<
יום שני , דצמבר 18 2017
מבזקים
דף הבית > תקשורת > סלולארית > Mobile Forensics: להחזיר את היתרון הטכנולוגי לגופי אכיפת החוק

Mobile Forensics: להחזיר את היתרון הטכנולוגי לגופי אכיפת החוק

ליאור בן-פרץ, סגן נשיא בכיר ומנהל מוצרים ופיתוח עסקי Mobile Forensics

ליאור בן-פרץ, סגן נשיא בכיר ומנהל מוצרים ופיתוח עסקי Mobile Forensics

מהיום בו החלה מהפכת הדיגיטציה, ובמיוחד לאחר שאינטרנט הפכה את כולנו לחברים בקהילה גלובלית שלא מסוגלת לרסן את פורעי החוק ופושעי המדיום המקוון, הולכת ומתחזקת התחושה שהטכנולוגיה נותנת יתרון ל"רעים".ההאקרים, גונבי הזהויות, מחבלים אנרכיסטיים ומרגלים בתשלום, פגעו קשות בתחושת הביטחון שלנו וחשפו את העובדה המדאיגה, שהגופים שאמורים להגן עלינו מצליחים במקרה הטוב רק לעצור התקפות סייבר שכבר יצאו לדרך ורק לאחר שפגעו במספר גדול של משתמשים תמימים.

הכפיל הוירטואלי מתעד את ההיסטוריה האישית

בעולמנו הנייד, בו מספר הטלפונים החכמים גדול יותר ממספר המחשבים האישיים – אבל המודעות לסכנות רחוקה מליבם ומתודעתם של המשתמשים – מאות מיליונים, צעירים ומבוגרים, מיומני טכנולוגיה וחסרי מושג אלמנטרי, נאיביים ופרנואידים, מחזיקים בידם בקביעות טלפון חכם (Smartphone) שאינו אלא מחשב נייד רב עוצמה, המשמש להם בן לוויה קבוע ו"עוזר אישי דיגיטלי" (PDA) ברוך כישרונות. הטלפון החכם מזהה בכל רגע את מקומו הגיאוגרפי (GPS), מנהל מעקב ורישום כל פעולה שנעשתה בו, שומר את כל המידע – שיחות, כתובות, קובצי טקסט ותמונה, הקלטות קול ווידיאו – כבררת מחדל שרובנו לא מעניקים לה מחשבה שניה. למעשה, האנושות ביצעה קפיצה דרמטית לעולם עתידני בו לכל אחד מאיתנו צמוד "כפיל וירטואלי", כמעט מבלי לשים לב.

לא פלא שרבים וטובים מרגישים כי כבר כולנו נעשינו לדיירי בית "האח הגדול", שכיום אין לו יותר קירות פיזיים, אך גם אין מקום בעולם לברוח אליו כדי להחזיר קצת פרטיות לחיינו. אלא שלצד האיום לפרטיות שלנו, יש לטכנולוגיה גם אספקט חיובי; העצמה משמעותית של יכולות גופי אכיפת החוק והביטחון בתפקידם להגן עלינו. בידיים הנכונות, הכלים הדיגיטליים לחקר ראיות פליליות (Forensics) יכולים לתרום דרמטית לשיפור הביטחון הציבורי, האישי והלאומי בצורה שאי אפשר להגזים בחשיבותה. את החשיבות של חקירה דיגיטלית – איסוף ראיות ממחשבים, דיסקים קשיחים, רשומות תקשורת וכדומה – אנו מכירים עוד מלפני שהגנת סייבר הפכה למושג שגור בפי כל. אבל במקרה של חיקור ראיות מטלפונים הכמות יצרה איכות חדשה. השינוי הדרמטי שהביאו הטלפונים החכמים נובע מכך שהם זוכרים כמעט הכל, גם כאשר המשתמשים לא מבצעים Save במודע, והם מסרבים לשכוח דבר גם אם נדמה לכם שמחקתם פרט מידע כלשהו. תוסיפו לכך את העובדה, שהמידע הזה מקושר ישירות או בעקיפין עם "מטא-מידע" (מידע אודות המידע), שכולל חותמת זמן ומקום, והרי לכם "העד הדיגיטלי" המושלם!

מירוץ בלתי פוסק בג'ונגל הטכנולוגי

הגומחה הטכנולוגית הזאת, Mobile Forensics, נשלטת על ידי חברה ישראלית בשם Cellebrite. "עד שלא נכנסים לפרטים הטכניים של שיחזור מידע מתוך זיכרון של טלפון חכם, נדמה שזה פשוט, כמו להעתיק קבצים ממחשב למחשב", אומר ליאור בן-פרץ, סגן נשיא בכיר ומנהל מוצרים ופיתוח עסקי Mobile Forensics. "הטעות נובעת מכך, שבתחום הטלפונים יש מעט מאוד סטנדרטים לחומרה, כמעט ואין ממשקי יישומים (API) גלויים והיצרנים מספקים תיעוד לוקה בכוונת מכוון. החברות שמפתחות את המכשירים משתדלות להשאיר "חורים שחורים" במערכת ההפעלה כדי שמתחרים לא ילמדו את הסודות המקצועיים מאחורי החידושים הפונקציונליים. לדוגמה, הן לא מספרות לכם מה קורה לקובץ שנמחק או איך נשמרת רשומה ב-Log של המכשיר. מי שרוצה לשחזר את הקובץ, או לעקוב אחרי ההיסטוריה של הטלפון צריך לנתח את מערכת ההפעלה ברמה של שפת מכונה ולגלות את הפקודות שהמפתחים רצו להסתיר מכם. בהחלט לא דבר טריוויאלי. ועוד לא דיברנו על המגוון המדהים של גרסאות מעבדים ורכיבי חומרה אחרים, על הקושי הפיזי להתחבר לזיכרון תוך עקיפת מערכת ההפעלה (בטלפון המידע שמור ברכיב Flash, לא על דיסק, והשבב מודבק ללוח האם בהלחמות מיקרוסקופיות) ואת מחזור החיים הקצר להפליא של כל דגם לפני החלפתו בדור הבא. זה רק קצהו הנראה לעין של הקרחון, האתגר הטכנולוגי שמסביר מדוע Cellebrite מעסיקה כ-200 מהנדסי תוכנה וחומרה במעבדת המו"פ שלנו בפ"ת. אנו נדרשים להשקעה מתמדת במירוץ הבלתי פוסק להוסיף יכולות אנליטיות בקצב בו יוצאים מכשירים חדשים לשוק".

Cellebrite נוסדה ב-1999 כדי לענות לדרישה הבסיסית של החברות הסלולריות, לספק מערכת ממשקים "חוצת פלטפורמות" (Cross Platform), פתרון שיאפשר העתקת מידע בין טלפונים של יצרנים שונים, עם מערכות הפעלה שונות ופורמטים שונים. די מהר התברר למייסדים כי הטכנולוגיה שפותחה בישראל מסוגלת לתת גם מענה לצורך הקריטי של משטרות "לתחקר" טלפונים של חשודים במעורבות בפלילים. הכלים המסורתיים ששימשו למז"פ של מחשבים התגלו כבלתי יעילים בעולם הטלפונים. מצד שני, הכלים שנועדו לאפשר העתקת תכנים בין טלפונים לא ענו לצורך המשפטי של הוכחת האותנטיות של המידע המשוחזר. "עבודה משטרתית שונה מהפרקטיקה של מעבדת מחקר", אומר ליאור בן פרץ. "כדי שהמידע יתקבל כאמין בבית המשפט, כל תהליך השחזור חייב להיות "סגור" ללא חשש לשיבוש ראיות, בלתי תלוי במיומנות של החוקר, והנתונים אמורים להיות מתועדים בצורה שמאפשרת הוכחה כי לא נעשו בהם שינויים. אמנם מודבר בראייה דיגיטלית, לא במוצג פיזי, אבל חוקי הראיות אינם שונים מהותית. לכן המשטרות נזקקות למכשיר (Appliance) רובוסטי, פשוט להפעלה ובלתי ניתן לשיבוש, כך שמומחה יכול להעיד כי הוא מביא לבית המשפט העתק נאמן למקור של הנתונים המקוריים. זו הסיבה מדוע Cellebrite פיתחה את משפחת UFED (קיצור של Universal Forensics Extraction Device), מכשירים קומפקטיים, ניידים ומוקשחים לתנאי העבודה של שוטרים, שמבצעים את איסוף הראיות הדיגיטליות בהקלקה".

לא הייתם בסרט הזה

מכשירי UFED  עושים יותר מ"לצלם" את הזיכרון של הטלפון הנבדק. הם מסוגלים לעקוף את אמצעי ההמנעה, כמו שמות משתמש וסיסמאות; לפרק מנעולים דיגיטליים, לאחזר מידע "מחוק" לכאורה, ולנתח את סוג המידע המקודד בזיכרון. "לא רק יצרני הטלפונים רוצים להסתיר את הקוד שלהם, גם המשתמשים מיישמים שיטות אבטחה שונות כדי למנוע גישה למידע במקרה שהטלפון ייפול לידיים זרות", אומר ליאור בן פרץ. "בקלישאות של סרטים הוליוודיים תמצאו איזה Geek גאון, שמצליח להתגבר על ההצפנות ולהציל את העולם ברגע האחרון. אך במציאות זו עבודה של שוטר או של קצין ביטחון. מי שצריך להפוך את אוסף הביטים והבייטים שנשלפו מהזיכרון למידע מובן ומשמעותי היא התוכנה שאנו מטמיעים ב-UFED. והיא עושה זאת אוטומטית, במהירות ובאמינות מוחלטת. כי בעולם האמיתי, בניגוד להוליווד, השעון לא מתקתק במתיחות הולכת וגוברת בזמן שהגאון לומד את החומר. בעולם האמיתי ה-UFED צריך לתת תשובה מידית ואפליקטיבית בדיוק כפי שעושה מכ"מ המהירות או השרביט המגנטי לגילוי מתכות".

המכשירים של Cellebrite הוכתרו במשך 5 שנים רצופות, מ-2009 והלאה, כמוצר "החומרה הטובה ביותר לחקירת טלפונים" (מגזין 4:cast). הדגם החדש ביותר, UFED Touch, המופעל באמצעות מסך מגע, מספק בנוסף לאיסוף נתונים גם ניתוח לוגי ופיזי של הראיות, זיהוי מספרי טלפון שחוייגו, תיעוד מלא של תכולת הזיכרון והפעולות שבוצעו עליו (כולל מחיקת קבצים, מספרי קשר, הודעות טקסט, צ'אט, מיקומים וכדומה) ושיחזור ההיסטוריה של שימוש בו (צעד אחר צעד, נ"צ אחרי נ"צ, דקה אחרי דקה).

UFED-Touch: הבלש הדיגיטלי שמדובב כל טלפון נייד

UFED-Touch: הבלש הדיגיטלי שמדובב כל טלפון נייד

ההיסטוריה האפלה של מכשיר חדש

"להמחשה, אספר לכם מה קרה לי כאשר הבאתי למעבדה טלפון סיני שנרכש בחנות בשנחאי ואינו משווק כלל בישראל," מספר ליאור. "הטלפון נפרץ תוך זמן קצר ואז התברר כי מה שהיה אמור להיות מכשיר חדש, ישר מקו היצור, היה למעשה Refurbished, כלומר "מחודש". למרות שבתהליך החידוש מחקו הטכנאים, לכאורה, את הזיכרון והתקינו מחדש את מערכת ההפעלה, תוכנת הניתוח של UFED הייתה מסוגלת לשחזר היסטוריה של שני משתמשים קודמים! קיבלנו תיעוד מלא של כל שיחה שנעשתה בו, מתי ובאיזה מקום, מול איזה מכשיר ובאיזו רשת סלולרית! במילים אחרות, אנו מסוגלים ברוב המקרים לקרוא את העבר גם אם נעשה ניסיון מקצועי למחוק אותו ולא להשאיר סימנים. זו אינה יכולת שכל האקר מסוגל להעתיק, משום שהיא דורשת ידע מעמיק בכל פרטי הארכיטקטורה של הטלפון, החומרה והתוכנה. 15 שנות ניסיון יוצרות יתרון תחרותי שמחזיק את Cellebrite בראש טבלת הליגה העולמית שנה אחר שנה".

