كيف تقوم الحكومة البحرينية بإسكات المعارضين المتخفين على الإنترنت  

منذ تشرين الأول/ أكتوبر 2012، قامت الحكومة البحرينية باعتقال 11 ناشطاً على الإنترنت لقيامهم بنشر تغريدات على موقع تويتر تستهدف ملك البحرين بعبارات مثل “الطاغية” و”الساقط”، وادّعت الحكومة أن نشر تغريدات كهذه يشكّل مخالفة لقانون العقوبات البحريني الذي يحظر “الإساءة” إلى الملك.

آليات الكشف عن الناشطين

يقوم الناشطين السياسيين بإخفاء هويتهم الحقيقية لتفادي الاعتقال والتعذيب بسبب انتقادهم للحكومة، مما لا يثير الدهشة أن تقوم الحكومة البحرينية بالقيام بكشف هويتهم الحقيقية.

وتبيّن التحليلات أنّ من كان ينفّذ هذه الهجمات بحق الناشطين هي وحدة مكافحة الجريمة الإلكترونية التابعة لوزارة الداخلية.

1

انتحال الشخصية وتتبع رقم الـ IP:

قام أشخاص تابعين للحكومة البحرينية بإنشاء عدة حسابات على شبكات التواصل الاجتماعي، منتحلة أسماء شخصيات معروفة في المعارضة، أو شخصيات قد تبدو موثوقة لدى الناشطين، هذا الانتحال للشخصية كان يتم بإنشاء حسابات مع إضافة رقم أو حرف زائد لهذا الحساب، أو عبر استبدال حرف بآخر شبيه له، فالحرف I (كبير) والحرف L (صغير) على الإنترنت يبدوان متطابقين، فتم استغلال هذا الموضوع لإنشاء هذه الحسابات لتتبع رقم عنوان بروتوكول الإنترنت (الـ (IP الخاص بالناشطين، ولكن كيف كان يتم ذلك؟

تتيح العديد من المواقع هذه الخدمة، مثل موقعي  ip-spy.com وiplogger.org اللذين يقدّمان للجهة التي تحاول التجسس على الناشطين إمكانية توليد روابط خبيثة، وبمجرد النقر عليها من قبل الناشطين، يجري تنبيه الجهة المهاجمة عبر البريد الإلكتروني بعنوان بروتوكول الشخص الذي نقر على الرابط.

تقوم فيما بعد الجهة المتجسسة بالطلب إلى مزود خدمة الإنترنت بالكشف عن مكان صاحب رقم الـ IP هذا ومن ثم مداهمة مكان وجوده لاعتقاله.

لقطة تظهر بعض المواقع التي تتيح تتبع عنوان بروتوكول الإنترنت

جدول بالمواقع والروابط المتفرّعة عنها التي تقوم بتقديم خدمة تتبع رقم الـ  IP

الموقع المقدّم للخدمة

الروابط المتفرّعة عنه

http://whatstheirip.com

bvog.com

hondachat.com

youramonkey.com

http://iplogger.org

iplogger.org

2no.co

http://iplogger.ru

iplis.ru

http://www.fuglekos.com

fuglekos.com

http://ip-spy.com

http://ip-spy.com

http://www.myiptest.com

myiptest.com

ولكن تجدر الإشارة إلى أن هذه الخدمة لم يكن يتم الاعتماد عليها كلياً من قبل الحكومة، حيث يشير أحد التقارير إلى أنه هناك على الأقل 120 حالة اعتقال لأشخاص معارضين للحكومة، وموالين لها أيضاً. قد يحدث أحياناً أن يستخدم شخص عادي حاسوباً عاماً في مقهى انترنت، كان قد استخدمه ناشط سياسي مستهدف، ونقر على الرابط الذي يتيح التتبع.

لم تكن دائماً عقوبات هذه الحالات السجن، ففي بعض الحالات تعرض الأشخاص إلى الطرد من الوظيفة فقط. كما حدث مع سامي عبد العزيز حسان، لنشره تغريدات من حساب مجهول ضد إدارة شركته، التي قامت بتتبعه حتى استطاعت الكشف عن هويته وطرده.

3

أنواع روابط التتبع:

بشكل عام، هناك أربع أنواع لهذه الروابط، ولكن تتميز كافتها بأنها تقوم بتسجيل رقم الـ IP للمستخدم الذي يقوم بالنقر عليها.

النوع الأول: يقوم بتنبيه المستخدم أنه تم تتبعه، وتم رصد حالة وحيدة لهذا النوع من الروابط التي قامت بعرض هذه النتيجة:

4

وتقول الرسالة: “أنت قرد، جرى إرسال عنوان الـ IPالخاص بك وموقعك الجغرافي عبر البريد الالكتروني إلى الجهة التي أرسلت إليك هذا الرابط.”

النوع الثاني: تم تصميمه ليوحي للمستخدم بأنه لا يوجد شيء مثير للريبة في الرابط حيث يقوم بعرض رسالة خطأ، في هذه الصفحة تم تضمين “كود” خبيث يقوم بتسجيل رقم الـIP.

5

النوع الثالث: تم تصميمه بحيث لا يوحي للمستخدم بأي نشاط مثير للشك، حيث يقوم بعد النقر عليه بتحويله إلى موقع آخر يستخدم عناوين مختصرة شبيهة بـ “bit.ly” و ”  .”goo.gl

الطريقة الوحيدة لكشف هذه العناوين هي إطالة هذه العناوين عبر مواقع مثل longurl.org.

للتوضيح أكثر سنقوم بتحليل أحد هذه الروابط، الذي تم إرساله إلى مراقب حقوق الإنسان سعيد يوسف @SAIDYOUSIF حيث تم استخدام الرابط: http://t.co/wrwJRMK5، عند النقر عليه سيقوم بعملية إعادة تحويل تلقائي (Redirect) إلى العنوان http://2no.co/2z7C هذا الرابط يقوم أيضاً بعملية إعادة تحويل إلى الموقع http://www.al-mahdi.org/ahl_albait/al-shaheed.htm الذي يقوم بتسجيل عنوان الـIP عبر زرع “كود” معيّن في الصفحة لا يظهر للمستخدم.

النوع الرابع: يشبه النوع الثالث إلى حد كبير ولكن من تضمين “الكود” الخبيث في الموقع الأخير، يتم تضمين صورة تقوم بتسجيل عنوان الـ IP. هذه الصورة يتم إنشاؤها من أحد مواقع التتبع.

إحدى الخدمات التي تتيح تضمين صورة خبيثة في “كود” التغريدات هي Richtweets

6

وسائل أخرى للمراقبة:

بالإضافة إلى خدمات تتبع مكان عنوان الـIP، لجأت حكومة البحرين إلى عدد من الطرق للإيقاع بالمستخدمين، يذكر من هذه الطرق:

1-    الصفحات المزوّرة:

قامت الحكومة بتصميم عدة صفحات مزوّرة تشبه إلى حد كبير صفحات المواقع المعروفة مثل تويتر، حيث يقوم المستخدم بوضع بياناته فيها كاسم المستخدم وكلمة السر، وعند النقر على تسجيل الدخول يتم إرسال هذه البيانات إلى الجهة التي قامت بوضع هذه الصفحة. يمكن ملاحظة الاسم المكتوب TVVITER عوضاً عن Twitter.

7

2-    ملفات خبيثة

لوحظ أن عدد من الحسابات التي يُشكّ بأنها تابعة للحكومة نشرت روابط لملفات تم تحميلها على موقع mediafire، وتبدو هذه الملفات على أنها مستندات نصيّة.

هذه الملفات التي استطعنا إحصاءها هي:

رقم هوية ميديافاير

اسم الملف

الحسابات التي استهدفت

0i3uuwo55zom0hu

official-Jail.doc

@COALITION14

@RashedKhalifa

@Defensebh

@tariqalhassan

@bah_leaks

@Khalqoon

@KamalAhmedsPA

يمكن التكهن بأن نحو 20 إلى 40 مستخدماً من البحرين، والكويت، والعراق، ورومانيا، والولايات المتحدة قامواً بالنقر على هذا الرابط

k65cg77auadc5ac

DownAlkhalifa.docx

@Takrooz

37vvl6ionj7gefr

أمير سعودي يلهو مع بنات الشات.doc

قامت ضحية غير معروفة بالنقر على هذا الرابط، الذي يبدو أنه أرسل إلى حساب فيس بوك

 

الصلة بين هذه الحسابات والحكومة البحرينية:

يقدم موقع MyIPTest.com خدمة تتيح لأي شخص تلقى رابط تجسس على عنوان الـ IP الخاص به رؤية عناوين الـ IP الخاصة بالمستخدمين الذين نقروا على الرابط. بتحليل عدد من الروابط تبين أن هناك عنوان مستخدم قام بالنقر على كل الروابط عدة مرات، وتبين أنه يعود إلى أحد مراكز الأمن البحرينية.

أيضاً في وقت سابق توضح لموقع “بحرين ووتش” دليل بأن الحكومة البحرينية تقف وراء هذه المحاولات للكشف عن النشطاء، حيث قام حساب على فيس بوك باسم “Sabreena Ahmed” والمرتبط بحساب على تويتر باسم sabreena30، بمشاركة مقال من مدوّنة تدعى “Cyber Crime Unit”، تمت مشاركة هذا الرابط بتاريخ: 6 تموز/ يوليو 2011، الساعة 6:01، وبالعودة إلى التدوينة نفسها وتاريخ نشرها، تبيّن أنه قد تم نشرها على المدوّنة باللحظة نفسها مما يدلّ على أن صاحب هذه المدوّنة هو الشخص نفسه صاحب الحساب Sabreena Ahmed.

8

9

بالعودة إلى التدوينة المنشورة، بعد التحرّي عن هويّة الكاتب فيها، تبيّن أنه يدعى “Usman Fazal” ويعرّف عن نفسه أنه يعمل كمحلّل حاسوب جنائي في الجيش، وبريده الإلكتروني [email protected]

10

بالبحث عن اسمه في موقع Linkedin، تبين التالي:

11

وكما هو مذكور، أنه يعمل في وحدة مكافحة الجريمة الإلكترونية التابعة لوزارة الداخلية (كما سبق وذكرنا في بداية التقرير).

بالعودة إلى حساب فيس بوك الخاص بـ “Sabreena Ahmed” الذي استعمل لمشاركة المقال، تبين أن صاحب الحساب قام بالإعجاب بصفحة تدعى “MY OWN STUDY”،

12

 

والبريد الإلكتروني في معلومات هذه الصفحة[email protected] يتضمن اسم الشخص نفسه وهو عثمان فضل .Usman Fazal

13


أخيراً: إدارة حساباتك
م المجهولة بأمان:

لحماية حساباتكم من التتبع والمراقبة والإبقاء على هويتكم المجهولة، تستطيعون قراءة دليل الأمان الرقمي من موقع “سايبر آرابز” باللغتين العربية والإنكليزية عبر زيارة صفحة “كتيّبات تعليمية” من قائمة “مصادر” أعلاه.

كما قام موقع BahraiWatch الذي قمنا بترجمة جزء من تقريرهم هنا، بكتابة دليل للأمان الرقمي باللغتين العربية والإنكليزية.

لقراءة الدليل بالعربي من هنا

لقراءة الدليل بالإنكليزي من هنا

لقراءة التقرير الأصلي:  https://bahrainwatch.org/ipspy/viewreport.php