الرئيسية / تكنولوجيا / NSO وتحقيقات الشرطة : هكذا تخفي بيغاسوس آثارها

NSO وتحقيقات الشرطة : هكذا تخفي بيغاسوس آثارها

ترجمة: أمين خلف الله

كلاكيست /عمر كبير

هل يمكن للتحقيق الداخلي أو الخارجي في جهاز الشرطة الذي تم من خلاله تفعيل برنامج التجسس “الإسرائيلي” NSO Pegasus ” بيغاسوس” الكشف عن مدى الاستخدام الكامل للنظام وجميع الأهداف التي تمت مهاجمتها من خلاله؟

تدعي الشرطة “الإسرائيلية” أنها فعلت ذلك ، بل إن فريق التحقيق في وزارة القضاء قدم تقريرًا أوليًا لرئيس الوزراء نفتالي بينيت ، بناءً على الوثائق التي أنشأها هذا النظام ، والتي تُظهر أن ثلاثة إلى خمسة أهداف فقط من قائمة تضم 26 هدفًا، لقد هاجمهم بيغاسوس بالفعل، اشتمل الفحص على أسماء ظهرت في التحقيق الذي نشرته  ” كلاكيست ” وأسماء أخرى تم إجراء فحصها لها ، مثل حاييم كاتس ،ومع ذلك ، فإن مصدرًا مطلعًا على نظام بيغاسوس وبنيته  عن كثب أخبر  كلاكيست:  بان نظام NSO مبني على مبدأ الإنكار-من بين أمور أخرى- ، تسمح لمشغليها بمنع التوثيق المحلي للإجراءات التي تقوم بها، هذا يعني أنه بعد تنفيذ عملية الاختراق لا توجد إمكانية لمعرفة من قام بتفعيل النظام ومتى،

في صميم المناقشات التي دارت حول إنشاء لجنة تحقيق في استخدام الشرطة  لبيغاسوس ،   فهم منه أنه من خلال فحص أجهزة الكمبيوتر الخاصة بالشرطة والسجلات المحفوظة عليها ، سيكون من الممكن الكشف عن مدى استخدام برامج التجسس و أهدافها الفعلية، ويعتمد هذا الفهم أيضًا على بيانات NSO السابقة بأن النظام يحتفظ بسجلات كاملة لأنشطته (السجلات) التي لا يمكن للعميل حذفها أو تعديلها أو منع توثيقها، يخبرنا المصدر أن هذه العبارة ربما تكون غير صحيحة، “القصة الحقيقية ليست بسيطة، وقال “تم بناء نظام بيغاسوس حتى لا يتم توثيقه”،

 

سيرفرات في دول أجنبية

من أجل فهم صعوبة التحقيق في استخدام بيغاسوس ، يجب على المرء أولاً فهم مزاعم NSO حول طبيعة النظام وعدم الدقة الكامنة فيه،

أولاً ، تدعي NSO أن النظام مثبت ويتم تشغيله محليًا على موقع العميل ، وأنه ليس لديه وصول مباشر إلى عملياته ، أو المعلومات التي ينتجها ويجمعها ، أو تحديد أهدافه أو التوثيق.

ثانيًا ، تدعي NSO أن النظام يحتفظ بسجل كامل ومفصل للإجراءات التي قام بها، ووفقًا لها ، فإن هذا التوثيق يسمح للشركة ، عند الضرورة ، بالتحقق مما إذا كان النظام قد تم استخدامه بشكل غير قانوني.

ومع ذلك ، وفقًا للمصدر ، فإن هذه الادعاءات غريبة عن التشغيل الفعلي للنظام ، وبعضها غير ممكن تقنيًا، وقال: “في عالم بيغاسوس ، تقوم NSO بتسويق للعملاء ميزة أن ضحية الهجوم لا يمكنه أبدًا العثور على دليل ينسب جهازه إلى المشغل”( المهاجم)، تبدأ إمكانية الإنكار هذه من مرحلة التطفل على جهاز الضحية، وقد  “أنشأت NSO طريقة اختراق لا يوجد فيها اتصال بين العميل المهاجم وهاتف الضحية ، ويتم الاختراق  من خلال خادم جهة خارجية، كيف يحدث هذا؟

الاختراق الكلاسيكي يستغل نقطة ضعف في شبكة الهاتف الدولية ، فجميع المشغلين هم جزء من شبكة واحدة ، بحيث يمكن للهواتف من بلد ما التواصل مع الهواتف من دولة أخرى، و يمكن لكل مشغل أن يسأل مشغل مختلف عن مشتركيه، وتم البناء من قبل  NSO على هذا البروتوكول ، واستخدمت ترخيص مشغل أجنبي لتسجيل الدخول وإجراء الاختراق من خادم يحتفظ به ذلك المشغل،

لا يوجد اتصال بين وحدة الخادم التابعة لشرطة “إسرائيل” والهاتف المستهدف، يتم إرسال تعليمات لإجراء الاختراق من خادم خارجي ، والذي يتم  من خلاله عمل الاختراق ، و لا توجد إمكانية لربط فعل الاختراق الأول بالشخص الذي طلب ذلك ، لأن الاختراق الأول حدث من خادم أجنبي لا ينتمي إلى  بلد العميل الذي تم إجراء الاختراق منه “،

 

طمس الآثار

جانب آخر هو توثيق الإجراءات التي يقوم بها بيغاسوس ، ستتمكن الشرطة بالتأكيد من الادعاء بأنه الى  جانب المشغل في بيغاسوس ، في وحدة Signet ( وحدة الاستخبارات الأنترنت في  شرطة العدو)، تم الاحتفاظ بجميع المعلومات ذات الصلة: ما هي الأهداف ، وما هي الإجراءات التي تم اتخاذها بشأنها ، وما هي المعلومات التي تم جمعها ، وما هي المعالجة التي تم إجراؤها عليها و وغير ها ، و”ستقول شرطة إسرائيل” إنها تتيح لكل لجنة تحقيق الوصول الى  محطة المشغل للتحقيق في جميع السجلات،

 و قد تقول NSO إنها مستعدة لاستخراج جميع السجلات وإظهار كل ما تم القيام به في النظام ، لأن نظامها مبني بحيث يتم توثيق كل إجراء يتم اتخاذه بشكل كامل بواسطة المدونات – ولا يمكن تغيير هذه الوثائق أو تعطيلها ، ومثل الغرض من الأداة هو الامتثال للأوامر القانونية،

ووفقًا للمصدر المطلع جيدًا على النظام ، فإن هذا ادعاء إشكالي، “ما الذي يحدث في نظام NSO؟ كان هناك عدد من الحالات في الماضي حيث جاء مسؤولو الدول إلى الشركة وقالوا ،” قد يكون هناك موقف حيث يمكن لشخص ما تقديم مطالبة في إجراءات قانونية ،  للتعرف  على  مصدر الحصول على  معلومات معينة ؟ كما تخشى الدول من أن يُطلب منهم تسجيل الدخول ، الأمر الذي قد يؤدي إلى الكشف عن  الشخصيات المستهدفة ،

هذا يمكن أن يفسد التحقيقات المعقدة أو ملفات وكالات المخابرات، وقالت أجهزة المخابرات في تلك الدول ، إنها غير مهتمة حقًا بالاحتفاظ بالسجلات ، لتجنب خطر الكشف عن المعلومات في حالة سقوط نظام التجسس  في أيدي أجنبية أو تسريب شخص من داخله،،و كان هناك حكام يخشون  حال تغيير الحكومة  يمكن فضح الوثائق وقائمة ضحايا الاختراق ، لذلك ، سمحت NSO للعملاء بالاختيار بين نظام يحتوي على سجلات ونظام لا يحتوي على سجلات ولا يترك أي أثر،  وهناك إصدارات من بيغاسوس لا تحتوي على سجلات على الإطلاق، الإصدارات التي لا يوجد فيها سجل طوال فترة تشغيل النظام لمن قام بالتفعيل هذه  الخاصية .

