החזירו אותם הביתה עכשיו

ב.2 חדירה, חיפוש והאזנה למכשירים חכמים באופן סמוי (רוגלות)

שלב החקירה הסמויה מתאפיין בעיקר בהפעלת כלים לאיסוף ראיות אשר מושא החקירה איננו מודע להם, ואיננו מעומת איתם כמפורט להלן, ולכן הוא בעל השפעה עצומה על זכות האזרח להליך הוגן. מרבית השיטות והאמצעים הטכנולוגיים של המשטרה מוגדרים על ידה כבעלי חיסיון, אולם הואיל ואלו נבחנים שוב ושוב בפסיקה ובפרקטיקה הנוהגת, הרי שמרביתם הפכו גלויים והמתודה שביסודם גם הפכה גלויה, וההתייחסות להלן כולה מקורה במקורות גלויים. כלל השיטות שנסקור בפרק זה יכולות להיות מופעלות החל משלב החקירה המודיעינית אשר מתבצעת ביחידות המודיעין השונות וביניהן יחידת הסיגנט ויחידת הסייבר, והן בשלב החקירה הסמויה על בסיס בקשת היחידה החוקרת.

רוגלה (spyware) היא תוכנה המותקנת באופן סמוי על גבי מערכת מחשוב (לרבות מכשירים חכמים), לרוב באמצעות תקיפה המנצלת חולשות במנגוני אבטחה קיימים של מכשירים ותוכנות אחרות, המעניקה לתוקף המפעיל אותה גישה למערכת המחשוב שעליה הותקנה.[18] קיים ספקטרום רחב של פעולות שרוגלות שונות מסוגלות לבצע. לצורך סקירה זו נבחין בין רוגלות שיכולותיהן מוגבלת ל"האזנת סתר" בלבד, קרי ניטור שיחות קוליות והודעות מיידיות (instant messaging) של מכשיר יעד, שהיו נפוצות בעשור הקודם,[19] לבין רוגלות מודרניות דוגמת Pegasus מתוצרת חברת NSO, המספקות גישה מלאה לנתונים הקיימים במכשיר היעד, לרבות אפשרות להעתיק/למחוק מידע או ליזום גישה למידע נוסף (מחיישני המכשיר או מחשבונות ענן המקושרים אליו).

במהלך שנת 2022 נמצא כי משטרת ישראל מפעילה מזה תקופה כלי סייבר התקפי מתוצרת חברת NSO המכונה "סייפן", המאפשר לגורמי החקירה חדירה נמשכת ונסתרת לטלפון החכם של הנעקב, וגישה למכלול הנתונים הזמינים בו או באמצעותו. לפי דו"ח מררי,[20] השימוש בתוכנה לצורך ביצוע "האזנת סתר לתקשורת בין מחשבים" (חדירה נמשכת, נסתרת ומרחוק לטלפונים חכמים והנתונים הקיימים בהם, לרבות נתוני עבר ועתיד) "החל לערך בשנת 2016".[21]

תת-פרק זה מציג את הטכנולוגיה והיכולות של כלים מסוג זה, להבדיל מפריצה וחיפוש במכשירים שנתפסו שבהם עסק תת-הפרק הקודם. מכיוון שלא נחשפו לציבור פרטים על מערכות NSO המכונות "סייפן", הסקירה בחלק זה מתבססת על מקורות מוסמכים ליכולותיו של הכלי Pegasus שאותו מספקת NSO, ואשר לו יכולות ומנגנוני פעולה דומים.[22]


