النص التالي ترجمة لتقرير “سيتزن لاب”. يمكنكم قراءة التقرير الأصلي هنا.

النتائج الرئيسية

  • منذ تقريرنا الأخير، أظهرت نتائج الاختبار عدداً من مواقع الأخبار العربية والمحلية التي تنتقد الحكومة المركزية أضيفت إلى قائمة المحتوى الـ “مفلتر”. بالإضافة إلى ذلك، تظهر نتائج التجارب على ثلاثة من مزودي خدمة الإنترنت في العراق أن الـ “فلترة” التي طبقت على عدد من شبكات التواصل الاجتماعي تمت إزالتها ومن ثم إعادتها.
  • لا تزال المواقع التابعة أو الداعمة لـ “الدولة الإسلامية” والجماعات المتشددة الأخرى قابلة للوصول بشكل كبير.
  • تطبيق الدردشة على الهاتف الجوال “فاير تشات” IP)) -الذي شهد نمواً ملحوظاً في استخدامه في العراق منذ أن تم قطع الإنترنت وزيادة عدد المواقع المفلترة- يعدّ غير آمن للتواصل وتبادل المعلومات الحساسة. ويقوم التطبيق بنقل الرسائل وتخزين بيانات المستخدم الحساسة على الجهاز من دون تشفير، وبإمكان أي شخص بسهولة عرض الرسائل الأخيرة، ومن السهل نسبياً انتحال شخصية مستخدم آخر دون إذنه.
  • تظهر تحقيقاتنا أن تطبيق الهاتف الجوال “فجر البشائر” التابع لـ “الدولة الإسلامية”، والذي تم الإبلاغ عن استغلاله الموافقة على تنصيبه في النشر على حسابات تويتر للمستخدمين أخباراً متعلقة بـ “الدولة الإسلامية”، هو مجرد تطبيق بسيط بني باستخدام أداة على شبكة الإنترنت تقوم بتجميع الأخبار الخاصة بـ “الدولة الإسلامية” عبر تقنية “أر إس إس/ أتوم” (RSS/Atom).

مقدمة

في حزيران/ يونيو 2014، نشرنا تقريراً يوثق نتائج الاختبارات التي أوجدت أدلة على حجب 20 رابط في العراق بسبب الصراع الجاري مع المجموعة الجهادية “الدولة الإسلامية” (المعروفة سابقاً باسم “داعش”).

تشير النتائج إلى أن عدداً من المواقع المعروفة من ضمنها “فيس بوك” و”تويتر” و”سكايب” و”يوتيوب” تم حجبها على ثلاثة من مزودي خدمة الإنترنت الذي تمت التجربة من خلالها.

تلت هذه النتائج أخبار عن الـ “فلترة” في العراق في مناطق معينة من البلاد والتي شهدت انقطاعاً تاماً عن الإنترنت. في الاختبارات ذاتها وجدنا أن المواقع التابعة أو الداعمة لـ “الدولة الإسلامية” والمجموعات المسلحة الأخرى في العراق كان يمكن الوصول إليها.

بالإضافة إلى هذه الاختبارات، قمنا بتحليل إثنين من تطبيقات الهواتف الجوالة التي لاقت رواجاً كبيراً في تغطية التمرد الحاصل في العراق.

التطبيق الأول “فاير تشات”، تطبيق للمحادثة تم تطويره في الولايات المتحدة يسهل للمستخدمين “المراسلة خارج الشبكة”، وهذه ميزة جعلته مثالياً للاستخدام حين تم تقييد الوصول إلى الإنترنت، وهو ما أدى إلى تزايد أعداد مستخدميه في العراق.

التطبيق الثاني، “فجر البشائر”، هو تطبيق يعمل على نظام التشغيل أندرويد تم تطويره من قبل “الدولة الإسلامية”،  يقوم بنشر رسائل عبر حسابات “تويتر” للمستخدمين الذين يقومون بتنصيبه.

هذا التقرير يحتوي على ثلاثة أجزاء:

الجزء الأول: يشرح نتائج الاختبارات على الشبكة، والتي تظهر زيادة 6 روابط على الروابط الـ 20 السابقة التي تم حجبها، وكذلك تقلبات كبيرة في قائمة المواقع التي تمت تصفيتها منذ حزيران/ يونيو.

الجزء الثاني: يحتوي على تحليل لتطبيق “فاير تشات” ويظهر التحليل أن التطبيق لا يقوم بتشفير الاتصالات أو البيانات المخزنة على الجهاز، ويتيح إمكانية انتحال شخصية المستخدمين، وهذه الميزة يمكن استغلالها من قبل عناصر الأمن والمجموعات المنافسة لخداع وكشف معلومات عن الخصوم.

الجزء الثالث: تحليل لتطبيق “فجر البشائر” ويظهر، خلافاً لبعض التقارير، أنه تطبيق بسيط يقوم بجمع المعلومات الموجودة مسبقاً (مثل فيديوهات “يوتيوب” ومدوّنات “تمبلر” و”ووردبرس”) وتحتوي على معلومات تتعلق بـ “الدولة الإسلامية”.

