بسم الله الرحمن الرحيم
الحمد لله رب العالمين، وصلى الله وسلم وبارك على عبده ورسوله نبينا محمد وعلى آله وصحبه أجمعي
السلام عليكم ورحمة الله وبركاته
درع لينكس الحر لمواجهة التلاعب وحماية خصوصيتك
ما هي Heads
هو مشروع برمجي حرّ ومفتوح المصدر، يجمع بين /firmware/ مخصص + تكوين نظام تشغيل لتحسين الأمان الفيزيائي وحماية البيانات على الحواسيب المحمولة (laptops)، محطات العمل (workstations)، والخوادم.
ليست توزيعة Linux “عادية” بمعنى سطح مكتب فقط، بل تدمج تغييرات على مستوى التمهيد (boot)، التحقّق من سلامة النظام، التشفير، وإدارة المفاتيح الأمنية، مع التركيز على أن المستخدم يتحكّم بدرجة كبيرة في الأمان.
الأهداف (Goal) ونموذج التهديد (Threat Model)
الهدف الأساسي: رفع مستوى الأمان ضد الهجمات التي تستهدف firmware، تغييرات غير مصرح بها على التمهيد، التجسّس البدني، أو التلاعب بالأجهزة.
نموذج التهديد يشمل: مهاجم قد يتمكن من الوصول الفيزيائي للجهاز، أو يحاول استغلال ضعف في التمهيد، أو تغيير البرامج التي تُحمّل عند التشغيل، أو اختراق التخزين إذا كانت القيود الأمنية ضعيفة.
لا يهدف إلى التغلب على كل الهجمات (مثل هجمات الأجهزة الحديثة المتخصصة أو الهجمات التي تطلب مستوى أعلى جدًا من الأمان)، بل رفع العتبة للهاكر أو المهاجم لتكون المهمة أصعب بكثير.
المكونات التقنية والخدمات التي توفرها
هنا أهم المكونات التقنية التي تجعل Heads مميزًا:
| المكوّن | ما يفعله / أهميته |
|---|---|
| Firmware مخصص (عادة Coreboot أو LinuxBoot) | استبدال الـ BIOS/UEFI المملوك ببرنامج تمهيد حرّ يسمح بتحكم المستخدم وقياس سلامة التمهيد. |
| قياس التمهيد (Measured Boot) | عند بدء التشغيل، تُقاس مكونات التمهيد (firmware, kernel, initrd, إلخ) وتُسجّل في TPM بحيث يمكن التحقق منها أنها لم تتغيّر. |
| مفاتيح المستخدم للتوقيع | المستخدم يتحكم في المفاتيح التي تُستخدم لتوقيع kernel، initrd، وغيرها من مكونات التمهيد. (GitHub) |
| تكوين نظام الجذر immutable أو ثابت جزئيًا | لتقليل فرص التغييرات غير المصرّح بها أو نشر برمجيات خبيثة. |
| دعم التشفير | استخدام TPM لتخزين مفاتيح التشفير، تشفير الأقراص الصلبة (LUKS مثلاً)، وإنشاء علاقة بين حالة التمهيد ومفتاح فك التشفير. |
| خيارات الاسترداد (Recovery) | وجود بيئات استرداد إذا فشل التمهيد أو إذا اكتُشفت تغييرات مريبة. |
كيف تختلف عن توزيعات الخصوصية/الأمان الأخرى
مقارنة سريعة بين Heads وبين بعض التوزيعات المعروفة:
Tails: تركّز على الخصوصية، الإخفاء والتصفح دون أثر، إنها توزيعة live فقط، غالبًا تُستخدم من USB وتترك أقل أثر ممكن. Heads لا تتركز فقط على live، بل يُفترض أن يكون لديك جهاز مستقر مع حفظ حالة النظام، بيانات، استخدام عادي لكن مع أمان مرتفع.
أنظمة مثل Qubes OS: تُركّز على التقسيم (isolation) بين التطبيقات باستخدام آلة افتراضية. Heads يمكن أن تُستخدم مع Qubes OS، لكن Heads تغطي جانب التمهيد وتثبيت الأمان الفيزيائي، بينما Qubes تغطي عزل التطبيقات بعد التمهيد.
توزيعات “خالية من systemd + non-free blobs” وغيرها من التوزيعات التي تقدّم حرية برمجية وخصوصية لكنها لا تدخل في تغييرات عميقة على firmware، القياسات، والتحكم بالتمهيد مثل ما تفعله Heads.
المتطلبات والقيود
Heads ليست سهلة التشغيل لأي مستخدم، وهناك جوانب يجب الانتباه لها:
المتطلبات المادية: غالبًا تحتاج إلى تفعيل firmware حرّ مثل coreboot، وقد تحتاج إلى مبرمجات SPI flash (أجهزة لبرمجة ذاكرة الفلاش) لوحي تحب تكتب firmware على الشريحة.
المعرفة التقنية: لا يُنصح بها للمستخدمين المبتدئين. هناك الكثير من الخطوات الحساسة التي إذا أخطأت فيها قد تتلف الجهاز أو تُفقد البيانات.
التوافق مع الأجهزة: ليست كل الحواسيب مدعومة. يجب أن يكون الجهاز قابلًا لتفعيل coreboot أو LinuxBoot، دعم لقياس التمهيد (TPM غالبًا)، والأجهزة التي تستخدم BIOS/فلاش مناسب لتغيير الـ firmware.
الأداء والراحة: يمكن أن يكون هناك تأخيرات عند التمهيد، تعقيدات في الإدارة اليومية (المفاتيح، التوقيعات، استرداد النظام). بعض الميزات الأمنية تتطلّب تدخلًا يدويًا.
كيف تبدأ مع Heads
إليك خطوات تقريبية إذا أردت استخدام Heads:
1. التحقّق من التوافق: التأكّد أن جهازك يدعم coreboot أو LinuxBoot، وجود TPM، وواجهة لتحديث firmware.
2. تنزيل المشروع: شفرة المصادر متاحة على GitHub (linuxboot/heads).
3. إعداد البرمجة للفلاش: إذا لم يكن جهازك مُرسلًا مع firmware مخصص، قد تحتاج إلى مبرمّج خارجي للفلاش، فتح الجهاز، الخطر موجود.
4. بناء firmware + التكوين: تُخصّص خيارات التمهيد، تتضمّن المفاتيح الخاصة بك، إعداد TPM، توقيع kernel/initrd.
5. تثبيت نظام التشغيل: غالبًا بعد أن تُهيّئ Heads، تقوم بتثبيت OS مختار مثل Qubes أو توزيعات Linux تقليدية، مع اعتبار أن التمهيد مضبوط ليؤكّد سلامة النظام ويطلب مفتاح فك التشفير إن لزم الأمر.
6. إدارة المفاتيح والصيانة: يجب أن تتأكد من تحديث firmware والتعليق الأمني، توليد التوقيعات عند تغيّر kernel، والتعامل مع أوضاع الطوارئ (recovery) إذا تعرّض النظام لمشكلة.
مزايا رئيسية
تحكم أقوى في الـ firmware والتمهيد، مما يجعل الهجمات على هذه الطبقة أصعب.
التحقق من أن النظام ما زال سليمًا منذ آخر تشغيل (integrity).
استخدام البرمجيات المفتوحة بالكامل قدر الإمكان، مما يزيد الشفافية.
دعم لتشفير الأقراص وربطها بحالة التمهيد (بدءًا من firmware).
حماية من تغييرات غير مصرح بها، بما في ذلك البرمجيات الخبيثة التي تستقر قبل التمهيد.
عيوب أو نقاط تحتاج لتحسين أو الانتباه
صعوبة الاستخدام/التثبيت للمستخدم العادي.
قد لا تتوفر دعم لجميع الأجهزة، خصوصًا الحواسيب الحديثة أو التي تستخدم firmware مغلق .
الحاجة إلى أدوات برمجة flash، معرفة تقنية قوية، خطر تلف الجهاز إذا أخطأت.
بعض الميزات الأمنية قد تؤثر على الراحة أو السرعة، مثل التحقق والتوقيع اليدوي، تأخيرات التمهيد، إدارة المفاتيح المادية.
ليس كل التهديدات مغطّاة، مثلاً هجمات من داخل النظام بعد التمهيد، استغلالات الأجهزة المتخصصة، أو الجانب الفيزيائي المباشر في بعض الحالات قد لا يُعالج بالكامل.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))