ממד התקשורת בסיכול הפיגוע בצומת ביל"ו
אחת השאלות העולות בכל סיכול פיגוע של שב"כ נסובה סביב ממד התקשורת. מאמר זה יציג מספר תזות אפשריות ליישום ניטור תקשורת במבצע סיכול טרור
עמי רוחקס דומבה
| 09/09/2020
מחמוד מקדאד, קרדיט: תקשורת שב״כ
השבוע (ב') שב"כ פרסם כי תפס שני אחים, תושבי שגב שלום, שהופעלו של ידי חמאס בעזה לצורך יישום פיגוע בתחנת אוטובוס בצומת ביל"ו. על פי פרסום שב"כ, חמאס הפעיל את הנאשמים באמצעות מפגשים פרונטליים בעזה ותקשורת בלתי פרונטלית. בין היתר, הנאשם אסף מודיעין וביצע תצפיות על אתרים שונים במדינת ישראל ומסר זאת לחמאס.
"מאז נכנס לישראל ביוני 2020 רכש מחמוד תחמושת והחל בהרכבת המטען כפי שתודרך ברצועה. במקביל, חיפש אחר מיקום לביצוע הפיגוע תוך שעומד בקשר חשאי-מבצעי מול מפעילו בעזה", נכתב בפרסום. עולה השאלה מהו אותו "קשר חשאי-מבצעי" עם המפעיל בעזה.
ובכן, בהפעלת סוכנים ישנם כאמור שני וקטורים. אחד פרונטלי. זה יכול להתבצע במפגשים (שליפה). במקרה זה, להביא את הסוכן לעזה. שיטה נוספת היא הפעלה אנושית אך ללא מפגשים. קרי, מישהו משאיר משהו בנקודה מסוימת, ואחר אוסף אותה (dead drop). מהפרסום של שב"כ, עולה כי נעצרו מספר אנשים שסייעו לנאשם המרכזי. ייתכן וחלקם עסקו בזאת.
תקשורת סלולרית
עם זאת, אם הנאשם דיווח על מיקומי צבא או כיפת ברזל, דיווחים אלו נדרשים להנתן בזמן אמת. אחרת אין בהם טעם. לכן, במקרה זה סביר כי הנאשם או מי מטעמו, השתמשו בצורת תקשורת מרחוק. ישנן תצורות שונות ומשונות לעשות זאת, אולם כולן בסוף מתבססות על טכנולוגיה.
אמצעי ראשון שסביר להניח כי השתמשו בו במקרה זה הוא תקשורת סלולרית. כלומר, הנאשם, תושב ישראל, החזיק בטלפון עם סים ישראלי, ואילו המפעיל בעזה החזיק בטלפון עם סים פלסטיני. בצורה כזו ניתן לתקשר בשיחות טלפון ישירות. באופן כללי, כל שיחת טלפון סלולרית שיוצאת מישראל צריכה לעבור דרך מפעיל ישראלי. היות ושב"כ 'יושב' על כל המפעילים כחלק מפעילותו, נדרש מספר הטלפון לצורך יירוט שיחות. ניתן ליירט שיחות בזמן אמת או בדיעבד באמצעות מאגרי הנתונים של מפעילי הסלולר בארץ. לצורך הדיון, לא משנה באיזה סים משתמש היעד בישראל, כל עוד השיחות עוברות דרך תא של מפעיל סלולרי ישראלי.
אפשרות נוספת היא להשתמש בתאים פלסטינים. לצורך כך יש צורך שבשני הצדדים ישתמשו בסים פלסטיני ולדבר מישראל במקומות בהם יש קליטה. כנראה באזור עזה. תאי סלולר לא ניתן לחסום באופן מדויק, ולכן ייתכן ותאים של מפעילים כמו Wataniya Mobile Palestine (בבעלות קטארית) או Jawwal (שייכת לPalTel Group) משדרים גם מעבר לגבול ישראל. במקרה כזה, שב"כ יעלה על דפוס התנועה של היעד , היות וכל פעם והוא צריך לדווח למפעיל שלו, הוא צריך להיות בסביבת עזה. עבור המפעיל של חמאס, מדובר בפתרון בעייתי היות והוא מגביל את יכולות התקשורת שלו עם הסוכן.
