هيئة الإتصالات السعودية:

تهديد بالرقابة والحجب وحلم التحكم بالإنترنت!

عبدالله العلي

خبير في أمن المعلومات

خرجت علينا هيئة الإتصالات السعودية منذ أسبوعين بقرارات غريبة مليئة بالتخبط والفهم الخاطىء لكيفية إدارة الإنترنت وكيفية عمل التطبيقات فيها، وكأنها للتو إكتشفت أن العديد من تطبيقات الهواتف ومواقع الإنترنت أصبحت مشفرة ومحمية بشكل إفتراضي او اختياري على الأقل ،من جوجل وتويتر والفيسبوك وأمازون ومواقع البنوك والبورصات العالمية والهوتميل والياهو والجيميل والفيسبوك والواتساب والفايبر وحتى موقع سايبركوف ويأتي هذا التشفير في أغلب المواقع والتطبيقات اليوم شرط أساسي لثقة الناس بهذه الخدمات، فهي تحميهم من تجسس وإختراق الهاكرز والمخربين، ومن مراقبة شركات الإتصالات والإنترنت سواءاً المحلية أو الأجنبية والتي تعبر من خلالها هذه البيانات، حتى تصل لوجهتها.

فالأمن الشخصي اليوم أصبح مهماً جداً والبيانات التي يتناقلها الناس في هذه التطبيقات تعتبر في العديد من الحالات خاصة وحساسة كما قد تحتوي على العديد من الصور والرسائل والوثائق التي لا يمكن بحال من الأحوال أن تسمح لأحد بالإطلاع عليها، خاصة في ظل انتشار الإختراقات والهاكرز والجواسيس في كل مكان، أضف الى ذلك أن أغلب الحكومات الخليجية لا تأمن على حماية بنيتها التحتية ومواقعها الإلكترونية والتي تحتوي بيانات حساسة او خاصة وتجلس مواقعهم عشرات الساعات وهي مخترقة من هاكرز أجانب حتى يتم الإلتفات لها وإصلاحها ثم التسلل بخفية وكأنه شيئاً لم يمكن وكأن الناس لم تسمع بالخبر!

اليس الأجدر بهم أن يصدرو بياناً يوضحوا فيه ماذا حصل وماهي البيانات التي فقدت !؟ كما هو القانون الأمريكي الذي يلزم الجهات الحكومية والشركات الخاصة بكشف عمليات الإختراق ومشاركتها بالعلن، حتى لو أضر هذا بسمعتها، كما حدث مع إختراق جوجل من قبل هاكرز صينيين بعملية Operation Aurora وإختراق تويتر ومايكروسفت وغيرها كثير.

لكنها الفوضى التقنية التي تعيشها دول الخليج والتي تعطي الأولوية للأمور التافهة والثانوية (مع كونهم عاجزين عنها)، ويتناسون الأمور الهامة والتي قد تتسبب بكوارث تقنية لهم في المستقبل، كما حصل مع أرامكو على سبيل المثال.

عندما شاهدت القرار السري والعاجل جدا (المسرب) من هيئة الإتصالات السعودية والمرسل الى شركات الإتصالات ورأيت صياغته وطريقة كتابته، رأيت فيه عدة أمور تلفت النظر، فإما أن هذا القرار عبارة عن ورقة (مزيفة) تم نشرها من مجهول لإثارة ضجة مؤقته.. وإما أنها ورقة صحيحة تم تسريبها بشكل متعمد (حيث أنه من النادر تسريب وثائق سرية بالمملكة خاصة في نفس اليوم) لقياس ردة الفعل ثم إتخاذ القرار بناءا عليه، كما أن أسلوب الكتابة والصياغة والأوامر الموجودة في (القرار المسرب) واضح أنه خرج من جهة أمنية وليس هيئة إتصالات، قد يكون من الظريف هنا أن مقر هيئة الإتصالات السعودية يجاور (مقر الإستخبارات العامة). على كل حال الكثير من هيئات الإتصالات فيها مكتب خاص بالأمن.

ثم ما لبث الأمر أن انتشر في الصحف السعودية و تبنته قناة العربية ثم زاد الأمر واتسع وانتشر في كل مواقع العالم والصحافة الدولية (ربما لم يكن هذا بالحسبان).

ومن المضحك أن هيئة الإتصالات السعودية خاطبت شركات الإتصالات وبشكل عاجل وسري ثم أمهلتها مدة أسبوع واحد لـفرض (السيطرة الأمنية) على هذه التطبيقات أو حجبها إذا لم تتعاون مع (الأنظمة الأمنية والرقابية في المملكة). فأي سيطرة أمنية تتحدثون عنها؟! هل تريدون من شركات طوكيو وواشنطون وكاليفورنيا أن تخضع وتغير سياساتها وإتفاقياتها التي تمت صياغتها عبر مستشارين ومحامين وقانونيين أمريكيين لتتوافق مع التعديل الرابع من الدستور الأمريكي الخاص بالـحقوق والحريات ثم وافق عليها المستخدمون.. لتكون على مزاجكم بغير قانون وسلطان، وخلال أسبوع واحد أيضا؟! ولماذا تخاطب شركات الإتصالات الشركات الأم وباي صفة؟ اليس الأجدر ان تخاطبها جهه حكومية على الأقل.. اما وضع شركات الإتصالات بوجه المدفع لتتفاوض مع شركات خارجية بأمور ليس لها فيها ناقة ولا جحش فلا طائل منه.

هذا القرار أصلا مخالف للقوانين والدساتير والقوانين الدولية حتى، والتي تؤكد على حفظ خصوصية المستخدمين وحفظ سريتهم، بل أصبح التشفير وحفظ الخصوصية شرط أساس غير قابل للنقاش، وهو أول سؤال يسأله مستخدمو الإنترنت عند الدخول باي خدمة جديدة. ويجب أن يكون جزءاً من مهمة هيئة الإتصالات السعودية أنها تحرص على حماية بيانات المواطنين وان تنصحهم بإستخدام التطبيقات المشفرة بدلا (التهديد بالمراقبة والحجب والمنع).

بالإضافة أن العقلية الأجنبية في التعامل مع البيانات تختلف كثير عن العقلية العربية، فالأجانب يهتمون جدا بهذا الجانب والشركات تخاف من انتهاك اي خصوصية للمستخدمين، وتراهم يوضحون بشكل تفصيلي وكامل لكيفية تعاملهم مع البيانات وكيفية حمايتهم للخصوصية. وسنوضح ذلك عند مناقشة سياسة الخصوصية في تطبيق الواتساب WhatsApp الشهير.

ثم خرجت علينا قناة العربية بخبر عجيب ومفاجىء ونقلا عن خبير تقني أن (الجهات الأمنية السعودية) قادرة على مراقبة محتويات ورسائل برنامج (الواتساب – WhatsApp). يذكر أن الخبير التقني قد تراجع (مشكوراً) بتويتر عن أقواله بعد اللقاء بساعات.. إلا أن قناة العربية لم تنشر التراجع، فواجهتني الكثير من الأسئلة من المتابعين.

وبما أن تطبيق الواتساب يعتبر من أشهر التطبيقات في الهواتف ولا يكاد يخلو منه هاتف اليوم، اخترت أن يكون الأول بالقائمة للرد على تقرير العربية.

كنت قد عايشت قبل سنة ونصف تقريباً قصة مع برنامج الواتساب عندما كنت أنا وأخي صالح السند نتفحص التطبيقات للتأكد من أمنها وحمايتها وتشفيرها وكنا كلما فحصنا برنامج منهم كتبنا عنه بتويتر وعن حمايته، وكان الواتساب وقتها غير مشفر وكانت تستطيع شركات الإتصالات معرفة (محادثاتك ورقمك ورقم من تحدثة ونوع المحادثة ومدتها والروابط التي نشرتها بالواتساب ومن ضغط عليها والصور التي نشرتها وموقعك اذا كنت شاركته مع شخص آخر).. وكل شيء من النشاطات داخل البرنامج كانت تستطيع شركات الإتصالات والإنترنت والأجهزة الأمنية مراقبته ومشاهدته.. مما أصابنا بالصدمة وقتها، ونشرت عنه العديد من التغريدات التي تحذر من إستخدام البرنامج، وتحدثت في العديد من اللقاءات التلفزيونية حول خطورة إستخدام البرامج على الخصوصية، وانتشر الكلام بشكل كبير بين الناس، واستوعبوا الخطورة.

ثم قمنا بعدة حملات ضد شركة الواتساب وطالبناها بتشفير الإتصالات في البرنامج. الحملة الأولى كانت عبر تويتر بنشر مئات التغريدات والتي تفاعل معها المتابعون بشكل ممتاز، ثم قمنا بإرسال الإيميلات بالمئات، ثم حملة أخرى من داخل التطبيق، ثم تم منع التطبيق في متجر الوندوز لعدم تشفيره، وتحدثت عنه عدة مواقع، وقام هاكر أسباني بعمل برنامج يتجسس على الواتساب ويشاهد محادثات الناس.. فخضعت الشركة وقررت تشفير البرنامج وغيرت من سياستها بشكل جيد يتوافق مع قوانين حماية الخصوصية.

ثم راجعنا فحصة وتأكدنا من أن التطبيق (آمن ومشفر) ولا يمكن لشركات الإتصالات والإنترنت أن تتلصص على محادثات ولا أن تعرف محتواها، وجل ما يمكنها معرفته هو (أن صاحب الرقم الفلاني) يستخدم برنامج الواتساب وقام بمراسلة الرقم الفلاني.. حيث أن ظهور الأرقام وإرتباطاتها غير مشفرة، أما المحادثات نفسها والصور المتناقلة فهي مشفرة بتشفير SSL مع برتوكول XMPP وسمته شركة الواتساب FunXMPP Over SSL، وأصبح التطبيق آمناً الآن.

ولكن هل تستطيع شركة الواتساب أن تطلع على الرسائل أو ان تزود السلطات السعودية بها لو طلبت، وهل تستطيع تزويد المحاكم الأمريكية بها لو لزم الأمر؟ هذا سؤال مهم؟

يجب أولا أن تعرف أن الدستور الأمريكي (التعديل الرابع الخاص بالحقوق والحريات) يحمي الخصوصيات بشكل كبير ولا يعطي صلاحيات التفتيش والكشف عن البيانات الخاصة لأي أحد ولا حتى أجهزة الشرطة إلا بإذن محكمة، وفي قضية لها أسبابها الموضوعية والمقنعة، وهي في العادة صعبة الحصول. أنا أتحدث هنا عن Search Warrant وهي أعلى أمر للتفتيش، وتحتاج توقيع قاض فيدرالي، ومحكمة مختصة، ويحتاط فيها القضاء الأمريكي كثيرا بعكس أوامر المحاكم مثل Court Orders والتي تحتاج أيضا لأمر قضائي ومحكمة مختصة، ولكنه أقل درجة، كما يختلف عن مذكرات الإستدعاء Subpoenas وهي أقل درجة من كليهما.

وعلى كل حال لن يقوم الواتساب بمشاركة معلوماتك الخاصة إلا وفق سياسته في جمع المعلومات والتي تمت بالإتفاق بينك وبينه. لذلك يجب أن نعرف كيف يقوم الواتساب أصلا بجمع معلوماتك، وكيف سيزودها للقضاء أو الجهات المعنية، وهل يمكن أن يتعاون؟ ومدى هذا التعاون؟ وهذه نقاط تلخص سياسة جمع المعلومات بشركة الواتساب:

شركة الواتساب شركة أمريكية مقرها في كاليفورنيا وتخضع للقانون الأمريكي ومحاكم كاليفورنيا في النزاعات القانونية، وكل المشتركين في الخدمة يخضعون لقانون كاليفورنيا ومحاكمها.

إتفاقية الإستخدام (شروط الخدمة) تنص على أن العقد والإتفاق يكون بين شركة الواتساب ومستخدم الخدمة مباشرة بدون وسيط. هنا تريد هيئة الإتصالات السعودية حشر نفسها؛ وفي هذا مخالفة لإتفاقية الإستخدام.

ما هي المعلومات التي تجمعها عنك شركة الواتساب في حالة إستخدمت البرنامج:

• معلومات جهازك المحمول مثل النوع والموديل.

• معلومات شخصية مثل رقم هاتف وجهات إتصالك وحالتك في البرنامج.

• وقت الدخول والخروج من البرنامج وتغيرات حالتك، ولغة البرنامج.

• الروابط واللنكات التي تمت مشاركتها بالبرنامج يتم معرفتها وجمعها بشكل عام ولا يتم ربطها لك.

• معلومات المتصفح ورقم الآي بي – IP – الخاص بك وفي كل مره يتغير يتم معرفته.

المعلومات التي لا يجمعها عنك الواتساب:

• لا يقوم البرنامج بجمع عنوانك ولا عناوين البريد الموجودة بجهازك وجهات إتصالك.

• لا يقوم البرنامج بجمع وتحديد مكانك الحقيقي الا في حالة مشاركة مكانك مع شخص آخر بالبرنامج.

ماذا عن المحادثات وهي الأهم هنا وفيها تفصيل:

• كل محادثاتك عبر تطبيق الواتساب تنتقل عبر سيرفرات الشركة بشكل مشفر وآمن ولا يمكن لشركات الإتصالات الإطلاع عليها واعتراضها.

• شركة الواتساب لا تقوم بالإطلاع ولا بتخزين محتويات المحادثات في سيرفراتها وكل محادثاتك يتم حذفها فور وصولها للطرف الآخر، في هذه الحالة يتم تخزينها بجهازك وجهاز الشخص الذي تتواصل معه ويمكنك حذف هذه المحادثات او ارسالها لنفسك بالإيميل، او في حالة استخدام برنامج الآيتونز مثلا لعمل نسخة إحتياطية، اما الشركة نفسها فقد ذكرت وكررت مرارا أنها لا تقوم بتخزين اي محادثات خاصة بالمستخدمين حماية لخصوصيتهم.

• في حالة إرسالك لرسالة لم تصل الى الطرف الآخر (يعني علامة صح واحدة فقط) فإن الرسالة تبقى في سيرفرات شركة الواتساب لمدة 30 يوماً حتى تصل للطرف الآخر، واذا لم تصل للطرف الآخر خلال 30 يوما يتم مسحها كلياً.

• في حالة تم إختراق شركة الواتساب، لن يتمكن الهاكرز من مشاهدة اي محادثات لأنها لا تُخزن بأي من مواقع وسيرفرات الشركة.

• في حالة طلبت محكمة أمريكية لبياناتك في الواتساب، فإن أقصى ما يمكن اعطاءه للمحاكم هو رقم هاتفك وحالتك وصورتك في البرنامج وأوقات الدخول والخروج وجهات إتصالاتك، أما المحادثات فلا يمكن للشركة تزويدها للمحاكم لعدم إحتفاظ الشركة بها.

وهذه ليست فقط في الواتساب بل العديد من شركات الخدمات الأمريكية لا تقوم بتخزين المحادثات ولا يهم القضاء تفاصيل المحادثات وأنما يهمه أوقات الدخول والخروج والـ Time Stamp ثم يتم استخراج الأدلة ضدك من خلال الأجهزة التي يتم مصادرتها في حال إتهامك. والناظر في موقع وزارة العدل الأمريكية وأيضا موقع جهاز التحقيقات الفيدرالي الـ FBI ـ حيث يتم نشر العديد من القضايا والتحقيقات والتي يمكن لأي شخص قراءتها والإطلاع عليها ـ فإنه يجد واضحا أنهم لا يعتمدون بشكل كلي على هذه الشركات لكونها في العديد من الأحوال تطلب إجراءات قانونية معقدة وقد ترفض. لذلك يلجأ جهاز التحقيقات لوضع الكمائن وخداع المشتبه به حتى يتم إدانته بشكل أكبر مع وجود أدلة مادية على إدانته، وهذا واضح جدا في قضية الهاكرز الـ 24 الذين تم خداعهم واستدراجهم.

أما مجرد محادثة ونشر كلام لا يعجب مسؤول او وزير في الواتساب وفي محادثة خاصة، فهذا شأن خاص لا يتدخل فيه أحد. لذلك تلجأ الدول العربية ـ رغم تخلفها تقنيا وإداريا ـ لإعتراض هذه المراسلات والبيانات من جهتها وتخزين هذه المحادثات عندها أثناء عبورها لسيرفرات الشركات الأم لكي يطلعوا عليها، ويشبعوا غريزتهم بالتجسس والتشكيك في ذمة كل شخص، او ابتزازه مستقبلاً وتشويه سمعته عندما يخرج عن المسار الذي يريدونه. فعندما تم تشفير هذه المحادثات والإتصالات، وقعت الدول العربية في ورطة عويصة، واصبحت تحت رحمة الشركات الأمريكية التي لا تخضع ـ في الغالب ـ الا للمحاكم الأمريكية.

هل ستتعاون شركة الواتساب مع هيئة الإتصالات السعودية وتعطيها المحادثات، وما هي طريقة المراقبة؟!

هناك عدة أحتمالات:

أولا: أنها لن تتعاون وهو الأقرب، لمخالفة الأمر لشروط الخدمة وسياسة الخصوصية ومعارضته للقانون الأمريكي.

ثانيا: أنها تتعاون لكن عن طريق المحاكم الأمريكية، وبحسب شروط الخدمة، ويكون نوع التعاون لكل قضية على حدة، وليس جمع معلومات عن الكل ومراقبة الجميع، هذا الأمر لا يحصل بالدول المتقدمة.

ثالثا: انها تتعاون مع هيئة الإتصالات السعودية بشكل مباشر ولكن بالمعلومات التي تملكها فقط، كما حددتها سابقا، وليس المحادثات؛ لأن الشركة لا تخزنها أصلا ولا تحتفظ بها عندها، وهذا لن يعجب السعودية والعقليات العربية عموما الذين يريدون معرفة ما يعرفه عنك رقيب وعتيد.

رابعا: أن تتعاون الشركة بشكل كلي وتعطي هيئة الإتصالات السعودية مفاتيح التشفير، ومن خلالها ستتمكن الحكومة السعودية من مراقبتك بشكل كلي وكامل، وتعرف كل حرف كتبته وكل كلمة استقبلتها، وهذا بعيد جدا وصعب، ولكنه أيضاً وارد كإحتمال، في هذه الحالة ينصح بترك الخدمة فوراً.

هل هناك خدمات بديلة وآمنه يمكن إستخدامها؟!

نعم هناك العشرات من خدمات التواصل الآمن وبنفس طريقة الواتساب سنستخدمها كبديل، وسنقوم بموقع سايبركوف لاحقا بنشر البرامج الآمنه والمشفرة بعد فحصها والتأكد من تشفيرها وأمنها.