تحديث – 21 شباط 2022: تواصلت “سمكس” مع المديرية العامة للأمن العام في لبنان، الأسبوع الماضي، فأشارت المديرية إلى أنهم عملوا على زيادة الأمان في منصة تجديد جوازات السفر وأن “البيانات تُجمع على سيرفرات الأمن العام ولا يمكن لأي طرف ثالث الاطّلاع عليها”. وبدورنا، عدنا وطالبنا المديرية بنشر سياسة الخصوصية للمنصّة لإيضاح الإطار القانوني وكلّ ما يتعلّق بجمع المعلومات والبيانات.
أطلقَت المديرية العامّة للأمن العام في لبنان، في 27 كانون الثاني/يناير منصّةً جديدة لحجز مواعيد تجديد جوازات السفر (gs-appt.gov.lb) بهدف معالجة مشكلة الاكتظاظ في مراكز تقديم الطلبات. تَبيَّنَ لمنظّمة “سمكس”، بعد معاينةٍ أوّلية، أنَّ المنصّة تفتقر إلى تدابير أمن البيانات وحماية الخصوصية والشفافية، وأنَّ الجهة التي أنشأت المنصّة هي “مؤسّسة هاني صليبا”، وهي جمعية تابعة لأحد المرشّحين للانتخابات النيابية المقبلة.
ردَّ مُطوِّر المنصّة على الأسئلة التي طرحناها في منشورٍ على موقع “ريديت” (Reddit)، شرحَ فيه أنَّ منصّة الأمن العام آمنة، وأكَّدَ أنَّها تتّبع بروتوكول “طبقة المنافذ الآمنة” (SSL). وبدورنا، نؤكّد أنَّ المنصّة تعتمد حالياً هذا البروتوكول، ولكنَّنا نُشير في الوقت نفسه إلى أنَّه لم يكن متوفّراً يوم نشرنا سلسلة الأسئلة الأولى حول هذا الموضوع.
وكما وعدنا، ننشر التحليل التقني المُفصَّل للمنصّة (gs-appt.gov.lb).
رصدَ فريقُنا التقني تسرُّباً لإعدادات التهيئة (configuration) على بروتوكول الإنترنت (IP) الذي نعتقد أنَّ المنصّة (gs-appt.gov.lb) تعتمده حالياً. عُثِر على هذا التسرُّب في بيئة التطوير (development environment) حيث يختبر المُطوِّرون التطبيق قبل إتاحته لعامّة الناس وتفعيله بالكامل. وتجدر الإشارة إلى أنَّ نشر بيئة التطوير يندرج ضمن الممارسات السيّئة، إذ أنَّه قد يُشكِّل خطراً أمنياً. يتضمَّن تسرُّب إعدادات التهيئة تفاصيل عن قاعدة البيانات، مثل اسم قاعدة البيانات واسم المُستخدِم، وكلمة السرّ، وبعض المعلومات الحسّاسة. ومن المعروف أنَّ تفعيل شفرة التطوير على “سيرفرات” (servers) مُتاحة لعامّة الناس ينطوي على مخاطر عدّة، إذ قد يؤدّي إلى الكشف عن معلومات هامّة عن المنصّة.
ننشر التفاصيل التقنية لحثّ الأمن العام أو أيّ جهة أخرى عامّة أو خاصّة على مراعاة مسائل الخصوصية وحماية البيانات والأمن منذ مرحلة التصميم.
كما نحثّ كلّ الوزارات والإدارات والمؤسّسات الرسمية والشركات الخاصّة على احترام مبادئ الخصوصية وأمن البيانات والشفافية في أيّ منصّة أو موقع إلكتروني، عام أو خاصّ، يجمع البيانات الشخصية ويُعالجها، وخصوصاً على نطاق واسع، وتوضيح كلّ ذلك في سياسة الخصوصية وشروط الاستخدام.
