CSI דיגיטלי: כך חוקרים פשעי מחשב
עו"ד בועז גוטמן, שייסד את מפלג עבירות המחשב במשטרה, חושף את הסודות והפרשות של עולם הבילוש הדיגיטלי
זה התחיל בפברואר 1998. עשרות שרתים בפנטגון נפרצו בגל התקפות מהאינטרנט. משרד ההגנה האמריקאי כינה זאת "ההתקפה המאורגנת ביותר שנערכה אי פעם על מחשבי הממשל". עיראק, שבאותם ימים עמדה במרכז משבר במפרץ הפרסי, סומנה כחשודה, וצוות של חוקרי מחשב אמריקאים החלו לעקוב אחרי תנועת הגולשים ברשת, כדי לראות אם הפורצים פעלו משטח ארצות הברית. המבצע, שזכה לשם הקוד "סולאר סאנרייז", הוביל לבסוף אל שני נערים מקליפורניה, שהודו מיד וסיפרו שתקפו את מחשבי הפנטגון "בשביל האתגר". סריקת מחשביהם גילתה שהמוח שמאחורי ההתקפה, שהנחה מרחוק את שני הנערים, פעל מחוץ לארה"ב. בתכתובותיו עם הנערים לא חשף מנהיגם את זהותו, והזדהה רק בשם "האנלייזר".
"חמישה אנשי FBI הגיעו אליי לתחנה, והראו לי 80 עמודים של ראיות דיגיטליות לכך שאהוד טננבאום, בן 19 מהוד השרון, התקיף את מחשבי הפנטגון", מספר עו"ד בועז גוטמן, מקים היחידה לחקירת פשעי מחשב במשטרת ישראל. בפברואר 1998 גוטמן שימש ראש מפלג תשאול ביחידה לחקירות הונאה במשטרה, והיה אחד השוטרים המעטים שהבינו באינטרנט. "עוד באותו ערב שלחנו שוטרת שתתקשר לטננבאום ותתחזה לבחורה צעירה שמתעניינת בו. היא קבעה לפגוש אותו בביתו למחרת בבוקר, ובשש בבוקר התייצבנו אצלו אנחנו, עם צו חיפוש. אני זוכר שישבתי בסלון שלו ושאלתי אותו באילו כינויים הוא משתמש ברשת. אחרי שציין שלושה, הבנתי שזה באמת הוא".
"האנלייזר" היה מתוחכם מכפי שחשבו החוקרים. לאחר השיחה מ"הבחורה הצעירה" הוא חשד שמשהו אינו כשורה, מחק את כל תכולת מחשבו ופרמט את הכונן הקשיח כדי לא להשאיר עקבות. "כשעצרנו אותו הוא אמר לנו שהוא פרמט את המחשב, ואין סיכוי שנוציא ממנו משהו", אומר גוטמן. "כאן נכנס לתמונה תהליך הזיהוי הדיגיטלי שלנו. בעזרת תוכנה בשם 'מירור' שחזרנו את תכולת הדיסק שנמחק. מול העיניים של טננבאום הדפסנו את כל מה שהיה במחשב, ראיה אחרי ראיה. לכתב האישום הוספנו אחר כך סעיף של השמדת ראיה. דרך אגב, אם הוא היה מפרמט את הכונן שלו פעמיים, התוכנה שלנו לא היתה מצליחה לשחזר את הנתונים. זו היתה תוכנה ישנה. אבל מאז השתכללנו".
על טננבאום נגזרו שישה חודשי עבודות שירות, שלאחר ערעור הפרקליטות הומרו בשנה וחצי מאסר. שופטת בית משפט השלום בכפר סבא קלרה רג'יניאנו תיארה בגזר דינו של טננבאום את הקושי שבאיתור עברייני מחשב: "לאחר החדירה למחשב לא נותרים סימנים כגון רסיסי זכוכית או מנעולים מעוקמים. גילוי עבירות כגון אלה מחייב מיומנות טכנית גבוהה ומוחות מתוחכמים לא פחות מאלה של מבצעי העבירה".
