עלילות פרוקסי וההונאה המשטרתית הגדולה

14/12/2009 | גיליון מספר 107 | משה הלוי halemo

במהלך חקירות משטרה בנושאי עבירות מחשב, אפשר לפעמים להבחין בדפוסי פעולה הזויים לחלוטין ומנותקים מהמציאות, אך כאלה שנועדו לרמות את בתי המשפט. ההמצאה האחרונה מבית מפלג עבירות מחשב: לחפש ולמצוא את המילה -פרוקסי- על דיסקים של חשודים ולהציג את הראיות לבית המשפט במטרה להביא להרשעה ולשנים רבות בכלא.

התקלה

יום אחד התרחשה תקלה במערכת מחשב השייכת למדינת ישראל, שעיקרה היא שמי ששילם חלק מהחוב שהוא חייב למדינה, החוב כולו אופס, וסכום הכסף ששולם בפועל, לא זוכה מחשבונו של החייב. מקור התקלה באתר אינטרנט שלא נכתב ולא נבנה כראוי. המדובר היה באתר המרכז לגביית קנסות.

אתר המרכז לגביית קנסות

http://knasot1.court.gov.il

אנשי המרכז שאינם מבינים כל כך במחשבים, גם לא האחראית שלהם על המחשוב, גב' דניאלה גולן, הזמינו מומחים של חברה לאבטחת מידע בשם "אבנת". חברת אבנת עבדה באותה עת בצמוד להנהלת בתי המשפט, והדריכה את מנהלי בתי המשפט והכפופים להם בכל הקשור בעבודה מאובטחת במחשבים.

אתר חברת אבטחת המידע "אבנת"

http://www.avnet.co.il

המומחים של חברת "אבנת" גילו שאת המידע שעובר בין אתר האינטרנט כפי שהוא מוצג למשתמש הסופי בבית (הלקוח) אפשר לשנות בדרך. כלומר, כל שדות המידע נמצאים בדף ה HTML שמוצג בדפדפן של המשתמש, הוא הלקוח, וברצונו לשנות את המידע שנשלח לשרת, ישנה וברצונו לא.

מומחה אבנת גילה את התקלה בשיטה פשוטה ביותר: הוא התקין תוכנה מסוג פרוקסי (web proxy) על מחשב הלקוח שלו ובעת משלוח הקישור ו/או הטופס אל אתר האינטרנט, הוא עצר את המידע בתוכנה ושינה את השדות הרלבנטיים, בהם מספר תעודת זהות של החייב והסכום לתשלום, אותו הצליח להוריד מכמה מליוני שקלים, למספר שקלים בודדים.

מומחה אבנת התבקש להוכיח יכולת. כלומר להוכיח שניתן לשנות נתונים שנשלחים ממחשבו של הלקוח למחשב המרכז לגביית קנסות, שבעצם היה אתר אינטרנט פשוט ביותר. המומחה לא שלל שיטות אחרות כמו למשל שינוי הקישור עצמו (ה URL) או דרך אחרת. הוא התבקש להוכיח אפשרות קיימת ותו לא.

חקירת משטרה ראשונה

אנשי המרכז לגביית קנסות, שלא הבינו שהתקלה בעצם נופלת לפתחם, הגישו תלונה למשטרת ישראל. אחראית המחשוב, דניאלה גולן, שצפתה בהדגמה של חברת "אבנת", הסבירה למשטרה שאותו אדם ששילם אחרון וגרם לחוב להיות מאופס, עשה זאת באמצעות תוכנת "פרוקסי".

עדות דניאלה גולן במשטרה

proxy01.htm

בינתיים, נעצר חשוד ראשון, החייב, שגם לו ידע לא מבוטל במחשבים. החשוד הראשון נשאל במהלך חקירתו האם הוא יודע מה היא תוכנת פרוקסי (web proxy).

עדות החייב במשטרה

proxy02.htm

יומיים לאחר מכן, זומן מומחה חברת "אבנת", שהסביר במשטרה כי לצורך הוכחת התקלה באתר המרכז לגביית קנסות, הוא השתמש בתוכנת פרוקסי כלשהי שהוריד מרשת האינטרנט, ובעזרתה הוכיח את המחדל. המומחה אפילו טרח להסביר למשטרה שלא בוצעה כל חדירה למחשב ואף לא לבסיסי הנתונים של המרכז, אלא כל שהתבצע הוא תשלום "מזויף" שבו הסכום לתשלום היה שונה מסכום החוב הכללי. עוד הסביר שממילא לא נבדק הסכום לתשלום עם הסכום של החוב הכללי שנמצא בשרת.

