מהי חקירות כונני USB?
חקירות כונני USB הן תחום בתוך עולם הפורנזיקה הדיגיטלית, המתמקד בבדיקה, ניתוח ואיסוף ראיות הקשורות להתקני אחסון ניידים המחוברים באמצעות חיבור USB.
המטרה היא להבין מה קרה בפועל ברמת הקבצים, ההתקן, מערכת ההפעלה והמשתמש.
חקירה כזו בודקת לא רק את הכונן עצמו, אלא במקרים רבים גם את המחשב או השרת שאליו חובר, את רישומי המערכת, את זמני הפעולה, את עקבות השימוש ואת הקשר בין הפעולות השונות.
כאשר מומחה פורנזי בוחן כונן USB, הוא פועל לפי מתודולוגיה שמטרתה לשמור על שלמות הראיות.
לרוב, יוצרים העתק פורנזי של ההתקן במקום לעבוד על המקור.
לאחר מכן מבצעים ניתוח מעמיק של מבנה הקבצים, אזורים שנמחקו, מטא דאטה, חותמות זמן, מזהי התקן, מספרים סידוריים, מערכת הקבצים, נתוני שימוש ולעיתים גם שרידים של פעילות שהתבצעה במחשבים אחרים.
מעבר לבדיקה הפנימית של הכונן, חקירות כונני USB כוללות לעיתים גם בדיקה של מערכת Windows, מק או לינוקס כדי לזהות אירועי חיבור וניתוק, נתיבי קבצים, קבצים אחרונים שנפתחו, קיצורי דרך, קבצים זמניים, רישומי Registry, יומני מערכת ושרידים המלמדים על העתקת חומרים.
היכולת לחבר בין כל שכבות המידע האלו היא מה שמבדיל בין השערה לבין ממצא מקצועי.
חשוב להבין שחקירות כונני USB אינן מיועדות רק למצבים קיצוניים.
הן רלוונטיות גם כאשר קיימת אי ודאות.
למשל, עובד מתפטר וימים לפני עזיבתו התגלו חריגות בגישה למסמכים.
חברה חושדת שמידע רגיש יצא מחוץ לארגון.
בית עסק מגלה שקבצים חשובים נעלמו.
משפחה מבקשת לבדוק כונן שנמצא ברשות אדם שנפטר כדי לאתר מסמכים קריטיים.
בכל אחד מהמקרים האלו, חקירה מקצועית עשויה להניב תשובות ברורות, לעיתים ברמת פירוט מפתיעה מאוד.
סוגי חקירות כונני USB
תחום חקירות כונני USB רחב בהרבה ממה שנהוג לחשוב.
לא מדובר רק בשחזור קבצים שנמחקו.
בפועל קיימים סוגים שונים של חקירות, כאשר כל אחת מהן מותאמת למטרה אחרת, לאופי האירוע ולראיות הזמינות.
אחד הסוגים הנפוצים הוא חקירת דליפת מידע.
כאן המוקד הוא להבין האם קבצים הועתקו מתוך מחשב ארגוני לכונן USB.
במקרים כאלה בודקים את המחשב החשוד, את הרישומים המעידים על חיבור התקן חיצוני, את זהות הכונן שחובר, את זמני הפעילות, את הקבצים הרלוונטיים ואת ההתאמה בין מועדי השימוש לבין אירועים עסקיים כמו עזיבת עובד, מעבר למתחרה או גישה חריגה למאגרי מידע.
סוג נוסף הוא חקירה של מחיקה או הסתרת מידע.
כאשר קבצים נמחקו מכונן USB, בוצע פורמט, שונו שמות קבצים, או נעשה ניסיון להסתיר חומרים בתוך תיקיות מערכת, המומחה בודק האם ניתן לאתר שרידים דיגיטליים ולשחזר את רצף הפעולות.
לעיתים ניתן לשחזר קבצים מלאים.
במקרים אחרים ניתן להוכיח את עצם קיומם ואת מועדי המחיקה, גם אם תוכנם אינו זמין במלואו.
יש גם חקירות המתמקדות בזיהוי שימוש לא מורשה בהתקן.
למשל, ארגון שאוסר חיבור התקני USB למחשבים רגישים, אך עולה חשד כי עובד חיבר כונן אישי בניגוד לנהלים.
במקרה כזה, בודקים האם אכן היה חיבור, מה היה סוג ההתקן, האם מדובר בכונן אחסון, טלפון שהזדהה כהתקן מדיה, מתאם מסוים, או ציוד אחר שהתחבר דרך ממשק USB.
סוג אחר של חקירות קשור להחדרת נוזקות.
כונני USB יכולים לשמש להפצת קבצים זדוניים, קבצי הפעלה מוסווים, סקריפטים, קבצי Autorun במערכות ישנות, או רכיבי תקיפה ייעודיים.
במצבים כאלה, הבדיקה אינה עוסקת רק בתוכן הקבצים אלא גם בקשר בין ההתקן לאירוע האבטחה, לשינויים שהתרחשו במחשב ולזיהום האפשרי של מערכות נוספות.
קיים גם תחום של חקירות משפטיות וראייתיות.
כאשר נדרש להציג ממצאים בבית משפט, בבוררות, בהליך משמעתי או בבדיקה רגולטורית, יש חשיבות מכרעת לאופן איסוף הראיות, לתיעוד השרשרת הראייתית, לאמינות הכלים, וליכולת של המומחה להסביר באופן ברור כיצד הגיע למסקנותיו.
במקרים כאלה, החקירה נבנית מלכתחילה כך שתעמוד בסטנדרט גבוה של קבילות, שקיפות ומתודולוגיה.
חקירות מסוימות עוסקות גם באיתור מידע אבוד מסיבות שאינן חשד פלילי או מסחרי.
לדוגמה, כונן USB שהפסיק לעבוד, כונן שנמחק בטעות, התקן שנפגע לוגית, או זיכרון נייד המכיל מסמכים חשובים שאין להם גיבוי.
כאן המטרה המרכזית היא התאוששות מידע, אך לא פעם מתבצע במקביל גם ניתוח חקירתי שמסביר מדוע החומר נעלם ומה ניתן ללמוד מהמצב הטכני של ההתקן.
מי צריך חקירות כונני USB?
אחד המאפיינים הבולטים של חקירות כונני USB הוא שהן אינן רלוונטיות רק לארגוני ענק.
גם עסקים קטנים, חברות משפחתיות, משרדי עורכי דין, רואי חשבון, קליניקות רפואיות, גופי חינוך, עמותות, יצרנים, קבלנים ואנשים פרטיים עשויים להזדקק להן.
בפועל, כל מי שמחזיק מידע בעל ערך, סוד מסחרי, רשימות לקוחות, מסמכים פנימיים, חוזים, תכניות עבודה, נתונים פיננסיים או קניין רוחני, עלול להיחשף לסיכון הקשור בכונני USB.
מנהלים ובעלי חברות פונים לשירות כזה כאשר הם מזהים סימנים לדליפת מידע או להתנהלות חריגה של עובד.
לעיתים מדובר בעובד בכיר שהיה חשוף לקבצים רגישים.
לעיתים זה איש IT, איש מכירות, חשב, מהנדס או שותף עסקי לשעבר.
החשד אינו חייב להיות ודאי כדי להצדיק בדיקה.
די בכך שיש אינדיקציות סבירות, כמו פתיחה מרובה של תיקיות מסוימות, שימוש חריג בתחנת עבודה, היעלמות חומרים או גילוי של התקן לא מוכר.
משרדי עורכי דין פונים לחקירות כונני USB כדי לבסס טענות בתיקים מסחריים, סכסוכי עובדים, הפרות אמון, גניבת קניין רוחני, סכסוכי ירושה ולעיתים גם תיקים פליליים.
הערך של בדיקה מקצועית עבור עורך דין טמון ביכולת להפוך חשד טכנולוגי לממצא ברור, מגובה בנתונים, זמנים וניתוח פורנזי מסודר.
חוקרים פרטיים משתמשים בחקירות כאלה כתמיכה משלימה לחקירה רחבה יותר.
כאשר יש צורך לחבר בין תנועה פיזית, התכתבויות, גישה למערכות ופעילות במחשבים, בדיקת כונן USB או תחנת עבודה יכולה לחשוף שכבה קריטית של מידע.
גם מחלקות משאבי אנוש נעזרות בממצאים כאלה במסגרת בירורים פנימיים.
כאשר נדרש לקבל החלטה על השעיה, סיום העסקה, שלילת גישה למערכות או פתיחה בהליך משפטי, חשוב שההחלטה תישען על בדיקה מבוססת ולא על תחושת בטן.
מעבר למגזר העסקי, גם אנשים פרטיים עשויים להזדקק לשירות.
למשל, כאשר מסמכים אישיים רגישים נעלמו, כאשר קיים חשד להעתקה לא מורשית של תכנים, כאשר נדרש לשחזר חומר מכונן ישן, או כאשר רוצים להבין מי השתמש בהתקן ובאיזה אופן.
במקרים מסוימים, החקירה מסייעת דווקא להוכיח שלא נעשתה פעולה אסורה.
זהו היבט חשוב מאוד, משום שלא כל חשד מתברר כאירוע אמיתי.
בדיקה מקצועית יכולה להגן על אדם חף מפגיעה מיותרת, ולספק תמונה מדויקת במקום האשמות כלליות.
סטטיסטיקות מישראל בנושא חקירות כונני USB
כאשר בוחנים את המציאות בישראל, ניתן לראות שתחום אבטחת המידע והפורנזיקה הדיגיטלית נמצא במגמת התחזקות עקבית.
המשק הישראלי רווי ארגונים עתירי ידע, חברות טכנולוגיה, גופים ביטחוניים, משרדי שירותים מקצועיים ועסקים המתבססים על מידע רגיש.
בתוך המציאות הזו, גם כונני USB, על אף היותם אמצעי ותיק, ממשיכים להיות גורם מעורב באירועי דליפה, אובדן מידע והפרת נהלים.
לפי הערכות מקובלות בענף אבטחת המידע, חלק משמעותי מאירועי הפנים בארגונים קשור לאמצעי אחסון ניידים או להעברת מידע לא מפוקחת.
בישראל, ארגונים רבים משקיעים כיום במערכות DLP, בבקרת התקנים, בהקשחת עמדות קצה ובניטור גישה, אך בפועל לא כל הארגונים הקטנים והבינוניים מפעילים שכבת הגנה מלאה.
המשמעות היא שהתקני USB עדיין מהווים נתיב אפשרי להוצאת קבצים, במיוחד בסביבות עבודה שבהן יש תלות בחיבור התקנים לצורך תחזוקה, עבודה בשטח, הדפסה, גיבוי מקומי או העברת מסמכים בין מערכות.
מניסיון מצטבר בשוק הישראלי, אחד המקרים הנפוצים לחקירה עולה סביב סיום יחסי עבודה.
בפרק הזמן שלפני עזיבת עובד, במיוחד בתפקידי ניהול, מכירות, פיתוח או כספים, מתגלות לעיתים פעולות גישה חריגות לקבצים, ייצוא מסדי נתונים, שימוש בכוננים חיצוניים או מחיקה מהירה של נתונים.
במקרים אלה, חקירות כונני USB מספקות שכבת ראיות קריטית לבירור העובדות.
גם במשרדי עורכי דין, רואי חשבון וקליניקות רפואיות בישראל קיימת רגישות גבוהה לנושא.
הסיבה ברורה.
מדובר בגופים המחזיקים מידע סודי, אישי ולעיתים רגולטורי מאוד.
כל אירוע שבו חומר מועתק להתקן נייד ללא בקרה עלול להוביל לנזק משפטי, עסקי ותדמיתי.
לכן, הביקוש לבדיקות פורנזיות ממוקדות גדל, במיוחד כאשר יש צורך להבין מה יצא, מתי, על ידי מי, ובאיזו שיטה.
בישראל ניכרת גם עלייה במודעות לניהול ראיות דיגיטליות באופן תקין.
אם בעבר היו ארגונים שמבצעים בדיקות מאולתרות על ידי צוות פנימי ללא תיעוד מסודר, כיום יותר מנהלים מבינים כי בדיקה לא מקצועית עלולה לפגוע בראיות ואף לשבש הליך עתידי.
לכן, יש מעבר גובר לשימוש במומחים חיצוניים, עם כלים ייעודיים, תיעוד מלא וכתיבת חוות דעת שניתן להציג לגורמים משפטיים או הנהלתיים.
ראוי לציין כי בישראל אין תמיד מאגר ציבורי מפורט המבודד דווקא את תחום חקירות כונני USB כמספר נפרד, אך מתוך מגמות רחבות באבטחת מידע, סייבר ארגוני, חקירות מחשב ותביעות מסחריות, ברור שהצורך בבדיקות מהסוג הזה קיים, מוחשי, ובמקרים רבים אף דחוף.
שירותי אינסייט אופטימה בנושא חקירות כונני USB
כאשר ניגשים לחקירה של כונן USB או של סביבת מחשוב שבה חובר התקן כזה, חשוב לעבוד עם גורם מקצועי שמבין לא רק בטכנולוגיה, אלא גם בהשלכות העסקיות והמשפטיות של כל צעד.
שירותי אינסייט אופטימה בתחום חקירות כונני USB נועדו לספק מענה מדויק, דיסקרטי ומבוסס ראיות למצבים שבהם יש צורך להבין מה באמת התרחש.
השירות מתחיל באפיון הצורך.
לא כל מקרה דורש את אותה רמת עומק, ולא כל אירוע מתחיל מהתקן עצמו.
לעיתים יש בידיכם כונן חשוד.
לעיתים יש רק מחשב שממנו ככל הנראה יצא מידע.
במקרים אחרים קיימת רק אינדיקציה כללית לפעילות לא תקינה.
אינסייט אופטימה מסייעת להגדיר את מסגרת הבדיקה בצורה נכונה, כדי למקסם תוצאות ולצמצם בזבוז זמן.
במסגרת השירות מתבצעות בדיקות פורנזיות לכונני USB, בדיקות עמדות מחשב, איתור עקבות חיבור וניתוק, זיהוי מזהי התקנים, ניתוח העתקות, איתור מחיקות, שחזור נתונים במידת האפשר, זיהוי הצפנות, ניתוח מטא דאטה ויצירת תמונה כרונולוגית של האירועים.
במקרים רגישים במיוחד, ניתן לבנות את התהליך כך שיתאים גם לדרישות של הליך משפטי או ארגוני פורמלי.
אחד היתרונות המשמעותיים של עבודה עם גוף מנוסה הוא היכולת לתרגם ממצאים טכניים לשפה ניהולית ומשפטית ברורה.
לא מספיק לדעת שמפתח רישום מסוים השתנה או שקיים קובץ LNK המעיד על גישה למסמך.
הערך האמיתי הוא ביכולת להסביר מה זה אומר בפועל.
האם הכונן חובר.
מתי בדיוק.
האם הייתה גישה לקבצים רגישים.
האם קיימת אינדיקציה ממשית להעתקה.
האם נעשה ניסיון לטשטש עקבות.
שירותי אינסייט אופטימה שמים דגש גם על דיסקרטיות, מהירות תגובה ודיוק.
במקרים של חשד לדליפת מידע, זמן הוא גורם קריטי.
ככל שפועלים מוקדם יותר, כך גדל הסיכוי לשמר נתונים חשובים, למנוע שיבוש, ולהבין את ממדי האירוע לפני שהוא מתרחב.
במקביל, יש חשיבות גבוהה לכך שהבדיקה תבוצע ברגישות, במיוחד כאשר מדובר בעובדים, שותפים עסקיים או גורמים שיש מולם מערכת יחסים פעילה.
אינסייט אופטימה יכולה לסייע גם במקרים של הכנת חוות דעת מומחה, ליווי עורכי דין, בדיקות מקדימות לפני הליך משפטי, בירורים פנימיים בארגון והכוונה לגבי המשך צעדים נדרשים מבחינת אבטחת מידע, בקרה וניהול סיכונים.
שאלות ותשובות בנושא חקירות כונני USB
אחת השאלות הנפוצות ביותר היא האם באמת ניתן לדעת אם כונן USB חובר למחשב מסוים.
ברבים מהמקרים התשובה היא כן.
מערכות הפעלה שומרות עקבות שונות של חיבור התקנים, כולל מזהים, מועדי שימוש ופרטים נוספים.
עם זאת, היכולת לשחזר את התמונה תלויה במצב המחשב, במשך הזמן שעבר, בהיקף השימוש במערכת ובשאלה האם נעשו פעולות טשטוש.
שאלה נוספת היא האם ניתן לדעת אילו קבצים הועתקו לכונן USB.
התשובה מורכבת.
לעיתים ניתן להגיע לאינדיקציות חזקות מאוד דרך יומני מערכת, קבצים זמניים, קיצורי דרך, חותמות זמן, פעילות משתמש ושרידים נוספים.
במקרים מסוימים אף ניתן לבסס מסקנה ברורה למדי.
במקרים אחרים ניתן להוכיח רק שימוש בכונן או גישה למסמכים בסמוך לאירוע.
לכן, כל חקירה נבחנת לפי הראיות הספציפיות שבה.
שואלים גם האם מחיקה של קבצים מכונן USB מעלימה את הראיות.
לא בהכרח.
מחיקה רגילה פעמים רבות מסירה את ההפניה לקובץ אך לא מוחקת מיד את התוכן עצמו.
גם כאשר בוצע פורמט, ייתכן שעדיין ניתן לשחזר מידע או לפחות לזהות שרידים המעידים על פעילות קודמת.
לעומת זאת, אם בוצעה דריסה מלאה או הצפנה חזקה ללא מפתח, אפשרויות השחזור עשויות להיות מוגבלות.
שאלה חשובה נוספת היא מתי נכון להזמין חקירה.
התשובה היא כמה שיותר מוקדם.
כל פעולה שנעשית על המחשב או על הכונן לאחר האירוע עלולה לשנות נתונים, לדרוס שרידים ולפגוע ביכולת להפיק ממצאים.
אם יש חשד אמיתי, עדיף לעצור שימוש מיותר ולהתייעץ עם מומחה לפני שמבצעים בדיקות עצמאיות.
יש גם מי ששואלים אם חקירות כונני USB חוקיות.
ככלל, כאשר הבדיקה מתבצעת על ציוד שבבעלות הארגון או בהסכמה מתאימה, ובכפוף לדין החל ולמדיניות הארגונית, ניתן לבצע בדיקות פורנזיות באופן חוקי ומסודר.
בכל מקרה רגיש, מומלץ לשלב ייעוץ משפטי כדי לוודא שהאיסוף, הניתוח והשימוש בממצאים נעשים בצורה נכונה.
שאלה נפוצה נוספת עוסקת בשאלה האם כל טכנאי מחשבים יכול לבצע חקירת כונן USB.
התשובה היא לא.
תחזוקת מחשבים רגילה שונה מאוד מחקירה פורנזית.
חקירה מקצועית דורשת כלים ייעודיים, הבנה עמוקה של מערכות קבצים ומערכות הפעלה, שיטות שימור ראיות, ניתוח עקבות דיגיטליים ויכולת לכתוב ממצאים בצורה אמינה ומדויקת.
טעות בבדיקה עלולה לא רק לפספס מידע חשוב, אלא גם לפגוע בראיה עצמה.
ולבסוף, רבים מבקשים לדעת האם חקירה כזו מתאימה רק לחברות גדולות.
ממש לא.
גם עסק קטן עלול להיפגע קשות מהעתקת מאגר לקוחות, מהוצאת מחירונים, מגניבת קבצי הנהלת חשבונות או מהעברת מסמכים אישיים.
דווקא בארגונים קטנים, שבהם מערכות הבקרה לעיתים מצומצמות יותר, לחקירה ממוקדת יש ערך רב במיוחד.
חקירות כונני USB הן כלי חיוני להבנת אירועים דיגיטליים הקשורים בהעברת מידע, מחיקה, שימוש לא מורשה, דליפה או ניסיון הסתרה.
כאשר הבדיקה מבוצעת נכון, ניתן לקבל תמונה מבוססת של מה שאירע, לצמצם אי ודאות, להגן על הארגון או האדם הנבדק, ולבסס צעדים מדויקים להמשך.
מחפש חקירות כונני USB? פנה עכשיו!