כלי ריגול כדוגמת פגסוס, או מערכות דומות המופעלות בשלב החקירה הסמויה, נועדו לתקוף בהצלחה כמעט כל טלפון חכם עם מערכת הפעלה iOS או אנדרואיד, על פי הנתונים הספציפיים של היעד – כגון מספר הטלפון הסלולרי. באופן בלתי נראה לעין לבעל המכשיר, כלים אלה יכולים להפוך טלפון סלולרי למכשיר מעקב הפועל 24 שעות, בעודם משיגים גישה מלאה לכל חיישני הטלפון והנתונים השמורים בו. בנוסף, רוגלות מסוג זה מאפשרות לקרוא, לשלוח או לקבל הודעות שאמורות להיות מוצפנות מקצה לקצה, להוריד תמונות שמורות בטלפון ולהאזין לשיחות קוליות/וידאו, ולהקליט אותן.[23] לשם כך, רוגלות כגון פגסוס מנצלות נקודות תורפה בטלפונים ניידים של אנשים מזוהים מראש, אינה זקוקה למעורבות של ספקי שירותי תקשורת אלקטרוניים, ומשלבת מגוון כלי מעקב אלקטרוניים.[24] הרוגלה נטענת ומותקנת באופן אוטומטי במכשיר של היעד אחרי שמפעיל התוכנה (1) גורם ליעד ללחוץ על קישור תמים למראה (SMS phishing link – קישור דיוג בהודעת טקסט), או (2) גורם למכשיר של היעד להתחבר לרשת סלולרית מזויפת שידועה בשם IMSI catcher (network injection – הזרקה לרשת), או (3) מנצל נקודת תורפה לא ידועה (zero-click exploit – פריצה ללא לחיצה), כלומר ללא כל פעולה מצד היעד.[25]

ככל שהרוגלה נטענת ומותקנת בהצלחה על מכשיר היעד מרחוק היא מאפשרת למפעילה גישה מלאה לתוכן ההיסטורי שנאגר במכשיר וחומרתו, וזו מאפשרת לחוקרים להשתמש במצלמה או במיקרופון של הטלפון הנייד בחשאי כדי לצלם את המשתמש ואת סביבתו או כדי להפעיל את המיקרופון ולהקליט שיחות בעולם האמיתי (למשל של אנשים בקרבת המשתמש). בין היתר, לכלים אלו יש גישה מלאה גם למודול המיקום הגאוגרפי של הטלפון, כלומר הם יודעים היכן נמצא הטלפון הנעקב (וככל הנראה גם בעליו) בכל רגע נתון, והם מסוגלים להקליט גם את השינויים במיקום הטלפון לאורך זמן.[26]

בנוסף על כך שכלים כגון Pegasus או "סייפן" אינם מוגבלים לאיסוף מידע רק מיום תחילת ה"האזנה",[27] הם נבדלים מטכנולוגיות האזנה מסורתיות של רשויות האכיפה, במישורים נוספים:

  • רוגלות מעקב לטלפונים חכמים דוגמת פגסוס מאפשרות גישה מלאה ובלתי מוגבלת למכשיר היעד ולכל חשבונות הענן שיש לו גישה אליהם. על פי מחקר שערכה מעבדת האבטחה של אמנסטי אינטרנשיונל, תוכנת ריגול זו מאפשרת לתוקף לקבל מה שמכונה "הרשאות שורש", או הרשאות ניהול, במכשיר: "פגסוס מסוגלת לעשות יותר במכשיר מאשר בעל המכשיר עצמו".[28] לאור היכולות חסרות התקדים הללו, אי אפשר לשלול את האפשרות של שימוש בפגסוס מעבר להאזנה לשיחות. לדוגמה, הכלי יכול לאפשר לתוקף לקבל גישה לאישורים דיגיטליים או לאפליקציות זהות דיגיטלית, ובאמצעותם ניתן להתחזות לקורבן ולקבל גישה לנכסים הדיגיטליים והפיזיים שלו, או לבצע פעילויות דומות אחרות.[29]
  • יכולת לבצע "הדבקה" מרחוק של טלפונים ללא צורך בפעולה של המשתמש (Zero-Click), כך שאפילו משתמש בעל ידע רב באבטחת סייבר אינו מסוגל לעשות דבר כדי למנוע את המתקפה. יתר על כן, אפילו הספקים הגדולים ביותר של מכשירים, כגון אפל וגוגל, אינם מסוגלים בהכרח לתת הגנה מלאה לאנשים פרטיים מפני תוכנות זדוניות (זדונה) מודרניות כמו פגסוס – על אף מאמציהם הבלתי נלאים לשפר את האבטחה של התוכנות שלהם. על פי דו"ח נציב הגנת הפרטיות של האו"ם משנת 2022, לחברות פריצה פרטיות, כגון קבוצת NSO, יש עוצמה פיננסית המאפשרת להן לשכור מהנדסי תוכנה מבריקים, שתפקידם היחיד הוא לחפש נקודות תורפה (אלה תמיד קיימות) ולפתח אמצעים רבי עוצמה, כך שיכולותיהן של חברות אלה אינן שונות באופן מהותי מאלה של מדינת לאום.[30]
  • כמעט בלתי אפשרי לגלות את פעולתה של פעולת פגסוס בזמן אמת או בעבר, אלא אם כן מערכת ההפעלה כוללת מנגנוני רישום מערכתיים מאובטחים.[31] חוקרי אבטחה חושדים שגרסאות עדכניות של פגסוס שוכנות רק בזיכרון הזמני של הטלפון, ולא בכונן הקשיח שלו, כלומר: ברגע שהטלפון כבוי, למעשה כל זכר לתוכנה נעלם.[32] יתר על כן, ההטמעה של מחשוב ענן מאפשרת לחברות פרטיות המוכרות תוכנות זדוניות ותוכנות ריגול לספק ללקוחותיהן גישה למכשירו של הקורבן דרך אתר אינטרנט, מבלי שהלקוח יצטרך לרכוש חומרה או להתקין תוכנה כלשהי על מערכות המחשוב שלו.[33]

