i.s.s.w
14-02-2007, 07:34 PM
بسم الله الرحمن الرحيم هنا وضعت لكم الموضوع ياسيوف الاسلام للحذر لمن يخاف على معلوماته والتجسس على جهازه من قبل ماكرو زفت ماعلينا راح اضع عدة وسائل للوقاية
في عام 2000 ثار جدل كبير حول خصوصية المعلومات الشخصية في الولايات المتحدة وأوروبا عندما كشفت الجهات المسؤولة في المباحث الفيدرالية الأمريكية أنها قامت بتطوير برنامج دعته كارنيفور أو "الملتهم"، ووظيفته التجسس على جميع أنواع الاتصالات التي تتم عبر إنترنت. وعزز هذا الإعلان المخاوف التي كانت موجودة أصلا لدى مجموعات حماية الحرية الشخصية في الولايات المتحدة، بسبب وجود شبكة تجسس عالمية أمريكية أوروبية اسمها هو "إيشيلون Echelon" أسستها وكالة الأمن القومي الأمريكي NSA بالتعاون مع عدد من المؤسسات الاستخبارية العالمية، بهدف التجسس على كافة الاتصالات الرقمية، والسلكية، واللاسلكية، وحتى الاتصالات عبر الأقمار الاصطناعية. وبالطبع، وبعد الأحداث الأخيرة في الولايات المتحدة، اكتسبت هذه الأدوات أهمية خاصة، وربما مبالغ بها. ومن هنا كانت فكرة هذا الموضوع، والذي سنتطرق من خلاله إلى كارنيفور و إيشيلون ببعض من التفصيل لنكشف النقاب عن حقيقة هذين البرنامجين، ومدى فعاليتهما، وهل هما بالفعل بهذه الأهمية التي نصورها.
[تحرير] كارنيفور، ملتهم البيانات
مقالة رئيسية: كارنيفور
طبقا لوكالة المباحث الفيدرالية الأمريكية فإن كارنيفور هو نظام كومبيوتري مصمم ليسمح لوكالة المباحث الفيدرالية الأمريكية، وبالتعاون مع الشركة المزودة لخدمات إنترنت ، بتطبيق أمر محكمة بجمع معلومات محددة حول رسائل البريد الإلكتروني ، أو أية اتصالات إلكترونية أخرى من وإلى مستخدم معين يستهدفه تحقيق ما." وتقول المباحث الأمريكية بأن اسم كارنيفور Carnivore، وهي كلمة إنجليزية تعني آكل اللحوم ، يشير إلى أن البرنامج يقوم بمضغ كافة البيانات المتدفقة عبر شبكة ما، ولكنه يقوم فعليا بالتهام المعلومات التي يسمح بها أمر المحكمة فقط.
ويمكن استخدام كارنيفور بشكلين فقط، الأول هو رصد المعلومات الواردة إلى والصادرة من حساب بريد إلكتروني معين، و/أو رصد حركة [[بيانات|البيانات]ي من وإلى عنوان IP معين. ويتم ذلك بعدة طرق وذلك إما من خلال رصد جميع الترويسات headers الخاصة برسائل البريد الإلكتروني (بما في ذلك عناوين البريد الإلكتروني) الصادرة من والواردة إلى حساب معين، ولكن ليس المحتويات الفعلية (أو خانة الموضوع). والطريقة الأخرى هي رصد جميع الأجهزة المزودة (مزودات الويب، والملفات) التي يقوم المشتبه به بالنفاذ إليها، وذلك من دون رصد المحتوى الفعلي لما ينفذ المستخدم إليه. ويمكن أيضا رصد جميع المستخدمين الذين يقومون بالنفاذ إلى صفحة ويب معينة أو ملف باستخدام FTP وأخيرا، يمكن رصد جميع صفحات إنترنت، وملفات FTP التي يقوم المستخدم بالنفاذ إليها.
كارنيفور إذا، وكما يمكن للقارئ الخبير أن يستنتج، ليس إلا برنامج لرصد حزم البيانات، أو ما يُطلق عليه اسم Packet Sniffer، وهي فئة معروفة من البرامج يستخدمها الهكرة عادة في التصنت على الحزم الواردة والصادرة إلى ومن حساب معين، وحفظ نسخة منها. ويجدر الإشارة هنا أيضا إلى أن كارنيفور لا يقوم بتغيير البيانات التي يقوم بجمعها، وتقتصر مهمته فقط على التصنت على الحزم وتسجيل نسخة منها. وتقول وكالة المباحث الفيدرالية أن كارنيفور فعليا هو عبارة عن برنامج ضمن "صندوق" (أو جهاز كمبيوتر) بمواصفات معينة، تتناسب مع متطلبات القانون الأمريكي الذي يصر على سمات معينة قد يكتسب الدليل الجنائي شرعيته. ولذا فإن صندوق كارنيفور عادة يتكون من العناصر التالية:
جهاز يعمل بنظام ويندوز أن تي (أو ويندوز 2000)، مزود بـ 128 ميغابايت من الذاكرة، ومعالج بنتيو 3، وقرص صلب بسعة 4-18 غيغابايت، وسواقة جاز للتخزين الاحتياطي بسعة 2 غيغابايت، وهي الوجهة النهائية التي يتم نسخ الأدلة إليها.
برنامج كارنيفور مكتوب بلغة C++
لا يستخدم البرنامج حزم TCP/IP (وذلك كي لا يكون بالإمكان النفاذ إليه عبر إنترنت)
جهاز للتحقق من الهوية، يُستخدم للتحكم فيمن لديه حقوق النفاذ إلى الصندوق (مما يمنع موظفي الشركة المزودة لخدمات إنترنت من النفاذ إلى داخل الصندوق دون إتلافه بشكل واضح.)
أداة "عزل عن الشبكة" تمنع الصندوق من إرسال البيانات خارجه، حتى لو تمكن أحد الهكرة من النفاذ إليه بشكل ما.
ملحقات برمجية يُشتبه في أنها تمثل نواة كارنيفور، والذي يُشتبه أيضا بأنه كُتب كملحق برمجي بلغة C++ لبرنامج EtherPeek المعروف، والمستخدم أيضا في التصنت على حزم البيانات.
ويُقال أيضا بأنه يوجد منافذ على الصندوق للاتصال عبر المودم، وذلك لتحميل البيانات عن بُعد، ولكن ذلك يتنافى مع الإجراءات التي تصر وكالة المباحث على اتباعها، وهي استبدال قرص الجاز يوميا.
ولما كانت هذه هي كافة التفاصيل التي تقدمها وكالة المباحث الفيدرالية حول عمل كارنيفور، فإن حماة الحريات الشخصية في الولايات المتحدة يخشون بأن يكون النظام من البدائية بحيث أنه أثناء التصنت على حسابات الأفراد المشتبه بهم، فإن كارنيفور يقوم أيضا بجمع معلومات من حسابات أخرى غير خاضعة للتحقيق، وبالتالي جمع معلومات شخصية عن أفراد لا علاقة لهم بأي تحقيقات. ورغم أنه يمكن من الناحية التقنية كتابة بريمج للتصنت على حزم البيانات يقوم بجمع المعلومات الخاصة بحسابات معينة فقط، فإن المتبع عمليا هو كتابة البرامج بشكل سريع اختصارا للوقت، وبالتالي عدم الاعتناء بجعل فعالية البرنامج تقتصر على حسابات وعناوين معينة. ويجب التركيز هنا على أن كارنيفور ليس برنامجا للمطابقة بين أنماط النص pattern matcher كالبرامج المستخدمة في البحث ضمن نص معين، ولكنه مجرد برنامج لتفسير بروتوكولات نقل البيانات، بمعنى أنه يتابع بروتوكولات نقل البريد الإلكتروني، ويقوم بفحص حقول معينة بها، وهو ما سنتطرق إليه بعد قليل. كما أننا يجب أن نؤكد هنا على أن كارنيفور