פרשת הפצ''רית לשעבר ממשיכה לעורר זעזוע במערכת הצבאית והפוליטית. לאחר שאתמול (א') נמצאה יפעת תומר-ירושלמי בריאה ושלמה, כעת היא עצורה והמטרה של החוקרים היא להבין מה היקף ההדלפה ומי עוד ידע עליה והסתיר.
במשטרה מעריכים כי בסמארטפון האישי של תומר-ירושלמי נמצאות ראיות חשובות לחקירה נגדה, בגין מעורבותה בהדלפת התיעוד של לוחמי מילואים המתעללים לכאורה במחבל עצור בשדה תימן. לפי מקורות במערכת האכיפה, פעולת הדלפת הסרטון גובשה ונוהלה בקבוצת וואטסאפ של קצינים בכירים בפרקליטות הצבאית בראשות הפצ"רית.
תיבת אוצר של מידע
הסמארטפון מהווה ראיה חשובה ויכול לספק מידע רב ערך לחוקרים. אין ספק שיהיה קשה יותר לאתר חשודים נוספים ששמם לא עלה בתכתובות בין החשודים הקיימים. אבל גם אם הסמארטפון לא יימצא, ניתן יהיה לבקש מהפצ"רית את הסיסמאות שלה לאפליקציות המסרים המיידיים ולדואר האלקטרוני - מה שיאפשר גישה אליהם ללא ה"ברזל" עצמו.
למעשה, אם לפצ''רית אכן היה אייפון כפי שדווח, והיא דאגה להפעיל את אפשרות הגיבוי האוטומטי של הוואטסאפ, כל מה שהחוקרים יצטרכו זה להפעיל צו שופט כדי לקבל גישה לנתונים. מכשירי האייפון מגבים את המידע של הוואטסאפ לענן של אפל, כך שמספיקה הסיסמה בשביל לקבל גישה לכל הגיבוי של המכשיר, כולל התכתבויות וואטסאפ.
אבל מה קורה אם חשוד מסרב לספק לחוקרים גישה למידע שלו? האם ניתן בכלל לשחזר מידע כזה? באופן לא מפתיע, זה אכן אפשרי וזאת גם אם המכשיר בילה כמה ימים בקרקעית הים. יחד עם זאת, ישנם כל מיני קשיים בדרך.
תהליך חקירת פשע תלוי יותר ויותר בראיות דיגיטליות, כאשר הסמארטפון הפך לתיבת אוצר של מידע קריטי. השאלה האם ניתן לשחזר נתונים ממכשיר שהושלך לים למשך יממה לפחות, עומדת במרכזם של אתגרי הפורנזיקה הדיגיטלית העולמית, ומעסיקה מעבדות חקירה מתקדמות בישראל, אירופה, סין וארה"ב, וביתר שאת בחקירה הנוכחית.
אז האם זה אפשרי?
ניתן לומר בזהירות כי שחזור מידע מסמארטפון במסגרת חקירה פלילית הוא אפשרי באופן עקרוני, גם במקרים של נזק פיזי קשה, כולל טביעה. מעבדות מובילות לשחזור מידע בישראל, המשרתות גופי אכיפת חוק וביטחון, מדווחות על אחוזי הצלחה גבוהים בשחזור נתונים ממכשירים שניזוקו, כולל אלו שנחשפו למים, שריפה או שבר קיצוני.
ניתן לומר בזהירות כי שחזור מידע מסמארטפון במסגרת חקירה פלילית הוא אפשרי באופן עקרוני, גם במקרים של נזק פיזי קשה, כולל טביעה
במקרים בהם המכשיר אינו נדלק, טכנולוגיות כגון "Chip-Off" (הסרה פיזית של שבב הזיכרון) או "JTAG/ISP" (חיבור ישיר ללוח האם) מאפשרות לעקוף את המעגלים הפגומים ולחלץ את הנתונים ישירות מהרכיב המכיל את המידע - שבב זיכרון הפלאש (Flash memory).
טכניקות אלו הן חלק מהכלים שבהם משתמשים חוקרים על מנת להתמודד עם מכשירים מוצפנים או פגומים. למעשה ישראל היא מהמובילות בעולם בתחום של פריצה לסמארטפונים והמערכת של חברה כגון "סלברייט" משמשת לכך כבר שנים רבות ברחבי העולם בסוכנויות אכיפה.
יכולות אלו דומות לאלו הנדרשות לשחזור מידע מכונני SSD או כרטיסי זיכרון פגומים, שם המיקוד הוא על התגברות על כשלים פיזיים או לוגיים ישירות ברמת הזיכרון, ולא דרך מערכת ההפעלה.
עם זאת, השלכת סמארטפון למי ים למשך 24 שעות לפחות מציבה אתגר גדול במיוחד, ומקטינה משמעותית את סיכויי ההצלחה בהשוואה למקרים של טביעה במים מתוקים או נזק רטיבות קל. שני דברים מקשים מאוד על התהליך - הראשון הוא כמובן קורוזיה, או החלודה. מי ים מכילים מלח, מה שהופך אותם למוליכים חשמליים מצוינים ובעלי רמת קורוזיביות גבוהה מאוד.
ברגע שהמים חודרים למכשיר, נוצר תהליך של קורוזיה גלוונית ו-Electrochemical migration (ECM) שמכלה במהירות מגעים ורכיבים על לוח האם (PCB). תהליך זה מתחיל מיד ומחמיר באופן דרמטי ככל שחולף הזמן. 24 שעות של חשיפה למים מלוחים עלולים לגרום נזק בלתי הפיך למעגלים, ואף לנתק פיזית רכיבים חיוניים, כולל את שבב הזיכרון.
בנוסף, אם המכשיר פעל בזמן שנזרק לים, נוצר קצר חשמלי מיידי שהאיץ את הנזק והקורוזיה. אם היה כבוי, הנזק הראשוני עשוי להיות פחות חמור, אך הקורוזיה נמשכת. בניגוד לכוננים ישנים (HDD) בהם ניתן היה לעיתים לשחזר מידע לאחר טביעה ממושכת יחסית, שבבי הפלאש בסמארטפונים רגישים יותר להרס הנובע מקורוזיה.
24 שעות של חשיפה למים מלוחים עלולים לגרום נזק בלתי הפיך למעגלים, ואף לנתק פיזית רכיבים חיוניים, כולל את שבב הזיכרון
למרות האתגרים, יש עדיין סיכוי לשחזור המידע, זאת בהתבסס על מבנה המכשיר, כאשר מכשירים חדשים רבים, במיוחד דגמי פרמיום, מצוידים בתקני עמידות למים (IP Rating). גם אם הם לא נועדו לשהות ממושכת בים, הדיפון הפנימי שלהם עשוי לעכב את חדירת המים לשבב הזיכרון עצמו.
אמנם היצרנים מספקים בדרך כלל מספרים שמשקפים את ההגנה המינימלית של המכשיר - אבל אם מדובר במכשיר מאוד איכותי עם איכות ייצור גבוהה הוא יוכל לשרוד גם אתגרים יותר משמעותיים מהמינימום לו התחייב היצרן. לפני כשנתיים אף פרסמנו על אייפון ששרד נפילה ממטוס והוחזר לבעליו.
אבל האתגר הגדול ביותר אינו הנזק הפיזי, אלא ההצפנה המלאה (Full Disk Encryption - FDE) המופעלת כברירת מחדל בכל טלפון חכם מודרני (iOS ואנדרואיד), שפענוחה דורשת מפתח הצפנה. מפתח זה אינו שמור בדרך כלל על שבב הזיכרון עצמו, אלא ברכיב חומרה נפרד – לרוב מעבד הליבה או שבב אבטחה ייעודי (כמו Secure Enclave של אפל או מקביליו באנדרואיד).
המשמעות היא שכדי לפענח את הנתונים, על החוקרים להפעיל מחדש את המעגלים החיוניים של המכשיר, באופן שיאפשר לרכיב האבטחה לשחרר את מפתח הפענוח. לצורך זה, במעבדות פורנזיקה מתקדמות מתבצעת פעולה המכונה "השתלת לוח" (Board Transplant): שבב הזיכרון שהוסר, ולעיתים גם רכיב האבטחה, מושתלים ללוח אם זהה ותקין (Donor Board). אם ההשתלה הצליחה, לוח האם ה"תורם" מאפשר למערכת לעלות לרגע, לשחרר את מפתח ההצפנה, ולחלץ את המידע הקריטי.
