«تهكّر تلفوني»: عن واقع الاختراق وتقنياته

الجمعة 18 أيار 2018

سُرّبت الأسبوع الماضي مكالمات هاتفية لامرأة أردنية اشتكت من اختراق شخص متنفّذٍ لهاتفها ولحساب الواتساب الخاص بها. أيقظت هذه التسريبات النقاش حول الرقابة على الاتصالات في الأردن، وما قد تعرفه الجهات المختلفة عن اتصالاتنا التي يعتبرها الدستور الأردني «سريّة لا تخضع للمراقبة أو الاطلاع أو التوقيف أو المصادرة إلا بأمر قضائي وفق أحكام القانون»، بحسب المادة 18 منه.

«تحكيش اشي على التلفون»، «تكتبش اشي على الإنترنت»، توصياتٌ كثيرًا ما نسمعها من قِبل الأهل والأقارب. تستند هذه العبارات على أقاويل شعبية تعتقد، منذ أن كان الهاتف الأرضي وسيلة الاتصال الأساسية، أن جميع اتصالاتنا مراقبة وأن كل ما تتصفحه على الإنترنت مكشوف. وقد تطورت فعلًا تقنيات الاتصالات، وتطورت معها اقتصاديات الرقابة التي تعتمد على بيانات المستخدمين لتحقيق أهداف ربحية  أو أمنيّة. بين هذا التطور التقني لأدوات الاختراق والحماية من جهة، والحالة السياسية الأمنية في الأردن مصحوبةً بالشعور الشعبي بالرقابة من جهة أخرى، ظهرت العديد من النظريات حول مدى استباحة اتصالاتنا وبياناتنا من أطرافٍ ثالثة.

يحاول هذا المقال تقديم إجابة تقنية وإجرائية على التساؤلات والفرضيات التي ظهرت على مواقع التواصل الاجتماعي بما يخص سرية مكالماتنا أو رسائلنا أو تصفحنا على الانترنت، وقدرة جهات ثالثة على الاستماع إليها أو اختراقها.

هل يمكن لشركات الاتصالات أو الجهات الأمنية التنصت على المكالمات الخلوية وتسجيلها؟

لم تحظَ تقنيات الاتصال والبنية التحتية الخاصة بالمكالمات الهاتفية الأرضية والخلوية والرسائل النصية بالنقاش الدائر حاليًّا بين الأوساط التقنية ومؤسسات حقوق الإنسان حول خصوصية تصميم البنية التحتية لشبكة الإنترنت. فلم يتطور نظام تشفير مكالمات الهاتف النقال منذ الثمانينات والذي ما يزال ضعيفًا بحسب توصيف مصمّميه.

نعم، تستطيع الجهات الأمنية النفاذ الى محتوى المكالمات الحيّة، إمّا من خلال مراكز إعادة توجيه المكالمات (mobile switching centers) الخاصة بشبكة مزودي الاتصالات، أو عن طريق أبراج وهمية متنقلة (تسمى IMSI Catchers) لا تتبع لأيّ من مزودي الخدمة الهاتفية. أما الرسائل النصية (SMS) فهي لا تخضع لأي نوع من التشفير الذي قد يمنع اختراقها، وبالتالي فإنه يمكن قراءتها من قواعد الاتصالات المركزية.

هل يعني هذا أنه قد يتوفر سجلٌ صوتيّ لجميع المكالمات الخلوية التي قام بها الأردنيون منذ إنشاء شبكات الهاتف الخلوي في الأردن عام 1994؟ نظريًا نعم، لكن عمليًّا هناك صعوبة بالغة في ذلك لأن تخزين المكالمات الصوتية لملايين المستخدمين يوميًا خلال فترة طويلة سيكون مكلفًا جدًا ويتطلب سعات تخزينية مهولة دون أي جدوى ربحية.

لكن، شركات الاتصالات تخزّن ما يسمى بـ«البيانات الفوقية» للمكالمات الهاتفية؛ وهي البيانات التي تظهر في فاتورة الخدمة مثل الأرقام الواردة والصادرة ومدة المكالمة وأوقاتها وتكلفتها.

قانونيًا، أتاحت التعديلات الدستورية لعام ٢٠١٤ مراقبة وتخزين المكالمات باستهداف أشخاص محددين  ووفق «أمر قضائي». كما تشترط المادة 25 من قانون الاتصالات لترخيص شركات الاتصالات «تقديم التسهيلات اللازمة للجهات المختصة لتنفيذ الأوامر القضائية والإدارية المتعلقة بتتبّع الاتصالات»، بالتالي  يمنح قانون الاتصالات مؤسسات إدارية وتنفيذية (كالمُحافظة مثلا) حق تتبع مكالمات المواطنين.