لا يقوم بإفساد البيانات، أو تخريبها بأي شكل من الأشكال. فالبريد الإلكتروني ينتقل عبر الشبكة في حزم لها أرقامها التسلسلية الخاصة، وعند حدوث مشكلة في عملية النقل تؤدي إلى عدم التقاط كافة الحزم التي تُشكل رسالة معينة فإن كارنيفور يقوم بوضع علامة على هذه الثغرة في البريد الإلكتروني، مما يسمح لمن يتابعون هذا البريد باكتشاف مشاكل الاستقبال بسهولة. ويُشاع أيضا بأن صناديق كارنيفور منتشرة عبر إنترنت، وتقوم بالتجسس على كل شاردة وواردة، وهذا اعتقاد خاطئ لعدة أسباب أهمها هو أنه طبقا للقانون الأمريكي، فإنه يجب تجديد أوامر المحكمة التي تسمح بمتابعة المعلومات الشخصية بشكل شهري، ولذلك، فإنه لا يمكن لصناديق كارنيفور أن تتواجد ضمن مزود واحد لخدمات إنترنت لمدة أكثر من شهر واحد. كما أنه لا يجب على مزودي خدمات إنترنت استخدام كارنيفور إذا كان بحوزتهم الوسائل التي يمكنهم من خلالها تقديم المعلومات التي تطلبها المباحث. وحسب آخر الإحصائيات (أغسطس 2000)، فإنه يوجد في العالم عشرون صندوقا من صناديق كارنيفور، تحتفظ بها المباحث الفيدرالية في مقرها بكوانتكو بولاية فرجينيا. كما يجدر الإشارة إلى نقطة أخرى هنا وهي أن كارنيفور هو برنامج بدائي بكل معنى الكلمة، وبالتالي فلا يمكن استخدامه إلا لأغراض محددة وضمن نطاقات جغرافية معينة، ولذلك فهو ليس من البرامج المستخدمة للتجسس عالميا (كما هي الحال ضمن مشروع إيكيلون). كما أن المباحث عادة تقوم بوضع هذه الصناديق أمام مهندسي الشبكات في الشركات المزودة، في حين أن برامج مثل إيكيلون سرية للغاية ولا يعرف عنها إلا القليل من البشر.
[تحرير] ضوابط كارنيفور
وكي يكون الدليل الإلكتروني دليلا معتمدا في المحكمة، فقد قامت المحاكم الأمريكية بوضع مجموعة من الشروط التي تجعل من الأدلة التي يلتقطها كارنيفور أدلة صالحة للاستخدام. خصوصا وأنه من السهل تغيير الدليل الإلكتروني وتزييفه. وهذه الشروط هي:
مثلا، لا يمكن اعتماد رسالة بريد إلكتروني واحدة كدليل، بل يجب جمع كافة رسائل البريد الإلكتروني المتداولة ضمن حساب معين، خلال فترة زمنية متصلة (أسبوع أو شهر مثلا). وذلك لوضع جميع الرسائل ضمن سياق معين يثبت الجريمة بشكل قاطع.
يجب التحقق من هوية البيانات التي يتم رصدها، أي التحقق بشكل قاطع من هوية المرسل والمستقبل. كما يجب على موظفي المباحث توثيق كافة الخطوات التي استُخدمت عند تثبيت صندوق كارنيفور لدى مزود خدمات إنترنت
يجب على وكالات المباحث استخدام أفضل دليل ناتج، بمعنى أنه إذا كان بإمكان الشركة المزودة لخدمات إنترنت تزويد المباحث بالبريد الإلكتروني للشخص دون ثغرات، فإن ذلك يكون هو الدليل المعتمد وليس البيانات التي تم جمعها من خلال كارنيفور.
يجب ختم جميع الأدلة التي يتم الحصول عليها من كارنيفور. ففور أن يتم إخراج قرص الجاز من الصندوق فإنه يوضع في كيس بلاستيكي ويسجل عليه اسم عنصر المباحث الذي قام بإخراجه، وتاريخ ذلك اليوم وتوقيت إخراج القرص. ولا يمكن تغيير محتوى هذا القرص بأي شكل من الأشكال.