الجزء الأول: “فلترة” الإنترنت

 

المنهجية

استخدمنا طريقتين لتحديد ما إذا تمت “فلترة” الإنترنت في العراق، وكيف تم ذلك:

الطريقة الأولى هي عبر إجراء عمليات بحث عن بعد لمخدّمات اسم النطاق (DNS) للكشف عن أي نتائج يشك بأنها تدل على “فلترة”.

الطريقة الثانية تقوم باختبارات على إمكانية الوصول إلى المواقع عبر عناوين “بروكسي” (Proxy).

كتبنا برمجية صغيرة تقوم بإجراء طلبات (GET) على قائمة من المواقع عبر قائمة من عناوين الـ “بروكسي” المتاحة للعموم في العراق. ثم قمنا بمقارنة النتائج لطلبات (GET) مع تلك التي أجريناها على قائمة المواقع نفسها من خلال شبكة إنترنت “جامعة تورنتو” للكشف عن حالات الحجب.

رجحت التقارير الأولية من العراق أن الحجب تم تنفيذه في بعض مزودي خدمة الإنترنت عبر التلاعب بمخدّمات اسم النطاق. عادة، يقوم مخدّم اسم النطاق بتحويل اسم موقع (مثلاً: citizenlab.org) إلى عنوان (IP 74.208.36.253). إذا تم التلاعب بالمعلومات الموجودة في مخدّم اسم النطاق، من الممكن تحويل اسم الموقع إلى عنوان IP آخر، مما يحوّل المستخدمين إلى موقع يحتوي على صفحة الحجب. في بعض الحالات من الممكن إجراء عمليات البحث لسجلات مخدم اسم النطاق المستخدمة من قبل بعض مزودي خدمة الإنترنت العراقية عن بعد، من دون الحاجة إلى الاتصال بمزود خدمة الإنترنت بشكل مباشر. بعد إجراء عمليات البحث، استطعنا أن نقارن النتائج الخاصة بموقع معين مع النتائج التي كنا نتوقع رؤيتها.

أجرينا عملية البحث على قائمة من 1392 عنوان لموقع على الإنترنت لتحديد أي نتائج تتعلق بمخدم اسم النطاق يشكّ بها.

كما قمنا بإجراء طلبات (GET) على هذه الروابط الموجودة في القائمة من خلال عناوين “بروكسي” متاحة للعموم. هذه القائمة تحتوي على مواقع يتراوح محتواها ما بين مواقع أخبار عالمية وشبكات تواصل اجتماعي ومواقع تعنى بمحتوى محدد يتعلق بالسياسة الداخلية في العراق. بإمكانكم الحصول على القائمة الكاملة لهذه المواقع التي أجرينا الاختبارات عليها في قسم “البيانات” في نهاية هذا التقرير.

النتائج

بعد نشر تقريرنا في حزيران/ يونيو 2014، تابعنا اختبار إمكانية الوصول إلى مواقع الإنترنت باستخدام عناوين “بروكسي” واختبار مخدمات اسم النطاق. وكشف الاختبار عن ثلاثة تغييرات ملحوظة في الحجب منذ ذلك الحين.

بدايةً، يوم 20 حزيران/ يونيو تم حجب موقع قناة “العربية” وموقع قناة “الجزيرة” من قبل ثلاثة من مزوّدي خدمة الإنترنت من تلك التي تمت التجربة عليها.

في 18 تموز/ يوليو، أدانت قناة “العربية” الإخبارية حجب موقعها في العراق، قائلة إن رئيس الوزراء العراقي نوري المالكي يحاول تقييد حرية وسائل الإعلام ونشر المعلومات عن المواطنين العراقيين وسط “الإخفاقات المتتالية للحكومة في الحفاظ على استقرار البلاد”.

في 2 تموز/ يوليو، أظهرت الاختبارات أنه تم إزالة الـ “فلترة” عن كافة المواقع (باستثناء قناتي “العربية” و”الجزيرة”). ولوحظ هذا التغيير في أماكن أخرى رغم عدم وجود تفسير واضح له.

أخيراً، في 7 تموز/ تموز، تم استئناف “فلترة” شبكات التواصل الاجتماعي والمواقع الأخرى، وبقيت النتائج هكذا حتى تاريخ اختباراتنا الأخيرة يوم 21 تموز/ يوليو.

ورجحت التقارير أن هذا التغيير جرى نظراً إلى أن “الحرب مع “الدولة الإسلامية” هي حرب إعلامية والحكومة تريد السيطرة على هذه المواقع لمنع انتشار الشائعات”.

ونقلت وسائل إعلام محلية عن مسؤولين في وزارة الاتصالات العراقية “أن 20 موقع لوكالات أنباء محلية وإقليمية ودولية حجبت بشكل دائم في العراق تبعاً لأوامر من مسؤولين أمنيين لأن هذه المؤسسات داعمة للإرهاب”.

الجولة الأخيرة من التجارب حددت ما مجموعه 6 روابط جديدة لم تكن موجودة في تقريرنا السابق في حزيران/ يونيو 2014، هذه الروابط الستّة تتألف من وكالتي أخبار (“العربية” و”الجزيرة”) وأربعة مواقع (herakiq.com وiraqislami.own0.com وmuslm.org وhanein.info).

“حراك العراق”، ذكر في 24 حزيران/ يونيو، أن موقعه الإلكتروني تعرض للحجب في العراق، وهو موقع سياسي ينشر تقارير عما يسميه قمع الحكومة الشيعية العراقية للمواطنين السنة ويحشد لمكافحة الشيعة في المناطق السنية.

موقع “iraqislami.own0.com” هو منتدى تم إيقافه من قبل مزود خدمة الاستضافة، وذلك لانتهاكه الشروط والأحكام. اسم النطاق يحتوي حالياً فقط على إشعار بالإغلاق، ولكنه لا زال محجوباً.

وتظهر نسخة مؤرشفة من الموقع بتاريخ 25 حزيران/ يونيو، أن الموقع كان منتدى للنقاش، يدار من قبل “الدولة الإسلامية”. واحتوى المنتدى معلومات عن عملياتهم، وتقارير، ومنتجات إعلامية تروج لأفكارهم وأفعالهم.

موقع “muslm.org” هو موقع عربي-إسلامي يحتوي على أخبار ومقالات رأي من دون احتوائه على أي محتوى متشدّد.

وأخيراً، موقع “hanein.info” هو منتدى للنقاش يحتوي بمعظمه على مواضيع متشددة تنتقد الحكومة المركزية في العراق لكونها طائفية.

تجدون أدناه ملخصاً للتغيرات في قائمة المواقع المحجوبة، مفروزين وفقاً لمخدّم الإنترنت:

مزوّد الإنترنت “سكوب سكاي” (ScopeSky)

تجارب تحليل اسم النطاق أجريت على مزوّد خدمة الإنترنت “سكوب سكاي” باستخدام عنوان مخدّم اسم النطاق (ns1.itc.iq 185.23.153.242) و ns2.itc.iq) 185.23.153.243).

19 عناوين مواقع فريدة تم تحويلها إما إلى العنوان 127.0.0.1 والعنوان localhost، (وكلاهما يشيران إلى عنوان الـ IP الخاص بجهاز المستخدم). أو إلى أحد العنوانين 185.23.154.26 و185.23.153.235، وكلاهما يشيران إلى شبكة “سكوب سكاي” ويظهران للمستخدم صفحة الحجب التالية:

1

الحالات التي تم فيها تحويل عناوين المواقع إلى أحد عناوين الـ IP الخاطئة موضّحة في الصورة أدناه:

2

الاختبارات التي تمت عبر “بروكسي” على مزوّد الإنترنت “سكوب سكاي” يوم 4 تموز/ يوليو، أكدت أن صفحة الحجب ظهرت عند محاولة الوصول إلى العنوان “aljazeera.net” ولكن الاختبار أظهر تضارباً في الـ “فلترة” حيث كان من الممكن الوصول إلى العنوان “www.aljazeera.net“.

مزوّد الإنترنت “إيرث لينك” (EarthLink)

تجارب تحليل اسم النطاق أجريت على مزوّد خدمة الإنترنت “إيرث لينك” تمت باستخدام عنوان مخدّم اسم النطاق (ns1.earthlinktele.com 109.224.14.2) بين 21 حزيران/ يونيو و23 تموز/ يوليو 2014. خلال هذه التجارب، 19 من عناوين المواقع تم تحويلها إلى عنوان الـ IP 192.168.222.66، وهو عنوان غير عام موجود على شبكة الإنترنت، ويظهر للمستخدم عند فتحه صفحة الحجب التالية:

3

العناوين التي حوّلت إلى العنوان التالي تغيرت باستمرار، والحالات التي تم التحويل فيها إلى عنوان IP خطأ موضّحة في الصورة أدناه:

4

في 4 و16 و17 تموز/ يوليو 2014، أجرينا اختبارات عبر  4 من عناوين الـ “بروكسي” على مزود خدمة الإنترنت الحالي، هذه الاختبارات أظهرت بعض التناقضات في حجب المواقع عناوين الـ “بروكسي” المستخدمة، وفي بعض الحالات، لم يكن ممكناً تأكيد حالة عنوان معين.

نتائج مشابهة لما تمت ملاحظته على مزود الإنترنت “سكوب سكاي”، تجارب الـ “بروكسي” أيضاً أظهرت تناقضات في الـ “فلترة” التي تم تطبيقها، في أحد الأمثلة، محاولة الوصول إلى موقع “hanein.info” حولتنا إلى صفحة الحجب، ولكن الوصول إلى العنوان “www.hanein.info” حولنا إلى موقع “غوغل”.

مزوّد الإنترنت “آي كيو نت” (IQNet)

أجرينا اختبارات تحليل اسم النطاق على مزود الإنترنت “آي كيو نت” باستخدام المخدمات التالية:

nserver1.iqnet.com – 62.201.215.1

nserver2.iqnet.com – 62.201.215.2

nserver3.iqnet.com – 62،201.201.201

nserver4.iqnet.com – 62،201.201.202

خلال الاختبار، المخدّم الأول والثاني لم يسمحا بالاستعلام المتكرر ونتيجة لذلك لم تظهر أي نتائج غير نمطية. ومع ذلك، المخدّمان “nserver3.iqnet.com” و”nserver4.iqnet.com” أظهرا نتائج نمطية.

هذه النتائج تحتوي على 13 عنوان موقع تم تحويلهم إلى عنوان الـ IP غير المتاح للوصول علناً 192.168.168.168.

عناوين المواقع التالية حوّلت إلى عناوين IP غير صحيحة خلال فترة الاختبار:

5

مزوّد الإنترنت “تارين نت” (TarinNet)

أجرينا اختبارات عبر عناوين “بروكسي” على مزود الإنترنت “تارين نت” الموجود في كوردستان بتاريخ 11 تموز/ يوليو 2014، ولم يكن هناك أي دليل على قيامهم بأي عملية حجب.

عدم وجود سياسة موحدة للإنترنت في العراق وكوردستان العراقية يعكس الانقسام السياسي بين الحكومة المركزية وإقليم كردستان المستقل.

وتعليقاً على الخلاف السابق حول قوانين الإنترنت الاتحادي، يقول كاروان شيخ رازا، رئيس قسم البريد والاتصالات في كردستان: “القرارات الصادرة عن الحكومة المركزية لا تطبق في كردستان”. وقد لاحظت في الآونة الأخيرة أن مقدمي خدمات الإنترنت Renesys كردستان تقدم متزايد العابر للاتصال بالإنترنت العراق الدولية خارج البلاد. ومن المرجح غذت الانقسام بين الحكومة المركزية واقليم كردستان بشأن تنظيم الإنترنت من خلال الجهود الكردستاني للحصول على الاستقلال عن العراق. طلب رئيس إقليم كردستان البرلمان في المنطقة في يوليو/ تموز 2014 لبدء التحضير لإجراء استفتاء على حق المنطقة في تقرير المصير.

موقع “رينيسيز” لاحظ مؤخراً زيادة في أن مزودي خدمة الإنترنت في كوردستان تزود عبوراً لشبكة الإنترنت العراقية خارج البلاد.

ومن المرجح أن هذا الانقسام بين الحكومة المركزية وبين إقليم كوردستان حول قوانين الإنترنت يعود إلى الجهود الكوردستانية الرامية إلى الاستقلال عن العراق.

حيث طالب رئيس إقليم كوردستان من برلمان الإقليم في تموز/ يوليو 2014 البدء بالتحضير للاستفتاء على حق المنطقة في تقرير المصير.

بعد الزيادة في “فلترة” المواقع والإيقاف الكلّي للإنترنت في بعض المناطق، اكتسبت منصة التراسل عبر الهاتف ““فاير تشات”” اهتماماً لنموها بين مستخدمي الإنترنت العراقيون. أشارت التقارير ،في العراق، أنه تم تحميل التطبيق 40،000 مرة منذ 14 حزيران/يونيو 2014، مما يجعله العراق ثاني أكبر بلد من  حيث عدد مستخدمي التطبيق بعد الولايات المتحدة. وأشارت أيضًا أنه تم إنشاء 7،000 غرف الدردشة جديدة في غضون بضعة أيام في حزيران/ يونيو  2014، ما يوازي 10 في المئة من مجموع الغرف التي تم إنشاؤها في العالم منذ إطلاق التطبيق في آذار/ مارس 2014.

صورة رقم 3: الزيادة في عدد مستخدمي "فاير تشات" في العراق. [المصدر: "بلومبرغ"]

صورة رقم 3: الزيادة في عدد مستخدمي “فاير تشات” في العراق. [المصدر: “بلومبرغ”]

يهدف تطبيق “فاير تشات” ان يكون أداة للدردشة “خارج شبكة الاتصالات”، مما يسمح للمستخدمين بالتراسل مع أي شخص في مكان قريب، حتى من دون وجود اتصال بالإنترنت سواء عبر الهاتف الجوّال أو “واي فاي”. يفعل ذلك من خلال تقنيّة “بلوتوث” أو تقنيّة “Multipeer Connectivity framework” في “أبل” (على أجهزة “أي فون”). هذه التقنيّات تسمح للمستخدمين بمواصلة الدردشة مع المستخدمين “خارج شبكة الاتصالات” بمدى يصل إلى 200 متر. جاء تحت وصف التطبيق في “متجر غوغل للتطبيقات” أنّه يستعمل للمناقشات الحية والمجهولة من دون الحاجة إلى تسجيل الدخول عبر فيس بوك أو البريد الإلكتروني، أو حتّى تذكّر كلمة سر.