עדות מומחה חברת אבנת במשטרה

proxy03.htm

הקונספציה

בינתיים, אחרי שהמשטרה בעצמה הבינה שאין פה חדירה לחומר מחשב במובן של פריצה לשרתי מחשב מרוחקים, ולאחר שבדקה את כרטיס האשראי שבו בוצעה העסקה, היא עצרה את המשלם, כותב שורות אלה (להלן: החשוד). אחד הדיסקים הקשיחים של החשוד, נתפס וזאת על מנת לבצע בו בדיקה מקיפה.

במשטרה החליטו על הקונספציה הבאה, על מנת להביא להרשעתו של החשוד השנוא עליהם כל כך: כדי ליצור רושם שבוצעה פריצה מתוחכמת לשרת המחשב של המרכז לגביית קנסות, צריך להביא למצב שבו ימצאו על הדיסק תוכנת פריצה כלשהו, ולא סתם קישורי URL שלא מצביעים על חדירה לחומר מחשב במובן הפלילי, אלא על שימוש כדין באתר אינטרנט.

עיון בעדויות הכתובות הוביל את חוקרי המשטרה לקונספציה המופרכת הבאה: כדי לשכנע את בית המשפט להרשיע את החשוד בעבירות מחשב חמורות, וכדי להציג בפני בית המשפט את החשוד כמי שביצע הונאת מחשב מתוחכמת בעזרת כלי תוכנה מתוחכמים, נשכנע את הפרקליטות שמלווה את התיק, שהחשוד השתמש בתוכנה בשם web proxy ובעזרתה ביצע את ההונאה.

קונספציה זו, בצירוף שתי עדויות כתובות של מומחה חברת "אבנת" (שעדותו היא בסך הכל הוכחת תקלה קיימת) ושל אחראית המחשוב דניאלה גולן (שעדותה היא בסך הכל עדות שמועה של מה שראתה אך לא הבינה) שבהן מוזכרת המילה "פרוקסי", תביא להגשת כתב אישום חמור, ומאוחר יותר הרשעה וגזר דין קשה שישלחו את החשוד לשנות מאסר רבות.

ההפללה

כדי לעבות את הנושא, החלו מזכרים רבים להתעופף ולהתרוצץ בין חוקרי מפלג הונאה ירושלים לבין חוקרי מפלג עבירות מחשב שביחידה לה"ב 433 בלוד. כדי לשכנע את בית המשפט בהליכים מקדמיים, הכין קצין המודיעין של מפלג עבירות מחשב, רפ"ק אייל שרון, מזכר ובו הוא מסכם שההונאה והפריצה למחשבי המרכז לגביית קנסות, בוצע באמצעות תוכנת web proxy . מזכרו נחתם על ידי השופטת אתי באום ניקוטרה בעת דיון בנושא.

חוות דעת קצין המודיעין, רפ"ק אייל שרון

proxy04.htm

חוקר מפלג הונאה רס"מ יורם אפרתי ביקש מחוקר לה"ב 433 רפ"ק קובי פורלייטר, לחפש את המילה proxy על הדיסק, ולמצוא האם היתה מותקנת תוכנה כזו. יורם אף הדגיש שאין צורך לבדוק את הקשר בין החשוד לבין החייב, כי יחסיהם  הם לא מעניינה של המשטרה, אלא מה שמעניין היא רק "הפריצה" למחשבי המרכז לגביית קנסות.

מכתב חוקר המשטרה, רס"ם יורם אפרתי

proxy05.htm

רפ"ק פורלייטר, ביצע חיפוש של המילה proxy על הדיסק של החשוד, וכמובן מצא הרבה מופעים של המילה הזו. את ממצאיו מיהר להעלות על הכתב. כך, ייצר חוות דעת של מומחה מחשב משטרתי, המוכיח שבדיסק של החשוד היתה פעם תוכנת פריצה מתוחכמת בשם proxy, שבעזרתה בוצעה ההונאה הגדולה נגד המרכז לגביית קנסות.

חוות דעת קצין המשטרה, רפ"ק קובי פורלייטר

proxy06.htm

הגשת כתב אישום

החקירה הסתיימה, ובידי המשטרה, לפי שיטתה, היו כל הראיות שהחשוד ביצע הונאת מחשב מתוחכמת בעזרת תוכנה בשם proxy שכל אחד יכול להוריד מרשת האינטרנט על מנת לבצע מעשי מרמה. התיק עבר לפרקליטות מחוז ירושלים.

בפרקליטות מחוז ירושלים החלו לגבש טיוטת כתב אישום נגד החשוד. טיוטת כתב האישום שאמורה להרצות את העובדות השונות בפני בית המשפט, הסבירה שהחשוד השתמש בתוכנת web proxy על מנת לבצע את ההונאה המתוחכמת.

טיוטת כתב אישום

proxy07.htm

מאוחר יותר, לאחר הליך שימוע פיקטיבי וקלוקל שבוצע לחשוד  (יפורט בעתיד לבוא), הוחלט להגיש כתב אישום לבית המשפט. כתב האישום הסופי לא כלל את המילה proxy, אלא את הטענה ש"המאשימה אינה יודעת באיזו תוכנה השתמש הנאשם". ככל הנראה לאחר קריאת מזכר פנימי שמסביר שהמשטרה תגרום להפללת החשוד בעזרת המילה prxoy, למרות שאין מדובר בתוכנת פריצה מתוחכמת בכלל, אלא מילה גנרית שתמיד קיימת בדיסקים של חשודים.

ביום ההוכחות הראשון, הסביר רס"ם יורם אפרתי לבית המשפט, שהחשוד ביצע את ההונאה באמצעות תוכנת פרוקסי, שאותה אינו מכיר. רס"ם אפרתי לא ידע שכבר דיון אחד קודם, דיון מקדמי, הוגשה חוות דעת מטעם ההגנה, שאותה כתב הנאשם, מומחה מחשבים בעצמו, שמסבירה לבית המשפט מה זה בדיוק "פרוקסי".

חלק מעדותו של יורם אפרתי בבית המשפט

proxy08.htm

פרוקסי proxy

אם תיקחו תקליטור של מערכת הפעלה כלשהי, windows xp או linux, ותחפשו את המילה prxoy על התקליטור, תגלו איזכורים לא מעטים של המילה. אם תחפשו את המילה הזו על דיסק קשיח שבו מותקנת מערכת הפעלה בתולה, כזו שלא גלשו איתה אף פעם ברשת האינטרנט, גם תגלו איזכורים לא מעטים של המילה.

המונח web proxy מתייחס לתוכנה או שירות שנמצאים בין הדפדפן של המשתמש לבין האתר שהוא גולש אליו. בכל דפדפן אינטרנט שמצוי בשוק, קיימת אפשרות להגדיר פרוקסי בין הדפדפן לבין האתר. ההגדרה בדפדפן אינטרנט אקספלורר:  תפריט עליון: כלים -> אפשרויות אינטרנט -> חיבורים -> הגדרות -> שרת פרוקסי  (באנגלית: Top Menu: Tools -> Internet Options -> Connections -> Settings -> Proxy Server ).

הפירוש המילוני של המילה פרוקסי הוא: מורשה, שליח, נציג, נציגות, בא כוח, באות כוח, הרשאה, ייפוי כוח.

לתוכנות פרוקסי שמותקנות במחשבו של גולש אינטרנט תפקידים רבים ולגיטימיים:

א.       יצירת מטמון: כיום הדפדפנים שומרים דפים שהתקבלו מרחוק, בצורה של קובץ על הדיסק. בפניה נוספת של המשתמש לקבלת הדף, הדפדפן יבדוק האם הדף כבר שמור אצלו במטמון (כקובץ בדיסק).

ב.       חסימת פרסומות טורדניות: קיימות תוכנות שנועדו למנוע חלונות קופצים המכילים פרסומת, ומטרידים בעת ביקור באתרים שונים. היום זה חלק אינטגרלי מדפדפנים מודרניים.

ג.        אנטי וירוס: חסימת קבלת תוכן זדוני כמו קוד תוכנה שניתנת להפעלה ולהרצה במחשב הלקוח.

ד.       שיפור נגישות: משתמשים בעלי קשיי ראיה, נעזרים בתוכנות פרוקסי שמתרגמות את הטקסט באתר לצליל ולקול שמכתיב את מה שכתוב על המסך.

