vpn

هل Mullvad آمن؟ تحليل الأمان والخصوصية والتدقيق

هل Mullvad آمن؟ نتائج التدقيق المستقل، وبروتوكولات التشفير، وتحليل الولاية القضائية، واختبار مفتاح الإيقاف، والتحقق من سياسة عدم الاحتفاظ بالسجلات.

VPN.com Editorial Team · ·9 دقائق للقراءة

هل Mullvad آمن؟ تقييم مباشر

يحصل Mullvad على 86/100 في مؤشر الثقة لدينا. يعمل تحت الولاية القضائية السويدية، ويفرض رسومًا ثابتة بقيمة 5 يورو شهريًا دون الحاجة إلى حسابات، ويطبّق سياسة عدم الاحتفاظ بالسجلات المُتحقق منها. أكدت عمليات التدقيق المستقلة التي أجرتها Cure53 وAssured AB وجود ثغرات أمنية طفيفة. لا يخزّن Mullvad أي سجلات اتصال أو بيانات مرور أو معلومات تعريف شخصية على أكثر من 700 خادم في أكثر من 50 دولة.

الولاية القضائية السويدية والطلبات القانونية للبيانات

تنتمي السويد إلى تحالف مشاركة الاستخبارات المعروف بـ”14 عينًا”. قد يبدو هذا مثيرًا للقلق للوهلة الأولى. غير أن الإطار القانوني يروي قصة أكثر دقة بالنسبة لمزودي خدمات VPN.

لا يُلزم القانون السويدي شركات VPN بالاحتفاظ ببيانات المستخدمين. لا يوجد أي التزام إلزامي بالاحتفاظ بالبيانات على Mullvad بموجب لوائح الاتصالات السلكية واللاسلكية السويدية الحالية. وهذا يعني أن السلطات يمكنها إصدار طلبات، لكن Mullvad ليس لديه أي شيء مخزّن لتسليمه.

في أبريل 2023، دخلت الشرطة السويدية فعليًا إلى مكتب Mullvad في غوتنبرغ بموجب أمر تفتيش. كان الضباط ينوون مصادرة أجهزة الكمبيوتر التي تحتوي على بيانات العملاء. أوضح موظفو Mullvad أنه لا توجد بيانات للعملاء على أي من الأجهزة، وغادر الضباط خالي الوفاض. أثبت هذا الاختبار الواقعي أن سياسة عدم الاحتفاظ بالسجلات تصمد أمام الضغط القانوني.

سجل عمليات التدقيق المستقلة

أتمّ Mullvad عدة عمليات تدقيق أمني أجرتها جهات خارجية. فحص كل تدقيق أجزاء مختلفة من البنية التحتية وتطبيقات العميل.

تدقيق Cure53 (2020)

أجرت Cure53، وهي شركة اختبار اختراق مقرها برلين، تدقيقًا على تطبيقات Mullvad VPN في عام 2020. حدّد الفريق 7 ثغرات أمنية إجمالًا: 2 بدرجة خطورة متوسطة، و5 بدرجة خطورة منخفضة. قام Mullvad بتصحيح جميع الثغرات السبع قبل نشر تقرير التدقيق الكامل على موقعه الإلكتروني.

تدقيق Assured AB (2023)

أجرت Assured AB تدقيقًا على البنية التحتية لخوادم Mullvad وأنظمته الداخلية في عام 2023. شمل التقييم إعدادات الخادم وتطبيق التشفير وإجراءات معالجة البيانات. أكدت النتائج أن بنية Mullvad التحتية تتطابق مع ادعاءاتها العلنية بعدم الاحتفاظ بالسجلات. لم يُكتشف أي ثغرات حرجة خلال هذه المشاركة.

تدقيق تطبيق Cure53 (2023)

عادت Cure53 في جولة ثانية عام 2023، مركّزةً على كود التطبيق المحدّث. وجد هذا التدقيق المتابع مشكلات أقل مقارنةً بتدقيق 2020. عالج Mullvad جميع النتائج ونشر مرة أخرى التقرير الكامل للمراجعة العامة.

نشر تقارير التدقيق الكاملة أمر غير شائع في صناعة VPN. لا يُعدّل Mullvad النتائج أو يختار النتائج الإيجابية فحسب. تُضيف هذه الشفافية ثقلًا كبيرًا لادعاءاته الأمنية.

سياسة الاحتفاظ بالسجلات: ما يخزّنه Mullvad وما لا يخزّنه

البيانات التي لا يجمعها Mullvad

لا يسجّل Mullvad بيانات المرور أو طوابع وقت الاتصال أو مدد الجلسات أو عناوين IP. ولا يخزّن استعلامات DNS أو سجلات استخدام النطاق الترددي أو تعيينات خادم VPN. يظل نشاط الحساب غير مرتبط تمامًا بسلوك التصفح أو بيانات وصف الاتصال.

البيانات التي يعالجها Mullvad

يعالج Mullvad العدد الإجمالي للاتصالات المتزامنة لكل حساب (بحد أقصى 5). يوجد هذا العداد في الوقت الفعلي ولا يُكتب في أي تخزين دائم. بمجرد قطع الاتصال، يتناقص العداد. لا يستمر أي سجل تاريخي.

يعالج Mullvad أيضًا بيانات حِمل الخادم الإجمالية قصيرة الأمد لتحسين الأداء. لا تحتوي هذه البيانات على أي معلومات يمكن تحديد هوية المستخدم منها وتتجدد تلقائيًا.

نظام الحساب

يُنشئ Mullvad رقم حساب عشوائيًا مكوّنًا من 16 رقمًا. لا بريد إلكتروني، ولا اسم، ولا كلمة مرور مطلوبة. يمكنك الدفع نقدًا عبر البريد في ظرف، أو بعملة Bitcoin، أو بعملة Monero. يُلغي هذا التصميم المعلومات التعريفية الشخصية من عملية التسجيل كليًّا.

معايير التشفير والبروتوكولات

يدعم Mullvad بروتوكولين: WireGuard وOpenVPN. يستخدم كلا التطبيقين معايير تشفير قوية ومراجَعة جيدًا.

تطبيق WireGuard

يستخدم WireGuard تشفير ChaCha20 للتشفير المتماثل، وCurve25519 لتبادل المفاتيح، وBLAKE2s للتجزئة. يُعيّن Mullvad WireGuard كبروتوكول افتراضي على جميع المنصات. تكتمل مصافحات الاتصال في أقل من 100 ميلي ثانية على معظم الشبكات.

تطبيق OpenVPN

تستخدم اتصالات OpenVPN تشفير AES-256-GCM لقناة البيانات. يعتمد تبادل المفاتيح على شهادات RSA-4096 مع مصادقة SHA-512. يُهيّئ Mullvad OpenVPN باستخدام tls-auth لمنع البصمات الرقمية وهجمات DDoS على نفق VPN.

أنفاق مقاومة للحوسبة الكمية

أضاف Mullvad تبادل مفاتيح ما بعد الكم إلى أنفاق WireGuard في 2023. تُضيف هذه الميزة طبقات تشفير Classic McEliece وKyber لتغليف المفاتيح فوق تشفير WireGuard القياسي. كان Mullvad أول VPN تجاري يُطلق هذه الميزة عبر منصات سطح المكتب.

مفتاح الإيقاف وحماية تسرب DNS

سلوك مفتاح الإيقاف

يُفعّل مفتاح الإيقاف في Mullvad افتراضيًا على جميع المنصات. يحجب كل حركة مرور الإنترنت عند انقطاع نفق VPN بشكل غير متوقع. يعمل التطبيق على مستوى جدار الحماية، وليس على مستوى التطبيق. هذا يمنع التسريبات حتى لو تعطّل تطبيق Mullvad كليًّا.

على Linux، يستخدم Mullvad قواعد nftables لتطبيق حجب حركة المرور. على Windows، يُعدّل منصة Windows Filtering Platform. على macOS، يستخدم قواعد تصفية الحزم. يمنع كل تطبيق تسريبات IPv4 وIPv6 في آنٍ واحد.

حماية تسرب DNS

يُوجّه Mullvad جميع استعلامات DNS عبر خوادم DNS المشفّرة الخاصة به. يحجب التطبيق طلبات DNS للنظام التي تحاول تجاوز النفق. يُشغّل Mullvad خوادم DNS في كل موقع من مواقع خادم VPN، لحل الاستعلامات محليًا دون إعادة توجيهها إلى أطراف ثالثة.

يمكن للمستخدمين أيضًا تهيئة DNS مخصص داخل التطبيق. حتى مع DNS المخصص، لا تزال الاستعلامات تسير داخل النفق المشفّر. تُظهر اختبارات التسرب المستقلة باستمرار صفرًا من تسريبات DNS أو WebRTC أو IPv6 عبر جميع عملاء Mullvad.

حوادث الأمن السابقة

مداهمة الشرطة (أبريل 2023)

دخل ستة ضباط من الشرطة الوطنية السويدية إلى مكتب Mullvad في غوتنبرغ، وكانوا يحملون أمر تفتيش صادرًا عن محكمة مقاطعة يطلبون فيه معلومات العملاء. أوضح الرئيس التنفيذي لـ Mullvad أن الشركة لا تخزّن بيانات العملاء. لم تُصادَر أي معدات وغادر الضباط بعد أن طعن الفريق القانوني لـ Mullvad في انطباق أمر التفتيش.

لا اختراقات بيانات معروفة

اعتبارًا من دورة التدقيق الأخيرة، لم يُبلّغ Mullvad عن أي اختراقات للبيانات. لم تظهر بيانات المستخدمين في أي قواعد بيانات مسرَّبة. لا تنطبق هجمات حشو بيانات الاعتماد لأن Mullvad لا يستخدم كلمات مرور أو عناوين بريد إلكتروني. يُقلّص نظام رقم الحساب المكوّن من 16 رقمًا سطح الهجوم تقليصًا ملحوظًا.

