לידיעת המשטרה: עידן הפשע המקוון כבר החל
הצהרות המשטרה על "שוד ממוחשב שבוצע על ידי ארגון פשע בעל רמת תחכום שלא ידענו עד היום" עוררו גיחוך בקרב מומחי אבטחת מידע. עו"ד גוטמן, לשעבר מפקד מפלג עבירות מחשב: לא מדובר במקרה ראשון. המשטרה לא מגרדת את קצה פרשיות ההונאה בהקשר הזה
החזון של שירותי מיחשוב מקוונים הזמינים בכל מקום ובכל זמן עדיין לא הגשים עצמו עבור רוב הגולשים, אך ארבעה העצורים, מחיפה, עתלית, נתניה ונהריה, החשודים כי נטלו חלק בשוד הממוחשב של סניף הדואר בחיפה, בהחלט נהנו מהקלות הבלתי נסבלת של הגישה מרחוק לרשתות מחשב. מעצרם של הארבעה, "חיילים זוטרים בלבד" בארגון פשע מתוחכם, על פי הגדרת המשטרה, הוארך ביום ו'.
תקציר הפרשה: לפני כחודש נפרץ סניף בנק הדואר בשכונת דניה בחיפה. הפורץ לא גנב דבר אך חיבר מודם לשרת המחשב בסניף. בינתיים, החשודים פתחו חשבונות בסניפים אחרים של בנק הדואר ברחבי הארץ. חברי הרשת השתמשו במחשב נייד כדי לשדר פקודות של העברות כספים מהשרת של הסניף החיפאי לחשבונות שפתחו חברי הרשת. ארבעה החשודים נעצרו לאחר שגנבו כ-56000 שקלים באמצעות החשבונות האלה.
ברם, הצהרות המשטרה על "שוד ממוחשב שבוצע על ידי ארגון פשע בעל רמת תחכום שלא ידענו עד היום" עוררו גיחוך בקרב מומחי אבטחת מידע. "שוטרים מכנים 'מתוחכם' כל פשע בו הם נתקלים בפעם הראשונה אך הונאות מסוג זה נפוצות בעולם וגם בישראל זה זמן רב", אומר סנ"צ בדימוס, עו"ד בועז גוטמן, לשעבר מפקד מפלג עבירות מחשב במשטרה.
"רכיב אלקטרוני מתוחכם"
"הרכיב האלקטרוני המתוחכם", על פי הגדרת המשטרה, התגלה כהתקן שמיוצר במזרח הרחוק בעלות של דולרים ספורים - מודם אלחוטי. "המשתמש יכול לעמוד במרחק של 500 מטר מחוץ לבנק ולקבל כל מידע שיחפוץ בו", אמר הבוקר לידיעות אחרונות שלמה טובול, מנכ"ל חברת אבטחת המידע הישראלית "פינג'אן".
"במקרה הזה, נראה כי האבטחה - הן הפיזית והן הווירטואלית - לא היו מהמשופרות", אומר אייל אדר, מנכ"ל iTcon, חברה לייעוץ בתחום טכנולוגיית המידע, "למשל, מערכת אבטחת הגישה לרשת לא פעלה היטב או שלא פעלה בכלל. מערכת כזו מאפשרת למנהל הרשת לאתר ניסיונות גישה והעברות כספים בשעות חריגות ותדליק נורות אדומות כאשר מנהל מערכת מסניף מרוחק ינסה לשנות הרשאות. עם זאת, נראה כי מערכת הבקרה של העברת הכספים פעלה היטב ואיפשרה לאתר את הפשע מיד עם העברות הכספים הראשונות".
אפשר לפרוץ בלי לפרוץ
אדר מציין, כי פריצה מרחוק לרשת ארגונית אפשרית גם ללא שימוש במודם שהותקן מראש, בגופים בהם אין הפרדה מספקת בין הגישה לאינטרנט ולמערכות הניהול הפנימיות של הארגון. לדבריו, פורצים מרחוק עלולים לאתר משתמשים המחוברים לאינטרנט בארגונים אלה ולהתקין במחשבים שלהם תוכנת "סוס טרויאני", שתאפשר להם להשתלט על המחשב ולהשיג באמצעותו הרשאות גישה למערכות פנימיות.
לדברי עו"ד גוטמן, רוב הפשעים אינם מדווחים למשטרה. "ארגונים רבים סובלים מניסיונות פריצה ופריצות לרשתות המיחשוב ולמשטרה אין מושג על כך. הסיבה היא כי דבר התלונה יפורסם בתקשורת ויביא להרס המוניטין של הגוף המתלונן, בייחוד כאשר מדובר במוסד פיננסי. אם אתה רוצה להיות צודק לך למשטרה אבל אף אחד לא יבוא אליך אחר כך".
"במקומון שקרוי ישראל מחשב נייד אחד עושה סיפור, אך הונאות באמצעות מחשבים ניידים מוכרות באירופה זה כשלוש שנים. למשל, קופאיות בבתי עסק מעבירות את כרטיסי האשראי של הלקוחות במחשב נייד, נוסף על מכשיר הסליקה, והנתונים משודרים באופן אלחוטי למאגר מידע חיצוני.
"מי שנהנה מגישה לרשת - יכול לעשות הכל"
"היום כל ילד בן 7 יודע ש-99 אחוז מהמידע שמור במחשבים ואם הנתונים לא מוגנים היטב - התוצאות ידועות מראש", אומר עו"ד גוטמן, "אדם אתו נפגשתי בסניף של רשת בתי קפה הראה לי כיצד הוא יכול לחדור למאזן התשלומים של המקום באמצעות מחשב נייד. כאשר ביקשתי ממנו להפסיק הוא אמר כי ה-DHCP (פרוטוקול להקצאת כתובות IP ברשת מקומית) של השרת הקצה לו כתובת, ומדוע שלא ינצל אותה? בהזדמנות אחרת ביקרתי בבית חולים ומומחה לאבטחת מידע הדגים איך הוא יכול להעתיק תיקים של מטופלים, למרות שאותו מוסד רפואי משתמש בפיירוול. הכל בגלל הגדרה כושלת של מערכות האבטחה האלה".
"היום כולם עובדים ברשת, ולכן מי שיש לו גישה לרשת של הבנק - יכול לעשות הכל", אמר לידיעות אחרונות אלון כהן, מנכ"ל חברת אבטחת המידע "סייבר ארק", "הפושע יכול לרוקן את החשבון שלך באמצעות האינטרנט, אבל במחשבי הבנק זה ייראה כאילו זה אתה זה שמשכת את הכסף".
הצפי: עוד פשעים מסוג זה
אדר צופה יותר ויותר פשעים דומים בישראל. "המקרה האחרון ממחיש את החשיבות בשילוב בין אבטחה פיזית לאבטחת מידע", הוא אומר, "אם האבטחה הפיזית חלשה יחסית - למשל, מוסד לא יכול להציב שמירה במשך 24 שעות ביממה על כל סניפיו - חובתו לוודא כי מערכת אבטחת המידע תהיה הדוקה, כך שגם אם אדם יפרוץ לשרת הוא לא יוכל לבצע פעולות פיננסיות".
רשות הדואר שיבחה את מערכת הבקרה הפנימית שגילתה את הפריצה לאחר שהחשודים הצליחו לגנוב עשרות אלפי שקלים בלבד, אך עו"ד גוטמן מציין כי מדובר ברשלנות לשמה, והניסיון לייחס לפורצים תחכום עשוי להסתיר אמת פשוטה, לפיה מערכת אבטחת המידע של בנק הדואר לא תפקדה היטב, כהגדרתו. "אם ארבעה אנשים נעצרו, ומדובר רק בחלק מאנשי הרשת, לא מדובר בהונאת המאה", הוא אומר, "סוד של ארבעה אנשים הוא מידע גלוי לאלפים. המשטרה לא מגרדת את קצה פרשיות ההונאה בהקשר הזה".