وصفت التقارير الأولية عن تزايد شعبية “فاير تشات”، الفوائد التي يمكن أن توفرها للمستخدمين في هذه البيئة المقيّدة. قال كريستوف داليغالت، نائب رئيس المبيعات والتسويق في “أوبن غاردن”ومطوّر “فاير تشات”: “هناك ما يكفي من مستخدمي “فاير تشات” في بغداد الآن إلى إنشاء عدد من “الإنترانت” المحلية. حتى إذا لم يستطع أي جهاز في هذه الشبكة المحلية الوصول إلى الإنترنت، فسيزال باستطاعة الناس تبادل الرسائل”. ولكن في 25 حزيران/ يونيو 2014، اعترف مطوري “فاير تشات” بالمخاطر الأمنية المحتملة لاستخدام التطبيق للاتصالات الحسّاسة:

“الناس بحاجة إلى فهم أن هذه الأداة ليست لإرسال رسائل من شأنها أن تضعهم في مواقف خطيرة إذا تم اكتشافها من قبل شخص ذي نوايا سيّئة. لم يكن من المفروض أن تؤمّن الاتصالات الآمنة أو الخاصة”.

تتمتّع الأدوات المستعملة في تسهيل الاتصالات، خلال الصراعات، بأهمية كبيرة، وخاصةً عند ازدياد عدد المنصات الشعبية الـ”مفلترة”، وإيقاف الإنترنت كلّياً في بعض المناطق. في مثل هذه البيئة غير المستقرة، يتطلع المستخدمون إلى أدوات وأساليب جديدة للتّواصل مع بعضهم البعض، وتوثيق الأحداث التي تقع داخل العراق ومشاركتها مع العالم الخارجي. مع ذلك، يمكن لهذه الأدوات أن تكون سيفا ذا حدين. تفضح الأدوات غير الآمنة الاتصالات الحساسة بين المستخدمين وتترك سجلات المحادثة بشكلٍ غير مشفر على أجهزة المستخدمين. لذلك من المهم أن يعلم مستخدمو هذه الأدوات بميزات الأمان وحدودها.، وهو ما سنصف بعضاً منه بالتفصيل.

تحليل

اختبرنا الإصدار 2.5.1 من “فاير تشات”، الذي كان آخر تحديث له في 20 يونيو/ حزيران 2014. حمّلنا التطبيق من “متجر غوغل للتطبيقات” في 10 يونيو/ حزيران 2014. “خلاصة الرسالة” “MD5” لملف “APK” هي: 5e928f558b8fda6d92f4b54218f1335c
اختبرنا التطبيق على الهاتف “أندرويد” واستخدمنا حزمة “وايرشارك” لالتقط البيانات المرسلة والمستلمة من التطبيق. لشرح السلوكيات التي لوحظت في البيانات الملتقطة وشرح كيف يتم إنشاء الرسائل، قمنا بفك “APK” باستعمال “jd-gui“.

يتكون التطبيق “فاير تشات” من ثلاثة أوضاع من التراسل “الجميع”، “القريب” و ““فاير تشات s”:

  • “الجميع” هي غرفة دردشة شبه عالمية حيث يتم فرز ما يصل إلى 80 فرداً على نطاق واسع، على أساس موقعهم الجغرافي.
  • “القريب” هي ميزة التطبيق التي تصل المستخدمين القريبون من بعضهن جغرافيأً باستخدام تقنيات “واي فاي”، “بلوتوث”، أو “Multipeer Connectivity functions” الخاصة بـ”أبل”.
  • ““فاير تشات”s” هي غرف دردشة على الإنترنت مقسّمة بشكلٍ أنّ كلٍّ منها تتناول موضوع معيّن حول كلمة واحدة.

فقط عند بدء تشغيل التطبيق، تتم مطالبة المستخدم بإدخال اسمه. بعد إنشاء اسمه، يمكنه البدء باستخدام التطبيق.

نقل الرسالة

عند إرسال رسالة في وضع “الجميع”، يبدأ التطبيق بالقيام بعملية بحث “DNS” من “فاير تشات” opengarden.com، التي كان يتم استضافتها خلال تجاربنا في عنوان الـ”IP” 209.237.236.194 ويستخدم من قبل خادم في ولاية كاليفورنيا. هذا هو عنوان الـ”IP” الوحيد الذي تمكنا من تحديده والذي يستخدم لإرسال بيانات الدردشة.

عند إرسال رسالة عبر “فاير تشات” تحتوي على متوالية “TCP” مع اسم المستخدم “zigzeer”، يتم إرسال البيانات التالية إلى 209.237.236.194 بشكلٍ غير مشفّر وواضح:

7

صورة رقم 4: أرسلت هذه العينة من البيانات المرسلة غير المشفرة عند إرسال رسالة في وضع “الجميع”

يرتكز نموذج دردشة “فاير تشات” على عدم الكشف عن هوية المرسلين على حساب السرية. فحصنا التطبيق ولم نرَ أي استخدام للتشفير، ممّا جعل خدمة إرسال الرسائل الحساسة غير مناسبة. مع ذلك، فهناك القليل جدّاً من المعلومات التي إن تسربت يمكنها الدلالة على هويّة المستخدمين. على سبيل المثال، فإنّ رقم التعريف (UUID) في الصورة رقم 4 أعلاه فريد ويرتبط فقط بتلك الرسالة وليس بالمرسل. عوضاً عن ذلك، يتم إنشاؤه بشكل عشوائي وقت إرسال الرسالة، كما رأيناه أيضاً في شفرة المصدر المفكوكة التالية:

الصورة رقم 5: شفرة المصدر المفكوكة الذي يسلسل رسالة دردشة "JSON" أعلاه

الصورة رقم 5: شفرة المصدر المفكوكة الذي يسلسل رسالة دردشة “JSON” أعلاه

نظرا لعدم المصادقة في الاتصالات، يمكن لأي شخص قراءة الرسائل، حتى من متصفحه مباشرة من خلال زيارة عنوان الـ”IP” لـ”فاير تشات” على المنفذ 4175. كما هو مبين أدناه، تعرض زيارة عنوان الـ”IP” هذا في المتصفح أحدث رسائل التي أرسلت على إحدى القنوات العامة من “الجميع “:

صورة رقم 6: رسائل الدردشة المعروضة عند زيارة خادم "فاير تشات" على 209.237.236.194:4175

صورة رقم 6: رسائل الدردشة المعروضة عند زيارة خادم “فاير تشات” على 209.237.236.194:4175

الميزة الأكثر إثارة للاهتمام من التطبيق ليس غرف الدردشة على شبكة الإنترنت ولكن وضع “القريب” أي القدرة على الدردشة من طرف إلى طرف آخر حتى عندما لا توجد شبكة اتصالات. هذه الاتصالات أيضاً غير مشفرة. يعرض لنا التقاط بعض البيانات المرسلة عبر “بلوتوث” دردشة بين اثنين من المستخدمين “Andrei” و”Zigzeer”:

صورة رقم 7: التقاط رزم (Packets) الاتصالات في وضع "قريب"

صورة رقم 7: التقاط رزم (Packets) الاتصالات في وضع “قريب”

قد يتوقع المستخدمون بأن يتم تشفير اتصالاتهم، وقد لا يتوقعون ذلك، لأنّه لا توجد مصادقة هويّة للمستخدم وبسبب استخدام أسماء مستعارة. ومع ذلك، يجب الإفتراض أن أي رسالة أرسلت عبر تطبيق يمكن قراءتها من قبل أي شخص ما بين نطاقكم ونطاق المرسل إليه. يمكن أن يحدث هذا سواء رأيتم ─ أم لم تروا ─ مستخدمين آخرين في قناة “القريب” لأنّ حزم “بلوتوث” هي نفسها غير مشفّرة. بالإضافة إلى ذلك، يمكن لمشغلي الشبكة (مثل “ISP” أو مزوّدو شبكة المحمول) رؤية كل من محتوى الرسائل وعناوين الـ”IP”، ممّا يسمح لهم بربطهم مع إسم المشترك الحقيقي ومعلومات المستخدم.

هناك شيء آخر غير واضح في التطبيق وهو استعمال “البث المتعدّد الوجهات” (multicast) لرسائل “UDP” خلال دردشة “القريب”. “البث المتعدّد الوجهات” هو آلية للشبكة تتيح الاتصال من واحد إلى العديد على شبكات الـ”IP”. إذا كنتم تتحدثون مع شخص في وضع “القريب” وتكون الـ”واي فاي” الخاصة بكم مفعّلة فإنّ الرسالة التي ترسل عبر “بلوتوث” ترسل أيضاً عبر “بث متعدّد الوجهات”، بشكل غير مشفّر، على شبكة “واي فاي” التي تتّصلون بها.

صورة رقم 8: مثال عن رزم رسائل "UDP" ذات "بث متعدّد الوجهات" (multicast) في جلسة دردشة في وضع "القريب" مع الـ"واي فاي" مشغّلة

صورة رقم 8: مثال عن رزم رسائل “UDP” ذات “بث متعدّد الوجهات” (multicast) في جلسة دردشة في وضع “القريب” مع الـ”واي فاي” مشغّلة

يجب ملاحظة أنّ فقط الرسائل المرسلة هي التي يتمّ نسخها وإرسالها على الـ”واي فاي”، في حين لا تتمّ هذه العمليّة مع الرسائل الواردة. وهذا يعني أنه إذا أُرسِلَت رسالة من مستخدم متصل بشبكة “واي فاي” عامّة أثناء استخدام دردشة في وضع “قريب”، حتى وإن تمّ إرسال الرسالة باستخدام وضع ” بلوتوث”، سيتم إرسال الرسالة أيضاً بشكلٍ غير مشفّر على الـ”واي فاي”. لذلك، ننصح المستخدمين، إذا كانوا يرغبون في إرسال الرسائل المحلية حصراً أن يكونوا على علم بحالة الـ”واي فاي” على هاتفهم.

تخزين البيانات

يتم تخزين كافة الرسائل التي يتم إرسالها واستقبالها بشكلٍ غير مشفّر على الهاتف في مجلد:

/data/data/com.opengarden.”فاير تشات”/cache/<CHANNEL_NAME>

وهذا يشمل المناقشات التي في “الجميع”، ““فاير تشات”s” و”القريب” في وضع “بلوتوث”. هذا يعني أنه إذا تم فحص هاتف شخص ما، أصبح من السهل استرداد كلّ الأحاديث السابقة، بما في ذلك تلك التي حصلت وهو غير متّصل بالشبكة.

صورة رقم 9: عينة من رسالة من الدردشات التي تحفظ على الهاتف في وضع "قريب"

صورة رقم 9: عينة من رسالة من الدردشات التي تحفظ على الهاتف في وضع “قريب”

كل مستخدم لديه رقم تعريف وتسجيل فريدان من نوعهما، لكن لا يتم إرسالهما مع الرسائل الفردية بل يتم تخزينهما، بشكلٍ غير مشفّر على الهاتف في:

/data/data/com.opengarden.FireChat/shared_prefs/com.opengarden.FireChat_preferences.xml

Further, all channels that a user has joined are stored, unencrypted, on the device at:

/data/data/com.opengarden.FireChat/shared_prefs/

com.opengarden.FireChat.Application.JOINED_FIRECHATS.xml

صورة رقم 10: عينة من ملف joined_firechats الذي يخزن القنوات التي انضم إليها المستخدم

صورة رقم 10: عينة من ملف joined_firechats الذي يخزن القنوات التي انضم إليها المستخدم

إنتحال هوية المستخدمين

بما أن التطبيق لا يتحقق من هوية المستخدمين، لا توجد قيود على مسألة من يستعمل أي اسم. يمكن انتحال هوية المستخدمين ببساطة عبر إنشاء متواليات دردشة بصيغة “فاير تشات” JSON وإرسالها مباشرة إلى خادم “فاير تشات” عبر أداة “netcat”.

ومثال على مثل هذه المتوالية:

{“name”:”zigzeer”,”FireChat”:”Everyone”,”uuid”:”55555555-5555-5555-5555-555555555555″,”msg”:”Hello World!”,”t”:1623.122977}

يمكن لأي فرد استخدام هذا الأسلوب لتغيير اسم المستخدم ورقم تعريفه. يعني ذلك أنكم لا تستطيعون ضمان أن المستخدم الذي بعث برسالة في يوم ما هو نفسه الذي أرسلها في اليوم التالي. هذا الخطر جزء من أي نظام دردشة لا يخضع للتحقق مث. “فاير تشات”.

ممارسات المراقبة في العراق وسياقها

مسألة استخدام أدوات الاتصالات السلكية واللاسلكية غير الآمنة في العراق مثيرة للاهتمام بشكل خاص بسبب التقارير التي تفيد بأن الوكالات المحلية والكيانات الأجنبية تراقب الاتصالات السلكية واللاسلكية في البلاد. في حزيران/ يونيو 2014، نقلت وسائل الاعلام العراقية المحلية عن مسؤولين أمنيين كبار قولهم إن المراقبة على الاتصالات السلكية واللاسلكية في العراق تجريها  لجنة أمنية خاصة تأسست في العام 2013.

وقد حذر وزير الاتصالات العراقي في آذار/ مارس 2011 من أن الاتصالات السلكية واللاسلكية التي يستخدمها أكثر من 90 في المئة من موظفي الحكومة والمسؤولين تتم مراقبتها من قبل هيئات دولية، وحث العراقيين على عدم التواصل بخصوص قضايا حساسة عبر الهاتف. لم يسمِّ الوزير الكيانات التي تقوم بالتجسس، ومع ذلك، فقد اتهم أعضاء البرلمان العراقي صراحة إيران برصد الاتصالات السلكية واللاسلكية في العراق.

في آذار/ مارس 2012، اتهم عضو في البرلمان العراقي إيران بالتنصت على الهواتف المستخدمة من قبل بعض أعضاء البرلمان بالتعاون مع إحدى شركات الاتصالات العاملة في العراق، لم يذكر اسمها. كما طالب عضو البرلمان جميع شركات الاتصالات العاملة في العراق بالتعهد بعدم التعاون مع أي دولة أجنبية، مضيفاً أن إيران يمكن أن تخترق رسائل البريد الإلكتروني التي يتداولها أعضاء البرلمان وغيرهم من الأفراد الذين يعارضون نفوذها في العراق. وقال عضو آخر في البرلمان أن لديه معلومات دقيقة تفيد بأن إيران جندت 40 عاملاً لمراقبة الخطوط الهاتفية ورسائل البريد الإلكتروني من 25 عضواً في البرلمان وسياسيين يعارضون التدخل الإيراني في العراق.

علاوة على ذلك، كشفت لجنة برلمانية في العام 2012 أن معدات اتصالات صينية الصنع وغير مكلفة تتوفر على نطاق واسع في السوق العراقية، على الرغم من القوانين المحلية التي تجرم حيازة مثل هذه المعدات، وتعاقب أولئك الذين يجلبونها إلى البلاد بالسجن لمدة تصل إلى 10 أعوام. أخيرا، تخضع الاتصالات العراقية لمراقبة مكثفة من قبل “وكالة الأمن القومي” الأميركية، وقد أشارت بعض التقارير إلى أن هدف “وكالة الأمن القومي” هو جمع كل رسالة بريد إلكتروني، ورسالة هاتفية نصية، وإشارة تدل على مكان حصول أي مكان مكالمة هاتفية، في الوقت الفعلي لإرسالها.

