דילוג לתוכן העיקרי

איך יחידות הסייבר של צה״ל והשב״כ פועלות בפייסבוק לסיכול פיגועים?

לוחמים וירטואליים נכנסים לקבוצות פייסבוק בזהות בדויה, ומנגנוני ניטור סורקים אלפי מסרים בשנייה בניסיון לאתר מילות מפתח חריגות שמוזנות מראש. כך פועלות מערכות המודיעין בעידן טרור היחידים והרשתות החברתיות
Israeli Prime Minister Benjamin Netanyahu gestures as he speaks at the Cybertech 2016 conference in Tel Aviv, Israel January 26, 2016. REUTERS/Baz Ratner - RTX242M5

עמוד הפייסבוק של המחבל מוחמד טראיירה, בן 17 מבני נעים, שרצח את הילדה בת ה-13 הלל יפה אריאל בקריית ארבע, הצית את המלחמה בין מדינת ישראל לאימפריית הפייסבוק. השר לביטחון פנים גלעד ארדן, שהאשים את הנהלת הרשת החברתית הפופולרית על שאינה משתפת פעולה עם מדינת ישראל בניטור חומרים מסיתים, אמר לעמיתי בן כספית במאמר באל-מוניטור כי ״המקרה של טראיירה הוא מקרה קלאסי שניתן היה לנטר מבעוד מועד ולמנוע את הרצח.״ הנער כתב בעמוד הפייסבוק שלו ״המוות הוא זכות״ לפני שחדר לקרית ארבע ורצח את הילדה, והוסיף משפט נוסף שלא מותיר ספק באשר למשאלת לבו: ״קבר היכן אתה, אתה לא שואל עלי? מלאך המוות, לא התגעגעת אלי?״

ניתן לשער שיחידות הסייבר החדשות שהוקמו באגף המודיעין של צה״ל ובשב״כ ערכו תחקיר מקיף שבדק מדוע הפוסט של טראיירה חמק ממנגנוני הניטור של המודיעין הישראלי. בגופים האלה יאלצו להסיק מסקנות איך פוסט שפורסם בגלוי ואמור היה להדליק את כל הנורות האדומות הצליח לחמוק מבעד לגדר האבטחה הווירטואלית שהקימה מערכת הביטחון של ישראל.

״זהו אכן מקרה קלאסי של פוסט המעיד על כוונת זדון״, אומר לאל-מוניטור הד״ר נמרוד קוזלובסקי, מומחה בעל שם עולמי לסייבר (אבטחת מידע ותבניות מחשב) ומשפט האינטרנט (ייעוץ משפטי לחברות וגופי אינטרנט וטכנולוגיה). אך בלוחמת סייבר, על אף ההתקדמות האדירה שעשתה ישראל מתחילת גל הטרור הנוכחי, לא ניתן להבטיח מאה אחוזי הצלחה. על אף פיתוח מנועי הניטור, עדכוני האלגוריתמים השוטפים, הזנת הנתונים הבלתי פוסקת והקצאת המשאבים האדירים לבניית מערך מודיעין עדכני לעידן הדיגיטלי, היקפי התעבורה העצומים ברשת אינם מאפשרים לשירותי המודיעין בעולם להשתלט עליהם באופן מוחלט. רק למנהלי הרשתות החברתיות - פייסבוק, טוויטר ואחרות - יש כלים מתאימים לניטור מקיף שמסוגל (אולי) למנוע את הפיגוע הבא.

בעבר, למשל בהאינתיפאדה השנייה שהתרחשה בין השנים 2000 ל-2005, מערך המודיעין של ישראל לסיכול פיגועים התבסס בעיקר על מידע שהופק מיירוט אותות אלקטרוניים (״סיגינט״), ממודיעין שיירט תקשורת בין אנשים (״קומינט״) ומהפעלת סוכנים ומשתפי פעולה בשטח. הפעם, בגלל אופי האינתיפאדה החדשה והפרופיל החדש של המפגעים - עצמאי וספונטני, במקום ארגוני ומתוכנן מראש - שיטות איסוף המודיעין האלה יעילות פחות.

״טרור היחידים״, מושג שהשתרש בגל הפיגועים של החודשים האחרונים, הציב בפני קהילת המודיעין של ישראל אתגרים מורכבים ומסובכים יותר אפילו מחדירה לתוך תאים ממודרים של חמאס או ארגון פלסטיני מזוין אחר. אם בעבר אפשר היה להתמקד בארגונים האלה כמטרה לאיסוף מידע לסיכול פיגועים,  היום כל פלסטיני ופלסטינית בני 13 עד 30 יכולים להיחשב כמפגעים פוטנציאליים. חתך הגילאים הזה מכיל יותר ממיליון בני אדם, ואף קהילת מודיעין אינה יכולה לנטר מספרים כאלה באופן מוחלט.

״אנחנו יכולים לזהות ברשת פרופיל של התלהבות ושלהוב שמתבטא באופן חופשי ברשתות החברתית, ושאחריו יש לעתים קריאה ליציאה לפעולה״ אומר הד״ר קוזלובסקי. לדבריו, העובדה שהרשתות החברתיות גלויות ושניתן לזהות כמעט כל חבר ברשת בשמו ואף לאתר את מיקומו, מאפשרת לאסוף הרבה מאוד חומר מודיעיני איכותי ועדכני בזמן אמת. ״אנחנו מבינים את הקבוצות המתארגנות, מבינים גיאוגרפית את התאים שמתארגנים, יודעים איך נראה המבנה ההיררכי שלהם, מי הם הגורמים שיש להם אפקט ויראלי והשפעתי על כלל החברים בקבוצה פעילה, ומה התהודה שהם יוצרים״.

קוזלובסקי מוסיף כי קיימים היום כלים טכנולוגיים מתקדמים שניתן להפעיל באמצעותם מדדים אשר יודעים לחזות אם תהודה של פוסט כלשהו עלולה להפוך בסבירות גבוהה לביטוי אלים. ״זה יכול להיות ביטוי אלים ברשת הנחשב להסתה המעודדת פיגוע או ביטוי של פעולה פיזית קרובה.  יש אלוגריתמיקה שיכולה לעשות חיזוי כמעט מדויק״.

יחידות הסייבר שהוקמו בצה״ל ובשב״כ והורחבו לאחרונה משמעותית, אינן מחליפות את מערכי המודיעין הוותיקים יותר. אולם בגלל אופי האינתיפאדה הנוכחית הן הפכו לחוד החנית המודיעינית, ופיתוחן נמצא כרגע בעדיפות עליונה. יחידות אלה מעסיקות עשרות מומחים, ועיקר המאמץ מושקע בפיתוח מנועי ניטור המסוגלים לעבור על אלפי מסרים בשנייה. מנועי הניטור מוזנים באלפי מילות מפתח וקודים מילוליים הסורקים את התעבורה ברשתות החברתיות. הם מזהים פעילות חריגה בתוכן עצמו וכן עלייה דרסטית בהיקף תעבורת המסרים.

לוחמים וירטואליים - סוכנים שתפקידם לאסוף מידע מודיעיני - חודרים לתוך קבוצות חברתיות פעילות ושואבים מהן מידע שלא יסולא בפז. ״נהוג להפעיל אווטארים מתחזים ברשת בפרופיל מזויף״, מגלה קוזלובסקי, ״הם חודרים לקבוצה פעילה, אוספים מידע, לומדים את הרכבה של הקבוצה ומזהים את הפעילים ביותר בתוכה״.

הפרופילים החברתיים של כל מחבל שביצע פיגוע בישראל בגל הפיגועים האחרון נלמד היטב ומילות מפתח שבהן השתמש המפגע בעמוד הפייסבוק שלו מוזנות למנועי הניטור. כך למשל, שני המחבלים מוחמד עלאן וחוסיין אבו עוש, שעשו את הפיגוע בבית חורון (25 בינואר) שבו נרצחה שלומית קריגמן כתבו פוסט על כוונתם ״לצוד דורבנים״. ארבעה ימים לפני הרצח כתב עלאן ״בא לי לטעום את טעם הדורבן״, והוסיף כי הוא ייצא לצוד ביום שני - היום שבו אירע הפיגוע.

מילת המפתח "דורבן" הוכנסה למנועי הניטור מתוך הנחה שצעירים נוספים עשויים לקבל השראה מהפוסט הפופולרי ולחקות את הניסוח שלו. סביר להניח שהמערכות המודיעיניות יעודכנו גם עם מילותיו של המחבל מבני נעים, מוחמד טראיירה. גם שמו של טראיירה יוכנס למאגר ,כך שכל מי שיצטט את השם או את הדברים שכתב ידליק נורה אדומה. עם זאת, כל מנועי הניטור שבעולם לא יצליחו לסכל את המוטיבציה הקיימת בשטח. אותה ישראל תצטרך לכבות באמצעים אחרים.

More from Shlomi Eldar

Recommended Articles