حبر تقابل «سيتيزن لاب»: البحث عن أنظمة التجسس

الأحد 06 تشرين الثاني 2016

في الثالث من تشرين الأول العام الماضي، تلقت نورة الأمير رسالة إلكترونية من منظمة تدعى «جرائم الأسد» مرفقًا بها عرض «بور بوينت» عن «جرائم الإيرانيين في السعودية»، حسب نص الرسالة.

في ٢٠١٢ سجنت نورة الأمير في سجون نظام الأسد لانضمامها للثورة السورية في حلب. أطلق سراحها بعد ستة أشهر. في ٢٠١٤ انتخبت لمنصب نائبة رئيس الائتلاف الوطني لقوى الثورة والمعارضة السورية وكانت عضوًا مفاوضًا في مفاوضات جنيف ٢ في ٢٠١٤.

كان لدى نورة الحكمة الكافية للتحقق من أمان الرسائل التي تصلها من مصادر مجهولة، فأرسلت الرسالة لمختبر يسمى السيتيزن لاب، يقع في الطابق الثالث لمبنى كلية مونك للشؤون الخارجية في جامعة تورنتو لفحصها. اكتشف فريق الباحثين في المختبر أن الملف تابع لجهود اختراق حثيثة نشرت تفاصيله في تقرير سابق. تقول مدونة مدير المختبر، رون ديبيرت، أنه على الرغم من أنهم لم يتمكنوا من إيجاد دليل صريح لنسب الاختراق لحكومة معينة (وهو شأن متعارف عليه في تحقيقات التجسس السبرانية)، إلا أنهم تأكدوا من أن مجموعة جديدة تستهدف المعارضة السورية تعمل من الفضاء السبراني في إيران، وأن هناك احتمالية بأن تكون مجموعة قراصنة تعمل مع الحكومة الإيرانية أو السورية (أو كليهما).

في العام ٢٠١٣، تتبع المختبر أربع حملات تجسس منفصلة ضد الصحفيين والنشطاء وأشخاص من المعارضة السورية وحتى المقاتلين. في كل مرة كان مصدر هذه الحملات مختلفا؛ مجموعات تجسس مرتبطة بنظام الأسد أوالجيش الإلكتروني السوري أو داعش أو مجموعات من لبنان.

آخر اكتشافات فريق السيتيزن لاب كانت تعاقد الحكومة الإماراتية مع شركة إسرائيلية لاختراق هاتف الناشط الإماراتي أحمد منصور في آب هذا العام.

ساهم السيتيزن لاب، من خلال أبحاثه وتحقيقاته في الكشف عن شراء حكومات لبرامج تتبع وتجسس موجهة لاختراق معارضين سياسيين. رسم المختبر خرائط لأماكن وجود خوادم تابعة لشركات أنظمة تجسس مثل بلو كوت (BlueCoat) ٢٠١٣ وفين فيشر (FinFisher) ٢٠١٣ و ٢٠١٥ و هاكينغ تيم (HackingTeam) ٢٠١٤ حول العالم. في هذه الخرائط تجد أن أكثر الدول في المنطقة العربية غنىً بهذه الخوادم كانت السعودية ولبنان والمغرب والإمارات وعُمان والبحرين والأردن.

إلى جانب تسريبات سنودن عن الصادرات من أدوات التجسس على الاتصالات، دفعت أبحاث السيتيزن لاب الاتحاد الأوروبي عام ٢٠١٤ الى إضافة فئة «الأسلحة السبرانية» على قائمة البضائع الثنائية الاستخدام. تشمل تلك القائمة البضائع التي على الرغم من وجود سبب شرعي لتصديرها، إلا أنها يمكن أن توظف لاستخدامات تنتهك حقوق الإنسان، مثل الكيماويات التي تستخدم في صناعة الأدوية. وتخضع هذه البضائع لضوابط حثيثة تتطلب تصريح تصدير من الجهات المصدّرة الرسمية لبلد المنشأ.

التقت حبر بفريق السيتيزن لاب للحديث عن بحوثه التي كان لها وقع كبير في كشف أنظمة التجسس حول العالم وتحديد سير أنظمة تجسس أوروبية إسرائيلية وكندية إلى بلدان العالم المختلفة. تحدثنا عن بحوث المختبر وآلية عمله مع مدير المختبر، الدكتور رون ديلبيرت*، والباحثيْن جون سكوت وبيل مارزاك.

حبر: من خلال عمل المختبر وتتبعه لمصادر الملفات الخبيثة التي تستهدف الناشطين، ورسمكم لخرائط أنظمة التجسس في العالم، هل لاحظتم أنماطًا معينة في الأساليب التقنية التي تستخدمها الحكومات في المنطقة العربية لاختراق المعارضة؟

بيل: أحد الأنماط التي رأيناها، خصوصا في الإمارات العربية، هي الرغبة في بناء بعض أنظمة الرقابة بدلا من شرائها. على سبيل المثال، في هجمات (Stealth Falcon)، والتي تم ربطها مؤخرا بشركة (DarkMatter) القريبة جدًا من حكومة الإمارات، فصّلت الإمارات نظام التجسس الخاص بها ووظفته لاستهداف المعارضين والصحفيين الإماراتيين.

يبدو أن دول الخليج أكثر تنبّها لحقيقة أن جهات مثل السيتيزن لاب وغيرها تقوم بالكشف عن عمليات الرقابة المستهدفة لأشخاص معينة. على سبيل المثال، رأينا في تسريبات البريد الإلكتروني التابع لشركة هاكينغ تيم بأن الشركة أرادت أن تبيع أنظمتها لجهاز الأمن الوطني البحريني، لكن ذات الجهاز شارك مع الشركة قلقه من استمرار الضغوط الداخلية بسبب كشْف المختبر لاستخدامهم لـ«فين فيشر» للتجسس على المعارضة. على المدى البعيد، سوف تقود بحوث الستيتزن لاب والآخرين، حكومات دول الخليج لتفضيل هجمات من الصعب جدا معرفة الهيئات المنفذة لها.

تحقيق «معارض المليون دولار» الذي نشره المختبر مؤخرًا عن استهداف الناشط أحمد منصور، كشف أن الشركة الإسرائيلية (NSO) التي استعانت بها حكومة الإمارات، استخدمت ما يسمى باختراق «يوم الصفر» على جهاز منصور من نوع «آي فون». أعلنت شركة أبل في نفس يوم التقرير إصدار تحديث جديد لنظام (IOS) لسد هذه الثغرة. هل يمكن شرح ما هو اختراق يوم الصفر لمستخدم غير تقني؟ وكيف استطعتم تتبع مصدره؟

جون: بدأت القصة في تقرير سابق يسمى (Stealth Falcon) الذي تتبع عدة هجمات منذ عام ٢٠١٢ على مدونين وناشطين في الإمارات ناقدين لنظام الحكم. استخدم الهجوم روابط قصيرة زائفة لاقتناص معلومات عن أجهزة الكمبيوتر وهويات هؤلاء الناشطين. خلال البحث وجدنا مجموعة مواقع تؤدي إليها هذه الروابط والتي كان هناك دلائل ضعيفة بارتباطها مع شركة (NSO).

توجه لنا أحمد منصور في آب من هذا العام بشكوكه حول رسالة وصلت هاتفه. وعند اطّلاعنا على الملف، أدركنا بأننا ننظر إلى شيء مختلف ومميز، اختراق «يوم الصفر». قاد الرابط إلى مواقع ترتبط بالمواقع السابقة التابعة لشركة (NSO).

اختراق يوم الصفر، هو اختراق يعادل بابًا خلفيًا في قطعة إلكترونيات أو برنامج لا تعلم به حتى الشركة المصنّعة. وكلمة «يوم صفر» تدل على عدد الأيام منذ أن اكتشف مطورو القطعة أو البرنامج الثغرة وهو صفر. اختراق يوم الصفر هو من أكثر الاختراقات تكلفة وقيمة لأنها مثل مفتاح سري للجهاز لا يعرف عنه أحد. لو أصيب جهاز منصور بهذا الاختراق لأصبح جهازه مخبرًا رقميًا في جيبه، له إمكانية التحكم في كاميرا ومايكروفون الهاتف للتنصت، وتسجيل محادثات الواتساب ومكالمات الفايبر وأي محادثات نصية عبر تطبيقات التراسل، وكذلك تتبع تحركات منصور.

اللحظة التي اكتشفنا بها هذه الثغرة تواصلنا مع أبل، وعملنا معهم عن قرب ليتمكنوا من عمل تحديثٍ لسدها قبل اليوم الذي ننشر فيه تحقيقنا. في يوم نشر التقرير بدأت شركة أبل بتحميل التحديث على كل جهاز «أي فون»، وبعدها بأيام، دفعت أبل بالتحديث لأجهزة حاسوبها.

لماذا اشترت حكومة الإمارات نظام تجسس الشركة الإسرائيلية (NSO) على الرغم من أنها اشترت أنظمة هاكينج تيم وفين فيشر وبلو كوت؟

بيل: هناك أكثر من سبب. مثلا شركة (NSO) تبيع أنظمة تجسس على الموبايل فقط. إذا أردت استهداف جهاز الكمبيوتر أيضا فعليك أن تشتري إمّا هاكينج تيم أو فين فيشر. ثانيًا، ترغب الحكومات أحيانا في تقييم الأنظمة التي تريد استخدامها بناء على سهولة استخدامها ومدى نجاحها. أيضا، إفشاءات الستيزن لاب عن البنية التحتية التابعة لهاكينج تيم وفين فيشر و(NSO)، جعلت لدى الحكومات رغبة بأن لا تعتمد كل عملياتهم السبرانية على نظام واحد فقط. وبالتالي إذا كشف أحدها، فلن تخسر الحكومة كل شيء. ثالثا، هناك دوائر أو هيئات مختلفة في الحكومة الواحدة التي تشتري أنظمة تجسس من بائعين مختلفين. على سبيل المثال، في مصر، اشترت وزارة الدفاع ودائرة إدارة البحوث التقنية من هاكينغ تيم، وتبين لاحقًا أن وزارة الدفاع اشترت كذلك من فين فيشر. في الإمارات اشترت هذه الأنظمة وزارة الداخلية والمخابرات الإماراتية. وفي السعودية اشترتها وزارة الداخلية والمخابرات وفي لبنان المديرية العامة للأمن العام اللبناني وقوى الأمن الداخلي.

تقرير الـStealth Falcon يستقصي استخدام ما يسمى برسائل الهندسة الإجتماعية لاختراق النشطاء والصحفيين. ورسائل الهندسة الاجتماعية هي رسائل تبدو وكأن مرسلها يعرفك بشكل شخصي. هل هناك قائمة بالأمور التي يجب على المستخدم التحقق منها في حال شكّ أن رسالة ما تهدف لاختراق جهازه؟

بيل: بالحقيقة هو أمر صعب للغاية. لأن النشطاء والصحفيين على تواصل دومًا مع أشخاص جدد كجزء من عملهم. على سبيل المثال، يمكن لمصادر جديدة الاتصال بالصحفيين والنشطاء، بالعادة تحتوى الاتصالات المشبوهة على رابط أو على ملف مرفق. في بعض الأحيان يمكننا فتح الملف بأمان. إن كان المرفق ملف وورد أو إكسل أو باوربوينت أو (pdf)، نستطيع تحميله أولا على جوجل درايف لمعاينته، بدلا من أن نفتحه على أجهزتنا. إن لم يستطع جوجل عرض الملف، فهذه علامة بأن الملف مشكوك به.

ثانيًا: أن تتأكد دومًا من الرسائل التي تحاول إخبارك بشيء عاجل. أحد تكتيكات رسائل الهندسة الاجتماعية الأكثر شيوعا أن تقول لك الرسالة بأن هناك أمر طارئ يستدعي انتباهك، مثل الرسائل التي تقول إن لم تضغط على الرابط فسيغلق حسابك. عادة ما يحاول الهجوم أن يأخذك إلى مواقع غير معروفة. لذا، تحقق من معرفتك للموقع الذي يقود إليه الرابط.

عادة ما يحاول الهجوم أن يأخذك إلى مواقع غير معروفة. لذا، تحقق دومًا من معرفتك للموقع الذي يقود إليه الرابط. إذا كان رابط مقصّرًا كأن يبدأ  (bit.ly) أو (goo.gl) استخدم موقع مثل (Unshorten it) لترى الرابط بشكله الأصلي. تستطيع أن تتحقق من الروابط والملفات المرفقة على موقع مثل (virustotal.com).

ثالثًا: شيء آخر يمكن أن تقوم به الجهات التي تحاول اختراقك، وهو أن تعدّل على الرسائل حتى تظن أنها قادمة من أصدقائك. أحد أكثر التكتيكات شيوعا، هو فتح حسابات وهمية على تويتر أو فيسبوك أو «جيميل» لديها نفس صورة أصدقائك ونفس أسمائهم وبريدهم الإلكتروني تقريبا عدا حرف واحد. سيرسل لك هذا الحساب ملفًا مرفقًا وكأنه صديقك. في هذه الحالات من الجيد أن تتحقق من أصدقائك (بالاتصال مثلا).

هل علينا تفسير امتلاك دولة ما لنظام تجسس على أنه أداة تستخدمها لاختراق وقمع المعارضة؟

بيل: لا، لا اعتقد أننا نستطيع استنتاج ذلك تلقائيا. بالتأكيد هناك أسباب شرعية لوجود أنظمة تجسس مثل التحقيق ومنع الجرائم والإرهاب. ولكن للأسف، يبدو أن هذه الشركات تبيع برامجها لأي جهات حكومية ترغب بشرائها، فتنتهي هذه البرامج في أيدي هيئات لديها تاريخ موثق لقمع معارضيها. إذا استطعنا أن نظهر بأن برامج هاكينغ تيم وفين فيشر تم شرائها من قبل هيئات بتاريخ قمع موثق، فاعتقد أن احتمالية استخدام برامج التجسس هذه لقمع المعارضين احتمالية عالية.

رون: تحتاج الشرطة لمراقبة النشاطات الجنائية التي تحصل في الفضاء السبراني. هناك نظرية عادلة بأن برامج مثل هاكينغ تيم تمكنهم من القيام بعملهم. بعض زملائي لا يوافقونني، ويعتقدون بأن أي نظام تجسس خارج عن القانون. لكني أعتقد أنه إن كنت تعيش في ديمقراطية، يجب أن تتواجد أدوات تحمي المواطنين ضد الإستخدام السيء لأنظمة التجسس. مثلا إذا أرادت الشرطة استخدام هذه الأجهزة لمنع جريمة مثل دعارة الأطفال، فقد يكون من المقبول في حال صدور أمر من قاضي. المشكلة أنه في معظم حالات الدول التي اقتنت أجهزة تجسس لا تتوفر أدوات المحاسبة أو رقابة على الجهاز، فيتم ترك المجرمين والتركيز على نشطاء حقوق الإنسان مثل هشام الأميرات وأحمد منصور. بالتأكيد هناك سوء استخدام للتكنولوجيا، لا نستطيع أن نجعل التكنولوجيا نفسها خارجة عن القانون ولكن علينا أن نمنع سوء استخدامها.

هل صدم مختبر السيتيزن لاب بنفس الطريقة التي صدم بها العالم بمستوى عمليات التجسس والاستخبارات التي أفشتها تسريبات سنودن؟

رون: من الأمان القول بأن تصاعد انخراط الدول في استخدام أنظمة الرقابة بدأ قبل تسريبات سنودن. قد تكون أكبر نقطة تحول هي أحداث الحادي عشر من سبتمبر، التي ولّدت تحولًا كبيرًا في أنماط جمع المعلومات الاستخباراتية في الولايات المتحدة. تأثرت الدول الحليفة للولايات المتحدة بهذا النمط الجديد وتأثر معها أعدائها، وانتشر مبدأ الحرب العالمية على الإرهاب والتي هي بالحقيقة ليست إلا عمليات لجمع معلومات استخباراتية تتعلق بكل نواح بنية الإنترنت التحتية من التحكم باتصالات الأقمار الصناعية إلى فرض رقابة عن بعد، إلى الطائرات من غير طيار وكوابل الإنترنت البحرية. تسريبات سنودن أظهرت كثيرًا من هذه المعلومات للعامة. بعض الناس كانت لديهم معرفة بهذا. أنا شخصيا لم أعرف حقيقة مستوى ونطاق العمليات الاستخباراتية إلى أن نظرت بتمعّن إلى تسريبات سنودن. عمق ونطاق قُدرات جمع المعلومات الاستخباراتية في الولايات المتحدة وفي مجموعة الدول التي تسمى «العيون الخمس» (أستراليا وكندا ونيوزلندا وبريطانيا والولايات المتحدة) كان غير عادي.


* جون ديلبيرت مدير مختبر السيتيزن لاب، مدرسة مونك للشؤون الدولية، جامعة تورنتو ومؤلف كتاب «الكود الأسود: داخل المعركة على الفضاء السيبراني» (٢٠١٣)

**جون سكوت رالتون، باحث في مختبر السيتيزن لاب وساهم في العديد من تقارير المختبر الاستقصائية

*** بيل مارزاك، باحث في مختبر السيتيزن لاب. ساهم في العديد من تقارير المختبر الاستقصائية وهو أحد مؤسسي منظمة مرصد البحرين (Bahrain Watch)

  • Ramee Deeb

    Thank you for sharing, it is highly appreciated. Quick question though, how would one cite this article (your preferred method that is) – as I am currently in the process of writing a research paper on this specific topic. please contact through twitter @ramideeb