كيف أثبتت اختبارات «بحرين ووتش» التقنية أن الحكومة وراء قطع الإنترنت عمدا عن الدراز؟
2016-08-09 - 5:59 ص
مرآة البحرين-خاص: يعتقد بيل مارك زاك أن حرب الحكومة تمتد من ساحات الدراز لتصل إلى الإنترنت، وأنها تسعى في هذا الوقت لإحكام قبضتها والسيطرة على كل شيء.
مارك زاك، الخبير في شئون الإنترنت والأمن الرقمي، والذي يعيش في ولاية كاليفورنيا حيث يقدّم أطروحته لنيل شهادة الدكتوراه في علوم الكمبيوتر من جامعة بيركلي (وهي أطروحة تقوم في جانب كبير منها على اختبارات عن البحرين)، اعتبر في تصريح لـ«مرآة البحرين» الحملة التي تشنّها السلطات على الإنترنت، بما فيها الإعلان عن نظام حجب مركزي لمواقع الإنترنت، جزءا من حملة القمع التي تشنّها في كل مجال، تماما مثل إغلاق جمعية الوفاق، وإسقاط الجنسية عن الشيخ عيسى قاسم، حسب وصفه.
منذ الأيام الأولى لإسقاط الجنسية عن مرجع الشيعة الأعلى في البحرين، آية الله الشيخ عيسى قاسم، بادرت شركات الاتصالات إلى قطع شبكة الإنترنت عن منطقة الدراز، حيث يحتشد الآلاف بشكل يومي محيطين بمنزل قاسم، رغم محاصرة كافة مداخل المنطقة بنقاط التفتيش ومركبات الشرطة.
تفاقمت الأحداث وبلغت حدّ إحالة الشيخ عيسى قاسم إلى المحكمة، ومع مرور أكثر من شهر ونصف على هذا الاعتصام اليومي، تبيّن بشكل واضح أن عملية قطع الإنترنت مبرمجة، وتتم في ذات الوقت يوميا (من السابعة مساء حتى الواحدة بعد منتصف الليل).
على الصعيد السياسي، أدّت العملية إلى مصاعب كبيرة في تغطية الاحتجاجات بالوقت المناسب، أو تغطية أية أحداث أخرى موازية في المنطقة، وتباطأ تدفّق المعلومات من هناك. أما على الصعيد الاجتماعي والتجاري فكانت هناك أزمات كبيرة، اضطرّت بعض المحلّات إلى الإغلاق، أو وقف الكثير من خدماتها المرتبطة بتوفر الإنترنت، في حين قام بعض الأشخاص بقطع اشتراكاتهم مع شركات الاتصالات احتجاجا على هذه المعاملة.
حصار إلكتروني، فرضته الحكومة على الدراز، بموازاة الحصار الأمني. من وجهة نظر المواطن البحريني، فلا يوجد شك في أن الحكومة هي من يقيم هذا الحصار، وهي من يجبر شركات الاتصالات على خذلان مشتركيها بقطع الخدمة عنهم دون وجه حق، ودون أن يصدر أحد أي تفسير أو تبرير أو حتى اعتذار ما.
ولكن، كيف صار بالإمكان إثبات مسئولية شركات الاتّصالات عن فعل ذلك عمدا، بل ومسئولية الحكومة أيضا؟
«بحرين ووتش» أجرت الاختبارات من الدراز ومن الولايات المتحدة
عن بعد، قاد بيل مارك زاك، الذي ينشط في منظمة بحرين ووتش، والذي عاش في البحرين فترة دراسته بالمرحلة الثانوية، إجراء اختبارات مباشرة على الشبكة في الدراز خلال الشهر الماضي (يوليو/تموز 2016).
وكانت النتيجة تقرير تقني عالي المصداقية، تناقلته وكالات الأنباء والعديد من قنوات التلفزة والمواقع الإخبارية، من بينها الأسوشيتد برس، والـ بي بي سي، وأفضى التقرير إلى أن شركات الاتّصالات تطفئ أبراج الإنترنت 4G و3G في الدراز يوميا، وتقوم بإعاقة وصول البيانات من وإلى خطوط الإنترنت الثابتة في الدراز، وبذلك تقطع كل طرق الوصول بشبكة الإنترنت بشكل متعمّد.
التقرير قال إن العمل كان عبارة عن تحقيق تقني قامت به بحرين ووتش لتحديد نطاق التشويش على الإنترنت، وطبيعته، وأسبابه المحتملة.
وشمل التحقيق خطوط بتلكو الثابتة، وشبكات الإنترنت على الموبايل في كل من شركتي بتلكو وزين. وفضلا عن التأكد من إطفاء أبراج شبكتي 4G و3G، وجد التحقيق أن أجهزة الموبايل التي صارت تلقائيا ترتبط بشبكة 2G تلقّت رسائل تقول إن الشبكة لا تدعم خدمة البيانات (الإنترنت)، وعليه فإن جميع وسائل الاتصال بالإنترنت قد عطّلت، في حين أبقي على خدمات الاتصال الصوتي والرسائل القصيرة.
