لبنان: هل تضمن منصّة تجديد جوازات السفر أمن بياناتكم/ن؟

في ردّ على الأسئلة التي طرحتها منظمة “سمكس” (SMEX) يوم الخميس (في ٢٧ كانون الأول/يناير)، اعتبرت المديرية العامة للأمن العام في لبنان أنّ منصة تجديد جوازات السفر (gs-appt.gov.lb) تحتفظ بها المديرية “فقط لا غير” وأنّ “الخوادم التي تحفظ هذه البيانات موجودة لديها بطريقة آمنة”، وذلك بعد أن أشارت المديرية إلى أنّ أنّ المخاوف المثارة في هذا الصدد هي مجرّد “أخبار مغلوطة”.

وكانت المديرية العامة للأمن العام قد أطلقت الأسبوع الحالي منصّة جديدة لتقديم طلبات حجز مواعيد لإنجاز جوازات السفر (gs-appt.gov.lb)، بهدف معالجة مشكلة الاكتظاظ في مراكز تقديم الطلبات. تبيّن لمنظمة “سمكس” بعد معاينة أوّلية أنّ المنصّة تفتقر إلى تدابير أمن البيانات والشفافية وحماية الخصوصية، وأنّ الجهة التي أنشأت المنصّة هي “مؤسسة هاني صليبا“، وهي جمعية تابعة لمرشّح إلى الانتخابات النيابية المقبلة في العام الجاري.

ردّ مطوِّر المنصّة على الأسئلة التي طرحناها في منشور على موقع “ريديت” (Reddit)، شرح فيه أنّ منصّة الأمن العام آمنة، وأكّد أنها تتّبع بروتوكول “طبقة المنافذ الآمنة” (SSL). وبدورنا، نؤكّد أنّ المنصّة تعتمد حالياً هذا البروتوكول، ولكنّنا نشير في الوقت نفسه إلى أنّه لم يكن متوفّراً يوم الخميس الماضي عندما نشرنا سلسلة التغريدات الأولى حول هذا الموضوع. (اطّلعوا على التحليل التقني المقتضب أدناه؛ سننشُر المزيد حول هذه المسألة الأسبوع المقبل).

حماية البيانات

ومع ذلك، لا تنشر  منصّة الأمن العام لتجديد جوازات السفر سياسة خصوصية، وتفتقر إلى أيّ نصّ قانوني يحدّد الجهة التي تحتفظ ببيانات المواطنين، ومَن يمكنه الوصول إليها، وأين تُحفَظ وبأيّ طريقة. بالإضافة إلى ذلك، لا تتضمّن المنصّة أيّ إشارة إلى تدابير الأمن والسلامة المتّبعة أو كيفية معالجة تلك البيانات.

في بيان أصدره الأمن العام يوم السبت (29 كانون الثاني/يناير)، شكر البيان المرشّح إلى الانتخابات النيابية لعام 2022 هاني صليبا، مشيراً إلى أنّ “البيانات والداتا المتعلقة بالمواطنين تحتفظ بها المديرية العامة للأمن العام فقط لا غير والخوادم التي تحفظ هذه البيانات موجودة لديها بطريقة آمنة”.

المساءلة والشفافية

نحثّ المنظّمات غير الحكومية ومجموعات المجتمع المدني الأخرى التي تنشط في مجال الانتخابات والشفافية على تقييم الجوانب القانونية والتقنية لهذه المنصّة، المُموَّلة من قبل “مؤسسة هاني صليبا”، أحد المرشّحين إلى الانتخابات النيابية المقبلة

ينبغي توخّي أعلى درجات الحذر تجاه المبادرات التي تطلقها جهات سياسية في الأشهر القليلة التي تفصلنا عن الانتخابات النيابية اللبنانية المرتقبة. ولا بدّ من طرح الأسئلة عن الضوابط المعتمدة لمنع المرشّحين من استغلال المؤسّسات العامة لتحقيق مكاسب انتخابية.

التحليل التقني

من أجل تقييم مستوى الأمن والسلامة على منصّة الأمن العام لتجديد جوازات السفر (gs-appt.gov.lb)، أجرى فريقنا التقني تحليلاً مقتضباً للجوانب التي قد تطرح إشكاليات متعلقة بخصوصية المواطنين. سنتطرّق في الجزء التالي إلى المسائل المتعلّقة بـ“طبقة النقل الآمنة” (TLS)، وهي نمط تشفير يضمن التعمية في التواصل بين تطبيقَيْن جهازَين (أو أكثر)، وتسرّب إعدادات التهيئة (configuration leaks) الذي رصدناه في معرض تحليلنا. (سننشُر  الأسبوع المقبل تدوينة تتضمن تفاصيل أكثر  حول النتائج التي توصّنا إليها).

