גניבת שיחות ממרכזיות. להיכן יש להפנות את האצבע המאשימה? תשובה ברורה: אל הלקוח עצמו!

דף הבית >> חדשות עולם המרכזיות ומוקדי השירות >> גניבת שיחות ממרכזיות. להיכן יש להפנות את האצבע המאשימה? תשובה ברורה: אל הלקוח עצמו!
גניבת שיחות ממרכזיות, להיכן יש להפנות את האצבע המאשימה? תשובה ברורה: אל הלקוח עצמו!ניר סימיונוביץ'

גניבת שיחות הפכה בשנתיים האחרונות לנגע סורר, שהפך להיות חלק בלתי נפרד מעולם הטלפוניה המקומי, בין אם בתשתיות מסורתיות ובין אם בתשתיות IP.

בהתאם לכמות הפניות, שהתקבלו במשרדנו, אני מעריך, כי הנזק הכולל ללקוחות ולספקים, שנובע בצורה ישירה מגניבת שיחות, עומד במדינת ישראל על סך כולל של כ-20 מיליון ₪ בשנה (אם מכניסים לחישוב את כל ספקי התקשורת בישראל). הערכה הזו מבוססת על מספר המקרים, שחקרנו בשנה האחרונה, גודל הנזק הממוצע לכל המקרים והתפזרות המקרים על פני הספקים השונים.

בכל אחד מהמקרים שנחקרו, חזרה תמיד אותה שאלה: "מי אשם?" או כמו שאומרים בארה"ב: "את מי אני אמור לתבוע?" ובכן, זו שאלה סבוכה למדי. לצערי, אין פה תשובה חד-חד ערכית. בחלק מן המקרים, האשמה הינה של ספק השירות, בחלק אחר ניתן לתלות את האשמה באינטגרטור. אולם, ניתן לציין כבר עכשיו, כי ברוב המכריע של המקרים ניתן לתלות את האשמה בלקוח עצמו.

כדי למקד על הנושא, מובאים להלן 2 מקרים:

"הבן של השכן שלי".
כולנו מכירים את התסמונת הזו, כיוון שכולנו לקינו בה בשלב זה או אחר של חיינו. זו התסמונת, שבה אנו קוראים לבן של השכן שלנו כי יש לנו בעיה במחשב. לכל אחד מאיתנו יש איזה "גאון" מחשבים במשפחה, זה הבן של השכן, הנכד של השכנה מלמטה, או אם יש לנו מזל, אפילו האח שלנו. בכל מצב, זה מישהו, שאנו נותנים בו אמון מלא ותולים בו את תקוותנו.

הלוקים בתסמונת זו ינסו לרוב לבצע את ההתקנה של המרכזיה שלהם בעצמם.בד"כ זה אומר, שהם הורידו מהאינטרנט הפצה זו או אחרת של מרכזיה מבוססת קוד-פתוח, או קניינית עם גרסת חינם מצומצמת. הם התקינו אותה על מחשב או מכונה וירטואלית, בלי להבין את המשמעות של כל אחת מהאפשרויות בתוכנה, כאשר כל אפשרות נראית יותר טובה מהאחרת.

הבעיה עם פריצות, שנובעות מתסמונת זו היא, שמאוד קשה לעלות על הבעיה האמיתית. זאת מאחר, שאנשי מקצוע מצפים לצורת עבודה מסויימת, ומרבית אנשי המקצוע יבצעו את אותה המשימה בצורה יחסית זהה. כאשר איש מקצוע מנתח התקנה של איש מקצוע אחר, ישנם דברים, שלרוב הוא יפסח עליהם בבדיקה ראשונית, כי אלה לא הגיוניים עד כדי מגוכחים.

במקרה המדובר, המערכת הותקנה על ידי "אח של המנכ"ל", שבמקרה מבין ברשתות ומחשבים, שאמר: "תקשיבו לי, אני מתקין את זה בתוך 20 דקות ויאללה לעבודה". בנקודה הזו, נכנסו שני אלמנטים לסיפור שלנו, אלמנט המגניבות ואלמנט הבורות. אחד הדברים המגניבים ביותר, שאפשר לעשות עם מרכזיית IP, הוא לחבר את הטלפון הסלולרי שלכם אליה, ולהוציא ולקבל שיחות מהטלפון הסלולרי, כאילו אתם במשרד. משאת נפשם של הרבה מנהלים ומנכ"לים היא, לשבת בבית או בבית קפה, ושיחשבו שהם בעצם במשרד (בסדר, אולי לא בצורה כל כך דרמטית). אבל, כדי לחבר שלוחה מרוחקת בצורה כזו, יש להביא הרבה אלמנטים בחשבון. כי בגדול, אנו משאירים את המרכזיה שלנו פתוחה לאינטרנט בצורה חופשית: "פרצה קוראת לגנב". עכשיו, המתקין שלנו לא מבין את המשמעות הנסתרת של פתיחת המערכת לכל העולם ומאמין, ששם משתמש וסיסמא לטלפון מספיקים להגנה. המנכ"ל, כמו מרבית המנכ"לים, רוצה משהו מגניב להתגאות בו מול פרלמנט יום השבת שלו. התוצאה: חור במרכזיה בגודל של בית.

