في ٢٥ سبتمبر ٢٠٢٠، كشفت منظمة العفو الدولية في تقرير صادر عن مختبر الأمن الرقمي التابع لها عن تطورات جديدة بشأن استخدام النظام المصري لبرمجيات مراقبة وتجسس تستهدف النشطاء والمدافعين عن حقوق الإنسان. كانت منظمة العفو الدولية قد اكتشفت عينات من برمجية FinSpy التي تُنتجها شركة FinFisher Gmbh الألمانية، وكشفت عن ارتباطها بمجموعة من المهاجمين التي عُرفت بـاسم “نايل فيش”، وهي المسؤولة عن أكبر هجمة تقنية منظّمة وغير مسبوقة استهدفت منظمات المجتمع المدني والنشطاء والمدافعين عن حقوق الإنسان في مصر. حيث يُشير التقرير إلى أن مجموعة نايل فيش قد استخدمت تحديث وهمي من برنامج فلاش أدوب لتنزيل برمجية FinSpy الخبيثة لاستهداف أنظمة التشغيل العاملة بتوزيعات جنو/لينكس وماك أو إس وميكروسوفت ويندوز وأندرويد.
وفي ٢١ سبتمبر، كشف موقع “المنصة” أحد المواقع الصحفية المصرية المستقلة، في تقرير مشترك مع مؤسسة Qurium عن استخدام معدات ساندفين Sandvine في مصر بهدف ممارسة حجب المواقع الالكترونية واستخدام تقنية الفحص العميق للحزم في البنية التحتية لبعض مقدمي خدمات الإنترنت والاتصالات في مصر وهذه التقنية تُعطي لمقدمي خدمة الإنترنت القدرة على الحصول على معلومات عديدة حول سلوك المستخدمين بالإضافة لإمكانية منع الاتصال أو التلاعب به أو ممارسة المراقبة خاصة إن كان الاتصال غير مُعمّى. وقد بدأت الحكومة المصرية موجة موسعة لحجب المواقع منذ ٢٠١٧ وما تزال مستمرة، حيث بلغ عدد المواقع المحجوبة حتى الآن ٦٢٨ موقعا بما فيها ١١٦ موقعا صحفياً واعلامياً.
لا تعتبر هاتين الحادثتين هما الوحيدتين في مصر؛ فالأنظمة المتعاقبة على مصر قد عمدت إلى الحصول على برمجيات التجسس ومراقبة الإنترنت والاتصالات. يُقدّم هذا المقال سردًا لبرمجيات التجسس والمراقبة المقدمّة من شركات ربحية خاصة والتي لعبت دورًا مباشرًا في تمكين وتوسيع الرقابة والتجسس والقمع في مصر وأهم النصوص القانونية ذات الصلة الموجودة في التشريعات المصرية.
برمجيات التجسس والمراقبة
فيما يلي أهم البرمجيات التي استخدمتها السلطات المصرية في السنوات الأخيرة لاستهداف النشطاء والمعارضين ومؤسسات المجتمع المدني وحقوق الإنسان.
برمجية التجسس FinFisher
في٢٠١١ اقتحمت مجموعة من المتظاهرين مقرات تابعة لجهاز أمن الدولة، وقد وجدوا وثائق تُثبت تورط السلطات المصرية في شراء برمجية التجسس FinFisher من إنتاج شركة بريطانية Gamma Group استوردت البرمجية عبر شركة MCS Holdings وهي شركة مصرية محلية، كوكيل لشركة Gamma Group. تُمكّن هذه البرمجية أجهزة الأمن المصري من مراقبة الاتصالات بما في ذلك المكالمات الهاتفية والرسائل القصيرة ورسائل البريد الإلكتروني وتطبيقات الدردشة وتسجيل ما يحدث حول أجهزة الحاسب الآلي عن طريق الكاميرا المرتبطة بها.
برمجية ProxySG
في ٢٠١٣، استوردت السلطات المصرية برمجية ProxySG من شركة Blue Coat Systems الأمريكية عبر وكيلها في مصر، شركة Systems Engineering Of Egypt. هذه البرمجية تُتيح للسلطات المصرية استخدام تقنية الفحص العميق للحزم التي تتيح قدرات هائلة من بينها تحديد الموقع الجغرافي للمستخدمين والتتبع ومراقبة وتصفية محتويات الإنترنت بشكل جماعي غير موجّه واختراق تطبيقات الواتس آب وفيبر وسكايب والعديد من البرامج الأخرى.
منظومة قياس الرأي العام
في ٢٠١٣، أعلنت وزارة الداخلية المصرية عن إجراء مناقصة بهدف توريد وتشغيل برمجيات تهدف إلى مراقبة النشاط الرقمي على شبكة الإنترنت. جاء المشروع الذي أعلنت عنه الوزارة تحت عنوان “مشروع رصد المخاطر الأمنية لشبكات التواصل الاجتماعي – منظومة قياس الرأي العام”.