משוועים לכוח אדם
"התחלתי בזה בראשית שנות התשעים", אומר גוטמן, שבסוף אותו עשור עזב את המשטרה, וכיום עובד כעורך דין המתמחה בעבירות מחשב. "ישבתי עם אוריאל שטרית, שהיה השוטר היחיד בישראל שעבר קורס חקירות מחשב, ולמדתי ממנו. עד אז חקירות מחשבים טופלו על ידי סנ"צ מאיר זוהר - שלימים החליף אותי בפיקוד על מפלג עבירות המחשב. הוא טיפל בתחילת שנות התשעים עם מנהל רשת המחשבים של יאח"ה בכמה חקירות מחשב מעניינות. אחת היתה של נערה בת 17, בת של דמות ידועה מתחום המוזיקה בישראל, שפרצה לשרתים של בזק, התעשייה האווירית ובנק דיסקונט. כמו האנלייזר, היא אמרה שעשתה את זה בשביל האתגר. סגרנו את זה בלי כתב אישום. היה גם האקר מטבעון שפרץ למחשבים של 'ידיעות אחרונות' ושינה פרטים בכתבה של יעקוב אילון, שהיה אז הכתב בניו יורק. הבחור הזה גויס אחר כך ליחידת מחשבים מובחרת בצה"ל.
"הניסיון הראשון להרים יחידה רצינית לפשעי מחשב היה באמצע שנות התשעים. 30 שוטרים עברו קורס אצל חברת אבטחה ישראלית - אבל רובם נוצלו כסנג'רים לקצינים בכירים. לקחו אותם לבנות מצגות למפקדי מחוזות, או לתקן את מערכת ההפעלה במחשב של המפכ"ל יהודה וילק. את מפלג עבירות המחשב הקמתי רק אחרי פרשת האנלייזר. אז היו לי רק שני תקנים, ועד היום היחידה סובלת ממחסור בכוח אדם. היום, אחרי סיפוח מפלג המחשב ליחידה הארצית ללוחמה בפשיעה, יש במפלג עשרה חוקרים בסך הכל. במפלג עבירות המחשב באיטליה, לשם השוואה, יש 800 חוקרים".
"נכון, אנחנו משוועים לכוח אדם", אומר רב פקד מאיר חיון, ראש צוות במפלג עבירות המחשב. "יש לנו ארבעה חוקרים וקצין, ועוד מעבדה עם שני שוטרים. בכל אחד ממחוזות המשטרה יש חמישה חוקרים שעברו הכשרה במחשבים. אנחנו מחפשים עוד עשרה חוקרים, אבל הבעיה היא לגייס אותם. קשה לפתות אנשי מחשבים עם השכר שמשולם במשטרה, ומי שאין לו תואר ראשון צפוי להשתכר מעט מאוד. מה שיש לנו להציע זה האתגר והעניין שבמשרה".
ההמחשה העיקרית למחסור בכוח אדם במפלג עבירות המחשב היא שאפילו מפקד אין לו. החלפתו של מאיר אוחיון ב־2005 על ידי סגן ניצב אבי אביב זכתה לביקורת בגלל הרקע המועט של אביב בתחום עבירות המחשב והעובדה שאביב עצמו הורשע בעבר בהטרדה מינית של פקידתו. מאז פרישתו של סנ"צ אביב לגמלאות לא נמצא לו מחליף.
CSI דיגיטלי
גוטמן מספר שחקירות פשעי מחשב - "קומפיוטר פורנזיקס" באנגלית - אינן הליך פשוט: "רוב החקירה היא שימוש בתוכנות מיוחדות כדי לאתר בהארד דיסק מילים וקבצים, ולנתח אותו כדי לגלות את היסטוריית הגלישה של בעלי המחשב. לפעמים אנחנו צריכים לבדוק הארד דיסקים שנמחקו, הוצפנו או הושמדו. לפעמים אלה הארד דיסקים שהושמדו לפני שנים, ואנחנו צריכים להפיק מהם ראיות שיעזרו להוכיח אשמה בבית משפט.
"למשל, ב־2005 ארה"ב הפציצה את הבית של אבו מוסב אל־זרקאווי מאל קאעידה. הם הוציאו את שאריות המחשב שלו מהריסות הבניין, ושלחו אותן למכון לשחזור ראיות בקליפורניה. המכון הצליח להוציא מהמחשב מידע מודיעיני, כמו גם נתונים פיננסיים ומידע רפואי על זרקאווי, שחוסל ב־2006.
