هل VPN حقًا يحمي الخصوصية؟ مدير أمن المعلومات في IBM يوضح مخاطر الثقة وراء ذلك

مع تزايد انتشار (VPN) كأداة “خصوصية” يتم الترويج لها بشكل كبير في عالم الإنترنت، يمكن رؤية الدعاية ذات الصلة على المواقع، التطبيقات، وإعلانات يوتيوب في كل مكان، مع التركيز على التصفح المجهول وحماية البيانات الشخصية. في هذا الصدد، قام جيف كرووم، مدير تقنية أمن المعلومات في IBM، بتحليل الفيديو الذي يشرح من خلال سيناريوهات النقل عبر الإنترنت، كيفية عمل تقنية VPN، ونموذج الثقة، والقيود على الخصوصية، موضحًا أن VPN ليست علاجًا سحريًا، بل أداة “إعادة توزيع الثقة”.

البيانات الحساسة تنتقل إلى الشبكة العامة، والشبكات Wi-Fi الخبيثة تصبح وسيلة هجوم شائعة

وأشار كرووم إلى أنه عندما يرسل المستخدم أرقام بطاقات الائتمان، معلومات الهوية، أو البيانات ذات القيمة التجارية عبر الإنترنت، فإن هذه المحتويات تُنقل عبر “الشبكة العامة”، تمامًا كما لو كان يتحدث بصوت عالٍ في مكان عام، مما قد يعرضها للاعتراض من قبل جهات غير محددة.

وأبرز بشكل خاص إحدى طرق الهجوم الشائعة، وهي في المقاهي أو الفنادق والأماكن العامة، حيث قد يقوم المهاجمون بإنشاء نقطة اتصال Wi-Fi تحمل اسمًا مشابهًا تقريبًا للشبكة الشرعية، لإغراء المستخدمين بالاتصال بها عن غير قصد. وبمجرد الاتصال، يتم اعتراض البيانات بالكامل قبل أن تصل إلى الإنترنت الحقيقي، ويتم فحصها من قبل المهاجمين.

المبدأ الأساسي لـ VPN: إنشاء قناة مشفرة

ردًا على هذه المخاطر، أوضح كرووم أن الوظيفة الأساسية لـ VPN هي إنشاء قناة نقل مشفرة بين جهاز المستخدم ومزود خدمة VPN.

في هذا الهيكل، يتم تشفير جميع البيانات المرسلة أولًا، ثم تُرسل إلى مزود خدمة VPN، الذي يقوم بفك التشفير، وتحديد الوجهة، ثم يعيد تشفيرها وإرسالها إلى الموقع الفعلي. وتُمرر البيانات في الاتجاه العكسي بنفس الطريقة.

وبالتالي، فإن المتنصت الخارجي، والمهاجمون على شبكات Wi-Fi العامة، وحتى مزود خدمة الإنترنت (ISP)، لا يمكنهم سوى رؤية وجود اتصال بين المستخدم ومزود VPN، ولا يمكنهم معرفة المحتوى الفعلي أو الوجهة النهائية.

جوهر VPN: ليس إلغاء الثقة، بل إعادة توزيعها

وأكد كرووم أن، بغض النظر عن استخدام VPN أم لا، فإن “الثقة” لا يمكن إلغاؤها، وإنما يمكن فقط إعادة توزيعها. وفرق بين حالات الثقة المختلفة كما يلي:

عدم استخدام VPN: يجب على المستخدم أن يثق في مزود خدمة الإنترنت، وجميع الجهات غير المعروفة التي قد تتعرض للحزم أثناء النقل عبر الشبكة.

VPN للشركات: عندما يتصل الموظفون عن بعد بشبكة الشركة الداخلية، فإنهم في الواقع يضعون الثقة في صاحب العمل، مع التركيز على أمن الشركات، وليس على الخصوصية الشخصية.

VPN لطرف ثالث: يركز المستخدم الثقة التي كانت موزعة بين الشبكة وISP، ويجمعها في مزود خدمة VPN.

وقال بصراحة إن الدور الحقيقي لـ VPN هو تحويل “الاعتماد على العديد من الأشخاص” إلى “الاعتماد الكامل على شخص أو منظمة واحدة”.

المخاطر الواقعية لاستخدام VPN لطرف ثالث

وأشار جيف كرووم إلى أن مزود خدمة VPN، لأنه يتعين عليه فك تشفير حركة المرور في الوسط، يمكنه رؤية وجهة الاتصال، عنوان IP، تكرار الاستخدام، وحتى المحتوى الفعلي للبيانات. وهذا يخلق عدة مخاطر لا يمكن تجاهلها:

نموذج تحقيق الأرباح من البيانات في VPN المجاني: إذا لم يدفع المستخدم، قد يربح المزود من خلال جمع وبيع البيانات.

مخاطر أمن المعلومات: حتى لو لم يكن المزود خبيثًا، فإن الاختراق قد يؤدي إلى تسرب بيانات المستخدم.

المتطلبات القانونية والقضائية: في بعض الدول، قد يُطلب من مزود VPN تسليم سجلات المستخدمين بموجب القانون.

وحذر من أن المفتاح لاستخدام VPN لطرف ثالث هو “هل تعرف حقًا من تثق به”، وليس مجرد وجوده.

إنشاء VPN خاص بك لا يضمن تمامًا تجنب مشكلة الثقة

بالنسبة للمستخدمين الذين يضعون أهمية كبيرة على الخصوصية، ذكر كرووم أن “إعداد VPN خاص بك” هو خيار يتيح لهم السيطرة على البنية التحتية، لكنه أشار في الوقت نفسه إلى أن المستخدمين لا يزالون بحاجة إلى الثقة في برنامج VPN نفسه، سواء كان مفتوح المصدر أو تجاريًا، حيث يتطلب الأمر الثقة في الكود وآلية التحديث، وهو ليس خاليًا من المخاطر.

(معلومات تقنية مثيرة: سفير السلام عبر المضيقين يقول إن الصين لا تمنع فعليًا تجاوز الجدران النارية، وكل ما عليك هو استخدام VPN لرؤية كل شيء)

هل هذه المقالة عن مدى حماية VPN للخصوصية؟ تحليل مدير أمن المعلومات في IBM للمخاطر المرتبطة بالثقة خلفها ظهرت أولاً في أخبار السلسلة ABMedia.