الغد 24 خبر الغد تقرأه اليوم

 خلفيات اتهام المغرب بالتجسس على صحافيين ورؤساء ومسؤولين


أمين رغيب
مدون وخبير في الأمن المعلوماتي
 
 
في هذا المنشور، أحببت أن أوضح بعض النقاط التي عاينتها في اتهامات المغرب بالتجسس على بعض الصحافيين!

أولا، أود أن أؤكد أن رأيي هو رأي تقني محض، ولست مدافعا عن أي جانب (أنا بعيد من هاذ الشي)!

ثانيا، التقرير الذي يتهم المغرب بالتجسس على الصحافيين تم معاينته من طرفي وصديق يعمل كمتخصص في مجال الأمن المعلوماتي في إحدى كبريات شبكات التواصل الاجتماعي.

بعد زعم التقرير، بناء على قيام بعض المختصين في التحقيق الجنائي الرقمي بفحص بعض هواتف صحافيين، أنهم تعرضوا إلى هجوم EVIL Twin BTS. هذا الأخير سبق وشرحته كدرس على قناتي، بل وقمت بمحاضرات حول هذا الموضوع في المغرب. ولم نشرحه نظريا فقط بل بالتطبيق في محاضرات بجامعات مغربية. نفس مضمون المحاضرة، عندما رغبت في طرحها في تونس، بعد توصلي بدعوة من إحدى المؤسسات، تم منعي من دخول التراب التونسي، وشرعوا في إجراءات ترحيلي لولا تدخل كوادر في الأمن التونسي، حيث تم السماح لي بدخول التراب التونسي مع منعي من طرح تلك المحاضرة. وهذا له دلالة كبيرة...

من جهة أخرى، هذا النوع من الهجمات متعارف عليه ومن السهل اتهام أي دولة بالقيام به. وليس شيئا مبهرا بالنسبة لأي متخصص! لكن الصعب في العملية هو تقديم أدلة تقنية دامغة بأن جهات حكومية/استخباراتية مغربية وراء هذا الهجوم، وليس هجوما من قبل أطراف معادية للمغرب بالنظر إلى سهولة تنفيذ عملية هجوم من قبل أفراد متخصصين دون صفة استخباراتية/حكومية. هذا الشيء الذي يفتقر إليه هذا التقرير والذي اقتصر فقط على شرح الهجوم ولم يقدم ولو نصف دليل مادي. بل كل الاتهامات مبنية على افتراضات.

كما توجد عدد من الهجمات RCE [0-DAY] التي من الممكن شنها عن بعد وبدون أي تفاعل من طرف الضحية، وهي أكثر احترافية وأبسط تعقيدا من تحميل Exploit إلى هاتف الضحية عن طريق تلغيم نقطة اتصال وهمية وبدون ترك آثار...

كما أن التقرير تحدث عن وصول كامل للهواتف، أي RCE، وهو ما سيكون من قبيل السذاجة عدم حذف logs، لأن أبسط قواعد الاختراق أن يتم حذف الآثار.

في التقرير، تم ذكر موقعين مختلفين على أساس أنهما مواقع تجسسية تم اكتشافها في هواتف الضحايا!

في استعمالنا اليومي للهاتف، فنحن نمر بالعديد من المواقع الخبيثة. مثال بسيط: فأنت عندما ترغب بمشاهدة فيلم مقرصن تنبثق العديد من الإعلانات، وقد تتحايل عليك بعض المواقع بطرق متنوعة على النقر على بعض الروابط الاحتيالية. فمن منا لم تظهر له رسالة "هاتفك أندرويد تم اختراقه قم بالنقر هنا من أجل حماية هاتفك"...

فقد يكون سهوا أو عدم دراية من الضحية لكي ينقر على هذه الروابط. لكن السؤال المطروح هنا: ما هي العلاقة الوطيدة بين تلك المواقع المكتشفة وبين تجسس جهة معينة على هواتف الصحافيين؟ وقد اكتفى التقرير بذكر أنه عندما يتم فتح متصفح الضحية ينبثق موقع خبيث (هاد الشي راه الوالدة ديالي وكيوقع ليها في تيليفونها)...

فلا يعقل أن تتحمل جهة معينة مسؤولية النشاطات الغير الاعتيادية للبعض!. التقرير كذلك يفتقر إلى براهين دامغة تدفع أي تقني إلى تصديق هذا الكلام...

في التقرير، أيضا، ذُكر أن الهجوم كان على مرحلتين، المرحلة الأولى انتهت بعدما تم اكتشاف الهجوم، والمرحلة الثانية أثناء تحليل الهاتف. أليس من الغباء أن يقوم المهاجم باستهداف ضحية وهو على علم بالعملية الجارية لتحليل الهاتف؟ (نحن نتحدث عن اختراق احترافي وليس أطفال هكرز يعبثون)! ثم ألم تقم الجهة المحللة للهاتف بعملية تحليل "المالوير" أو محاولة عمل "هندسة عكسية" له؟

أما بالنسبة لتغير "الضومين"، فذلك أمر متعارف عليه في عالم "السبام"، حيث المتصفحات تقوم بتحديثات دورية وتقوم بمنع الروابط الخبيثة، لذلك يتم تغيير الروابط باستمرار.

وعليه، بالنسبة لي كمتخصص ولي خبرة في مجال التحقيق الجنائي الرقمي، كل ماتم ذكره في هذا التقرير يحتاج إلى المزيد من الحجج التقنية لكي نصدق هذه الرواية، فالشك لا يعطي الحق في الاتهام، إذ من السذاجة بناء اتهامات على حساب الشك...