פשע המחשבים המושלם

פשע מחשבים מושלם, ראוי להכיל את הצעדים הבאים: חתירה למגע, נטרול המטרה וטשטוש עקבות. הפחד הכי גדול של כל האקר הוא להיתפס. לכן, מאז ומתמיד ההאקרים השתמשו בשיטות שונות ומגוונות על מנת לפגוע במטרה ולטשטש את עקבותיהם בהצלחה. במאמר זה, אסביר לכם כיצד השיטה הנפוצה של ניצול מחשבים מתבצעת, כיצד התוקף מצליח לטשטש עקבות באמצעות שרת ביניים ואדבר מעט על החוק במדינה.
 
במאמר אגע בכמה נקודות חשובות:
1. מדיניות החוק במדינה
2. האופן בו "מחלק הונאות מחשבים" של משטרת ישראל עובד.
3. הפשע המושלם, בו ניתן להערים על סעיף 2. "משטרת ישראל".

* "חדירה בלתי חוקית לחומר שקשור למחשב. אדם שבצורה לא חוקית חודר לחומר מחשב שממוקם במחשב צפוי למאסר של 3 שנים. הכוונה בחדירה לחומר שקשור למחשב היא תקשור עם או חיבור למחשב, או ע"י תפעולו, אבל לא כולל חדירת חומר מחשב שמוערך כמצותת לפי חוק ההאזנה החשאית 5739-1979"

* "חדירה לחומר שקשור למחשב במטרה לבצע עבירה נוספת. כל אדם שמבצע פעולה אסורה תחת סעיף 4 במטרה לבצע עבירה תחת כל חוק, עם החריגות תחת חוק זה, צפוי למאסר של 5 שנים"

* "ייצור ווירוס מחשב. אדם שכותב תוכנית תוכנה בצורה כזו שתגרום לנזק לא חוקי או שיבוש של מחשב או חומר מחשב, שייחדו אותו או לא, צפוי למאסר של 3 שנים. אדם שמעביר לאחר, או שחודר למחשב של מישהו אחר עם, תוכנית תוכנה שמסוגלת לגרום לנזק לא חוקי או שיבוש כפי הוזכר בפסקה הקודמת, צפוי למאסר של 5 שנים"

- פעם, שלא ממש היו סעיפים מוגדרים לפשעי מחשבים, הכל היה פשוט וקל יותר. היום כשרשויות האכיפה והמשפט מודעות לעבירות המחשב, הכל נהיה קצת יותר קשה ומסוכן עבור תוקפי המחשבים. הדבר הכי חשוב לפורץ מחשבים שנון הוא טשטוש העקבות, לפני שאגע באחת הדרכים הנפוצות ביותר בעולם לטשטוש עקבות, נגע בנושא אכיפת החוק במדינה.

א. כאשר למשטרת ישראל מגיעה תלונה על פשע מחשבים מסוים, ישנה הערכת מצב והיא "האם כדאי להתחיל ולחקור". לאחר ובמידה והמשטרה החליטה שתיק החקירה מספיק חשוב, התיק מועבר למחלקת הונאות מחשבים של משטרת ישראל. שם בתום התחקיר של המתלונן, החוקרים צריכים להשיג לעצמם צו על מנת לאתר את המקור ממנו בוצעו הפשעים.

במידה והתוקף משתמש במחשב הביתי שלו בעת ביצוע הפשע,  המשטרה תיצור קשר עם ספקית האינטרנט ותשיג את כתובת ה-IP ממנה בוצעה העבירה ובעצם כך תקשור אותו לביצוע העבירה. אך אין זהו קו חותך לקשרו לביצוע הפשע, במידה ויכחיש כל קשר לפרשה, משטרת ישראל תפעל במלא המרץ על מנת לעקל כל מחשב אצלו בבית בכדי לחקור ולגלות אם ממנו בוצע הפשע.  במצב כזה במידה והוא אכן התוקף, הוא די בבעיה. כשהחוקרים לוקחים את המחשבים הם מעבירים אותם ליחידת המחשוב שלהם, שם מפעילים כלים לשיחזור נתונים כך שגם הקבצים שנמחקו יופיעו, בניהם הסטוריית גלישה, תכתובות מייל, לוגים, קבצי תוכנה שיצרתם ועוד…

ב. במידה והתוקף ישתמש בשם משתמש וסיסמא של מישהו אחר בכדי להתחבר לאינטרנט, זה יקשה במקצת על חוקרי המשטרה, אך עדיין בתום ההליכים של בדיקת המחשב של המשתמש שנגנבו פרטי ההתחברות שלו לאינטרנט, יוכלו החוקרים להוציא צו שמצריך מ "בזק" לגלות את מקור ה IP עפ"י מספר טלפון, וזו תהווה גושפנקה למקור ביצוע העבירה.

ג. PROXY\SOCKS שיטה זו יעילה כמו תמיד, אך הכל שאלה של זמן. אם הפשע שבוצע הוא מספיק רציני בכדי לערב גופים כגון ה- Interpol, התוקף בבעיה קשה כי לכל מפעיל PROXY או SOCKS יש כתובת אחריו, מחשב אשר שומר את כל הלוגים (רישומים) אשר בסופו של דבר יסגיר את התוקף.

המתכון לפשע המושלם מסתתר בחדרי ה- IRC (קליינט צ'אט). ה-IRC מאז ומתמיד הוא מקור לפשעי אינטרנט גדולים. רוב ההאקרים בעולם גדלו ברשתות ה- IRC ואת סטאג' התכנות שלהם העבירו ב- IRC Scripting (שפת תכנות נפוצה לתכנת mIRC).  כל שנותר להם הוא לייצר תוכנה זדונית (וירוס) אשר כל מחשב שמודבק בו ייכנס לערוץ IRC שההאקר יבחר. בערוץ זה, הוא יוכל לשלוט בכל פקודות הוינדוס של הוירוס כך שכל משתמש שהודבק יושפע ממעלליו של ההאקר. האקרים אוהבים להשתמש בתוכנת mIRC, הם משנים את הגדרות ה Logging כך שלא יישארו קצוות שיצביעו על מעלליהם. בנוסף עליהם לבצע התקשרות אל המשתמשים המרוחקים אך ורק בפקודות "Msg" רגילות ולא בפקודות מבוססות "CTCP" או "DCC" אשר יחשפו את כתובת ה- IP שלהם לכל. לשם הסוואה, במקרה וחוקרי המחשבים יגלו את שם ערוץ ה- IRC אליו מופנים כל הקורבנות "הנגועים" בוירוס, עדיין יהיה קשה לאתר ברשימה את ההאקר. ההאקר בד"כ ישתמש בכינוי זהה לכינוי "חבריו" לערוץ. הוא יתדאג להתאים את כל מראה ה mIRC שלו כך שהוא ייראה כקורבן נוסף ברשימה הגדולה.

לאתר פושע שמתחכם באמצעות שרתי IRC זו עבודה קשה. זה אמנם אפשרי, אך זה אפשרי רק במידה ומפעילים את התותחים הגדולים, ובמקרה של משטרת ישראל, היא עדיין לא תותח בינלאומי גדול ויהיה לה קשה לשלוט ולבקש הסגרה משרת IRC הפועל מחוץ לגבולות המדינה. פשעי ה IRC אינם עוצרים לעולם, ואף לאחרונה הדפוס של פשיעה זו קיבל שם משלו ווירוסים מסוג זה נקראים BOTNET. ישנן קבוצות האקרים גדולות המציעות צבאות שלמים של BOTNET להשכרה, והמחירים מרחיקי לכת. רשתות ה BOTNET מנוצלות למטרות התקפות DDoS (התקפות למניעת שירות מאתרי אינטרנט), למטרות פיצוח סיסמאות מוצפנות, למטרות ניצול Socks לשליטה מרחוק והרשימה עוד ארוכה…

1. ההאקר מייצר וירוס מבוסס mIRC, אשר תומך בשליטה מרחוק ללא כל אפשרות לשמירת Logs.
2. על ההאקר לבסס את שמות המשתמשים בערוץ, את שמו ואת כל המיוחסים לו באותה תבנית הכינוי והתיאורים.
3. על ההאקר להדביק כמה שיותר מחשבים בטרויאן (ככל שיותר יודבקו כך יהיה קשה לאתר את מקור הפשע ולהאקר יהיה יותר כח ושליטה בקורבנות המתקפה העתידיים שלו).
 
(מסמך זה נכתב למטרות מידע בלבד ועוסק בהסברת טשטוש עקבות של קראקרים בישראל ובעולם בכלל)