פריצות למרכזיות IP בחסות חברות התקשורת בישראל ??
Posted on 3 ביוני 2012 by שמוליק בסן
פורסם בבלוג של חברת בלובינט
בהמשך לפוסטים הקודמים המדברים על אבטחת מרכזיות IP, דרכים להגנתמרכזיות ודרכי פריצה למרכזיות IP חובה להוסיף אף את אחריות הגורמים לביצועפירצות אלו.
לכל פירצה ישנם אבות רבים ואילו ההגנה נשאר יתום.
נתחיל לפי הסדר:
1. הפורץ עצמו – ראשון בשרשרת המזון הינו זה אשר עושה זאת למטרות רווח אישיבלבד. בדרך כלל הפורץ והשותפים לה בעלי קו פרימיום אשר גובים את רווחיהםמשיחות רבות למספר זה.
2. ספק ה ISP – לשם הפריצה חייב הפורץ להיות מחובר לאינטרנט. דרכי הגישה שלו עוברים למעשה שני ספקי ISP.
ספק אחד זהו ספק המקור של הפורץ. בין אם הוא מחו"ל או מהארץ חייב הפורץ להיות מחובר דרך ספק שרות מסויים.
ספק שני, שדרך אגב יכול להיות בהחלט אותו ספק, זהו ספק ISP של בעל המרכזיית IP.
3. חברות התקשורת בישראל אשר דרכם מבוצעות השיחות.
בד"כ חברות אלו הם XXX לשיחות לרש"פ וחברות אחרות לשיחות בינלאומיות אשר דרכם מבוצעות השיחות לחו"ל למספרי פרימיום.
4. מתקיני המרכזיה – מתקיני המרכזייה הם אלו אשר יאפשרו/יחסמו את גישת המרכזייה לעולם החיצון.
חסימת המרכזייה אינה תאפשר את ביצוע הפירצה אולם גם "תסרס" את מרכזיית ה IP בגדולתה, הרי היא חיבוריות חיצונית מכל מקום.
5. אחרון אחרון חביב זה בעל המרכזיית IP – בעל המרכזייה חייב לדעת אתהיתרונות והחסרונות כמובן. במידה ומחליט לפתוח את המרכזייה לגישה חיצוניתעליו להבין שכמו כל דבר בחיים יש להגן עליו מפני כניסה בלתי רצוייה.
בדיוק כשם שבעל העסק דואג לנעול את המשרד/בית ולהתקין חומת אש שתחסוםניסיונות חיבור בלתי מורשים חייב הוא להבין שהמרכזיית IP הינה משאב ITבארגון וחייבת להיות מוגנת לא פחות משאר הרכיבים בארגון.
על פעולות הפורץ אין לנו אפשרות שליטה. יתרה מכך, באם לא היו פורצים כלשאר הגורמים הופכים להיות לא רלוונטים. לא היה צורך להשקיע משאבים בהגנתהעסק ואף לא היה צריך לנעול את המשרד/בית.
המתווכים באמצע הם גורמים מס' 2 ו 3 אשר דרכם מתאפשרת הפירצה.
הנפגעים הם גורמים 4 ו 5.
כלומר גורם מספר 1 פוגע בגורם מס' 4,5 ע"י שימוש בגורמים 2,3.
אז מי הם הגורמים 2 ו 3 ? לטובת מי הם?
האם ניתן להניח שגורמים אלו יעשו כל שביכולתן להגן על גורמים 4,5 מפני גורם 1?
הרי שני גורמים אלו הינם לקוחותיהם……..
גורם מספר 2 – ספק השרות ISP
בין אם מדובר בספק אחד משותף או שניים שונים הרי ספק השרות של גורם 5 יכול בהחלט להגן עליו בצורה טובה מאוד.
בין אם הטכנולוגיות לזיהוי התקפות מצוייה בידיו ובין אם "מסורסים" הםטכנולוגית לבצע זאת הרי ברגע של תלונה מסוגלים הם לחסום את כתובת ה IPהמתקיפה והפסיקה.
גורם מספר 3 – חברת התקשורת
"גניבת" השיחות הרי מתבצעת גם דרכם או בעזרתם. כלומר כאשר גונבים שיחות הרי גורם מספר 3 מרוויח פה כסף מעצם ביצוע הגניבה בשונה מגורם מספר 2.
