"بيل مارك زاك" الذي حلّل بيانات "غاما" في حوار مع "مرآة البحرين": "سيرفر" التجسس في البحرين كان يعمل حتى لحظة نشر التقرير ثم توقّف!

2014-08-10 - 2:09 م

مرآة البحرين (خاص): أطلقت منظمة "بحرين ووتش" يوم الخميس الماضي 7 أغسطس/آب 2014، نتائج تحليلاتها للبيانات المسرّبة من شركة "غاما" لتكنولوجيا المراقبة، والتي قام هاكر مجهول باختراقها ونشر ملفاتها للعموم.

وكشفت التحليلات، التي ترجمتها "مرآة البحرين"، أن عمليات التجسس البحرينية باستخدام برامج غاما استهدفت بنجاح 77 من كبار الناشطين السياسيين والمحامين، بين العامين 2010 و2012. من بين هؤلاء عرف المعارضان البارزان حسن مشيمع، وإبراهيم شريف، كما اتّضح بأن جهاز المخابرات البحريني استهدف أجهزة جميعة الوفاق الوطني، كبرى القوى السياسية المعارضة، وكذلك مكتب المحامي حسن رضي، والمحامي محمد التاجر، وغيرهم.

وكان خبراء في المنظّمة قد عكفوا على تحليل هذه البيانات الضّخمة، واستخراج ما يتعلق منها بالبحرين، خصوصا قائمة المؤسسات والأشخاص الذين تجسّس عليهم النظام البحريني باستخدام برامج "فين فيشر" التي تنتجها شركة غاما.

على رأس هؤلاء الخبير في الأمن الإلكتروني، بيل مارك زاك، وهو طالب دكتوراة أمريكي في جامعة بركلي، بولاية فلوريدا، وعضو مؤسس بمنظّمة بحرين ووتش. وكان زاك قد قاد بحثا تقنيا قبل عامين، بالتعاون مع مختبر سيتزن لاب، تأكّد فيه العثور على عيّنات من برنامج التجسّس المذكور لأوّل مرة في العالم، وذلك في أجهزة ناشطين بحرينيين.

"مرآة البحرين"، حاورت زاك، حول التحليلات التي أجراها على البيانات المسرّبة، وما قدّمه من استنتاجات. في هذا الحوار يعطي "مارك زاك" أدلّة إضافية على صحّة النتائج التي توصّل إليها، وسلامة الملفّات المسرّبة، كما يشرح الطريقة التي سلكها في تحليل هذه المعلومات، ويجيب على سؤال ما إذا كانت البحرين لا تزال تستخدم هذه البرامج أم لا.

ويشرح مارك زاك قدرات برنامج التجسس فين فيشر والتكتيكات التي تتّبع لاختراق الضحايا به، كما يتحدّث عن قدرة برامج مكافحة الفيروسات على إيقافه، وختاما يقدّم بعض النصائح الموجزة للناشطين لتجنّب الإصابة بهذا البرنامج أو غيره من أدوات التجسس.

فيما يلي نصّ الحوار الذي أجرته "مرآة البحرين" مع "بيل مارك زاك":

مرآة البحرين: كيف يمكن التأكد من أن هذه الوثائق المسرّبة حقيقية تماما؟

بيل مارك زاك: حتى الآن، لا يوجد أي سبب للشك في أن ملفات السجل المسرّبة والخاصة بـ"سيرفر" البحرين الذي يشغّل برنامج التجسس FinFisher، هي ملفات صحيحة. بعض أسماء العمليات في الملف مماثلة لتلك التي رأيناها من قبل. على سبيل المثال، بعض أسماء العمليات في الملف تبدأ بـ"Sp-Op". وقد وجد عملنا السابق، الذي حلل عينات FinFisher المرسلة إلى آلاء الشهابي ونشطاء آخرين في عام 2012، أنها تتضمن أسماء تبدأ بـ "Sp-Op".

مرآة البحرين: قلتم في "بحرين ووتش" إنهم 77 ضحيّة، ولكنكم لم تذكروا أسماءهم جميعا، هل التحليل لا يزال مستمرا؟

بيل مارك زاك: نعم، التحليل ما زال مستمرا. مع ذلك، نحن قد لا نعرف أبدا من هم بعض الضحايا، لأننا يمكن أن نرى فقط اسم كمبيوتر الضحية، اسم المستخدم، وعنوان IP الخاص به. في بعض الأحيان، لا تحتوي على هذه المعلومات أي شيء يتيح لنا التعرف على الضحية.

