زنچة
تغيير المنصّة من: أندروید
إلى المحتوى الرّئيسي
Black and white image of a sculpture of pegasus
Category: أمن رقمي

حول الزّهد والتصحُّح الرّقمي في مواجهة ذعر #بيغاسوس

مفاهيم ومصطلحات من عالم المراقبة السيبرانية والبرمجيات الخبيثة وبعض النصائح المبنية عليها من خبراء من المنطقة.

"الخصوصيّة شيء ممكن وليست وهم أو شيء خيالي، وبيغاسوس هو أكبر دليل على ذلك." بهذه العبارة الجدليّة، خاصّة في سياق جلسة بعنوان " "كيف تؤثّر البرمجيات الخبيثة مثل بيغاسوس على حرّية التعبير وهل يُمكن مواجهتها؟"، افتتح رامي رؤوف، الباحث التّقني في مجال الخصوصيّة والأمان الرقمي، مُداخلته. فهو يرى أنّ صرف أمن الدولة والجهات الأمنيّة لملايين الدولارات حتى تراقب الناس إنّما هي دليل على صمود قوّة برامج الخصوصيّة والحماية الرّقميّة.

ملايين الدولارات هذه، أُنفقت من قِبل عدد من الدول العربيّة، ومنها المغرب، والسعوديّة، والإمارات - والبحرين كما تجلّى مؤخّراً في تقرير (EN) لـِ "سيتيزن لاب" (مُختبر المواطن)- من أجل التنصّت على هواتف الصحفيين والعاملين في المجتمع المدني باستخدام برمجيات التجسّس إسرائيليّة-الصنع "بيغاسوس".

الجلسة كانت من تنظيم "سمكس" (SMEX)، وجمعت رامي، بالاستشاري في الأمن السيبراني راغب غندور، والصحافية عليا إبراهيم، التي هي شريكة-مؤسِّسة لموقع "درج". ويذكر أنّ "درج" واحدة من بين ١٧ مؤسّسة إعلاميّة شاركت في البحث في قائمة أرقام هواتف مسرّبة تضم ٥٠،٠٠٠ رقم، يشتبه بكونها تعود لضحايا ”بيغاسوس" في مشروع صحفي دولي يعرف بإسم "مشروع بيغاسوس" (Pegasus Project).

ما هو بيغاسوس؟

بيغاسوس برمجيّة تجسّس تُمكِّن الشخص القائم بالاختراق أن يزرع برمجيات تحكّم عن بعد في الهاتف المحمول لدى الشخص المستهدف وبمجّرد ذلك يحصل تحكّم مطلق على الجهاز، بحيث يرى جميع الإيميلات، جهات الاتصال، الرزنامة، الصور الشخصيّة و"الأهم جميع الملفّات"، "وكأنّ الشخص مسك التلفون في إيده،" على حد تعبير رامي. ويذكر أنّ إن.إس.أو (NSO)، الشركة الإسرائيليّة المُنتجة له، تُنتج برمجيّات تجسّس على "Mobile First" (الخلوي أوّلاً)، وأنّها تمكّنت من اختراق بعض هواتف الآيفون باستغلال ثغرة أمنيّة في تطبيق آي.مسج (iMessage).

(الرسم التوضيحي من إعداد: محمّد مسقطي)

يشير رامي، إلى أنّ هناك "اعتماد مطلق بين الصحافيين والعاملين في المجتمع المدني على الموبايلات أكثر من اللابتوبات في منطقتنا"، بحيث يستخدمونها لإجراء المقابلات، وتحريرها، وحتى نشر الملفّات، وهذا ما يزيد من قيمة البيانات المتواجدة على هواتفهم المحمولة، موضّحاً أنّ الاختراق الناجح هو اختراق صامت وغير معلن، بحيث يتمكّن القائم بالاختراق من إخفاء الأدلّة التقنيّة والجنائيّة على الجهاز ذاته.

من هم ضحايا بيجاسوس؟

بينما تضمّن الـ ٥٠،٠٠٠ رقم، هواتف شخصيّات دوليّة من بينها: ثلاث رؤساء (رئيس جمهورية العراق برهم صالح، والرّئيس الفرنسي إيمانيول ماكرون)، ١٠ رؤساء وزارة (من بينهم سعد الحريري من لبنان) وحتى ملك المغرب محمّد السّادس، إلّا أنّ عليا أكّدت أنّ التركيز الأساسي والأهم في العمل الصحفي ضمن شبكة "قصص محظورة" كان تأكيد الأرقام التّابعة للصحفيين والمدافعين عن حقوق الإنسان بحسب مناطق عمل المؤسّسات الصحفيّة، وسرد القصص لأنسنة هؤلاء الأشخاص، وذلك للتأكيد على "أهميّة الخصوصيّة كأبسط حق من حقوق الإنسان" (أي إنسان).

