برمجيات التجسس.. حين تتغلب المصالح على سيادة القانون!
٤ ديسمبر ٢٠١٨في سبتمبر/ أيلول من عام 2017 أعلن باحثون في مجال أمن المعلومات اكتشاف برمجية تجسس خبيثة يمكنها اختراق الهواتف المحمولة.
الفريق البحثي، الذي يعمل في مؤسسة سيتيزن لاب بكندا والمعنية بحماية بيانات وخصوصية مستخدمي الإنترنت، أكد أن البرمجية، والتي يطلق عليها اسم (بيغاسوس (Pegasus) من إنتاج شركة "إن إس أو" الإسرائيلية، وأن أكثر من 40 دولة قامت بشرائها، وأنها قد استخدمت لتتبع واختراق هواتف معارضين في دول مختلفة ما بين آسيا وأمريكا الجنوبية وشمال إفريقيا والشرق الأوسط.
لكن قضية بيغاسوس عادت للظهور مجدداً بعد أن قام المعارض السعودي، عمر عبد العزيز المقيم في كندا، برفع دعوى قضائية في إسرائيل ضد الشركة الإسرائيلية. عبد العزيز قال إن الشركة باعت برمجياتها للسعودية التي قامت بدورها بمحاولة اختراق هاتفه الشخصي وهاتف الصحافي السعودي الراحل جمال خاشقجي، ما دفع شرطة تل أبيب لفتح تحقيق في الأمر.
كيف تعمل برمجية بيغاسوس؟
وبحسب متخصصين في أمن البيانات والمعلومات فإن الإصدار الثالث من البرمجية بإمكانه دخول أي هاتف والحصول على كافة البيانات الموجودة به من أرقام ورسائل قصيرة ورسائل إلكترونية وصور وفيديوهات وملفات وحتى تشغيل كاميرا الهاتف والميكروفون دون علم صاحب الجهاز بمجرد معرفة رقم الهاتف.
ويقول رامي رؤوف، الخبير والمتخصص في تقنيات حماية البيانات، إن "مهمة برامج الاختراق والتجسس تلك هي البحث عن نقاط الضعف الأمنية في برامج تشغيل الهواتف المحمولة والمرور من خلالها إلى البيانات المخزنة على الجهاز، وما تقوم به إحدى إصدارات برمجية بيغاسوس هو إرسال روابط مزيفة عبر منصات مثل (واتس آب) أو وصلات لمواقع مزيفة تبدو شبيهة بمواقع شهيرة مثل فيسبوك.
وقد يستقبل الصحفيون والحقوقيون رسائل على بريدهم الإلكتروني وبها مرفقات من نوع word أو google documents وبمجرد فتح الملف أو الضغط على الوصلة تبدأ البرمجية الخبيثة في العمل وتحول الجهاز لأداة تحسس متنقلة" بحسب ما أفاد به خلال مقابلة له مع DW عربية.
من المستهدف؟
وسائل إعلام أمريكية أشارت إلى أن أكثر المستفيدين من هذه البرمجية في المنطقة العربية كانت الإمارات والسعودية والبحرين ودول أخرى، وأن تلك الاستخدامات استهدفت بشكل رئيسي العاملين في منظمات المجتمع المدني وصحافيين ومعارضين داخل وخارج بلادهم.
وكانت صحيفة نيويورك تايمز قد أجرت تحقيقاً كشفت فيه عن أن حكام الإمارات والسعودية قاموا بشراء بيغاسوس. وكانت أولى التجارب لاستخدام البرنامج محاولة اختراق هاتف أمير قطر وهاتف الأمير متعب بن عبد الله قائد الحرس الوطني السعودي السابق وهاتف رئيس الوزراء اللبناني سعد الحريري وصحافيين وكتاب ومثقفين عرب.
منظمة العفو الدولية قالت إنه في أوائل يونيو/حزيران 2018 تلقى أحد موظفيها رسالة مشبوهة باللغة العربية على تطبيق واتساب وبها رابط لموقع على الإنترنت وأن تحقيقات فريق التكنولوجيا بالمنظمة كشفت أن الضغط على الرابط سيقوم بتفعيل برمجية بيغاسوس"”Pegasus:
وقال جوشوا فرانكو، رئيس قسم التكنولوجيا وحقوق الإنسان في منظمة العفو الدولية، إن "من المعروف أن "مجموعة (إن إس أو) لا تبيع سوى برامج التجسس الخاصة بها إلى الحكومات. ولذلك نعتقد أن هذه كانت محاولة متعمدة للتسلل إلى منظمة العفو الدولية من قبل حكومة معادية لنشاطنا في مجال حقوق الإنسان".
وكشفت مجموعة "سيتزن لاب" الكندية عن تورط مجموعة "إن إس أو" في برنامج تجسس مماثل في المكسيك. وتم استهداف النشطاء والصحفيين وزعماء أحزاب المعارضة من خلال رسائل مزيفة تحتوي على برنامج بيغاسوس في محاولة لإسكات الأصوات المعارضة للحكومة بحسب ما جاء في بيان لمنظمة العفو الدولية.