לצד שימוש בטלפונים קבועים, אלו העוסקים בטרור משתמשים לרוב בטלפונים 'שרופים' (burner phone). אלו טלפונים שנרכשים לצורך ביצוע שיחה חד פעמית (Prepaid mobile phone). בסיומה, הטלפון נזרק לפח. בצורה כזו קשה לאכן ולצותת למשתמש. פעילות טרור כמו זו המתוארת בהודעה של שב"כ דורשת תשתית תקשורת חשאית כאמור. שימוש באותו טלפון חושף את הנאשם למעקב שב"כ די פשוט. מדוע? מכיוון שניתן להתקין סוס על טלפון קבוע. אם שב"כ יצליח להתקין סוס בטלפון קבוע ממנו נעשות כלל השיחות, הוא מקבל גישה מלאה לכל החומרים העוברים דרכו. כולל התכתבויות ווטסאפ או כל שירות מסרים מוצפן אחר.
אם מדובר בטלפון חד-פעמי והיעד משתמש בטלפון, אזי האתגר הוא להתקין סוס בטלפון כאמור.
הצפנה
שליטה בתוצרים של הטלפון (שיחות, התכתבויות) היא אתגר. פרט לזיהוי הטלפון לצורך האזנה, גם התמודדות עם הצפנה. שירותי מסרים כמו ווסטאפ , סיגנל או טלגרם מגיעים עם הצפנה מובנית. הצפנה זו כמעט ולא ניתן לפרוץ ללא סוס בטלפון המסוים.
דוגמא לחולשה כזו אפשר למצוא בסיפור התביעה של פייסבוק נגד NSO (לא קשור למקרה הנוכחי). בסיפור הזה, מדובר בחולשה שאינה דורשת התערבות של המשתמש להתקנת סוס באמצעות שליחה של קובץ מסוים למנוי בווטסאפ. אלו, חולשות מאד נדירות.
תקשורת לווינית
אתגר נוסף שיש לשב"כ נובע מהאפשרות שחמאס אינו משתמש בתקשורת סלולרית. אלא בתקשורת לווינית. לצורך כך, חמאס יכול להקים חברת קש בחו"ל, במדינה מערבית, לרכוש דרכה טלפון לוויני כולל מנוי שנתי, ולתת אותו לנאשם בישראל. בצורה כזו, התקשורת החשאית "עוקפת" את תשתית הסלולר הישראלית ואת היתרון של שב"כ.
על מנת להתמודד עם אמצעי כזה, שב"כ יאלץ לעקוב אחרי היעד. לחילופין, שב"כ יוכל באמצעות סוכנים שלו, לזהות את החברה המפעילה את השירות (שאינה ישראלית), את מספר המנוי, ולבקש ממנה לצותת לשיחות. פעולה מורכבת במישור משפטי.
תקשורת על בסיס רשת נייחת
אפשרות נוספת העומדת בפני המחבל היא שימוש במחשב שולחני או נייד המבוסס על תקשורת נייחת. סביר שמחבל עם הכשרה בסיסית לא ישתמש בWIFI היות ואלו רשתות קלות ליירוט. אם אתה מחבל, לא משנה איפה תתחבר לWIFI, יהיה אפשר ליירט את התקשורת. כן, גם מבית קפה או מסעדה.
לכן, העדפה תהיה שימוש בכבל רשת המחובר לקיר. גם כאן יש אתגר של הצפנה. מרבית התקשורת בין הדפדפן לבין שרת המארח אתר ברשת מוצפנת באמצעות TLS\SSL. גם שימוש בVPN, להצפנת מקור התקשורת, יכולה להקשות. ובכן, התמודדות עם VPN היא באמצעות צו משפטי לחברה המארחת בארץ. כל שירות VPN המחזיק שרת בארץ כפוף לחקיקה ישראלית.
פתיחה של SSL ניתן לעשות על ידי כלים שונים המותקנים לרוב בכניסות לחוות השרתים של ספקיות האינטרנט. ניתן אפילו לעקוב אחרי כתובת IP יחידה מתוך כלל התעבורה על העורק. כל שצריך לדעת הוא את הIP של המחבל. עוד אפשרות היא התקנת סוס במחשב המחבל. התקנה של סוס במחשב תאפשר לשירות לקבל גישה לכלל החומרים והתקשורת המתבצעת מהמחשב המסוים.
לסיכום, במקרה כמו המתואר בפעילות האחרונה לסיכול הפיגוע בביל"ו, במידה והמפעילים של חמאס מתוחכמים מספיק, שב"כ מתמודד עם אתגרים טכנולוגים שאינם פשוטים. מדובר בסט יכולות, יומינט וסיגינט, שהשירות צריך להפעיל בשילוב, לאורך זמן, על מנת לאשש ראיות לכתב אישום. כל זאת, בחשאיות, על מנת שלא יעלו עליו. אחת השאלות בעקבות המקרה היא ממי חמאס מקבל הדרכה בהפעלה טכנולוגית? איראן, לבנון, סין, רוסיה,טורקיה או מי ממדינות המפרץ.
בשב"כ לא מתייחסים לשאלה מהו אותו "ערוץ חשאי - מבצעי" בו השתמש חמאס במקרה זה.
אחת השאלות העולות בכל סיכול פיגוע של שב"כ נסובה סביב ממד התקשורת. מאמר זה יציג מספר תזות אפשריות ליישום ניטור תקשורת במבצע סיכול טרור
מחמוד מקדאד, קרדיט: תקשורת שב״כ
השבוע (ב') שב"כ פרסם כי תפס שני אחים, תושבי שגב שלום, שהופעלו של ידי חמאס בעזה לצורך יישום פיגוע בתחנת אוטובוס בצומת ביל"ו. על פי פרסום שב"כ, חמאס הפעיל את הנאשמים באמצעות מפגשים פרונטליים בעזה ותקשורת בלתי פרונטלית. בין היתר, הנאשם אסף מודיעין וביצע תצפיות על אתרים שונים במדינת ישראל ומסר זאת לחמאס.
"מאז נכנס לישראל ביוני 2020 רכש מחמוד תחמושת והחל בהרכבת המטען כפי שתודרך ברצועה. במקביל, חיפש אחר מיקום לביצוע הפיגוע תוך שעומד בקשר חשאי-מבצעי מול מפעילו בעזה", נכתב בפרסום. עולה השאלה מהו אותו "קשר חשאי-מבצעי" עם המפעיל בעזה.
ובכן, בהפעלת סוכנים ישנם כאמור שני וקטורים. אחד פרונטלי. זה יכול להתבצע במפגשים (שליפה). במקרה זה, להביא את הסוכן לעזה. שיטה נוספת היא הפעלה אנושית אך ללא מפגשים. קרי, מישהו משאיר משהו בנקודה מסוימת, ואחר אוסף אותה (dead drop). מהפרסום של שב"כ, עולה כי נעצרו מספר אנשים שסייעו לנאשם המרכזי. ייתכן וחלקם עסקו בזאת.
תקשורת סלולרית
עם זאת, אם הנאשם דיווח על מיקומי צבא או כיפת ברזל, דיווחים אלו נדרשים להנתן בזמן אמת. אחרת אין בהם טעם. לכן, במקרה זה סביר כי הנאשם או מי מטעמו, השתמשו בצורת תקשורת מרחוק. ישנן תצורות שונות ומשונות לעשות זאת, אולם כולן בסוף מתבססות על טכנולוגיה.
אמצעי ראשון שסביר להניח כי השתמשו בו במקרה זה הוא תקשורת סלולרית. כלומר, הנאשם, תושב ישראל, החזיק בטלפון עם סים ישראלי, ואילו המפעיל בעזה החזיק בטלפון עם סים פלסטיני. בצורה כזו ניתן לתקשר בשיחות טלפון ישירות. באופן כללי, כל שיחת טלפון סלולרית שיוצאת מישראל צריכה לעבור דרך מפעיל ישראלי. היות ושב"כ 'יושב' על כל המפעילים כחלק מפעילותו, נדרש מספר הטלפון לצורך יירוט שיחות. ניתן ליירט שיחות בזמן אמת או בדיעבד באמצעות מאגרי הנתונים של מפעילי הסלולר בארץ. לצורך הדיון, לא משנה באיזה סים משתמש היעד בישראל, כל עוד השיחות עוברות דרך תא של מפעיל סלולרי ישראלי.
אפשרות נוספת היא להשתמש בתאים פלסטינים. לצורך כך יש צורך שבשני הצדדים ישתמשו בסים פלסטיני ולדבר מישראל במקומות בהם יש קליטה. כנראה באזור עזה. תאי סלולר לא ניתן לחסום באופן מדויק, ולכן ייתכן ותאים של מפעילים כמו Wataniya Mobile Palestine (בבעלות קטארית) או Jawwal (שייכת לPalTel Group) משדרים גם מעבר לגבול ישראל. במקרה כזה, שב"כ יעלה על דפוס התנועה של היעד , היות וכל פעם והוא צריך לדווח למפעיל שלו, הוא צריך להיות בסביבת עזה. עבור המפעיל של חמאס, מדובר בפתרון בעייתי היות והוא מגביל את יכולות התקשורת שלו עם הסוכן.
לצד שימוש בטלפונים קבועים, אלו העוסקים בטרור משתמשים לרוב בטלפונים 'שרופים' (burner phone). אלו טלפונים שנרכשים לצורך ביצוע שיחה חד פעמית (Prepaid mobile phone). בסיומה, הטלפון נזרק לפח. בצורה כזו קשה לאכן ולצותת למשתמש. פעילות טרור כמו זו המתוארת בהודעה של שב"כ דורשת תשתית תקשורת חשאית כאמור. שימוש באותו טלפון חושף את הנאשם למעקב שב"כ די פשוט. מדוע? מכיוון שניתן להתקין סוס על טלפון קבוע. אם שב"כ יצליח להתקין סוס בטלפון קבוע ממנו נעשות כלל השיחות, הוא מקבל גישה מלאה לכל החומרים העוברים דרכו. כולל התכתבויות ווטסאפ או כל שירות מסרים מוצפן אחר.
