"כך שירתנו את מפעילי הסוס הטרויאני"
ראיון עם מנהל חברת אחסון האתרים שסיפקה, ללא ידיעתה, שירות לבני הזוג רותי ומיכאל האפרתי, שהשתמשו בו לצורך העברת הקבצים מהחברות בהן הושתל הסוס הטרויאני במסגרת פרשת הריגול העסקי
באמצע חודש מרץ התקבלה שיחה טלפונית במשרדי חברת Cybertel, המפעילה את שירות אחסון האתרים Webpoint. הפונה הציגה את עצמה בשם רות אלרב, מנהלת פיתוח עסקי של חברת "א.רוברטס" והזמינה חבילת אחסון של חצי גיגה בייט - נפח אחסון גדול יותר מהמקובל בחברה - במחיר של 25 דולרים בחודש.
- פרשת הסוס הטרויאני - סיקור מיוחד
הפנייה של רות דווקא ל-Webpoint לא הייתה מקרית. הקשר נוצר באמצעות ספק ציוד המחשבים לאתר, יוני אור, המפעיל חנות מחשבים בשם אור PC.
עם פתיחת העסק, אור שכר חדר במשרד החקירות פילוסוף בללי במשך מספר חודשים. שם הוא שמע כי אותה רות אלרב, אשר שמה האמיתי הוא, ככל הנראה, רות האפרתי, מבקשת לרכוש שירותי אחסון אתרים והפנה אותה ל-Webpoint.
"כאשר רות התקשרה, סיכמנו על תשלום של 360 דולרים בשנה", אומר ל-ynet, טל אילון, מנכ"ל Cybertel, "נפח האחסון, חצי גיגה בייט, גדול יותר מהמקובל אצלנו. היא ביקשה לפתוח עבורה שלושה חשבונות להעלאה ולהורדה של קבצים משרתי FTP ובאותה הזדמנות ביקשה לרשום עבורה את הדומיין Alrobertspublishing.com".
מסמך חשוד
"סיכמנו שרות תעביר את הסכום ישירות ליוני, מאחר והייתי חייב לו כסף על ציוד שרכשתי ממנו. היא שלחה לו צ'ק בגללו נעצר מאוחר יותר, עם התפוצצות הפרשה, על אף שאין לו קשר לגניבה".
מאוחר יותר מתקבל במשרדי Cybertel פקס המאשר את ההזמנה. המסמך, שנראה חשוד, בדיעבד, חתום על ידי "שרית ג.", אף היא מנהלת הפיתוח העסקי של א.רוברטס. מה קרה לרות?
תנועות יוצאות דופן
יומיים לאחר שרות ובן זוגה, מיכאל האפרתי, פתחו את החשבון, מגלה אילון תנועות יוצאות דופן בשרתים. "גיליתי שבני הזוג פתחו חמישה חשבונות FTP, ובכל חשבון נפתחו בין 30-50 סשנים (כלומר, ערוצי תקשורת באינטרנט). חלק מהחיבורים הובילו לדומיינים של פלאפון, הוט ומוסדות אקדמיים בישראל".
"מכיוון שהשימוש בחשבון חרג מתנאי ההסכם בינינו ויצר עומס על השרתים, הודעתי לרות במייל שתעבורת ה-FTP שלהם לא מקובלת עלינו. היא התקשרה אלי ממספר בחו"ל ודרשה בתוקף שאשחרר את כל המגבלות על החשבון. הסברתי לה שזה לא מקובל כי סוג החשבון עליו הם חתמו מיועד לפרסום אתרי אינטרנט ולא לתקשורת FTP. היא טענה שהם עומדים להקים אתר וההעברה של הקבצים באמצעות ה-FTP משמשת לצורך בנייתו".
הסקרנות הובילה את אילון להציץ בקבצים המאוחסנים בחשבון. הוא ראה הרבה קבצים בסיומת HTML ו-Gif, אך כשניסה לפתוח אותם התברר לו כי מדובר בקבצים בינאריים (קבצי הפעלה של תוכנות). כאשר עיון בקבצי המקור התברר לאילון, בעברו מנהל מוצר בחברה לאבטחת מידע, כי הקבצים מקודדים.
"רות היא נודניקית ברמה גבוהה"
רות לא ויתרה. "הבחורה היא נודניקית ברמה גבוהה", אומר אילון, "היא התקשרה אלי 30 פעמים ביום ודרשה שאפתח להם את ה-FTP. היא ממש הטרידה אותי עד שהפסקתי לענות לשיחות שלה. מעניין לציין שבמהלך ההתקשרות שלי איתם הם לא סיפקו לי מספר טלפון או כתובת דואר אלקטרוני. כדי ליצור איתם קשר, היה עלינו לשלוח להם פקס באמצעות מספר פקס בישראל. רק כאשר פתחנו להם את הדומיין Alrobertspublishing.com, לבקשתם, היא הסכימה שנשלח לה דוא"ל לתיבה שנפתחה על השרתים שלנו".
"היו לנו הרבה מאוד ויכוחים בדואר האלקטרוני. לבסוף נעתרתי לבקשתה לפיה נפתח לה את חשבונות ה-FTP החסומים לכמה שעות ולאחר מכן היא התחייבה לא להשתמש יותר בחשבון. פתחתי לה את החשבונות לכמה שעות ולאחר מכן סגרתי לה את הגישה. התנועה בחשבון אמנם פסקה בחודש מאי אך נשארו די הרבה קבצים בשרת".
מסמכים משולחנו של רם בלניקוב
"לאחר מספר שבועות התקשר אלי איש הקשר שלנו בחברת 012 קווי זהב, ספק האינטרנט שלנו, ואמר לי ששוטר המצויד עם צו מבקש לערוך חיפוש בשרתים שלנו. זה היה יום אחד לפני המעצרים הגדולים, בשעה שבע בבוקר. כמובן ששיתפנו פעולה עם המשטרה ובעזרתנו הם אף קיבלו הרבה מאוד חומר נוסף שסייע להם בגיבוש הראיות נגד החשודים.
"לאחר שהשוטרים הלכו הצלחתי לפענח חלק מהקבצים המוצפנים שנשמרו על השרת בעזרת תוכנה שהורדתי מהאינטרנט וגיליתי מסמכים מלשכתו של רם בלניקוב, מנכ"ל HOT וגם תכתובת בין רותי לאחד החוקרים הפרטיים, בה היא טוענת כי הוא חייב לה כסף ומתלוננת על כך שהחוקרים לא טרחו למחוק קבצים רבים מהשרת. היא ביקשה כי בכל יום, לאחר שהם מעלים את התכנים לשרת עבור החוקרים לשרת, יקפידו האחרונים להוריד את הקבצים בזמן וימחקו אותם מהשרת".
אילון סבור כי מכתב זה מוכיח כי בני הזוג האפרתי היו שותפים פעילים בהעלאת התכנים הגנובים. "לי נראה כי כל הסוסים הטרויאנים הוגדרו מראש ל'דחוף' את כל המידע שנגנב לשרתי ה-FTP שלנו והחוקרים הפרטיים נהנו מגישה רציפה לתכנים בשרת ה-FTP, באמצעות שם וסיסמה".
מדוע לדעתך בני הזוג אפרתי לא השתמשו בשרת לא ישראלי על מנת לטשטש את עקבותיהם?
"לפי דעתי, הם התעניינו ספציפית בספק שירות ישראלי מכיוון שהמידע נגנב מישראל ולכן, תקשורת האינטרנט בישראל תהיה יותר מהירה לחוקרים. הקורבנות היו בישראל".