الشركة بدورها أكدت أنها لا تبيع برمجياتها بهدف تعقب المعارضين وإنما لمساعدة الحكومات على محاربة الإرهاب والجريمة وجعل العالم مكاناً أكثر أمناً وأنها "تلتزم تماماً بالقوانين والأنظمة المتعلقة بالرقابة على الصادرات".
إن إس أو.. ليست وحدها
تنتشر الشركات التي تنتج برامج التجسس حول العالم وأغلب عملائها هي الحكومات. ففي يونيو/ حزيران من عام 2014 نشرت صحيفة الوطن المصرية تحقيقاً عن مناقصة حكومية لشراء برامج لمراقبة وتحليل كافة الأنشطة على الإنترنت داخل البلاد، وفازت بالمناقصة شركة سي ايجيبت وهي شركة تابعة لشركة بلوكوت الأمريكية. لكن الحكومة المصرية نفت استخدام البرمجيات في تعقب المعارضين وأكدت أنها تستخدمها فقط لتتبع الإرهابيين أو المجموعات المضادة "لقيم المجتمع".
كما ذكرت مصادر إعلامية أن دولة الإمارات بدورها تعاقدت مع عدة شركات بمبالغ ضخمة بهدف تتبع كتاب وصحفيين ونشاط في مجال حقوق الإنسان كما أشارت وسائل إعلام غربية، وهو ما حدث مع الحقوقي الإماراتي أحمد منصور، الذي يقبع في السجن حالياً. منصور أفاد بمحاولة اختراق هاتفه عدة مرات وأبلغ شركة آبل بذلك ما دفع الشركة لإطلاق سلسلة من التحديثات الأمنية أغلقت نقاط الضعف التي استغلتها تلك البرمجيات.
برمجيات لا تحدها تشريعات صارمة
وتتصاعد انتقادات الجهات والخبراء المعنيين بحقوق مستخدمي الإنترنت في حماية بياناتهم من الاختراق بسبب ما يقولون إنه خلل في التشريعات والقوانين المنظمة لبيع وشراء تلك البرمجيات الحساسة.
ويقول محمد نجم، المدير التنفيذي لمنظمة سميكس SMEX المعنية بالحقوق والحريات الرقمية في الشرق الاوسط، إنه "عندما تبيع الشركات المنتجة لهذه التقنيات برامجها لدول ما فهي على الأغلب تعلم بما ستقوم به الدول وكيف ستستخدم برامجها. كما أن حكومات الشركات المنتجة للبرمجيات توافق على عمليات البيع لارتباطات وتعاملات سياسية مع الدول الشارية" بحسب ما أفاد في مقابلة له مع DW عربية.
ويتفق معه في الرأي رامي رؤوف، الخبير والمتخصص في تقنيات حماية البيانات، والذي يرى أن تلك البرمجيات تسبق بخطوات الأطر التشريعية والقانونية الحاكمة لتداولها وأن "الأزمة تكمن في أن مجال إنتاج البرمجيات الأمنية لا يتمتع بقدر كاف من الشفافية ولا توجد قوانين محكمة تنظمه وإنما مجرد أطر عامة غير ملزمة".
ويرى خبراء حقوقيون في هذا المجال أن المشكلة تكمن أيضاً في أن الدول، التي تشتري تلك البرمجيات، غالباً ما تكون دول قمعية تفتقر الى انتخابات حقيقية تفرز جهات تشريعية ورقابية فعلية تعمل على حماية حقوق المواطنين، لذلك يتم استخدام تلك البرمجيات بشكل أساسي في تتبع المعارضين والنشطاء السياسيين وأعضاء منظمات المجتمع المدني.
استخدامات ايجابية.. مقننة
على أن لهذه البرمجيات جانب إيجابي أيضاً، فهي بالفعل وسيلة شديدة الفعالية إن هي استُخدِمت وفق القوانين والتشريعات الصحيحة لمراقبة وتتبع أعضاء الجماعات الإرهابية ومن يمثلون خطراً على أمن البلاد.
وزير الدفاع التونسي السابق، فرحات الحرشاني، كان قد أكد أن بلاده تتعاون في مجال التقنيات الإلكترونية مع دول مثل ألمانيا وفرنسا والولايات المتحدة، وخصوصاً فيما يتعلق بتأمين الحدود وتعقب أفراد تنظيم "الدولة الإسلامية" (داعش) وهو أمر يراقبه البرلمان التونسي بشكل مكثف.
وفي هذا السياق يقول محمد نجم، المدير التنفيذي لمنظمة سميكس SMEX المعنية بالحقوق والحريات الرقمية في الشرق الأوسط، إنه حتى في هذا الإطار يجب اتباع القوانين. "فلكي يتم التجسس على شخص أو جهة لا بد أن يصدر بذلك إذن قضائي لفترة محددة ولهدف محدد. وإذا ما تبين أن الشخص محل المراقبة وبعد انتهاء مدة مراقبته بعيد كل البعد عن الاتهامات فإنه يجب حذف كافة البيانات التي تم الحصول عليها خلال فترة مراقبة أنشطته".
عماد حسن