وحتى لو عُدّل قانون الاتصالات بحذف «الأمر الإداري» كشرط للتتبع والاكتفاء بالأمر القضائي وفق الدستور، فإن المدعي العام في كل محكمة خاصة، مثل محكمة أمن الدولة أو المحاكم العسكرية أو محاكم الشرطة، يتمتع بسلطة  إصدار مذكرة ضبط قضائية.

هل بالإمكان انتحال رقم الهاتف الخلوي؟

نعم، تستطيع جهة ثالثة أن تستخدم رقم هاتفك لإجراء مكالمة أو إرسال رسالة نصية حتى وإن كان هاتفك أمامك وفيه شريحة «السيم» (SIM Card) الخاصة بك.

تحدث هذه العملية عبر أحد الموارد الأساسية في النظام العالمي للاتصالات المتنقلة (GSM)، وهو الخادم المركزي الذي يسمى بالـ«Mobile Switching Center» والمسؤول عن ضبط وإعادة توجيه المكالمات. يرتبط هذا الخادم بقاعدة بيانات مركزية (Home Location Register) تحفظ رقم الشريحة، ورقم الهاتف، ورقمٌ يميز الجهاز الخلوي الخاص بك، ومكان البرج الذي يتصل به الهاتف عند إجراء المكالمة. يمكن عبر هذا الخادم المركزي إجراء مكالمةٍ أو حتى إرسال رسالة نصية تنتحل رقم هاتفك، أو تغيير محتوى الرسائل النصية وإعادة توجيهها.

من ناحية قانونية، وحسب المادة 5  من قانون الجرائم الالكترونية، فإنه «يعاقب كل من قام قصدًا بالتقاط أو باعتراض أو بالتنصت أو أعاق أو حوّر أو شطب محتويات على ما هو مرسل عن طريق الشبكة المعلوماتية أو أي نظام معلومات بالحبس مدة لا تقل عن ثلاثة أشهر ولا تزيد على سنة، أو بغرامة لا تقل عن (200) مائتي دينار ولا تزيد على (1000) ألف دينار»، وتضاعف هذه العقوبات، وفقًا للمادة ٨ من القانون ذاته، إن كان مرتكبها قد قام باستغلال صلاحياته الوظيفية للقيام بذلك.

هل يمكن اختراق الهاتف الخلوي أو جهاز اللابتوب عن  بُعد؟

ممكن، لكن ليس بهذا السهولة. فلو كان الموضوع بهذه السهولة لما استثمرت الحكومة الإماراتية مليون دولار في أحد البرامج حتى تستطيع اختراق هاتف الناشط السياسي أحمد منصور كما كشف معمل الستيزين لاب. تعمل هذه البرامج، والبرامج الشبيه بها،على تطوير ملفات خبيثة (malware) تتيح لجهات ثالثة النفاذ إلى الهاتف الخلوي أواللابتوب من بعد.

كيف تصل هذه الملفات لجهاز اللابتوب أو الموبايل المستهدف؟ عادة ما تُخفى هذه الملفات الخبيثة في رسائل وهمية تُرسل عبر أي وسيلة اتصال ممكنة، مثل الإيميل أو الفيسبوك مسنجر أو البلوتوث أو حتى رسالة نصية (SMS). تحاول هذه الرسائل إقناع المُستقبِل بالضغط على رابطٍ ما، أو تنزيل ملف معين مرفق بها. عندما اخترقت الحكومة الإماراتية الهاتف الشخصي لأحمد منصور، فعلت ذلك بإرسال رسالة SMS إلى هاتفه من رقم غريب تُفيد «بأسرار جديدة عن تعذيب إمارتيين في سجون الدولة» مع رابط.

كيف تُخترق حسابات التواصل الاجتماعي أو البريد الالكتروني؟

توفر بعض البرامج خدماتٍ لسرقة معلومات الحسابات الشخصية باستخدام طرق عدة. أكثر الطرق بدائية هي تصميم وإرسال رسالة تنتحل هوية الشركة التي تقدم خدمات البريد الإلكتروني أو التواصل الاجتماعي (الشعار، الألوان، نوع الخط)، وإرسال روابط وهمية مصحوبة برسائل  تحذرنا، مثلًا، من محاولات اختراق وتحثنا على تغيير كلمة السر. عند الضغط على الرابط الوهمي يأخذنا الى صفحة دخول وهمية تسرق معلومات الحساب مباشرة. في معظم الأحيان يمكننا كشف هذه الرسائل بتمحيص إيميل المُرسِل والتأكد من علاقته بالشركة.