الإفصاح عن الثغرات الأمنية

يحتفظ Mullvad بنهج نشط لمكافأة اكتشاف الأخطاء وينشر تنبيهات الأمان على مدونته. تلقّت جميع الثغرات المكتشفة خلال عمليات التدقيق تصحيحاتٍ في غضون أسابيع من اكتشافها. لم تتعرض الشركة لأي استغلال ثغرات يوم الصفر في بنيتها التحتية الإنتاجية.

ميزات أمنية فريدة

DAITA (الدفاع ضد تحليل حركة المرور الموجّه بالذكاء الاصطناعي)

طوّر Mullvad ميزة DAITA لمواجهة هجمات تحليل حركة المرور. تُوحّد هذه الميزة أحجام الحزم وتُدخل أنماطًا وهمية لحركة المرور. وهي تمنع الخصوم من تحديد المواقع الإلكترونية التي يزورها المستخدمون استنادًا إلى بصمات حركة المرور.

DNS المشفّر عبر HTTPS (DoH)

يوفّر Mullvad خدمة DoH عامة على dns.mullvad.net. يمكن للمستخدمين تشفير استعلامات DNS حتى بدون تشغيل VPN. تتضمن الخدمة ملفات تعريف DNS اختيارية لحجب الإعلانات وحجب المتتبعين.

خوادم ذاكرة الوصول العشوائي عديمة الأقراص

يُشغّل Mullvad أسطول خوادمه بالكامل في وضع الذاكرة العشوائية (RAM) فقط. لا توجد أقراص صلبة في الخوادم. يمسح كل إعادة تشغيل جميع البيانات كليًّا. يضمن هذا التصميم أن مصادرة الخوادم المادية لن تُسفر عن أي معلومات قابلة للاستخدام.

التوجيه متعدد المسارات (Multihop)

يمكن للمستخدمين توجيه حركة المرور عبر خادمَي VPN منفصلَين في دولتين مختلفتين. وهذا يُضيف طبقة تشفير ثانية ويفصل نقطة الدخول عن نقطة الخروج. يمكن تهيئة Multihop مباشرةً داخل التطبيق دون إعداد يدوي.

الأسئلة الشائعة

هل يحتفظ Mullvad بالسجلات؟

لا يحتفظ Mullvad بأي سجلات دائمة. لا تلمس سجلات المرور أو طوابع وقت الاتصال أو عناوين IP أو بيانات الجلسة أي تخزين على الأقراص. تحقق تدقيقان مستقلان من هذا الادعاء. تضمن بنية الخوادم العاملة على الذاكرة العشوائية أن حتى البيانات المؤقتة تختفي عند إعادة التشغيل. أكدت مداهمة الشرطة لـ Mullvad عام 2023 عدم وجود بيانات مستخدمين للمصادرة.

هل تعرّض Mullvad للاختراق؟

لم يتعرض Mullvad للاختراق. لم يُبلَّغ عن أي اختراقات بيانات أو أحداث وصول غير مصرح به أو يُكتشف خلال عمليات التدقيق. يُقلّص نظام الحساب غير المحمي بكلمة مرور والخوادم العاملة على الذاكرة العشوائية سطح الهجوم إلى ما دون مزودي VPN النموذجيين. لم تجد Cure53 أي ثغرات حرجة خلال تدقيقَي 2020 و2023.

هل Mullvad جدير بالثقة؟

يُثبت Mullvad جدارته بالثقة من خلال عمليات تدقيق مستقلة متكررة، وشفافية تامة في نشر التقارير، واختبار قانوني واقعي. تنشر الشركة شفرتها المصدرية بشكل مفتوح على GitHub. تقبل مدفوعات نقدية مجهولة الهوية. واجهت تفتيشًا بوليسيًا دون أن تُسلّم أي بيانات. هذه الأفعال المُتحقق منها تحمل وزنًا أكبر من الوعود التسويقية.

هل يستطيع Mullvad رؤية بياناتي؟

لا يستطيع Mullvad رؤية بيانات تصفحك. تستخدم حركة المرور داخل نفق VPN تشفير AES-256 أو ChaCha20. تعالج خوادم Mullvad الحزم المشفّرة لكنها لا تفحص المحتوى أو تُسجّله أو تخزّنه. تمنع بنية الذاكرة العشوائية أي بيانات معالجة مؤقتة من الاستمرار بعد انتهاء الجلسة النشطة.

الخلاصة حول أمان Mullvad

يكسب Mullvad درجة الثقة 86/100 من خلال التصميم المعماري، لا الوعود. تُميّزه خوادم الذاكرة العشوائية، وإخفاء هوية الحساب، وتقارير التدقيق المنشورة، والنتيجة المُتحقق منها للمداهمة الشرطية. يعكس السعر الثابت البالغ 5 يورو شهريًا دون فترات تجريبية أو خصومات شركةً مُركّزةً على الخدمة لا على حجم المشتركين. بالنسبة للمستخدمين الذين يُقدّمون التحقق من الخصوصية على عدد الميزات، يظل Mullvad أحد أقوى الخيارات المتاحة عبر أكثر من 700 خادم في أكثر من 50 دولة.