لوحة المتصدرين

أنهينا إلى هنا كلّ المواضيع الأساسية المتعلّقة بحماية المستخدم وأجهزته وخدماته التي يستعملها، كما شرحنا أساسيات الأمان الرقمي والوعي فيه بالإضافة لمواضيع شتّى. وسنتطرق في هذا الفصل الأخير إلى مجموعةٍ من المواضيع المتقدمة المتعلّقة بالمجال. لا ترتبط هذه المواضيع ببعضها البعض بصورة كاملة لكن من المفيد جدًا أن يطّلع عليها المستخدم ويتعلّمها لزيادة أمانه الرقمي والتعمّق فيه أكثر. الهندسة الاجتماعية الهندسة الاجتماعية (Social Engineering) هي تصنيف لمجموعة من الممارسات التي يمارسها المخترقون على الضحايا بهدف جعلهم يُضعفون حمايتهم جزئيًا أو كلّيًا طواعيةً بدلًا من الاعتماد بالكامل على اختراق الأنظمة الإلكترونية. قد تشتمل الهندسة الاجتماعية على عمليات اختراق للأنظمة والأجهزة كالمعتاد لكن يجب أن يكون ضمن العملية عامل بشري اجتماعي وإلّا لا يُعتبر ضمن الهندسة الاجتماعية. رسائل التصيّد الاحتيالي (Phishing) ورسائل البريد والصفحات الإلكترونية المزوّرة كلّها أمثلة على أساليب الهندسة الاجتماعية. فهذه الأساليب مثلًا لا تعتمد على أن يقوم المُختَرِق باختراق جهاز الضحية وسحب البيانات منها بنفسه بسبب ثغرة في البرمجيات مثلًا، بل تعتمد على عوامل نفسية واجتماعية للضحية ليقوم هو بتسليم بياناته الحسّاسة (اسم المستخدم وكلمات المرور مثلًا) للمُختَرق دون أن يعلم بذلك (أو حتّى مع علمه في بعضه الأحيان). تشمل الأمثلة التي يتّبعها المُختَرقِون: إرسال صفحة فيس بوك مزوّرة إلى المستخدمين المُراد اختراقهم، وتُسرق حساباتهم عند إدخالهم اسم المستخدم وكلمة المرور. إرسال رسائل بريدية أو SMS إلى الضحية المطلوب اختراقها من نوعية: "لقد ربحت مبلغ كذا، أرسل لنا حوالة بنكية صغيرة لنعالج طلب تحويل أموالك" أو "والدك أصيب في حادث سيّارة ويحتاج مبلغًا ماليًا كبيرًا لمتابعة العلاج، أرسل لنا على هذا الحساب البنكي" وما شابه ذلك من اللعب على العواطف. اختراق حسابٍ واحد فقط لأحد الموظّفين في أحد المؤسسات التي يريدون اختراقها، ثمّ يستعملون حساباته الإلكترونية لإرسال مستندات ووثائق تحتوي برمجياتٍ خبيثة إلى الموظّفين العاملين مع ذاك الموظّف وهؤلاء بدورهم لن يشكّوا بشيء وسيفتحون الملفّات الخبيثة مباشرةً ويعتبرونها آمنة 100% لأنّها قادمة من صديقهم. ويمكنهم فعل أكثر من ذلك من طلب البيانات الحساسة أو كلمات المرور وسيسلّمونها مباشرةً لأنّ هذا الطلب - يظنّون - قادم من صديقهم أو رئيسهم في العمل، وهكذا تنتشر البرمجيات الخبيثة في كامل المؤسسة وتُسرق جميع البيانات. طلبات المساعدة الاجتماعية، مثل "امرأة أرملة ولها طفلان وبحاجة لمساعدة" وما شابه ذلك. قد تتضمن الهجمات الرقمية مزيجًا من الهجمات على الأنظمة بالإضافة إلى بعض عوامل الهندسة الاجتماعية؛ فيُمكن مثلًا الاعتماد على أحد الثغرات الموجودة في أحد مواقع الويب بالإضافة إلى قيام الضحية بتفعيل إجراء معيّن من طرفه لكي تنجح عملية الاختراق ككل. من أشهر الأمثلة الحديثة على الهندسة الاجتماعية ما حصل في شركة تويتر مؤخّرًا (شهر يوليو من سنة 2020م) [1]، حيث نجح مراهق أمريكي في الـ17 من عمره بشنّ هجوم هندسة اجتماعية على موظّفي الدعم الفنّي في تويتر ليتمكّن من استخدام بيانات بعضهم للوصول إلى 45 حساب لأشخاص مهمّين حول العالم مثل بيل غيتس ودونالد ترامب وإيلون ماسك وغيرهم، ثمّ نشر عليها تغريداتٍ مزيّفة تدّعي أنّه سيُرسل عملات رقمية (بتكوين) لكلّ من يرسل له مبلغًا بسيطًا على عنوانٍ معيّن. أُلقي القبض على المُراهق وتبيّن أنّه قد جمع أكثر من 100 ألف دولار أمريكي بهذه الطريقة. المشكلة مع الهندسة الاجتماعية هي أنّها ليست شيئًا يُمكن تأمينه أو الحماية ضدّه؛ فهي في الواقع منبثقة عن مفاهيم الوعي التي شرحناها في أوّل فصلٍ من هذه السلسلة لكنّها قد تستعمل أساليب متقدمة جدًا لخداع المستخدمين، كما قد تُوظَّف لجلب بيانات هامشية غير مهمّة عن الأنظمة في نظر الناس لكنّها مفيدة جدًا للمُخترقين، حيث يمكن عبر دمجها في عمليات الاختراق الحقيقية للأنظمة أن تصبح مزيجًا مدمّرًا جدًا. كما أنّه من المستحيل الحماية ضدّها على نطاقٍ واسع؛ فالشركات التي توظّف مئات وآلاف الموظّفين حول العالم وفي مختلف الأمكنة والقطاعات لا تمتلك الموارد الكافية لتحصين كامل موظّفيها وتعليمهم حول هذه المواضيع. وبالتالي فإنّ معظم الأنظمة التي تراها حولك هي قابلة للاختراق في الواقع سواءٌ من الناحية التقنية أو من الناحية الاجتماعية، لكن ما يردع المخترقين عن محاولة فعل ذلك ليس صعوبة الاختراق بل قدرة الجهات القانونية ومراكز الاستخبارات نفسها على تتبعهم وكشفهم والقبض عليهم كذلك إن فعلوا مثل هذه الأمور، فسلاح الردع هنا ليس الحماية بل هو القدرة على الانتقام من طرف السلطات في حال حصل ذلك. والهندسة الاجتماعية علمٌ يستعمل في أكثر من مجرّد مجال الأمان الرقمي، بل قد تستعمله الدول بين بعضها البعض لاستمالة الأفراد العاملين في الجهة الأخرى إلى جانبهم وبالتالي اختراقها. وواقعنا الشرق أوسطي خيرُ مثالٍ على ذلك حيث أصبح العملاء والمُخترقون أكثر عددًا من السكّان الأصليين. يمكنك أنت - كشخص - تحصين نفسك ضد الهندسة الاجتماعية عبر اتباع نصائح الوعي الرقمي التي ذكرناها في مقدّمة هذه السلسلة، ثمّ متابعة قراءة المزيد من الكتب والموارد حولها على الشبكة. الحماية من ثغرات العتاد يمكن للعتاد كذلك أن يُصاب بالثغرات الأمنية. إنّ قطع العتاد الموجودة على جهازك - مثل المعالج واللوحة الأمّ - تعتمد على عدّة أشياء لتعمل: طرف نظام التشغيل والتعريفات موجودة فيه لقطع العتاد. طرف برامج التعريف الثابتة (Firmware) للعتاد نفسه لكنّها لا تخزّن على نظام التشغيل أو القرص الصلب، بل في ذاكرة ROM (وليس RAM) على اللوحة الأمّ. طرف العتاد الفيزيائي وطريقة تصميم الدارات الإلكترونية فيه، فهذه الدارات في النهاية تستقبل وتعالج بيانات وبالتالي يمكن لعملياتها هذه أن تكون آمنة أو لا. أشهر ثغرات العتاد في عصرنا الحالي هما ثغرتا Spectre وMeltdown؛ وهما ثغرتان في أنظمة حماية الذاكرة العشوائية (RAM) أثناء عملها مع معظم المعالجات الحديثة [2]. وقد أصيبت بها جميع معالجات Intel وAMD وARM تقريبًا وترقيعها تطلّب تحديثاتٍ أمنية على المستويات الثلاثة؛ تحديث لتعريفات نظام التشغيل وتحديث لبرامج التحديث الثابتة بالإضافة إلى تعديلات فيزيائية للمعالجات الجديدة لتجنّب هذه الثغرات. وقد كان هذا مكلفًا جدًا على الشركات وكبّدها خسائر كبيرة بالمليارات، كما سببت ترقيعات هذه الثغرات انخفاضًا بأداء الحواسيب يصل إلى 30%. وهاتان الثغرتان ليستا الوحيدتين بل هناك العشرات من ثغرات العتاد التي اكتُشفت من وقتها. ولهذا على المستخدم متابعة التطوّرات دومًا وتحديث أنظمته وأجهزته إلى آخر الإصدارات. وتأمين أجهزة المستخدم ضدّها (بعد اكتشافها وإصلاحها من طرف الشركات بالطبع) ممكن عبر تحديث نظام التشغيل أوّلًا بأوّل، ثمّ تحديث برامج التعريف الثابتة (Firmware) وفق إرشادات الاستخدام الصادرة عن الشركات المصنّعة. وفي بعض الحالات يستحيل ترقيع المعالجات القديمة لتجنّب الثغرات وبالتالي يكون من الواجب هنا استبدال كامل الجهاز أو المعالج فيه بواحدٍ أحدث. البيانات الوصفية للملفّات وخطورتها عند مشاركتك لملفٍّ ما مع أحدهم عبر الإنترنت من جهازك فإنّ الملفّ يأخذ معه شيئًا من البيانات الوصفية (Metadata) الخاصّة بك. وهذه البيانات مخفية داخل الملفّ ولا تظهر في محرر النصوص أو البرامج بل تحتاج برامج خاصّة لعرضها. ويختلف حجم وكمّ ونوعيّة هذه البيانات بناءً على نظام التشغيل والبرامج المُستعملة في إنشاء وتعديل الملفّات. من الأمثلة على البيانات الوصفية: تاريخ إنشاء الملفّ لأوّل مرّة. تاريخ آخر تعديل على الملفّ. تواريخ تعديل الملفّ على فترات مختلفة. اسم صانع الملفّ الأصلي. اسم من قام بتعديل الملفّ. وقت الحرير الإجمالي للملفّ (كم دقيقة قام الناس بالعمل عليه؟). اسم البرنامج المُستعمل في إنشاء الملفّ. إصدار البرنامج المُستعمل في إنشاء الملفّ. وغير ذلك (تختلف البيانات الوصفية بناءً على صيغة الملفّ والبرامج والأنظمة المُستعملة في العمل عليه). وكما ترى فيمكن لهذه البيانات أن تكشف الكثير عنّ أصحابها وقد تكون معلوماتٍ حسّاسة في بعض الأحيان، وبالتالي - إن كان نموذج الخطر الخاصّ بك مرتفعًا - فعليك إزالتها قبل مشاركتها مع الآخرين. بعضهم يخزّن بيانات الملفّ كاملة في البيانات الوصفية للملفّات ويترك محتوى الملفّ نفسه فارغًا تجنّبًا لإثارة الشبهات في تخزينها داخل الملفّ وهذا ممكن نظريًا يمكنك استعمال برنامج exiftool من سطر الأوامر على لينكس لاستعراض وتعديل وحذف البيانات الوصفية للملفّات. فقط اكتب اسم البرنامج متبوعًا بفراغٍ وبعده مسار الملفّ لرؤية البيانات الوصفية: يمكنك مراجعة توثيق البرنامج لرؤية طريقة استعماله لتعديل وحذف البيانات الوصفية. يعمل البرنامج كذلك على أنظمة ويندوز وماك (واجهة نصّية) وبالتالي يمكنك تحميله من موقعه الرسمي على https://exiftool.org نظام Qubes OS وفائدة استخدامه هناك توزيعات لينكس مختلفة بأنماطٍ متعددة من الحماية لكنّ أبرزها ما يُعرف بـQubes OS، وهي توزيعة لينكس مبنية بنظام الحوسبة الافتراضية (Virtualization) والحاويات (Containers) وهو ما يجعلها - نظريًا - من أأمن أنظمة التشغيل في العالم. طريقة عمل هذه التوزيعة مختلفة عن كلّ توزيعات