על זיוף דיגיטלי וכיצד מפענחים אותו; פרשת השר גדעון סער כמשל

חוקרי המשטרה אינם תמיד מיומנים בשימור ראיות דיגיטליות ומעדיפים להסתמך על עדויות אנושיות, הדבר האחרון שיש להאמין לו. הבחירה להסתמך על עדויות בשר ודם לא רק שהוכחה כלא מהימנה פעם אחר פעם, אלא גם אינה מאפשרת אימות של הטענות. אכן, חקירה אישית היא כנראה הדרך הזולה ביותר לפענח פשעים, אבל אינה בהכרח הדרך שעובדת.

הפוסט נכתב על ידי עו”ד יהונתן קלינגר.

תמונה: flickr, cc-by, gothick_matt

תמונה: flickr, cc-by, gothick_matt

בשבועות האחרונים מסתובבות שמועות שנבעו ממכתב שהסתובב ברשת, ואשר נכתב לכאורה על ידי עוזרתו של שר החינוך, גדעון סער. המכתב, אשר לפחות לפי מי שחתומה עליו, לכאורה, הוא זיוף, הועבר באינטרנט, למערכות עיתונים ואפילו הופץ בפייסבוק באמצעות משתמשים פיקטיביים, והכל כדי להכפיש את שר החינוך (שלא בצדק, או בצדק, אם הטענות נכונות). כעת, לאחר תלונות של שר החינוך ושל עוזרתו, המשטרה חוקרת האם מדובר בזיוף או לאו. בטקסט הקצר הזה אני לא אדון בתוכן המכתב, כי הוא אינו מעניין, אלא בשאלת הזיוף. הטענה העיקרית היא שכיום, ההגדרה של “זיוף” אינה מוצלחת, ואולי ההתנכלויות הוירטואליות שסופג השר בעקבות אותם פרסומים היו יכולות להיות מופנות להאקטיביזם חיובי ולמצוא מי עומד מאחורי המכתב.

כיום, יש שתי דרכים להגדיר זיוף: הראשונה היא מסמך שאינו אמיתי, שלא היה מעולם ושנוצר לצורך התחזות או תרמית כלשהיא. השניה היא מסמך קיים, אשר שונו חלקים בו. כלומר, זיוף יכול להיות מצב בו אדם מצורף לתמונה בה מעולם לא היה מצד אחד, כדי להפלילו, להציגו בצורה מסוימת או לעוות את הדרך בה עמדותיו קיימות. זיוף, יכול להיות גם יצירת מסמך חדש, מאפס, ללא כל קשר למסמך קיים. כאשר מדובר על מסמך מזויף חדש, נקי, הרי שהזיוף עצמו נעשה בצורה שונה: לדוגמא, צריך לתהות כמה דברים בנוגע למכתב: המכתב שנשלח בנושא גדעון סער נשלח על נייר מודפס ולא בצורה אלקטרונית. אם הוא הודפס במדפסת לייזר, הרי שניתן באמצעות טכנולוגיית הדפוס לזהות את המדפסת שיצרה את המכתב; יתר על כן, חלק מהמדפסות עצמן מכילות קוד מעקב שמאפשר מעקב מדוייק יותר על הלקוח שהזמין את המדפסת.

הקושי שבזיוף דיגיטלי

עכשיו, גם את חתימתה של אותה מ.כ לא היה קשה לזייף. די למצוא מכתב אחד שכתבה אותה מ.כ כדי לחלץ משם את החתימה שלה. ההנחה היא, שמרגע שהחתימה הודפסה על נייר באמצעות מדפסת, קשה להתחקות על השאלה האם מדובר בזיוף או לאו.

הזיוף הופך להיות קשה יותר, האמת, כאשר מדובר על מסמכים דיגיטליים. ולכן, אם היה המכתב נשלח על ידי אותה מ.כ מכתובת הדואר האלקטרוני שלה (שקל עדיין לזייף את השליחה), הרי שהיו כלים רבים יותר לאמת את זהות השולח ולבדוק האם המכתב זויף או לאו. דווקא כאן, הבחירה בטכנולוגיית Low-Tech כדי להפיץ את המכתב משאירה מספר חותמים, אך לא מספיק.