ה.      הגנה על קטינים: קיימות תוכנות פרוקסי המסוגלות לזהות תכנים פוגעניים (סקס, סמים, קללות) ולחסום אותם בפני המשתמש הקטין.

ו.         ומת אש (Firewall): ניטור המידע שעובר בין הלקוח לשרת ולהפך, כדי שתוכנת לקוח כלשהי, לא תיצור קשר עם שרת מחשב מרוחק, ללא הסכמת המשתמש. למשל, חסימת תקשורת בין תוכנת נגן וידאו שמציגה סרטים, ומדווחת ללא ידיעת המשתמש לשרת מחשב מרוחק על שמות וסיסמאות שהמשתמש מחזיק על הדיסק שלו.

ז.        תיעוד והקלטת מידע זורם שעובר בין מחשב מרוחק למחשב מקומי, למשל זרם וידאו, זרם מוסיקה, תכתובת בצ'אט וכדומה.

תוכנות פרוקסי אינן תוכנות זדוניות; הן אינן תוכנות מסוג סוס טרויאני; הן אינן תוכנות מסוג נגיף מחשב (וירוס). תוכנת פרוקסי שמותקנת על מחשב הלקוח, הופכת לחלק מהלקוח, בדיוק כמו שמשקפיים ומכשיר שמיעה הופכים להיות חלק מהאדם. תוכנות פרוקסי הן תוכנות תיווך לגיטימיות שלעתים הן חלק אינטגרלי מדפדפנים. תוכנת פרוקסי בצד הלקוח היא הרחבה של הדפדפן.

המזימה נכשלה

בסופו של יום, הנאשם, כותב שורות אלה, לא הורשע בעבירות מחשב. הנאשם זוכה מכל אשמה.

הכרעת הדין

state_vs_halemo_20091129.htm

המזימה של חוקרי עבירות מחשב של משטרת ישראל להפליל נאשם באמצעות שכנוע בית המשפט ש"פרוקסי" היא תוכנה לביצוע הונאת מחשבים מתוחכמת, נכשלה. הכישלון היה כל כך גדול, עד שאפילו בית המשפט לא טרח להתייחס לפעולות השונות שביצעו חוקרי המשטרה על הדיסק של החשוד. הראיות האלקטרוניות לא הוזכרו בהכרעת הדין הסופית. תפקידו של רפ"ק קובי פורלייטר שמצא אלפי מופעים של המילה הזו על הדיסק של החשוד, עומעם במתכוון כדי לא ליצור מבוכה נוספת למדינה.

הפרשנות לראיה שבישלו חוקרי עבירות המחשב של משטרת ישראל, היא מחפירה. היא מוכיחה כי כאשר המטרה (להפליל את החשוד) מקדשת את האמצעים (סילוף המושג פרוקסי), לא יבחלו חוקרי המחשב בניסיונות לרמות את בית המשפט בטיעונים מופרכים ובחוות דעת מצוצות מהאצבע.

משטרת ישראל צריכה לערוך חשבון נפש עם עצמה: עליה להפסיק להאמין שחוות דעת מופרכות שחוקריה המהוללים יכתבו, יתקבלו בעיניים עצומות ובאמירת "אמן" בבית המשפט. תיקים כאלה קמים ונופלים על חוות דעת של מומחים, וכאלה יש לא רק למשטרה.

נאשמים חסרי אמצעים יישלחו לכלא, רק בגלל שמומחה מחשב משטרתי ביצע כלפיהם מעשי נבלה, בדמות פרשנות מעוותת של ראיות אלקטרוניות שנמצאו במחשב.

 



רפ"ק גלעד בהט
ראש מפלג הונאה ירושלים

הוא ופקודיו רקחו עלילה שעיקרה סילוף מהותן של ראיות אלקטרוניות שנמצאו לכאורה בדיסק החשוד




רפ"ק קובי פורלייטר
מפלג עבירות מחשב
לה"ב 433

מצא את המילה "proxy" בדיסק המחשב. משמש, לא ברור האם בידיעתו, כעלה התאנה המקצועי של מפלג הונאה ירושלים



עו"ד אלי אברבנאל
פרקליט מחוז ירושלים

קלט את הקטע המסריח שעושה המשטרה עם ה"פרוקסי" ומחק את אזכורו מכתב האישום הסופי. לא קלט ששאר חלקי כתב האישום מופרכים הרבה יותר.


 


 

תגובות הקוראים