نصّت كراسة الشروط الخاصة بالمناقصة على أن البرمجيات المطلوبة لوزارة الداخلية يجب أن تكون قادرة على مراقبة وتحليل الشبكات الاجتماعية فيسبوك وتويتر ويوتيوب وانستجرام ولينكدن وفايبر وواتساب، وإمكانية إضافة مواقع أخرى مستقبلًا، بالإضافة إلى قدرة البرنامج للتعامل مع الملفات النصّية المختلفة وتحليل المفردات الواردة بها.
وفي نفس العام، كُشف عن فوز شركة Systems Engineering Of Egypt بتعاقد مع وزارة الداخلية المصرية يتعلق بمراقبة مواقع التواصل الاجتماعي في مصر، مُتغلبة على شركات أخرى مثل Gamma Group البريطانية وNarus الإسرائيلية. ويُرجّح أن يكون هذا التعاقد هو نفس مناقصة “مشروع رصد المخاطر الأمنية لشبكات التواصل الاجتماعي – منظومة قياس الرأي العام”.
Vortex و Cortex
في ٢٠١٤، زوّدت شركة Ercom الفرنسية السلطات المصرية بعدّة وسائل لاعتراض الاتّصال، أطلق عليها Vortex، بالإضافة لبرمجية تحفظ وتعالج المعلومات، تسمى Cortex. يُمكّن استخدام كل من Vortex و Cortex المخابرات العسكرية المصرية من اعتراض المكالمات والرسائل النصية ومراقبة حركة الإنترنت أو تحديد الموقع الجغرافيّ لهدفٍ ما.
إساءة استخدام شهادات SSL/TSL الرقمي
في ٢٠١٥، نشرت شركة جوجل بيانًا عن أن شركة MCS Holdings المصرية -وهي نفس الشركة التي استوردت برمجية FinFisher لأجهزة الأمن المصرية سابقًا- قد أساءت استخدام تقنية شهادات SSL/TSL الرقمية، بعد يوم واحد من امتلاكها، وهي شهادات تستخدم لحفظ خصوصية الاتصالات، وكذلك لتوثّيق هويات الأطراف المتواصلين.
استغلّت شركة MCS Holdings الشهادة الرقمية لإجراء اعتداء إلكتروني من نوع man-in-the-middle attack وهو هجوم يسمح لها بالنفاذ إلى حزم البيانات أثناء تمريرها عبر الشبكة بين المرسل والمستقبل، بما يتضمن إمكانية الاطلاع على المحتوى الذي يقرأه المستخدمون، وكذلك مراسلاتهم الخاصة، وبياناتهم الشخصية، وانتحال هويّات المواقع والأفراد، والاستحواذ على بيانات سريّة.
هاكينج تيم
في ٢٠١٥، أظهرت الوثائق المُسرّبة من شركة Hacking Team الإيطالية قيام السلطات المصرية بشراء برنامج Remote Control System، وهو برمجية قادرة على مراقبة اختراق الحواسيب الآلية والهواتف المحمولة التي تعمل بأنظمة تشغيل ويندوز ولينكس وآي أو إس و أندرويد وبلاكبيري وويندوز فون.
وتُتيح برمجية Remote Control System التجسس على التطبيقات والمكالمات الصوتية والرسائل النصية ورسائل البريد الإلكتروني واستخدام الكاميرا والميكروفون المدمجة بالأجهزة وتطبيقات الدردشة والتجسس على الملفات المُخزّنة على الأجهزة وتحديد الموقع الجغرافي والتجسس على ما يكتب بلوحة المفاتيح لالتقاط صور لشاشة الأجهزة والمواقع التي يتم تصفحها.
Cerebro من شركة Amesys
في ٢٠١٧، اشترت دولة الإمارات العربية المتحدة برمجية التجسس Cerebro من إنتاج شركة Amesys – غيّرت الشركة لاحقا اسمها إلى Nexa Technologies- وقدمته للحكومة المصرية. وهذه البرمجية تُتيح للسلطات المصرية مراقبة شاملة للاتصالات عبر تقنية Deep Packet Inspection بما في ذلك المكالمات الصوتية والرسائل النصية ورسائل البريد الإلكتروني والرسائل الفورية، وشبكات التواصل الاجتماعي المختلفة وعمليات البحث على محركات البحث.
Pegasus من شركة NSO الاسرائيلية
في ٢٠١٨، كشفت تقارير تقنية عن استخدام الحكومة المصرية لبرمجية التجسس Pegasus من إنتاج شركة NSO الإسرائيلية، والبرمجية تعمل عبر الاحتيال على الشخصَ المستهدف للضغط على رابط خبيث ومخصّص، والذي حالما يضغط عليه، فإنه يحاول استغلال سلسلة من الثغرات غير المعروفة “zero-day” لاختراق ميزات الحماية الرقمية على الهاتف وتحميل “Pegasus” دون علم أو إذن المستخدم. حالما يتم تحميل “Pegasus” على الهاتف، فإنه يبدأ بالاتصال بمركز التحكم (C&C) لاستقبال وتنفيذ أوامر المشغّل، ويرسل البيانات الخاصة بالشخص المستهدف، بما في ذلك المعلومات الخاصة، كلمات المرور، جهات الاتصال، التقويم، الرسائل النصية، والمكالمات الصوتية المباشرة من تطبيقات المراسلة الخاصة بالموبايل. يمكن للمشغل حتى أن يشغل كاميرا الهاتف والمايكروفون لالتقاط وتسجيل النشاط في المحيط الذي يتواجد به الهاتف.
Sandvine PacketLogic
في ٢٠١٨، رُصد استخدام جهاز Sandvine PacketLogic، حيث تم العثور على middle boxes لاستخدام تقنية الفحص العميق للحزم على واحدة من شبكات الاتصالات المصرية. هذه الاجهزة تم استخدامها لإعادة توجيه مستخدمي العديد من مزودي خدمة الإنترنت إلى إعلانات وسكربتات تعدين عملات رقمية.
القوانين والتشريعات المصرية تُقنِّن المراقبة والرقابة
يشكل استخدام هذه البرمجيات انتهاكاّ صارخا للحق في الخصوصية وحرية الوصول إلى الإنترنت وحرية التعبير عن الرأي وخاصة في ظل غياب ضوابط تشريعية وقضائية الذي يجعل من البيانات الشخصية والمكالمات والاتصالات الخاصة بين الأفراد أمراً مستباحا للسلطات المصرية. وعلى الرغم من أن الدستور المصري يَنُص في المادة 57 على حماية الخصوصية وسرية الاتصالات والمراسلات في مصر إلاّ أن هناك العديد من النصوص القانونية التي تُجيز للسلطات ممارسة مراقبة واسعة النطاق على المستخدمين المصريين، أبرزها:
- تُقنن المادة الثانية من قانون مكافحة جرائم تقنية المعلومات المراقبة الشاملة على الاتصالات في مصر، حيث تُلزم شركات الاتصالات بحفظ وتخزين بيانات استخدام العملاء لمدة 180 يومًا. وتشمل البيانات التي تُمكِّن من التعرُّف على المستخدم، والبيانات المتعلقة بمحتوى ومضمون النظام المعلوماتي، وتلك المتعلقة بحركة الاستخدام وبالأجهزة المُستخدمة. ما يعني أنه سيكون لدى مقدمي خدمات الاتصالات بيانات توضِّح كل الممارسات التي يقوم بها المستخدم، فعلى سبيل المثال المكالمات الهاتفية والرسائل النصية، وكل البيانات المتعلقة بهما والمواقع التي يزورها، والتطبيقات المستخدمة على الهواتف الذكية والحواسيب.
إضافة إلى ذلك، يُلزم القانون شركات الاتصالات بالالتزام بأي “بيانات أخرى يصدر بتحديدها قرار” عن مجلس إدارة الجهاز القومي لتنظيم الاتصالات. مما يعني أنه يمكن لاحقًا إلزام مقدمي خدمات الاتصالات بجمع والاحتفاظ ببيانات غير منصوص عليها في القانون بمجرد صدور قرار إداري عن الجهاز القومي لتنظيم الاتصالات. وتعطي المادة الحق لجهات الأمن القومي، والتي تشمل رئاسة الجمهورية، القوات المسلحة، وزارة الداخلية، المخابرات العامة، وهيئة الرقابة الإدارية، للاطلاع على هذه البيانات، وتُلزم مقدمي خدمات الاتصالات أن يوفروا الإمكانيات الفنية لذلك. - يُعطي القانون رقم 10 لسنة 2003، والذي يُنظّم قطاع الاتصالات في مصر، الأمن القومي السلطة لإخضاع جميع انواع خدمات وشبكات الاتصالات لإدارتها طبقًا للمادة 67 والتي تنص على منح هذه السلطة “في حالة حدوث كارثة طبيعية أو بيئية أو في الحالات التي تعلن فيها التعبئة العامة طبقًا لأحكام القانون رقم 87 لسنة 1960 المشار إليه وأية حالات أخرى تتعلق بالأمن القومي.” ويُذكر أن هذه المادة تم الاعتماد عليها كسند قانوني لقطع الاتصالات في مصر في يناير 2011، كما أن تعريف ” الأمن القومي” في القانون هو تعريف فضفاض يمكن للسلطات استخدامه لفرض سيطرتها على قطاع الاتصالات.
وتلزم المادة 64 من القانون جميع مقدمي خدمات الاتصالات على توفير “كافة الإمكانيات الفنية من معدات ونظم وبرامج واتصالات داخل شبكة الاتصالات والتي تتيح للقوات المسلحة وأجهزة الأمن القومي ممارسة اختصاصها في حدود القانون، على أن يتزامن تقديم الخدمة مع توفير الإمكانيات الفنية المطلوبة، كما يلتزم مقدمو ومشغلو خدمات الاتصالات ووكلائهم المنوط بهم تسويق تلك الخدمات بالحصول على معلومات وبيانات دقيقة عن مستخدميها من المواطنين ومن الجهات المختلفة بالدولة.” - ينص قانون الطوارئ (رقم 162 لسنة 1958)، في المادة رقم 3، على أنه يحق لرئيس الجمهورية “الأمر بمراقبة الرسائل أيا كان نوعها ومراقبة الصحف والنشرات والمطبوعات والمحررات والرسوم وكل وسائل التعبير والدعاية والإعلان قبل نشرها وضبطها ومصادرتها وإغلاق أماكن طباعتها.” ويُذكر أن هذا القانون لا يُطبّق إلا في فترة إعلان رئيس الجمهورية حالة الطوارئ، وهو الوضع الحالي في مصر. حيث قرر رئيس الجمهورية إعلان حالة الطوارئ منذ شهر أبريل ٢٠١٧ ويتم تجديد هذا القرار كل ثلاثة أشهر حتى الآن.
- كما ينص قانون مكافحة الإرهاب (رقم 94 لسنة 2015) في المادة رقم 46 على أنه “للنيابة العامة أو سلطة التحقيق المختصة بحسب الأحوال في جريمة إرهابية أن تأذن بأمر مسبب لمدة لا تزيد على ثلاثين يوما بمراقبة وتسجيل المحادثات والرسائل التي ترد على وسائل الاتصال السلكية واللاسلكية وغيرها من وسائل الاتصال الحديثة وتسجيل وتصوير ما يجري في الأماكن الخاصة أو عبر شبكات الاتصال أو المعلومات أو المواقع الإلكترونية وما يدون فيها وضبط المكاتبات والرسائل العادية أو الإلكترونية والمطبوعات والطرود والبرقيات بجميع أنواعها ويجوز تجديد الأمر المشار إليه في الفقرة الأولى من هذه المادة مدة أو مدًدا أخرى مماثلة.”
تاريخ طويل من الانتهاكات، الى متى؟
تلعب الشركات الخاصة متعددة الجنسيات دورا كبيرا في انتهاكات حقوق الإنسان عبر تطويرها وتصديرها البرمجيات الخبيثة وأنظمة التجسس والمراقبة للأنظمة القمعية والدكتاتورية. وفي الوقت الذي أعلنت فيه مؤخراً شركة Sandvine عن انهاء معاملاتها التجارية مع حكومة بيلاروسيا بعد صدور تحقيق صحفي يثبت استخدام أجهزتها من قبل الحكومة لقطع الإنترنت في خضم الاحتجاجات الشعبية ضد النظام الديكتاتوري، مازالت هذه الشركة وغيرها من الشركات كما اتضح في التقارير المؤخرة تجني الأرباح من بيع برمجياتها الخبيثة الى السلطات المصرية دون أي رقابة أو تدقيق أو محاسبة.
على الشركات واجب احترام حقوق الإنسان، وعلى الحكومات التي تخضع مثل هذه الشركات لولايتها أن تمنع وقوع هذه الانتهاكات. تطالب أكسس ناو ومسار الحكومات والشركات بالتوقف عن جني الأرباح وتطبيق مزيد من التدقيق على مبيعات وتصدير التقنيات التي تمكن من المراقبة والرقابة والتجسس على المجتمع المدني والنشطاء والمدافعين عن حقوق الإنسان.
وندعم الدعوة إلى وقف تجارة تكنولوجيات المراقبة والتجسس حتى يتم وضع ضمانات قوية لحقوق الإنسان لتنظيم مثل هذه التكنولوجيات، وندعو الحكومات الحكومات إلى تنفيذ شروط وضوابط تصدير قوية، بما في ذلك إلزام الشركات الخاصة المنتجة والمصدّرة لتكنولوجيات التجسس بإجراء تقييم إلزامي لتأثير هذه الأدوات على حقوق الإنسان، وتطبيق معايير الشفافية والإفصاح الإلزامية. كما على الحكومات تطوير وتنفيذ إطار مساءلة قوي لضمان عدم استفادة الشركات الخاصة من بيع أدوات المراقبة وغيرها من التقنيات الخبيثة وخاصة للحكومات القمعية ذات السجل الحافل بانتهاكات حقوق الإنسان.