32

 

 

   

בתי המשפט

 

פ  003047/03

בית משפט השלום ירושלים

 

29.2.2004

תאריך:

שופט: טננבוים אברהם.נ

בפני:

 

 

 

 

מדינת ישראל

ע"י משטרת ישראל - לשכת התביעות

בעניין:

תובע

עמוס כהן

ע"י ב"כ עו"ד

 

 

נ  ג  ד

 

 

מזרחי אבי

 

נאשם

עמרי כבירי

ע"י ב"כ עו"ד

 

 

 

 

הכרעת דין

 

מבוא

 

1.         הנאשם, מר אבי מזרחי (להלן: "הנאשם"), הואשם בעבירה של נסיון חדירה לחומר מחשב בניגוד לסע' 4 לחוק המחשבים, תשנ"ה - 1995 (חדירה למחשבים) + סע' 34ד' לחוק העונשין, התשל"ז - 1977 (עבירת נסיון).

 

2.         הטענה העובדתית בקליפת אגוז היתה כי ביום 22.9.02 בסמוך לשעה 19:25 ניסה הנאשם לחדור לאתר המוסד למודיעין ולתפקידים מיוחדים (להלן: "המוסד").[1]

 

החלטתי לזכות את הנאשם מכל אשמה.

 

3.         היות ומדובר בשאלה משפטית המבוססת על רקע טכני לא פשוט הגעתי למסקנה כי לא יהיה מנוס מהסבר טכנולוגי, ולו בקצרה.  אשר לכן, המשך הכרעת הדין יהיה לפי הפרקים הבאים.

 

-           בתחילה נפרט בקצרה את האשמה ומהלך הדיון.

-           ניתן רקע טכני ארוך למדי שיבהיר עניינים שונים הקשורים למקרה שלפנינו.  נשתדל במידת האפשר לקצר ובנקודות שנאריך יהיה זה משום שיהיה בהן צורך מאוחר יותר.

-           ננתח את העבירה של חדירה למחשב ובמסגרתה נבדוק האם בדיקת אבטחת אתרים, מותרת או אסורה.

-           נתאר עובדתית מה עשה הנאשם ולאור כך נגיע למסקנה הברורה כי הנאשם זכאי.

 

4.         הדרך אכן היא ארוכה מהמקובל בפסקי דין פליליים רגילים, אך במקרה שלפנינו לא מצאתי ברירה אחרת.

 

האשמה ומהלך הדיון

 

5.         בתאריך 19.6.03 הוגש כתב אישום נגד הנאשם ובו נטען כי הוא ניסה לחדור לחומר מחשב.  הטענה העובדתית היא כי הנאשם התקשר לאתר האינטרנט של המוסד וניסה לחדור לתוכו אך זממו לא עלה בידו מכיוון שהאתר היה מוגן כדבעי.

 

6.         ההקראה בתיק התקיימה ביום 14.9.03 והתקיימו בו מספר ישיבות הוכחות בתאריכים 9.10.03, 21.10.03 ו- 18.12.03.

 

7.         כן הוגשו בהסכמה המסמכים הבאים:

 

ת/ 1 - הודעת הנאשם בחקירתו במשטרה מתאריך 19.2.03.

ת/ 2 - מסמכים מבזק ומחברת netvision המהווים את המסמכים על פיהם התברר מיהו הנאשם.

ת/ 3 - חשבונות טלפון לאחיו של הנאשם, מר קדם רונן, מראים את הטלפון ממנו נעשתה ההתחברות לאתר המוסד.

ת/ 4 - תדפיס מסונן של תוכנת snort.

ת/ 5 - תדפיסים מתוכנת ה- fire wall  המגינה על אתר המוסד (כפי הנראה מכונת linux).

 

8.         ההגנה הגישה את המסמכים הבאים:

 

נ/ 1 - הודעתו של המנהל הטכני של פרוייקט תהילה מר אריק וולף (להלן: "וולף" או "מומחה תהילה").

נ/ 2 - דו"ח פעולה.

נ/ 3 - חוו"ד מומחה מטעם ההגנה.

 

9.         העידו העדים הבאים מטעם התביעה:

 

-           עו"ד הגר רובין מהיחידה הארצית לחקירות הונאה (להלן: "השוטרת" או "רובין")

-           פקד מאיר חיון, חוקר עבירות מחשב מהיחידה הארצית לחקירות הונאה (להלן:

"השוטר" או "חיון").

-           מר אריק וולף סגן מנהל פרויקט תהילה (להלן: "וולף").

 

10.        מטעם ההגנה העידו העדים הבאים:

 

-           הנאשם עצמו.

-           מר צבי גרוס  (להלן: "גרוס").

-           מר גדי גיא (להלן:  "מומחה ההגנה" או "גיא").

-           עדת ההגנה גב' מיטל גיגי חברת הנאשם (להלן: "מיטל" או "החברה").

 

11.        כמו כן, הוגשו בהסכמה תצהיריהם של מר אופיר ארקין מומחה לאבטחת מידע מטעם ההגנה וכן תצהירו של איש המוסד לעניין הירשמותו של מר אבי מזרחי כמועמד למוסד דרך אתר המוסד.  שניהם גם נחקרו על תצהיריהם

 

12.        הצדדים ביקשו לסכם בכתב והתיק הגיע חזרה לבית המשפט לאחר סיכומי ההגנה ותגובת המאשימה ביום 29.1.04.

 

13.        כפי שציינו אין מנוס מרקע טכני לא קצר אך נזהיר מראש שמפאת קוצר היריעה ויתרנו פה ושם על הדיוק למען הבהירות.

 

שיטת המנות, פרוטוקולים ופורטים

 

14.        בבסיס התקשורת ברשת האינטרנט עומדת שיטת המנות.  כל שני מחשבים ברשת המבקשים להתקשר עושים זאת באמצעות פרוטוקול ייחודי.  לכל מחשב המחובר לרשת האינטרנט בכל רגע נתון יש "כתובת" המורכבת מארבעה מספרים שבין 0 ל- 255.  כל מחשב הרוצה להתקשר עם מחשב אחר על מנת לשלוח לו תקשורת כלשהי, עושה זאת על ידי שימוש בכתובת של המחשב האחר.  המחשב השולח הודעות מחלק את הודעתו ל- "מנות" קטנות. כל מנה כזו מקבלת מספור ואליה מתלווה הכתובת הסופית.

 

15.        נסביר זאת במילים פשוטות, אם מחשב A רוצה לשלוח הודעה למחשב B הרי בראש ובראשונה A  מתקשר ל- B ואומר לו אני שולח לך הודעה בת נאמר 30 חלקים.  כל חלק וחלק נשלח באופן נפרד אל הכתובת הסופית, כאשר אל כל חלק מוצמדת "תווית" שעליה מופיעים בקצרה הפרטים המשלימים.  דהיינו, זוהי הודעה ממחשב A  למחשב B ומספר המנה הזו הוא נאמר מספר 22 מתוך 30 המנות.  המחשב B מקבל את המנות באופן נפרד, מסדר אותם לחבילה שלמה ובודק אם נעלמה בדרך מנה כלשהי.  אם נעלמה המנה הוא שולח הודעה למחשב A  ומבקש את המנה הזו ומנה זו נשלחת מחדש.

 

16.        לשיטת המנות יש מספר יתרונות שאין להתעלם מהם הקשורות ליעילות השיטה.  הדרך שעוברת כל מנה איננה דרך ישירה ממחשב A  ל- B.  המנה עוברת בדרך בין מחשבים רבים בהתאם לנתיב הפנוי באותה עת.  כל מחשב הנמצא בתווך המקבל את המנה מכיוון A  ושולח אותה לכיוון המחשב B, צריך זמן לקבל את המנה ולשולחה.  אם המנה קטנה יכולים המחשבים להשתמש ולשלוח מספר מנות רב יותר באותו פרק זמן ולעבוד יחדיו.  תכונה חשובה אולי אף יותר, היא העובדה שאם ישנה תקלה במנה אחת, אין צורך לשלוח מחדש את כל ההודעה.  נסתכל לדוגמא על פקס. אם ישנה תקלה בפקס יש לשלוח את כל הודעת הפקס מחדש. כשמדובר במנות, די לשלוח מחדש את המנה החסרה.

 

17.        צריך כמובן שהמחשבים ידעו לדבר זה עם זה.  כלומר, אם מחשב B מקבל מנה כלשהי שאליה מצורף הסבר על טיבה של המנה הוא צריך לדעת לקרוא זאת.  לצורך כך, פותחו ברשת פרוטוקולים שונים ורבים על מנת שכל מחשב ידע ויבין את פשר המנות השונות הנשלחות אליו. בבסיס האינטרנט עומד פרוטוקול המכונה TCP/IP.[2]  פרוטוקול זה מאפשר לכל מחשב להבין מהיכן נשלחה אליו המנה ומה טיבה.[3]

 

18.        כפי שציינו, לכל מחשב המחובר ברגע נתון לאינטרנט יש מספר ייחודי.  אולם, גם אם מחשב מקבל הודעה כלשהי הרי במחשבים רבים ישנם תהליכים מקבילים.  כך למשל, כל מחשב ביתי משתמש באינטרנט לגלישה, אך גם לשליחה וקבלה של דואר אלקטרוני, לעיתים להורדת מידע באמצעים שונים וכן הלאה.  איך ידע כל מחשב לאן לשייך את ההודעה או "המנה" שהוא מקבל ממחשב אחר?

 

19.        לכל מחשב יש מה שמכונה "פורטים" אשר מטפלים בתהליכים שונים.  ישנם פורטים רבים כאלו ומערכת ההפעלה של המחשב עוברת מפורט לפורט כל הזמן ובודקת האם קיבלה הודעה כלשהי, או בקשה כלשהי מפורט מסויים.  פורט שכזה שניתן לפעול בו נקרא פורט "פתוח".[4]

 

20.        כדי להקל על כתיבת תוכניות חדשות ועל שיתוף הפעולה בין המחשבים יש לפורטים הללו מספרים מוסכמים מראש.  פורט 80 למשל משרת בדרך קבע את הדפדפנים השונים לצורך גלישה באינטרנט, פורט 25 מוקצה לשליחת דואר אלקטרוני, פורט 110 לקבלת דואר אלקטרוני, וכן הלאה.

שמות, מספרים, הקצאות, וגלישה באינטרנט

 

21.        כפי שהסברנו, לכל מחשב המחובר ברגע נתון לרשת ישנו מספר ייחודי.  אולם הציבור הגולש איננו מכיר כלל מספרים אלו אלא מכיר בעיקר שמות אתרים. לדוג' אתר בית המשפט הוא  www.court.gov.il .  להיכן נעלם המספר?

 

22.        התשובה היא שכבר בשלב התפתחות מוקדם של רשת האינטרנט התברר כי קל הרבה יותר לזכור שמות מאשר 4 מספרים אקראיים.  לצורך כך קיימים מספר "שרתי שמות" (שרת פה כמו בכל מקום משמעותו היא מחשב שתפקידו לתת שירות).[5]  כאשר אנו מקישים את שם האתר שאליו ברצוננו לגלוש ישנם שרתי שמות שאליהם שולח המחשב שלנו את כתובת האתר והם מחזירים לו את המספר.  אשר על כן, ישנו מעין "תרגום" של השמות הידועים למספרים. כך למשל מספרו של אתר המוסד הוא 147.237.72.43, ושל אתר בית המשפט 10.1.1.48

 

23.        את המספרים הייחודיים לכל מחשב ואת השמות של האתרים מקצה גוף בשם ICANN.[6]  יש לזכור שהמספרים הללו אינם תמיד קבועים.  כך למשל, כל ספק אינטרנט מקבל מלאי כלשהו של מספרים.  כאשר אחד המנויים מתחבר אל הספק הוא מקבל באופן זמני את אחד המספרים המוקצים לספק האינטרנט שלו ומספר זה משמש אותו במשך גלישתו.  כאשר הוא מתנתק מהספק הופך מספר זה להיות חופשי ומשתמש אחר שמתחבר דרך הספק מקבל את המספר שהתפנה.  בניגוד למשתמשים ביתיים, הרי לשרתים מוקצה כתובת קבועה.  זאת משום שלשרתים אלו ניגשים הרבה יותר וכתובת קבועה תחסוך רבות.

 

24.        נסביר כעת ברפרוף מה עושים אנו כאשר אנו גולשים באתר מסוים.  עם התחברותנו לאתר, הרי המחשב שלנו שולח הודעה למחשב שמכיל את האתר (המכונה שרת האינטרנט או שרת האתר).  כל שמבקש המחשב שלנו באמצעות פרוטוקול ידוע משרת האתר הוא לשלוח לו אינפורמציה.  את האינפורמציה הזו שנשלחת גם היא בצורת מנות מפעיל הדפדפן שלנו על המסך וכך אנו רואים את האתר.  במילים אחרות, אין "מקום" או "אתר" פיזי שאליו אנו נכנסים.  כל שיש הוא אינטראקציה בין המחשב שלנו לבין שרת האתר השולח אלינו את החומר אותו אנו מבקשים.

 

העקרונות התיאורטיים של רשת האינטרנט

 

25.        ממה שהוסבר קודם לכן, ברור שכדי שרשת האינטרנט תפעל יש צורך בהסכמות רבות. אולם, לתיאורטיקנים של הרשת בתחילתה היו דרישות רבות אף יותר.  הם ראו את רשת האינטרנט כאם כל רשתות המחשבים שבעולם.  רשת שאליה יוכל להתקשר כל מחשב או ליתר דיוק כל רשת מחשבים (להלן נתייחס למחשב או לרשת אם כי ברוב המקרים המחוברים לאינטרנט הם רשתות).

 

26.        אותם מייסדי הרשת ביקשו לקבוע כמה כללים עקרוניים.

 

27.        ראשית, כל רשת המחוברת לאינטרנט תוכל להתקשר לאינטרנט ולכל רשת מחשבים אחרת מבלי צורך לשנות כל דבר בה.  דהיינו, כל רשת מחשבים בעולם או כל מחשב גדול לצורך זה יוכל להתקשר דרך האינטרנט.

 

28.        שנית, העברת המידע באינטרנט צריכה להיות על בסיס של יעילות מירבית.  אם מנה לא הצליחה להגיע ליעדה הסופי זמן קצר אחרי זה יודע על כך למקור ותישלח הודעה נוספת.  זאת, כדי להבטיח את התקשורת לאינטרנט.

 

29.        שלישית, "קופסאות שחורות" יהיו הכלים העיקריים לחיבור בין הרשתות.  אותן קופסאות שחורות יקבלו מידע ויעבירו אותו הלאה עד להגעה לכתובת המבוקשת ללא מגע באינפורמציה וללא כל ידיעה על תוכנה.  במילים אחרות, אם מחשב א' שולח הודעה למחשב ב' דרך רשת של מחשבים באמצע, הרי כל מחשב שבדרך לא יטרח כלל לקרוא את ההודעה.  אותו מחשב מתווך יקבל את המנה, יבדוק לאן צריך לשלוח אותה הלאה וישלח אותה הלאה מבלי להתעסק בה יתר על המידה.  אגב, אותן קופסאות שחורות הן אלה שהפכו ל- gateways routers.

 

30.        רביעית, ואולי חשוב מכל, העקרון היה שלא יהיה כל בקרה מרכזית או דרך לשליטה כלשהי על רשת האינטרנט.  דהיינו, רשתות המחשבים תוכלנה להתקשר אחת לשניה בלא שום אפשרות של מאן דהוא לשלוט על התוצאה הסופית.[7]

 

31.        יושם לב, שעקרונות אלה של רשת האינטרנט דורשים הסכמה רבה בין כל הרשתות והמחשבים המשתמשים.  אולם, לאחר שנוצרה הסכמה זו הרי רשת האינטרנט הפכה ליציבה למדי וקשה לפגוע בה.

 

חורי האבטחה, קירות אש ותוכנות אבטחה

 

32.        נקודה בולטת שעליה לא חשבו ראשוני הרשת היא שאלת הביטחון.  רשת האינטרנט הוקמה ותוחזקה על בסיס רעיונותיהם של מדענים ללא כל מחשבה על שימושיה הכלכליים.  הללו ראו ברשת משאב משותף לכלל הציבור ועל סמך כן בנו את רכיביה.  המחשבה של אבטחה, בטחון, ואפשרויות לניצול לרעה לא עמדו בראשית מעייניהם של אותם מהנדסים ומומחי מחשב. הדבר מתברר כשרואים כמה מן התקלות והבעיות שניתנות להיגרם על ידי אדם ונסביר כמה מהן הרלוונטיות יותר לענייננו.

 

33.        כפי שאמרנו, כל מחשב מקבל "מנות" ומחבר אותן להודעות שלמות.  אולם, מה קורה כאשר מחשב מקבל מנות בקצב בו איננו יכול לטפל?  כמובן, יש לכל מחשב מעין "מחסנית" (Buffer) שבה הוא יכול לאחסן את המנות הממתינות לטיפול.  אולם, מה יקרה אם יצטברו יותר מנות מתחולת המחסנית?  אם לדוג' יכול מחשב לטפל ב- 4,000 מנות כל שניה מה יקרה אם יישלחו אליו 20,000 מנות בשניה?  התשובה היא שבמקרה כזה המנות הנותרות יאבדו ללא טיפול וייעלמו.  תיאורטית כמובן, המחשב השולח יקבל הודעה כי עליו לשלוח את המנה מחדש אך אם יהיה עומס גם היא תאבד ותישאר ללא טיפול.  בבסיס עקרון זה, עומדת אחת ההתקפות הידועות ביותר ברשת האינטרנט המכונה DOS  (Denial of Service).[8]

 

34.        שרת של אתר אינטרנט אינו יכול לשרת יותר מאשר כמות מוגבלת של משתמשים.  אם לדוג' ינסו להתחבר 100,000 איש בבת אחת לשרת של אתר בתי המשפט סביר להניח שרובם לא יוכלו להתקשר אליו כלל.  נשים לב מה יקרה. נניח ששרת אתר כלשהו יכול לקבל 4,000 פניות בכל רגע נתון.  אם ברגע נתון יקבל פתאום 100,000 פניות שירות הרי 96,000 מהם לא יוכלו לקבל שירות.  יתירה מכך, אפילו אם ימתינו אותם 96,000 "בתור" לקבל שירות גם אז לא יזכו לקבל שירות.  זאת משום שכל הדפדפנים ותוכנות הגלישה מכוונים להמתין פרק זמן מסוים ואם אינם מקבלים את השירות באותו פרק זמן הם חוזרים למחשב השולח ומודיעים כי הפעולה נכשלה.

 

35.        נחזור שוב לעניין שהצגנו של ההתקפה על מחשב. אם ברצון מזיק כלשהו לתקוף אתר כל שהוא צריך הוא לשלוח לאותו אתר מספר גדול של בקשות שירות מעבר ליכולת האתר לספק.  אחת השיטות למשלוח מספר עצום ורב של בקשות שירות הוא להשתלט על מספר רב של מחשבים "ולתכנתם" כך שבאותה שעה ובאותו זמן כולם גם יחד יחלו לשלוח הודעות שירות ברצף לשרת שאותו מבקשים הם "להפיל".

 

36.        כמובן, כנגד כל התקפה יש הגנה ולהיפך. השרתים הגדולים מתוכנתים כך שבמידה ויקבלו מספר בלתי סביר של בקשות שירות מכתובת מסוימת הם יחסמו את אותה כתובת ויתעלמו מכל המנות המגיעות אליהם משם.

 

37.        אולם, מטבע הדברים קיימים "חורי אבטחה" רבים.  כפי שציינו מקודם, רשת האינטרנט מורכבת מהמוני שרתים שונים, רשתות שונות, אפליקציות שונות, תוכנות שונות ועוד ועוד.  חור/פגם אבטחה לענייננו, הוא מצב שבו אדם עם נטיות להזיק יוכל לנצל אפשרות כדי לגרום נזק למחשבים שונים.  פגמים כאלו ימצאו כמעט בכל מערכת מחשבים.  אולם ברור כי חור שניתן לנצלו במערכת Linux לדוגמא איננו בהכרח ניתן לניצול במערכת חלונות.  פגם בתוכנת דואר אחת לא יהווה פגם בתוכנות דואר מסוג אחר וכן הלאה וכן הלאה.  בכל מקרה, מספרי חורי האבטחה הללו הוא עצום ורב.  רק ב - Windows  (על גרסותיה השונות) התגלו 119 פגמי אבטחה בשנת 2003 לבדה.

 

קירות אש, ותוכנות פסיביות ואקטיביות לבדיקת אבטחה

 

38.        כדי להימנע מהתקפות שונות ומניצול פרצות פותחו אמצעים שונים.  העיקריים שבהם הנם חומות האש ותוכנות לבדיקת אבטחה.  מה שמכונה "חומת אש"  (Fire Wall) הנה תוכנת אבטחה הנמצאת בדרך כלל בין הרשת המאובטחת לבין האינטרנט.  תפקידה של החומה הוא לנטר את המנות הנכנסות ולסרב לקבל מנות אחרות, והכל בהתאם למדיניות מנהל האבטחה ברשת.  מדובר בהגנה תוקפנית במקצת ולא בהכרח מתוחכמת.  יכול למשל מנהל רשת להחליט כי ברשת שלו לא יתקבל כל דואר אלקטרוני.  הדרך לכך פשוטה. כל מנה שמיועדת לפורט 110 פשוט לא תתקבל, הרשת תסלק אותה ותתעלם ממנה.

 

39.        אולם, גם בחומת האש אין די משום שייתכן ומנות "לגיטימיות" יוכנסו לרשת אך עם כניסתם לרשת ייגרמו נזקים.  מספר תוכנות מטפלות בכך.  הללו, מנסות לזהות תבניות שונות בהתנהגות המנות ובהתנהגות המחשבים (ליתר דיוק, הכתובות) ששולחות בקשות למחשב.  התקנים אלו הן בדרך כלל תוכנות פאסיביות הנמצאות ברקע ומטרתן להזהיר את האחראים על האבטחה כי ייתכן וישנה איזו שהיא התקפה או "פעילות חשודה" ברשת.

 

40.        המפורסמת מבין תוכנות האיתור הללו היא תוכנת snort שהיא תוכנה חינמית בעלת קוד פתוח.  דהיינו, מדובר בקהילת מתכנתים מכל העולם העוזרים אחד לשני חינם אינם כסף כדי לשכלל את התוכנה ולפתור בעיות הקיימות בה.[9]

 

41.        תוכנת ה- snort היא תוכנה שמטרתה היא זיהוי התקפות או חדירות.  בניגוד ל- fire wall (חומת אש) שתפקידו הוא לעצור התקפות כאלה מן הרשת.  הדגש בתוכנת ה- snort, הוא זיהוי ולא עצירה.  יש כאלה שממקמים אותה מחוץ לרשת לפני חומת האש על מנת לזהות את ההתקפות עוד בראשיתן כולל כאלה שלא הצליחו, ויש כאלו שממקמים אותה אחרי חומת האש למקרה שתהיה חדירה לרשת.[10]  המהדרים כמובן ממקמים אותן גם לפני וגם אחרי חומות האש למיניהן.

 

42.        לחומות האש ולתוכנות הפסיביות יש להוסיף תוכנות אקטיביות לבדיקת כשלי אבטחה למיניהם.  כיצד יכול בעל אתר לדעת שאתרו מאובטח? באופן תיאורטי התשובה לכך פשוטה.  הוא צריך לעבור על הרשימה הידועה של כשלי אבטחה שהתגלו עד להווה ולבדוק חור חור כשל כשל האם הוא נמצא במחשבו אם לאו.  במידה ונמצא כי קיים כשל במחשבו הוא צריך להחליט אם לטפל בו וכיצד. אולם, השלב הראשוני הוא בדיקת כל אפשרויות אלה.[11]

 

43.        אלא, שחורי אבטחה במחשבים הם דבר דינמי ומשתנה. כל חברה המכבדת את עצמה המוצאת כשל אבטחה במוצריה מיד שולחת תיקון ללקוחותיה.  כך למשל microsoft שולחת באופן קבוע ומציבה על האתר שלה טלאי אבטחה לחורים שהתגלו.  יתירה מזו, ישנן תוכנות רבות, מחשבים שונים,  מערכות הפעלה נדירות, ועוד.  תוכנית שתכלול את כל החורים שהתגלו אי פעם איננה מעשית.

 

44.        בפועל, ישנן תוכנות חינמיות (ללא תשלום) ותוכנות מסחריות. בדרך כלל התוכנות המסחריות הן יעילות יותר מתוכנה חינמית.  צריך להבין שכדי שתוכנית לבדיקת כשלי אבטחה תהיה יעילה, היא צריכה להתעדכן באופן קבוע, ליתר דיוק, מדי יום ביומו ולפעמים יותר מפעם ביום.  היא צריכה כל פעם להוסיף פרטים ולהוריד פרטים לבדוק מערכות שונות על פלטפורמות שונות וכן הלאה.  משימה כזו של עדכון היא קשה בדרך כלל.  כיום, אין תוכנות חינמיות מובילות להוציא תוכנה בשם nesus שגם היא מתעדכנת מפעם לפעם על ידי קהילת מתכנתים שעושים זאת חינם אין כסף.

 

45.        לעומת זאת, קיימות תוכנות מסחריות יקרות ברמה של עד עשרות אלפי דולרים העושות בדיקות מסוג זה שהזכרנו.  מקובל לטעון שהתוכנות המסחריות הן טובות יותר הן מבחינת האבטחה והן מבחינת הבדיקה.  דהיינו, הן בודקות את הכשלים עד לרמת לחיצת המקש האחרונה (דהיינו, הן מגיעות עם הבודק עד השלב שבו ניתן לגרום נזק אם אכן היה הבודק מעונין לעשות כן).  למרות המחירים הגבוהים הרי ישנם אתרים כגון אתרי מסחר ובנקים שבשבילם הוצאות כאלה תהיינה כדאיות ואפילו הכרחיות.