ما هي أنماط المراقبة في البرمجيات الخبيثة؟

يقول رامي أنّه في آخر أربع سنوات، رأينا أشكال مختلفة لاستهداف المجتمع المدني في العالم العربي، منها برمجيات استهداف متخصّص مثل بيغاسوس، ومنها مثل برمجيات الاستهداف الشمولية مثل "Remote Control System" (نظام التحكم عن بعد) أو باختصار RCS الصّادر عن الشركة الإيطاليّة "هاكنج تيم" (فريق التهكير) الذي استُخدم من قبل دول مثل مصر والأردن في حجب ومراقبة خدمات الاتصالات على الانترنت.

"بيجاسوس برنامج فريد من نوعه لأنّه ليس برنامج استهداف شمولي، هو برنامج حصري ومُكلف للغاية،" يشرح رامي. "هناك برامج أخرى، مثل برامج "هاكنج تيم"، أقل تكلفة وأكثر إتاحة للدّول في المنطقة يتم استخدامها لمراقبة الناس بشكل شمولي وبالملايين." من هنا جاءت مداخلة رامي بأنّ بيغاسوس أكبر دليل على أنّ الخصوصيّة ممكنة. فعلى سبيل المثال، وبحسب "درج"، أنفقت غانا ٨ مليون دولار للتّجسّس على ٢٥ رقماً لا أكثر!

ما هي استخدامات بيغاسوس؟

يقول رامي، تُستخدم برمجيّات الاستهداف المتخصّص، مثل بيغاسوس، للتنصّت على الحياة الشخصيّة والاطلاع على بيانات الضحايا (الذين معظمهم من العاملين في المجتمع المدني)، وكذلك في محاولة حصر العلاقات الاجتماعية ما بين ضحايا بيغاسوس من جهة، والمحامين والباحثين والصحفيين الذين يقدّمون لهم الدّعم النّوعي من جهة أخرى.

مثلاً، وبحسب موقع "Digital Violence" (العنف الرّقمي)(EN)، وفي ڤيديو بعنوان "بيغاسوس: تستهدف المحقّقين" يسرد فيه إدوارد سنودن قصص ضحايا بيغاسوس، يوصّف المحامي والباحث فلسطيني، مازن المصري، تجربة تعرّض هاتفه للاختراق وكأنّ "هناك شخص يجلس في مخّك، بسبب علاقتنا بهواتفنا هذه الأيّام." ويذكر أنّ مازن المصري وزميله علاء محاجنة قاما برفع ثلاث دعاوى قضائيّة ضد مجموعة إن.إس.أو في إسرائيل عام ٢٠١٨ للدّفاع عن ٧ مدافعين عن حقوق الإنسان تعرّضت هواتفهم للاختراق أيضاً من قبل بيغاسوس -من بينهم المعارض السّعودي عمر عبد العزيز. كما أنّ الشركة الإسرائيليّة استهدفت بعض المحقّقين التقنيين من منظّمة العفو الدّوليّة. ويضيف إدوارد سنودن في الڤيديو: "أكّدت لنا واتساب، أنّ عدد من أعضاء الفريق القانوني الذي يتحدّي إن.إس.أو في المحكمة تعرّضوا أيضاً للاختراق من قبل بيغاسوس. استهدافهم من قبل ذات شركة البرمجيّات الخبيثة التي رفعوا عليها دعوى في المحكمة، تثير الأسئلة الجديّة حول أنشطة وأخلاقيّات مجموعة إن.إس.أو."

ما هي "نقاط الإقتحام الاجتماعي" (Social Entry Points)؟

يشرح رامي بأنّها استراتيجيّة تستخدمها بعض البرمجيّات الخبيثة، فلا تكتفي باستهداف شخص رئيسي، وإنّما تستهدف أيضاً الأشخاص من حوله، سواء كانوا في شبكته الاجتماعية الشّخصيّة أو المهنيّة، كطريقة سهلة للوصول إليه. حيث حصل وأن استُهدفت زوجات الصحفيين وأولادهم في المغرب وغيره، وأن استخدمت أشكال من "التنمّر القضائي" مثل التحرّش، المضايقة، الابتزاز، منع السّفر، الحبس، حجز الأموال، أو حتى اقتحام مكاتب العمل بناء على مراقبة مُسبقة. لهذا السبب، يقول رامي، يهدّد بيغاسوس حقوق الإنسان على نطاق واسع، فهو يوسّع من دائرة الناس الذين يصبحون عرضة للمخاطر البدنية، أو التعذيب، أو غيرها من انتهاكات لحقوق الإنسان.

في لقاء مع "درج"، تقول الصحفيّة المغربيّة هاجر الريسوني: "التجسس والمراقبة لم يتوقفا بعدما خرجنا من السجن، بل زاد الأمر إلى مضايقات في الشارع ومراقبة البيت، وفي بعض الأحيان ما نتحدث عنه في البيت أو في الهاتف نجده منشوراً في صحافة التشهير القريبة من السلطة، ما دفع أصدقاءنا الذين كانوا يزوروننا في البيت إلى التوقف عن ذلك بسبب انزعاجهم وخوفهم على خصوصياتهم وحريتهم."

ما هو "الهجوم دون استجابة" (Zero click Exploits) المعروف أيضاً بـِ "الهجوم من دون انتظار" (Zero day Exploits) ؟

بحسب شرح راغب، هو هجوم سيبراني يستغل ثغرة أمنيّة ما في نظام أو برنامج أو تطبيق أو جهاز ما، ولا يتطلّب الهجوم أي تفاعل أو استجابة من قبل المستخدم المستهدف (مثل الضّغط على رابط، أو تنزيل تطبيق)، بغاية تنصيب (أو تثبيت) ما يعرف بالأمن السيبراني بالـ "Dropper" وهو أوّل باب لتنزيل خوادم "التحكّم عن بعد" (Command and Control) بالجهاز.

فمثلاً، وكما ذُكر مسبقاً، يستغل بيغاسوس ثغرة أمنيّة في تطبيق آي.مسج (iMessage) في هواتف آيفون، وسبق وأن استخدم في الماضي ثغرة أمنيّة في واتساب مكّنت بيغاسوس من تحميل برمجيّته التجسّسيّة عبر "مكالمة فائتة" (Missed Call) ممّا دفع واتساب لرفع دعوى قضائيّة ضد الشركة الإسرائيليّة إن.إس.أو.

الجديد في بيغاسوس في السّوق التقنيّة البرمجية هو انه برنامج استهداف بدون استجابة، يوضّح رامي.

ويضيف راغب بأنّه لا يوجد حل آني لمشكلة "الهجوم دون استجابة" (Zero day exploits): "لا نعرف كيف يعمل بيغاسوس تماماً، فهو تجارة قائمة... هناك سوق خاص لهاكرز تبيع وتشتري معارفها عن ثغرات عامة. شركة إن.إس.أو مثلاً تشتري ثغرات "هجوم من دون انتظار" من شركات أخرى. هذه سوق موجودة ومزدهرة وليس هناك بوادر لإيقاف هذه الصناعة، بل بالعكس، يزداد الطلب عليها كما رأينا في قضيّة "سولار ويندز كورب"، حيث يمكن أن تستغل نفس الثغرات لأهداف مختلفة."

في تدوينة - EN على موقع "واير" (Wire)، كتب المؤسّس الشريك والمدير التقني التنفيذي آلان ديوريك: "اضطراب العام الماضي هذا كشف لنا مدى تعرّض النُّظم العالميّة للمجرمين السيبرانيين والممثّلين السّيئين. منذ انتشار الوباء، ازداد عدد الهجمات السيبرانيّة بنسبة ٤٠٠ ٪ وازدادت تسريبات وثائق الحكومة الأمريكيّة بنسبة ٢٧٨٪."

ما هي "سلسلة الهجمات" (Chain of Attack)؟

هي قيام ما يعرف بمجموعة أو عائلة من البرمجيات الخبيثة (برمجيات التجسس أو الفدية) في البحث عن ثغرة أمنية لشن سلسلة من الهجمات السيبرانية تبدأ بخرق الجهاز وتنتهي بالقدرة على التحكم به. ويوضّح راغب، أنّ في هذا النّوع من الهجمات "تكون هناك سلسلة من المشاكل يتم استخدامها بتتابع لغاية الوصول إلى هدف الاختراق... هذا التطبيق، مع هذا النّظام، مع هذا المتصفّح يعملون سوية في خلق هذه الثغرة."