وقالت بحرين ووتش إن اختباراتها كشفت أيضًا عن وجود "جهاز على العمود الفقري للإنترنت لشركة بتلكو، يقوم بتعطيل حركة الإنترنت من الدّراز وإليها" وذلك للخطوط الثابتة، حيث ثبت أن التشويش على خطوط الإنترنت الثابتة يتم على أساس عناوين الإنترنت IP.
وبحسب رصد المنظّمة، فقد غيرّت بتلكو أسلوب تشويشها على الإنترنت بعد نشر أول تغطية خبرية عن هذا الأمر في صحيفة الوسط بتاريخ 12 يوليو/تموز 2016، وصار التشويش مقتصرا على المستخدمين داخل الدراز، في حين كان يمتد إلى القرى المجاورة قبلها.
وكون قطع الإنترنت يأتي متزامنا بين جميع الشبكات بشكل يومي، قالت المنظّمة إنه من المحتمل أن يكون التشويش جاء بناء على أمر حكومي بتقييد الخدمة SRO، مشيرة إلى أن الأمم المتحدة، وهيئات مثل اتحاد الـ GSM، أدانت هذا النوع من التدخل الحكومي في الإنترنت.
وكانت شركات اتّصالات قد زعمت في تصريح منتصف يوليو/تموز الماضي أن سبب الانقطاع عطل فني وأنها تعمل على تصليحه، لكن الانقطاع لا زال مستمرّا حتى هذه اللحظة، تماما مثل الحصار الأمني المطبق على الدراز.
التشويش على خطوط الإنترنت الثابتة: المرحلة الأولى حتى 12 يوليو
عبر جهاز كمبيوتر في الولايات المتحدة الأمريكية، وأدوات مسح خاصة، قام الفريق التقني في المنظمة بفحص الوصول إلى كل نطاق عناوين الإنترنت IPs في شبكة بتلكو، ليروا ما إذا كان بإمكانهم تحديد أجهزة أسقطت حزم بيانات كبيرة، أكثر في العادة من حزم بيانات صغيرة، وبحسب النتائج فيما قبل 12 يوليو/تموز، فإن حوالي 12% من عناوين الـ IP التي استجابت للمسح (وهي 20% من مجمل عناوين بتلكو التي يبلغ عددها 111360 عنوان بحسب التقرير)، أسقطت نسبة هائلة من حزم بيانات كبيرة وكانت تتعرّض للتشويش يوميا، بحسب معايير الفحص.
ولمدة 6 أيام كانت النسبة هي نفسها، وكانت بعض العناوين تقع خارج الدراز.
وأجرى الفريق فحصا عن بعد من كمبيوتر أحد الأشخاص الذين يعانون من الانقطاعات اليومية في الدراز، ليقتربوا من تحديد موقع الجهاز الذي يحدث عملية الانقطاع تحديدا، وذلك عبر مسح مسار انتقال البيانات من وإلى هذا الجهاز، وقد تبين أن موقعه هو على المسافة الواصلة بين كمبيوتر الشخص الموجود في الدراز، وأول جهاز hop يمر به في شبكة بتلكو.
واستطاع الفريق تحديد زبونيين تجاريين تأثر عنوان الـ IP الخاص بهما بهذا التشويش، وهما بنك إثمار، وصحيفة الوسط (يقع مقرّها في قرية أبو صيبع، خارج الدراز)، ووجد أن الـ IP المقصود ليس مرتبطا بصفحة المؤسستين على الإنترنت، وعليه فقد يكون مستخدما في البنية التحتية أو في الاتصال بالإنترنت داخل المكتب، وفي حالة الوسط فقد أثّر التشويش على سيرفر البريد الإلكتروني الاحتياطي.
التشويش على خطوط الإنترنت الثابتة: المرحلة الثانية ما بعد 12 يوليو
بدءا من مساء 12 يوليو/تموز 2016، لاحظ الفريق أن عناوين الـ IP التي في الدراز بدت لا يمكن الوصول إليها من كمبيوتر الاختبارات في الولايات المتحدة. وبعد تمحيص أكثر، أدرك الفريق أنه لم يعد بالإمكان التمييز بين احتمالية سقوط حزم البيانات الكبيرة وحزم البيانات الصغيرة، على اعتبار أن عملية التشويش كانت قبل هذا التاريخ موجّهة على ما يبدو ضد التطبيقات التي تستخدم حزم بيانات كبيرة في تشغيلها، بحسب تشخيص الفريق والمعطيات التي وردته.