אם מדובר בטלפון חד-פעמי והיעד משתמש בטלפון, אזי האתגר הוא להתקין סוס בטלפון כאמור.
הצפנה
שליטה בתוצרים של הטלפון (שיחות, התכתבויות) היא אתגר. פרט לזיהוי הטלפון לצורך האזנה, גם התמודדות עם הצפנה. שירותי מסרים כמו ווסטאפ , סיגנל או טלגרם מגיעים עם הצפנה מובנית. הצפנה זו כמעט ולא ניתן לפרוץ ללא סוס בטלפון המסוים.
דוגמא לחולשה כזו אפשר למצוא בסיפור התביעה של פייסבוק נגד NSO (לא קשור למקרה הנוכחי). בסיפור הזה, מדובר בחולשה שאינה דורשת התערבות של המשתמש להתקנת סוס באמצעות שליחה של קובץ מסוים למנוי בווטסאפ. אלו, חולשות מאד נדירות.
תקשורת לווינית
אתגר נוסף שיש לשב"כ נובע מהאפשרות שחמאס אינו משתמש בתקשורת סלולרית. אלא בתקשורת לווינית. לצורך כך, חמאס יכול להקים חברת קש בחו"ל, במדינה מערבית, לרכוש דרכה טלפון לוויני כולל מנוי שנתי, ולתת אותו לנאשם בישראל. בצורה כזו, התקשורת החשאית "עוקפת" את תשתית הסלולר הישראלית ואת היתרון של שב"כ.
על מנת להתמודד עם אמצעי כזה, שב"כ יאלץ לעקוב אחרי היעד. לחילופין, שב"כ יוכל באמצעות סוכנים שלו, לזהות את החברה המפעילה את השירות (שאינה ישראלית), את מספר המנוי, ולבקש ממנה לצותת לשיחות. פעולה מורכבת במישור משפטי.
תקשורת על בסיס רשת נייחת
אפשרות נוספת העומדת בפני המחבל היא שימוש במחשב שולחני או נייד המבוסס על תקשורת נייחת. סביר שמחבל עם הכשרה בסיסית לא ישתמש בWIFI היות ואלו רשתות קלות ליירוט. אם אתה מחבל, לא משנה איפה תתחבר לWIFI, יהיה אפשר ליירט את התקשורת. כן, גם מבית קפה או מסעדה.
לכן, העדפה תהיה שימוש בכבל רשת המחובר לקיר. גם כאן יש אתגר של הצפנה. מרבית התקשורת בין הדפדפן לבין שרת המארח אתר ברשת מוצפנת באמצעות TLS\SSL. גם שימוש בVPN, להצפנת מקור התקשורת, יכולה להקשות. ובכן, התמודדות עם VPN היא באמצעות צו משפטי לחברה המארחת בארץ. כל שירות VPN המחזיק שרת בארץ כפוף לחקיקה ישראלית.
פתיחה של SSL ניתן לעשות על ידי כלים שונים המותקנים לרוב בכניסות לחוות השרתים של ספקיות האינטרנט. ניתן אפילו לעקוב אחרי כתובת IP יחידה מתוך כלל התעבורה על העורק. כל שצריך לדעת הוא את הIP של המחבל. עוד אפשרות היא התקנת סוס במחשב המחבל. התקנה של סוס במחשב תאפשר לשירות לקבל גישה לכלל החומרים והתקשורת המתבצעת מהמחשב המסוים.
לסיכום, במקרה כמו המתואר בפעילות האחרונה לסיכול הפיגוע בביל"ו, במידה והמפעילים של חמאס מתוחכמים מספיק, שב"כ מתמודד עם אתגרים טכנולוגים שאינם פשוטים. מדובר בסט יכולות, יומינט וסיגינט, שהשירות צריך להפעיל בשילוב, לאורך זמן, על מנת לאשש ראיות לכתב אישום. כל זאת, בחשאיות, על מנת שלא יעלו עליו. אחת השאלות בעקבות המקרה היא ממי חמאס מקבל הדרכה בהפעלה טכנולוגית? איראן, לבנון, סין, רוסיה,טורקיה או מי ממדינות המפרץ.
בשב"כ לא מתייחסים לשאלה מהו אותו "ערוץ חשאי - מבצעי" בו השתמש חמאס במקרה זה.
