Abdulmohsen Blog

Programmer, Works @ Kuwait Civil Aviation

ACoders @ Twitter

مُزودين الأنترنت و بيانات العملاء

hdr كنت اقوم ببرمجة موقع جديد وبعد الانتهاء منه قمت بتسجيل نطاق لم يكن مُسجل مسبقاً، وحين كنت أراجع (سجل الدخول "access_log")، حدث أمر غريب او بالأحرى امر خطير، و يبدو لي انه بعض شركات الأنترنت تعترض اتصالات العملاء بالمواقع بشكل غير أخلاقي بحيث تقوم بعمل ما يسمي (المراقبة اللصيقه "ShadowTailing").

دخلت هذه الأرقام الغريبة الموقع الذي لم يكن متوفر على الأنترنت قبل عدة ساعات، و الغريب بالأمر بأنه هذه الأرقام تقوم بإرسال نفس (الطلب "Request")، الذي أقوم انا بإرسالة من خلال متصفحي

178.x.xx.xx -- [24/Jun/2013:18:35:20 -0500] "GET /images/ HTTP/1.1" 200 316
50.57.68.14 -- [24/Jun/2013:18:35:20 -0500] "GET /images HTTP/1.0" 301 303
50.56.58.47 -- [24/Jun/2013:18:35:20 -0500] "GET /images/ HTTP/1.0" 200 316

حين انتبهت لهذه الأمر اعتقدت انه المشكلة من حاسوبي او انه يوجد برنامج يقوم بعمل فلتره للمواقع التي أقوم بالدخول إليها او جهازي مُخترق، قمت بفتح جهازي الآخر بنظام تشغيل الماك، و حدث نفس الأمر و قام شخص بدخول الرابط الذي قمت بكتابة بنفس المُدخلات!!

178.xx.xxx.xx -- [24/Jun/2013:18:39:06 -0500] "GET /ranks HTTP/1.1" 404 3354
50.57.190.90 - - [24/Jun/2013:18:39:06 -0500] "GET /ranks HTTP/1.0" 404 3354

إذاً ربما المشكلة بجهاز (الأنترنت "Router") ربما توجد به خاصية تتبع الروابط و فلترتها، لذلك قمت بشراء جهاز آخر وقمت بإدخال البيانات الخاصة باشتراكي، و قمت بعمل فورمات لحاسوبي احترازياً و حدث نفس الأمر مره آخري و هنا بدأ الشك، لأنه من المستحيل حدوث مثل هذه الأمر او أن يُصاب جهازي بفايروس او تروجان بأقل من 10 دقائق لذلك قمت بفصل الأنترنت و الاتصال عن طريق انترنت الجوال، و قمت بالدخول على الموقع والتجول به بشكل عشوائي و كُنت أيضاً اتابع سجل الدخول، ولم يقم اي شخص آخر بالدخول او تكرار الروابط التي ادخلها !! فقلت ربما توجد مشكلة بشركة، فقت بالاتصال و الاستفسار عن هذه الموضوع ولم يكن ردهم مفيد كالعادة.

قمت بالاتصال بأحد الأصدقاء و الذي يملك اشتراك بنفس الشركة و طلبت منه دخول الموقع، و فعلا حين قام بزيارة رابط عشوائي بالموقع تكرر دخول نفس أرقام الاتصال التي ذكرتها الى نفس الرابط الذي قام بزيارته!، وهنا أيقنت ان المشكلة من شركة و ليس من جهازي كما يدعي الموظف، فقمت بالبحث بالأنترنت و تبين بأنه هذا الأرقام تعود لشركة Rackspace ومكان تواجدها في Texas، أمريكا، ومع قليل من البحث في سجلات الدخول لدي، و التي يفترض انها غير موجودة في أرشيف مُحركات البحث نهائياً، استطعت عمل قائمة بالأرقام التي تستخدمها الشركة او البرنامج الذي يتم استخدامه لتجسس او (إعتراض "Intercept") على بيانات العميل، وهذه هي أرقام الاتصال

50.57.68.9, 50.57.190.50, 50.57.68.10, 50.57.190.97, 50.57.64.198, 50.57.190.90, 50.57.190.113, 50.57.104.33, 50.56.58.47, 50.57.68.14

بعد التعرف على الارقام اصبحت عملية التعقب سهلة فقمت بالبحث عنها في قوقل و وصلت لموضوع في موقع whirlpool المتُخصص بالأنترنت في استراليا، والموضوع كان عن شركة تُدعى Telstra، رابط الموضوع، قمت بقراءة سريعة للموضوع وتبين أن الشركة تقوم بإرسال هذه البيانات لشركة آخري، ولقد جر انتباهي مشاركة من شخص يُدعى sswam، على هذه الرابط، و التي يقول بها

I've looked into this in my web server logs, and found many of those patterns:
1 user loads some page
2 censor bot at rackspace loads the same page
I found the same pattern in my logs from the last year, with users from other countries: Great Britain, UAE, Qatar, Kuwait, Yemen, and one hit from Mountain View (perhaps a test run).
So I can confirm that this dodgy business has been going on, and continues, in other countries also.
The long list of middle-east countries makes me think "NSA" not "oppressive regime"; but I don't know too much. My sample is biased, many of the matches were for a website with various translations of the Quran on it. I heard the Great Britain govt. wants to track and record everything now, perhaps this is part of it.
I mildly resent that some 'censorware bot' (or is it an NSA front?) doubled the data downloaded from my server, for certain users. User loads page, bot loads page again. User loads different page, bot loads the different page. It's annoying. I can imagine for big sites this bad behaviour could increase costs; or maybe they white-list the big sites.

والجزء الذي شد انتباهي بأنه المشكلة او البرنامج ليس محدود بشركة (ف.ت) و أنما المشكلة عامة بدول الخليج (الأمارات، الكويت، قطر، اليمن) و لا استبعد أن تكون باقي دخول الخليج و الدول العربية بهذه القائمة أيضاً، اذا كان الأمر يتعلق بحجب المواقع الإباحية، فيوجد سُبل كثيره لعمل ذالك، و لا يوجد اي سبب لهذه الشركات بأن تقوم بالتجسس او اعتراض الروابط التي يدخل عليها العميل بشكل آلي والدخول على نفس الروابط بشكل عشوائي من دون موافقة العميل.

و هذا الأمر يتعدى الشركة المعنية، لآنه بالكويت (شركات الأنترنت "ISP")، يقدمون الأنترنت لشركات الاتصالات، وربما احد الشركات تستخدم نفس المُزود المعني الذي اتكلم عنه، وبهذه يتم مراقبة وأرشفة دخول الروابط و ربما أيضاً ربطها باسمك بشركة الأنترنت او الاتصالات، و أيضاً و من خلال بحثي تبين انه البرنامج لا يقوم بزيارة الرابط اكثر من مره وحين تقوم بعمل (تحديث "Reload") لا يرسل نفس الطلب مره أخرى.

شركات الأنترنت بالكويت تتحجج دائماً بأن (وزارة المواصلات "MOC") هي من ترسل قوائم الحجب لهم، إذاً ما الهدف من هذا الزيارات من أرقام غريبة وكيف لشركة أجنبية أن تعرف بيانات العميل بحيث تقوم بانتحال شخصية العميل وإرسال طلب الى نفس الرابط؟ هذه الأمر يتطلب الرد من الشركة.