مع توسّع عالم الجريمة ليشمل الفضاء السيبراني، لم تعُد الأدلة البيولوجية والفيزيائية وحدها محطّ اهتمام الخبراء والمحققين. فأي اتصال هاتفي أو بحث على جوجل، هو عبارة عن «أثر الكتروني» يتركه المشتبه به، قد يُساعد على إدانته. وعبر تتبّع ظلّه الرقمي واستخلاص بصمته الالكترونية، يساهم خبراء الأدلة الرقمية في كشف معطيات مهّمة تفيد التّحقيق في كل أنواع الجرائم الالكترونية، لا سيما جرائم التجسس لمصلحة العدو الإسرائيلي، مع الأخذ في الاعتبار طبيعة المعلومات الرقمية الحساسة التي تتطلب التعامل مع البيانات الالكترونية بطريقة احترافية لضمان سلامتها وقيمتها كدليل في المحكمة.
يعتبر التحقيق الجنائي الرقمي أداة فعّالة للتحقق من التجسس. وتشمل العلوم الجنائية الرقميّة "Digital Forensics" بحث واسترداد وتحليل المعلومات والبيانات والأدلّة الموجودة على الأجهزة الرقميّة والتي تفيد التحقيق.
عند ضبط الأجهزة الإلكترونية، بمختلف أنواعها، يتعامل الخبير معها بحذر تام منذ البداية، لأن أية خطوة غير مدروسة يمكن أن تمحو أدلة مهمة. فالأدلة الرقميّة بطبيعتها حساسة للغاية وعرضة للتبدّل المستمر والحذف عن بعد او عن طريق الخطأ أو عبر الاستخدام العادي للجهاز. لذلك يعتمد خبراء الادلة الجنائية الرقميّة تقنيات وأساليب تضمن الحفاظ على سلامة ونزاهة المعلومات الموجودة على هذه الأجهزة.
التحقيقات في أنظمة الأجهزة المحمولة
تتضمن المرحلة الأولى من التحقيق مقابلة الأشخاص الذين قد تكون لديهم معلومات ذات صلة، وتتواصل التحقيقات عبر مراقبة وسائل الاتصال للمشتبه بهم أو غيرهم من المرتبطين بطريقة ما بالقضية. وإضافة إلى الهاتف التقليدي، هناك نقاط مراقبة أخرى مثل صناديق البريد الإلكتروني والأماكن التي يزورها المشتبه به وحسابات بطاقات الائتمان والعمليات المالية الأخرى.
حالياً، يتم دعم التحقيقات بواسطة برنامج (software) مخصّص لتلبية المتطلبات المختلفة. يقوم المحقق بإدخال كل البيانات المتاحة حول موضوع ما في نظام الاعتراض، ويتولّى الخادم (server) إجراء تحليل شامل، وإنشاء سلسلة من الاتصالات عبر الأجهزة المحمولة المعنية، والمكالمات التي يتم إجراؤها أو تلقيها، وما إلى ذلك، مما يوفر للمحققين الجنائيين مخططاً محدداً لتركيز التحقيق، واقتراح فرضيات أو طرق جديدة. ويمكن أيضًا توفير البيانات للهواتف العمومية التي تُستخدم احياناً لتنسيق الاتصال مع العدو، والحصول على سجل تاريخي للمكالمات الهاتفية التي تم إجراؤها وموقع الهاتف العمومي في ما يتعلق بالأجهزة المحمولة الأخرى.
في كثير من الحالات قد توفر «بقايا» الأدلة الرقمية أدلة حاسمة وربما غير متوفرة بأية طريقة أخرى
بعد البحث واستخراج كل أرقام الهواتف الموجودة في دليل الهاتف الخاص الذي تم ضبطه، يقوم الخبراء الرقميون بإدخال الأسماء والأرقام في برنامج التحقيق الإلكتروني، بهدف إجراء تحليل مفصّل حتى في المراحل الأولية من التحقيق. على سبيل المثال، قد تدعم أدوات التحقيق الأولية عمليات البحث عن الأسماء المستعارة من سجلات الهاتف لتحديد الأنشطة الإضافية ذات الصلة بشبكة التجسس نفسها.
تفسير الأدلة الرقمية
مهمة الخبير الرقمي الاقتراب من الحقيقة قدر الإمكان، اذ ان هناك بعض المزالق الشائعة التي من المهم أن يكون الخبراء على دراية بها لتجنب الوصول إلى استنتاجات خاطئة. وفي كثير من الحالات، قد توفر «بقايا» الأدلة الرقمية أدلة حاسمة وربما غير متوفرة بأية طريقة أخرى.
فعلى سبيل المثال، قد لا يكون مجرد وجود «ملف إدانة» على جهاز الكمبيوتر الخاص بالمشتبه به كافياً لإثبات الجرم. وقد يكشف التحليل الجنائي الرقمي المحترف عن أدلة قوية تبرّئ المشتبه به، كأن يكون الملف قد وُضع على هاتفه بواسطة فيروس أو عبر ثغرة أمنية في متصفح الويب من دون علمه. لذلك، يساعد تحليل الملف وموقعه ونقاط الضعف الأمنية وعناصر استخدام النظام والقرائن السياقية الأخرى في تحديد كيفية ظهور الملف على نظام معين.
التحقيق الجنائي الرقمي أداة فعالة للتحقق من التجسس
وبالمثل، قد يتم تفسير تاريخ إنشاء الملف بحسب التاريخ الظاهر بشكل غير صحيح. ففي الواقع، لا يعني آخر تاريخ مكتوب للملف بالضرورة أن الملف قد عُدّل على جهاز الكمبيوتر الذي عُثر عليه فيه. وعلى الخبير الرقمي، بحسب المعايير العلمية، ان يتأكد من أن الملف لم يُنسخ إلى جهاز كمبيوتر من وسائط قابلة للإزالة أو نظام آخر على الشبكة إلى تغيير آخر تاريخ مكتوب، مما ينتج عنه ملف بتاريخ معدل قبل تاريخ إنشائه.
أدلة مُشفّرة مخفيّة
في البحث عن الأدلة الرقمية، تزداد التحديات كل يوم مع التطور التكنولوجي السريع والزيادة الهائلة في حجم هذه الأدلة ومصادرها. وإحدى أهم المشاكل التي يواجهها خبراء الادلة الرقمية هي التشفير (encryption) الذي يسمح فقط لمرسل الرسالة والمتلقي المقصود بعرض محتوياتها. فإذا كان الملف مُشفرًا بالكامل، لن يكون سهلاً الوصول إلى البيانات المُخزنة، وتُصبح الأدلة المُستخرجة محدودة. فتطبيقات الدردشة كـ WhatsApp، مثلاً، تُعتبر أكثر أمانًا لأنها مشفرة. لكن غالبًا ما يمكن استرداد الرسائل حتى لو كانت محذوفة، باستخدام أدوات فك التشفير المناسبة.
إحدى أهم التحديات التي يواجهها خبراء الأدلة الرقمية هي فكّ التشفير (encryption)
وهناك أيضاً الستيغانوغرافي (ٍSteganography)، وهي تقنية إخفاء البيانات السرية داخل ملف أو رسالة عادية وغير سرية لتجنّب الكشف عنها، كإخفاء معلومات داخل ملفات صور العائلة، مثلاًً، أو عبر تشغيل مقطع فيديو بشكل أسرع للكشف عن صورة مخفية.
الدليل في جيبك
في عصرنا الرقمي الحالي يمكن ربط العديد من الجرائم بطريقة ما بوسائل التواصل الاجتماعي، التي غيّرت جذرياً طرق التواصل ومشاركة المعلومات. ونتيجة لذلك، تزداد اهميتها لدى خبراء الادلة الرقمية والمحققين.
عبر البحث في نشاط شخص ما على أحد هذه المواقع، يمكن للمحققين العثور على كثير من المعلومات والادلة ذات الصلة التي تساعد على التحقق من المشتبه بهم والشهود المُحتملين أو دعم حجة الغياب (alibi) مثلاً. ويمكن تحديد الموقع الجغرافي للشخص الذي يتم تتبعه بواسطة معظم هذه التطبيقات، وكذلك معرفة التسلسل الزمني للأحداث كتاريخ بدأ استدراج الشخص لتجنيده ومدة تواصله مع العدو. كما يمكن الوصول إلى فهم الحالة الذهنية للشخص وتحديد ما إذا كانت هناك نيّة إجرامية. `
العدو ... محترف
من المهم تسليط الضوء على قدرات العدو العلمية واحترافية التحقيقات الجنائية التي يقوم بها لتتمكن السلطات الأمنية والقضائية في لبنان من مواكبة التطور في التحقيقات العلمية والضوابط الأساسية للأمن السيبراني، لسبب أساسي هو منع الإفلات من العقاب.
على سبيل المثال، تمكنت وحدة «قصّاصي الأثر الإسرائيلية» التي لاحقت أسرى سجن جلبوع من تحديد مكان الأسرى الذين تحرروا منه بعد اقتفاء خطواتهم وآثار اقدامهم التي كانت الدليل الوحيد المتاح للعثور على الأسرى.
كما تم تداول فيديو على مواقع التواصل الاجتماعي يقوم فيه خبراء العدو بتغليف الكرسي الذي جلس عليه الفدائي الشهيد رعد حازم منفذ عملية تل ابيب بغرض ارساله للفحص الجنائي. ورغم ان الفيديو قوبل بالاستخفاف والاستهزاء، الا انه دليل واضح على مهنية العدو واحترافيته في التحقيقات العلمية.
بالعودة الى جرائم التجسس، لا بد ان العدو استخدم قدراته العلمية والتقنية المتطورة لتجنيد وحماية عملائه تقنياً في لبنان، عبر تزويدهم بأجهزة حساسة متطورة تمكنهم من اختراق حسابات خاصة للأشخاص عبر الإنترنت، واختراق الـ«واي فاي» للأجهزة المحمولة والدخول على المحادثات والرسائل والبريد الالكتروني للأشخاص الذين يتم التجسس عليهم، لنسخ محتواها بهدف نقلها إلى العدو.
96%
تشير التقديرات إلى أن حجم شبكة الويب العميقة (Deep Web) يتراوح بين 96٪ و 99٪ من الإنترنت. وهذا النوع من المحتوى يحتاج إلى تفويض خاص للولوج إليه، ولا يمكن الوصول إليه من خلال مُتصفح عادي مثل Google. وتتضمّن هذه الشبكة شبكة الويب المظلمة (Dark Web) التي تُستخدم بشكل أساسي للقيام بأنشطة إجرامية، بما في ذلك التجسس وبيع المخدرات والهجمات الإرهابية ومشاهدة و توزيع المواد الإباحية والاتجار بالجنس البشري.
أحدث تقنيات التحقيق | المحقق جوجل
يتم الاستعانة في بعض التحقيقات، خصوصاً في الولايات المتحدة، بشركة جوجل. عبر استخدام بيانات الموقع الجغرافي لمستخدمي حسابات جوجل، الذين يزيد عددهم على 4 مليارات شخص، يتمّ تحديد الأجهزة القريبة من مسرح الجريمة. وبعد النظر في تحركات تلك الأجهزة، يتمّ تضييق نطاق البحث وصولاً إلى المشتبه بهم أو الشهود المُحتملين. بعدها، يُطلب من Google كشف المعلومات الشخصية لمالكي هذه الأجهزة (الاسم الكامل، البريد الالكتروني، رقم الهاتف، عنوان المنزل…)، للتمكن من التحقيق معهم.