מה עומד מאחורי כנופיית הטרור האינטרנטי?
כך הפכה המשטרה נער בן 17, האקר כושל שריסס כמה אתרים ב"סייבר גרפיטי" לראש כנופיית טרור מקוון. מה לא עושים בשביל קצת יחסי ציבור?
כותרות העיתונים בישרו על מעצר "טרוריסט אינטרנטי", שפעל כמנהיג כנופיה של האקרים ערבים מסעודיה, טורקיה ולבנון, ששמו להם למטרה לפגוע באתרים ולהפילם, רק משום שהם ישראלים או יהודים. השבוע הוארך מעצרו של הנער, בן 17, תושב אזור ואדי ערה, בחשד לפעילות טרור דרך האינטרנט.
"עצרנו את ראש הנחש לאחר חקירה שנמשכה חודשים", בישר ראש צוות מחשבים במפלג הונאות צפון, צחי סגל. מהחקירה עולה כי במשך שנה וחצי עמד הנער בקשר עם האקרים ממדינות ערב ששמו להם למטרה לפגוע בתשתיות של אתרי אינטרנט ישראלים, בהם אתרים ציבוריים. המשטרה טוענת כי בין היתר נפגעו אתרי מסחר ואתר הליכוד.
"במהלך החקירה למדנו את שיטות הפעולה שלו, את השעות שבהן הוא מתחבר למחשב, ופשוט הצבנו לו מלכודת דבש עד שהצלחנו לחשוף אותו", אמר סגל. תא של האקרים בהנהגת נער ערבי-ישראלי? באמת נשמע חמור, אך בחינת העובדות חושפת סיפור אחר לחלוטין.
עד כה הוגשו רק שתי תלונות בפרשה, על פי נתוני המשטרה, אם כי זו טוענת כי אתרים רבים אחרים נפגעו, אך חלק מבעליהם אינם יודעים כי נפלו קורבן.
מקרה פשוט של השחתת אתרים
על אף שהמשטרה מייחסת את "עבודת החקירה המאומצת" לעצמה, את רוב המידע הגישה לה על מגש של כסף חברת אחסון קטנה בשם 220mb, שאתרה הותקף ב-30 בנובמבר. "לאחר הפריצה לא ויתרנו", מספר לאון ברודסקי, המנהל הטכני של החברה, "אני ושותפי, דימיטרי אלכסייב השקענו עשרות שעות עבודה ומאמצים רבים כדי לאסוף פרטים מדויקים על הפורץ כולל כתובת IP שלו והגשנו תלונה למשטרה. מסרנו את כל המידע לצחי סגל. בפועל אנחנו עשינו את כל העבודה".
ברודסקי מתאר מקרה פשוט של mass defacement - פגיעה באתרים רבים שכולם מאוחסנים בשרת אחד, המתבטאת בשינוי תכנים או הפניית הגולשים לדף של הפורץ. כתוצאה מכך הגולשים שנכנסו לאתרים שהושחתו ראו את המסר של הפורץ במקום תוכן מקורי.
במקרה כזה, על מנת להחזיר את האתרים לפעולה תקינה יש לשחזר כל המידע מגיבויים ולשפר את אבטחת המידע. מלבד הנזק התדמיתי, פגיעה כזו עשויה להסתכם בעלות של אלפי שקלים – בעיקר שעות עבודה ואובדן הכנסות ללקוחות.
הפורץ לאתר חברת האחסון הזדהה בכינוי ThE Big HackerZ, כינוי זהה לזה של מתקיף אתר הליכוד ב-1 בספטמבר, 2007. גם המסר היה זהה בשני המקרים: You Kill Palestine i Will kill serverS In Israel (אתם הורגים פלסטינים, אנחנו הורגים שרתים).
"המידע שנמסר הוביל לכתובות מזויפות"
לא רק את פרטי ה-IP (כתובת האינטרנט של המחשב בו השתמש הפורץ "המתוחכם" לצורך ההתקפה) מסרו אנשי 220mb למשטרה אלא גם צילומי מסך מרשיעים, לוגים (רישומים) של פעילותו בשרת והכינוי שלו בתוכנת Live Messenger, לאחר שהתכתבו איתו. בפרופיל האישי של "ההאקר" הופיעה תמונה שסיפקה פרטים מזהים נוספים אודותיו.במעריב נכתב הבוקר (ד'): "במשך שנה וחצי מנסים חוקרי יחידת עבירות המחשב של המחוז הצפוני לפענח מי עומד מאחורי הפלת האתרים, שפוגעת בחברות האינטרנט פגיעה כלכלית. שיטות חקירה מגוונות נוסו בלא הצלחה, עד שלפני שבועיים הגיעה פריצת הדרך". כלומר, נראה כי המשטרה גילתה אוזלת יד גם על פי עדותה. במשך חודשים החוקרים השוטרים לא הצליחו להתמודד עם בן 17 שכישורי המחשב שלו אינם מתקדמים במיוחד, בלשון המעטה, עד שברודסקי ואלכסייב גילו אזרחות טובה ועזרו קצת למשטרה המבולבלת. וסיפקו להם את הפרטים כולל צילומי מסך מפורטים.
"אני הסברתי לצחי כהן מה זה מלכודת דבש. הוא לא ידע מה זה בכלל", אמר ברודסקי, "רוב המשפטים שמסרה המשטרה לתקשורת הם בכלל שלנו. הם ניפחו את הפרשה לגמרי".
"אם זה מה שאנשי 220mb טוענים, בבקשה", מגיב כהן ל-ynet, "הם יכולים לומר מה שהם רוצים. המידע שהם מסרו הוביל לכתובת IP מזויפת. אנחנו עשינו את עיקר העבודה. הם סייעו לנו בעיקר באמצעות הגשת התלונה הנדרשת כדי לפתוח בחקירה". כהן מתעקש כי התוקפים היו מתוחכמים ונעזרו במחשב "זומבי" עליו השתלטו לצורך ההתקפה. לדבריו, לצורך חשיפת החשוד בוצע "תרגיל מבריק".
גאון נולד
על רקע ההישגים הקלושים מובן מדוע למשטרה יש צורך לפאר את דמותו של החשוד. "יש לו ידע במחשבים שאין להרבה אנשים", הסביר ל"מעריב" מפקד מפלג ההונאה של המחוז הצפוני, רב פקד אהרון גלאור. "יש לו כישרון מולד. יש כאלו שמנצלים את הידע הזה בכיוון החיובי, ויש כאלו כמו החשוד שמנצלים את הכישרון הזה למטרות שליליות ולגרימת הרס".ומה באשר לקשריו של החשוד עם "טרוריסטים מוסלמים". על פי החשד, הוא יצר קשר עם עם האקרים נוספים מרחבי העולם המוסלמי: ערב הסעודית, טורקיה ולבנון, והציג בפניהם תוכנית שרקם לתקיפת האתרים הישראליים, והם הביעו נכונות לשתף עימו פעולה. נטען כי הם החלו לתקוף יחדיו את האתר שנבחר לקורבן, תוך גרימה לקריסתו על ידי העמסת יתר.
בדיקת ynet גילתה כי לא בוצע כל ניסיון פריצה חריג לשרתים של חברות האחסון הגדולות בישראל וגם בשרתי חוות השרתים הממשלתית, תהיל"ה, לא נרשמה כל פעילות יוצאי דופן.
הפער בין עבריינות זעירה לכנופיית טרור
על פי התיאור של חברת 220mb, הנער, אם בכלל יש לו קשר למעשה, שתל סקריפט (תוכנה קטנה) בשרת, הריץ אותו על מנת להחליף את כל דפי האינדקס של האתרים המאוחסנים בשרת – פעולה הניתנת לביצוע באמצעות כלי תוכנה מוכנים מראש הניתנים להורדה וגילה חוסר תחכום מוחלט כאשר השאיר שובל של עקבות בעקבותיו. על פי החשד, כל מעלליו הסתכמו בהשחתת דפי אינטרנט (defacement), סוג של גרפיטי מקוון.
אמנם, מדובר בפעילות בלתי חוקית שגורמת נזק תדמיתי וכלכלי מוגבל, אך לא צריך להיות גאון מחשבים כדי להבין עד כמה עצום הפער בינה לבין התרברבות המשטרה על תפיסת "ראש כנופיית הטרור האינטרנטית".
סייעה בהכנת הכתבה: שרון רופא-אופיר