الجدير بالملاحظة أن عدداً كبيراً ومتزايداً من العراقيين يستعملون تطبيقات دردشة غير آمنة مثل “فاير تشات” في مثل هذا السياق من ممارسات المراقبة الواسعة النطاق، والتي قد تكون عدوانية. يجب أن يكون ذلك مصدر قلق لأي طرف في اتصالات حساسة.

 الجزء الثالث: تطبيق “الدول الإسلامية” على نظام “أندرويد”

فحصنا أيضاً تطبيقاً مرتبطاً بتنظيم “الدولة الإسلامية” إسمه “فجر البشائر”، ظهر تقرير يقول إنه يستعمل حسابات “تويتر” التابعة للأشخاص الذين ينصبونه لنشر رسائل متعلقة بـ”الدولة الإسلامية”.

تمت إزالة التطبيق من “متجر تطبيقات غوغل” في 17 حزيران/ يونيو، وصرح متحدث باسم “غوغل”، قائلاً “نحن نزيل أي تطبيقات تخرق المبادئ التوجيهية لمجتمعنا”.

وقد وجدت أبحاثنا أن التطبيق لا يتصل تلقائياً  بحساب “تويتر” الخاص بالمستخدم ليغرد بالنيابة عنه، على عكس ما ذكرت بعض التقارير. بدلاً من ذلك، تم بناء التطبيق باستخدام AppYet، وهي أداة على شبكة الإنترنت تسمح بإنشاء تطبيقات “أندرويد” بسيطة تعرض تغذية بالمعلومات من المواقع أو من “آر إس إس/ أتوم”. بعد أن يحدد المستخدم بعض التفاصيل الأساسية حول التغذية التي يريد أن يدرجها، يتم إرسال ملف APK عبر البريد الالكتروني، يمكن أن يوزع ووضع على “متجر غوغل للتطبيقات”. لدى المستخدمين القدرة على تشارك القصص المعروضة من هذه التغذيات، ولكن لا يحدث هذا إلا إذا إلا بتفعيل من قبل المستخدم.

يقوم التطبيق بمجرد تنصيبه بتخزين روابط “آر إس إس/أتوم” في قاعدة بيانات “SQLite” اسمها “data2.db” موجودة على جهاز “أندرويد” في /data/data/com.pashaeer.myapp/databases/ .

تحتوي  قاعدة البيانات على ستة جداول غير فارغة:  android_metadata(موضع المخازن الإعدادات المحلية)، Module (تخزن الاسم، اسم المجموعة، الأيقونة)، sqlite_sequence، Feed (يسرد روابط RSS وروابط مواقع الإنترنت لكل مجتزأFeedItem ( (تغذيات فردية من المصدر)، وFileCache (صور مخزنة مؤقتاً).

التحقيق الأوسع في التطبيق يسمح أوثق دراسة محددة يغذي يستخدم التطبيق لعرض المعلومات للمستخدمين. يتم عرض روابط “آر إس إس/ أتوم” التالية من قبل التطبيق، والتي يتم سردها هنا جنباً إلى جنب مع الاسم المرتبط بها، ورابط الموقع وصورته:

Untitled-1

ضمنّا عناوين المواقع الموجودة في هذا التطبيق في فحص “الفلترة” تم وصفه في الجزء الأول، لم نجد أنه تم حجب أي منها.

خاتمة

تظهر الأحداث منذ آخر تقرير نشرناه أن الوصول إلى المعلومات في العراق يبقى مهدداً إلى حد كبير. فيما الوصول المستقر إلى محتوى الإنترنت – بل والإنترنت نفسها – لا يزال في حالة تغير مستمر، من المفهوم أن يبحث المستخدمون عن وسائل بديلة للاتصال والحصول على المعلومات. ومع ذلك، في مثل هذا السياق من الفوضى، يمكن اتخاذ أسوأ الاختيارات على أساس معلومات غير كاملة، ويمكن للمستخدمين في نهاية المطاف وضع أنفسهم عن غير قصد في خطر أكبر من خلال السعي للتهرب من الضوابط المعلومات على عجل. ارتفاع شعبية “فاير تشات” في العراق مثال على ذلك: الأداة غير آمنة وظيفياً، وهو أمر قد اعترف حتى المطورون به، إلا أن المستخدمين لا يزالون يسارعون إلى استعماله. ستواصل “سيتزن لاب” مراقبة الوضع ونشر آخر التحديثات حول النتائج التي توصلنا إليها.

بيانات
ويمكن الاطلاع على القائمة الكاملة للبيانات من هذه الاختبارات في  خازنة GitHub.

 شكر وتقدير

أجرى البحوث وكتب هذا التقرير ياكوب دالك، آدم سنِفت، فيليب ونتر، واندريه درانكا، بدعم من مجلس البحوث العلوم الاجتماعية والإنسانيات –  كندا (منحة 430-2014-00183)؛ الباحث الرئيسي البروفيسور رونالد جي ديبرت.