مرآة البحرين: كيف أمكنكم التأكد من هوية أصحاب أجهزة الكمبيوتر؟

بيل مارك زاك: في بعض الحالات، مثل حالة محمد التاجر، اتصلنا بالأشخاص مباشرة. في حالات أخرى، مثل إبراهيم شريف، اتصلنا بزوجته لطرح الأسئلة حول أي نوع من أجهزة الكمبيوتر التي كان يستخدمها، وأي مزوّد للإنترنت كان يتعامل معه، وما هو نظام التشغيل، وذلك لمطابقة البيانات مع الملف المصاب. في حالات أخرى، مثل مكتب المحامي حسن رضي، لاحظنا أن 9 أجهزة كمبيوتر بنفس IP قد أصيبت، وكانت أسماء العديد منها هي نفس أسماء محامين في الشركة.

مرآة البحرين: كيف كانت ردود فعل الضحايا الذين اتصلتم بهم؟

بيل مارك زاك: المحامي محمد التاجر، أكد أن هذا كان اسم جهاز الكمبيوتر الخاص به. سألناه عن تاريخ الإصابة، 24 يناير 2011. فأجاب أن هذا هو التاريخ الذي أدخل فيه القرص المضغوط في جهاز الكمبيوتر الخاص به، القرص الذي يحتوي على الفيديو المعد لابتزازه. وقال أيضا إن القرص اختفى من مكتبه في وقت لاحق، مما يوحي بأن القرص يحتوي على برنامج التجسس، وقد أزيل بعد إصابة جهاز التاجر.

مرآة البحرين: لماذا برأيك قام الهاكر المجهول بهذا العمل؟ هل أثر بحثكم قبل سنتين في ذلك؟

بيل مارك زاك: أعتقد أن هدف هذا الهاكر هو أن يحاول محاربة الرقابة الحكومية. لقد أطلق البيانات علنا للسماح للجميع على شبكة الإنترنت أن يتعاونوا في تحليلها. ربما كان بحثنا السابق قد دفع هذا الهاكر لهذه الجهود، لقد استخدم بوضوح حالة البحرين في تعليله لمدى الأذى الذي تتسبّب به برامج التجسس.

مرآة البحرين: "بحرين ووتش" قدّمت شكرها للهاكر، ألا تعتقدون أن هذا الاختراق يظل لا أخلاقيا؟

بيل مارك زاك: نعم، شكرناه على تسريب معلومات عن البحرين. معلومات مثل هذا النوع تكشف بواسطة هاكر ستساعد على إعلام الرأي العام حول استخدامات أدوات التجسس هذه.

مرآة البحرين: الهاكر قال إن شركة غاما لا تزال تبيع خدماتها إلى البحرين، هل تعتقد أن ذلك صحيح وأن البحرين لا تزال تستخدم "فين فيشر"؟

بيل مارك زاك: أظهرت الوثائق المسربة أن ترخيص "فين فيشر" الممنوح للبحرين انتهى في العام 2013. ولكن، سيرفر FinFisher في البحرين لا يزال يمكن الوصول إليه على عنوان IP جديد، 77.69.140.197، حتى ما قبل نشرنا التقرير مباشرة، لكنّه الآن غير مفتوح. ربما لا تقوم حكومة البحرين بإصابة أجهزة لأناس جدد، لكنها لا تزال تحاول الحصول على بيانات من الأجهزة التي أصيبت سابقا. حتى لو لم تكن تستخدم FinFisher، أعتقد أنه من المرجح أنهم سيحاولون استخدام أنواع أخرى من برامج التجسس في المستقبل.

مرآة البحرين: كم تقدّر أن حكومة البحرين أنفقت على ذلك؟

بيل مارك زاك: من الصعب أن نجيب على ذلك، لأننا لسنا واثقين تماما ماذا اشتروا تحديدا. ربما أنفقوا حوالي 1.5 مليون يورو، ولكن يمكن أن يكون الرقم أعلى من ذلك بكثير إذا كانوا قد اشتروا تكنولوجيا إضافية.