وافترض الفريق بناء على ذلك أن أسلوب تشويش مختلف يضرب الدراز الآن، وسعى لتحديد موقعه. تبعا لذلك، أجرى التقنيون سلسلة من الفحوصات في 17 يوليو/تموز، من خلال كمبيوتر يتعرّض للتشويش في منطقة الدراز، وتبيّن أن 99% من حزم البيانات التي حاولوا إرسالها منه إلى جهازين معينين فقدت في الطريق، إلا أن البيانات التي أرسلت من الكمبيوتر المفحوص إلى جهاز الـ hop التابع لشركة الاتصالات في المنطقة (والذي تعرّف الفريق على عنوانه)، لم يفقد منها مقدار ذو اعتبار. وعليه فقد خلصوا إلى أن التشويش يحدث عبر جهاز معينّ يقع في خريطة الشبكة على الخط الواصل بين الجهة المرسل إليها وبين جهاز الـ hop التابع لبتلكو في المنطقة، وهو ذات الخط الذي حدّده الفريق في بحث سابق كموقع لسقوط بيانات برنامج تليغرام في شبكة بتلكو، بعد أن تم حظره بشكل غير معلن (أنظر الصورة).
ولاحظ الفريق أن التشويش على هذا الخط يؤثر فقط على حركة البيانات التي تصدر إلى أو من عناوين إنترنت IP معيّنة، مما يتفق مع فرضية كون التشويش موجها بناء على العنوان الذي يشكّل مصدر البيانات أو الجهة المرسل إليها.
وللتأكد من ذلك، طلب الفريق من صاحب الكمبيوتر الذي يتم فحصه في الدراز، أن يعيد تشغيل جهاز الراوتر Router، ليعطى عنوان إنترنت IP جديد. وتبيّن بشكل مباشر أن عنوانه القديم لم يعد يواجه التشويش، في حين صار عنوانه الجديد هو الذي يواجه التشويش.
ويرى الفريق أنه من المحتمل أن اختيار الشركات عناوين الإنترنت IPs التي يجب التشويش عليها قد يكون مبنيا على عنوان المشترك، وهو ما يعني بحسب اعتقادهم أن "النظام" التقني الذي يقوم بعملية التشويش مدموج (مربوط) بنظام بتلكو الذي يربط عناوين الإنترنت IPs بمعلومات المشترك.
بحسب ما وجد الفريق، فإنه قد تم تقليص عدد المستهدفين بشكل كبير في فترة التشويش الثانية (ما بعد 12 يوليو)، ولم يكن من بينهم بنك إثمار وصحيفة الوسط. وعليه، يظن التقنيون أن حملة التشويش (في فترتها الثانية) باتت مقتصرة على استهداف سكّان قرية الدّراز، الذي يتم تحديدهم عبر عناوين الإنترنت IP التي تعطى لأجهزتهم.
تحليل التشويش على شبكات الموبايل 4G و3G
كل من مزودي خدمات الموبايل في البحرين، وهم فيفا، زين، وبتلكو، يمتلكون شبكات منفصلة: شبكة LTE أي (4G)، وشبكة UMTS أي (3G)، وشبكة GSM أي (2G). ويمكن لبرج الاتصالات أن يقدّم خدماته لخلايا أكثر من شبكة. (الخلايا هي المناطق التي تنقسم لها كل شبكة موبايل جغفرافيا، وتكون على شكل خلية سداسية، ولذلك سميت أنظمة الموبايل بالأنظمة الخلوية).
على صعيد شبكات الموبايل، تركّز عمل الفريق على شبكتي بتلكو وزين، لأنّهم لاحظوا بأنه لا يوجد تشويش على شبكة فيفا.
وخلال الفحص باستخدام مجموعة من الهواتف التي ضبطت لتعمل على شبكة 3G، وجد الفريق أنها تحوّلت تلقائيا على شبكة 2G، في الساعة السابعة مساء، وأنها تسلّمت رسائل يفهم منها أن هناك ازدحام في عدد الهواتف التي تتحوّل في ذات الوقت إلى شبكة 2G (تتحوّل شبكة الإنترنت تلقائيا إلى شبكة أدنى في حال لم يكن الهاتف قادرا على الاتّصال بالشبكة الأرقى).
ومنذ ذلك الوقت، لم يكن هناك أي نوع خدمات البيانات يعمل على هذه الأجهزة، لكنّها رجعت إلى شبكة الـ 3G الساعة الـ 1 بعد منتصف الليل.