 

46.        צריך לזכור שאלו גם אלו, הן רק תוכנות לבדיקת כשל אבטחה.  לשם שימוש בכשל הזה לשם התקפה על אתר יש צורך בידע מקיף הרבה יותר.  אם נשתמש במטאפורה (לא מוצלחת במיוחד), העובדה שכל אחד רואה דרך חלון מכונית אם יש אזעקה אם לאוו, איננה מספיקה לפריצתה משום שצריך לדעת כיצד לפרוץ את מנעוליה ולהניע ללא מפתח.

 

47.        ניתן דוגמא אחת הרלוונטית לענייננו. כפי שהסברנו קיימים בכל מחשב פורטים רבים המזוהים עם תוכניות ותהליכים בו.  אולם, כיצד יגיב מחשב אם יקבל מנה המיועדת לפורט שאיננו קיים כלל? ובדרך כלל מדובר על פורט מספר 0 שאין לו תפקיד ואיננו קיים.  יתכן כי המערכת פשוט תתעלם ממנו לחלוטין, אך יתכן גם שהמערכת תבזבז זמן בנסיון לבדוק מה לעשות עם מנה זו.  היו גם מערכות שבזבזו זמן רב כדי לברר מה לעשות עם המנה, זמן שגדל עם מספר המנות.  דהיינו, אם למנה הראשונה שנשלחה לכתובת הלא נכונה בזבז המחשב חצי שניה כדי לבדוק מה לעשות עימה, הרי כשנשלחו 100 מנות הרי בזבז לא 100 X חצי שניה אלא 100 X שניה. דהיינו, ככל שישלחו יותר מנות לפורט שאיננו קיים יגרום הדבר למערכת להתבלבל עד לקריסתה.

 

48.        מבחינה תיאורטית יש פה מעין כשל אבטחה אלא שפרקטית יהיה זה רק השלב הראשון בדרך לניצול חור שכזה. שכן, גם אם יודעים אנו שניתן לנצל כשל זה, צריך עדיין לגרום לכך שמספר מחשבים ישלחו מספר עצום של הודעות לפורט 0 (קנה המידה הוא מיליונים ומליארדים).    אם לא ישלחו הודעות מעין אלו, הרי גם אם יש כשל לא ניתן להשתמש בו.

 

49.        יש לזכור שגם אם כשל זה קיים, ישנם בעלי אתרים רבים שלא יטרחו לתקנו. אם מדובר באתר של תלמיד תיכון המפאר את עצמו והמציג מספר תמונות של בני משפחתו, למה שיתאמץ לחתום זאת? מבחינתו אם מישהו רוצה להתאמץ עד כדי כך ולגרום לקריסת האתר לפרק זמן כלשהו יש בכך מחמאה. הוא בוודאי לא יטרח להשקיע בקניית חומות אש ו/או תוכנות הגנה למיניהן.  בין השאר מהסיבה שתוכנות ואמצעים בתחום אבטחת מידע אינם דבר זול.  לא כל בעל אתר/שרת יכול להרשות לעצמו להצטייד בציוד זה.

 

50.        דוגמא זו אופיינית לרוב כשלי האבטחה.  גם אם קיימת אפשרות לגרום לאתר נזק, יהיו רבים שלא יטרחו לנסות לחסום זאת.  מבחינתם גם אם יגרם נזק הרי מדובר תמיד על נזק זמני. וגם אם ייהרס האתר כליל יבנו אותו מחדש.  צריך לזכור שוב, שככל שאנו מתכוונים במילה "אתר" איננה אלא מחשב, לאו דווקא חדש או חזק במיוחד, המחובר לכמה קווים וכתגובה לאנשים שמבקשים ממנו אינפורמציה שולח אותה אליהם.  בדרך כלל, הנזק המקסימלי בעת קריסה טוטאלית הוא שיחזור מגיבוי.

 

ואחרי הרקע הלא קצר, נעבור לבסיס המשפטי.

 

הרקע המשפטי - עבירת החדירה למחשב במשפט הישראלי

 

51.        הנאשם הואשם בעבירה על סעיף 4 לחוק המחשבים התשנ"ה - 1995.  סעיף זה מופיע בפרק ב' הדן בעבירות מחשב ונוסחו הוא:

 

4.   החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו - מאסר שלוש שנים; לעניין זה, "חדירה לחומר מחשב" - חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, התשל"ט-1979.

 

חומר מחשב לעניין חוק המחשבים מוגדר בסעיף 1 לחוק שהוא סעיף ההגדרות ועל פיו:

 

"חומר מחשב" - תוכנה או מידע;

 

תוכנה מוגדרת גם היא בסעיף ההגדרות בזו הלשון:

 

""תוכנה" - קבוצת הוראות המובעות בשפה קריאת מחשב, המסוגלת לגרום לתיפקוד של מחשב או לביצוע פעולה על ידי מחשב, והיא מגולמת, מוטבעת או מסומנת במכשיר או בחפץ, באמצעים אלקטרוניים, אלקטרומגנטיים, אלקטרוכימיים, אלקטרואופטיים או באמצעים אחרים, או שהיא טבועה או אחודה עם המחשב באופן כלשהו או שהיא נפרדת ממנו, והכל אם אינה מיועדת לשימוש במחשב עזר בלבד."

 

הבעייתיות בהגדרת המונחים  "חדירה" ו – "שלא כדין"

 

52.        אין הגדרה מספקת לחדירה למחשב.  עצם המושג "חדירה" הוא מושג הכרוך בעולם הגופני שבו יש לדברים נפח ומשקל.  חדירה בעולם הפיזי פירושה מעבר גבול/גדר/קיר/מחסום ו/או כל תחום מוחשי אחר.  כדי לחדור צריך שיהיו גבולות אותם צריך לעקוף ולעבור.  אולם למה הכוונה חדירה כשמדובר במחשב?

 

53.        הסעיף אכן מגדיר "חדירה לחומר מחשב" - כחדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו.  אולם אין כל ביאור בהיר ל"חדירה".  המונח "חדירה" מוגדר באמצעות המילה חדירה כך שההגדרה איננה מקדמת אותנו.  האם כל התקשרות למחשב היא חדירה?  האם כל שיח אינטראקטיבי בין מחשב א' למחשב ב' מהווה חדירה של א' ל-ב?  מהם אותם גבולות שצריך לעבור כדי לחדור?

 

54.        וכמובן זהו רק השלב הראשון, שכן לא כל חדירה אסורה אלא רק חדירה שלא כדין.  גם אחרי שנצליח להגדיר חדירה בדרך זו או אחרת, נשאלת השאלה מהו המונח שלא כדין?  האם בכל מקרה שבו לא רצה בעל האתר בהתקשרות כזו מדובר בחדירה שלא כדין?  האם די בחדירה שנעשתה שלא בהתאם לחוזה (מפורט או מכללא) בין החודר לבעל המחשב הנחדר כדי תחשב שלא כדין?  האם ניתן כלל להתייחס לנורמות אזרחיות הסכמיות?  האם כדי שתהיה חדירה כדין צריך אישור מפורש לחדור? ועוד ועוד.

 

 

 

 

הגישות בעולם ובישראל בנוגע לעבירת החדירה

 

55.        כפי שציין ב"כ התביעה בסיכומיו המאלפים, הרי ניתן כיום לראות בעולם שתי גישות לגבי שאלת החדירה למחשב.  הגישה האמריקאית היא צרה יותר ומתירה יותר את ה - "דו-שיח החופשי" בין מחשבים באינטרנט.  הפסיקה והחוק האמריקאים מתירים עקרונית מעין חדירה והיא אסורה אך ורק אם היא מלווה בשימוש לא מורשה או גרימת נזק למחשב.  יתירה מזו, במשפט האמריקאי יש צורך גם בכוונה לעבור עבירה וגם בכך יש הרחבה.[12]  הגישה האירופאית 3(ואליה מצטרפות ארצות אחרות) היא רחבה יותר.  על פיה עצם החדירה למחשב אסורה בלא קשר לגרימת נזק כלשהי.

 

56.        אני מסכים עם ב"כ התביעה כי פרשנות סבירה של הסעיף הישראלי מלמדת כי עצם החדירה למחשב אסורה.  לשון החוק היא ברורה וחד משמעית ועל פיה עצם החדירה אסורה.  בית משפט זה בעניין אחר קבע במפורש כי מחיקת חומר מחשב אסורה מבלי קשר לשאלת גרימת הנזק.[13]  ובדרך ההיקש ניתן ללמוד ממחיקה לחדירה.  ברור כי במשפט הישראלי אין צורך כי החדירה תהיה מלווה בנזק כלשהו.  אבל מה היא חדירה?

 

57.        גם באירופה שאליה מבקש ב"כ התביעה להידמות, יש אסכולות שונות.  יש המבקשים להגדיר חדירה רק במקרה שבו החודר עבר מערכת הגנה כלשהי.  החוק הנורווגי למשל מדבר על:

" breaking a protective device", החוק הפולני מדבר על "special protection for that information", החוק ההולנדי מדבר על "Breaks through a security system”, החוק האיטלקי מדבר על protected by security measures,