وعندما وجّهت سمر حلال، مسؤولة التكنولوجيا مع فريق "سمكس" ومنسّقة #منصّة_دعم_السلامة_الرقمية، سؤال لراغب حول مسؤوليّة الشركات في حلّ مشاكل الثغرات الأمنيّة في الخدمات التي تقدّمها، "هل هو إهمال؟"، أجابها، "ليس إهمال بقدر ما هو تجاهل." حيث أنّ اكتشاف الثّغرات الأمنيّة من قبل الباحثين التقنيين وإشعار الشركات بها هي عمليّة مستمرّة، بحيث يتم تطوير ما يعرف بِالـ "Security Patch" (أو "الرُّقعة الأمنيّة") لها، وهي عمليّة قد تستغرق أشهر أو حتّى سنوات.

إذن هل يمكن أن نحمي أنفسنا وكيف؟

يوضّح راغب بأنّ الحماية هي عدّة مفاهيم تختلف بحسب الجهاز وهي فعليّاً ليست حماية بقدر ما هي تقليل من المخاطر واحتماليّة الاختراق: "هي موجودة وليست صعبة، لكن الفكرة هي المتابعة."

بعض النّصائح العمليّة من راغب حول "التصحُّح الرّقمي" (Digital Hygene) بشكل عام:

  • التحديث الدّوري لجميع التطبيقات والبرامج، كما تبديل الأجهزة الماديّة عندما تصبح باطلة (Obsolete) بمعنى عندما يتوقّف المطوّرون من إنتاج التحديثات لها. بكلمات راغب: "بس يوصل update، بتعمل update!"
  • "الزّهد الرّقمي" (Minimization) وهو التقليل من البيانات والتطبيقات التي لا حاجة لها أو حذفها تماماً من باب التقليل من المخاطر في حال التعرّض لـِ "سلسلة الهجمات".
  • الفصل التّام ما بين الشخصي والمهني/العام، سواء كانت إيميلات، حسابات، بيانات، أو أجهزة، الخ … "لا تخلطوا بين الأمور أبداً!"
  • استخدام "مضّادات المتعقّبات" (Anti-Trackers) عند تصفّح الانترنت، مثل (Privacy Badger) و (Ghostery): "لأنّ المتعقّبات أحياناً تبيع البيانات لأطراف ثالثة لا نعرفها."
  • تثبيت "مضادّات الڤيروسات" على جميع الأجهزة: "وليس تلك المقرصنة لأنّها قد تكون أو تحتوى على برمجيّات تجسّس أو برمجيّات خبيثة، وليس المجّانيّة إلّا إذا كانت مجّانيّة ومفتوحة المصدر."
  • إن كان بإمكانكم، لا تحمّلوا البرامج إلّا من مصادر رسميّة (متاجر "جوجل پلاي" أو "الآپ ستور") أو من مطوّريها الرّسميين.
  • لا تضغطوا أي رابط خاصّة إذا بدى مشبوهاً أو من مصدر غير معروف لأنّه قد يؤدي إلى تثبيت برمجيّة تجسّس على جهازكم.
  • اطلعوا على الأذونات المطلوبة قبل تثبيت التطبيقات على أي جهاز، فإذا كان تطبيق لا يستخدم الكاميرا أو الميكروفون (مثلاً لا يجرى مكالمات أو يلتقط صور)، لا تثقون به إن كان يطلب إذن الوصول إليها.
  • استخدموا كلمات سر قويّة [برامج إدارة كلمات السّر مثل KeePassXC أو KeePassDroid أو Bitwarden ستساعدكم في توليدها وحفظها!
  • استخدموا ما يعرف ب"العزل" (Boundary Protection) أو الجدار الناري (Firewall) على حواسيبكم.
  • استخدموا خدمات ڤي.پي.إن موثوقة

يمكنكم مشاهدة الجلسة كاملة (٧٣ دقيقة) عبر هذا الڤيديو


الصورة لـِ هانز پيتير تراونچ عبر موقع Unsplash


نزّلوا تطبيق الأندويد مجّاناً

للتنزيل مباشرةً
العودة للترويسة