ضرورة اقتصار الأدلة التي يتم جمعها على ما يسمح به قرار المحكمة. أي أنه لا يتم اعتماد محتوى الرسائل التي يتم جمعها إذا كان قرار المحكمة ينص بالتصنت على عناوين البريد فقط.
في عام 2000 ثار جدل كبير حول خصوصية المعلومات الشخصية في الولايات المتحدة وأوروبا عندما كشفت الجهات المسؤولة في المباحث الفيدرالية الأمريكية أنها قامت بتطوير برنامج دعته كارنيفور أو "الملتهم"، ووظيفته التجسس على جميع أنواع الاتصالات التي تتم عبر إنترنت. وعزز هذا الإعلان المخاوف التي كانت موجودة أصلا لدى مجموعات حماية الحرية الشخصية في الولايات المتحدة، بسبب وجود شبكة تجسس عالمية أمريكية أوروبية اسمها هو "إيشيلون Echelon" أسستها وكالة الأمن القومي الأمريكي NSA بالتعاون مع عدد من المؤسسات الاستخبارية العالمية، بهدف التجسس على كافة الاتصالات الرقمية، والسلكية، واللاسلكية، وحتى الاتصالات عبر الأقمار الاصطناعية. وبالطبع، وبعد الأحداث الأخيرة في الولايات المتحدة، اكتسبت هذه الأدوات أهمية خاصة، وربما مبالغ بها. ومن هنا كانت فكرة هذا الموضوع، والذي سنتطرق من خلاله إلى كارنيفور و إيشيلون ببعض من التفصيل لنكشف النقاب عن حقيقة هذين البرنامجين، ومدى فعاليتهما، وهل هما بالفعل بهذه الأهمية التي نصورها.
[تحرير] كارنيفور، ملتهم البيانات
مقالة رئيسية: كارنيفور
طبقا لوكالة المباحث الفيدرالية الأمريكية فإن كارنيفور هو نظام كومبيوتري مصمم ليسمح لوكالة المباحث الفيدرالية الأمريكية، وبالتعاون مع الشركة المزودة لخدمات إنترنت ، بتطبيق أمر محكمة بجمع معلومات محددة حول رسائل البريد الإلكتروني ، أو أية اتصالات إلكترونية أخرى من وإلى مستخدم معين يستهدفه تحقيق ما." وتقول المباحث الأمريكية بأن اسم كارنيفور Carnivore، وهي كلمة إنجليزية تعني آكل اللحوم ، يشير إلى أن البرنامج يقوم بمضغ كافة البيانات المتدفقة عبر شبكة ما، ولكنه يقوم فعليا بالتهام المعلومات التي يسمح بها أمر المحكمة فقط.
ويمكن استخدام كارنيفور بشكلين فقط، الأول هو رصد المعلومات الواردة إلى والصادرة من حساب بريد إلكتروني معين، و/أو رصد حركة [[بيانات|البيانات]ي من وإلى عنوان IP معين. ويتم ذلك بعدة طرق وذلك إما من خلال رصد جميع الترويسات headers الخاصة برسائل البريد الإلكتروني (بما في ذلك عناوين البريد الإلكتروني) الصادرة من والواردة إلى حساب معين، ولكن ليس المحتويات الفعلية (أو خانة الموضوع). والطريقة الأخرى هي رصد جميع الأجهزة المزودة (مزودات الويب، والملفات) التي يقوم المشتبه به بالنفاذ إليها، وذلك من دون رصد المحتوى الفعلي لما ينفذ المستخدم إليه. ويمكن أيضا رصد جميع المستخدمين الذين يقومون بالنفاذ إلى صفحة ويب معينة أو ملف باستخدام FTP وأخيرا، يمكن رصد جميع صفحات إنترنت، وملفات FTP التي يقوم المستخدم بالنفاذ إليها.
كارنيفور إذا، وكما يمكن للقارئ الخبير أن يستنتج، ليس إلا برنامج لرصد حزم البيانات، أو ما يُطلق عليه اسم Packet Sniffer، وهي فئة معروفة من البرامج يستخدمها الهكرة عادة في التصنت على الحزم الواردة والصادرة إلى ومن حساب معين، وحفظ نسخة منها. ويجدر الإشارة هنا أيضا إلى أن كارنيفور لا يقوم بتغيير البيانات التي يقوم بجمعها، وتقتصر مهمته فقط على التصنت على الحزم وتسجيل نسخة منها. وتقول وكالة المباحث الفيدرالية أن كارنيفور فعليا هو عبارة عن برنامج ضمن "صندوق" (أو جهاز كمبيوتر) بمواصفات معينة، تتناسب مع متطلبات القانون الأمريكي الذي يصر على سمات معينة قد يكتسب الدليل الجنائي شرعيته. ولذا فإن صندوق كارنيفور عادة يتكون من العناصر التالية:
جهاز يعمل بنظام ويندوز أن تي (أو ويندوز 2000)، مزود بـ 128 ميغابايت من الذاكرة، ومعالج بنتيو 3، وقرص صلب بسعة 4-18 غيغابايت، وسواقة جاز للتخزين الاحتياطي بسعة 2 غيغابايت، وهي الوجهة النهائية التي يتم نسخ الأدلة إليها.
برنامج كارنيفور مكتوب بلغة C++
لا يستخدم البرنامج حزم TCP/IP (وذلك كي لا يكون بالإمكان النفاذ إليه عبر إنترنت)
جهاز للتحقق من الهوية، يُستخدم للتحكم فيمن لديه حقوق النفاذ إلى الصندوق (مما يمنع موظفي الشركة المزودة لخدمات إنترنت من النفاذ إلى داخل الصندوق دون إتلافه بشكل واضح.)
أداة "عزل عن الشبكة" تمنع الصندوق من إرسال البيانات خارجه، حتى لو تمكن أحد الهكرة من النفاذ إليه بشكل ما.
ملحقات برمجية يُشتبه في أنها تمثل نواة كارنيفور، والذي يُشتبه أيضا بأنه كُتب كملحق برمجي بلغة C++ لبرنامج EtherPeek المعروف، والمستخدم أيضا في التصنت على حزم البيانات.
ويُقال أيضا بأنه يوجد منافذ على الصندوق للاتصال عبر المودم، وذلك لتحميل البيانات عن بُعد، ولكن ذلك يتنافى مع الإجراءات التي تصر وكالة المباحث على اتباعها، وهي استبدال قرص الجاز يوميا.
ولما كانت هذه هي كافة التفاصيل التي تقدمها وكالة المباحث الفيدرالية حول عمل كارنيفور، فإن حماة الحريات الشخصية في الولايات المتحدة يخشون بأن يكون النظام من البدائية بحيث أنه أثناء التصنت على حسابات الأفراد المشتبه بهم، فإن كارنيفور يقوم أيضا بجمع معلومات من حسابات أخرى غير خاضعة للتحقيق، وبالتالي جمع معلومات شخصية عن أفراد لا علاقة لهم بأي تحقيقات. ورغم أنه يمكن من الناحية التقنية كتابة بريمج للتصنت على حزم البيانات يقوم بجمع المعلومات الخاصة بحسابات معينة فقط، فإن المتبع عمليا هو كتابة البرامج بشكل سريع اختصارا للوقت، وبالتالي عدم الاعتناء بجعل فعالية البرنامج تقتصر على حسابات وعناوين معينة. ويجب التركيز هنا على أن كارنيفور ليس برنامجا للمطابقة بين أنماط النص pattern matcher كالبرامج المستخدمة في البحث ضمن نص معين، ولكنه مجرد برنامج لتفسير بروتوكولات نقل البيانات، بمعنى أنه يتابع بروتوكولات نقل البريد الإلكتروني، ويقوم بفحص حقول معينة بها، وهو ما سنتطرق إليه بعد قليل. كما أننا يجب أن نؤكد هنا على أن كارنيفور لا يقوم بإفساد البيانات، أو تخريبها بأي شكل من الأشكال. فالبريد الإلكتروني ينتقل عبر الشبكة في حزم لها أرقامها التسلسلية الخاصة، وعند حدوث مشكلة في عملية النقل تؤدي إلى عدم التقاط كافة الحزم التي تُشكل رسالة معينة فإن كارنيفور يقوم بوضع علامة على هذه الثغرة في البريد الإلكتروني، مما يسمح لمن يتابعون هذا البريد باكتشاف مشاكل الاستقبال بسهولة. ويُشاع أيضا بأن صناديق كارنيفور منتشرة عبر إنترنت، وتقوم بالتجسس على كل شاردة وواردة، وهذا اعتقاد خاطئ لعدة أسباب أهمها هو أنه طبقا للقانون الأمريكي، فإنه يجب تجديد أوامر المحكمة التي تسمح بمتابعة المعلومات الشخصية بشكل شهري، ولذلك، فإنه لا يمكن لصناديق كارنيفور أن تتواجد ضمن مزود واحد لخدمات إنترنت لمدة أكثر من شهر واحد. كما أنه لا يجب على مزودي خدمات إنترنت استخدام كارنيفور إذا كان بحوزتهم الوسائل التي يمكنهم من خلالها تقديم المعلومات التي تطلبها المباحث. وحسب آخر الإحصائيات (أغسطس 2000)، فإنه يوجد في العالم عشرون صندوقا من صناديق كارنيفور، تحتفظ بها المباحث الفيدرالية في مقرها بكوانتكو بولاية فرجينيا. كما يجدر الإشارة إلى نقطة أخرى هنا وهي أن كارنيفور هو برنامج بدائي بكل معنى الكلمة، وبالتالي فلا يمكن استخدامه إلا لأغراض محددة وضمن نطاقات جغرافية معينة، ولذلك فهو ليس من البرامج المستخدمة للتجسس عالميا (كما هي الحال ضمن مشروع إيكيلون). كما أن المباحث عادة تقوم بوضع هذه الصناديق أمام مهندسي الشبكات في الشركات المزودة، في حين أن برامج مثل إيكيلون سرية للغاية ولا يعرف عنها إلا القليل من البشر.
[تحرير] ضوابط كارنيفور
وكي يكون الدليل الإلكتروني دليلا معتمدا في المحكمة، فقد قامت المحاكم الأمريكية بوضع مجموعة من الشروط التي تجعل من الأدلة التي يلتقطها كارنيفور أدلة صالحة للاستخدام. خصوصا وأنه من السهل تغيير الدليل الإلكتروني وتزييفه. وهذه الشروط هي:
مثلا، لا يمكن اعتماد رسالة بريد إلكتروني واحدة كدليل، بل يجب جمع كافة رسائل البريد الإلكتروني المتداولة ضمن حساب معين، خلال فترة زمنية متصلة (أسبوع أو شهر مثلا). وذلك لوضع جميع الرسائل ضمن سياق معين يثبت الجريمة بشكل قاطع.
يجب التحقق من هوية البيانات التي يتم رصدها، أي التحقق بشكل قاطع من هوية المرسل والمستقبل. كما يجب على موظفي المباحث توثيق كافة الخطوات التي استُخدمت عند تثبيت صندوق كارنيفور لدى مزود خدمات إنترنت
يجب على وكالات المباحث استخدام أفضل دليل ناتج، بمعنى أنه إذا كان بإمكان الشركة المزودة لخدمات إنترنت تزويد المباحث بالبريد الإلكتروني للشخص دون ثغرات، فإن ذلك يكون هو الدليل المعتمد وليس البيانات التي تم جمعها من خلال كارنيفور.
يجب ختم جميع الأدلة التي يتم الحصول عليها من كارنيفور. ففور أن يتم إخراج قرص الجاز من الصندوق فإنه يوضع في كيس بلاستيكي ويسجل عليه اسم عنصر المباحث الذي قام بإخراجه، وتاريخ ذلك اليوم وتوقيت إخراج القرص. ولا يمكن تغيير محتوى هذا القرص بأي شكل من الأشكال.
ضرورة اقتصار الأدلة التي يتم جمعها على ما يسمح به قرار المحكمة. أي أنه لا يتم اعتماد محتوى الرسائل التي يتم جمعها إذا كان قرار المحكمة ينص بالتصنت على عناوين البريد فقط.