لينكس الأخرى، فكلّ مكوّناتها من النواة ومكوّنات نظام التشغيل والبرامج الأخرى مفصولةً عن بعضها البعض في حاويات وهمية منفصلة، وبالتالي حتّى لو نجح المخترقون مثلًا في اختراق متصفّح فيرفكس الخاصّ بك فلن يتمكّنوا من الوصول إلى أيّ شيءٍ آخر مخزّن على نظامك ولا حتّى ملفّاتك الأخرى، وهذا لأنّها مفصولة عن حاوية برنامج فيرفكس، وقِس على ذلك. الحاويات (Containers) هي أشبه بمناطق معزولة في نظام التشغيل تمتلك مواردها وعملياتها الخاصّة بعيدًا عن بقية العمليات الأخرى في نظام التشغيل. مثلًا يمكنك تشغيل توزيعة لينكس (أوبونتو مثلًا) ضمن حاوية على نظام تشغيلك الحالي، وبالتالي تعتبر كأنّها نظام تشغيل وهمي يعمل بصورة منفصلة عن بقية البرامج على نفس نظامك الحالي (لا يوجد إمكانية للبرامج التي تعمل ضمن تلك الحاوية أن تصل إلى ملفّاتك ونظامك الحقيقي). يمكنك تشغيل عشرات ومئات الحاويات في نفس الوقت إن أردت حسب احتياجاتك. من المفيد أن يطّلع عليها المستخدمون الراغبون في حمايةٍ أكبر على Qubes-OS.org استخدام DNS مشفّر منفصل لقد شرحنا في السابق فائدة استخدام نظام DNS من جهة ثالثة غير نظام الـDNS القادم من مزوّد خدمة الإنترنت الخاصّة بنا في فصل "تأمين الأشياء الأساسية - تأمين الموجّه"، لكن هناك طبقة إضافية من الحماية لأنظمة DNS وهي التشفير؛ حيث يمكنك أن تشفّر الطلبات بينك وبينك نظام الـDNS نفسه كذلك. هذه الميّزة موجودة فعليًا في متصفّح فيرفكس باسم DNS-over-HTTPS من إعدادات الشبكة ويمكنك تفعيلها: لكن ما نتحدّث نحن عنه الآن هو نظام DNS مشفّر منفصل كامل تتحكّم أنت به (Dedicated Encrypted DNS)، حيث تثبّته على حاسوب Raspberry Pi صغير مثلًا أو على أحد الخواديم التي تمتلكها، ثمّ تستعمل عنوان الآي بي الخاصّ بذاك الخادوم في الموجّه (الراوتر Router) الخاصّ بك بدلًا من استعمال خدمات شركة خارجية. والعملية صعبة ومعقّدة بعض الشيء وتتطلب عتادًا منفصلًا ولهذا لم نشرحها في هذه السلسلة، لكن يمكنك معرفة المزيد عبر برنامج DNSCrypt وهو مجاني ومفتوح المصدر ويعمل على الأجهزة والخواديم المختلفة: https://www.dnscrypt.org تحليل تدفّق الشبكة تدفّق الشبكة (Network Traffic) هو البيانات التي تُحمّل وُترفع في شبكة الاتصال المرتبطة بالجهاز. فأيّ جهاز (هاتف محمول أو حاسوب) إمّا يُرسل وإمّا يحمّل البيانات من الشبكة، وبالتالي يمكن تحليل هذا التدفّق ورؤيته لمعرفة بعض المعلومات عنه (الجهة التي يذهب إليها بالإضافة إلى معلومات الترويسات "Headers" وغير ذلك). وهذا مفيدٌ جدًا ﻷنّك ستصبح قادرًا على معرفة الاتصالات التي تجريها أجهزتك ومع أيّ خواديم (Servers) وتابعة لمن، وبالتالي يمكنك معرفة ما إذا كنتَ مُخترَقًا أم لا أو إن كان هناك بعض التطبيقات التي ترفع أجزاءً يجب ألّا ترفعها من بياناتك مثلًا. لأنّه بما أنّك تراقب كامل تدفّق الشبكة فيمكنك معرفة ورؤية كلّ الاتصالات التي تجريها أجهزتك على تلك الشبكة. تحليل التدفّق عملية ممكنة على الحواسيب والأجهزة المحمولة، فقط كلّ ما عليك فعله هو تثبيت أحد برامج تحليل الشبكات (Network Analyzer) على نظام التشغيل المناسب لك ثمّ استعماله وفق التوثيق الرسمي له. لم نشرح العملية في هذه السلسلة لأنّها فوق مستوى القارئ الذي وُجّه له هذه السلسلة لكن العملية ليست أكثر من مجرّد تثبيت البرنامج ثمّ اتباع الشرح الرسمي. من أشهر برامج تحليل الشبكات على الحواسيب المحمولة برنامجٌ اسمه Wireshark، وهو مجاني ومفتوح المصدر. يمكنك تحميله من موقعه الرسمي وتثبيته على أنظمة ويندوز أو ماك أو لينكس. بعدها يمكنك مراجعة التوثيق الرسمي الخاصّ به لتعلّم استخدامه وكيفية مراقبة تدفّق الشبكة اللاسلكية/السلكية التي أنت متصلٌ بها. أمّا على الهواتف المحمولة فلا يوجد - على حدّ علمنا - برمجيات مفتوحة المصدر بنفس الجودة والكفاءة. لكن يمكنك البحث في متجر التطبيقات الخاصّ بك عن "Network analyzer" وستجد الكثير من التطبيقات التي يمكنك تجريبها ومراجعتها. بعد تثبيت البرنامج عليك تشغيله لرؤية أسماء المواقع والخدمات التي تتصل بها أجهزتك. عليك: تفحّص الجهاز في الحالة العادية وعلى مدة طويلة (أيام مثلًا)، هل يُرسل بياناتٍ بصورة مفاجئة إلى أحد مواقع الإنترنت أو عناوين آي بي لخواديم معيّنة؟ تفحّص أي تطبيق تشتبه به أنّه قد يُرسل شيئًا من بياناتك إلى عناوين ويب معيّنة. فقط افتح التطبيق المشبوه وتصفّحه لبضعة دقائق ثمّ راقب تدفّق الشبكة وما إذا كانت تظهر عناوين ويب جديدة يتم الاتصال بها. محاولة النظر في محتويات حزم البيانات (Packets) التي تُرسل في تدفّق الشبكة. هل يوجد بها أيّ بيانات حساسة لك؟ قد تُرسل التطبيقات المختلفة على نظامك البيانات إلى عناوين الآي بي (مثل 78.45.4.34) أو إلى أسماء نطاقات مسجّل (example.com). يمكنك فتح تلك العناوين في متصفّحك لرؤية ما إن كانت تعمل وراء خواديم ويب أم لا. إن كان الجواب لا فيمكنك معرفة المزيد عن تلك العناوين (مثل موقعها الجغرافي ولمن هي تابعة) عبر خدمات مثل Who.is. الخدمات اللامركزية البنية التقليدية للاتصالات في شبكة الإنترنت هي بنية Client-Server (برنامج عميل، برنامج خادوم) حيث يتصل البرنامج العميل (المتصفّح غالبًا) بالخادوم ليجلب البيانات منه، يكون عنوان الآي بي الخاصّ بالخادوم ثابتًا لا يتغيّر ويعرفه كلّ المستخدمين ليتمكّنوا من الوصول إليه عبر اسم نطاق معيّن (Domain Name) يكون مربوطًا به. لكن هناك بنية أخرى للاتصالات وهي بنية النظير للنظير (Peer to Peer) أو تُعرف رمزًا بـP2P. وهذه البنية مختلفة عن البنية السابقة حيث لا تتطلب وجود خادومٍ مركزي للاتصال بل تتصل أجهزة العملاء (Clients) بين بعضها البعض مباشرةً لتبادل البيانات. لأنّه بما أنّ كلّ جهازٍ من أجهزتنا يمتلك عنوان آي بي ومنافذ (Ports) خاصّة به فيمكن للأجهزة الأخرى حول العالم كذلك أن تتصل به، إن سمح لها المُستخدم بذلك وعطّل الجدار الناري الخاصّ براوتر الشبكة واستخدم البرامج المناسبة. أشهر مثال على ذلك هو ما يعرف شعبيًا بالتورنت (Torrent) وله ما يُعرف بالباذرين (Seeders) والنظراء (Peers) الذين يحمّلون البيانات المرفوعة من الباذرين. ومن بين الأمثلة على ذلك متصفّح تور، وهو متصفّح مبني على فيرفكس يستعمل تقنية النظير للنظير لإجراء اتصالات آمنة ومشفّرة للمستخدمين. لكن صارت الخدمات اللامركزية في السنوات الأخيرة أكثر من ذلك بكثير؛ حيث ضجر الكثير من المستخدمين من سياسات الشركات العملاقة مثل فيس بوك ويوتيوب وجوجل وأمازون وغيرها، ووجدوا أنّ أفضل طريقة لإنشاء محتوىً سهل التداول وغير قابل للحجب والمراقبة وفرض السياسات عليه هو عبر جعله يعمل باتصالات النظير للنظير. نذكر من بينها المشاريع مفتوحة المصدر التالية: Mastodon: أنشئ شبكتك الاجتماعية الخاصّة بك على شكل عُقَد (Nodes) يمكن وصلها بالشبكات الاجتماعية للآخرين أو فصلها متى ما أردت. وهو في الواقع بديل لامركزي لخدمة تويتر. Diaspora: شبكة اجتماعية لامركزية أشبه بفيس بوك. Beaker Browser: متصفّح ويب يعمل بالكامل بتقنية النظير للنظير، وبالتالي تُنشأ صفحات الويب الخاصّة بك أو تحمّلها من الآخرين عبر الشبكة وبروابط مباشرة بينك وبينهم دون الحاجة للمرور بخواديم أحد. Sia: خدمة مشاركة ملفّات لامركزية مثل جوجل درايف وغيرها، لكنّ الملفّات تستضاف على أجهزة جميع المستخدمين بصورة آمنة ومشفّرة ومقطّعة. العملات الرقمية ظهرت سنة 2009م أوّل عملة رقمية ناجحة وهي بتكوين (Bitcoin). وهي عملة لامركزية تعتمد على تقنية النظير للنظير (Peer to Peer) لإجراء المعاملات المالية الرقمية. والبتكوين في الواقع ما هي إلّا مجموعة بيانات وبالتالي قيمتها قادمة من قيمة السوق المحيط بها والذي يتعامل بها وليست من شيءٍ معيّن. تخزّن جميع معاملات بتكوين من إرسال وتحويل وغير ذلك في قاعدة بيانات عملاقة مشتركة بين جميع المستخدمين اسمها بلوكتشين (Blockchain)، وهي مشفّرة ومؤمّنة بصورة كبيرة تضمن أنّ المعاملات التي تجري بها غير قابلة للتعديل أو التغيير من قبل الآخرين، وبالتالي يمكن لشخصين مثلًا أن يتبادلا البتكوين بينهما دون خوفٌ من طرفٍ قد يتدخّل بينهما. إنّ إجراء عمليات بيع وشراء العملات الرقمية يحصل إمّا من طرف محفظات المستخدمين (Users Wallets) مباشرةً بين بعضهم البعض، أو بين منصّات تداول العملات الرقمية (e-Wallets) وهذا هو الخيار الأشهر والأسهل لأنّ الأوّل سيتطلّب الكثير من الجهد والتعب لتأمين البيانات وإجراء المعاملات، بينما يمكنك في دقائق إجراء عمليات البيع والشراء عن طريق أحد منصّات العملات الرقمية. وبفضل طبيعة العملات الرقمية فإنّ تبادلها مجهول تمامًا، حيث تحصل عمليات تحويل بتكوين بين الأطراف المختلفة عن طريق عناوين مشفّرة مجهولة الهوية لا يُعرف أصحابها وبالتالي تتخفّى عن أعين المراقبة (إلّا أنّ الدول مثلًا يمكنها محاولة معرفة صاحب عنوان معيّن عن طريق سجّلات المستخدمين وبياناتهم في منصّات التداول إن كانت تحت أراضيها لكن هذا غير مضمون). هناك منصّات عالمية للتداول ومنصّات محلّية، ويمكنك البحث في بلدك عن تلك المنصّات ورؤية ما إذا كانت تدعم البيع والشراء داخل بلدك أم لا. هناك الكثير من العملات الرقمية (المئات وربّما الآلاف منها) وهي تجارة رائجة جدًا في يومنا هذا بل هي الموضة الحالية المالية في عصرنا. وبسبب هذا فقد ازداد الإقبال عليها في العالم العربي، لكن هناك العديد من النصائح والمعلومات الواجب تذكّرها عند التعامل بالعملات الرقمية: لا يمكن استرجاع البتكوين في حال إرسالها إلى عنوانٍ خاطئ أو غير صحيح بتاتًا. إن اختُرق حسابك وسُرقت البتكوين منه فقد ضاعت للأبد. تحتاج حاليًا عمليات بتكوين ما بين 10 دقائق إلى عدّة ساعات لإجراء ما يعرف بالتأكيدات (Confirmations) وهي ببساطة عمليات التأكّد من نظيرين (Peers) آخرين من العملية وأنّها صحيحة. إنّ إنشاء محفظتك الخاصّة بك للعملات الرقمية على حاسوبك هو الخيار المنصوح به لكنّه من المستحيل على معظم قرّاء هذه السلسلة تطبيقه لصعوبته وصعوبة تأمين الأموال التي عليه بعدها، وبالتالي فإنّ أفضل حلّ هو استخدام المنصّات الجاهزة للعملات الرقمية. هناك رسوم استقبال وإرسال تؤخذ منك من قبل تلك المنصّات عند كلّ عملية تجريها. منصّات التداول خاضعة للدول التي تعمل بها وبالتالي هي تحت قوانينها، وهي تمتلك كامل معاملاتك المالية معها بالإضافة إلى كلّ عناوين الاستقبال التي استعملتها وبالتالي يمكنها معرفة نشاطاتك بالتعاون مع الدولة. وتستعمل الدول تلك المعلومات غالبًا من أجل جمع الضرائب كما في حالة Coinbase والولايات المتّحدة. استعمل نصائح تأمين الحسابات التي شرحناها مسبقًا في هذه السلسلة لتأمين حسابك على تلك المنصّات، مثل استخدام الاستيثاق الثنائي وكلمة مرور قوية وغير ذلك. متابعة آخر أخبار الحماية والأمان والخصوصية يمكنك متابعة آخر أخبار الحماية والخصوصية بالإضافة إلى آخر التطورات والأبحاث في المجال عن طريق متابعة المواقع والمراكز التالية. وتمامًا كما هناك ما يسمّى بـ"مراكز التفكير" (Think Tanks) في السياسة فهناك مراكز أبحاث شبيهة في الأمان الرقمي: CitzenLab: مركز أبحاث حول الأمان الرقمي مركزه في كندا، لديه العشرات من التقارير والأبحاث المهمّة حول الخصوصية والأمان في العصر الحديث لم يُسبَق إليها من قبل. Upturn: مركز أبحاث متخصص بانتهاكات الخصوصية وسبل الوقاية منها. The Hacker News: موقع إخباري متخصص في أخبار الاختراقات والحماية حول العالم. r/Privacy على موقع ريديت: مجتمع متخصص بالخصوصية وآخر أخبارها على منصة النقاش الشهيرة Reddit. اقرأ أيضًا المقال السابق: كيف تعرف أنك اخترقت في العالم الرقمي وماذا تفعل حيال ذلك؟ النسخة الكاملة من كتاب دليل الأمان الرقمي

إنّ تأمين الهاتف المحمول في هذا العصر ضرورة ملحّة وهذا لأنّ الكثير من الناس يقضي معظم وقته على هذه الهواتف. والهواتف هي أضعف نقطة أمان للمستخدمين فهي ليست مؤمّنة افتراضيًا بصورة جيّدة للأسف كما أنّ عملية تأمينها الحقيقية صعبة وفوق مستوى معظم المستخدمين العاديين، على عكس الحواسيب مثلًا. سيشرح هذا الفصل كلّ ما يمكن أن يفيد المستخدم العادي لتأمين هواتفه المحمولة، وسنركّز على أنظمة أندرويد فهي الأكثر شيوعًا و90% من الناس يستخدمونها. استخدمنا نظام أندرويد 6.0 في هذا الشرح، ورغم أنّه قديمٌ جدًا مقارنةً بأحدث الهواتف الصادرة مؤخّرًا إلّا أنّ ذلك مفيد فهذا يضمن أنّ جميع المزايا التي نتحدث عنها في هذه السلسلة ستكون موجودة في جميع إصدارات أندرويد التي صدرت بعد 6.0 وبالتالي تشمل معظم المستخدمين. قد تتغير مواضع الإعدادات وأمكنتها بناءً على إصدار نظام أندرويد المُستعمل بالإضافة إلى الشركة المصنّعة للهاتف المحمول، وقد تأتي إعداداتٌ جديدة من جوجل في الإصدارات الأحداث لإدارة الخصوصية لكن ثِقّ تمامًا أنّ هذه الميّزات موجودة في جميع إصدارات أندرويد ولا يُحذف منها شيء في الإصدارات الحديثة. لا يمكنك تأمين الهاتف المحمول أو بالأصحّ لا يمكنك تأمين الهاتف المحمول بصورة كاملة. يأتي الهاتف المحمول - سواءٌ كان من آبل أو سامسونج أو أيّ شركة - بالكثير من البرمجيات مغلقة المصدر افتراضيًا، بالإضافة إلى كون النظام نفسه غير قابل للاستبدال وإلّا ستخسر ضمان الشركة المصّنعة كما شرحنا في فصولٍ سابقة. هناك العشرات من البرمجيات التي تعمل على هاتفك ولا تدري ماذا تفعل أو ما هي أو ما البيانات التي تجمعها عنك، وهي جزءٌ من نظام التشغيل نفسه الذي يأتي مسبقًا على الجهاز. هذا بالإضافة إلى كون طبيعة الهواتف المحمولة غير قابلة للتأمين بصورة كاملة؛ شبكات الاتصال الخلوي مثلًا قادرة على تحديد موقعك الحالي حسب بعدك أو قربك من أبراج الاتصال الخاصّة بها، كما أنّ تعقّبك عبر نظام GPS (تحديد المواقع وفق الأقمار الاصطناعية) ممكن بسبب استخدامك لتطبيقات الخرائط (مثل خرائط جوجل)، وهذه أشياء منحصرة بالهواتف المحمولة دونًا عن الحواسيب لأنّك لا تستخدم حاسوبك مثلًا للتنقل في المدينة أو للاتصال بالآخرين، وبالتالي طبيعتهما مختلفة. كما أنّ الكثير من الهواتف المحمولة تأتي بنظام أندرويد غير محدّث إلى آخر إصدار؛ وهو ما يعني نظريًا وجود العشرات من الثغرات الأمنية في هذه الهواتف، ولا يمكن تحديثها لآخر إصدار أندرويد حيث أنّ الشركات المصنّعة لا تحدّثها بعد مرور أول سنةٍ من إطلاقها في الغالب. أضف إلى ذلك طبيعة استخدام الهواتف المحمولة، حيث يحمّل مستخدمو اليوم عشرات ومئات التطبيقات المختلفة على هواتفهم ليستخدموا مختلف الخدمات ومواقع الإنترنت، بينما لا يحصل هذا على الحواسيب مثلًا حيث يقضي المستخدم معظم وقته داخل متصفّح الويب فقط. ولا يُنس صعوبة التعامل مع الهواتف المحمولة للعمليات الطويلة أو المعقّدة؛ فأنت بحاجة إلى الكثير من الضغط بإصبعك وإجراء العديد من الإجراءات لتأمين هاتفك وهذا أصعب للتحكّم ويأخذ وقتًا طويلًا لفعله، على عكس الحواسيب التي تأتي بفأرة ولوحة مفاتيح، وبالتالي يصبح المستخدمون أكثر كسلًا ورغبةً في ألّا يفعلوا شيئًا بالمرّة. تأتي أخيرًا مشكلة العتاد؛ فالكاميرا الأمامية والخلفية والميكروفون مدمجون في الهاتف نفسه ولا يمكن تعطيلهم فيزيائيًا، وبالتالي لا يوجد لديك ضمان أنّ هذه الكاميرا الأمامية التي تنظر إلى وجهك 24 ساعة لم يخترقها أحدهم في الواقع وهو ينظر إليك في هذه اللحظة ويسمع صوتك. وهذا مختلفٌ عن الوضع في الحواسيب حيث يمكنك تحريك الكاميرا بعيدًا (إن كانت منفصلة على USB) أو على الأقل تغطيتها بشريطٍ لاصق (لكن هل يمكنك تغطية كاميرا الهاتف بشريط لاصق؟). لكن ما لا يُدرك كلّه لا يُترك جلّه. سنحاول شرح أهم أساسيات الحفاظ على الخصوصية والأمان الرقمي على الهواتف المحمولة مما يمكن فعله بسهولة، وهذا أفضل للمستخدم من أن يترك نفسه عرضةً لكلّ شيءٍ يصيبه. لكن ضع في الحسبان أنّه في النهاية إن كنت تحاول تأمين نفسك ضد مزوّد خدمة الاتصال الخلوي أو أي جهة تتطلب مستوىً عالٍ من الحماية ضدها فحينها لن ينفعك المذكور في هذه السلسلة، لكنّه ينفع لحماية نفسك من الاختراق والتطبيقات الخبيثة وما شابه ذلك، كما أنّ التشفير سيحمي بياناتك حتّى في حال السرقة مثلًا. تأمين الإعدادات الافتراضية أوّل شيءٍ نحتاج فعله هو إنشاء قفل للشاشة (Screen Lock) لحماية الجهاز من العبث به إن وقع بأي المتطفلين أو السارقين (بصورة طفيفة للسارقين لكننا سنتبع هذا بالتشفير). وقفل الشاشة هو إمّا "نقش" (Pattern) ترسمه عند رغبتك بفتح الجهاز أو رقم أو كلمة مرور تدخلها عند رغبتك بفتحه، وبالتالي لا يمكن لأحدٍ سواك أن يفتح الجهاز ويصل إليه. اذهب إلى الإعدادات (Settings) ---> تأمين الشاشة (Lock Screen) وستجد كلّ الإعدادات التي تحتاجها هنا. اضغط على "تأمين الشاشة" (Screen Lock) أمامك ثمّ اختر نوعيّة قفل الشاشة الذي تريده (نقش، رقم، كلمة مرور… إلخ) ثمّ ارسم النقش أو أدخل كلمة المرور التي تريدها. يمكننا الآن الشروع في تعطيل إعدادات مشاركة البيانات ومعلومات الأعطال مع الشركات المصنّعة للهواتف، وهذا لتجنّب رفع شيءٍ من بياناتنا إليها واستهلاك الشبكة. اذهب إلى "حول الهاتف" (About Phone) وعطّل إعدادات مشاركة البيانات من هناك: كما عليك فتح تطبيق "Google" الذي يدير كامل حسابك في جوجل على الجهاز، ثمّ النقر على هذه النقطة الرأسية في أعلى يسار الشاشة ثمّ تعطيل "الاستخدام وبيانات التشخيص" (Usage & Diagnostics): الشيء التالي لفعله هو تعطيل إظهار الإشعارات أثناء قفل الشاشة. إن أخذ أحدهم هاتفك مثلًا أو إن كنت تتصفحه بجانب أحدهم فستلاحظ ظهور كامل محتوى الرسائل والإشعارات المختلفة أثناء قفل الشاشة ولا نريد ذلك. يمكنك تعطيل هذه الميّزة من الإعدادات (Settings) --> مركز التنبيهات (Notifications Center) واختيار "عدم عرض إشعارات على الإطلاق": إنّ لوحة المفاتيح الافتراضية في أندرويد هي تطبيقٌ اسمه Gboard (وقد تكون غيرها على بعض الهواتف من بعض الشركات، لكن يمكنك تثبيتها على أي هاتف محمول أو اتباع نفس النصائح بصورة عامّة)، وهي لوحة المفاتيح الرسمية من جوجل لأنظمة أندرويد. هناك بعضٌ من إعدادات مشاركة البيانات التي عليك تعطيلها كذلك من إعدادات هذا التطبيق. يمكنك الوصول إلى إعدادات Gboard من الإعدادات (Settings) ---> اللغة والإدخال (Language & Input) ---> Gboard ---> إعدادات متقدّمة (Advanced Settings) ثمّ عطّل خيارات "مشاركة إحصاءات الاستخدام" و"تحسين Gboard" و"التخصيص" كما بالصورة: ومن نفس خيارات التطبيق اذهب إلى تصحيح النصّ (Text Correction) وعطّل "اقتراح جهات الاتصال" (Suggest Contacts) كما بالصورة: علينا الآن مراجعة خدمات الموقع (Location Services) من الإعدادات ثمّ النظر فيها. إننا ننصح بتعطيل خدمات الموقع إلّا عند الحاجة لاستخدامها (مثل المشي مع خرائط جوجل مثلًا) وبالتالي تتخلص من تعقّب موقعك طيلة الوقت (باستثناء مزوّد الاتصال الخلوي، حيث سيظل قادرًا على تعقّبك). ستظهر لك في تلك الصفحة خدمات الموقع المفعّلة حاليًا ويمكنك الضغط على كلٍ منها ومراجعتها. إنّها غالبًا: خدمات تحديد مواقع الجغرافي في حالات الطورائ: وهذا لتتمكن خدمات الطوارئ من معرفة موقعك في حال حصل مكروهٌ لك. يمكنك تفعيل أو تعطيل هذه الميّزة لكن لاحظ أنّ خدمات الطورائ ستظل قادرةً - نظريًا - على معرفة موقعك عن طريق مزوّد الاتصال الخلوي. سجل المواقع الجغرافية في جوجل: عطّلناها مسبقًا في الفصول السابقة من حسابنا على جوجل. تأكّد من تعطيلها ميّزة مشاركة الموقع الجغرافي على جوجل: إن أردت مشاركة موقعك الجغرافي مع أحدهم، تأكّد من تعطيلها. أخيرًا يمكنك تأمين بطاقات الاتصال (SIM Card) وهذا عبر طلب شِفرة سرّية تحفظها أنت عند إطفاء الجهاز وإعادة تشغيله، لا تضيف هذه الميّزة الكثير من الأمان لكنّ وجودها مهم لحماية بطاقة الاتصال من أن يستخدمها الآخرون. يمكنك الوصول إليها من الإعدادات (Settings) ---> الأمان (Security) ---> إعدادات تأمين بطاقة SIM ‏(Set up SIM Card Lock) ومن هناك يمكنك تغيير رقم التعريف الشخصي للبطاقة وكتابة رقم الأمان الذي تريده (تأكّد من حفظه وإلّا قد تخسر بطاقة الـSIM إلى الأبد إن نسيته): تأمين التطبيقات وصلاحيّاتها التطبيقات وما أدراك ما التطبيقات، جبهة الحرب الأولى. إنّ تأمين التطبيقات واستخدامها هو ثاني أصعب شيء على الهواتف المحمولة بعد محاولة تأمين نظام التشغيل نفسه، وهذا لأنّ كلّ تطبيقٍ تنزّله على الجهاز هو تطبيقٌ قد يكسر حمايته أو يخترقه، وبالتالي الكثير من الجهد والتعب المستمر في تأمين هذه التطبيقات ومراقبة نشاطها مطلوب. ينزّل معظم المستخدمين تطبيقاتهم من متجر جوجل بلاي (Google Play) الخاصّ بجوجل، فهو الذي يأتي افتراضيًا مع الجهاز كما أنّ جميع التطبيقات متوفّرة عليه، لكنّ هذا سيتطلب منك حسابًا على جوجل لتتمكن من استعماله، وبالتالي تدير جوجل جميع تطبيقاتك في الواقع عن طريق ما يُعرف بـGoogle Play Services. لكنّ بعض المستخدمين لا يعجبهم ذلك ولا يريدون الارتباط بخدمات جوجل. وهؤلاء أنشؤوا متاجر تطبيقاتٍ بديلة ليستعملوها بدلًا من متجر تطبيقات جوجل للتخلّص من الحاجة إلى حساب جوجل فقط لتثبيت البرامج. أشهر هذه المتاجر البديلة هو متجر F-Droid المجاني والمفتوح المصدر لأنظمة أندرويد وعليه حاليًا آلاف التطبيقات المتوفّرة جميعها مفتوحة المصدر، فالمتجر لا يقبل البرامج غير المفتوحة المصدر وبالتالي تغيب عنه جميع التطبيقات الأساسية الشهيرة، لكنّه مفيد لبرامج الأدوات (Utilities) وغير ذلك. يمكنك تثبيت المتجر على نظام الأندرويد الخاصّ بك وتنزيل ما يعجبك من التطبيقات المتوفّرة. ومن المتاجر الجميلة كذلك متجر Aurora، وهو في الواقع متجرٌ مفتوح المصدر ينزّل البرامج مباشرةً من متجر جوجل بلاي لكن دون الحاجة لحساب جوجل أو واحدٍ من خدماتها (ودون الحاجة لاستخدام تطبيق متجر جوجل بلاي)، وبالتالي أنت تحمّل ملفّ الـAPK (ملفّ البرنامج التنفيذي) الخاصّ بالبرنامج مباشرةً ثمّ تثبّته على جهازك دون المرور بجوجل. وهذا ممتاز لأنّك ستصبح قادرًا على الحصول على جميع التطبيقات التي تريدها من متجر جوجل بلاي دون أي صعوبة تذكر. فقط ابحث عن اسم التطبيق الذي تريده في المتجر ويمكنك تحميله بعدها بنقرة زرّ. يريك المتجر كذلك ما هي برمجيات التعقّب (Trackers) المُكتشفة في كلّ برنامج ويمتلك نظام حماية داخلي متطور. إننا ننصح بشدّة بالاستغناء عن خدمات متجر جوجل بلاي واستخدام F-Droid وAurora لتحميل التطبيقات وإدارتها على هاتفك المحمول، فالأوّل يمكنه إحضار التطبيقات مفتوحة المصدر لك والثاني يمكنه تحميل كلّ التطبيقات الأخرى التي تحتاجها من جوجل بلاي (مثل تطبيقات البنوك أو التطبيقات المحلّية في بلدك وما شابه). إن أبيت إلّا استعمال جوجل بلاي، فتأكّد أنّ التطبيقات التي تنزّلها لها تقييمات جيّدة (أكثر من 3.5 نجوم على الأقل) ولها أكثر من 50 ألف تحميل. انظر أثناء تنزيلك للتطبيق إلى أعلى الصفحة وقد تجد إشارة اسمها "Verified by Play Protect" وهي تعني أنّ هذا التطبيق قد فُحص من طرف جوجل [0] للكشف عن البرمجيات الخبيثة ولم يوجد به ما يثير الشكوك (وجوجل لا توفّر هذا كضمان أنّه خالٍ 100% منها، لكنها طبقة حماية إضافية). تثبيتك لهذه التطبيقات أفضل بكثير من تثبيتك لغيرها: كلّ ما سبق متعلّقٌ بمصادر التطبيقات، أمّا إن أردنا التحدّث عن التطبيقات نفسها فعلينا حتمًا ذِكر الصلاحيات أو الأذونات (Permissions) التي قد تتمتع بها هذه التطبيقات. الصلاحيات هي ببساطة إمكانية برنامجٍ معيّن بالوصول إلى بعض المزايا المتوفّرة في العتاد أو نظام التشغيل، ويمكن للمستخدم عبر نظام التشغيل منح أو منع هذه الصلاحيات وإدارتها كيفما شاء. الصلاحيات ميّزة مهمّة جدًا على الهواتف المحمولة وهي لبّ الأمان الرقمي عليه؛ ذلك أنّ البرامج التي تثبّتها على جهازك ستطلب منك قبل التثبيت صلاحياتٍ معيّنة (كالوصول إلى الميكروفون أو الكاميرا أو الصور أو وسائط التخزين… إلخ) وأنت من عليه أن يقرر إن كانت تلك الصلاحيات يحتاجها التطبيق بالفعل ليعمل أم لا. فمثلًا إذا كنت تبحث عن تطبيقات الآلة الحاسبة في متجر التطبيقات وعند تثبيت أحدها وجدته يطلب الوصول إلى الكاميرا أو الميكروفون أو الصور الخاصّة بك فهذا تطبيقٌ مشبوه حينها، لأنّ الآلة الحاسبة - المفترض - أنّها لا تحتاج هذه الصلاحيات لتعمل فلماذا يطلبها هذا التطبيق منك؟ هذا يعني أنّه يفعل أشياءً يجب ألّا يفعلها على نظامك. عليك تجنّب تثبيت التطبيقات التي تطلب صلاحياتٍ موسّعة لا تحتاجها من هذا النوع، وكلّ تطبيقٍ تشكّ فيه أنّه يطلب صلاحياتٍ لا يحتاجها لا تثبّته. أو إن أردت فيمكنك تثبيته ثمّ إلغاء صلاحياته الموسّعة من إعدادات التطبيقات مباشرةً بعد تثبيته (وقبل فتحه لأوّل مرّة) كما سنشرح الآن. يمكنك رؤية جميع التطبيقات المثبّتة على جهازك من الإعدادات (Settings) ---> التطبيقات (Apps). كما يمكنك النقر على زرّ المزيد (More) وإظهار تطبيقات النظام لرؤيتها جميعًا: إن ضغطت على زرّ متقدّمة (Advanced) فستصل إلى بعض الإعدادات المخفية المتعلّقة بإدارة التطبيقات، ويمكنك الضغط على أذونات التطبيق (App Permissions) لرؤية جميع الصلاحيات الحالية على الجهاز بالإضافة إلى كلّ التطبيقات التي تستعمل تلك الأذونات مفصّلةً إلى تصنيفاتٍ مختلفة: عليك تصفّح جميع هذه الصلاحيات وتعطيل أيّ تطبيقٍ مشبوه ترى أنّه يجب ألّا يمتلك تلك الصلاحيات. كما يمكنك مثلًا تثبيت التطبيقات التي تطلب منك صلاحياتٍ كثيرة ثمّ بعد التثبيت تعطّلها أنت من هذه الخيارات. من المنصوح كذلك استخدام برنامج مضاد فيروسات ويمكنك العثور على الكثير منها وتجريبها من متجر التطبيقات الخاصّ بك. ولطبيعة عملها والمنافسة الشديدة بينها فهي ليست مفتوحة المصدر للأسف لكنّ وجودها ضروري لتأمين هاتفك وحمايته من الأخطار، ولن نتمكّن من الإشارة إلى أسماءً معيّنة في هذه السلسلة بسبب ذلك. حذف الملفّات بصورة نهائية كما شرحنا في فصولٍ سابقة فإنّ الملفّات لا تُحذف نهائيًا عند حذفها من الأقراص الصلبة أو بطاقات SD، بل تبقى محتوياتها موجودةً على القرص حتّى تأتي بياناتٌ جديدة صدفةً وتستبدلها. وهذه مشكلة إن أردت بيع هاتفك أو استبداله أو إعطاءه لشخصٍ آخر لأنّه يمكنه استعمال برامج استعادة الملفّات لاسترجاع ملفّاتك وبياناتك الشخصية المحذوفة. حتّى ضبط الجهاز على وضع المصنع (Factory Reset) لن يحميك من ذلك. يمكنك مراجعة الأوراق البحثية [1] [2] لرؤية التفاصيل وأسباب ذلك. لاحظ أنّه هناك عدّة أنماط للتخلّص من البيانات المحذوفة وحذفها للأبد: تشفير تلك البيانات وبالتالي منع الوصول لها من قبل الآخرين حتّى عند استرجاعها، هذه الطريقة هي الأقوى (ولهذا دومًا ننصح بالتشفير في كلّ أجزاء هذه السلسلة) لكنّها مع ذلك عرضة لهجمات استرجاع ملفّ التشفير نفسه (Encryption Key Restoration) وبالتالي يُمكن كسرها نظريًا إن كان يركض وراءك أحد أجهزة الاستخبارات الأجنبية، لكن أبو عبّود مصلّح الهواتف والحواسيب في حيّكم يستحيل عليه ذلك. الكتابة فوق كامل القرص الصلب أو بطاقة SD، وهذا حلٌ فعّال لأنّه يكتب فوق كامل البيانات على القرص وليس فقط استهدافًا لملفّات معيّنة. الكتابة فوق المساحة الحرّة فقط من القرص الصلب أو بطاقة SD. وهذا مناسب إن كنت تريد التخلّص من كلّ شيءٍ حذفته في الماضي على تلك الأقراص لكن دون أن تحذف شيئًا جديدًا من بياناتك الحالية. الكتابة عدّة مرّات فوق ملفّ معيّن وهذا هو الخيار الأشهر والأسهل لكنّه الأكثر عرضةً للضعف كذلك، لأنّه على المستخدم الكتابة مرّاتٍ كثيرة فوق الملفّ ويستخدم تقنياتٍ معيّنة ليكون فعّالًا ومعظم برامج الحذف النهائي في الواقع ليست بتلك الفاعلية. إنّ عملية الكتابة فوق البيانات المحذوفة لا تعني بالضرورة حذف البيانات وهذا يعتمد على عوامل المساحة والطريقة المُستعملة بالإضافة إلى بعضٍ من العشوائية. وبالتالي من الواجب إجراء عدّة "مسحات" أو عمليات كتابة فوق البيانات (Pass) لزيادة فرصة حذفها للأبد، أمّا المسحة الواحدة فلا تفيد في شيء غالبًا (إلّا إن كانت الطريقة مصممة بالأساس لأقراص SSD وSD Cards فحينها الوضع يختلف ويمكن بمسحة واحدة). كما ترى فإجراء المسحات نفسها يتم بطرق مختلفة ولها معاييرها الخاصّة التي تحتاج الكثير من الأبحاث وهي معقّدة. لكن نريد الإشارة إلى أنّ الحذف النهائي حاليًا وفق آخر ما توصّل له المجال (State-of-the-Art) هو طريقة تدعى NIST 800-88. وهي مصممة خصيصًا لأقراص SDD وبطاقات SD وفلاشات USB الشبيهة وبالتالي تكتفي بمسحة واحدة، أمّا الطرق الأخرى مثل DoD 5220.22-M فهي غير مصممة لذلك وبالتالي تحتاج 7 مسحات. إننا ننصح بقراءة المقال [3] للمزيد من المعلومات عن معايير تدمير البيانات بصورة نهائية. والمشكلة الحقيقية هي أنّه لا توجد برامج مفتوحة المصدر للأسف على الهواتف المحمولة للقيام بالمهمّة بصورة فعّالة، وبالتالي يضطر المرء لاستعمال برامج مغلقة المصدر أو مدفوعة لأداء ذلك. عليك البحث بنفسك عن برامج تدعم طرق الحذف السابق ذكرها على أجهزتك. برنامج iShredder على أندرويد قد يكون واحدًا منها. التشفير على الهاتف المحمول تشفير الملفّات مهم جدًا لحمايتها من الوصول في حال السرقة أو الاختراق مثلًا. ولحسن الحظّ فإنّ التشفير مدعومٌ من نظام أندرويد نفسه ويمكنك تفعيله بسهولة. من الإعدادات (Settings) ---> الأمان (Security) انقر على التشفير (Encryption). وستتم عملية التشفير في غضون نحو ساعة أو أكثر من ذلك اعتمادًا على حجم بياناتك. ستُستعمل كلمة المرور أو نقش الشاشة الذين ضبطتهما بالفعل لإلغاء تشفير الجهاز: هناك كذلك العشرات من التطبيقات مفتوحة المصدر على متجر F-Droid لمختلف مهام التشفير؛ تشفير ملفّات معيّنة أو تشفير الرسائل أو التحقق من تشفير القرص أو إرسال الرسائل المشفّرة… وغير ذلك الكثير. يمكنك تصفّحها وتثبيت ما يعجبك منها فكلّها مجانية ومفتوحة المصدر. لا تنس استخدام Cryptomator - البرنامج الذي شرحناه في فصل التشفير - لتشفير مساحة التخزين السحابية كـGoogle Drive وDropbox، وهو يعمل كذلك على أنظمة أندرويد وiOS. أنظمة بديلة لهواتف الأندرويد إن نظام أندرويد مبني على نواة لينكس، والكثير من أجزائه مفتوحة المصدر مما يسمح للمطورين ببناء توزيعاتٍ مختلفة منه وإعادة توزيعها للناس بما يناسب احتياجاتهم. هناك مجتمعات هائلة من المطورين والمستخدمين حول ما يُعرف بـ"الرومات" (ROMs) الخاصّة بالأندرويد وهذه الرومات غالبًا ما تكون خاليةً من منتجات جوجل وخدمات تعقّبها وبالتالي هي أأمن وأفضل للاستخدام. هناك أنظمة تشغيل أخرى كذلك غير أندرويد يمكن تثبيتها على الهواتف المحمولة. إن كنتَ مستعدًا لصرف عدة أيام من وقتك لاستبدال نظام الأندرويد الموجود على جهازك بنسخة أخرى مبنية عليه وإن كنت مستعدًا كذلك لخسارة ضمان الجهاز في سبيل أمانك وخصوصيتك، فيمكنك الاطلاع حينها على المشاريع التالية: LineageOS: توزيعة مجانية ومفتوحة المصدر من أندرويد للهواتف المحمولة، تركّز على حذف تطبيقات جوجل افتراضيًا والاهتمام بالخصوصية. /e/OS: توزيعة مبنية على الأندرويد للمهتمين بأقصى خصوصية افتراضيًا وتوفير خدمات بديل لكل خدمات جوجل. يمتلكون كذلك هواتف مسبقة الشحن بنظامهم المفتوح المصدر. Ubuntu Touch: توزيعة مبنية على أوبونتو وليس أندرويد، مما يجعلها لا تعمل على معظم الهواتف سوى الحديثة والقوية منها لكنّ هذا يجعلها أفضل من غيرها بكثير (باستثناء كون الاتصالات الخلوية لا تعمل عليها في كلّ المناطق). انتبه كذلك إلى أنّ الأنظمة مثل البرامج؛ قد تكون محملة ببرمجيات تجسس واختراق وتعقّب كذلك، ويجب ألّا تحمّلها من أي مصدر مشبوه أو غير موثوق. من الواجب الانتباه كذلك عند التعامل مع مصلّحي الهواتف المحمولة المحليين في مدينتك أنّهم قد يكونون غير موثوقين أو غير متعلمين بصورة كافية، فيحمّلون أنظمة (رومات) من مصادر مشبوهة إمّا عن علم أو جهل ويثبّتونها لك دون علمك. فالقصد أنّ الثقة عامل أساسي جدًا هنا. لا تسلّم هاتفك المحمول إلّا لمن تثق به. خاتمة قد تستغرق عملية تأمين الهاتف المحمول الكثير من الوقت والجهد إلّا إنّ النتائج ستكون أفضل بكثير من أن تُخترق أجهزتك وتُسرّب بياناتك، ولهذا من المهم اتباع الإجراءات السابقة لضمان عدم حصول ذلك. لا تنس كذلك أنّ هذه النصائح ليست شاملة لكل شيءٍ متعلّق بالهاتف المحمول فكما ذكرنا لا يمكن تأمين الهاتف بمحمول بصورة كاملة، لكنّها تغطّي معظم المواضيع المهمّة للقارئ العادي. اقرأ أيضًا المقال التالي: كيف تعرف أنك اخترقت في العالم الرقمي وماذا تفعل حيال ذلك؟ المقال السابق: ما يلزم معرفته عند الشراء والدفع عبر الإنترنت النسخة الكاملة من كتاب دليل الأمان الرقمي

سيشرح هذا الفصل بعض المفاهيم الأساسية عن متصفّحات الويب وطريقة عملها، بالإضافة إلى طريقة تأمين متصفحيّ فيرفكس وكروم بصورةٍ أساسية. من المفترض أن يعمل نفس الشرح على كلّ المتصفّحات المبنية عليهما كذلك، مثل كروميوم (Chromium) وUngoogled Chromium وغيرها. تعتمد معظم الأمور المشروحة في هذا الفصل على تثبيت إضافاتٍ خارجية لزيادة مستوى الأمان والخصوصية في متصفّحات الويب، وهي على مستويات فما قد يحتاجه أكثر الناس مختلف عما قد يحتاجه المتخصص الذي يبحث عن حمايةٍ أكبر. قسّمنا الفصل بناءً على هذا الأساس كذلك. مفاهيم تأسيسية حول متصفّحات الويب هناك الكثير من متصفّحات الويب لأنّها تخدم أغراضًا مختلفة، وهي تستعمل كذلك محركاتٍ مختلفة (Engines)؛ فالمحرّكات هي أنوية المتصفّحات المسؤولة عن تصيير وعرض محتوى الويب بدلًا من أن يكون مجرّد شِفرات صرفة لا يمكن الاستفادة منها. يستعمل متصفّح فيرفكس محرّك "Gecko" الخاصّ بفيرفكس نفسه وهناك بعض المتصفّحات الأخرى المبنية عليه، بينما يستعمل كروم محرّك "Blink" القادم من متصفّح كروميوم (تذكّر أننا شرحنا في السابق أنّ كروم مبني على كروميوم)، ولهذا السبب فإنّ طريقة عمل المتصفحين بالإضافة إلى طريقة عرضهما لمواقع الويب مختلفة. ولهذا السبب فإنّ بعض المواقع قد تعمل على الأوّل ولكن ليس الثاني والعكس (لكنّها قليلة جدًا في الوقت الراهن حيث صارت معايير تطوير المواقع الموحّدة معروفة وشائعة). ولنفس السبب لا تعمل إضافات فيرفكس على كروم والعكس، لأنّهما يستخدمان محرّكاتٍ مختلفة. متصفّح الويب كأيّ برنامج موجود على نظامك؛ له وصولٌ إلى كامل نظامك وملفّاتك بالإضافة إلى العتاد الموجود مثل الميكروفون والكاميرا، وبالتالي قد تمتلك مواقع الويب وصولًا إليها كذلك (أو لا) بناءً على ما يسمح متصفّح الويب لها أن تمتلك. وهذا هو نظام الأذونات (Permissions) الموجود في كلّ المتصفّحات الشهيرة. لا تسمح المتصفّحات لمواقع الويب بسرد محتويات أيٍ من مجلّدات نظامك وملفّاتك افتراضيًا، لكن يمكنها الوصول إليها ورفع أجزاءٍ منها في حال طلبت هي ذلك ووافقت أنت على ذلك فقط عبر تنبيهٍ يُعرض لك قبل أن تتم العملية. ولهذا فإنّ عملية تطوير متصفّحات الويب عملية معقّدة ومهمّة؛ فتطوير المحرّكات يحتاج سنواتٍ طويلة من العمل ليثمر والكثير من الموارد، كما أنّ تطوير متصفّحات ويب آمنة لمنع المواقع السيئة والخبيثة من سرقة بيانات المستخدمين دون علمهم مهمّة أصعب. لكنّ كلٍا من متصفحيّ فيرفكس وكروم ممتازان في هذه الناحية. ولهذا يمتلك المتصفّحان أنظمةٍ مبنية داخلهما بالفعل لاكتشاف المواقع الخبيثة التي تحاول تجاوز المتصفّح للوصول إلى الملفّات أو الكاميرا والميكروفون دون علم المستخدم، ثمّ منعها وحجبها عن المستخدم تلقائيًا. نريد أن ننتقل الآن إلى شرح بعض الأمور العامّة عن طريقة عمل المتصفّحات مع مواقع الويب: نظام أسماء النطاقات (Domain Name System - DNS): لقد شرحنا ماهيّة نظام الـDNS في فصل "المفاهيم الأساسية" من هذه السلسلة بالإضافة إلى طريقة تغييره على مستوى الموجّه (Router)، لكننا نريد الإشارة هنا إلى أنّ المتصفّحات قادرة على استعمال نظام DNS مختلف عن المُستَخدم حاليًا على كامل النظام، بل يمكن حتّى للإضافات الخارجية المثبّتة فعل ذلك. في فيرفكس مثلًا هناك خيار لاستخدام نظام الـDNS التابع لشركة CloudFlare، وإذا استخدمته، فستتخلص من مشكلة تسريب الـDNS (ما يعرف بـDNS Leak) لكن داخل متصفّح الويب فقط وليس التطبيقات الأخرى. الاتصال بوسيط أو بلا وسيط (Proxy): الوسيط أو البروكسي هو خادومٌ يتوسّط الاتصال بين متصفّحك وبين مواقع الويب التي تريد طلبها، فاستخدامه يشبه ما تفعله في الحياة الواقعية من أن تطلب من أحدهم إحضار شيءٍ لك من مكانٍ ما لتجنب فعل ذلك بنفسك، وهو نفس المبدأ هنا. حيث يؤدّي استخدام الوسيط إلى تجنّب حظر المواقع أو معرفة المواقع التي تزورها عبر قيام متصفّحك بالاتصال بخادومٍ وسيط ليقوم الوسيط هو بجلب الصفحات له. تستخدم متصفّحات الويب إعدادات وسيط النظام افتراضيًا لكن يمكن كذلك جعلها تستخدم وسيطًا خاصًّا بها، إمّا من الإعدادات أو عبر إضافاتٍ خارجية. الشهادات (Certificates): عند زيارتك لأحد مواقع الويب التي تستخدم بروتوكول HTTPS فإنّ متصفّحك يتأكّد من موثوقية هذا الاتصال وأنّه ليس مزوّرًا أو معبوثًا به من طرفٍ خارجي عبر ما يُعرف بـ"الشهادة"، وهي في الواقع حزمة بيانات (اسم صاحب الموقع والمؤسسة والجهة المسؤولة عن الشهادة بالإضافة للمفتاح العام للتشفير… إلخ) يعرضها موقع الويب لمتصفّحك ثمّ يقوم المتصفّح بموازنتها مع النسخة المحفوظة لديه (القادمة منذ تثبيت المتصفّح أو تحديثه من الجهات التي تصدر شهادات الاستيثاق لمواقع الويب) للتأكّد من هوية الموقع وصحّة الاتصال. حيث يقوم متصفّحك بمقارنة المفتاح العامّ الذي تعرضه الشهادة ثمّ المفتاح العام المُستخدم لتشفير الاتصال، ثمّ يقارنهما كذلك بالمفتاح العام المحفوظ لديه عن الجهة التي أصدرت الشهادة للتأكّد من صحّة الاتصال، فهو بالتالي يستعمل جهة خارجية لعمل هذه المقارنة. ملفّات تعريف الارتباط (Cookies): إذا اشتريت قطعة حلوى من بائع الحلوى في يومٍ ما ثمّ ذهبت في اليوم التالي لشراء قطعةٍ أخرى، فقد يتذكرك بائع الحلوى ويقول: "آه أنت الذي اشترى الحلوى الفلانية بالكميّة الفلانية يوم أمس" وهذا بالضبط ما تفعله مواقع الويب مع ملفّات تعريف الارتباط؛ وهي ملفّات تخزّن بعض الإعدادات والبيانات عن نشاطاتك وتفضيلاتك في مواقع الويب التي تزورها لتقوم المواقع باستخدامها لاحقًا. جاءت تسمية هذه الملفّات كذلك بـ"الكعكات" (Cookies) من هذا الاستخدام. لا تحتوي ملفّات تعريف الارتباط عادةً أيّ معلوماتٍ شخصية عنك مثل اسمك أو بريدك أو بياناتك البنكية أو ما شابه، لكنّها تحوي مُعرّفًا خاصًّا بك (ID) يُمكّن مواقع الويب نفسها من معرفتك عندما تعود إليها في المستقبل. لكن بسبب حجم ملفّات تعريف الارتباط وكثرتها فإنّه يمكن استخدامها في الكثير من الأحيان للتعرّف على هوية المستخدمين الحقيقية، والمؤسف أنّها تُشَارك كذلك بين مختلف مواقع الويب وليس فقط المواقع التي تزورها. (وهو ما يعرف بـ"3rd-party cookies sharing"، يمنع فيرفكس وSafari مشاركتها افتراضيًا، لكن كروم يسمح بذلك). يمكن قراءة المزيد عن ملفّات تعريف الارتباط وكيف تُستخدم لتعقّب المستخدمين من الورقة البحثية الشهيرة: "The Web Never Forgets: Persistent Tracking Mechanisms in the Wild". الذاكرة الخبيئة (Cache): تقوم متصفّحات الويب بتخزين بعض الصور وملفّات التنسيق والمعلومات المختلفة عن مواقع الويب التي زرتها لتجنّب تحميلها من جديدة في المستقبل لزيادة سرعة التحميل عندما تفتحها مرّة أخرى. لكن هذا بالطبع قد يكشف بعض المواقع التي كنتَ تزورها. مُعرّف المُستخدم (User-Agent): معرّف المستخدم هو وصفٌ لمتصفّح الويب تأخذه خواديم مواقع الويب (Web servers) عند زيارتك إيّاها، ويحتوي اسم المتصفّح وإصداره ونظام التشغيل الحالي وإصداره واسم المحرّك وإصداره. بصمة الإصبع (Fingerprint): يوفّر متصفّح الويب لمواقع الويب التي تزورها الكثير من المعلومات عن نفسه بالإضافة إلى نظام التشغيل الحالي؛ مثل عتاد الجهاز وإصداره وإصدار تعريفات البطاقة الرسومية (Graphics Card)، والخطوط وقائمة الإضافات المثبّتة والمنطقة الزمنية ولغة المتصفّح ولغة نظام التشغيل، بالإضافة إلى معلوماتٍ عديدة أخرى. وهذه مشكلة لأنّه يمكن معرفة هويّة المُستخدم الفريدة من بين ملايين المستخدمين عبر مجموعة المعلومات هذه، لأنّها مختلفة جدًا بين بعضها البعض لكلّ مستخدم ومن النادر أن تجد مستخدمين اثنين من بين الملايين لتتوافق بصمة الإصبع لهما بنسبة 100%. ويظنّ الكثير من الناس أنّ تعقّبهم ومعرفة هويتهم مستحيلة إن استخدموا اتصال "في بي إن" وغيّروا نظام الـDNS الخاصّ بهم واستخدموا هوية وهمية على الإنترنت، ولكن هذا غير صحيح في الواقع والسبب هو بصمة الإصبع، حيث أنّ استخدامك لنفس المتصفّح بنفس الإعدادات وعلى نفس نظام التشغيل سيمكّن مواقع الويب - إن شاءت - من ربط هويتك الوهمية بهويتك الحقيقية (مثل أن تقوم بعمل حسابين اثنين على أحد مواقع الويب، فيمكن لمواقع الويب أن تعرف أنّك وراء الحسابين عبر هذه الطريقة مهما فعلت). والمشكلة الحقيقية هو أنّه لا توجد حماية كاملة منها فمواقع الويب بحاجة إلى بعض هذه المعلومات لمعرفة كيف تعرض الصفحة بصورة جيّدة لك، ومنع بصمة الإصبع بالكامل أو تغييرها بصورة جذرية قد يحطّم صفحات الويب ويجعلها تتوقف عن العمل. يمكنك رؤية بصمة الإصبع لمتصفّحك الحالي عبر موقع https://panopticlick.eff.org التاريخ والبيانات المحفوظة: تقوم متصفّحات الويب بحفظ جميع الصفحات التي تزورها افتراضيًا لتمكينك من الرجوع إليها إن أردت، كما قد تقوم بحفظ اسم المستخدم وكلمات المرور الخاصّة بك بالإضافة إلى معلوماتك البنكية والأمور التي تبحث عنها في مربّعات البحث على المواقع المختلفة، ويمكنك ضبط إعدادات التاريخ هذه (أو تعطيلها إن أردت) من إعدادات كلّ متصفّح. الطلبات (Requests): عندما تزور موقع ويب معيّن وتتصفح بعض الصفحات داخله فإنّك تقوم بإجراء "طلبات" لخادوم الويب الذي يستضيف الموقع بالصفحات التي تتصفحها، بما في ذلك محتويات تلك الصفحات من صور وسكربتات جافاسكربت وملفّات مختلفة أخرى. فعند طلبك موقع facebook.com مثلًا في المتصفّح فإنّ المتصفّح يجري العديد من الطلبات في الخلفية (Background) في الواقع قد تصل إلى مئات الطلبات لمصادر مختلفة. جميع طلباتك هذه مسجّلة لدى خادوم الويب بالإضافة إلى كلّ نشاطاتك من بحث ورفع وتصفّح وحذف وغير ذلك ضمن موقع الويب نفسه (وهي بالتالي ظاهرة لأصحاب مواقع الويب، فيمكنهم معرفة أنّ محمد هاني صبّاغ قد بحث عن الشيء الفلاني في مربّع البحث الساعة كذا يوم كذا… إلخ). ومن الممكن كذلك أن يستمر الموقع في تحديث نفسه بالخلفية عبر اتصالٍ حيّ (Live Connection) لا يُغلق عند انتهاء تحميل الصفحة، بل يستمر حتّى بعد تحميلها للمرّة الأولى لتحميل المحتوى الجديد، مثلما يفعل موقع تويتر مثلًا من تحميل التغريدات الجديدة عند توفّرها، وهذا يؤدي إلى طلباتٍ مستمرة من طرف متصفّحك لتحميل هذه البيانات الجديدة. ضبط إعدادات المتصفّحات الافتراضية يأتي كلٌ من متصفحيّ فيرفكس وكروم بإعداداتٍ افتراضية تسمح للمتصفّح أن يُرسل بياناتٍ عنك وعن نشاطاتك على الشبكة. يمكنك تعطيلها لزيادة مستوى الخصوصية. في فيرفكس، اذهب إلى التفضيلات (Preferences) --> الخصوصية والأمان (Privacy & Security)، وعطّل خيارات "جمع Firefox للبيانات واستخدامها (Firefox collection for data)" بالشكل التالي: هناك الكثير من الإعدادات الأخرى المتعلّقة بالخصوصية في فيرفكس من نفس الصفحة. يمكنك مراجعتها جميعًا وضبطها لتناسبك، مثل حذف كلّ التاريخ عند إغلاق المتصفّح مثلًا أو إبقاؤه لمدّة معيّنة فقط أو ما شابه ذلك. في كروم، اذهب إلى الإعدادات (Settings) --> خدمات Google والمزامنة (Google Services & Synchronization) وعطّل خيارات تسجيل الدخول إلى حساب جوجل ومشاركة البيانات والبقية بالشكل التالي: يمكنك كذلك الذهاب إلى أمن المعلومات (Information Security) وتعطيل خيار مشاركة مواقع الويب التي تزورها والبيانات الأخرى كالتالي: تحتاج كذلك إلى منع كروم من الاستمرار في العمل في الخلفية، وهذا لتجنّب جمع أي شيءٍ متعلّق بك أو الوصول إلى العتاد مثلًا: أخيرًا عليك تعطيل مشاركة ملفّات تعريف الارتباط (Cookies) مع جهات الطرف الثالث (3rd-Party) لمنع مواقع الويب من معرفة نشاطك على المواقع الأخرى، بل تسمح لها بمعرفة نشاطك السابق على الموقع ذاته فقط (فلا يمكن لفيس بوك معرفة تفضيلاتك على جوجل، بل يمكن لجوجل معرفة نشاطك على مواقع جوجل وحدها فقط): إضافات لتوفير الخصوصية لمتصفّحات الويب تدعم معظم متصفّحات الويب الحديث ما يُعرف بـ"الإضافات"، وهي برمجيات صغيرة تُضاف إلى المتصفّح لجعله يقوم بمهام لم يكن قادرًا على فعلها من قبل. عليك استخدام إضافات موثوقة فقط ومن مصادر معروفة، فالإضافات كالبرامج يُمكن أن تستعمل إمّا لزيادة أمانك وخصوصيتك أو لاختراقك. حاول ألّا تثبّت أيّ إضافة متصفّح بعددٍ أقل من 10 آلاف مستخدم ولها تقييم وسمعة جيدة على متجر الإضافات. يوجد على متجر إضافات فيرفكس علامة "Verified" وهي تعني أنّ مهندسي موزيلا قد اطّلعوا على الشِفرة المصدرية للإضافة ولم يجدوا بها أي مشكلة، وهذه الإضافات هي أأمن إضافات يمكنك تثبيتها: للأسف لا يوجد شيء مماثل لذلك على متجر إضافات كروم، ولذلك إن كنت تستعمل أيّ متصفّح ويب مبني على كروميوم فأنت متروكٌ لتواجه المعضلة وحدك وفق حدسك (عدد التحميلات، عدد المراجعات، اسم الشركة المطوّرة وسمعتها… إلخ). لاحظ أنّ هذه الإضافات قد لا تحميك من تعقّب بصمة الإصبع (Fingerprinting) وقد يتوجّب عليك البحث عن غيرها لتأمين نفسك. يمكنك التحقق دومًا من كونك مؤمنًا ضد هذا النوع من الهجمات أم لا عبر الموقع التالي: https://panopticlick.eff.org. ومن تجربتنا وجدنا أنّه لا يوجد أفضل من الإعدادات الافتراضية لمتصفّح Brave للحماية ضدها فهو لا يحتاج أيّ إضافات بل يحميك منها مباشرةً بعد التثبيت. إضافات أساسية لا غنى عنها uBlock Origin: الإضافة الأشهر والأقل استهلاكًا للموارد لحجب الإعلانات والنوافذ المنبثقة والكثير من السكربتات السيئة على الويب. ستحجب كل الإعلانات بمجرّد تثبيتها على متصفّحك. (فيرفكس، كروم). Privacy Badger: إضافة من EFF (مؤسسة المكافحة الرقمية، مؤسسة موثوقة) لحجب سكربتات التعقب التي تنتهك خصوصية المستخدم وتجمع معلوماتٍ حوله. ستعمل بمجرّد تثبيتها كذلك وسترى أيقونةً في شريط أدوات المتصفّح تخبرك ما السكربتات التي سُمِح بها ومالتي مُنعت. (فيرفكس، كروم). HTTPS Everywhere: من EFF كذلك، تقوم بتحويل المستخدم تلقائيًا إلى إصدار بروتوكول HTTPS بدلًا من HTTP في حال توفّره (حيث لا تقوم بعض المواقع بذلك تلقائيًا). (فيرفكس، كروم). Cookies AutoDelete: تقوم هذه الإضافة بحذف ملفّات تعريف الارتباط (Cookies) تلقائيًا عند إغلاق التبويب (Tab) المُرتبط بها بالإضافة إلى ملفّات التخزين المحلّية (Local Storage) والذاكرة الخبيئة (Cache) وغيرها من الإعدادات المحفوظة، وبالتالي تمنع مواقع الويب من تعقّبك بصورةٍ مستمرة ومعرفة نشاطاتك على مواقع الويب الأخرى المفتوحة حاليًا (وستحتاج بالطبع تطوير عادةٍ في إغلاق التبويبات المفتوحة بمجرّد الانتهاء منها). استخدامها سيعني كذلك أنّه سُيسَجّل خروجك تلقائيًا من المواقع التي سجّلت الدخول إليها (فيس بوك، جوجل… إلخ) تلقائيًا بمجرّد إغلاق كافّة التبويبات المرتبطة بها، ولكن هذا ثمنٌ رخيص مقابلة حماية خصوصيتك على الشبكة بهذا الشكل الهائل. لتفعيل الإضافة بصورةٍ صحيحة فإنّه يتوجّب عليك تفعيل خيار "تمكين التنظيف التلقائي (Enable Auto Clean up)" من إعدادات الإضافة، ثمّ ضبط "ثانية تأخير قبل التنظيف التلقائي (Seconds before clean up)" إلى 1. (أي أنه ستُحذف جميع ملفّات الارتباط وغيرها بعد ثانية واحدة من إغلاق التبويبات). ستحتاج كذلك إلى تعطيل الإشعارات والسجل (Notifications & Log) بالكامل لمنع عرض الإشعارات المزعجة بصورة مستمرة. وأخيرًا، ستحتاج تفعيل الخيارات التالية: الإضافة متوفّرة لمتصفحيّ فيرفكس وكروم. إضافات لخصوصية أكبر Remove Google Redirection: إن الروابط التي تراها في نتائج بحث جوجل تأتي مضمّنةً بروابط تعقّب من شركة جوجل، ولهذا إن حاولت نسخ الروابط من نتائج البحث ولصقها في مكانٍ آخر فستجد رابطًا طويلًا من جوجل ليس هو في الواقع الرابط الحقيقي الذي رأيته في نتائج البحث. تقوم هذه الإضافة بحلّ المشكلة ببساطة عبر وضع الرابط الحقيقي لنتائج البحث بدلًا من رابط التعقّب لجوجل (فيرفكس، كروم). ScriptSafe: إضافة خاصّة بمتصفّح كروم لإدارة كلّ ما يتعلّق بالأمان والخصوصية فيه. تأتي الإضافة بوضع المنع افتراضيًا ولهذا ستحتاج تغييره إلى وضع السماح (Allow by default) لتجنّب تحطيم مواقع الويب: يمكنك الآن تصفّح خيارات الإضافة وتفعيل أو تعطيل ما تريده. لاحظ أنّ الإضافة ستعرض لك كلّ أسماء النطاقات التي تحاول تتبعك أو جمع معلوماتٍ عنك في شريط أدوات كروم (من أيقونة الإضافة). توفّر الإضافة حمايةً ضدّ تقنيات تتبع بصمة الإصبع (Fingerprinting) بالإضافة إلى حماية من تتبع معرّف المُستخدم (حيث يمكنك تخصيصه إلى واحدٍ مشترك بين معظم المستخدمين) وحماية من تسرّب عناوين الآي بي عبر WebRTC والحماية من معرفة الصفحة المُحِيلة إلى الصفحة الحالية (Referrer Spoof) وغير ذلك الكثير. (كروم). NoScript: بما أنّ الواجهة الأمامية لمواقع الويب تستعمل الكثير من شِفرات جافاسكربت لتصيير صفحات الويب وتسهيل عرضها وعمل العديد من الأشياء (وهي الشفرات القادرة على تتبع المستخدمين وجمع البيانات عنهم كذلك) فإنّ حلّ هذه الإضافة للمشكلة كان ببساطة عبر منع كل شِفرات جافاسكربت افتراضيًا إلّا تلك التي يسمح لها المستخدم. لكن لاحظ أنّ هذا المنهج سيؤدّي إلى تعطّل معظم مواقع الويب ولهذا قد تحتاج الكثير من التمرّس في إعدادات هذه الإضافة لتتمكن من استخدامها بصورة مريحة، إلّا أنّها فعليًا الإضافة الوحيدة التي توفّر الحماية القصوى الممكنة من مواقع الويب فهي تمنع كلّ السكربتات من العمل إلا ما تسمح له أنت (فيرفكس، كروم). خدمات مزامنة بيانات المتصفّح تمتلك معظم متصفّحات الويب مثل فيرفكس وكروم خدمات مزامنة (Sync Services) مبنية داخلها لمزامنة بيانات تصفّحك وكلمات مرورك ومعظم نشاطك الذي تجريه عبر متصفّح الويب (التاريخ، بيانات النماذج، العلامات… إلخ). وهي خدمات مدمجة داخل المتصفّحات نفسها دون الحاجة لتثبيت أيّ إضافاتٍ أخرى. إننا لا ننصح باستخدام أيّ خدمة مزامنة، فهذا يعني تخزين كامل تاريخ تصفّحك ومعلوماتك الحساسة وبيانات اسم المستخدم وكلمة المرور الخاصّة بك في مكانٍ واحد أنت لا تأتمنه حقًا؛ فوضع كامل بياناتك مع جوجل سيكون مشكلة بسبب انتهاكات جوجل المعروفة للخصوصية. المزامنة مع فيرفكس أأمن وأكثر ثقةً لكنّها عرضة أيضًا لعددٍ من الهجمات المحلّية على الجهاز فجميع البيانات مخزّنة في مكانٍ واحد وبالتالي يمكن ربط بيانات اسم المستخدم وكلمة المرور مع بيانات تصفّحك الأخرى. لا تضع كلّ البيض في سلّة واحدة. لقد نصحنا في السابق بعدم تخزين كلمات المرور داخل المتصفّح بل استخدام برنامج إدارة كلمات مرور (Password Manager) لفعل ذلك. وهذا هو ما نستحسنه هنا أيضًا؛ إزالة الحاجة لخدمات المزامنة والاكتفاء ببرامج إدارة كلمات المرور مثل Bitwarden لإجراء عمليات تسجيل الدخول والخروج. يمكنك استخدام إضافات خارجية لمزامنة بعض أنواع المحتوى مثل الملاحظات أو العلامات، لكن لا تعتمد على خدمات المزامنة داخل المتصفّح. هكذا تبقى جميع ملفّاتك مخزّنة محليًا على جهازك دون أن تغادره (أو في مكانٍ آخر)، بينما تبقى بياناتك الحساسة منفصلة عن بيانات ومعلومات تصفّحك الأخرى ومؤمنة بصورة منفصلة. ولن تحتاج التعامل لا مع موزيلا ولا مع جوجل. استعمالك لأكثر من خدمة لا علاقة بينها لتخزين أنواع مختلفة من المحتوى هو خيارٌ أفضل من استخدام خدمات المزامنة الموحّدة داخل المتصفّحات. خاتمة كانت هذه هي المعلومات الأساسية التي تحتاج معرفتها وضبطها عند استخدامك متصفّحات الويب الشهيرة. قد يكون الموضوع صعبًا ويتطلب الكثير من العمل للوهلة الأولى عند قراءة هذه الأشياء إلّا أنّها لن تستغرق نصف ساعة أو ساعة بالكثير، وما ستحصل عليه في المقابل من حفاظ خصوصيتك ومنع المتطفلين ومواقع الويب من مراقبة نشاطاتك رائعٌ جدًا مقابل ما صرفته من وقتٍ وجهد. عمليات التعقّب وانتهاكات الخصوصية على الإنترنت كثيرة وشائع وتتطور باستمرار ولا تتوقف، ولذلك ستحتاج متابعة قراءة آخر التطوّرات في المجال لضمان حمايتك بصورة مستمرة. اقرأ أيضًا المقال التالي: الحماية من مواقع الإنترنت في العالم الرقمي المقال السابق: كلمات المرور: كيفية حفظها واستعمالها في العالم الرقمي النسخة الكاملة من كتاب دليل الأمان الرقمي

كلمات المرور من أهمّ وسائل حماية بياناتك الحسّاسة على مختلف مواقع الويب. سيشرح هذا الفصل كل ما يتعلّق بكلمات المرور وطرق تقويتها وإدارتها. معايير كلمات المرور القوية عندما تقوم باستعمال كلمة مرور معيّنة مثل "test123" على موقع إنترنت معيّن، فما تقوم به هذه المواقع هو أنّها تأخذها وتحفظها مع بقية بياناتك (اسم المستخدم وعنوان البريد الإلكتروني… إلخ) داخل قاعدة البيانات الخاصّة بها. مواقع الإنترنت الجيّدة - ومعظمها إن لم يكن كلّها - لا تقوم بتخزين كلمات المرور بصورة صرفة (Plain Text)، بل تقوم بتشفيرها أوّلًا وفق خوارزمية معيّنة ثمّ تحفظ النصّ المشفّر (شيء مثل ecd71870d1963316a97e3ac3408c9835ad8cf0f3c1bc703527c30265534f75ae) داخل قاعدة البيانات، أمّا كلمة المرور نفسها فلا تُحفظ أبدًا داخل قاعدة البيانات. يُستعمل هذا الأسلوب لأنّه في حال حصل اختراقٌ من طرف المخترقين لمواقع الإنترنت هذه فحينها لا نريد أن يتمكّن المخترقون من فتح حسابات المستخدمين والوصول إليها ومعرفة كلمات مرورهم. فمن الشائع كذلك أنّ المستخدمين يستخدمون نفس كلمة المرور على أكثر من موقع ويب (وهذا أمرٌ شائع للأسف، لكنّه خاطئٌ بشدّة). وبالتالي تُقلل الأضرار عند حصول هذا النوع من الاختراقات، فهم لن يروا سوى النص المشفّر ولا يمكنهم عمل شيء به. هناك ما يعرف باسم هجمات القوّة الغاشمة (Bruteforce Attack)، وهي هجمات مؤتمتة لتخمين كلمات المرور الخاصّة بك، حيث يبرمج المخترقون برامج وظيفتها تخمين كلمة مرور حساباتك وتجريبها مئات وآلاف وملايين المرّات إلى أن يصلوا إلى النتيجة الصحيحة. وتعمل هذه البرامج عبر تجريب كلّ احتمالات كلمات المرور المكوّنة من 4 أحرف وأرقام مثلًا، ثمّ 5، ثمّ 6… وهكذا إلى أن يصلوا إلى كلمة المرور الصحيحة. ولهذا فإنّ استخدام كلمة مرورٍ طويلة ومعقّدة يزيد من حمايتها بصورة كبيرة. تتضمن مواقع الويب المبنية بصورة جيّدة أنظمة مؤتمتة كذلك للحماية ضدّ هذا النوع من الهجمات، لكن ليس كلّها بالطبع. كلّما زاد طول وتعقيد كلمة المرور، كلّما كان تخمينها عن طريق هذا النوع من الهجمات أصعب ويستغرق وقتًا أطول، وبصورة عامّة فإنّ أي كلمة مرور أطول من 8 أحرف تصبح صعبة جدًا خاصةً إن كانت مليئة بالرموز والأرقام (مثل !@#$%^&* وغيرها). المشكلة الآن هي أنّ الكثير من المستخدمين يستخدمون كلمات مرورٍ بسيطة من السهل معرفتها أو تخمينها، أو يستخدمها مستخدمون آخرون كذلك بكثرة. وهذه مشكلة لأنّ: كلمات المرور القصيرة وغير المعقّدة من السهل كسرها عبر هجمات القوّة الغاشمة، حيث تستغرق وقتًا قصيرًا لتخمينها من طرف البرمجيات. غالبًا ما يقوم المستخدمون الآخرون كذلك باستخدام نفس كلمات المرور القصيرة لحساباتهم، فكلمة مرور مثل "123456" مثلًا ليست محصورة بشخص معيّن هو الوحيد الذي يستخدمها بل غالبًا يتشارك الملايين من الناس - للأسف - باستخدامها. الآن ماذا فعل المخترقون؟ بدلًا من الجلوس وعمل هجمة قوّة وحشية من الصفر في كلّ مرّة، أنشؤوا قواعد بياناتٍ خاصّة بهم لكلمات المرور وما يقابلها من النصوص المشفّرة التي جرّبوها بالفعل. فصاروا الآن غير محتاجين لإعادة العملية بعد أن نجحوا في كسر كلمة "123456"، بل يكفيهم النظر فيما بين أيديهم بالفعل. تُعرف هذه الهجمات باسم هجمات القاموس (Dictionary Attacks). من أجل هذا عليك استخدام كلمات مرورة قوية ومعقّدة لحساباتك المختلفة، وهذه بعض النصائح لذلك: اجعل كلمة المرور أطول من 8 حروف على الأقل. استخدم الأرقام والرموز داخلها. لا تكرر النصوص الفرعية داخلها؛ أي لا تستعمل شيئًا مثل "GGGG1111" فهذه كلمة مرور من الأسهل كسرها. لا تستعمل نفس كلمة المرور على امتداد أكثر من موقع ويب. لا تستعمل نمطًا معيّنًا في كل كلمات مرورك؛ بعض الناس يستعمل نمطًا كأن يكتب اسم موقع الويب الحالي ويتبعه بالرموز والحروف مثل "Twitter_!123" و"Facebook_!123". هذا سيّء لأنّه بمجرّد كسر كلمة مرورك في موقعٍ واحد فسيتمكن المخترقون من التخمين أنّك تستعمل نفس النمط على مواقع الويب الأخرى، فيقومون فقط بتجريب تغيير اسم موقع الإنترنت لعلّه يعمل معهم. الحلّ الأنسب لكلمات المرور في الواقع هو ألّا تكتبها وألّا تحتاج لتذكّرها ولا معرفتها بنفسك؛ هناك إضافات لمتصفّحات الويب وبرامج خاصّة تقوم بإنشاء كلمات مرورٍ عشوائية قوية مثل Passwordgenerator.net، حيث تطلب منها إنشاء كلمة مرور لك وتقوم هي بذلك، فتنسخ النص وتلصقه على موقع الويب عند إنشاء حسابك الجديد أو تغيير كلمة المرور. الآن كيف ستتذكر كلمة المرور المعقّدة هذه وتدخلها كلّ مرّة؟ لن تفعل ذلك، بل ستستخدم برنامجًا لإدارة كلمات المرور، وهو ما سنشرحه في القسم التالي. استخدام برامج إدارة كلمات المرور برامج إدارة المرور هي برامج خاصّة بتنظيم كلمات المرور سواءٌ كانت كبرامج مستقلة أو إضافات لمتصفّحات الويب الشهيرة، بل بعض المتصفّحات تتضمن برامج إدارة كلمات المرور داخلها. تقوم هذه البرامج بـ: إنشاء كلمات المرور العشوائية القوية لك عندما تحتاجها. حفظ كلّ كلمات المرور الخاصّة بك بصورة آمنة. إنشاء ما يُعرف بـ"كلمة المرور الرئيسية" (Master Password) وهي كلمة مرور عليك حفظها وتذكّرها، وبمجرّد إدخالها في البرنامج تفتح لك خزنة كلمات المرور ويصبح بإمكانك رؤيتها وتعديلها، أمّا دون كلمة المرور الرئيسية فلا يمكن لأحدٍ الوصول لكلمات مرورك السابقة. هكذا تحتاج إلى تذكّر كلمة مرور واحدة فقط بدلًا عن جميعها. إدخال كلمات المرور المحفوظة في قاعدة البيانات تلقائيًا في صفحات الويب التي تطلبها عند زيارتك إيّاها داخل المتصفّح. مزامنة كلمات المرور بين مختلف أجهزتك من حواسيب وهواتف محمولة على امتداد مختلف أنظمة التشغيل التي تستعملها. يتضمّن متصفّح فيرفكس بعض المزايا الأساسية لإدارة كلمات المرور. فهو مثلًا سيعرض عليك إنشاء كلمة مرور عشوائية قوية عند تسجيلك في مختلف مواقع الويب لأوّل مرّة تلقائيًا: كما يدعم فيرفكس استخدام كلمة مرور رئيسية من إعداداته: تصبح كلمات مرورك وإعداداتك متوفّرة على مختلف الأجهزة التي تستعملها عبر خدمة Firefox Sync الموجودة داخل المتصفّح. هناك الكثير من برامج إدارة كلمات المرور المستقلة، ولكننا ننصح بالمفتوح المصدر منها فقط: Bitwarden: برنامج إدارة كلمات مرور يعمل على مختلف أنظمة التشغيل والهواتف المحمولة ويدعم المزامنة، كما يمتلك إضافاتٍ لمتصفّحيّ فيرفكس وكروم. يوفّر كامل شِفرتَه البرمجية على شكلٍ مفتوح المصدر. LessPass: إضافة لمتصفّحيّ فيرفكس وكروم، بالإضافة إلى تطبيق أندرويد وتطبيق من سطر الأوامر (CLI). تدعم المزايا الأساسية لإدارة كلمات المرور ويستخدمها الكثيرون. هناك الكثير غيرها لكنّ هذه أشهرها وأفضلها. إننا ننصح بعدم تخزين كلمات المرور داخل المتصفّح وعدم الاعتماد على المتصفّح لإدارة كلمات المرور، بل استخدام أحد برامج إدارة كلمات المرور الشهيرة ثمّ تثبيت الإضافة الخاصّة به على متصفّح الويب ثمّ استعمالهما معًا. وهذا لأنّ متصفّحات الويب تفتقد الكثير من المميزات الأساسية المتعلّقة بإدارة وتأمين كلمات المرور، فيكون استخدام برامج مخصصة لذلك خيارًا أنسب. إذًا دعنا نلخّص الآن طريقة تعاملنا مع بيانات تسجيل الدخول للمواقع المختلفة (اسم المستخدم وكلمة المرور): ستذهب إلى إعدادات متصفّحك وتلغي السماح بحفظ وتذكّر كلمات المرور داخل المتصفّح. ستثبّت برنامج إدارة كلمات مرور مثل Bitwarden وغيره على جهازك، وتستورد بياناتك من متصفّحك الحالي إليه ثم تحذف كامل بياناتك من متصفّحك. لن تتبقى أيّ بيانات تسجيل دخول محفوظة على متصفّحك بل ستُنقل كلّها إلى برنامج إدارة كلمات المرور. ستثبّت إضافة المتصفّح الخاصّة ببرنامج إدارة كلمات المرور ذاك على متصفّحك (Integration). ستقوم بإدخال كلمة مرور رئيسية (Master Password) في كلّ مرّة تفتح فيها المتصفّح، وهذا لإلغاء قفل حسابك وبياناتك. في كلّ مرّة تريد تسجيل الدخول إلى أحد مواقع الإنترنت (فيس بوك مثلًا) ستقوم بالضغط على أيقونة الإضافة واختيار اسم المستخدم وكلمة المرور الخاصّين بك، ثم تسجّل الدخول. عندما تريد التسجيل في مواقع جديدة فستستعمل ميّزة إنشاء كلمات المرور العشوائية الموجودة ضمن تلك الإضافة التابعة لبرنامج إدارة كلمات المرور بدلًا من أن تفكّر بها بنفسك. عليك كذلك تغيير كلمات مرورك القديمة إلى كلمات مرور عشوائية جديدة حتّى أنت لا تعرفها، ثمّ حفظها داخل برنامج إدارة كلمات المرور. (يستثنى من ذلك بريدك الإلكتروني الرئيسي، عليك دومًا أن تعرف ما هي كلمة مرور بريدك الإلكتروني وهذا لتتمكن من استرجاع بقية حساباتك المربوطة به في حال حصلت مشكلة). أنا الآن مثلًا لا أعرف ما هي كلمة المرور الخاصّة بي على فيس بوك أو تويتر، لكن هذه ليست مشكلة لأنّها مخزّنة داخل برنامج إدارة كلمات المرور وأنا أحفظ كلمة المرور الرئيسية لذاك البرنامج، وبالتالي يمكنني جلب كلمة المرور التي أريدها في أيّ وقت. حتّى لو حذفت متصفّحي أو انتقلت إلى نظام تشغيلٍ آخر فكلّ ما عليّ فعله هو تثبيت إضافة متصفّح برنامج إدارة كلمات المرور، وبعدها ستصبح كامل بيانات تسجيل الدخول الخاصّة بي لكلّ المواقع جاهزة للاستخدام. انظر مثلًا إلى برنامج Bitwarden (مفتوح المصدر)، بمجرّد تثبيتي لإضافته على متصفّح الويب الخاصّ بي وبمجرّد زيارة أحد مواقع الويب التي أمتلك حسابًا عليها فسيعرض عليّ إمكانية تسجيل الدخول بحسابي ذاك بنقرة زرّ واحدة (يمكن كذلك نسخ اسم المستخدم وكلمة المرور وعرضهما بصورة منفصلة): يمكنك كذلك تثبيت برامج إدارة كلمات المرور تلك على الهواتف المحمولة (أندرويد وiOS) لاستعمالها، حيث ستنسخ كلمة المرور من البرنامج وتلصقها في مربّع الإدخال داخل المتصفّح في كلّ مرّة تريد فتح أحد حساباتك عليها. متابعات عمليات اختراق البيانات وتغيير كلمات مرورك تحصل الكثير من عمليات اختراق المنصّات الإلكترونية ومواقع الويب كلّ شهر، ومن الضروري أن تبقى على اطّلاعٍ لتعلم هل أنت مشمول بهذه الاختراقات أم لا، وهل سرّبت بياناتك ومعلوماتك معها أم لا. إليك الخدمات التالية التي يمكنها أن تنبّهك عن ذلك: Firefox Monitor: فقط أدخل بريدك الإلكتروني وستخبرك الخدمة ما إذا كنتَ مشمولًا بأحد الاختراقات التي حصلت مسبقًا. Have I Been Pwned: خدمة أخرى مشابهة مفتوحة المصدر لفعل نفس الشيء. الاستيثاق الثنائي الاستيثاق الثنائي (2-Factor Authentication) هو عملية طلب المواقع الإلكترونية لوسيلة تحقق من هويّة المستخدم أكثر من مجرّد كلمة المرور؛ إمّا عبر شِفرة قصيرة تصله عبر رسالة نصّية (SMS) إلى رقم هاتفه المسجّل بالحساب، أو إلى بريده الإلكتروني أو وسيلة أخرى شبيهة. فيطلب منه موقع الويب تلك الوسيلة بعد أن يقوم بإدخال كلمة المرور الصحيحة، ولا يكتفي بكلمة المرور لفتح الحساب. الاستيثاق الثنائي مفيد خصوصًا في التعاملات البنكية والمالية، وهذا لأنّك لا تريد لأحدهم تدمير حياتك فقط لأنّه امتلك كلمة المرور الخاصّة بك. أشهر طريقة حالية للاستيثاق الثنائي هي عبر استخدام تطبيقات خاصّة بذلك على الهواتف المحمولة، حيث تقوم أوّلًا بإضافة الخدمات التي تستعملها إلى هذه التطبيقات، ثمّ عندما تريد تسجيل الدخول إليها، تقوم بإدخال رمز الأمان (Security Code) الظاهر على هذه التطبيقات والذي يتغير كلّ 30 ثانية إلى موقع الويب. هناك عدّة تطبيقات للاستيثاق الثنائي على الهواتف، أشهرها Google Authenticator ولكننا لا ننصح به بل ننصح بـFreeOTP وهذا لأنّ هذا الأخير مفتوح المصدر ومُطَوّر من طرف شرك ريدهات (Red Hat) المعروفة بتطوير البرمجيات المفتوحة المصدر للشركات. لا تدعم كلّ مواقع الويب خاصّية الاستيثاق الثنائي، لكن تدعمها تلك الشهيرة منها مثل فيس بوك وتويتر وجوجل وكلّ التطبيقات المالية. يمكنك الوصول إلى الميّزة من الإعدادات --> الأمان --> الاستيثاق الثنائي على تويتر مثلًا. سيطلب منك الموقع أن تمسح صورة الرمز عبر تطبيق الاستيثاق الخاصّ بك: بعد أن تفعل ذلك، سيعطيك الموقع ما يُعرف برمز الاستعادة (Backup Code) ومن المهم جدًا أن تحتفظ به وألّا تنساه، لأنّه في حال سُرق منك هاتفك المحمول أو حُذف التطبيق بالخطأ فقد لا تتمكن من فتح حسابك مرةً أخرى من دونه: ثم سيُضاف رمز الاستيثاق إلى التطبيق الخاصّ بك: بخصوص رموز الاستعادة (Backup Codes) فإننا ننصح بطباعتها على ورقة ثمّ حذفها من الحاسوب بالكامل وعدم تخزينها في أي مكانٍ رقمي، وهذا لأنّه ستسمح باختراق حساباتك بمجرّد الوصول إليها ومن غير الآمن تخزينها رقميًا. هذا فضلًا عن أنك قد تحتاجها في حال السفر أو انقطاع الكهرباء. ختاما كلمات المرور هي الحاجز الأمني الأساسي الذي يمنع المتطفّلين من الولوج إلى حساباتك على مختلف المواقع والخدمات التي تستعملها، لذا لا تتردد بتاتًا بصرف القليل من وقتك وجهدك على تأمينها بصورة قوّية قبل أن تتابع روتينك اليومي من الاستعمال. فيكفي أن يُخترق حسابٌ واحدٌ من الحسابات الأساسية التي تستعملها لتجد نفسك في الكثير من وجع الرأس بل وعرضةً لفقد المال والملفّات والبيانات المهمّة. اقرأ أيضًا المقال التالي: تأمين متصفحات الويب في العالم الرقمي المقال السابق: التشفير واستعمالاته في العالم الرقمي النسخة الكاملة من كتاب دليل الأمان الرقمي