تلقت بعض منظمات المجتمع المدني المصرية في 2017، إيميلات مُرفقٌ فيها ملف وورد (Word) عن «مُذكرة اعتقال عزة فهمي»، أدّى تنزيل هذا الملف إلى اختراق بعض إيميلات العمل، إضافة إلى بعض الملفات التي يتبادلها العاملون في هذه المؤسسات. في بعض الأحيان تُخفى هذه الروابط في رسائل شخصية مُرسلة من حسابات أصدقاء لنا على فيسبوك يدعوننا فيها لمشاهدة فيديو ما.

قد تكون الوسيلة الأسهل لتمرير هذه الملفات أو الروابط، دون الحاجة إلى تقنيات معقدة، هي المواقع التي لا تؤمّن الاتصال بين المتصفح المُستخدَم وخوادمها. في أغلب الأحيان، تبدأ عناوين هذه المواقع بـhttp، وعادة ما تعرض هذه المواقع خدمات مجانية دون الحاجة للتسجيل أو إنشاء حسابات فيها، مثل مواقع تنزيل الألعاب أو الكتب المجانية أو المشاهدة الحية للأفلام.

عبر مواقع الـhttp يمكن لأي مُخترق هاوٍ قراءة كل البيانات المرسَلة والمستقبَلة بين المستخدِم والموقع، والنفاذ إلى هذه البيانات وتغييرها. على عكس المواقع التي تبدأ بـhttps، وهي المواقع التي تُضيف طبقةً تسمى (ssl) تُشفر البيانات بين المتصفح والموقع.

لكن، تكون أحيانًا شهادة الـssl، التي تستخدمها مواقع الـhttps، نصف آمنة؛ أي أن أجزاءً من مكونات الصفحة تكون غير آمنة، وقد يكون أحد هذه الأجزاء صورةً يغيّرها مخترق لإقناعك بالضغط عليها وتنزيل ملفات خبيثة، أو لإدخال المعلومات الشخصية لحسابك. وللتأكد من مدى أمان الموقع الذي تتصفحه تأكد أولًا من أن عنوانه يبدأ بـhttps، وثانيًا أن يكون لون علامة القفل -التي تظهر بجانب عنوان الصفحة على متصفحك- خضراء، وليست إشارة «i» التي تعني أن الموقع غير مؤمّن (info/ not secured)، مثل موقع أمانة عمان الكبرى.

لا يمكن الجزم بأن تقنيات الاختراق هذه متوفرة لدى الأجهزة الأمنية في الأردن، أو إن كان بإمكانها استخدام هذه التقنيات وفق أحكام القانون. لكن كشفت  تسريبات البريد الالكتروني، عام 2015، للعاملين في شركة الهاكينغ تيم الإيطالية، الرائدة في توفير برامج الاختراق والتجسس، عن مراسلات بين المخابرات الأردنية والشركة، وتحدثت هذه المراسلات عن عرضٍ لبيع نظام (RSC) للتجسس بقيمة 300 ألف جنيه إسترليني. لم تكشف الرسائل المسربة عن إتمام عملية الشراء من عدمه، حيث تم إيقاف العمل بالبرنامج بعد أن انكشفت الملفات الخبيثة التي ينتجها.

هل يمكن اختراق الواتساب، أو أيّ من تطبيقات التراسل؟

لا ونعم. لا يمكن خرق مسار البيانات بين الأجهزة المستقبلة والمرسلة عبر الواتساب. لأن الواتساب، ومثله تطبيق «سيغنال» (Signal)، يعتمد على تشفير الـend-to-end، وهو أحد أكثر أنواع التشفير إحكامًا؛ حيث تكون مفاتيح فكّ التشفير مخزنة على الأجهزة ذاتها، ويحتوي كل جهاز على مفاتيح مميزة لفكّ التشفير بحيث لا يمكن لشركات الاتصالات، ولا حتى شركة واتساب (أو سيغنال) نفسها، التنبؤ بها وقراءة الرسائل المتبادلة. من الجدير بالذكر أن هذا التشفير يُعمي الشركات عن محتوى الرسالة نفسه ما يجعلها غير قابلة للقراءة.

لكن نُشر تقريرٌ، في نيسان/ أبريل الماضي، يشير إلى أن شركة فيسبوك قادرة على قراءة محتوى رسائل الواتساب على نظام الـiOS (نظام التشغيل الذي طورته شركة آبل) من خلال نفاذ تطبيق فيسبوك إلى مكان تخزين الرسائل في تطبيق واتساب، خلافًا لما ادّعاه مؤسس فيسبوك، مارك زوكربيرغ، أثناء جلسة الاستماع له في الكونغرس الأمريكي . أما البيانات الفوقية للرسائل، مثل اسميْ المرسل والمستقبِل واسم مجموعة المحادثة ووقت الإرسال ونوع الجهاز.. إلخ، فإنها متاحة لشركات التطبيقات، لا شركات الاتصالات.

لكن قد يتمكن طرف ثالث من قراءة محتوى رسائل الواتساب، بما فيها الرسائل القديمة التي أرسلت قبل الاختراق، من خلال طريقتين؛ أولّهما، اختراق الجهاز نفسه (كما ذكرنا أعلاه)، وفي هذه الحالة يحصل المخترِق على صلاحيات استخدام التطبيق المتوفرة للمستخدم الأصلي. وثانيهما، فتح حساب الواتساب على متصفح الكمبيوتر، وهي خاصية تُتيحها تطبيقات التراسل دون التحقق من هوية المستخدم، فلا يحتاج اختراق الحساب أيّ حنكة تقنية، بل فرصة لاستخدام جهازك لمدة لا تزيد عن دقيقة واحدة، قد تكون بحجة إجراء مكالمة أو تصليح الجهاز. في هذه الطريقة يتم الربط عبر مسح تطبيق واتساب لرمز الاستجابة السريع (QR Code) الذي يولده متصفح الكومبيوتر عندما الدخول إلى web.whatsapp.com، حينها سيظهر خلال ثوانٍ تاريخ الرسائل على واتساب، إضافة إلى الرسائل التي تصل لاحقًا. هذه الخاصية متاحة في كل من واتساب وتليغرام وسيغنال. إلا أن سيغنال سيُظهر الرسائل الجديدة فقط، وليس ما سبق عملية الربط هذه.

نستنتج مما سبق أن أكثر تطبيقات الاتصال أمنًا هي التي تنطبق عليها المعايير التالية على الأقل: أولًا، توظف تشفير الـend-to-end. ثانيًا، تكون مفتوحة المصدر (open source)، أي أن برمجة التطبيق  مُتاحة للعامة والفِرَق التقنية المهتمة بتقييم مستوى الأمان (سيغنال مثالًا، أما واتساب فهو مغلق المصدر). ثالثًا، أن لا تستخدم هذه التطبيقات البياناتِ الفوقية، التي تولدها الرسائل، لأغراض تجارية (بعكس واتساب الذي يستخدم فيسبوك بياناته الفوقية في الإعلانات الموَجّهة).

تنطبق هذه المعايير على تطبيقي سيغنال وواير (يتيحان الاتصال الصوتي أيضًا)، وتوصي المجتمعات التقنية باستخدامهما إذ يعدّان من أكثر التطبيقات أمنًا.

ختامًا، ليست هذه وصفة كاملة لحماية مكالماتنا من التنصت وأجهزتنا من الاختراق، ولا يجب أن يُفهم منها أننا نخضع جميعًا للمراقبة، فحماية حقنا في خصوصية مكالماتنا ومراسلاتنا يعتمد على مزيج من السلوكيات الفردية والأدوات التقنية المتوفرة والتوجهات السياسية. كما أن القاعدة الأكثر شيوعا في مجال أمن البيانات تقول إن ما هو آمن اليوم، قد يُخترق غدًا.

حاولنا في هذا المقال تقديم تفسير تقنيٍّ للأحاديث المتداولة حول المراقبة والتنصت، والتعريف بالمساحة المتاحة التي يُمكن استغلالها للوصول إلى تصفحٍ وتراسلٍ أكثر أمانًا، على الأقل في يومنا هذا. وفي ظل غياب الأجهزة الرقابية المستقلة وأنظمة المحاسبة والأدوات القانونية التي تحفظ حقنا الدستوري في الخصوصية، سيظل الحديث عن قدرات الأجهزة الأمنية، في الاختراق والتنصت غير القانوني، مجرّد تكهناتٍ قد لا تثبتها إلا بعض التسريبات.