ما مدى أمان تخزين الملفات المشفرة؟

التهديدات التي تتعرض لها البيانات المخزنة في Sync وpCloud والبدائل المشفرة الأخرى للتخزين على Dropbox.

لا يمكن لأحد أن ينكر راحة خدمات تخزين الملفات السحابية مثل Dropbox أو OneDrive. والعيب الوحيد هو أن مجرمي الإنترنت أو وكالات الاستخبارات أو مزود خدمة الاستضافة نفسه يمكنهم الاطلاع على ملفاتك المخزنة على السحابة دون تصريح. لكن هناك بديل أكثر أمانًا: تخزين الملفات السحابي المشفر. ويسميه البعض التشفير من طرف إلى طرف (E2EE) – على غرار Signal وWhatsApp. ووفقًا للدعاية التسويقية، يتم تشفير الملفات على جهازك وإرسالها إلى السحابة بالفعل في شكل آمن – يبقى مفتاح التشفير في حوزتك أنت وليس في حوزة أي شخص آخر. ولا يستطيع حتى مزود الخدمة الوصول إلى هذه المعلومات. لكن هل هذا هو الحال حقًا؟

تشفير الجبن السويسري

قامت مجموعة التشفير التطبيقي في ETH Zurich بتفكيك خوارزميات خمس خدمات تخزين مشفرة شائعة: Sync.com وpCloud وIcedrive وSeafile وTresorit. ووجد الباحثون في كلٍ منها أخطاءً في تنفيذ التشفير تسمح بدرجات متفاوتة بالتلاعب بالملفات، وحتى الوصول إلى أجزاء من البيانات غير المشفرة. وفي وقت سابق، اكتشفوا عيوبًا في اثنتين من خدمات الاستضافة الشائعة الأخرى – MEGA وNextcloud.

وفي جميع الحالات، يتم تنفيذ الهجمات من خادم ضار. يكون السيناريو كالتالي: يخترق المتسللون إما خوادم الاستضافة المشفرة، أو من خلال التلاعب بأجهزة التوجيه على طول مسار العميل إلى الخادم، وإجبار كمبيوتر الضحية على الاتصال بخادم آخر يحاكي خادم الاستضافة الأصلي المشفر. وإذا نجحت هذه المناورة الصعبة، فيمكن للمهاجمين نظريًا فعل ما يلي:

  • في حالة com، زرع المجلدات والملفات التي تحتوي على معلومات غير صحيحة، وتغيير أسماء الملفات والبيانات الوصفية للمعلومات المخزنة. ويمكن للخادم المخترق كذلك إرسال مفاتيح تشفير جديدة إلى العميل، ثم فك تشفير أي ملفات يتم تنزيلها بعد ذلك. بالإضافة إلى ذلك، تسمح وظيفة المشاركة المضمنة للخادم الضار بفك تشفير أي ملف مشترك بواسطة الضحية، لأن مفتاح فك التشفير موجود في الرابط الذي يتم إرساله عند الوصول إلى الخادم.
  • في حالة pCloud، نقل الملفات والمجلدات بشكل عشوائي ومبادلة أسماء الملفات وحذف أجزاء الملفات وفك تشفير الملفات التي تم تنزيلها بعد الاختراق.
  • في حالة Seafile، إجبار العميل على استخدام إصدار أقدم من البروتوكول، مما يسهل عملية فرض كلمات المرور الغاشمة، وتبديل أو حذف أجزاء الملفات، وزرع الملفات والمجلدات، وتعديل البيانات الوصفية للملفات.
  • في حالة Icedrive، زرع الملفات التي تتكون من أجزاء من ملفات أخرى تم تحميلها بالفعل على السحابة، وتغيير اسم وموقع الملفات المخزنة، وإعادة ترتيب أجزاء الملفات.
  • في حالة Tresorit، معالجة البيانات الوصفية للملفات المخزنة – بما في ذلك التأليف.
  • في حالة Nextcloud، التلاعب بمفاتيح التشفير – مما يسمح بفك تشفير الملفات التي تم تنزيلها.
  • في حالة MEGA، استعادة مفاتيح التشفير وبالتالي فك تشفير جميع الملفات. من الممكن أيضًا زرع ملفات تدينك.

ويعد الخادم الضار في كل حالة مكونًا يصعب تنفيذه لكنه ليس مكونًا حقيقيًا في الهجوم. وفي ضوء الهجمات الإلكترونية على Microsoft وTwilio، فإن احتمال تعرض لاعب رئيسي للاختراق أمر حقيقي. وبالطبع، يجب أن يكون التشفير من طرف إلى طرف (E2EE) بحكم تعريفه مقاومًا للإجراءات الضارة من جانب الخادم.

ودون الخوض في التفاصيل الفنية، نلاحظ أن مطوري جميع الخدمات يبدو أنهم طبقوا التشفير من طرف إلى طرف (E2EE) بحسن نية واستخدموا خوارزميات قوية ومعترف بها مثل AES وRSA. لكن تشفير الملفات يتسبب في الكثير من الصعوبات الفنية عندما يتعلق الأمر بالتعاون في التوثيق والتأليف المشترك. ولا تزال المهام المطلوبة للتغلب على هذه الصعوبات ومراعاة جميع الهجمات المحتملة التي تتضمن مفاتيح تشفير معدلة دون حل، لكن Tresorit قامت بعمل أفضل بكثير من أي جهة أخرى.

يشير الباحثون إلى أن مطوري الخدمات المختلفة ارتكبوا أخطاءً متشابهة للغاية بشكل مستقل عن بعضهم البعض. وهذا يعني أن تنفيذ التخزين السحابي المشفر محفوف بفروق دقيقة في التشفير. وما نحتاجه هو بروتوكول متطور تم اختباره بدقة من قبل مجتمع التشفير – مثل TLS لمواقع الويب أو بروتوكول Signal للمراسلات الفورية.

إصلاحات مكلفة

تكمن المشكلة الأكبر في إصلاح الأخطاء التي تم تحديدها في أن التطبيقات وبرامج الخادم لا تحتاج فقط إلى تحديث، بل تحتاج أيضًا في كثير من الحالات الملفات المحفوظة من قبل المستخدم إلى إعادة تشفيرها. ولا يستطيع كل مزود خدمة استضافة تحمل هذه النفقات الحسابية الضخمة. علاوة على ذلك، لا يمكن إعادة التشفير إلا بالتعاون مع كل مستخدم – وليس من جانب واحد. وهذا على الأرجح سبب بطء الإصلاحات:

  • استجابت com للباحثين بعد ستة أشهر، وبعد ظهور التقارير الصحفية فقط. وبعد استيقاظهم أخيرًا، أعلنوا عن إصلاح مشكلة تسرب المفاتيح عند مشاركة الروابط، وقالوا إنهم سيقومون بإصلاح العيوب الأخرى أيضًا، لكن دون تحديد إطار زمني.
  • وعدت Tresorit بإصلاح المشكلة في عام 2025 (لكن المشكلة أقل حدة بالنسبة لهم).
  • أصلحت Seafile مشكلة الرجوع إلى إصدار أقدم دون التعليق على العيوب الأخرى.
  • قررت Icedrive عدم معالجة المشاكل المحددة.
  • لم تستجب pCloud للباحثين حتى ظهور التقارير الصحفية، ثم أعلنت أن الهجمات نظرية ولا تتطلب إجراءً فوريًا.
  • أصلحت Nextcloud المشكلة وأعادت صياغة النهج العام للتشفير من طرف إلى طرف في الإصدار 3.12. ولم يتم إجراء بحث حول مخطط التشفير المحدّث بعد.
  • خفضت MEGA بشكل كبير من احتمالية وقوع هجوم من خلال تقديم عمليات تحقق من جانب العميل.

ما الذي يحتاج المستخدمون إلى فعله

على الرغم من أن المشكلات التي حددتها مجموعة التشفير التطبيقي لا يمكن وصفها بأنها نظرية بحتة، إلا أنها لا تمثل تهديدًا جماعيًا يمكن استغلاله بسهولة من قبل مجرمي الإنترنت. لذلك، لا يلزم اتخاذ إجراء متسرع؛ وبدلاً من ذلك هناك حاجة إلى تقييم واقعي لموقفك:

  • ما مدى حساسية البيانات الموجودة في مخزنك، وما مدى إغراء الغرباء بها؟
  • ما مقدار البيانات التي تخزنها في الخدمة المشفرة، وهل من السهل نقلها إلى خدمة أخرى؟
  • ما مدى أهمية ميزات التعاون ومشاركة الملفات؟

إذا لم يكن التعاون مهمًا، في حين أن البيانات المخزنة مهمة، فإن الخيار الأفضل هو التبديل إلى تشفير الملفات المحلية. ويمكنك فعل ذلك بعدة طرق – على سبيل المثال، عن طريق تخزين البيانات في ملف حاوية مشفرة أو أرشيف بكلمة مرور قوية. وإذا كنت بحاجة إلى نقل البيانات إلى جهاز آخر، فيمكنك تحميل أرشيف مشفر بالفعل إلى خدمة الاستضافة السحابية.

إذا كنت ترغب في الجمع بين التعاون والراحة مع ضمانات الأمان المناسبة، ولم تكن كمية البيانات المخزنة كبيرة، فمن المفيد نقل البيانات إلى إحدى الخدمات التي صمدت بشكل أفضل أمام اختبار ETH Zurich. وهذا يعني Tresorit أولاً وقبل كل شيء، لكن لا تستبعد MEGA و Nextcloud.

إذا لم يكن أي من هذه الحلول مناسبًا، يمكنك اختيار خدمات الاستضافة المشفرة الأخرى، لكن مع اتخاذ احتياطات إضافية: تجنب تخزين البيانات شديدة الحساسية، وتحديث تطبيقات العميل على الفور، والتحقق بانتظام من محركات الأقراص السحابية، وحذف المعلومات القديمة أو الدخيلة.

على أي حال، تذكّر أن الهجوم الأكثر احتمالاً على بياناتك سيأخذ شكل سارق معلومات ببساطة يخترق حاسوبك أو هاتفك الذكي. لذلك، يجب أن تسير الاستضافة المشفرة جنبًا إلى جنب مع الحماية الكاملة من البرامج الضارة لجميع الهواتف الذكية وأجهزة الكمبيوتر.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

اشترك حتى يصلك جديدنا على بريدك الإلكتروني
  • جميع الدول الاخرى