وخلال ضبط أحد أجهزة الفحص (المرتبطة بشبكة زين)، على وضعية 3G Only، التي تمنعه من التحوّل إلى شبكة 2G، في حال انقطاع شبكة 3G، لاحظ الفريق التقني أن جهاز الموبايل لم يتلقّ خلال فترة التشويش رسائل بيانات الارتباط التي يفترض أن يتلقّاها من البرج، والتي يبثّها البرج دوريا إلى جميع الأجهزة لإعطائها القدرة على الاتّصال به، ومع غياب هذه الرسائل فإن هواتف مشتركي زين لا تستطيع أن تعرف إذا ما كانت الشبكة موجودة في المنطقة، وتبعا لذلك لن تقوم بمحاولة إعادة الاتّصال بالبرج.
مع ذلك، فإن نفس الجهاز الذي كان يفحص، كان يتلقى هذا النوع من المسجات التي تطلب منه الارتباط بشبكتي بتلكو وفيفا! ثم عاد الجهاز لتلقّي هذه الرسائل من شبكته الأصلية (زين) في الساعة 1 بعد منتصف الليل (أي حين انتهاء فترة التشويش).
واستطاع الفريق خلال هذا الفحص، ومن خلال تعقّب المعلومات التي حملتها الرسائل البيانية المذاعة من برج بتلكو، التعرّف على رقم هذا البرج الخلوي.
وحين إجراء ذات الفحص على جهاز موبايل مرتبط بشبكة بتلكو الـ 3G، استلم الجهاز رسائل بيانات ارتباط مشابهة، من ذات البرج، ومن برج ثان، يتبع بتلكو أيضا. ولكن عند إجراء الفحص خارج فترة التشويش، كانت هناك رسائل بيانات ارتباط تصل أيضا من برج ثالث.
الاستنتاج الذي خلص إليه الفريق، بأنهم يعتقدون إن كلا من شركة زين وبتلكو قامتا بتعطيل أبراج 3G معيّنة خلال فترة التشويش. وتفسير حالة بتلكو هي أن أجهزة الهاتف كانت تستطيع استلام رسائل بيانات ارتباط من برجين بعيدين، دون أن تتمكن من الاتّصال فعليا بهما نظرا لبعد المسافة، في حين كان البرج الثالث (الذي ظهر بعد فترة التشويش) هو البرج الذي يقع في المنطقة، والذي كان معطّلا خلال وقت التشويش.
وبحسب السياق والمعطيات، فإن التقنيين يعتقدون إن ذات الأمر ينطبق على أبراج الـ 4G.
تحليل التشويش على شبكة 2G
ٍخلال فترة التشويش، وكما ذكر التقرير سابقا، كانت شبكة 2G موجودة، وهي التي صارت أجهزة الموبايل مرتبطة بها تلقائيا (لعدم توفر شبكتي 4G و3G). مع ذلك فلم يكن هناك خدمة بيانات على هذه الشبكة (لا يوجد إنترنت، وإنما فقط خدمة اتصال صوتي ورسائل قصيرة).
تحمل رسائل بيانات الارتباط بشبكة 2G معلومات تبيّن إذا كان البرج يدعّم خدمة الإنترنت (أي شبكةGPRS/EDGE) إلى جانب خدمة الاتصال الصوتي والرسائل القصيرة التي يوفّرها. وخارج فترة التشويش، وجد الفريق التقني أن رسائل بيانات الارتباط التي تصل هواتف تبيّن أن البرج يدعم هذه الخدمة فعلا، لكنّنها تقول إن البرج لا يدعّم خدمة الإنترنت خلال فترة التشويش.
كانت هناك 10 أبراج 2G تابعة لشركة زين تقول إنّها لا تدعم خدمة البيانات (الإنترنت) على الموبايل، و7 أبراج تابعة لبتلكو. وعليه استخلص الفريق أن بتلكو وزين عطّلتا عمدا وظيفة شبكة البيانات الخلوية GPRS/EDGE في أبراج الـ 2G داخل الدراز.
نوع جديد من أساليب السيطرة على المعلومات
بحرين ووتش، طالبت في تقريرها التقني كلا من شركة بتلكو وزين بنشر أي أوامر لتقييد الخدمة قد تكون الحكومة قد وجّهتها لهم، بناء على ما تنص عليه سياسة اتحاد الـ GSM.
كما طالبت المنظّمة جميع مزوّدي خدمات الموبايل (بتلكو، زين، وفيفا)، وكذلك الحكومة، بإنهاء هذا التشويش، وتقديم تعويضات لأولئك الذين تضرّروا منه.
واعتبرت بحرين ووتش هذه العملية تمثّل نوعا جديدا من أساليب السيطرة على المعلومات، متجنّبة التبعات السياسية لقطع الإنترنت على مدى واسع النطاق، وهو ما سمّته تكميم أصوات أفراد (وهم في هذه الحالة المحتجّون في الدراز) لا ترغب الحكومة في سماعها، في حين يحتاج العالم إلى سماعها بقوّة، وذلك بطريقة تجعل من الصعب على الباحثين أن يرصدوا ويعرفوا الجهة التي تقف وراءها.