كتاب ومقالات

النائب العام القطري.. من تأكيد المؤكد للأدلة الرقمية إلى مسلسل تركي

عبد الرزاق بن عبد العزيز المرجان

بعد مرور عام كامل على الاختراق المزعوم لوكالة الأنباء القطرية أثبتت الحقائق أن قناة الجزيرة والنائب العام القطري ووزارة الداخلية القطرية حولوا هذا الاختراق إلى مسلسل تركي بمشاركة السلطات التركية. ولكن كيف تم ذلك؟ دعونا نتتبع التحليل الزمني وهو كالآتي:

التحليل الزمني:

• في 25/‏‏‏5/‏‏‏2017 صرح وزير الخارجية القطري في قطر عن وقوع جريمة إلكترونية «باختراق الموقع الإلكتروني لوكالة الانباء القطرية» و«فبركة التصريح الأميري». وقال إنه سوف يتم تشكيل فريق للتحقيق فيها للوصول إلى مرتكبيها وتقديمهم للقضاء. ولم يحدد الجهة المسؤولة عن الاختراق. فكان الهدف من التحقيق الجنائي الرقمي هو الوصول إ‍لى مرتكبيها وتقديمهم للقضاء، وليس إثبات الاختراق.

• في 20/‏‏‏6/‏‏‏2017 عقد مؤتمر صحفي للنائب العام القطري في قطر وهو أول تصريح رسمي بنتائج التحقيق في قضية الاختراق المفبرك. ووجه النائب العام اتهاما مباشرا إلى الدول الخليجية الثلاث (السعودية والبحرين والإمارات) بوقوفها خلف الاختراق مستنداً على عناوين الإنترنت IP addresses للجهاز المستخدم للمخترق.

وذكر أنهم في مرحلة «التأكيد إلى اليقين» أو مرحلة «تأكيد المؤكد». وأكد أنهم أرسلوا الإنابات القضائية للدول الثلاث ولكن من حيث المبدأ أن ما تم التوصل إليه كافٍ لتوجيه الاتهام لهذه الدول الثلاث. وهنا اتهام مباشر للدول الثلاث وليس أفرادا state sponsor. ولكن لم يعرض النائب العام أي أدلة رقمية يتوصل بها إلى إثبات الإدانة.

• في 20/‏‏‏7/‏‏‏2017 عقدت وزارة الداخلية القطرية مؤتمرا صحفيا وهو تقني حسب «وصفهم» مع عدم عرضهم أي أدلة رقمية ذات موثوقية خلال المؤتمر أو أي أدلة يتوصل بها إلى إثبات الإدانة. ولم يذكروا ما هو دور البرنامج الخبيث أو نوعه. وتحدثوا أن هدفهم جمع الاستدلالات وحصرها وتقديمها للنيابة العامة. وأكدوا أن عنوان IP address يتبع لأحد دول المقاطعة. وأشاروا إلى أن المستفيد دولة واحدة من الاختراق وهي الإمارات دون كشف أي دليل ذي موثوقية.

• في 25/‏‏‏8/‏‏‏2017 صرح النائب العام القطري في تركيا بأن السلطات التركية ألقت القبض على 5 أشخاص لهم علاقة بعملية اختراق وكالة الأنباء القطرية دون كشف أي أدلة رقمية. وهنا دخلت تركيا حليف دولة قطر على الخط في قضية الاختراق المفبرك وتم التحفظ على القضية.

القبض على الهكرز:

في علم الأدلة الرقمية يعتبر تاريخ 25 أغسطس 2017 حدثاً استثنائياً لوصوله إلى تحديد وضبط الجناة في دولة أخرى (تركيا). وتم الضبط بعد أن طلبت السلطات القطرية من وزارة العدل التركية عنواني IP addresses لحاسوبين في تركيا شاركا في عملية الاختراق. اتضح أن الأول في إسطنبول والثاني في مدينة جنق قلعة شمال غربي البلاد كما ذكر موقع قناة الجزيرة القطرية في تاريخ 27 أغسطس 2017.

وبعد تتبع الأدلة الرقمية من قبل السلطات التركية تم القبض على شخص بحوزته وثائق إلكترونية و14 ذاكرة حاسوب أساسية وهواتف محمولة وعدة شرائح للاتصالات. وأدت نتائج فحص هذه الأدلة إلى الوصول إلى أربعة أشخاص آخرين متورطين في اختراق وكالة الأنباء القطرية. هذه المعلومات تتعارض مع تصاريح وزارة الداخلية والنائب العام القطري.

غموض وتضارب في الأدلة الرقمية:

الحقائق تشير إلى الآتي:

• عدم تقديم النائب العام القطري أي معلومات جوهرية بعد القبض على الجناة بالرغم من مرور تسعة أشهر على إعلان القبض عليهم. وتم التكتم التام مع العلم أن السلطات التركية زعمت بأنها ضبطت وثائق إلكترونية و14 ذاكرة حاسوب أساسية وهواتف محمولة وعدة شرائح للاتصالات. وتسعة أشهر وقت كبير جداً لاستجواب المخترقين وجمع وتحليل الأدلة الرقمية المضبوطة. وتشير الحقائق أن المخترقين لم يكونوا على مستوى عالٍ من الاحترافية في علم الاختراقات، كما ذكرت وزارة الداخلية القطرية ويميل إلى تأكيد نظرية تورط الحكومة القطرية في الاختراق المزعوم.

• الغموض في كيفية التوصل إلى الجناة في تركيا. إذ لم يكشف النائب العام القطري عن أي معلومات خلال مؤتمراته وتصريحاته الصحفية، بل أكد أن عناوين IP addresses تابعة لدول الخليجية الثلاث وليس لتركيا.

• وجود تعارض كبير في الأدلة الرقمية بين ما تم ذكره من قبل موقع الجزيرة في 27 أغسطس 2017 وتصريح النائب العام القطري في 20 يونيو 2017. إذ ذكر موقع الجزيرة أن السلطات القطرية طلبت من وزارة العدل التركية عنواني IP addresses لحاسوبين في تركيا شاركا في عملية الاختراق ولم تكشف عن هذه العناوين. وعند الرجوع لتصريح النائب العام القطري في 20 يونيو 2017، أكد أنهم في مرحلة «التأكيد إلى اليقين» أو مرحلة «تأكيد المؤكد» لوقوف الدول الخليجية الثلاث خلف الاختراق مستنداً على عناوين IP addresses دون الكشف عن هذه العناوين.

• عدم مصداقية النائب العام القطري، إذ ذكر في المؤتمر الصحفي في 20 يونيو 2017، بعد وصولهم إلى مرحلة تأكيد المؤكد أنهم أرسلوا الإنابات القضائية للدول الثلاث المملكة والبحرين والإمارات، ولكن من حيث المبدأ أن ما تم التوصل إليه كافٍ لتوجيه الاتهام لهذه الدول الثلاث. فيما ذكر موقع الجزيرة أن السلطات القطرية طلبت من وزارة العدل التركية عنواني IP addresses لحاسوبين في تركيا شاركا في عملية الاختراق. السؤال لماذا أخفى النائب العام القطري هذا المعلومات المهمة إذا كانت صحيحة؟ ولماذا لم يصرح أنهم أرسلوا الإنابات القضائية لتركيا أسوة بالدول الثلاث؟ ولماذا لم يصرح باكتشافهم عنواني IP addresses لحاسوبين في تركيا؟

• وجود تناقض بين نتائج التحقيق لوزارة الداخلية والتي اتهمت دولة واحدة من الدول الخليجية الثلاث بناء علىIP address. وتصريح النائب العام القطري الذي وجه اتهام مباشراً للدول الخليجية الثلاث بناء على IP addresses. وهنا يتضح تناقض تام في الأدلة الرقمية بين وزارة الداخلية والنائب العام القطري.

• وجود تضارب بين ما ذكره موقع الجزيرة وتصريح المحققين في وزارة الداخلية في المؤتمر الصحفي لوزارة الداخلية الذي عقد في قطر بتاريخ 20 يوليو 2017. إذ ذكر الموقع أن أن السلطات القطرية طلبت من وزارة العدل التركية عنواني IP addresses لحاسوبين في تركيا. أما تصريح المحققين فقد ذكروا أن المخترق قام بالدخول إلى موقع الوكالة عن طريق هاتفه وبعنوان إنترنت تابع لأحد دول المقاطعة. ولكن لم تعرض الوزارة أي دليل رقمي يؤكد هذا الزعم.

وأكدوا أن المستفيد من الاختراق هي أحد دول المقاطعة. وهنا زعموا أن دولة الإمارات هي المستفيدة من الاختراق مستندين على ذلك بازدياد التصفح على موقع الوكالة قبل نشر التصريح الأميري بـ 45 مرة من الساعة 23:45 إلى 00:00 ومن عنوانين إنترنت ترجع لدولة الإمارات. وبعد الخبر بدقائق تم التصفح 41 مرة من الإمارات. وهذا يعتبر دليلا ظرفيا substantial evidence لو كان ادعاؤهم حقيقيا. وأنهم توصلوا إلى هاتف أوروبي. أيضاً لم يتم عرض أي دليل رقمي يؤكد مزاعمهم. السؤال لماذا لم يصرحوا عن IP addresses لحاسوبين في تركيا؟ وكيف توصلوا إلى الجناة في تركيا؟

الإجراءات الواجب اتخاذها من الجانب القطري:

كان الأجدر بقطر لو كانت على حق أن تقوم بالآتي:

• الحيادية في التحقيق عن طريق إشراك مختصين في الجرائم المعلوماتية من الكويت وعمان.

• السماح بمشاركة محققي FBI الذين شاركوا في التحقيق كما تدعي قطر في المؤتمر الصحفي مع النائب العام القطري.

• كشف الأدلة الرقمية التي تم جمعها وتحليلها لإثبات تورط الإمارات والدول الأخرى كما تدعي.

• كشف الأدلة الرقمية التي تم التوصل من خلالها إلى الجناة في تركيا.

محاولة تسييس الأدلة الرقمية

الحقائق التي تم جمعها وعرضها حتى هذه اللحظة تشير إلى أن قطر هي من تقف خلف هذا الاختراق المزعوم. وتؤكد أن النائب العام القطري ووزارة الداخلية القطرية حاولوا جاهدين لتسييس الأدلة الرقمية ومسرح الجريمة الافتراضي لإثبات أن الإمارات هي من يقف خلف الاختراق المزعوم. والهدف هو توجيه اتهام للإمارات بأنها راعية للهجمات الإلكترونية بما يسمى State-sponsor لمعاقبتها دولياً. وأعتقد أن الهدف من عدم كشف أي أدلة رقمية من قبل الجانب القطري لتسويق بهذه القضية المفبركة عن طريق أفلام وثائقية لتظليل الرأي العام القطري والعربي.

* عضو الأكاديمية الأمريكية للطب الشرعي-استشاري الأدلة الرقمية