חקירות סייבר אזרחיות

מאת אייל שרון, לשעבר ר' תחום מודיעין ביחידת הסייבר להב 433

תחום הסייבר פולש לכל חלקה בחיינו בהווה והצפי לשינוי עתידי הינו רק התגברות התופעה. למילה סייבר אין הגדרה חד משמעית ומוסכמת (באף שפה) וכל השומע אותה מפרש אותה כמיטב הבנתו וידיעותיו. במאמר זה, המופנה בעיקרו לאוכלוסיית חוקרים פרטיים ועורכי דין, אנסה להביא נקודת מבטי לגבי עיקרי הנושאים הקשורים בחקירת סייבר אזרחית.

בחודשים האחרונים, פנו אלינו, חברות, אנשים פרטיים, חוקרים פרטיים ועורכי דין אשר ביקשו שירות דומה והאינטראקציה איתם הביאה אותי להבנה שיש לחדד את האפשרויות הגלומות בהסתייעות בחוקרי סייבר מנוסים.

לעיתים, קיימת ההרגשה שמזמיני השירות מאמינים שאדם הבקיא בעולמות הסייבר הוא "קוסם סייבר", ותוצאות העבודה תתקבלנה במהירות האינטרנט המהיר.

אציין שאם קיימות ראיות החוקר, ככל הנראה ימצא אותן, אולם מאמר זה יפרט כיצד וחלק מהמכשלות הקיימות, לדוגמה:

• אם הנחקר מתאמץ להסתוות מראש (ובהנחה שהוא יודע מה הוא עושה) הסיכויים קטנים בהרבה.

• אם לא קיימות כאלו בגלל שלא היו מלכתכילה - לא יהיו ראיות למצוא.

בגדול אפשרי לחלק את סוגי החקירות לשלושה סוגים:

1. חקירה לגבי אדם / דמות וירטואלית

2. חקירה לגבי ארגון / אתר אינטרנט / רשת מחשבים

3. איסוף ראיות פורנזיות ישירות ממחשב / טלפון סלולרי / כל מדיה דיגיטלית אחרת.

סוגי החקירות המתוארות, שונות אחת מהשנייה הן בהתייחסות לחקירה והן בכלים בהם יבוצע שימוש. חקירת הסייבר יכולה להופיע בצורת חקירה ראשית או חקירה משנית / תומכת, בחקירה מורכבת יותר.

בנוסף, אזכיר שההתייחסות למשקל הראיות בדין האזרחי, שונה ממשקלן לצורך הוכחת עוולה מהותית מהדין הפלילי. יחד עם זאת, תמיד יש לזכור שחקירה עלולה להסלים מאזרחית לפלילית. או אז, החוקר צריך לאסוף ראיות ולתעד אותן בצורה טובה ומדויקת יותר ולפי פקודת הראיות.

במאמר זה ההתייחסות למילים חקירה, ראיות, מידע ומודיעין ברוב המקרים זהה.

מאפייני חקירת הסייבר

1. פניה לחוקר הסייבר – הפניה לחוקר הסייבר תעשה על פי רוב, ע"י מתווך (חוקר פרטי או עו"ד) אשר מזהה צורך בחקירה עבור הלקוח. פניה זו צריכה להיות מפורטת ככל האפשר. במקרה כזה, הלקוח של חוקר הסייבר יכול להיחשב הגורם הפונה או הלקוח הסופי. בכל אחד מהמקרים, חוקר הסייבר צריך לבצע תשאול יסודי של הלקוח הסופי שכן הוא יכול לדעת פרטים חשובים מאד לחקירת הסייבר שהמתווך כלל אינו יודע לשאול וגם אם שמע אותם יתכן שלא ייחס להם חשיבות.

2. משך החקירה:

קשה מאד להעריך את משך החקירה, אשר תלוי בגורמים רבים לדוגמה:

א. חיפוש במחשב או בסלולרי:

1) נפח המידע

2) כמות קבצים

3) שיחזור קבצים מחוקים

4) איתור ראיות בכלים אוטומטים או ידניים

5) מערכות הפעלה שונות.

ב. כריית מידע ברשת האינטרנט – כריית המידע הינה פעולה מתמשכת ומעת לעת אף מוערמים קשיים על פעולה זו בשל שינויים המבוצעים ע"י ספקיות תוכן (לדוגמה פייסבוק, אינסטגרם טיקטוק וכד')

משפיעים על יכולת השימוש בכלי החיפוש והכרייה. הפלטפורמות בהן נאסף מידע, משתנות חדשות

לבקרים, לדוגמה פייסבוק משנה אחת לכמה חודשים את האתר והממשק, עובדה זו מקשה על העבודה על העבודה ומצריכה ביצוע התאמות אשר לוקחות זמן. דוגמה מעולה היא ההכרזה של פייסבוק על שינוי השם ל META.

חקירה ידנית, ועבודת החוקר בכובע של אנליסט סייבר, נדרשת בחלק גדול מהמקרים, מטבע הדברים היא תהיה איטית הרבה יותר מאיסוף מכלי חיפוש אוטומטיים.

ג. רישום ותיעוד הממצאים – על החוקר להעלות על הכתב מסמך המפרט, מציג ומתאר את הממצאים ומתודולוגית הבדיקה. כל ממצא ברשת האינטרנט יכול להשתנות או להעלם מסיבות שונות.

ד. פעולות מול רשויות, ארגונים וחברות - התכתבות לקבלת הבהרות, צווי בית משפט אזרחיים וכו'

3. תכליות החקירה – נושאי חקירה יכולים להיות מגוונים לדוגמה:

א. איתור אדם או אנשים

ב. זיהוי דמות וירטואלית

ג. איסוף ראיות לבית משפט על עבירה, חד פעמית או מתמשכת (לדוגמה לשון הרע)

ד. איסוף מודיעין לטובת חקירה בבימ"ש

ה. Due diligence – איסוף מידע על מצב כלכלי אישי של אדם או חברה כחלק מבדיקת נאותות.

