פריצות למרכזיות IP בחסות חברות התקשורת בישראל ??

בהמשך לפוסטים הקודמים המדברים על אבטחת מרכזיות IP, דרכים להגנת מרכזיות ודרכי פריצה למרכזיות IP חובה להוסיף אף את אחריות הגורמים לביצוע פירצות אלו.

לכל פירצה ישנם אבות רבים ואילו ההגנה נשאר יתום.
נתחיל לפי הסדר:
1. הפורץ עצמו – ראשון בשרשרת המזון הינו זה אשר עושה זאת למטרות רווח אישי בלבד. בדרך כלל הפורץ והשותפים לה בעלי קו פרימיום אשר גובים את רווחיהם משיחות רבות למספר זה.
2. ספק ה ISP – לשם הפריצה חייב הפורץ להיות מחובר לאינטרנט. דרכי הגישה שלו עוברים למעשה שני ספקי ISP.
ספק אחד זהו ספק המקור של הפורץ. בין אם הוא מחו"ל או מהארץ חייב הפורץ להיות מחובר דרך ספק שרות מסויים.
ספק שני, שדרך אגב יכול להיות בהחלט אותו ספק, זהו ספק ISP של בעל המרכזיית IP.
3. חברות התקשורת בישראל אשר דרכם מבוצעות השיחות.
בד"כ חברות אלו הם XXX לשיחות לרש"פ וחברות אחרות לשיחות בינלאומיות אשר דרכם מבוצעות השיחות לחו"ל למספרי פרימיום.
4. מתקיני המרכזיה – מתקיני המרכזייה הם אלו אשר יאפשרו/יחסמו את גישת המרכזייה לעולם החיצון.
חסימת המרכזייה אינה תאפשר את ביצוע הפירצה אולם גם "תסרס" את מרכזיית ה IP בגדולתה, הרי היא חיבוריות חיצונית מכל מקום.
5. אחרון אחרון חביב זה בעל המרכזיית IP – בעל המרכזייה חייב לדעת את היתרונות והחסרונות כמובן. במידה ומחליט לפתוח את המרכזייה לגישה חיצונית עליו להבין שכמו כל דבר בחיים יש להגן עליו מפני כניסה בלתי רצוייה.
בדיוק כשם שבעל העסק דואג לנעול את המשרד/בית ולהתקין חומת אש שתחסום ניסיונות חיבור בלתי מורשים חייב הוא להבין שהמרכזיית IP הינה משאב IT בארגון וחייבת להיות מוגנת לא פחות משאר הרכיבים בארגון.

על פעולות הפורץ אין לנו אפשרות שליטה. יתרה מכך, באם לא היו פורצים כל שאר הגורמים הופכים להיות לא רלוונטים. לא היה צורך להשקיע משאבים בהגנת העסק ואף לא היה צריך לנעול את המשרד/בית.

המתווכים באמצע הם גורמים מס' 2 ו 3 אשר דרכם מתאפשרת הפירצה.
הנפגעים הם גורמים 4 ו 5.
כלומר גורם מספר 1 פוגע בגורם מס' 4,5 ע"י שימוש בגורמים 2,3.

אז מי הם הגורמים 2 ו 3 ? לטובת מי הם?
האם ניתן להניח שגורמים אלו יעשו כל שביכולתן להגן על גורמים 4,5 מפני גורם 1?
הרי שני גורמים אלו הינם לקוחותיהם……..

גורם מספר 2 – ספק השרות ISP
בין אם מדובר בספק אחד משותף או שניים שונים הרי ספק השרות של גורם 5 יכול בהחלט להגן עליו בצורה טובה מאוד.
בין אם הטכנולוגיות לזיהוי התקפות מצוייה בידיו ובין אם "מסורסים" הם טכנולוגית לבצע זאת הרי ברגע של תלונה מסוגלים הם לחסום את כתובת ה IP המתקיפה והפסיקה.
גורם מספר 3 – חברת התקשורת
"גניבת" השיחות הרי מתבצעת גם דרכם או בעזרתם. כלומר כאשר גונבים שיחות הרי גורם מספר 3 מרוויח פה כסף מעצם ביצוע הגניבה בשונה מגורם מספר 2.

כלומר לגורם מספר 3 יש אחריות מיוחדת.

גורם זה פועל בחסות רשיון משרד התקשורת ומחוייב אליה.

ואלו הם חלקי אחריות בעל הרשיון:

בעל הרשיון אינו רשאי לגבות ממנוי תשלום עבור שיחה כאשר יוזמת ההתקשרות לא נעשית על ידי המנוי (להלן – שיחה לא יזומה).

מניעת נזק –
בהשתמשו ברשיון, ינקוט בעל הרשיון בכל האמצעים הסבירים למניעת נזק או אבדן לגופו של אדם או לרכושו, ואם נגרם נזק או אבדן כאמור כתוצאה מן השימוש ברשיון, יתקן בעל הרשיון את הנזק על חשבונו ויפצה את הניזוק, הכל בכפוף לכל דין, למעט מקרה שלגביו העניק לו השר חסינות כמפורט בסעיף

סעיף 56.1 לרישיון ("מניעת הונאות") כי "מקבל שירות לא יחויב בעד שיחות שלא ביצע או שירותים שלא צרך".

הוראה זו נועדה לעודד את ספקיות התקשורת לפעול למניעת הונאות בתקשורת ולהשית את האחריות על מונע הנזק הזול יותר, היא ספקית השיחות הבינלאומיות.

מה הם אמצעים סבירים??
אמצעי סביר הם אמצעי בקרה המזהים שימוש לא הוגן ולא סביר ע"י הלקוח.
אמצעים אלו קיימים אצל כל ספקי השרות ומתריעים על כל חריגה בשימוש ובדפוסי פעילות.
אם חברות כרטיסי האשראי מסוגלות תוך דקות בודדות להתקשר ללקוח ולהתריע על גניבה בעת חריגה מדפוסי פעילות במה שונה חברות התקשורת?
האם לחברות כרטיסי האשראי מצוייה טכנולוגיה בלעדית ומיוחדת שאין ברשות בעלי חברות התקשורת??

יש הבדל קטן וחשוב שהוזכר מעלה והוא –  חברות התקשורת מרוויחות מעצם פעולת הגניבה.
אז מה עושים? אם לא ידווחו על החריגה מדפוס השימוש ויחסמו את הקו הרי הם מרווחים כסף רב מעצם השימוש, אולם אם הם יחסמו מיידית את הפעולה הרי הם לא ירוויחו ורק ביצעו שרות טוב ללקוח ועמדו בתנאי הרשיון.

בעייתי, נכון? כיצד לפעול? פעולה א' תגדיל את "הרווח" ובפעולה ב' לא תגדיל (אבל גם לא תקטין) את הרווח ללא תמורה.
כמו כל דבר בחיים האמת היא איפה שהוא באמצע:
א. שרות "מיוחד" אשר עולה כסף שימנע פעולות אלו (למרות שהם מחוייבים ע"פ תנאי רשיון).
ב. חסימה והתרעת הלקוח רגע לפני שהסכום עלול להפוך לחוב אבוד.
מהו הסכום? מקובל להניח שסכום בין 10,000-30,000 הינו סכום אשר יכול להיות משולם ע"י חברה, תלוי בגודלה, ואילו סכומים גבוהים יותר לא ישולמו כלל ויועברו תמיד לטיפול משפטי ולהכרעת בית המשפט.
לכן, מן ההגיון, שפעולות אלו יתגלו לפתע תמיד ע"י ספקי התקשורת בין לבין וינסו לגלגל את האחריות על הלקוחות.

כיום שתביעות לקוחות ע"י ספקי התקשורת מגיעים לעיקולים והוצל"פ על חובות של עשרות שקלים בודדים, תביעות אלו אשר הינם בעשרות אלפי שקלים אינם מגיעים בד"כ לבית המשפט – מעניין למה!!!

פוסט זה אינו מהווה חוות דעת משפטית כלל ויש להתייעץ עם עו"ד לפני כל ביצוע פעולה משפטית.
פוסט זה הוא לרווחת הציבור הרחב ומסופק ללא תמורה כספית כלל.

 

שמוליק בסן

פורסם בקטגוריה Uncategorized, עם התגים , , , . אפשר להגיע לכאן עם קישור ישיר.

4 תגובות על פריצות למרכזיות IP בחסות חברות התקשורת בישראל ??

סגור לתגובות.