באילו כלים משתמשים חוקרי פשעי המחשב? "בעיקר בתוכנות", אומר דורי פישר מחברת חקירות המחשב We Secure, שעובדת עם חברות התקשורת והבנקים הגדולים בישראל. "התוכנה ששולטת היום בשוק היא Encase של חברת גיידנס. תוכנה נוספת היא FTK של אקסס דאטה, יש גם כלים חינמים שנמצאים על הרשת, וגם תוכנות שחברות אבטחה מייצרות ומספקות רק לכוחות הביטחון. באופן מוזר, הממצאים של התוכנות מתקבלים כראיה משפטית על בסיס הפופולריות של התוכנה בבתי המשפט. אם השתמשו בכלי הזה מאות פעמים במשפטים בעבר, הוא יתקבל כאמין גם הפעם".
"וזה עובד גם להפך", אומר גוטמן. "כשלכדנו את האחים העיוורים באדיר, תפסנו אצלם מחשב נייד עם אלפי מספרי כרטיסי אשראי, אבל בדקנו אותו עם תוכנה של נורטון, כי תוכנת השחזור שלנו נתקעה. השופטת סירבה לקבל את הראיות עד שלא יובא מומחה מנורטון שיעיד על מהימנות התוכנה. המומחה לא הגיע והראיות לא התקבלו".
"תוכנה חדשה ששמעתי עליה אבל לא עבדתי איתה אישית היא תוכנה של מיקרוסופט בשם קופי (COFEE - ראשי תיבות של Computer Online Forensic Evidence Extractor - צ"פ). קופי הוא דיסק און קי שמחברים למחשב, והוא שואב ממנו מסמכים ומידע לבדו - בלי שהחוקר צריך לעבוד עליו ממש", אומר דורי פישר.
"אבל האתגר הוא לא רק להשיג את המידע, אלא להבין מה רואים", ממשיך פישר. "חוקר ממשטרת לונדון סיפר לי איך לכד לפטופ של תא טרוריסטי שפעל בלונדון. אחד האתרים בהיסטוריית הגלישה של הלפטופ נראה כמו דף לבן, אבל בקוד המקור של האתר הם מצאו קישורים לתמונות של אנשים שצריך היה להכין עבורם דרכונים מזויפים".
"שיטות החקירה משתנות כל הזמן", אומר פישר. "פעם היה מספיק לתפוס מחשב, להוציא לו את הדיסק, לשכפל ולבדוק. אבל בשנים האחרונות יש המון תוכנות הצפנה שמביאות לכך שברגע ששולפים את התקע, המידע עובר קידוד והחקירה נגמרת. היום צריך לשלוף נתונים מהמחשב כשהוא חי. צריך לשאוב מידע לא רק מההארד דיסק של המחשב אלא גם מהזיכרון הזמני שלו. אלה דברים שיחידות פשעי המחשב בעולם לומדות בשנתיים האחרונות".
"כשהמשטרה נתקעת, היא נעזרת הרבה פעמים בחברות אזרחיות", אומר גוטמן. "כמו במקרה של דודי שטרנברג, שהורשע ב־2005 בפריצה למחשבי סניף בנק הדואר בחיפה. החוקרים לא הצליחו לפצח את ההצפנות במחשבו, ורק חברה אזרחית מצאה את הראיות".
"יוצא לנו לעבוד בפרויקטים משותפים עם המשטרה", אומר ג'קי אלטל מחברת אבטחת המידע See Security. "נתנו לי פעם לפרוץ מחשב של עבריין, והייתי צריך לעבוד נגד השעון כי עורכי הדין של העבריין דרשו את המחשב. בסופו של דבר הצלחתי להוציא רישומים של העברות כספים, וזה היה מספיק".
"היו ליחידה כישלונות", אומר גוטמן. "למשל - היחידה פספסה לגמרי את פרשת הסוס הטרויאני ב־2005. ראש יאח"ה מירי גולן, שלא היה לה מושג בנושא, נתנה לתלונה שהגיעה מפרטנר לשכב בארון. רק התלונה שהגיש אמנון ז'קונט טופלה על ידי מחוז תל אביב, והם הרימו את הפרשה. עוד כישלון היה נסיון פענוח הפריצה לבנק סומיטומו היפני באנגליה. מישהו ניסה לגנוב מהבנק 220 מיליון דולר. המשטרה עצרה במרץ 2005 ישראלי בשם ירון בולונדי בחשד שהוא פתח את החשבון שדרכו ניסו לגנוב את הכסף, אבל שחררה אותו אחרי שאיש לא הצליח לתפוס את הגנבים עצמם. בסופו של דבר, מה שקובע במקרים האלה הוא התבונה של החוקר".