לפי הכתבות, המכתב נשלח לחברי מרכז הליכוד בדואר רגיל. שליחה בדואר אומרת, בהכרח, שהדואר מעביר את המעטפה דרך מספר סניפי דואר, בדיוק כמו בשרתי דואר אלקטרוני. על המעטפה עצמה מוחתמים מספר פריטי מידע רלוונטיים כמו סניף הדואר ממנו יצאה המעטפה. כמו כן, מתוך הנחה שבאותם סניפי דואר (אם הדואר לא שולשל לתיבה) ישנן מצלמות אבטחה (בהנתן שבדואר יש גם סניף של בנק הדואר, ולכן כמויות משמעותיות של כספים), ובהתחשב בכך שאדם ששולח דואר לכ-3,000 חברי מרכז הליכוד לא ישלשל את כל המעטפות לתיבת הדואר הקרובה לביתו, ניתן לצאת עם מספר הנחות:

(א) מי ששילם על רכישת 3,000 מעטפות (כ-1,000 ש”ח) ו3,000 בולים (כ-6,000 ש”ח) עשה זאת בכרטיס אשראי או המחאה, ולא במזומן.

(ב) מי ששלח כמות דואר כזו היה בסניף הדואר והפקיד יכולה לזכור אותו.

(ג) על המעטפה יש את פרטי הסניף השולח. לכן, לפחות לכאורה, היה ניתן לעקוב ולמצוא את השולח, ולא להסתמך על הכחשה של מ.כ בלבד.

עוד דרך מעניינת לזהות את השליחה, אבל אגבית לגמרי, היא שימוש בטביעות אצבע (ביומטריה) כדי לברר מיהו הגורם שנגע במעטפות. שוב, אין צורך במאגר ביומטרי מלא, אלא די בנטילת טביעות האצבע של אותה מ.כ על מנת לזהות האם טענתה כי לא נגעה במעטפות אלה נכונה.

לבסוף, ניתן אף לזהות אדם על פי סגנון הכתיבה שלו. טעויות נפוצות, כמו השימוש ב”הייתה” במקום “היתה”, “פרשייה” במקום “פרשיה” והשימוש ברווח כפול לאחר הנקודה, כולם מאפיינים ספציפיים של אדם ספציפי, אשר נוצר בדרך הכלל בהיסח הדעת.

ונעבור להיי טק

תמונה: flickr, cc-by, Robbie1

תמונה: flickr, cc-by, Robbie1

אומרת אותה מ.כ כי לא שלחה את המכתב, הרי שלכן גם לא יהיו שאריות דיגיטליות של מכתב זה במחשבה ובחשבונותיה המקוונים: בתיאוריה, ואם כה חשוב לה להוכיח שלא היא עשתה זאת, ניתן לסרוק את תיבת הדואר שלה, הכונן הקשיח שלה, ולאמת את הטענה הזו.

יתר על כן, אם למשטרה יש חשודים ספציפיים, סביר להניח שיוכלו למצוא חותמת דיגיטלית כלשהיא, החלפת טיוטאות בין שותפים תיאורטיים לקנוניה או אפילו להגיע לחשודים נוספים. הבעיה? כמובן, היא שלצורך אותה חקירה דרושה חדירה מופקעת לפרטיות של הנחקרים.

העניין הוא, שכל מי שמכיר מעט את הזיוף יודע את כל מה שנאמר כאן. כלומר, זייפן טוב יודע גם להשתיל את החותמות האלו על מנת שהן יפנו לגורם שמכחיש; במצב כזה, קפקאי למדי, יכול אדם לאבד את כל מה שיש לו בזכות זיוף מוצלח במיוחד. אבל, הפרשה של מ.כ היא לא הפרה הראשונה שנושאים כאלה הגיעו לדיון. בבתי המשפט התנהלו מספר פעמים דיונים הרבה פחות מתוקשרים. מטרת הטקסט הזה היא ללמוד, כמובן, כיצד ניתן לדבר על מסמכים מזויפים בבתי משפט, וכיצד להתייחס אליהם. בפעם הראשונה, ככל הנראה, שהתייחסו לנושא זה היה הדבר בעניין עא 6205/98 מייקל סקוט אונגר נ’ דניאל עופר, בו בית המשפט דן בשאלה כיצד ניתן להתייחס לצילום של מסמך, כאשר המסמל המקורי אבד. שם, בית המשפט נתלה בנסיבות המקרה, שאל מי היה בעל אינטרס להסתיר את המקור, מי החזיק אותו ועוד. במקרה אחר, בו טען אדם כי חדרו למחשב שלו ויצרו בו קובץ מזויף, בית המשפט העליון סרב לשמוע את הטענה (שעלתה בשלב מאוחר יותר) ופסק כי “חזקה על אדם הטוען, בתום לב, שאחר יצר קובץ מזוייף במחשב שלו, כי יפנה למומחה כדי שיבדוק ויחווה דעתו בדבר המועד בו נעשה הדבר” (עפ 1242/06 צור נ’ מדינת ישראל).

בעניין אחר, תביעה עמדה כולה על הודעת דואר אלקטרוני; בהודעה ששלח הנתבע לתובעים לכאורה, התחייב כי יכסה חוב מסוים. בית המשפט דחה את טענתו כי הודעת הדואר האלקטרוני זויפה מהנסיבות הבאות: (1) הנתבע העלה את טענת הזיוף בשלב מאוחר יחסית של המשפט; (2) הוא ענה לשאלות על הזיוף בצורה מתחמקת יחסית, ולא נתן תשובות לעניין; (3) (ומכאן מתחיל הקטע החשוב) הנתבע סרב לאפשר לתובעים לעיין בקובץ ה-Outlook שלו, וכלשון בית המשפט “‫קובץ זה אמור היה להוות ראיה ניצחת לטענת הזיוף‪ ,‬אם היה בה ממש‪ ,‬שכן‬ הנתבע יכול היה להציגו כראיה‪ ,‬להצביע על כך שהמכתב איננו נכלל בו‪ ,‬ולהוכיח בדרך זה‬ שהמכתב המיוחס לו לא היה ולא נברא”; (4) תוכן המכתב אינו עומד עם טענה של זיוף: באותו המקרה, ההתחייבות במכתב היתה לכיסוי של חלק מהחוב, ואם היה מדובר על מסמך מזויף, הרי שהיה אינטרס לזייפן לכסות את כל החוב; (5) הנסיבות שבו נשלח המכתב, כהיותו חלק מתכתובת ארוכה, סותרת את הטענה שמדובר בזיוף; (6) טעויות כתיב מקובלות שחוזרות על עצמן הן במכתב הנחשד כמזויף והן במכתבים אחרים של הנתבע. (ת”א 44320-04 COMSCIENCES INC ואח’ נ’ יהודה ארדמן)

כל מסמך ניתן לזיוף

אלא, שכאן מתחיל בית המשפט לזייף. לדברי בית המשפט “‫לכל אלה יש להוסיף כי אין כל ראיה לכך שאכן ניתן לזייף הודעת דואר אלקטרוני‪ .‬אמנם ‪ ‫מלכתחילה הוגשה חוות דעת של עד מומחה בענין זה‪ ,‬אלא שהנתבע החליט למשוך אותה”. כאן מתחילה השאלה: האם בית המשפט חושב שישנה ייחודיות להודעות דואר אלקטרוני שאינה מאפשרת את זיופן? הכלל הוא שכל מסמך ניתן לזיוף, בהנתן טכנולוגיה מספקת. אבל, זיוף אינו העניין הבלעדי: אם נחזור לעניין מ.כ, צריך לבחון את הקריטריונים שעלו בפרשת ארדמן:

(1) מתי עלתה טענת הזיוף? שבועיים לאחר התלונה חלפו לפני שנעשתה פניה למשטרה בטענה לזיוף; אכן, במקרה של ארדמן הטענה לזיוף היתה שנים לאחר האירוע, אבל במישור הציבורי, שבועיים בין הכחשה לטענה לזיוף, כאשר הכל עולה בתקשורת, היא משמעותית.

(2) טענתה של מ.כ לא ממש לעניין; במקום אחד תגובתה היא כי “התוכן שלו שקרי, והדברים המופיעים בו לא היו ולא נבראו” (אבל לא “הוא זויף). במקום אחר הכחישה את קיום המכתב בSMS; בעדותה במשטרה אמרה כי לא כתבה אותו.

(3) האם היא אפשרה עיון במחשבים שלה ובמסמך עצמו? לא ברו לנו, ולא נוכל לשפוט על פי זאת. אלא, שדווקא כאן הגרסא של מ.כ לעומת המחשבים שלה, העדויות הפורנזיות, השימוש בטלפון הסלולרי ועוד, כולם, דווקא, היו יכולים לעזור.

(4) תוכן המכתב? גם כאן, אני לא רוצה להתייחס לתוכן, אלא לקיצוניות שבו. הטענות שעולות במכתב אינן אלא טענות שכבר היו ידועות וחזרו על עצמן, למעט טענה אחת (קיומם של יחסים עם מ.כ), אם אדם היה רוצה להכפיש, האם הוא היה רק מוסיף את הטענה הזו, או טענות נוספות?

(5) הנסיבות? כאן הנסיבות פועלות לטובת טענת הזיוף: אדם שהיה רוצה לפגוע בשר החינוך בצורה אישית, ולא לפגוע בתנועה עצמה, היה מחכה עד לאחר הבחירות כדי לפרסם מכתב זה. שוב, לא מדובר בקביעה אבסולוטית שמדובר ביריב של שר החינוך, אבל עדיין, יש בכך נסיבה לסייע;

(6) שפה? וובכן, בכך אין לי לדעת כיוון שאין בידי מספיק מכתבים שנכתבו על ידי מ.כ או על ידי מי שחשוד בניסוח המכתב (אבל למשטרה יש).

המדאיג בכל הסיפור הוא שכל המידע הזה, שמאפשר לנו להתחקות אחרי זיופים ולהבין את משמעותם, נמצא בנחלת הכלל. חוקרי המשטרה אינם תמיד מיומנים בשימור ראיות דיגיטליות ומעדיפים להסתמך על עדויות אנושיות, הדבר האחרון שיש להאמין לו. הבחירה להסתמך על עדויות בשר ודם לא רק שהוכחה כלא מהימנה פעם אחר פעם, אלא גם אינה מאפשרת אימות של הטענות. אכן, חקירה אישית היא כנראה הדרך הזולה ביותר לפענח פשעים, אבל אינה בהכרח הדרך שעובדת.

לסיכום, לא קשה להוכיח זיוף (אלא אם יש זייפן מוצלח). הרבה יותר קשה להוכיח שלא התקיים זיוף, והמאמצים צריכים להתבצע הן על ידי הטוענים לזיוף והן על ידי רשויות החוק. עצוב לגלות שלמרות שהופנו אצבעות מאשימות כלפי מספר גורמים בעלי אינטרס לזייף, אף אחד מאלה טרם נחקר, ולא נערכו בירורים טכנולוגיים לגבי הזיוף.

הפוסט נכתב על ידי עו”ד יהונתן קלינגר ופורסם לראשונה בגיליון ה-40 של Digital Whisper.

 

Digital Whisper

Digital Whisper הוא מגזין חודשי שמפורסם במטרה לספק לקורא הישראלי תוכן מקצועי בעברית עם דגש על נושאים כגון אבטחת מידע והאקניג, Reverse Engineering, סטגנוגרפיה, קריפטוגרפיה, קריפטו-אנליזה, חקר וניתוח קוד זדוני, פיתוח Rootkits וניתוח מנגנוני Anti-Reversing.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: