09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

האנלייזר חשוד בהטענת כספים לכרטיסי אשראי

אהוד טננבאום (29), שהתפרסם בארץ בכינוי "האנלייזר" כשפרץ עוד בהיותו נער למחשבי מוסדות ממשל אמריקאיים וישראליים, נעצר בקנדה יחד עם שלושה חשודים נוספים בחשד שגנב 1.8 מיליון דולר קנדי מחברה בעיר קלגרי, וכתב אישום הוגש נגדו, כך לפי דיווחים של כלי תקשורת בקנדה. האנלייזר, אהוד טננבאום, חשוד כי פרץ למחשבי חברת אשראי בקנדה

אמו של טננבאום אמרה היום: "אני יודעת שהוא לפעמים בצרפת ולפעמים בקנדה. ניסיתי ליצור קשר איתו היום, אך לא הצלחתי". במשרד החוץ אמרו כי הם בודקים את הדיווחים.

כלכליסט מוסר כי במשך שבעה חודשים השתמשו חוקרים בטכנולוגיה ובשיטות בילוש מסורתיות על-מנת לאתר את החשודים. במבצע היו מעורבים השירות החשאי האמריקני, משטרת קלגרי וונקובר וגם כוחות משטרה במונטריאול, שם נעצרו החשודים. הם הועברו לקלגרי לפני כמה ימים. לפי החשד שלושה חשודים אחרים רכשו כרטיסי אשראי טעונים, ואילו טננבאום פרץ עבורם למחשבי החברה ושינה את הסכום המוטען בכרטיס. לאחר ביצוע השינוי הלכו השלושה ומשכו כספים בכספומטים בקנדה וברחבי העולם. על פניו זה נראה כמו פטנט מצוין להדפסת כספים, אלא שאת המחיר משלמים בעלי המניות של הבנק שנפרץ.

טננבאום התפרסם בשנת 1998 לאחר שפרץ באמצעות האינטרנט ועזרה של קראקרים אחרים למחשבים של גופים רבים, בהם נאס"א, מוסדות ממשל בארה"ב, משרד ההגנה האמריקני, חיל האוויר והצי האמריקני, אתר הכנסת ואתר נשיא המדינה.

הוא נחשף לאחר שנעצרו שני אזרחי ארצות הברית, שהיו תלמידיו, והחקירה הובילה אליו. משלחת של חוקרים מארה"ב הגיעה לארץ ומסרה ליחידה הארצית לחקירות הונאה פרטים על החדירות למחשבים שבוצעו בחו"ל ובארץ. התביעה טענה כי כתוצאה מהפריצות למחשבים נגרמו לבעלי המחשבים נזקים כספיים כבדים, הם נאלצו לטפל בפריצות, ולהפסיק שירות שנתנו באמצעות המחשבים. בעקבות הפריצה למחשבי הכנסת נעלמו קבצים, המחשבים היו מושבתים, ונגרם לכנסת נזק תדמיתי. בית משפט השלום בתל-אביב גזר עליו שישה חודשים מאסר בעבודות שירות, חודשיים מאסר על תנאי וקנס בסך 75 אלף שקלים, ובית המשפט המחוזי בתל-אביב גזר עונש של שנה וחצי מאסר.

עו"ד חיים רביה מציין בהקשר לערעור כי פסק הדין בערעורה של המדינה על קולת עונשו של אהוד טננבאום, "האנלייזר", קובע אמות-מידה להענשת עברייני מחשב, והן מחמירות ( ע"פ 0712271/01 מיום 5.6.2002): "בעולם שבו כל הידע שנצבר, בכל תחום שהוא, כל אינפורמציה... מצויה במחשבים, הצורך הראשון במעלה הוא להגן על מאגרי המידע העצומים המצויים במחשבים", פסק בית המשפט בגוזרו על הנאשם 18 חודשי מאסר בפועל (לעומת שישה חודשים שירוצו בעבודות שירות ועוד שנתיים מאסר על תנאי, שגזרה עליו הערכאה הנמוכה יותר.

תובנות איי פי וי סקיוריטי

הגם שאיננו יודעים את הפרטים הטכניים המדוייקים, הרי שסביר מאוד להניח שטננבאום ניצל והשתמש בפרצות אבטחה ידועות על בסיס הנתונים בו נמצאו פרטי כרטיסי האשראי, ובפרצות בקונפיגורציית האבטחה הארגונית בכדי לחדור אל בסיס הנתונים מבחוץ.

סריקת פרצות אפליקטיביות על בסיס הנתונים, וסגירת הפרצות שהיו נמצאות עליו - היתה מקשה מאוד על הפורץ, עד כדי אי-יכולת לבצע את הגניבה, וזאת בסבירות גבוהה; בדיקת תשתית מסודרת, כולל חוקי ה-Firewall וסגירת פרצות במערכת ההפעלה על השרת - היתה מסייעת כנגד הפריצה עצמה, ובסבירות גבוהה לא מאפשרת לפורץ להגיע אל בסיס הנתונים מלכתחילה.

שאלה קוראים

PCI הינו הסטנדרט של חברות כרטיסי האשראי המחייב את כל מי שמעורב בסליקה ושימוש בכרטיסי אשראי. מה לדעתכם הסיבה שלמרות כל הפעילות והמחוייבות של הרגולציה עדיין משאירים פרצות רבות לאנלייזר וחבריו!?