חלק זה של הסקירה עוסק בטכנולוגיות לחדירה ולחילוץ נתונים לאחר תפיסה פיזית של המכשיר הנייד, להבדיל מחדירה מרחוק למכשיר הנעשית ללא ידיעת בעליו, שבה עוסק תת-הפרק הבא.
ההליך הפורנזי הדיגיטלי, שבמסגרתו משתמשים גופי החקירה בכלים פורנזיים שונים, מאפשר להפיק באופן אוטומטי את מסת המידע האדירה המצויה במכשיר הנייד, לרבות המידע הגלוי והידוע למשתמש הקצה, כגון תכתובות ומדיה, כמו גם מידע שאינו גלוי בהכרח למשתמש ואשר נשמר באופן אוטומטי על גבי המכשיר או בחשבונות ענן המקושרים אליו (דוגמת היסטוריית המיקומים המדויקת שלו, מועדי הפעלה וכיבוי, הזמנים שבהם המכשיר היה מחובר להתקנים חיצוניים ועוד).[1]
תהליך מיצוי נתונים וראיות ממכשירים חכמים כגון טלפונים ניידים במסגרת תהליך החקירה הגלויה נעשה בארבעה שלבים עיקריים:
לאחר תפיסת המכשיר, חיפוש וחילוץ הנתונים ממנו יכולים להיעשות בכמה דרגות טכנולוגיות:
לפי נוהלי משטרת ישראל, חיפוש בחומר מחשב (לרבות טלפונים חכמים) יתבצע באמצעות שכפול מלא של הנתונים השמורים על גבי החומרה של המכשיר (physical extraction), כך שפעולות החדירה והחיפוש הפורנזיות נעשות לאחר מכן כלפי הנתונים המשוכפלים, אם כי נוהלי משטרת ישראל מאפשרים "דפדוף" בזמן אמת על ידי כל שוטר, גם אם אין לו מיומנות והכשרה ייעודית לחיפושים בחומרי מחשב.[2]
טכנולוגיות פורנזיות להפקת ראיות ממכשירים ניידים מאפשרות את מיצוי הנתונים בכל הרמות, תוך התמודדות עם תכונות האבטחה וההצפנה של מרבית הטלפונים הניידים. יצרני טלפונים כמו אפל, סמסונג, גוגל ואחרים משלבים במכשירים אמצעי אבטחה מתוחכמים שנועדו להגן על פרטי המשתמשים במקרה של אובדן או גנבה. היצרנים מפתחים שיטות שמאזנות בין נוחות השימוש לבין אבטחה ופרטיות, אולם האיזון הזה עלול לגרום לפגמים בתכנון, לבאגים בתוכנה או לפרצות אבטחה אחרות שטכנולוגיות פורנזיות לפריצה ולחיפוש במכשירים חכמים יכולות לנצל. לכן, כמתואר בהמשך פרק זה, הכלים הטכנולוגיים כדוגמת אלו שמספקת חברת Cellebrite מסוגלים במקרים רבים לפרוץ או לשבש את אמצעי האבטחה המובנים בטלפונים ולחלץ נתוני משתמשים, לרבות היסטוריית שיחות, מיקומים, אנשי קשר, מסרונים, תמונות, סרטונים ועוד.
מבחינה טכנית, הכלים הפורנזיים להפקת ראיות ממכשירים ניידים באמצעות גישה פיזית אליהם משלבים לרוב תוכנה וציוד היקפי (כבלים, אמצעי אחסון חיצוני וכו'), המאפשרים לפרוץ את מנגנון הנעילה או ההצפנה של המכשיר, לפרוץ את הגנות מערכת ההפעלה ולייצר העתק מלא של המידע הזמין בו.
תמונה 1: מערכת UEFD מתוצרת חברת סלברייט המשמשת לפריצה והעתקה של נתונים מטלפונים חכמים שנתפסו על ידי גורמי אכיפה[3]
מידע פומבי על אודות פעילות הרכש של רשויות הממשל השונות חושף כי בשנים האחרונות נעשה שימוש בכלים של חברת Cellebrite לחדירה ומיצוי נתונים בקרב שורה ארוכה של רשויות בישראל. מסמך רשמי של משטרת ישראל מיום 5.7.2021 מלמד כי Cellebrite מספקת למשטרת ישראל מגוון שירותים בתחום "מיצוי מידע פורנזי ואנלאיטיקה [כך במקור] ממרבית סוגי המכשירים הדיגיטליים בהם אגור מידע".[4] באופן ספציפי, משטרת ישראל משתמשת בכלים הטכנולוגיים הבאים המסופקים דרך חברת סלברייט (המבוססים על תפיסה פיזית של המכשיר, להבדיל מגישה לנתונים מרחוק):
CELLEBRITE UFED 4PC \ Touch:
התקני החומרה והתוכנה הבסיסיים של חברת Cellebrite לפריצה וחיקור של מכשירים ניידים שנתפסו פיזית על ידי רשויות החקירה, המאפשרים לעקוף סיסמאות והצפנה ממכשירי אנדרואיד ו-iOS. כלי זה מאפשר לבצע בממשק אחד פעולות של חדירה, העתקה וניתוח של נתונים מתוך מכשירים ניידים. התוכנה מאפשרת גם לבצע סינונים וחיתוכים בחומר (logical extraction capabilities).לתוכנה יכולות שחזור, חדירת מחסומי הצפנה ואיסוף תוכן שנמחק או מוגדר כ-unknown.[5] לכלי זה יכולת גישה למידע במכשירים נעולים על ידי עקיפה, חשיפה או השבתה של קוד נעילת המשתמש,[6] והוא מאפשר גישה, העתקה וניתוח של נתוני אפליקציות, סיסמאות, דוא"ל, היסטוריית שיחות, SMS, אנשי קשר, לוח שנה, מסמכי מדיה (תמונות, וידאו, אודיו) ומידע על מיקום באמצעות רישומי GPS ממערכת ההפעלה של המכשיר, כרטיס ה-SIM ומרכיבי חומרה נוספים.
איור 2: ממשק מערכת UFED מתוצרת סלברייט המאתר את סוגי המידע השונים שביכולתה לחלץ מטלפונים חכמים[7]
CELLEBRITE PREMIUM[8]
כלי תוכנה זה מאפשר ביטול נעילה במכשירי iso ואנדרואיד, ומבצע העתקה מיידית ראשונית של חלק מהמידע שאינו מוצפן, למניעת פגיעה במידע בהמשך. עם השתכללותם של מנגנוני ההגנה של מכשירי האייפון הפועלים על מערכת iOS המשתמשת במנגנוני הצפנה מובנים ומנעולים מורכבים, עלה הצורך בפיתוח תוכנה ייעודית לחדירה למערכת ה-iOS. התוכנה מאפשרת לשחזר סיסמאות, לחדור לכל קובצי אפל ואף לגשת לאזורים מוגנים ביותר כגון "secure folder" או "iOS keychain" שבהם נשמר מאגר הסיסמאות של המשתמש לשירותים שונים, כגון רשתות חברתיות, שירותים רפואיים, פיננסיים ועוד.
התוכנה מאפשרת גישה לנתוני אפליקציות של צדדים שלישיים, סיסמאות שמורות, שיחות צ'אט (כגון ווטסאפ, פייסבוק, טלגרם ועוד), נתוני מיקום, דואר אלקטרוני וצרופותיו; גישה לתוכן שנמחק; גישה לסיסמאות שמורות ב-Keychain; שחזור נתונים מאפליקציות המערבות צד שלישי; נתוני מיקום הן מ-Wifi והן מיקומים סלולריים (אנטנות סלולריות); גישה לנתוני שימוש במערכת ובאפליקציות (System and Applications Logs).
בצד אלו, רשויות האכיפה בישראל משתמשות בכלים נוספים לחדירה וחיפוש במחשבים שולחניים, אך אליהם לא נתייחס בסקירה זו.[9]
יצרני הטלפונים מצידם מגיבים בעדכוני תוכנה שחוסמים פרצות אבטחה ידועות וממשיכים לפתח אמצעי אבטחה מתקדמים, שנועדו לסכל גישה לא רצויה – כולל כזו שמתבצעת באמצעות כלי זיהוי פלילי למכשירים ניידים. לדוגמה, חברת אפל הודיעה בשנת 2022 על "מצב הנעילה" אשר מיועד להתמודד עם תוכנות הפריצה למכשירים החכמים מתוצרתה.[10] ״משחק החתול והעכבר״ הזה מתרחש כבר שנים, כאשר כלים טכנולוגיים לפריצה וחקירה של טלפונים חכמים משתמשים באינספור טקטיקות לקבלת גישה לנתוני המשתמש: ניחוש סיסמאות, ניצול פרצות אבטחה או כלי פיתוח, ואפילו התקנת תוכנות ריגול.[11]
למעט מקרים נדירים ויוצאי דופן, כלים טכנולוגיים לפריצה וחקירה של טלפונים חכמים כמעט תמיד יכולים לקבל גישה ולהעתיק לפחות חלק מהנתונים המאוחסנים בטלפון.
הודות להצפנה או לאמצעי אבטחה אחרים, כלי זיהוי פלילי למכשירים ניידים לא תמיד מצליחים לחלץ נתונים ממכשיר באופן מיידי. במקרים כאלה הם נוקטים אסטרטגיה אחרת: מנסים סיסמאות אקראיות עד שהם מצליחים לנחש את הסיסמה הנכונה (brute force) ולקבל גישה לנתונים שבמכשיר. אם הסיסמה מורכבת לפיצוח, הכלים הללו יכולים לחפש נתונים לא-מוצפנים שמאוחסנים בטלפון.[12] המפתח לפיענוח ההצפנה בטלפונים רבים מבוסס על סימסת המכשיר, כך שעוצמת ההגנה שההצפנה מספקת נגזרת ישירות מאורך וממידת המורכבות של סיסמת המשתמש. קל יותר לנחש קוד גישה קצר או נפוץ. לפי נתונים של חוקרי הצפנה משנת 2018, פריצת קוד גישה לאייפון תושלם בתוך 13 דקות אם מדובר בארבע ספרות, 22 שעות בשש ספרות ו-92 ימים בשמונה ספרות. אורך ברירת המחדל ב-iOS הוא שש ספרות.[13] המשמעות היא שתוכנות נפוצות מתקדמות כמו GrayKey או Cellebrite Premium יוכלו לנחש קוד גישה למכשיר תוך פחות מיממה. בנוסף, Cellebrite, לדוגמה, טוענת ש-UFED Premium יכול לחלץ נתונים גם ממכשירי אייפון נעולים (באמצעות ניצול חולשות אבטחה או ניחוש סיסמאות שיטתי).[14]
כלים טכנולוגיים לפריצה וחקירה של טלפונים חכמים לא תמיד נדרשים לפצח את הסיסמה, ומנצלים את העובדה שכדי לאזן בין נוחות לבין ביטחון הטלפונים אינם מצפינים את כלל הנתונים במכשיר. רוב האנשים עדיין רוצים לקבל שיחות ומסרונים ולשמוע התראות לאחר שהפעילו את המכשיר וטרם פתחו את הנעילה, לכן נתונים מסוימים אינם מוצפנים בעת ההפעלה, לרבות פרטים הדרושים לקבלת התראות. כמובן יש גישות בסיסיות יותר. לעיתים קרובות רשויות אכיפת החוק מבקשות את ״הסכמתו״ של החשוד לביצוע "חיפוש מרצון" בטלפון, מבלי שהחשוד יודע שיש לו יכולת לסרב.להרחבה, ראו להלן פרק ד,, הסוקר את מסגרת הדין והנוהל להפעלת אמצעי מעקב דיגיטליים בישראל.
נוסף על הכלים המסורתיים לעיל שרשויות החקירה בישראל מפעילות מזה שנים רבות, ראוי להתייחס לטכנולוגיות פורנזיות חדשות שמצטרפות לסדרת ה-UFED, המאפשרות מיצוי וניתוח של מידע אישי מחשבונות ענן ושרתים מרוחקים שלמכשיר הטלפון קיימת גישה אליהם, כגון גיבויים של מכשירים ניידים קודמים, תמונות וקבצים "כבדים" שזיכרון האחסון של המכשיר צר מלהכיל, ולעיתים גם מידע של משתמשים אחרים שמחזיקים בבעלות משותפת על חשבון הענן משיקולי עלות או עבודה משותפת.
אחת הדרכים שבהן כלי זיהוי פלילי למכשירים ניידים ניגשים למידע מרוחק היא באמצעות העתקת פרטי החיבור לחשבון השמורים בטלפון, והתחזות למכשיר של המשתמש. גופי החקירה מקבלים כך גישה לרוב נתוני הענן של המשתמש, לרבות מידע ממדיה חברתית, דוא"ל או גיבויים של תמונות ונתונים אחרים, אשר לרוב אינם מוצפנים. הכלים מנצלים את האפשרות להוריד את כל הנתונים המקושרים לחשבון המשתמש (שירות שמציעות למשל גוגל או פייסבוק) כדי לקבל גישה למגוון רחב אף יותר של נתונים ומקורות מידע. יכולות חסרות תקדים אלו של גישה לנתונים הנמצאים בשרתים מרוחקים (להבדיל מנתונים המאוחסנים על מכשיר הטלפון שנתפס) מעוררות שאלות משפטיות רבות, כמפורט להלן בפרק ה.3.
משנת 2020, חברת סלברייט מציעה ללקוחותיה את הכלי UFED CLOUD,[15] המאפשר לחלץ ולנתח מידע באופן אוטומטי מלמעלה מ-50 שירותי ענן ומקורות מקוונים באמצעות פרטי ההתחברות של בעל המכשיר:[16]
- שירותי אחסון בענן, כגון Dropbox, OneDrive, Google Drive, Google Photos ועוד.
- שירותי גיבוי מקוונים, כגון Google Backup, iCloud ועוד.
- חשבונות דואר אלקטרוני ויומן, כגון Gmail, Google Calander ועוד.
- אפליקציות מסרים מיידיים, כגון Whatsapp, Facebook Messenger ועוד.
- רשתות חברתיות (לרבות היסטוריית שיחות, מידע על פעילות ומיקומים), כגון Facebook, YouTube, Ok Cupid, Instagram, Twitter ועוד.
- חשבונות גוגל/אנדרואיד, הכוללים לרוב גיבויים, שמירת סיסמאות, תיעוד של חיפושים, פעילות, מיקומים, אנשי קשר ועוד.
- חשבונות בדפדפנים, כגון Google Chrome או FireFox (הכוללים לרוב היסטוריית גלישה וסיסמאות שמורות).
צילומי מסך של מערכת UFED Cloud Analyzer כפי שהוצגו בסרטון מידע מטעם חברת סלברייט[17]
מקורות
[1] Upturn Report, לעיל ה"ש 10.
[2] ראו להלן בפרק ד.2.
[3] צילום: Yaniv Shif. מקור התמונה: The Intercept (קישור).
[4] בקשה לפרסום התקשרות עם חברת סלברייט (קישור). להרחבה, ראו להלן פרק ג.1.
[5] Cellebrite UFED product overview (קישור).
