חקירה קיברנטית

"היום זה לא רלוונטי איפה העבריין נמצא, מידת שיתוף הפעולה הבינלאומי של המשטרה בסייבר הגיעה לרמת שיא בשנים האחרונות, כל יחידת סייבר משטרתית בעולם מבינה את זה". ראיון מיוחד ביחידת הסייבר של המשטרה, לקראת כנס סייברטק 2017

צילום: פייסבוק משטרת ישראל

יחידת הסייבר של משטרת ישראל קיימת כשלוש שנים בתור יחידה ארצית. מדובר ביחידה שהיא גלגול של מפלג עבירות מחשב שהחל את פעולתו אי שם בסוף שנות התשעים עם חמישה אנשים. חלק מהגרעין המייסד של אותו מפלג מכהן כיום בתפקידים בכירים ביחידת הסייבר הפועלת תחת להב 433, ומטפלת בכל התחום הפלילי בסייבר במדינת ישראל.

"במשטרה החליטו לבנות את יכולות הסייבר בצורת פירמידה. כלל השוטרים עתידים לקבל הכשרה בסיסית בסייבר באמצעות המכללה הלאומית. זה תהליך שיתחיל ב-2017", אומרים במשטרה. "המטרה היא להגיע למצב שאם אזרח פונה לכל תחנת משטרה בארץ ומתלונן שפרצו לו לפייסבוק או שהתקינו לו תוכנת כופר, ידעו על מה הוא מדבר.

"במדרג יותר גבוה יוצרים חוליות סייבר ברמת התחנה. המפכ"ל רוצה כ-70 תחנות עם חוליות סייבר בפריסה ארצית. לאותה חוליה יהיו יכולות מתקדמות יותר כמו שליפת נתונים מהסלולרי שיאפשרו לעשות חקירה בסיסית בעת הגשת תלונה. היא לא תדע לפתוח טלפונים נעולים, אבל תהיה לה אפשרות לקחת מידע מהמתלונן. זה ישפר את השירות שהתחנות נותנות לאזרח סביב טיפול בתלונות שקשורות לעולם הסייבר.

"מעבר לתחנה יש מחוז. לכל מחוז תהיה חוליה עם יותר ניסיון ומכשור מתקדם. אם מגיע מישהו לתחנה ומתלונן על סוס טרויאני בסלולרי שלו, לוקחים ממנו את הטלפון ונותנים לחוליה במחוז. אם במחוז לא יודעים לבצע חקירה, זה יגיע ליחידת הסייבר ברמה הארצית".

יחידת הסייבר של המשטרה בנויה על שלושה עמודי תווך עיקריים - איסוף מודיעין, צוות טכנולוגיות ומעבדת פורנזיקה מתקדמת. "החכמה היא לדעת לבנות את פרופיל החיפוש המתאים לכל חקירה, ולהגיע לכמות פריטים שאתה יכול להתמודד אתה בחקירה", מסבירים במשטרה.  

איסוף המודיעין במשטרה מתנהל סביב פשע בסייבר (Cybercrime). היות והגדרת הפשע הקיברנטי רחבה מאד, ואין עליה קונצנזוס בעולם, המשטרה עוסקת במגוון נושאים בהקשר זה. במשטרת ישראל מגדירים פשע סייבר ככזה שמעורב בו מרכיב טכנולוגי, וכדי להגיע למיצוי החקירה נדרש ידע בעולם הסייבר. 

"כדוגמה אפשר לקחת את הפרשה של סחיטת בנק לאומי", אומרים במשטרה. "לכאורה, אין שם הרבה פעילות שאפשר למתג אותה כסייבר. אבל בגלל שנדרשו יכולות טכניות גבוהות למיצוי הראיות, זה טופל על ידי יחידת הסייבר. גם תוכנות כופר וסקסטורשיין (סחיטת סקס בסייבר) אלו פשעים שנופלים תחת פשע סייבר. 

"את יחידת הסייבר בנו עם יכולות עצמאיות לסגירת מעגל איסוף ראיות בסייבר. במקרים מיוחדים, אם צריך, יש אפשרות לפנות ליחידות אחרות כמו יחידת הסיגינט של המשטרה. אם רוצים להאזין לשיחות טלפון מסוימת, אין צורך להכפיל יכולות".

לצד איסוף המודיעין, יש ביחידת הסייבר ענף טכנולוגיות מתקדמות עם מומחים במערכות מעולם הסייבר וה-IT. "הענף נותן תמיכה טכנולוגית לכל יחידת הסייבר ולחוקרים במחוזות", מסבירים במשטרה. "בחקירות סייבר צריך מיומנות בהרבה תחומים טכנולוגים. אי אפשר לצפות מכל חוקר במשטרה לשלוט בידע אודות עשרות או מאות מערכות מחשוב שונות.

"אם נניח יש חקירה ומגיעים למשרדי חברה גדולה, יש שם עשרות מערכות שונות. SOC, ניטור, IT ועוד הרבה אחרות. במקרה כזה, מומחים מענף הטכנולוגיות מגיעים למשרדים של אותה חברה, ונותנים תמיכה לחוקרים בשטח מול מחלקת ה-IT ואבטחת המידע של החברה. אילו מערכות לתשאל, איזה הצלבות לעשות. כל מה שצריך על מנת להביא לחוקר את כלל הראיות שניתן להפיק מהזירה בהיבט הטכנולוגי.

"אנשי ענף הטכנולוגיות הם שוטרים לכל דבר ועניין. חלקם מועסקים על בסיס חוזים אישיים מיוחדים (אזרח עובד משטרה) ויש גם מסלול חדש שנמצא לקראת אישורי בשם 'שוטר מוסב זמני'. זה מסלול שיאפשר להביא מומחים למשטרה לזמן קצוב של שנתיים עד ארבע בשכר גבוה יותר".

הרגל השלישית של יחידת הסייבר היא מעבדת הפורנזיקה. אלו האנשים שיודעים לקחת כמעט כל מוצר חומרה, ולהוציא ממנו מידע. גם אם הוא נפל למים, נשרף, נדקר או נותץ. אם קיימת אפשרות פיזיקלית להוציא ממנו מידע, המעבדה של יחידת הסייבר היא הכתובת. דיסקים קשיחים, טלפונים סלולריים, התקני אחסון ניידים ועוד.

אנשי המעבדה עוסקים גם בהיתוך מידע. אלו יכולות ניתוח של כמויות מידע גדולות שעוזרות לחוקר במשטרה למצות את הראיות מזירת הפשע.

"המעבדה ביחידת הסייבר מספקת שירותים לחוקרים במשטרה שצריכים תמיכה במיצוי ראיות ממערכות מחשוב". מסבירים במשטרה. "טלפונים, דיסקים קשיחים וציוד אחר. מדובר בתחום דינמי מאד שמצריך עדכון שוטף. יכולת שרכשת היום, לא תהיה רלוונטית עוד כמה חודשים. כל שינוי במערכת הפעלה, בחומרה של טלפון או מחשב, יכול להפוך את היכולות שלך ללא רלוונטיות. בהיבט היתוך המידע, המעבדה עובדת עם כלים מתקדמים מאד שעוזרים למצות את המוץ מהתבן בחקירות שבהן יש כמות עצומה של מידע ממוחשב".

 

אתגר שרשרת הראיות

בשונה מצורת עבודה בשירותי ביון שגם מפעילים יחידות סייבר, במשטרה כל הליך פלילי מגיע בסוף לבית משפט ועומד לבחינה של סניגור ושופט. בעוד בשירותי ביון המטרה היא למצוא הקשר שיוביל לפעילות מבצעית, במשטרה עוסקים בהליך הפללה. "לפעמים ההבדל בין עבודה משטרתית לעבודת שירות ביון בהקשר איסוף הראיות לא ברור", מסבירים במשטרה.

"בהליך חקירה פלילית בסייבר, כל שרשרת הראיות עומדת לבחינה של עורכי דין ושופטים. מכאן, שהליך איסוף הראיות חייב להיות חף מכל חשד להטיה וצריך להוכיח את הנתיב של כל ראיה עד למקור הפיזי. זה מצריך תהליך עבודה מיוחד. כדי להתמודד עם אתגר שרשרת הראיות בחקירה, לקחנו חוקרים מהמשטרה שגדלו בעולם הזה, והכשרנו אותם סביב טכנולוגיה.

"איסוף הראיות מהתקנים טכנולוגיים מחייב חתימה של כל מקור אחסון מידע, רישום מסודר ושרשרת מוצג כולל תיעוד מלא של כל מוצג. בבית המשפט, לכל ראיה חייב להיות מקור קיים וחתום דיגיטלית עם הגנת כתיבה. אי אפשר לשנות ראיה לאחר שחתמת אותה. אלו מערכות עמן עובדים גופי אכיפת חוק בכל העולם. אם מדובר בדיסק קשיח, יש חתימה דיגיטלית לדיסק המקור. היא לא יכולה להשתנות. אם אתה עושה תמונת ראי (אימאג'), שינית את החתימה. אם לא שמרת על המקור, תראה את זה בקבצי הלוג של המערכת. רואים את שינוי החתימות, אי אפשר להסתיר. 

"בנוסף, למעבדה יש נהלי עבודה מסודרים. כולל רישום קפדני של מי שנכנס ומי יוצא, מי נוגע בראיות. עבודה לפי נהלים ברורים היא חלק מהעבודה סביב מיצוי ראיות ממוצגים פיזיים. המערכות של המשטרה מיועדות לפורנזיקה של הליך חקירה פלילי".

 

שומרים על עמימות

במשטרה עושים הבדל בין ראיה ממוחשבת שנתפסת על מוצג פיזי לבין ראיה כזו שמושגת שלא באמצעות התקנים פיזיים. היות ומדובר בשיטות איסוף וחקירה, נמנעים במשטרה לפרט באילו אמצעים מדובר. המשטרה גם לא מתייחסת לנושא ההצפנה, מלבד להגיד שמדובר באתגר מקצועי. "שמירה על מדיניות עמימות בהקשר שיטות פעולה בסייבר היא הכרח,", אומרים במשטרה. "אנחנו מתמודדים בסייבר עם פשע מאורגן בארץ ובעולם. אלו ארגונים עם המון משאבים שיכולים לרכוש את הכלים והמומחים הכי טובים בשוק. אין לנו שום רצון לחשוף בפניהם את היכולות שלנו.

"תיק חקירה יכול לכלול ראיות כמו מסמך PDF מדיסק הקשיח במחשב אחד, תמונה של הנאשם לוחץ ידיים עם מישהו באותו תאריך ממחשב אחר, ומסמך מאותו תאריך שהוא הסכם סודי ביניהם שהיה בקבצים המחוקים במחשב של המזכירה. את הראיות האלו נותנים לחוקר כמו שהן. בבית משפט, החוקר נדרש להוכיח שכל הראיות הגיעו ממקור קיים. בבית משפט לא שואלים איך הגעת לראיות, אלא מאיפה השגת אותן.

"זה כמו בפשע פיזי. נניח שיש זירת אונס. מגיע חוקר מז"פ עם אור מיוחד שמזהה כתמי זרע. הדיון הוא לא סביב הטכנולוגיה שאפשרה למצוא כתמי זרע, אלא האם אלו כתמי זרע של הנאשם. מז"פ לא חושפים בבית משפט באילו טכנולוגיות הם משתמשים למצוא ראיות. בסייבר זה לא שונה. השאלה היא האם הראיה נכונה, והאם היא שובשה. 

"ארגוני פשע יכולים לרכוש כלי אנליטיקה, וללמוד איך לעקוף אותם. בצורה כזו הם יכולים להתחמק מחקירות משטרה. זו הסיבה שמחד אנחנו עובדים עם מספר כלים שונים, ומאידך אנחנו לא מפרסמים את הכלים שאנחנו עובדים אתם ואת שיטות האיסוף."

בעולם הסייבר אין גבולות פיזיים. האקר לא צריך לנחות בנתב"ג כדי לגנוב כסף מבנק בישראל. לכן, אכיפת החוק בסייבר דומה לטיפול בארגוני פשע בינלאומיים, ומבוססת בחלקה הגדול על שיתופי פעולה בינלאומיים עם משטרות אחרות.

"אם תקח לדוגמא את תוכנות הכופר, זה שוק שמגלגל מליונים בשנה. כל אחד בעולם יכול לקנות כלי להפצת תוכנות כאלו, ומאותו רגע הוא מדביק מחשבים של אזרחים וגובה דמי הכופר. למה להסתבך עם מתחמי שליטה ודמי חסות.

"התמודדות עם פשיעה כזו היא באמצעות אנליטיקה ושיתוף מידע בינלאומי. יש למשטרת ישראל נציג ב-IGCI שזה גוף חדשנות ששייך לאינטרפול. בהיבט האנליטיקה, יש לנו מרכז ארצי לניטור תלונות בסייבר. המרכז מקבל את כל התלונות של תוכנות הכופר מהמחוזות השונים ומגבש תמונת מצב. מנסים בצורה כזו למצוא דפוסים בישראל, אותם משווים עם דפוסים במדינות אחרות להבין אם יש מגמות עולמיות. זה נכון גם לסקסטורשיין.

"היום זה לא רלוונטי איפה העבריין נמצא. אם אנחנו נחקור רק חקירות שמסתיימות בישראל, לא נהיה יעילים בכלל. מידת שיתוף הפעולה הבינלאומית של המשטרה בסייבר הגיעה לרמת שיא בשנים האחרונות. כל יחידת סייבר משטרתית בעולם מבינה את זה.

"יש גם שיתוף פעולה מסוים עם חברות אזרחיות בחקירות. בחו"ל ה-FBI משתף פעולה בצורה רחבה עם חברות אזרחיות. אצלנו זה עדיין בחיתולים. היתרון טמון בכך שהחברות האלו מקיימות רשת קשרים שעוזרת בחקירת פשעים בסייבר, והן גם מחזיקות יכולות (אנשים / כלים) שלפעמים אין במשטרה. החזון שלנו הוא לקיים שקיפות גדולה יותר עם חברות מסחריות, עם משטרות בחו"ל ולהצליח להביא ליחידת הסייבר במשטרה את המומחים הטובים ביותר - זאת, כדי לקדם פתרון פשעים בסייבר".