תוסיפו לזה חוסר מענה זמין מצד ה"אח", וקיבלתם מתכון יפה לפריצה. הפריצה, שנחקרה על ידינו, שענתה למקרה הנ"ל, הסתכמה בסכום של 185,000 ₪, בתוך פחות משלושה ימים. למרות שספק התקשורת התריע על הנושא תוך כ-3 שעות, לא טרח הלקוח לנעול את הפרצה.

"בזכות הפיצ'רים"
כולנו אוהבים פיצ'רים. לפעמים פיצ'ר זה או אחר הוא זה שמוכר לנו מוצר זה או אחר. לדוגמא, בתור טבח חובב, מערוך סיליקון נשמע לי רעיון מצוין. לכן, קניתי מערוך, שלא בהכרח הייתי צריך. לפעמים, אנו מבקשים להפעיל פיצ'רים במערכת, למרות שאנחנו לא צריכים אותם. זאת, במרבית הפעמים לצורך סיפוק צורך בסיסי להיות מגניבים.

לדוגמא, לחלק ניכר מן המרכזיות יש פיצ'ר DISA, כלומר, יכולת להתקשר פנימה ומשם להתקשר החוצה. כמו כן, למרבית המרכזיות, שיש להן VOICEMAIL, יש גם אפשרות לבצע DIALOUT. לכאורה, שני פיצ'רים מגניבים ושימושיים למדי.

לשני הפיצ'רים האלה יש בעיה. במרבית המערכות, ההגנה על פיצ'רים אלה הינה בינונית (במקרה הטוב) או חסרה לחלוטין (במקרה הרע). לרוב האינטגרטורים ידוע, שיש בעיתיות עם פיצ'רים אלה ולעיתים קרובות לא יזכירו אפשרויות אלה. אבל, במקרים רבים, כאשר לאינטגרטור יש תחרות על הלקוח, הוא ישתמש בפיצ'רים אלה בתור Unique Selling Point, ויטה לא להסביר את הבעיתיות המלאה של שירותים אלה. הלקוח המתלהב יבקש להפעיל שירותים אלה, והרי לכם "פרצה דה-לוקס".

כדי להמחיש עד כמה הדבר חמור, לפני כשנה הייתי באחת מחברות ה-IP Security הגדולות ביותר בעולם. כדי להמחיש את הבעיה, חייגתי מהטלפון הסלולרי שלי אל המרכזיה, ותוך פחות מ-5 דקות הוצאתי שיחת טלפון מארה"ב ממערכת ה-Voicemail של החברה. מנהלי המוצר, שישבו מולי, שמטו את הלסת התחתונה, תוך שהם מגרדים בראשם: "מה בדיוק קרה כאן כרגע?" במקרה שלהם דובר במערכת קניינית, שפזורה בכל הסניפים שלהם בעולם. מיותר לציין, שאחרי התקרית הזו "עפו" שם ראשים.

מי אשם ? שוב אני תולה את האשמה בלקוחות הקצה. הלקוחות מנהלים את המערכת לבד, יש להם אגף שלם, שאחראי על המערכת, ועדיין, פריצה פנימה לא היתה עניין מסובך במיוחד. כמה כסף גנבו להם? אין מידע מדוייק, מאחר שהם מעולם לא התלוננו. אבל ממידע שקיבלתי, לאחר חסימת האפשרות של חיוג החוצה והקשחת סיסמאות ב-Voicemail, הבנתי, שחשבון הטלפון החודשי שלהם פחת.
אחד הקוריוזים, שסובבים בתחום הונאות הטלפוניה בארץ הוא, על מרכזיה השייכת ליחידה צבאית, שממוקמת אי שם בתל-אביב, שבמשך שנים רבות השתמשו בה כדי לבצע שיחות לא חוקיות לחו"ל. הנושא היה ידוע להרבה מאוד גורמים, אך מאחר, שבמקרה זה היחידי ששילם הוא משלם המיסים, אף לא לאחד היה ממש איכפת.

