حماية البيانات الحسّاسة
مُحدَّث في21 May 2021
الفهرس
…يجري تحميل الفهرس…قد يتمكن مخترقون النظام من مطالعة و تعديل البيانات فيه عن بعد عبر الإنترنت. و إذا تمكّنوا من حيازة النبيطة ماديًا فإنّهم قد يتمكنون من فعل ذلك مباشرة. لذا فمن الأفضل تجهيز عِدَّة طبقات من الحماية تحسُّبًا لذلك. تعمية الملفات المحفوظة في النبيطة أحد أهم التحوّطات الواجبة.
التعمية وسيلة لتغيير صورة البيانات الرقمية بالاعتماد على خوارزميّات تُطبّق مبادئ رياضيّاتيّة بحث لا تعود تلك البيانات بعد تعميتها مفهومة لمن يطالعها و لا يثمكن ردّها إلى صورتها الأصلية إلّا بمعرفة سرّ. لذا فتعمية وسائط التخزين لحماية البيانات المحفوظة فيها هو بمثابة وضعها في خزانة لا يملك مفتاحها غيركم.
اتّبعوا الخطوات التالية لحماية البيانات المخزّنة في نبائطتكم.
حذف البيانات القديمة بدلا من حفظها
المزيد عن توصيتنا هذه
تخزين البيانات الحسّاسة يزيد من المخاطر التي تتعرضون لها أنتم و من تعملون معهم. التعمية تُقلِّل تلك المخاطر لكنها لا تلغيها. الخطوة الأولى لحماية البيانات الحسّاسة تقليل مقدار المحفوظ منها. فما لم يكن لديكم سبب وجيه لحفظ ملف ما أو فئة من البيانات فيُستحسن حذفها. تجدون في القسم عن محو البيانات الحسّاسة المزيد عن كيفية فعل ذلك.
معرفة ما إذا كان استعمال التعمية مُجرّمًا
المزيد عن توصيتنا هذه
استعمال التعمية مُجرّم في بعض القضاءات. فإذا كانت مُجرّمة حيث تقيمون فإنّ تنزيل أو تنصيب برمجيات التعمية قد يكون مخالفة قانونية. الشرطة و الجيش و جهات المباحث و الاستخبارات قد تعمد إلى اعتبار استخدامكم تطبيقات التعمية ذريعة للتحري في أنشطتكم أو ملاحقتكم قضائيًا أو التضييق عليكم و على منظّمتكم. و بغضّ النظر عمّا هو موجود بالفعل في وسائط التخزين المُعمّاة، و بغض النظر عن قانونية المحتوى نفسه، فإنّ استخدام التعمية في حدِّ ذاته قد يزيد من الريبة تجاهكم.
ادرسوا كيف تعاملت أجهزة إنفاذ القانون مع التعمية في منطقتكم، و فكّروا في ما إذا كان استخدام الأدوات التي الغرض الوحيد منها تعمية البيانات مناسبًا لظروفكم.
If encryption is illegal in your region, consider the following alternatives
الاقتصار على تخزين البيانات غير الحسّاسة
الاستگانوغرافيا
- الاستگانوغرافيا هو إخفاء البيانات و تمويه وجودها بحيث لا يكون ملحوظًا. توجد أساليب عديدة لفعل ذلك في الوسائط المختلفة، كما توجد بعض الأدوات التي تساعد على ذلك، إلّا أن استخدامها يتطلّب إعدادًا. مع ملاحظة أنّ انكشاف البيانات قد يؤدي إلى تبعات وخيمة.
Use a system of code words
- و ذلك باستعمال كلمات بديلة متّفق عليها لتسمية الأشياء و الأشخاص و المواضع و الأنشطة، كما في قصص العملاء السريين القديمة، ثم تخزين الملفات التي تحوي تلك المعلومات بالأسلوب المعتاد.
حفظ الملفات في وسيط تخزين خارجي
- يمكن حفظ المعلومات الحسّاسة خارج الحاسوب أو الهاتف بطريق تخزينها في ذواكر USB أو قرص صلب محمول أو شرائح ذاكرة. مع ملاحظة أنّ هذه الوسائط أكثر عُرضة من غيرها للضياع و المُصادرة، لذا فالتنقل بها أو تركها في أماكن مُعرّضة و هي تحفظ معلومات حسّاسة قد يزيد المخاطر.
الحفظ في مخازن سحابية مُعمّاة
- فكّروا في إذا كان حفظ الملفات الحسّاسة في خدمة تخزين على الإنترنت مُعماّة، مثل Tresorit، مناسبًا بالنظر إلى التهديدات التي تواجهكم. أمثال هذه الخدمات تحفظ سريّة البيانات المحفوظة بتعميتها و تخزينها في خواديم بعيدة عن متناول خصومكم. لكنهم إن تمكنوا من النفاذ إليها فسيكون لديهم متّسع من الوقت لمحاولة استخراج أسراركم، و قد يفعلون ذلك دون لفت نظركم.
Consider encrypting your whole device
- مع ملاحظة أن تعمية النظام بأكمله لا يُحدث أثر الحماية المطلوب إلا بإطفاء النبيطة كلّها، لا بكونها في وضع السبوت. فإذا وقت في يد مهاجم أثناء اشتغالها فقد يتمكن من استخراج بيانات حسّاسة منها.
أندرويد
- أغلب نبائط أندرويد العاملة بالإصدارة 6 و ما بعدها تُمكن تعميتها بالكامل. للتحقّق انظروا في الإعدادات -> الأمان -> التعمية. مع ملاحظة أن المواضع الدقيقة لتحكمات الإعدادات قد تتباين فيما بين طُرُز الهواتف و ماركاتها.
iOS
- الهواتف العاملة بنظام iPhone تكون مُعمّاة ابتداءً عند ضبطها على استخدام رمز سري لفتح الشاشة
لينُكس
لتعمية نظام لينُكس باستخدام الوظائف المضمّنة في النظام:
- يجب إعداد التعمية الكاملة لنظام أثناء تنصيب نظام أوبونتو، لذا يتطلّب تفعيل هذه الوظيفة في وقت تال إعادة التنصيب. لكن قبل عمل ذلك:
- احفظوا نسخة احتياطية من كل بياناتكم. فأثناء إعادة تنصيب أوبونتو ستُمحى كل البيانات المحفوظة على وسيط التخزين و إعدادات نظام التشغيل.
- ينبغي وصل الحاسوب بمقبس الكهرباء لكي لا ينطفئ أثناء صيرورة التنصيب.
- يُستحسن تفعيل خيار الاتصال بالإنترنت أثناء تنصيب أبونتو إن كان ذلك ممكنًا، لتنزيل تحديثات النظام و التطبيقات و تنصيبها.
- يُنصّب أوبونتو باستخدام نظام يُقلع من ذاكرة USB. فطالعوا الوثائق المعنية بالنظام الذي تستخدمون حاليا لمعرفة كيفية إنشائها:
ماك
- ينبغي تفعيل وظيفة خزنة الملفات (FileVault) في نظام التشغيل لتعمية القرص الصلب في الحاسوب، و ذلك من إعدادات النظام -> الخصوصية والأمن. سيُعمّى القرص الصلب بكلمة السر نفسها المُستخدمة في الولوج.
وِندوز
- تُحدَث التعمية باستخدام وظيفة BitLocker المبنية في
النظام
- قد يختلف إجراء تعمية الحواسيب الأقدم
- إذا طالعتكم رسالة عطل مفادها "This device can't use a Trusted Platform
Module" فهذا معناه أن الحاسوب لا يحوي العتاد اللازم المتوافق مع مواصفة
TPM، إلا أنّه يمكن إجراء التعمية على أية حال بالتضبيطات التالية:
- بالنقر على "ابدأ" ثم إدخال الأمر gpedit.msc ثم ضغط زر الإرجاع، ثم نافذة التطبيق التي ستظهر انقروا على "Operating System Drives"
- في القسم الأيمن من نافذة تطبيق مُحرّر سياسات المجموعات فعّلوا خبار "مطلوب استيثاق إضافي عند بدء تشغيل النظام" و هو ما سيظهر نافذة جديدة. (مع أهمية ملاحظة وجود خيار آخر هو "مطلوب استيثاق إضافي (خادوم وِندوز 2008 و وِندوز ڤِستا) و هي _ليس الخيار المطلوب تفعيله)
- فعّلوا الخيار، مع التحقّق من تفعيل خيار "السماح باشتغال BitLocker بلا TPM (يتطلّب كلمة سرٍّ إضافية أو مفتاح USB خاص عند الإقلاع)". ثم النقر على "موافقون".
- أغلقوا تطبيق مُحرِّر سياسات المجموعات.
المزيد عن توصيتنا هذه
إذا ضاعت النبيطة أو سُرِقَت أو صادرها أفراد أو جهات بغرض فحص ملفاتكم لتعمية هي الو اتّصالاتكم فإنَّ التعمية هي الوسيلة الوحيدة لحمايتها.
حواسيب سطح المكتب و الحواسيب المحمولة قد توجد فيها وظيفة التعمية مُضمّنة في النظام. تطبيق VeraCrypt قد يتيح حماية إضافية لملفات بعينها أو لوسائط التخزين الخارجية، كما يمكن باستعماله تعمية الجهاز بأكمله.
ترك بعض الملفات غير مُعمّاة
لينُكس و ماك و وِندوز
المزيد عن توصيتنا هذه
قد تجدون من المفيد ترك بعض الملفات غير الحسّاسة غير مُعمّاةٍ في النبيطة، و ذلك لتلافي إثارة الريبة إذا قام أحد بتفتيشها، فيجد فيها ملفات معتادة و مراسلات يومية.
فكّروا في إنشاء مُجلّد مخفي
المزيد عن توصيتنا هذه
تعمية الملفات تحول دون مطالعة محتواها، إلّا أن حقيقة كونكم تستخدمون التعمية لحماية سريّة البيانات تظلّ ظاهرة، مما قد يدفع الخصم إلى الضغط عليكم لأجل الكشف عن تلك البيانات، بطريق التخويف أو التعذيب.
لذلك يتيح VeraCrypt وظيفةً تساعد على تلافي هذا الموقف بطريق إنشاء ما يُعرَف بالمجلد الخفي (hidden volume)، و هو مخزن بيانات مُعمّى لا يُمكن فتحه إلّا بمعرفة كلمة سرّ معيّنة تختلف عن المُستخدمة لفتح مخزن بيانات آخر للتمويه يتشارك معه نفس الحيّز. يضمن تصميم هذا الأسلوب تعذُّر إثبات حقيقة وجود مثل هذا المخزن السريّ، حتى بالفحص التقني الدقيق، و حتّى مع علم الفاحص بوجود مثل هذه الوظيفة في حدّ ذاتها، و هو المبدأ المعروف باسم "حُجيّة الإنكار".
و يمكن باستخدام هذه الوظيفة التي تتيحها VeraCrypt تمويه وجود الملفات الحسّاسة بأخرى غير حسّاسة لتقليل الريبة. لذا فإذا أجبرك الخصم على الإفصاح عن كلمة السرّ أمكنكم إعطاؤه كلمة السرّ التي تفتح مخزن التمويه.
يمكن تشبيه الأمر بخزانة فيها جدار زائف يخفي جيبا سريًّا لا يعرف بأمره غير صاحب الخزانة. هذا يتيح للشخص إنكار وجود أسرار غير ما في جوف الخزانة الرئيسي التي انشكفت بالفعل، مما قد يحمي الشخص في الأحوال الذي يُضطر فيها إلى الإفصاح عن كلمة سرّ ما لإشباع رغبة الخصم و من ثمّ تخفيف الضغط و الخطر الوشيك.
ينبغي العلم بأن الخصم قد يعرف سلفًا وجود وظيفة المجلات المخفية في VeraCrypt لذا فلا ضمان لامتناعهم عن مواصلة الضغط و التهديد أو التعذيب. لكن مع ذلك فكثيرون يستخدمون هذه الوظيفة.
ينبغي كذلك الحرص على عد الكشف عن المجلّد المخفي بطريق السهو أو بطريق إنشاء اختصارات إلى ملفات و تطبيقات مُنصّبة فيه.
حماية النبيطة المُعمّاة
Unmount
- عندما يوصل قرص VeraCrypt المُعمّى، أي عندما يكون من الممكن النفاذ إلى الملفات المحفوظة فيها فإنّ هذا الوضع يكون غير آمن. لذا يجب إبقاء المُجلد مغلقًا إلا عند الحاجة إليه.
- إذا حفظتم مُجلّدات مُعمّاة على ذواكر USB فتذكّروا أن فصل الذاكرة من نظام التشغيل قد لا يؤدّي إلى اختفاء القرص فورًا من مدير الملفات. كما أنّ نزع شريحة الذاكرة مادية من مقبس USB قد يؤدّي إلى تخريب بيانات المُجلّد المحفوظ فيها. لذا ينبغي قفل المُجلّد الافتراضي المُعمّى بالإجراء الموصوف في VeraCrypt قبل فصل شريحة الذاكرة من النظام. مع ملاحظة أنّ قفل المُجلّد المُعمّى يستوجب غلق كل الملفات المحفوظة عليه في التطبيقات التي تفتح تلك الملفات. فإذا كُنتم تُحرّرون وثيقة أو تطالعون صورًا فينبغي غلق تلك الملفات أو التطبيقات التي تطالعونها من خلالها. ينبغي التدرُّب على ذلك لضمان عمله بسلاسة عند اللزوم.
Disconnect the drive
- قبل مغادرة النبيطة لفترة مُمتدّة من الوقت، لضمان عدم ترك ملفات حسّاسة في متناول الخصوم عن بُعد أو من لديهم نفاذ مادي إلى النبيطة.
- قبل وضع النبيطة في حالة السبات، إما بتفعيل هذه الوظيفة أو بطيّ شاشة الحاسوب المحمول.
- قبل السماح لغيرك باستعمال الحاسوب. أثناء اصطحاب الحاسوب عبر نقاط التفتيش أو المعابر الحدودية من الضروري قفل كل المجلّدات المُعمّاة و غلق الحاسوب تمامًا.
- قبل وصل ذاكرة USB غير موثوق فيها أو أي وسائط تخزين خارجية أخرى، بما فيها التي تعود لمعارف و زملاء.
Don’t access your encrypted drive on a device you don’t trust
- فقد يكون خصم قد نصّب في النظام غير الموثوق فيها برمجية تجسّسية تمكنها سرقة كلمات السرّ أو النفاذ إلى الأقراص المُعمّاة فور وصلها و نسخ محتوياتها.
المزيد عن توصيتنا هذه
رجوعًا إلى تشبيه الخزانة، فما من خزانة ستحفظ محتوياتها آمنة إنْ لم يوصد بابها بحرص.
البائعون و دكاكين الصيانة الثقات
- إذا اشتريتم نبيطة مُستعملة فاطلبوا من خبير موثوق فيه محو كلّ ما عليها و فحصها جيّدا للكشف عن البرمجيات الخبيثة و إعادة تنصيب نظام التشغيل فيها.
- إذا كنتم تعتقدون أنّ شخصا أو جهة ما لديها القدرة و الموارد و الدافع على استهدافكم بتنصيب برمجيات خبيثة على النبائط قبل أن تشتروها فمن الأفضل الشراء من محلّ وكيل مُعتمد يُختار على نحو عشوائي.
المزيد عن توصيتنا هذه
عندما تشترون نبيطة سبق لغيركم استعمالها أو تُرسلون نبيطتكم إلى خدمة الصيانة فإنها تكون فرصة سانحة لخصمكم للنفاذ إلى بياناتكم. النبائط المُستعملة من قبل قد تحمل برمجيات خبيثة أو تجسّسية، لذا ينبغي على المستهدفين شراء نبائط جديدة. توجد سوابق لقيام عاملين في دكاكين الصيانة بالتجسّس على زبائنهم و استخراج بيانات شخصيّة وحسّاسة منها أو زرع برمجيات تجسّسية فيها قبل إرجاعها إليهم. لذا يجب اللجوء إلى مقدّمي خدمة صيانة موثوق فيهم. يجدر كذلك بالأشخاص المستهدفين أو الشخصيات العامة أو الجدلية أو ذوي الهويات المثيرة للانتباه عدم التعامل بأنفسهم مع مقدّمي خدمة الصيانة و اللجوء عوضًا عن ذلك إلى شخص موثوق فيه للقيام بهذه المهمة بالنيابة عنهم لتجنّب إثارة فضول القائمين بالصيانة و تقليل دافعهم إلى الاستكشاف.