الاتّصال المشفَّر بين المستخدِم والموقع الإلكتروني

حذّرنا في منظمة “سمكس” من الاتّصال غير الآمن بالموقع الإلكتروني التابع للأمن العام اللبناني المخصَّص لطلبات جواز السفر في تغريدة نشرناها يوم الخميس الماضي. وبعد إجراء معاينة تقنيّة، توصّلنا إلى أنّ البروتوكول مُعتمَد بواسطة خدمات “كلاود فلير” (CloudFlare). ويدعم البروتوكول المُعتمَد جميع نسخ “طبقة النقل الآمنة”، بما في ذلك النسخة الأخيرة، أي TLS 1.3. ولكن نوصي بإلغاء البروتوكول للنسختَيْن السابقتَيْن TLS 1.0 وTLS 1.1، إذ يُنصَح بعدم استخدامهما نظراً إلى إمكانية اختراقهما.

يمكن الاطلاع على النتائج عبر الرابط التالي: https://observatory.mozilla.org/analyze/gs-appt.gov.lb.

تسرّب إعدادات التهيئة (configuration leaks)

رصد تحليلنا أيضاً تسرّباً لإعدادات التهيئة على بروتوكول الإنترنت (IP) الذي نعتقد أنّ المنصّة (gs-appt.gov.lb) تعتمده حالياً. واكتشف فريقنا هذا التسرّب في بيئة التطوير (development environment)، حيث يختبر المطوِّرون التطبيق قبل إتاحته إلى عامة الناس وتفعيله بالكامل. وتجدر الإشارة إلى أنّ نشر بيئة التطوير يندرج ضمن الممارسات السيئة، إذ إنه قد يشكّل خطراً أمنياً.

يتضمّن تسرّب إعدادات التهيئة تفاصيل عن قاعدة البيانات، مثل اسم قاعدة البيانات، واسم المستخدِم، وكلمة السر، وبعض المعلومات الحسّاسة. ومن المعروف أنّ تفعيل شفرة التطوير على خوادِم مُتاحة لعامة الناس ينطوي على مخاطر عدّة، إذ قد يؤدي إلى الكشف عن معلومات هامة عن المنصّة.

ملاحظة: أخفينا المعلومات الحسّاسة من الصورة أدناه لحماية المواطنين اللبنانيين من أيّ أذى أو اختراق.

هذا الملفّ بصيغة “.env” مخفي (لا يمكن الوصول إليه) على المنصّة المُتاحة لعامة الناس (بيئة الإنتاج)، إلا أنّ إعدادات التهيئة سبق أن تسرّبت وهي متوفرة حالياً على الإنترنت.

التوصيات

– في الوقت الحالي، ننصح بعدم استخدام منصّة تجديد جوازات السفر (gs-appt.gov.lb) إلى أن ينشر الأمن العام اللبناني سياسة خصوصية وشروط استخدام للمنصّة، يتناول فيهما جميع المخاوف السالفة الذكر المتعلقة بمعالجة البيانات.
– نحثّ الأمن العام اللبناني على نشر سياسة خصوصية وشروط خدمة للمنصّة، تتضمّنان جميع المعلومات القانونية والتقنية اللازمة.
– يجب على الأمن العام اللبناني، وأيّ جهات عامة أو خاصة أخرى، مراعاة مسائل الخصوصية والأمن منذ مرحلة التصميم، من السياسات وصولاً إلى التنفيذ التقني.
– مع أننا نتفهّم الحاجة إلى ضمان تلاؤم المنصّة مع مجموعة كبيرة من الأجهزة القديمة، نوصي بشدّة بإلغاء بروتوكولَيْ TLS 1.0 وTLS 1.1.
– نحثّ الأمن العام اللبناني على تغيير اسم المستخدِم وكلمة السر لقاعدة البيانات فوراً إذا كانا مطابقَيْن للمعلومات المسرَّبة الواردة في ملفّ “.env”.

This page is available in a different language English (الإنجليزية) هذه الصفحة متوفرة بلغة مختلفة

SMEX

“سمكس” هي منظمة لبنانية مسجلة تعمل على دعم المجتمعات المعلوماتية ذاتية التنظيم في الشرق الأوسط وشمال أفريقيا.