שימו לב, אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר. קראו עוד הבנתי
אפליקציות

פרשת טלגראס: המשטרה לא פיצחה את הצפנת האפליקציה

דיווחים שונים בתקשורת העלו טענות בדבר פיצוח ההצפנה של אפליקציית הצ'ט הפופולרית. עם זאת מומחים מסבירים שאין למשטרה יכולות כאלה ושהן בכלל לא נדרשו לה במסגרת החקירה. כמו כן, נודע שפייסבוק סייעה במבצע הפלת רשת הסמים

עומר כביר 08:3513.03.19

אתמול נחשף מעצרם של כ-42 חשודים בהפעלת ערוץ טלגראס, ששימש להפצת סמים דרך אפליקציית הצ'ט טלגרם. ואולם, המבצע לא כלל פריצה של הצפנת האפליקציה; הישג שכזה אמנם אינו בלתי אפשרי לחלוטין, אך הוא למעלה מיכולותיה של משטרת ישראל, ושל גופים מתקדמים בהרבה. לדברי המתכנת הבכיר רן בר-זיק, המקרה האמור כלל לא הצריך פריצת הצפנה. "אנשים חושבים שאפליקציות כמו טלגרם מוצפנות, אבל למעשה רק הצינור מוצפן", הסביר. "ההודעות על מכשיר הקצה לא מוצפנות ומי שמחזיק בו יכול לראות הכל. זו החולשה המרכזית של כל הצפנה".

 

 

כלומר מרגע שנשלחה ההודעה ממכשיר המקור ועד שהגיעה למכשיר היעד היא מוצפנת ולא ניתן לקרוא אותה (זאת, בהנחה שהמשתמש הפעיל את ברירת ההצפנה שבטלגרם לא פועלת כברירת מחדל). אך משהגיעה ליעדה היא כבר אינה מוצפנת (שאחרת, הנמען לא יכול היה לקרוא אותה), ולכן כל מי שמחזיק במכשיר יכול גם לראות את תוכנה. הדבר נכון, אגב, לכל אפליקציות הצ'ט.

 

הסוחרים נלכדו, גם בלי פריצת הצפנות הסוחרים נלכדו, גם בלי פריצת הצפנות צילום: אתר Ranker

 

 

המשמעות היא שכדי לאתר פעילות כל מה שצריך זה מכשיר של אחד ממשתתפי הקבוצה הפעילים או הסוחרים שעבדו שם. מכשיר כזה יכול היה להגיע לידי המשטרה במהלך מעצר שגרתי של סוחר סמים, וכניסה אליו ניתן לקבל בקלות, למשל באמצעות הצעת עסקת טיעון לסוחר שכולל מתן סיסמת הגישה למכשיר. במקרה כזה, כל מה שהיה על המשטרה לעשות הוא "לשבת" על האפליקציה, למפות את המשתתפים ואת הקשרים ביניהם ולזהות את המפעילים והמנהלים.

 

השתלת שוטר סמוי שיצטרף לטלגראס על תקן משתמש מהשורה יכולה גם היא היתה לספק תוצאות דומות, אם כי מהלך עלול דווקא להיות מסובך יותר. מנהלי טלגראס הפעילו מערך זיהוי מורכב שחייב משתמשים חדשים להזדהות באמצעות צילום שלהם עם תעודות הזהות שלהם. כדי לאמת שמדובר באזרחים ולא בשוטרים או קרובי משפחה של שוטרים. מומחי אבטחה העריכו בשיחה עם כלכליסט שמפעילי טלגראס יכלו להצליב את מספר תעודת הזהות מול מאגר המידע של אתר קרנות השוטרים. כשל אבטחתי במאגר, שנחשף בכלכליסט, אפשר לכל אדם לדעת האם אזרח ישראלי הוא שוטר, שוטר לשעבר, מתנדב במשטרה או איש שב"ס, פשוט באמצעות הזנת מספר תעודת הזהות שלו.

 

הדליפה מאתר המשטרה יכלה לסייע באיתור סמויים הדליפה מאתר המשטרה יכלה לסייע באיתור סמויים צילום: יריב כץ

 

 

המאגר דלף לרשת

 

אופציה ריאלית יותר לזיהוי מפעילי טלגראס קשורה אולי לדיווחים משנה שעברה שלפיהם מאגר הסוחרים של טלגראס, שמונה 3,500 איש, דלף לרשת במלואו. מנהלי טלגראס הפעילו מערך מחשוב מסועף שניהל פעולות שונות כמו העברת הודעות או את מערכת הדירוגים של החברה. מומחי אבטחה התריעו כמה וכמה פעמים שמערך המחשוב לא מאובטח דיו וחשוף לפריצות וכשלים, ואכן נראה שזה מה שהתרחש.

 

המאגר מפליל במיוחד, שכן הוא כלל לא רק פרטים מזהים מלאים של הסוחרים אלא גם תמונות וסרטונים שלהם לצד כמויות גדולות של סמים, שנאלצו להעביר כדי לאמת שלא מדובר בשוטרים סמויים וייתכן שנועדו לספק למפעילי טלגראס מנוף לחץ בעת הצורך. אם אכן שמה המשטרה את ידה על מאגר זה אחרי שדלף לרשת, מהלך שלא אמור להיות מסובך במיוחד למומחה סייבר שמכיר את הפורומים ונקודות המפגש שבהם מועברים מאגרים מסוג זה, עבודה משטרתית מהסוג הישן והטוב היתה מאפשרת לה להגיע למעורבים ודרכם לבכירי טלגראס. לא מן הנמנע שדרך סוחרים שעצרה בזכות מאגר זה הצליחה המשטרה להגיע למכשירים שאפשרו לה למפות את הרשת.

 

מאובטחת, אך לא חסינת פריצות. טלגרם מאובטחת, אך לא חסינת פריצות. טלגרם

 

 

אחרי שמיפו את הגורמים השונים וזיהו את מפעילי הרשת נשארת המשימה הלא מורכבת של לזהות אותם ולעצרם. זה קל יחסית במקרה שיש לך מאגר מידע מפורט, אבל מה אם כל מה שעומד לרשותך הוא מספר טלפון ושם, ספק בדוי? גם כאן יש כמה אפשרויות. המשטרה תמיד יכולה לפנות לטלגרם ולבקש ממנה את כתובות ה-IP שמהן התחברו המשתמשים השונים, ודרכן להגיע לזהותם האמיתית ולמיקומם (כתובת IP היא מזהה ייחודי וספק האינטרנט, בצו בית משפט, יכול למסור פרטים על הלקוח שהתחבר דרכה). ואולם, אין זה סביר, על גבול הבלתי אפשרי, שטלגרם היתה משתפת פעולה עם משטרת ישראל במהלך שכזה. האתוס של החברה נבנה על שמירה על פרטיות המשתמשים, ושיתוף פעולה מסוג זה היה מנתץ כליל את האמינות שלה.

 

גם פייסבוק בתמונה

 

למרבה המזל, המשטרה לא חייבת להסתמך על טלגרם. מספר הטלפון יכול לשמש אותה לאיתור המשתמשים בפייסבוק, שכן רבים צרפו את המספר שלהם לרשת החברתית. וגם בלעדיו היא יכולה היתה להשתמש ברשת החברתית לזיהוי הבכירים, אם אלו לא נזהרו מספיק ופעילים בפלטפרומה עם שם זהה לזה שבו הם פעילים בטלגרם. מפייסבוק, שיש לה נציגות בישראל, כבר הרבה יותר קל לקבל מידע על משתמשים, כולל מידע מיקום אותו אוספת הרשת החברתית, באמצעות צו בית משפט או אפילו בלעדיו (החברה, למשל, מסירה פוסטים לבקשת פרקליטות המדינה ללא צו בית משפט). הרשת החברתית אישרה ששיתפה פעולה בחקירה זו.  

 

שאלה גדולה אחרת היא מה יקרה עכשיו. האם הקיץ הקץ על סחר הסמים בטלגרם? כנראה שלא, חיסול טלגראס יצר אמנם ואקום גדול, אבל לא כזה שיקשה למלא אותו. מבחינה טכנולוגית, לא צריך הרבה כדי להקים את טלגראס 2 - רק לפתוח קבוצה חדשה. מה גם ששום דבר לא מונע מסוחרים לתקשר ישירות עם רוכשים בטלגרם או באפליקציות אחרות.

 

 

 

הבעיה העיקרית היא לא טכנולוגית אלא סוגיית האמון. טלגראס הצליחה לבנות אמון גבוה בין הפעילים השונים, וזו היתה אחת הסיבות העיקריות לשגשוג שלה. מפעיל חדש שיצוץ היום, אם לא צץ כבר, יתקשה לשחזר את האמון במהירות גדולה. הוסיפו לכך את העובדה שיש סיכוי טוב שכמה נוכלים זריזים ינצלו את הוואקום שנוצר כדי להקים קבוצות חלופיות שמתיימרות להיות אותנטיות אך כל מטרתן היא להוציא כסף מצרכנים תמימים, ובעיית האמון רק תוחרף.

בטל שלח
    לכל התגובות
    x