אז מי אשם באמת?
הלקוחות מאוד לא אוהבים לשמוע זאת, אבל, מרבית האשמה תלויה בהם. האינטגרטורים בסה"כ עושים מה שאומרים להם. מדוע אני אומר זאת? כי בעברי עבדתי כאיש אינטגרציה, וכל רצוני היה, שהלקוח יהיה מרוצה ועם פרצוף מחייך (לפעמים זה מאוד קשה, גם כאשר הכל בסדר). הלקוח אוהב לקבל את הכל, לא לקחת אחריות ובמקרים קיצוניים לגלגל את האחריות הלאה. זה סט התנהגות נפיץ, שבו האינטגרטור תמיד עומד בין הפטיש לסדן, ומשמש שק החבטות של שני הצדדים, הלקוח וספק התקשורת.
 
איך מתמודדים?
בואו נצא מנקודת הנחה ראשונה, שאין מוצר פלא ואין מילת קסם. יש פה עניין של חינוך הלקוח מחד גיסא, ועמידה איתנה של האינטגרטור מול הלקוח מאידך גיסא. אינטגרטור, שיעמוד על כך, שפיצ'רים מסויימים מזיקים יותר ממועילים, וידאג שהלקוח שלו לא יפעיל אותם, רק ירוויח. כשם שלקוח יודע שבלי אנטי-וירוס ופיירוול מצבו יהיה בכי רע, עליו להבין בצורה מלאה את המשמעות של פתיחת פיצ'ר זה או אחר, שימוש לא מבוקר זה או אחר והכי חשוב, עליו להבין את ההשלכות הכלכליות הצרופות. למרבית הלקוחות, פריצה משמעותה: "גניבת מידע או השבתה". יש להסביר, שמדובר בגניבת כסף, פשוטה כמשמעה.

יש להבין, שהגנה בעולם ה-IP אינה מספיקה. יש הבדל מהותי בין היכולות של firewall או e-sbc לבין היכולת לחסום התקפה או גניבה. לדוגמא, כאשר אדם משתמש ב-Asterisk, ההתנהגות הנורמלית שלו היא כ-B2BUA. כלומר, לכל רגל (מבואה) שיחה יש call-id שונה לחלוטין, בניגוד ל-Sip Proxy. במצב זה, למרבית מערכות ה-firewall או e-sbc, אין יכולת לזהות האם שתי שיחות בלתי תלויות הן תוצר אחת של השניה. אלה המצבים, שחוקרי FRAUD מתמודדים איתם והם מאוד לא פשוטים לזיהוי. כלומר, מישהו צריך להסתכל מדי פעם ולומר: "המממ... נראה תקין, יופי...".

תשתמשו ביועץ צד ג', מישהו שלא התקין את המערכת שלכם, שיחווה דעה על התקנת המערכת בצורה בלתי תלויה מהאינטגרטור. שימו לב: יועץ, לא אינטגרטור. אין הגיון להביא אינטגרטור אחד בשביל לחוות דעה על השני. התוצאות תהיינה ברורות עוד לפני הבדיקה. יועצי התקשורת יודעים את עבודתם, ויוכלו לספק חוות דעת טכנית מעמיקה ואובייקטיבית.

קל מאוד להיכנס לשאננות כשהכל עובד. כשהכל עובד, הדבר הקל ביותר הוא לומר: "עובד, אל תיגע". נכון, אל תיגעו, אבל זה לא אומר – אל תסתכלו. מרבית המקרים יתגלו בסריקה מדגמית של המערכת ותוכלו לחסוך לעצמכם הרבה עוגמת נפש בנדון.

ניר סמיונוביץ,  מרץ 2013
מנכ"ל GreenfieldTech
www.greenfieldtech.net
nirs@greenfieldtech.net
 
פריצה למרכזיה
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

15.5.17 - Bynet Expo 2017

18/5/17 - Israel's Annual Programmatic Video conference 

15/6/17 - CRYPTODAY 2017 

25-29/6/17 - Cyber Week 2017  

3/7/17 - 2017 Afeka Conference for Speech Processing  

15-17/8/17 - אליפות ישראל לספורט אלקטרוני 2017  

2/11/17 - 28/10/17 - German Tel Aviv Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לאפריל 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
TLV-Generator
 
TLV-Generator
 
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
TLV-GENERATOR
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים