27-يناير-2022

لما فقيه (يمين) في مؤتمر صحفي في بغداد عام 2019 (Getty)

هيومان رايتس ووتش- بيان 

 

قالت "هيومن رايتس ووتش" اليوم إن استهداف موظفة لديها ببرمجية التجسس "بيغاسوس" يؤكد الحاجة الملحة إلى تنظيم التجارة العالمية في تكنولوجيا المراقبة. على الحكومات حظر بيع وتصدير ونقل واستخدام تكنولوجيا المراقبة حتى تُطبَّق ضمانات حقوقية.

هيومان رايتس ووتش: على الحكومات حظر بيع وتصدير ونقل واستخدام تكنولوجيا المراقبة حتى تُطبَّق ضمانات حقوقية

استُهدفت لما فقيه، مديرة قسم الأزمات والنزاعات ومديرة مكتب بيروت في هيومن رايتس ووتش، ببرمجية التجسس بيغاسوس خمس مرات بين أبريل/نيسان وأغسطس/آب 2021.

بيغاسوس برمجية تجسس تطورها وتبيعها شركة "إن إس أو غروب" ومقرها إسرائيل. تُحمَّل البرمجية خلسة على الهواتف الخلوية. بمجرد تحميلها على الجهاز، يصبح الزبون قادرا على تحويله إلى أداة مراقبة قوية من خلال الوصول الكامل إلى الكاميرا، والمكالمات، والصور ومقاطع الفيديو، والميكروفون، والبريد الإلكتروني، والرسائل النصية، وغيرها من الخاصيات، ما يتيح مراقبة الشخص المستهدف وجهات الاتصال.

قالت ديبرا براون، باحثة ومدافعة أولى في مجال الحقوق الرقمية في هيومن رايتس ووتش: "تستخدم الحكومات برمجيات التجسس التي تطورها إن إس أو غروب لمراقبة وإسكات الحقوقيين، والصحفيين، وغيرهم ممن يكشفون الانتهاكات. السماح لها بالعمل دون عقاب بوجود أدلة قاطعة على الانتهاكات لا يُقوّض جهود الصحفيين والمنظمات الحقوقية لمحاسبة أصحاب السلطة فحسب، بل يُعرّض أيضا من يحاول حمايتهم لخطر جسيم".

تُشرف لما فقيه، وهي مواطنة أمريكية-لبنانية، على الاستجابة للأزمات في دول مثل سوريا، وميانمار، وإسرائيل/فلسطين، واليونان، وكازاخستان، وإثيوبيا، ولبنان، وأفغانستان، والولايات المتحدة. يشمل ذلك توثيق وفضح الانتهاكات الحقوقية والجرائم الدولية الخطيرة أثناء النزاعات المسلحة، والكوارث الإنسانية، والاضطرابات الاجتماعية أو السياسية الشديدة. قالت هيومن رايتس ووتش إن هذا العمل ربما جذب انتباه حكومات مختلفة، بمن فيهم بعض عملاء إن إس أو المشتبه بهم.

قالت لما فقيه: "ليست صدفة أن تستخدم الحكومات برمجيات تجسس لاستهداف النشطاء والصحفيين، وهم الذين يكشفون عن ممارساتها التعسفية. يبدو أنها تعتقد أنّ ذلك يساعدها على تعزيز سلطتها، وإسكات المعارضة، وحماية تلاعبها بالحقائق".

في 24 نوفمبر/تشرين الثاني 2021، أخطرت "آبل" لما فقيه عبر البريد الإلكتروني، ورسائل "آي مسج" (iMessage)، وتنبيه على شاشة تسجيل الدخول إلى هوية آبل (AppleID) بأن مهاجمين تدعمهم إحدى الدول قد استهدفوا هاتفها الـ آيفون الشخصي. تأكد فريق أمن المعلومات في هيومن رايتس ووتش من اختراق أجهزة آي فون الحالية والسابقة الخاصة بلما فقيه بـ بيغاسوس بعد تحليل جنائي للأجهزة. راجع فريق مختبر الأمن في "منظمة العفو الدولية" التحليل وأكد النتائج.

اختُرق هاتفَا لما فقيه باستغلال ثغرة "زيرو-كليك" (zero-click)، ما يعني أن الجهازين اختُرقا دون أن تفعل صاحبتهما أي شيء، مثل النقر على رابط. هذه تقنية هجوم متطورة، ومعقدة، وفعالة في اختراق الأجهزة ويصعُب أيضا على المُستهدَف اكتشافها أو منعها. 

يُضاف استهداف هيومن رايتس ووتش بـ بيغاسوس إلى القائمة المتزايدة باستمرار من النشطاء الحقوقيين، والصحفيين، والسياسيين، والدبلوماسيين، وغيرهم ممن تعرضت أجهزتهم للاختراق بواسطة برمجية التجسس في انتهاك لحقوقهم. في يوليو/تموز 2021، كشف مشروع مشترك نسقته "فوربيدين ستوريز"، وهي مؤسسة إعلامية غير ربحية مقرها باريس، وبدعم فني من العفو الدولية، أن برمجية بيغاسوس قد استُخدمت لاختراق أجهزة عشرات النشطاء، والصحفيين، وشخصيات معارضة في دول متعددة. حدد المشروع المشترك عملاء محتملين لـ إن إس أو في أذربيجان، والبحرين، والمجر، والهند، وكازاخستان، والمكسيك، والمغرب، ورواندا، والسعودية، وتوغو، والإمارات.

اختُرق هاتفَا لما فقيه باستغلال ثغرة "زيرو-كليك" (zero-click)، ما يعني أن الجهازين اختُرقا دون أن تفعل صاحبتهما أي شيء، مثل النقر على رابط

خلال الأشهر الثلاثة الماضية وحدها، كشفت التحقيقات عن استخدام بيغاسوس لاختراق أجهزة ستة نشطاء حقوقيين فلسطينيين، وأربعة نشطاء من المجتمع المدني الكازاخي، و11 مسؤولا في السفارة الأمريكية في أوغندا، وشخصيتين من المعارضة البولندية، وعضو في فريق تحقيق حقوقي مستقل تابع لـ "الأمم المتحدة" في اليمن، وناشطة حقوقية في البحرين، وناشطة حقوقية في الأردن، و35 صحفيا وعضوا في المجتمع المدني في السلفادور، من بين آخرين.

ردا على أدلة على استخدام بيغاسوس لاستهداف الحقوقيين والصحفيين والمعارضين، قالت إن إس أو غروب مرارا إن تقنيتها مرخصة لاستخدام وحيد يتمثّل بتزويد الحكومات ووكالات إنفاذ القانون بالقدرة على مكافحة الإرهاب والجريمة بشكل قانوني، وإنها لا تشغّل برمجية التجسس التي تبيعها لزبائنها التابعين للحكومات.

ردت إن إس أو غروب على طلب هيومن رايتس ووتش للتعليق قائلة إنها "ليست على علم بأي زبون نشط يستخدم تقنياتها ضد موظفة في هيومن رايتس ووتش" وأنها ستفتح تقييما أوليا بشأن ادعائنا لتحديد ما إذا كان يتوجب فتح تحقيق. قالت الشركة إنها تأخذ "أي ادعاء بإساءة استخدام نظامها ضد أحد المدافعين الحقوقيين على محمل الجد"، وأن إساءة الاستخدام هذه تنتهك سياساتها وشروط عقودها مع العملاء. أحالتنا إلى سياسة المبلغين عن المخالفات وتقرير الشفافية، اللتين تحددان كيف تستجيب الشركة لهكذا ادعاءات.

قالت هيومن رايتس ووتش إن الإجراءات الأخيرة التي اتخذتها الحكومات وغيرها ضد شركات المراقبة خطوات إيجابية، لكن هناك حاجة إلى تنظيم حكومي منسق وأكثر طموحا للسيطرة على صناعة تكنولوجيا المراقبة المزدهرة التي تضم إن إس أو غروب وغيرها. ينبغي للحكومات تطبيق تجميد على بيع، وتصدير، ونقل، واستخدام تكنولوجيا المراقبة حتى تُطبّق ضمانات حقوقية.

قالت براون: "على الحكومات التحرك بناء على الأدلة الدامغة للانتهاكات الحقوقية التي يتسبب فيها البيع غير المقيّد لتكنولوجيا المراقبة في جميع أنحاء العالم. المدافعون الحقوقيون يطالبون بالتنظيم، والشركات الكبرى تجري ملاحقات قضائية، بينما الحكومات تتقاعس عن اتخاذ إجراءات حاسمة ضد قطاع برمجيات التجسس، في تهديد خطير لحقوق الإنسان الأساسية".

للاطلاع على التحليل الفني لعملية استهداف لما فقيه، وتفاصيل تطوير تقنية المراقبة والإجراءات الأخيرة التي اتخذتها الشركات والحكومات ضد شركات برمجيات التجسس، يرجى مواصلة القراءة أدناه.

الإجراءات الأخيرة المتخذة ضد شركات برامج التجسس

في الأشهر الأخيرة، بدأت الشركات والحكومات في اتخاذ خطوات ضد شركات برمجيات التجسس. في 19 يوليو/تموز 2021، في أعقاب تقرير "مشروع بيغاسوس"، أعلنت "أمازون ويب سيرفيسيز" أنها عطلت حسابات التخزين السحابية المرتبطة بـ إن إس أو غروب. في 3 نوفمبر/تشرين الثاني، أعلنت وزارة التجارة الأمريكية قرارها بإضافة إن إس أو غروب و"كانديرو"، شركة أخرى مقرها إسرائيل تنتج برمجيات تجسس، إلى قائمة القيود التجارية (قائمة الكيانات)، "لعملها  بما يتعارض مع السياسة الخارجية ومصالح الأمن القومي للولايات المتحدة".

يحظر القرار تصدير أي نوع من الأجهزة أو البرمجيات من الولايات المتحدة إلى إن إس أو غروب وكانديرو دون ترخيص خاص من وزارة التجارة الأمريكية. بينما لا يحظر القرار قانونيا الدعم المالي أو التقني، فإنه يدرج فعليا الشركتين على القائمة السوداء في الولايات المتحدة.

في 9 سبتمبر/أيلول 2021، دخلت القواعد المحدثة لـ "الاتحاد الأوروبي" لتصدير تكنولوجيا المراقبة حيز التنفيذ. لا تذهب اللوائح إلى المدى الذي أرادته الجماعات الحقوقية، مثل حظر بيع تكنولوجيا المراقبة للحكومات المسيئة. لكنها تتطلب من "مفوضية الاتحاد الأوروبي" الإبلاغ علنا عن عدد طلبات تراخيص التصدير لكل نوع من أنواع تقنيات المراقبة، لكل دولة عضو، ووجهة التصدير. كما أنها تُضيف المخاطر على حقوق الإنسان كمعيار يجب مراعاته عند منح رخصة التصدير. قالت هيومن رايتس ووتش إنه يجب زيادة تأثير القواعد الجديدة من خلال تفسير موسع وتطبيق صارم.

في نوفمبر/تشرين الثاني، بدأت آبل بإخطار المستخدمين الذين تشتبه في أنهم قد استُهدفوا بهجوم برمجيات تجسس برعاية الدول، ما أدى إلى الإشعار الذي تلقته لما فقيه.

في 23 نوفمبر/تشرين الثاني 2021، رفعت آبل دعوى قضائية ضد إن إس أو غروب وشركتها الأم بسبب مراقبة واستهداف مستخدمي آبل. يأتي ذلك بعد دعوى قضائية رفعتها "واتساب" بشأن مزاعم عن استخدام برمجية تجسس طورتها إن إس أو غروب لاختراق 1,400 مستخدم للتطبيق في 2019.

تاريخ طويل من الانتهاكات باستخدام برمجيات التجسس

أبلغت المنظمات الحقوقية، والأكاديميون، والصحفيون عن استخدام الحكومات لبرمجيات التجسس التجارية لانتهاك الحقوق لأكثر من عقدين.

تشمل تقنية المراقبة المباعة تجاريا الأجهزة والبرمجيات والخدمات، لتمكين المراقبة السرية وغير السرية بواسطة الأنظمة الرقمية بهدف مراقبة البيانات، واستخراجها، وجمعها، وتحليلها. نظرا لتزايد اعتماد الناس على الأدوات والتقنيات الرقمية بشكل كبير خلال العقدين الماضيين، ازداد اهتمام العديد من الحكومات بتكنولوجيا المراقبة. تطوير تقنيات المراقبة أكثر تقدما وتطفلا زاد أيضا من المخاطر التي تشكلها إساءة استخدام التقنيات على حقوق الإنسان.

يمكن لتقنيات المراقبة التجارية تأدية مجموعة متنوعة من الوظائف، بما فيها استخراج البيانات خلسة من الأجهزة الشخصية؛ تتبع الموقع، والذي قد يحتوي على معلومات حساسة وكاشفة لهوية الشخص، وموقعه، وسلوكه، وارتباطاته، وأنشطته؛ الفحص العميق للحزم، والذي يُمكّن من مراقبة وتحليل وإعادة توجيه حركة مرور الإنترنت ويمكن استخدامه لاختراق  الأجهزة ببرمجيات ضارة ومنعها من الوصول إلى مواقع إلكترونية معينة؛ وتقنية التعرف على الوجه والتعبيرات، والتي تسعى إلى التقاط واكتشاف سمات وجه الشخص أو استنتاج عواطفه أو نواياه من تعبيرات الوجه، بناء على أنظمة تصنيف مشكوك فيها للغاية.

يقع مقر العديد من الشركات التي تبيع برمجيات التجسس التجارية في الولايات المتحدة، وكندا، وأوروبا، وبريطانيا، وإسرائيل، رغم أن الغموض الذي يعمل بموجبه قطاع المراقبة التجارية يجعل من المستحيل معرفة النطاق الكامل لمدى انتشارها.

استهداف أجهزة موظفة في هيومن رايتس ووتش

أخطِرت أبل في 23 و24 نوفمبر/تشرين الثاني 2021 لما فقيه، مديرة قسم الأزمات والنزاعات في هيومن رايتس ووتش عبر البريد الإلكتروني، ورسائل آي مسج، والتنبيه على شاشة تسجيل الدخول إلى هوية آبل بأن مهاجمين مدعومين من إحدى الدول قد استهدفوا هاتفها الـ آيفون الشخصي.

أكدت عبير غطاس، المديرة المساعدة لأمن المعلومات في هيومن رايتس ووتش، أن إخطارات آبل حقيقية، ثم أجرت تحليلا جنائيا على جهازي الـ آيفون الحالي والسابق لـ لما فقيه والمرتبطين بنفس هوية آبل لتحديد ما إذا كانت الأجهزة مخترقة. أشار تحليل هيومن رايتس ووتش إلى اختراق جهازين (آيفون  12وآيفون إكس إس) ببرمجية التجسس بيغاسوس التابعة لـ إن إس أو غروب.

أظهر فحص السجلات آثار العمليات على كلا الجهازين والتي ربطتها أبحاث مختبر الأمن لدى العفو الدولية سابقا ببرمجية بيغاسوس الخاصة بـ إن إس أو غروب.

شاركت هيومن رايتس ووتش بيانات التحليل الجنائي مع مختبر الأمن لدى العفو الدولية، والذي راجع النتائج وأكدها بشكل مستقل. (انظر النتائج التقنية الرئيسية أدناه)

التوصيات

توصي هيومن رايتس ووتش بما يلي لمواجهة المخاطر العالية لسوء الاستخدام المرتبط بجميع تقنيات المراقبة:

  • على الحكومات أن تفرض فورا تجميدا لبيع، وتصدير، ونقل، واستخدام تكنولوجيا المراقبة حتى توضع ضمانات حقوقية مناسبة، وعليها أيضا الكشف عن أي عقود حالية أو استخدام راهن لمثل هذه التكنولوجيا.
  • على الحكومات تطبيق أطر العقوبات ذات الصلة، مثل "نظام الاتحاد الأوروبي العالمي للجزاءات المتعلقة بحقوق الإنسان" و"قانون ماغنيتسكي العالمي للمساءلة عن حقوق الإنسان" في الولايات المتحدة، ضد شركات برمجيات التجسس التجارية المسؤولة عن الانتهاكات الحقوقية الجسيمة أو المتواطئة فيها بهدف حرمانها من التمويل أو البنية التحتية التقنية اللازمة لها للعمل حتى تُثبت تلك الشركات اتخاذها تدابير محددة أو تُظهر تغييرا في سياساتها من شأنه إنهاء الانتهاكات الحقوقية أو التي أدت إلى العقوبات.
  • على الحكومات أن تضمن خضوع أي استخدام لتكنولوجيا المراقبة في بلدانها للقوانين المحلية التي تسمح فقط باستخدام تلك التكنولوجيا وفقا للمعايير الحقوقية الدولية المتصلة بقانونية، وضرورة، وتناسبية، وشرعية الأهداف. على الحكومات تطبيق تلك القوانين بشكل هادف أو إصلاحها عند الحاجة؛ وإزالة العوائق القانونية أو أي عوائق تحول دون سعي ضحايا المراقبة غير القانونية إلى الانتصاف الفعال؛ والتأكد من توفر مسارات قضائية وغير قضائية للضحايا للحصول على تعويض للضرر الذي ربما تسببت فيه تقنية المراقبة.
  • على الحكومات عدم السماح باستئناف بيع وتصدير ونقل تكنولوجيا المراقبة إلا عندما يكون لديها أطر قانونية قابلة للإنفاذ تفرض بذل العناية الحقوقية الواجبة وتحول دون وصول تكنولوجيا المراقبة إلى حكومات لا ضمانات لديها لحقوق الإنسان. ينبغي إدراج الحكومات التي أظهرت تجاهلا جوهريا لحقوق الإنسان ونمطا من الاستخدام التعسفي للتكنولوجيا في قائمة "عدم البيع".
  • على الحكومات أيضا الطلب من الشركات الخاصة الموجودة في بلدانها الإفصاح عن المعلومات المتعلقة بالمنتجات والخدمات المقدمة، ونتائج العناية الواجبة المنتظمة، ومبيعاتها وصادراتها، بما في ذلك هوية الزبائن، والزبائن المحتملين الذين رُفضوا لعدم استيفائهم المعايير الحقوقية أو الحوكمة الرشيدة. على الحكومات إنشاء رقابة مستقلة لمراقبة امتثال الشركات الخاصة للعناية الواجبة ومتطلبات الشفافية، وعليها إتاحة هذه المعلومات في السجلات العامة. ينبغي أن يكون شراء الأجهزة الأمنية لتكنولوجيا المراقبة في أي بلد شفافا بحيث يمكن أن يخضع للنقاش العام.
  • بهدف تشجيع المساءلة، ينبغي للخبراء المعنيين المرتبطين بالأمم المتحدة وآليات حقوق الإنسان الإقليمية، مراقبة، والتدقيق في، استخدام الحكومات لبرمجيات التجسس ومبيعات الشركات لتلك البرمجيات وإبلاغ الدول الأعضاء عن الانتهاكات التي تنطوي على استخدام برمجيات التجسس هذه.

 

موارد للتحقق مما إذا كانت الأجهزة مُخترقة بـ بيغاسوس:

  • خط المساعدة للأمن الرقمي التابع لـ "أكسس ناو": https://www.accessnow.org/help
  • الاتصال بفريق أمن منظمة العفو الدولية على share@amnesty.tech (للصحفيين والنشطاء الحقوقيين)
  • مشروع مجموعة أدوات التحقق من اختراق الهواتف المحمولة "إم في تي" على "غِت هب": https://github.com/mvt-project/mvt
  • كيفية إجراء نسخة احتياطية من الأجهزة التي تعمل بنظام آي أو إس وتحليلها بالمقارنة مع مؤشرات اختراق الجهاز بـ بيغاسوس باستخدام "دوكر" وإم في تي: https://defensive-lab.agency/2021/07/pegasus-ios-forensic

 

 

 

اقرأ/ي أيضًا: 

صربيا تقوم بترحيل معارض بحريني رغم رفض المحكمة الأوروبية لحقوق الإنسان

مونيكا بورغمان تتسلّم الجائزة الفرنسية-الألمانية لحقوق الإنسان وسيادة القانون