قامت شركة الاتصالات السعودية “موبايلي” بالتواصل مع أحد المخترقين الأخلاقيين “موكسي مالرينسبايك” طالبةً مساعدته في تنفيذ مشروع لمراقبة عدد من تطبيقات الموبايل وفقا لما ذكره موكسي على مدوّنته.

ولا يبدو غريباً أن تقوم شركة “موبايلي” بالتواصلmobily مع شخص مثل موكسي، المتخصص في مجال اعتراض المعلومات ومراقبتها، حيث قام في العام 2009 بكتابة برنامجين يقومان بتنفيذ هجمات MITM اللذان يقومان بتحويل البيانات من HTTPS المشفرة إلى HTTP مما يسهّل عملية مراقبة البيانات.

ويذكر موكسي: “ليس غريباً أن أتلقى رسائل إلكترونية تطلب مساعدتي في الاختراق أو المراقبة وأتجاهلها، إلا أن عنوان الرسالة (حلّ لمراقبة البيانات المشفرة في شركة اتصالات) قد شد انتباهي.”

ويضيف: “كنت مهتماً بمعرفة التفاصيل، وماذا يريدون أن يفعلو بالتحديد، لذا قمت بالرد على رسالتهم، وبعد أسبوع من المراسلات، عرفت أنهم يريدون برنامج لمراقبة بيانات كل من تطبيقات تويتر وفايبر ولاين وواتساب”

المسؤول عن هذا المشروع في “موبايلي” هو ياسر الرحيلي المدير التنفيذي لقسم أمان الشبكة والمعلومات.

وتتضمن أحد مخططات المشروع التي قامت الشركة بتصميمها، أنها ستجبر السلطات القضائية في السعودية أو الإمارات لإصدار شهادات SSL مزورة تتيح لهم مراقبة البيانات. وفي جزء آخر من المخطط يشير إلى نقاش حول إمكانية شرائهم ثغرات لهذه الشهادات.

 Moxie Marlinspike

مكافحة إرهاب ال140 حرفاً!

حين طلبت “موبايلي” من موكسي تقديم عرض سعر للمشروع، وأبدى لهم عدم اهتمامه بالمشروع لما فيه من انتهاك لخصوصية المستخدمين جائه الرد:

“أدرك جيداً ماتفكر به ولديّ الأفكار ذاتها حول الحريّة واحترام الخصوصية، إلا أنه للحقيقة، السعودية لديها مشكلة كبيرة جداً تتعلق بالإرهاب، والإرهابيون يقومون باستخدام هذه الخدمات والتطبيقات للتواصل، ونشر إرهابهم، هذا ما يجعلنا نطلب مساعدتك. لكن إذا كنت غير مهتم، فإنك بشكل غير مباشر تقوم بمساعدة هؤلاء الأشخاص بممارسة نشاطهم الإرهابي”.

يتسائل موكسي ساخراً “الحكومة السعودية تريد مراقبة تغريدات الأشخاص على التويتر لمكافحة الإرهاب؟ إرهاب التغريدات؟!”.

ويختم موكسي: “فيما أنه من الواضح أن هذه الرسالة سخيفة، لكنها تضعنا مواجهة الخيارات:

التفجيرات أم الثغرات؟ الإرهاب أم الأمان؟ نحن أم هم؟”

ويضيف: “قد يتميز هذا الأسلوب بالشفافية، لكن لو كنت في مكانهم وأخيّر العالم، لكنت قلت: السلطة أم الشعب؟”

أمان التطبيقات المستهدفة!

يقول موكسي أنه كان باستطاعته مساعدتهم في مراقبة التطبيقات المشار إليها، لكن فيما يتعلق بتطبيق “تويتر” الذي كان موكسي مشاركاً في كتابة برمجيته. فإنه يقول أنه لا يمكن مراقبة بياناته وهو آمن.

أما فيما يتعلق ببقية التطبيقات، واتساب وفايبر فيمكن مراقبتهم بسهولة، فيما لا يشير إلى لاين، لكنه فينصح باستبدالهم بتطبيقي TextSecure للمراسلة النصية المشفرة و RedPhone للمكالمات الصوتية المشفرة والذي كنا قد نشرنا في سايبر أرابز مقالاً يشرح استخدامه، تستطيعون قرائته هنا.