الموقع الإلكتروني: https://gs-appt.gov.lb
الاستضافة: LibanTelecom أو “أوجيرو”
الحماية من هجمات حجب الخدمة المُوزَّعة (DDoS): متوفّرة عبر “كلاود فلير” (CloudFlare)
نظام أسماء النطاقات: “كلاود فلير” (CloudFlare)
تسرُّب في إعدادات التهيئة: نعم
هذا الملفّ بصيغة “.env” مُعالَج على المنصّة المُتاحة لعامّة الناس (بيئة الإنتاج)، إلّا أنَّ إعدادات التهيئة سبقَ أن تسرَّبت وهي متوفّرة حالياً على الإنترنت. لذلك، نحثّ الأمن العام اللبناني على تغيير اسم المُستخدِم وكلمة السرّ لقاعدة البيانات فوراً إذا كانا مُطابقَيْن للمعلومات المُسرَّبة الواردة في ملفّ “.env”.
ملاحظة: أخفينا المعلومات الحسّاسة من الصورة أعلاه لحماية المواطنين اللبنانيين من أيّ أذى أو اختراق مُحتمَل.
جدار الحماية: “بالو ألتو” (Palo Alto)
دليل على توفُّر جدار الحماية “بالو ألتو”
دليل على توفُّر جدار الحماية “بالو ألتو”
وجدنا هذه الصفحة التي تؤكّد توفُّر نظام لكشف التسلُّل يستند إلى “بالو ألتو” (الصورة المعروضة هي عادةً إحدى رسائل الردّ بواسطة جدار الحماية “بالو ألتو”). يضمن هذا التدبير منع التسلُّل وحماية المعلومات الحسّاسة.
تصحيح الأخطاء(Debugging) مُعطَّل: لا
كانَ خيار التصحيح، وهو أحد خيارات التطوير، مُفعَّلاً عندما كانَ التطبيق لا يزال في مرحلة التطوير. خلال تلك المرحلة، يُحدِّد المُطوِّر الأخطاء ويكشفها لمعالجتها أو إصلاحها. لم يُعطّل هذا الخيار على الموقع العام لحظة معاينته، ولا يمكننا تقدير الخطر بشكل دقيق، لكنَّ مثل هذه المعلومات قد تُكشَف لجهات خبيثة، ممّا يُعرِّض خصوصية المواطنين اللبنانيين للخطر، خصوصاً وأنَّ المنصّة تجمع المعلومات الشخصية.
لم يتمّ تعطيل “وضع التصحيح” على الموقع المتاح لعامّة الناس في وقت الاكتشاف، بالإضافة إلى الكشف عن نسخة “لارافيل” (Laravel) (إطار المُعالِج المُسبَق للنصوص الفائقة أو “بي آتش بي” (PHP) لبناء المواقع الإلكترونية) والكشف عن نسخة “بي آتش بي”.
طبقة النقل الآمنة: نعم، الدرجة “ب”
نتائج اختبارات “طبقة المنافذ الآمنة”
سبقَ أن نشرت منظّمة “سمكس” تغريدات حول الاتّصال غير الآمن بالموقع الإلكتروني التابع للأمن العام اللبناني المُخصَّص لطلبات جواز السفر. وبعد إجراء معاينة تقنية، توصَّلنا إلى أنَّ البروتوكول مُعتمَد بواسطة خدمات “كلاود فلير”. يدعم البروتوكول المُعتمَد جميع نسخ “طبقة النقل الآمنة”، بما في ذلك النسخة الأخيرة، أي TLS 1.3. ولكنْ، نوصي بإلغاء البروتوكول للنسختَيْن السابقتَيْن TLS 1.0 وTLS 1.1، إذ يُنصَح بعدم استخدامهما نظراً إلى إمكانية اختراقهما. ومع أنَّنا نتفهّم الحاجة إلى ضمان تلاؤم المنصّة مع مجموعة كبيرة من الأجهزة القديمة، نوصي بشدّة بإلغاء بروتوكولَيْ TLS 1.0 وTLS 1.1.
يمكن الاطّلاع على النتائج عبر الرابط التالي:
تُعرِب “سمكس” عن استعدادها لمساعدة التطبيقات والمواقع الإلكترونية الجديدة على تعزيز الخصوصية والأمن. كما وأنَّها ستعمل – بالشراكة مع “مؤسّسة فريدريش ناومان (FNF)” في لبنان وسوريا – على توسيع عملها في السهر على حماية بيانات المواطنين الرقمية على المنصّات الحكومية اللبنانية.