وفي مرحلة ما ، ولدت الحاجة إلى نظام هجين يحتوي على سجلات ولكن في بعض السيناريوهات يمكن إيقاف تشغيله، هذا لأنه في بعض الحالات أرادت البلدان توثيق تحقيق لغرض تقديم الأدلة في المحكمة ، ولكن في الحالات التي قد تشكل فيها الوثائق خطرًا ، أرادت خيارًا لا يترك السجلات، وبالفعل قامت NSO بذلك ، وأنشأت بيغاسوس ليكون لديه نظام سجل ضعيف، وتأتي هذه الإمكانية اليوم بشكل افتراضي عند شراء نظام بيغاسوس ، ويسمح النظام للمشغل بإيقاف تشغيل السجلات ، وبالتالي إنشاء نظام يحتوي على سجلات جزئية ولا يمكن حذف السجلات بأثر رجعي ، ولكن من الممكن اختيار ما إذا كنت تريد التوثيق أم لا ، وأيضًا ما سيتم توثيقه.

وإذا لم يتم تسجيل أي شيء ، فلا يوجد أيضًا سجل في النظام يُظهر وجود سجل غير محفوظ (مثل ، على سبيل المثال ، عند حذف رسالة على ” الواتساب”، ثم يُكتب أنه تم حذف رسالة ؛ وما إلى ذلك) ، وتم بالفعل إنشاء سجل وهمي تمامًا، قد لا يعرف أي شخص يقوم باختباره ما إذا كان قد استخدم النظام ألف مرة أو خمس مرات فقط تظهر فيها مدونة،

وتؤكد NSO للعملاء أن ما لم يتم حفظه في مدونة البرنامج  لا يمكن استرداده من تحليل الخادم الذي يعمل منه النظام “،

 

المعلومات موجودة في سحابة NSO

مما يؤدي إلى الجانب الثالث في بنية بيغاسوس: لا يعمل النظام من كمبيوتر الشرطة الموجود في وحدة Signet( استخبارات إنترنت الشرطة ) ، ولكنه يعمل  عبر سحابة بعيدة تخضع لسيطرة NSO

 وقال المصدر: “شاشة المشغل” هي واجهة فقط “لأنها بنية سحابية”، “لم يتم تثبيت البرنامج عليه ، وهو يتصل بخادم تم منحه إذن الوصول وتم تشغيل البرنامج عليه، ولا تقوم NSO بتثبيت النظام في موقع العميل لأنهم يموتون خوفًا من أن يأخذه شخص ما ويقوم بهندسة عكسية، وتم تصميم الاتصال بالسحابة أيضًا لمنع حالة اكتشاف المشغل بناءً على تحليل حركة المرور، يتصل المشغلون بوحدة تحكم الإدارة الموجودة في السحابة ، ويتم تنفيذ كل العمل فيها،

“يتوقع الجمهور أنه إذا كذبت الشرطة بشأن استخدام بيغاسوس ، فسيكون لديهم خوادم ضخمة بها مئات الآلاف من السجلات عن الأشخاص، في الممارسة العملية ، لمنع مثل هذا الموقف ، يتم نقل جميع المعلومات المستخرجة من الأهداف إلى خادم وسيط ، حيث توجد جميع الملفات الهدف ، وحيث يتم تخزين قاعدة البيانات، عندما تجري الشرطة  استعلاماً فإنها لا تستطيع الوصول اليه ، لأن البيانات ليست معها، بل يتم إرسال الاستعلام إلى السحابة،

ويوجد انفصال بين الشخص الذي يدير عملية الاختراق  والمكان الذي تم فيه جمع المعلومات، المشغل لديه فقط وحدة تحكم إدارة بسيطة ، والتي قد توثق أو لا توثق الأشياء على النحو المحدد من قبل المشغل ، ولكن حتى لو فعلت ، فإنها تسجل الأحداث التي حدثت على كمبيوتر آخر، ولا يمكن  التحقق من الإجراءات داخل الكمبيوتر نفسه، لذلك حتى لو تعطل جهاز الكمبيوتر المشغل  ، فهو جهاز كمبيوتر غبي، عمليا معطيات التحقيق ليست في مركز الشرطة “،