ו. איסוף מידע עסקי על שותפים או מתחרים

ז. איתור מיקום גאוגרפי לפי תמונות או סרטונים

4. רמת שיתוף פעולה מהלקוח הסופי – נתקלנו במקרים בהם הלקוח הסופי אינו משתף פעולה עד הסוף

ומעוניין להסתיר חלק מהמידע. בסעיף זה שתי הערות:

א. חוקר הסייבר עלול למצוא את האינפורמציה המוסתרת תוך כדי החקירה.

ב. הסתרת מידע ע"י הלקוח הסופי, פוגעת ביכולת להגיע לתוצאות וכמובן מאריכה את משך החקירה

5. פורנזיקה דיגיטלית – פורנזיקה דיגיטלית, משמעה מציאת ראיות במדיות דיגיטליות דוגמת מחשב, טלפון סלולרי, דיסק חיצוני, זיכרון נייד, רשת מחשבים, ענן וכד'. בין אם הן קיימות (לוגי) או מחוקות / מוסתרות (פיזי). ראיות אלו צריכות להיות מטופלות ומתועדות בהתאם לפקודת הראיות, על מנת להתמודד עם טענות נגד בבית משפט. כאמור ישנם משתנים רבים המשפיעים על חילוץ הראיות, לדוגמה ראיות מחוקות שנדרש לשחזרן, בין אם שחזור מוצלח או שחזור חלקי. וכמובן, פרשנות שיש לתת לראיות בדוח הסופי.

6. כלי החקירה - כלי חקירה מבוססים על ידע נרחב כיצד פועלת רשת האינטרנט ומעקב מחקר יומיומי של המבנה והשינויים בפלטפורמות בהן מבוצעות החקירות. כלים אלו וכלי התיעוד של מידע דיגיטלי, מתפתחים, משתנים ולעיתים מפסיקים לפעול מאחר ואין להם יותר תמיכה מצד המפתחים. במקרים אחרים, כלים נחסמים על ידי הפלטפורמות בהן מבוצעת החקירה (לדוגמה רשתות חברתיות שהמדיניות שלהן היא איסור שימוש בכלים אוטומטים לשמירת המידע המפורסם בפלטפורמה שלהן).

7. עלויות החקירה – מצד הלקוח בין אם זה החוקר / עו"ד או הלקוח הסופי, נכון לנסות ולברר את עלות החקירה. יחד עם זאת, לחוקר בד"כ קשה להעריך את כמות העבודה שיש להשקיע בחקירה ולכן קיימת אפשרות תמחור שונות לדוגמה בנק שעות, שלבי עבודה (בדיקת היתכנות, שלב א, ב וכד') ולהתקדם לפי הצורך. יש להניח שאם החקירה תגיע למבוי סתום בשלב ראשון, לא נסגר עליה הגולל. כמו בכל חקירה, החוקר בחלק מהמקרים ניזון מטעויות שהנחקר מבצע.

לעיתים, לאחר תחילת איסוף הראיות, ימצא מידע חדש, שבאמצעותו אפשר לקיים מעקב וירטואלי, מעת לעת אחר הנחקר ולעיתים אף לתכנן ולבנות כלי חקירה ייחודיים וייעודיים לחקירה ספציפית ולנחקר ספציפי. כלים כאלו, לוקח זמן לאפיין ולהקים ויש משמעות מיוחדת לידע ולניסיון של החוקר.

8. חוות דעת לבית משפט – סיכום תוצרי החקירה או מעיון במסמכי תיק קיים (לפי דרישת לקוח) ניתן להכין חוו"ד מומחה שתוצג בבית המשפט.

9. הכנת סנגור / תובע – ניתן לקבל ייעוץ פרונטלי כחלק מסיכומי החקירה בנוגע לראיות שיוצגו בבימ"ש וחקירת עדים בגינן.

לסיכום

מאמר זה בא לתאר בפני כל מי שקם לו הצורך לבצע חקירת סייבר מכל סוג שהוא, חלק מהיכולות, התכליות, המכשלות והשיקולים הקיימים כמו גם את אופן הפניה וחשיבות שיתוף חוקר הסייבר במידע. יחד עם זאת, חשוב להדגיש שלחקירת סייבר אמורה להיות תוצאה מספקת עבור הלקוח ולכן על הלקוח להגדיר במדויק לאילו תוצאות הוא מצפה שהחוקר יכוון את מאמציו.

מאמר זה הינו זרקור קטן על עולם חקירות הסייבר ומומלץ בכל מקרה להתייעץ עם חוקר הסייבר לגבי יכולות, בכל מקרה בו קיים ספק.

מאמר זה נכתב ע"י אייל שרון, לשעבר ראש תחום המודיעין ביחידת הסייבר הארצית בלהב 433, בעל ניסיון של קרוב ל 20 שנות מודיעין וחקירות סייבר. לאחר הפרישה הקים את TENCYBER וביחד עם:

• עו"ד דרור בוזגלו לשעבר בחקירות יחידת הסייבר של משטרת מחוז תל אביב.

• מר פיליפ רוזנטל, הקים וניהל את מחלקת הפורנזיקה של משרד השריף ב NYPD כ- 25 שנים, חוקר פרטי בעל רישיון PI בארה"ב.

מבצעים עבודה כמתואר במאמר לשביעות רצון הלקוחות.

מידע נוסף על סוגי שירותים והמוזכרים, תוכלו למצוא באתר TENCYBER.COM