על רקע זה, חשוב להבין כי ביצוע של "האזנת סתר לתקשורת בין מחשבים" באמצעות רוגלות כדוגמת pegasus לרוב כרוך בביצוע העבירות הפליליות שקובע חוק המחשבים: שיבוש או הפרעה למחשב או לחומר מחשב; חדירה לחומר מחשב; כתיבה או העברה של תוכנה שתוצאתה תהיה מידע כוזב או פלט כוזב; או פעולות אסורות בתוכנה.[34] דוגמה ממחישה לכך היא פרשת ריגול מסחרי שכונתה פרשת "הסוס הטרויאני", בה הורשעו מי שפיתחו והפעילו תוכנה סמויה שעם חדירתה למחשב כלשהו מבעד לאינטרנט יש ביכולתה לקבל ולהעביר למפעיליה נתונים שונים המצויים במחשב שאליו חדרה.[35]

על כן, אין להשוות את פגסוס לכלֵי האזנה "מסורתיים" המשמשים את רשויות האכיפה; נראה שפגסוס דומה יותר לפתרונות "טרויאניים" או לפתרונות "חיפושים מקוונים"[36] שהופעלו בעבר על ידי ממשלות והעלו חששות משפטיים ומוסריים בלתי מבוטלים.[37] בשל התכונות הייחודיות שלה, תוכנת הריגול פגסוס ודומותיה מהוות נקודת מפנה המשלבת דרגת פולשנות חסרת תקדים בהשוואה ליכולות עבר, עם תכונות המסוגלות להפוך רבים מאמצעי הנעילה והאבטחה של המכשירים החכמים לבלתי יעילים ולחסרי משמעות. כמובן פגסוס אינה יחידה מסוגה, וחברות נוספות מפתחות כלי סייבר התקפי עבור רשויות אכיפת חוק מדינתיות.


עם חתימה, נציין כי ייתכן מצב שבו כלי הסייבר ההתקפי שמפעילה משטרת ישראל יוגבל באופן אפקטיבי ממימוש היכולות חסרות התקדים של פגסוס. אולם, נכון למועד כתיבת שורות אלו, במרבית תקופת פעילותה של מערכת סייפן משנת 2016, ולפחות עד אפריל 2020, לא ניתן היה להגביל את המועד אשר החל ממנו יתקבל המידע או תבוצע הגישה למידע נוסף מהטלפון החכם שאינו "שיחה". על פי דו"ח מררי, החל מאפריל 2020 נכלל "מודול" חדש בממשק המשתמש של מערכת NSO שברשותה המאפשר להגביל את המידע המתקבל לתאריכים תחומים ומוגבלים, או את סוגי התוצרים שיתקבלו במסגרת הפעלת הרוגלה.[38] עם זאת, כפי שהדו"ח מציין, גם לאחר הטמעת המודול החדש והאפשרות להגביל את יכולות הכלי לא היה ממשק שהיווה תנאי הכרחי מבחינה טכנולוגית לביצוע ההדבקה.[39]

