مراقبة اتصالات لينكس: أداة Little Snitch تخرج من عباءة ماك

بين خصوصية النظام وفضول التطبيقات: تجربة مراقبة شبكة لينكس عبر eBPF

منذ 7 أيام

صحفية في قسم التكنولوجيا بمنصة النيل نيوز، تتابع التطورات التقنية

الشعور بالعراء التقني مزعج. هذا ما يحدث تماماً عند الانتقال من نظام ماك إلى لينكس؛ تكتشف فجأة أنك لا تملك أدنى فكرة عما يفعله حاسوبك في الخلفية. من يتصل بمن؟ لا توجد إجابة واضحة. الأدوات المتاحة حالياً إما معقدة للغاية أو مخصصة للخوادم، وهو ما دفع نحو بناء نسخة مخصصة من Little Snitch لنظام لينكس.

الاعتماد على البرمجيات الأجنبية يطرح تساؤلاً قلقاً حول التحديثات التلقائية. أي مورد يمكنه تشغيل أي كود بصلاحيات كاملة على جهازك في أي وقت. لينكس هو البديل المنطقي، فلا توجد شركة واحدة تملكه. لكن الخصوصية ليست مجرد نظام تشغيل، بل هي سلوك التطبيقات أيضاً.

في تجربة دامت أسبوعاً، سجل نظام أوبونتو (Ubuntu) اتصالات من 9 عمليات نظام فقط. في المقابل، سجل نظام ماك (macOS) أكثر من 100 اتصال لنفس الفترة. الفارق شاسع. أوبونتو يرسل بيانات تقنية لشركة كcanonical عبر قنوات محددة مثل ubuntu-insights، ويمكن تعطيلها، لكن تظل مشكلة التحديثات قائمة؛ أنت تستبدل ثقتك بشركة بأخرى، والفرق في لينكس أنك تملك حق اختيار من تثق به.

تقنياً، تم اختيار تقنية eBPF (Extended Berkeley Packet Filter) لاعتراض حركة المرور على مستوى النواة. هذه التقنية، التي بدأت كأداة بسيطة لفلترة الحزم في التسعينيات، تطورت لتصبح المحرك الأساسي للرؤية والتحليل في بيئات السحاب الحديثة مثل Kubernetes. استخدامها هنا يضمن أداءً عالياً ومرونة أكبر من إضافات النواة التقليدية. لغة البرمجة كانت Rust، بينما واجهة المستخدم جاءت كتطبيق ويب، مما يتيح مراقبة خوادم لينكس عن بُعد من أي جهاز آخر.

متصفح فايرفوكس، الذي يأتي مثبتاً مسبقاً، كان مفاجئاً. بمجرد تشغيله دون تصفح أي موقع، بدأ بالاتصال بخوادم إعلانات وتحليلات تابعة لموزيلا. نصيحة عملية: اترك أي متصفح يعمل ليوم كامل دون استخدامه، ثم راقب سجل الاتصالات لتعرف ما يجب حظره. على العكس تماماً، كان LibreOffice استثناءً غريباً؛ لم يجرِ اتصالاً واحداً بالشبكة أثناء الاختبار.

الأداة ليست وسيلة أمنية بالمعنى الحرفي. تقنية eBPF لها موارد محدودة، ويمكن للمهاجمين تجاوزها تقنياً. التركيز هنا ينصب على الخصوصية؛ كشف ما تفعله البرامج المشروعة التي لا تحاول التخفي عمداً.

واجهة المستخدم والمكونات الأساسية مفتوحة المصدر تحت رخصة GPL v2، لكن محرك إدارة القواعد يظل مغلقاً حالياً. الأداة تعمل على نواة لينكس 6.12 وما فوق. تم التطوير على نسخة أوبونتو 25.10 بنواة 6.17. في النسخ الأقدم من النواة، يواجه النظام قيوداً في عدد التعليمات البرمجية التي يمكن لـ eBPF معالجتها، وهو ما يمنع استقرارها على توزيعات مثل Debian 12 حالياً.

الوسوم

منذ 7 أيام

مقالات ذات صلة