مرآة البحرين: هل تعتقد ان حكومة البحرين لم تحسن تقنيا استخدام هذا البرنامج؟

بيل مارك زاك: على قدر ما يمكنني قوله، لا. يبدو أنهم استخدموا هذا البرنامج وفقا للتدريب (سربت أيضا بعض المواد التدريبية). على سبيل المثال، هناك شرائح في التدريب تشرح كيفية إعطاء شخص قرصا مضغوطا باستخدام FinFisher (على سبيل المثال، تسقطها في صندوق بريده، أو مكتبه) ويبدو أن البحرين استخدمت هذا التكتيك لتصيب به المحامي التاجر. عموما، فإنهم أصابوا 77 شخصا حتى فبراير/شباط 2012. إصابات برامج التجسس من قبل الحكومة لم تكن معروفة نهائيا حتى يوليو/تموز 2012، عندما نشرنا بحثنا عن FinFisher الذي استهدف آلاء الشهابي. إذن فإن حقيقة أنهم كانوا قادرين على الاحتفاظ بهذه العمليات سرّية لفترة طويلة (منذ عام 2010)، يوحي بأنهم ليسوا أغبياء.

مرآة البحرين: رأينا في الوثائق أن برنامج "أفاست" لمكافحة الفيروسات يمكنه الكشف عن "فين فيشر"، هل تعتقد أنه بات من الممكن تقنيا أن تكشف برامج غاما؟

بيل مارك زاك: لا. "غاما" تحدّث باستمرار منتجاتها لتجنب الكشف. لقد أطلقوا إصدارا محدّثا لم يستطع برنامج "أفاست" الكشف عنه.

مرآة البحرين: رأينا تكتيكات مختلفة في استهداف الضحايا ببرنامج FinFisher، هل تستطيع إيجاز هذه التكتيكات؟

بيل مارك زاك: هناك العديد من التكتيكات. الأسهل هو إرسال بريد إلكتروني إلى الشخص المستهدف، بحيث يحتوي البريد الإلكتروني ملفا مرفقا attachment يخفي داخله FinFisher. المرفق يمكن أن يكون مقنعا بحيث يبدو مثل أي نوع من الملفات العادية (صورة، PDF، وورد، إلخ). وفي حالات أخرى، يستخدمون USB أو CD في إصابة شخص ما. البحرين اشترت أيضا نظاما يسمى FinFly، يسمح لهم بإنشاء مواقع مع ملفات تحميل downloads وهمية لتصيب المستخدمين. إن التقنية الأكثر تقدما يمكن أن تسمح للحكومة باختطاف مواقع عادية لتصيب المستخدمين. الموقع قد يعرض popup يطلب من المستخدم تثبيت برنامج مساعد أو ملحقات، لكنّه في الحقيقة يصيب جهازه ببرنامج التجسس.

مرآة البحرين: ما هي الخطوة التالية بالنسبة لـ"بحرين ووتش" في هذه القضية؟

بيل مارك زاك: الخطوة التالية لنا هي جمع المزيد من الوثائق على الضحايا الذين أصيبت أجهزتهم، ومحاولة تحديد كيف بالضبط أصيبوا. على سبيل المثال، هل أرسلت إليهم رسائل بريد إلكتروني مع FinFisher؟ أو هل زاروا مواقع أنشأتها الحكومة لإصابة أجهزتهم، أو أصيبوا عبر USB أو CD؟

مرآة البحرين: وماذا تقترح على الضحايا لحماية أنفسهم؟

بيل مارك زاك: أنصح النشطاء أن يظلوا على حذر من الأقراص المدمجة أو أجهزة تخزين USB الغريبة، وخصوصا تلك التي يتم إرسالها لك من قبل شخص مجهول. أيضا، يجب عليهم أن يتوخوا الحذر عند فتح المرفقات في الرسائل الإلكترونية. إذا كان لديك بريد غوغل، افتحه في "غوغل درايف" بدلا من أن تفتحه على جهاز الكمبيوتر أو الهاتف. وكذلك قم بتثبيت الملحقات extensions فقط من المتجر الخاص بالمتصفح Chrome أو Firefox.

 

 


التعليقات
التعليقات المنشورة لا تعبر بالضرورة عن رأي الموقع

comments powered by Disqus