وفقًا لخبير الطب الشرعي ، فإن هذا السلوك يحد أيضًا من مقدار الوثائق المخزنة على كمبيوتر الشرطة ، إلى الحد الذي يتم تخزينه فيه،

وأوضح أن “قدرة المشغل على إنشاء سجلات تقتصر على ما تراه المحطة الطرفية (الكمبيوتر النهائي الذي تتصل به بالسحابة)”، “في المحطة ، يمكن توثيق الإجراءات التي تأتي من الجهاز فقط، ولكن هناك سلسلة من الإجراءات التي تحدث في السحابة ،  ما  يتم الحصول  عليه من عملية الاختراق ونقل المعلومات، السجلات المهمة ليست في المحطة على الإطلاق “، وبمعنى ، قد تسجل محطة الشرطة طلبًا لمهاجمة رقم هاتف معين ، ولكن جميع الإجراءات التي يتم اتخاذها على الخادم بعد هذا الطلب – المعلومات المرسلة إلى الجهاز المستهدف ، واستجابته ، والمعلومات الأولية الواردة منه والمزيد – كل ذلك سيكون في مدونة مخزنة على خادم السحابة الخاص بـ NSO ، إذا تم حفظها، مثل هذا السجل،

خلف الكواليس: اشتباكات بين المُستشارة السياسية ولبيد وكبار المسؤولين في ديوان بينت

انتشار الجريمة في الجنوب.. لا تأتي للتصوير – تغيير السياسة هو المطلوب: رسالة مفتوحة من أحد سُكان النقب إلى بينت

تحليل: خطة التجميد الاستيطانية تُلخص إخفاقات “القُدس الموحدة”

وقال الخبير: “حتى لو كان لديك سجلات في النظام ، فقد يكون السجل ضعيفًا جدًا مقارنة بما يمكن أن ينتجه النظام على خوادم الشركة “،

أوضح جاي برنهاردت ماجن ، نائب رئيس التكنولوجيا في Profero “بروفور”، والمتخصص في تحليل الحوادث السيبرانية ، لـ كلاكيست:  “إذا أراد المخترق  مهاجمة 100 رقم هاتف ، وحاول النظام اختراق  100 رقم هاتف ولكنه وجد ثلاثة فقط ، قد يكون لدى محطة الشرطة وثائق عن الثلاثة فقط. ولكن من جانب NSO ، هناك سجل لجميع الأرقام والإجراءات المتخذة، المثير للاهتمام هو المكان الذي تم إرسال رسالة الاختراق إليه ، وما إذا كانت ناجحة ، وما إذا كان قد تم سحب شيء من الجهاز ”

 

من الذي يجب التحقق منه؟

ماذا يقول هذا عن تحقيق الشرطة في استخدام بيغاسوس؟ أولاً ، لا يمكن الاكتفاء بالتحقيق في مخفر الشرطة والسجلات   الموجود بيد الشرطة وحدها، “لمعرفة ما هو موجود ، يحتاج المرء إلى الوصول إلى نظام NSO،

وقال المصدر إنه يجب التحقيق من نظام شركة NSO”، وينبغي أن يشمل هذا التحقيق تحليلا جنائيا للنظام من قبل خبراء مستقلين ، من أجل تحديد مكان الأدلة على مدى استخدامه، وقد يواجه هذا التحقيق أيضًا صعوبات ، وفقًا للمصدر ، تؤكد NSO لعملائها أنه حتى على الخادم لا يتم الاحتفاظ بسجل لعملياتهم لفترة طويلة، و هذا يعني أنه حتى في خوادم NSO السحابية ، قد لا يتم الاحتفاظ بالوثائق الكاملة لعمليات العملاء،  ومع ذلك ، على أي حال ، سيكون من المستحيل الوصول إلى اصل الحقيقة دون تحليل وفحص هذه الخوادم.

شاهد أيضاً

الشركات الإسرائيلية طورت قدرات تجسسية لا توجد وسيلة للحماية منها

ترجمة أمين خلف الله  هارتس/ عومر بن يعقوب لقد أصبحت هذه الحقيقة واضحة لنا جميعًا: …

%d مدونون معجبون بهذه: