بإمكان المستخدمين يدوياً منع أجهزتهم من إرسال المعلومات إلى خدمة الآيكلاود.
كما بإمكان أبل وضع تدابير تقنية لحماية بيانات خدمة السحابة بنفس الطريقة التي تملكها مع أجهزتها. يقول هاني فاخوري من مؤسسة الحدود الإلكترونية، إن مثل هذه الخطوة ستكون مثالية. «هناك بعض التوتر المضحك فيما يتعلق بمسألة خدمة السحابة. على نحو متزايد، لم يعُد الجهاز هو المكان الذي يتم فيه تخزين البيانات بعد الآن».