על כן, אנו סבורים כי בעת הזו ראוי להתייחס מבחינה תאורית ליכולות הפוטנציאליות של מערכת "סייפן" כדומות במהותן לאלו של רוגלות דוגמת Pegasus. זאת, בין היתר, בהסתמך על הממצאים שלפיהם במערכת "סייפן" ובמערכות דומות נוספות שבידי משטרת ישראל לא נוונה באופן מלא היכולת הטכנולוגית לקבל את סוגי המידע הבאים שאינם מהווים מידע מסוג "תקשורת בין-מחשבים", כגון רשימת אפליקציות המותקנות על גבי המכשיר המודבק,[40] ונתונים אישיים מסוג פתקים, אנשי קשר או פרטי יומן[41] החורגים מסמכות המשטרה לפי חוק האזנות סתר, שאינה כוללת אפשרות לגשת למידע האגור במכשיר.[42] מידע מסוג זה אף התקבל בפועל לא אחת אצל המשטרה,[43] ואף לאורך תקופת פעילותה של המערכת הייתה אפשרות שבה "באופן פאסיבי ייחשף מידע למפיק… גם אם המפיק לא נכנס באופן אקטיבי לצפייה באותו פריט מידע".[44]

מקורות

[19] דוגמה לרוגלות מוגבלות אלו היא מערכת "חלוץ" שפותחה בשנת 2013 על ידי משטרת ישראל, אשר באמצעות נגישות פיזית מאפשרת חדירה לטלפונים חכמים וביצוע האזנת סתר (דו"ח מררי, בעמ' 14).

[20] דו"ח מררי, לעיל ה"ש 39.

[21] שם, בעמ' 31 ("לאורך כל תקופת פעילותה של המערכת במשטרה (בין השנים 2021-2016)").

[22] על פי דו"ח ועדת מררי, מערכת סייפן אינה מוגבלת בפועל לאיסוף תוצרים חדשים בלבד (כפי שהאזנת סתר "רגילה" מוגבלת): ראשית, מערכת סייפן מאפשרת למשטרה לקבל מידע האגור על מכשיר היעד ושנוצר קודם למועד ההדבקה; יכולת זו הופעלה במקרים מספר על ידי חוקרי משטרת ישראל והתקבל באמצעותה מידע שנוצר טרם מועד ההדבקה הראשון, ואף קודם למועד צו בית המשפט. שנית, במערכת הסייפן לא נוונה היכולת לקבל מידע שאינו מהווה תקשורת בין מחשבים כגון פרטי יומן, אנשי קשר, פתקים או רשימת האפליקציות המותקנות, וגם מידע זה התקבל פעמים רבות במסגרת הפעלת הכלי. שם, בעמ' 33.

[23] סקירת היכולות ואופן הפעולה של רוגלות דוגמת פגסוס של חברת NSO נסמכת על המקורות הבאים: דו"ח נציב הגנת הפרטיות באיחוד האירופי מיום 15.2.2022, לעיל ה"ש 39; דו"ח פורנזי של Amnesty International's Security Lab מיום 18.7.2021 (קישור) (להלן: דו"ח אמנסטי-2021); דו"ח פורנזי של Citizens Lab מיום 18.9.2018 (קישור).

[24] European Parliamentary Research Service, Europe's PegasusGate (2022) (link).

[25] שם, בפרק 2.

[26] שם.

[27] לגבי Pegasus, ראו שם. לגבי "סייפן", ראו דו"ח מררי, לעיל ה"ש 39, בעמ' 33 ("בפועל לא ניתן היה להגביל את התקופה אשר החל ממנה יתקבל מידע אגור, ועל כן התקבל במקרים רבים מידע הקודם למועד ההתקנה הראשון ואף הקודם למועד צו בית המשפט").

[28] דו"ח נציב הגנת הפרטיות, לעיל ה"ש 39, בעמ' 3.

[29] שם.

[30] שם. ראו גם: L.H. Newman, Google Warns That NSO Hacking Is On Par With Elite Nation-State Spies, Wired (15.12.2021) (קישור).

[31] דו"ח נציב הגנת הפרטיות-2022, לעיל ה"ש 39.

[32] שם; Pegg & Cutler, לעיל ה"ש 34.

[33] דו"ח נציב הגנת הפרטיות-2022 ודו"ח אמנסטי-2021, לעיל ה"ש 39.

[34] סעיפים 2–6 לחוק המחשבים.

[35] לתיאור פרטי הפרשה, שעסקה בין היתר בעבירות של חדירה לחומר מחשב, החדרת נגיף מחשב והאזנת סתר שלא כדין, ראו: בש"פ 7368/05 זלוטובסקי נ' מדינת ישראל (4.9.2005).

[36] להרחבה על אודות המונח Government Trojan ועוצמת החודרנות של כלים אלו, ראו בקישור.

[37] GFF Challenge to use of government spyware, Privacy International (2021) (link).

[38] דו"ח מררי, לעיל ה"ש 39, בעמ' 35 ("רק באפריל 2020 לערך, בגרסה מתקדמת יותר של המערכת, נכלל מודול חדש בממשק המשתמש שבידי המשטרה, שמכונה "מודול ה-warrant". מודול זה אפשר להזין את התאריכים לביצוע ההאזנה ("בהתאם לתוקפו של צו בית המשפט").

[39] דו"ח מררי, שם, בעמ' 36 ("לפי בדיקת הצוות, גם לאחר אפריל 2020 אכן היו מקרים רבים בהם בוצעה הדבקה ללא הזנה של warrant אשר מאפשר להגביל את המועד ממנו יתקבל מידע אגור… כפי שנבדק על ידי צוות הבדיקה בעזרת נתונים שנשלפו מבסיס הנתונים של המערכת, אף לאחר שנוסף מודול ה-warrant באפריל 2020, לא החל שימוש מידי וגורף בממשק זה").

[40] דו"ח מררי, שם, בעמ' 38 ("בכל פעם שבה מערכת סייפן מותקנת על גבי מכשיר הטלפון של יעד מסוים, מוצגת באופן אוטומטי בממשק המשתמש שבידי המשטרה רשימת האפליקציות המותקנת על גבי המכשיר (קרי, שמות האפליקציות המותקנות בלבד) באופן דומה, גם במערכת הנוספת שבשימוש המשטרה מתקבלת באופן אוטומטי רשימת האפליקציות עם ההתקנה. במערכות אלה רשימת האפליקציות מוצגת הן למפעיל, שאחראי על התקנת הכלי, והן למפיק שאחראי על הפקת התוצרים שמתקבלים מהכלי").

[41] דו"ח מררי, שם, בעמ' 39 ("פתקים, אנשי קשר ופרטי יומן הם מסוגי המידע אשר לכל אורך תקופת פעילותה של מערכת סייפן לא היה חולק בייעוץ המשפטי למשטרת ישראל כי אין סמכות לקבלם. אף על פי כן, בפועל, לא נוונו טכנולוגית יכולותיה של המערכת לקבלת מידע מסוג זה") ועמ' 58 ("הייתה ידיעה בראשית הדרך לכל הפחות לבעלי התפקידים הבכירים בחטיבת הסייבר ולייעוץ המשפטי למשטרה כי המערכת של חברת NSO היא מערכת בעלת יכולות לקבלת מידע האגור על מכשיר הטלפון הנייד ואותו "מוצר מדף" בעל יכולות טכנולוגיות החורגות מהסמכויות הנתונות למשטרת ישראל ועל כן נדרשים ניוונים טכנולוגיים… הלכה למעשה לא נוונו יכולות טכנולוגיות אשר חורגות מהסמכויות על פי דין כגון היכולת לקבל מידע אגור, וכן סוגי מידע שאינם תקשורת בין מחשבים, ביניהם אנשי קשר, יומן ופתקים").

[42] דו"ח מררי, שם, בעמ' 34.

[43] שם, בעמ' 35. לפי הדו"ח, אין הכוונה כי עשויה הייתה להתקבל במקרים אלו כל תכולת המכשיר הסלולרי, אלא רק מידע אגור מסוג המידע שהמערכת מסוגלת לאסוף ואשר ביחס אליו התבקש באופן אקטיבי לקבל מידע אגור לצורך השלמת פער הזמנים שבו הכלי חדל לפעול.

[44] דו"ח מררי, שם, בעמ' 40 ("המערכת פועלת כך שלעתים תוצר יופיע למפיק על הצג גם אם המפיק לא נכנס באופן אקטיבי לצפייה באותו פריט מידע. כך למשל, עם הכניסה של המשתמש לממשק התוצרים שהתקבלו, הפריט עם התאריך הכי קרוב יופיע ראשון עבור המטרה שצופים בה במסך").