כמה מספרים יכולים להמחיש את עומק הידע ורוחב הניסיון של מעבדת הפיתוח של Cellebrite. ב-15 שנות העבודה למעלה מ-10,000 דגמי טלפון שונים עברו חקירה ופיתוח מתודת זיהוי פלילי ו-200 נוספים נכנסים למעבדה מדי חודש. למרות שהטלפונים השונים משתייכים לכאורה לקבוצות מוגדות היטב, כמו אנדרואיד, iOS או BlackBerry, בפועל כל יצרן מוסיף פונקציונליות קיניינית על ידי הרחבות של מערכת ההפעלה, עיצוב ממשק משתמש ייחודי והתאמות לדרישות מקומיות של הרגולטורים. "אין כזה דבר, פתרון גנרי, בתחום הטלפונים", אומר ליאור בן פרץ. "המהנדסים שלנו צריכים לחשוף את הסודות של טלפונים חדשים באופן יומיומי – ואז להטמיע את היכולת האנליטית כקוד צרוב בגרסת השדרוג הבאה. למעלה מ-30,000 משתמשים בעולם סומכים עלינו, כך שהאחריות להתעדכנות זריזה היא אחד היתרונות התחרותיים המהותיים ביותר שלנו. יש לנו אפילו פתרונות לשליפת מידע מטלפונים סיניים, שמשתמשים בשבבים יחודיים, ופתרון  ייעודי לשחזור נסיעה מקבצים מוצפנים של מכשיר GPS".

כלי עזר לחוקר המתודי

בנוסף, Cellebrite מספקת תוכנה אנליטית לניהול חקירה פלילית עם ממשק משתמש ידידותי. "החוקר לא צריך להיות מומחה ביישומי בינה עסקית (BI) כדי לראות איך כל הפרטים המשוחזרים נופלים למקומם הלוגי, כמו פיסות פאזל מורכב, ונוצרת תמונה קוהרנטית של ההיסטוריה של הטלפון", אומר ליאור. "תוכנת UFED Link Analysis מציעה על המסך הגרפי גישה בקליק ל מודולים אנליטיים, שמובילים את החקירה בכיוונים רלוונטיים למז"פ. אחד המודולים לדוגמה, מיפוי הרשת החברתית של המשתמש, חושף את כל הקשרים לבעלי טלפונים אחרים כולל ציון עוצמת הקשר, בסיס הזמן ביחס לאירועים שונים, שרשרות הררכיה של קשרים ותמונת-על תלת ממדית של הרשת. עבור חוקרים המחפשים שמות של חברי כנופייה שהשתתפו בשוד בנק בתוך הנתונים השמורים בטלפון שנמצא בזירת הפשע, למשל, הפונקציה הזאת מסוגלת לבודד ולסמן אותם כקבוצה נפרדת על סמך הטופולוגיה של רשת הקשרים ביניהם. בצורה דומה, מערכות Cellebrite UFED מופעלות על ידי רשויות הגנת המולדת באיתור חברי רשתות טרור. אתם בוודאי מכירים את הסצנה בסרטי מתח, בה הבלש מציב דגלי אירועים על מפת האזור הנחקר, מחבר אותם בקווים המציינים קשר לוגי או תזמון חשוד, ומדביק תמונות של חשודים בצמתים של המפה. בתוכנת UFED Link Analysis כל העבודה הידנית הזאת מתבצעת אוטומטית, במהירות הבזק, ועל בסיס נתונים מסיבי, ששום בלש לא יכול לעכל ללא סיוע מחשבים".

Cellebrite מעסיקה כ-400 עובדים, מתוכם 300 במטה החברה בפ"ת והשאר במשרדים האזוריים שלה – בארה"ב, גרמניה, סינגפור,ברזיל ואנגליה. כמובילת הענף היא מספקת פתרונות למרבית חברות התקשורת הגדולות בעולם, כולל Vodafone, וורייזון, AT&T, ספרינט/נקסטל, T-Mobile, אורנג', Deutche Telekom ועוד כ-100 אחרות. כחברה פרטית (בבעלות מלאה של Sun Corp. היפנית), Cellebrite לא מפרסמת נתונים עסקיים, אך בחוגי התעשייה מעריכים את מכירותיה השנתיות ב"מספר בן 9 ספרות". בדולרים כמובן. לא פלא שעורכי המגזין SC Magazine סיכמו את מאמר הערכה שלהם במילים: The number one mobile device forensic tool suite available… ונתנו ל-Cellebrite ציון 5 כוכבים מושלם.

אודות מערכת ITnews

נגישות