[6] במכשירי אנדרואיד: יכולת לעקוף מערכות לנעילת המכשיר, לרבות נעילת תבנית (pattern lock), סיסמה מספרית, וקוד PIN. במכשירי BlackBerry: יכולת לחדור לנתוני BBM, דוא"ל, אפליקציות, נתוני בלוטות' ועוד. במכשירי נוקיה: יכולת חילוץ סיסמאות ממכשיר נעול. במכשירי אייפון: יכולות מיצוי ודי-קודינג. בצ'יפים סיניים: יכולות מיצוי.
[7] מקור: Upturn Report, לעיל ה"ש 10.
[8] Cellebrite PREMIUM solution overview (קישור).
[9] לפי מסמכי הרכש של רשויות אכיפת החוק בישראל (ראו להלן בפרק ג.1) נמצאים ברשותן גם הכלים הבאים: Cellebrite Macquisition \ Digital Collector: תוכנה לחדירה למכשירים מתוצרת אפל. בעזרת התוכנה ניתן לחדור למחשב, להשיג נגישות לתיקיית הקבצים ולהעתיק כמויות גדולות של מידע (לא רק קבצים ספציפיים אלא גם בלוקים שלמים של נתונים). התוכנה מאפשרת חיפושים מושכלים בתוך מקבצי המידע ומאפשרת לעיין בתצוגה מקדימה של קבצים נבחרים גם טרם העתקת החומרים, וכן להציג בחינה מדגמית של החומר בהתאם לקריטריונים רלוונטיים ולאסוף מידע המתקבל בזמן אמת כאשר הטלפון מוחזק בידי רשויות החקירה (קישור לפרטי הכלי באתר Cellebrite); Cellebrite Black Light \ Inspector: תוכנה לעיבוד וניתוח של נתוני פעילות משתמש ממערכות הפעלה Windows ו-Mac OS למחשבים אישיים: שחזור היסטוריית הפעילות והשימוש במכשיר, שחזור זיכרון, גישה לגיבויים ומידע שהתקבל במכשיר תוך אפשרויות חיפוש מתקדמות. כלי זה כולל גם אפשרות למצות נתונים ומידע מאפליקציות ממערכות ההפעלה iOS ואנדרואיד למכשירים חכמים, לרבות: שיחות והודעות, לוח שנה, העברות בארנק הדיגיטלי, מידע בריאותי ועוד (קישור לפרטי הכלי באתר Cellebrite).
[10] (קישור לפרטים באתר Apple).
[11] מישור התמודדות נוסף של חברות הטכנולוגיה עם כלים פורנזיים המבוססים על פריצה או ניצול חולשות אבטחה במערכותיהם הוא תביעות משפטיות בגין חדירה לא מורשית למערכת מחשבים. ראו למשל תביעת חברת Apple נגד NSO משנת 2021 (קישור); תביעת חברת Meta נגד NSO משנת 2022 בעקבות פריצה למערכות WhatsApp (קישור).
[12] Upturn Report, לעיל ה"ש 10, בעמ' 27.
[13] D. Pegg & S. Cutler, What is Pegasus spyware and how does it hack phones, The Guardian, 2021 (link).
[14] Cellebrite PREMIUM solution overview (קישור).
[15] Cellebrite UFED CLOUD product overview (קישור).
[16] מקור:https://cellebrite.com/en/ufed-cloud-analyzer-5 . פעולה זו נעשית לרוב באמצעות האפשרות של שירותים מקוונים רבים לאפשר למשתמש להוריד את כל המידע האגור עליו.
[17] קרדיט: Cellebrite, שם.
[18] דין וחשבון הצוות לבדיקת האזנות סתר לתקשורת בין מחשבים (אוגוסט 2022) (להלן: דו"ח מררי) בעמ' 25 ("רוגלה היא תוכנה המותקנת באופן סמוי על גבי מערכת מחשוב (בין אם מרחוק או באופן פיזי), ומאפשרת נגישות לצד התוקף למערכת המחשוב הנתקפת"); דו"ח נציב הגנת הפרטיות באיחוד האירופי מיום 15.2.2022 (קישור) (להלן: דו"ח נציב הגנת הפרטיות-2022).
