התקפות מניעת שירות (DOS), התמודדות החוק הפלילי, המשטרה, ובתי המשפט בישראל

התקפת מניעת שירות על אתר אינטרנט/שרת, באנגלית: Denial-of-service attack – DoS, הינה ביצוע מתקפת מחשב או מחשבים על אתר אינטרנט (בפועל מתקפה על שרת עליו מאוחסן האתר), במטרה להשביתו או להאט את עבודתו.

למען קוראינו שאינם מתמחים באינטרנט, ננסה להסביר מהי מתקפת מניעת שירות (מתקפת dos)  באמצעות דוגמא מהעולם המוחשי: דמיינו פקיד בסניף דואר קטן, בכל פעם הפקיד יכול לתת שירות רק לשני אנשים במקביל, והיתר עומדים בתור, כאשר הסניף יכול להכיל 10 אנשים לכל היותר. התקפת מניעת dos משולה למצב שלפתע מישהו ישלח בשעה ספציפית, על השניה, 1,000 איש שבמהירות הבזק ינסו במקביל להיכנס לסניף הדואר, לקבל שירות, ו"יפגיזו" את הפקיד בשאלות, בתלונות, ובבקשה לקבל שירות. סביר להניח שהסניף יושבת עד אשר יתנדפו אותם 1,000 איש, פקיד הדואר לא יוכל להתנהל ולו אפילו בצורה שתאפשר לו לתת שירות ל 10 אנשים הראשונים מתוך ה- 1,000, הואיל ופניות 990 האנשים האחרים ימנעו ממנו לעבוד.

בהתקפת dos באינטרנט, השרת (המחשב אשר עליו מאוחסן אתר האינטרנט), מקבל בזמן קצר, כמות מאסיבית של כניסות לאתר האינטרנט ופניות. כמות זו אם חריגה בצורה קיצונית, עלולה "לתקוע" את השרת עד כדי השבתתו או האטת עבודתו. בדרך כלל התקפות מניעת שירות אינן מבוצעות ממחשב אחד, אלא מבוצעות מכמות עצומה של מחשבים מבוזרים בארץ ו/או בחו"ל, אשר נשלטים ע"י מחשב מנהיג, ובמקביל נכנסים לאתר האינטרנט המותקף ומגישים לו בקשות. "הגשת בקשות" – למשל, ביצוע חיפוש בתוך האתר באמצעות פונקציית החיפוש באתר, הקלקה על כפתורים באתר, שליחת נתונים באמצעות טופס צור קשר, וכיוצ"ב.

הקושי באיתור התוקף שמנהל את התקפת מניעת השירות (DOS)

כפי שציינו לעיל, אגב התקפות מניעת שירות, על-פי רוב, ההתקפה אינה מבוצעת ממחשב אחד, אלא מבוצעות ממחשבים רבים. בדרך כלל, אותם בעלי מחשבים שמהווים כלי התקיפה, אינם יודעים כי המחשב הביתי או המשרדי שלהם משומש ככלי תקיפה נגד אתר אחר. למה הכוונה:

מאות ואלפי המחשבים המשמשים לתקיפה אתר האינטרנט המותקף, פועלים כ"זומבים", הוכנסה אליהם תוכנת רוגלה השולטת בהם בסתר, ומריצה עליהם תוכנה סמויה, העושה שימוש במשאבי המחשב ובחיבור האינטרנט שלו כדי להתקיף יחד עם אלפי מחשבים אחרים. אותה תוכנה נשלטת ע"י מחשב מנהיג, אשר מאחוריו יושב המשתמש הזדוני. ברוב המקרים המשתמש הזדוני, כלל לא ישתמש במחשבו כדי להתקיף את האתר הקורבן, אלא יעשה בו שימוש רק כדי לשלוט על המחשבים הזומבים שמבצעים את ההתקפה (הפשטנו התיאור לעיל לנוחיות הקוראים שאינם מתמחים במחשבים ואינטרנט, שכן במציאות סביר להניח שבין מחשב המנהיג למחשבים הזומביים יעמדו בתווך שרתי פרוקסי שתכליתם להסתיר את זהות המחשב המנהיג).

בנוסף, תוכנת הרוגלה, אם נבנתה נכון, תקצה חלק קטן מאוד ממשאבי המחשב הזומבי לצורך ביצוע ההתקפה, כדי שהמשתמש במחשב כלל לא יחוש, כי המחשב שלו עסוק בסתר במתקפה על שרת אינטרנט.

יוצא איפוא, שגם אם שרת האינטרנט המותקף יתעד ב- log (מעין יומן של מחשב), את כתובות ה- IP, של אלפי מקורות ההתקפה, יתקשה בעל האתר להתחקות אחר התוקף הזדוני, שכן בעלי המחשבים שביצעו את ההתקפה כ"זומביים" כאמור לא ידעו במה מדובר ומי הפעיל את מחשבם.

קיימים פתרונות טכנולוגיים להתחסנות מפני התקפות dos, ולהפסקתן בעת התרחשותם, אולם סקירה זו כסקירה משפטית, אינה הבמה לפירוט פתרונות טכנולוגיים, אלא לפירוט הכלים המשפטיים.

איסור חוקי בישראל על ביצוע מתקפת מניעת שירות

אומנם, חוקי ישראל, מפגרים ביותר אחר קצב התקדמות הטכנולוגיה, אולם בשנת 1995 חוקק חוק המחשבים, אשר קבע עונש של שלוש שנות מאסר למי אשר:

"(1) משבש את פעולתו התקינה של מחשב או מפריע לשימוש בו;

(2) מוחק חומר מחשב, גורם לשינוי בו, משבשו בכל דרך אחרת או מפריע לשימוש בו."

בנוסף, גם השימוש במחשבים אחרים כזומבים, ללא אישור בעל המחשב מהווה עבירה פלילית, כאמור בסעיף 5 לחוק המחשבים, עבירה שדינה חמש שנות מאסר.

קיימים גם חוקים אחרים המטילים סנקציות עונשיות על מבצע ההתקפה, כגון חוק הגנת הפרטיות, וחוק העונשין.

 בנוסף, חוקים רבים מעניקים לנפגע סעדים אזרחיים בגין הנזק שנגרם לו מן ההתקפה, לרבות פיצויים ללא הוכחת נזק.

מה עליי לעשות משפטית כאשר האתר שלי מותקף בהתקפת מניעת שירות

ישנה הנחה שגויה של בעלי האתרים, לפיה ראשית הם יטפלו בהתקפה באמצעות כלים טכנולוגיים, ואח"כ "ישברו את הראש", איך למצות את הדין עם התוקף הזדוני.

הנחה זו שגויה, הואיל ובמקביל להתגוננות מפני ההתקפה, מומלץ לאסוף חומר ראייתי לעניין זהות התוקף ולעניין היקף הנזק. ויודגש: תיעוד בזמן אמת יכול לסייע הן לתפיסת האחראי והן להוכחת היקף הנזק.

כעקרון, בעולם אוטופי הכתובת הראשונה לפניית בעל האתר הינה משטרת ישראל. אלא, שמשטרת ישראל בדר"כ אינה בעלת המשאבים, הידע, המוטיבציה, לסייע לבעל האתר המותקף (יש שיאמרו שלמשטרת ישראל אין את המוטיבציה לשרת את האזרח נקודה, אך מאמר זה אינו הבמה המתאימה לסוגייה).

בעניין זה, משרדנו למוד ניסיון, ומניסיוננו יש לפנות לבעלי התפקידים המתאימים ביחידות המשטרה ראשית, ואילו הגשת תלונה בתחנת המשטרה הקרובה לבית/משרדו של בעל האתר, לא יעילה בעליל.

כמובן, שליווי ע"י עו"ד המתמחה בדיני אינטרנט ומחשבים, ובפרט בסוגיות אלו, מומלץ ביותר, ויכול לסייע הן באיסוף הראיות, והן בדרבון המשטרה לפעול.

הכלים המשפטיים שבעל האתר יכול להפעיל ללא המשטרה

כפי שציינו החוק בישראל מפגר אחר הטכנולוגיה, ואחר האינטרנט בפרט. עם זאת, קיימים חוקים קלאסיים המעניקים סעדים ופתרונות לעיתים חלקיים ולעיתים ממצים, לזיהוי התוקף, ולמיצוי הדין עמו, לרבות הגשת תביעה לפיצויים.

הכלים המשפטיים, אומנם חלקיים ויש לקוות שהמחוקק יעשה את עבודתו, מאפשרים קבלת צווים להפסקת ההתקפה, במקרים חריגים זיהוי התוקף, וכמובן לקבלת פיצויים.

אנו מקווים שסקירה זו לעיל, סייעה לקוראינו. חשוב לציין כי האמור לעיל אינו חוות דעת מקצועית או ייעוץ משפטי, ומומלץ להתייעץ עם עורך דין המתמחה באינטרנט ובמחשבים.

לקביעת פגישת ייעוץ עם עורך דין אינטרנט ומחשבים התקשרו: 03-5323650 או בדוא"ל: office@ophirlaw.com.