כלומר לגורם מספר 3 יש אחריות מיוחדת.
גורם זה פועל בחסות רשיון משרד התקשורת ומחוייב אליה.
ואלו הם חלקי אחריות בעל הרשיון:
בעל הרשיון אינו רשאי לגבות ממנוי תשלום עבור שיחה כאשר יוזמת ההתקשרות לא נעשית על ידי המנוי (להלן – שיחה לא יזומה).
מניעת נזק -
בהשתמשו ברשיון, ינקוט בעל הרשיון בכל האמצעים הסבירים למניעת נזקאו אבדן לגופו של אדם או לרכושו, ואם נגרם נזק או אבדן כאמור כתוצאה מןהשימוש ברשיון, יתקן בעל הרשיון את הנזק על חשבונו ויפצה את הניזוק, הכלבכפוף לכל דין, למעט מקרה שלגביו העניק לו השר חסינות כמפורט בסעיף
סעיף 56.1 לרישיון ("מניעת הונאות") כי "מקבל שירות לא יחויב בעד שיחות שלא ביצע או שירותים שלא צרך".
הוראה זו נועדה לעודד את ספקיות התקשורת לפעול למניעת הונאות בתקשורתולהשית את האחריות על מונע הנזק הזול יותר, היא ספקית השיחות הבינלאומיות.
מה הם אמצעים סבירים??
אמצעי סביר הם אמצעי בקרה המזהים שימוש לא הוגן ולא סביר ע"י הלקוח.
אמצעים אלו קיימים אצל כל ספקי השרות ומתריעים על כל חריגה בשימוש ובדפוסי פעילות.
אם חברות כרטיסי האשראי מסוגלות תוך דקות בודדות להתקשר ללקוח ולהתריע על גניבה בעת חריגה מדפוסי פעילות במה שונה חברות התקשורת?
האם לחברות כרטיסי האשראי מצוייה טכנולוגיה בלעדית ומיוחדת שאין ברשות בעלי חברות התקשורת??
יש הבדל קטן וחשוב שהוזכר מעלה והוא - חברות התקשורת מרוויחות מעצם פעולת הגניבה.
אז מה עושים? אם לא ידווחו על החריגה מדפוס השימוש ויחסמו את הקו הרי הםמרווחים כסף רב מעצם השימוש, אולם אם הם יחסמו מיידית את הפעולה הרי הם לאירוויחו ורק ביצעו שרות טוב ללקוח ועמדו בתנאי הרשיון.
בעייתי, נכון? כיצד לפעול? פעולה א' תגדיל את "הרווח" ובפעולה ב' לא תגדיל (אבל גם לא תקטין) את הרווח ללא תמורה.
כמו כל דבר בחיים האמת היא איפה שהוא באמצע:
א. שרות "מיוחד" אשר עולה כסף שימנע פעולות אלו (למרות שהם מחוייבים ע"פ תנאי רשיון).
ב. חסימה והתרעת הלקוח רגע לפני שהסכום עלול להפוך לחוב אבוד.
מהו הסכום? מקובל להניח שסכום בין 10,000-30,000 הינו סכום אשר יכול להיותמשולם ע"י חברה, תלוי בגודלה, ואילו סכומים גבוהים יותר לא ישולמו כללויועברו תמיד לטיפול משפטי ולהכרעת בית המשפט.
לכן, מן ההגיון, שפעולות אלו יתגלו לפתע תמיד ע"י ספקי התקשורת בין לבין וינסו לגלגל את האחריות על הלקוחות.
כיום שתביעות לקוחות ע"י ספקי התקשורת מגיעים לעיקולים והוצל"פ על חובותשל עשרות שקלים בודדים, תביעות אלו אשר הינם בעשרות אלפי שקלים אינםמגיעים בד"כ לבית המשפט – מעניין למה!!!
פוסט זה אינו מהווה חוות דעת משפטית כלל ויש להתייעץ עם עו"ד לפני כל ביצוע פעולה משפטית.
פוסט זה הוא לרווחת הציבור הרחב ומסופק ללא תמורה כספית כלל.
להוספת וקריאת תגובות לחץ לבלוג חברת בלובינט