באוגוסט 2013 גילה האקר פלסטיני, המכנה את עצמו "חליל", פרצת אבטחה בפייסבוק, שאפשרה לכל משתמש ברשת החברתית לפרסם הודעות על קירותיהם של משתמשים אחרים. מרוצה מהגילוי, הוא שלח לחברת הענק הודעה על הפרצה. מאחר שזמן לא רב לפני כן השיקה פייסבוק תוכנית Bug Bounty ("מטמון באגים"), שמציעה להאקרים 500 דולרים עבור כל פרצת אבטחה שיצליחו לגלות - חליל ציפה לתגמול. אנשי פייסבוק לא לקחו אותו ברצינות, אז חליל החליט להוכיח להם עד כמה הגילוי חשוב, ופרסם הודעה בחשבונו של מייסד החברה ומנכ"לה, מארק צוקרברג.
דקות לאחר פרסום ההודעה - המנומסת, יש לציין - עובד מצוות האבטחה של פייסבוק יצר קשר עם חליל וביקש פרטים על הפרצה. הפוסט שלו על הקיר של צוקרברג נמחק כלא היה, ולאחר מכן, באקט די בוטה של כפיות טובה תאגידית, נחסם חשבון הפייסבוק שלו. על 500 הדולרים שללא ספק הגיעו לו איש לא אמר מילה. חליל פרסם את הסיפור ברשת, יחד עם הוכחות נלוות. האקרים מרחבי העולם הקימו עבורו אתר לאיסוף תרומות במקום 500 הדולרים שפייסבוק סירבה לתת. בתוך זמן קצר הגיע סכום התרומות ליותר מעשרת אלפים דולרים.
הסיפור הקטן הזה מדגים את היחסים החדשים שהולכים ונרקמים בשנים האחרונות בין חברות ענק לבין האקרים ברחבי העולם. מצד אחד, יותר ויותר חברות מבינות שכדי לשמור על מערכותיהן בטוחות אין די בשימוש באנשי צוות האבטחה הפנימי שלהן; מצד שני, היחסים מול ההאקרים עדיין מלווים בחשדנות, ובלא מעט מקרים שזורים בחשיבה מזלזלת ומתנשאת - דבר, כפי שראינו במקרה של חליל, שעלול לחזור אליהן בבומרנג של מבוכה כפולה.
"מה שטוב בתוכניות כמו באג באונטי זה שאתה לוקח צבא של מאות או של אלפי האקרים מרחבי העולם", מסביר שי רוד, האקר שעוסק באופן קבוע ורציף במציאת פרצות למערכות של חברות גדולות. "יותר מעשרה אנשים פועלים בשבילך על אותו אזור במערכת ובודקים אותו לעומק. לכל אחד יש ראייה שונה, ואתה תקבל שירות טוב יותר".
בהשאלה מתיאור חייו של ניאו, גיבור טרילוגיית המטריקס, רוד מנהל "חיים כפולים": בשעות היום יש לו עבודה מכובדת בחברת אבטחת המידע Avnet; בלילה הוא הופך לצייד ראשים פרטי באירועי באג באונטי של חברות שונות.
- רואים מזה כסף?
"אני מרוויח מזה כסף, אבל ברשותך אני לא אגיד לך כמה. בוא רק נגיד שיש לי חבר קרוב מאירופה, שבעבודה של כמה שנים בתחום רכש לעצמו בית יפה".
רוד מספר שחברות גדולות לא השכילו לצפות כמה פניות מהאקרים הן יקבלו בעקבות פתיחת תוכניות הבאג באונטי שלהן, ושבעקבות זאת, עבר התחום אבולוציה מהירה בשנה וחצי האחרונות: "תחשוב שאם אתה מקבל דיווח על פריצה, אתה צריך גם מישהו שיבדוק אותה ממש ויאמת שזה דיווח מדויק, ושלאחר מכן גם יעביר אותה לקבוצת הפיתוח על מנת שהאנשים שם יתקנו את הפרצה", הוא אומר. "כשאתה מקבל מאות דיווחים אתה מתחיל להיות מוצף".
- ואז יש גם כל מיני האקרים שדורשים תשלום.
"נכון. אתה כמובן תעדיף לטפל בבעיות קריטיות לפני שתטפל בבעיות קלות יותר, ויש גם בעיות שהחברה לא תראה לנכון לשלם כסף על איתורן, כי הם מאתרים בעיות שלא באמת מעניינות את החברה או חשובות מספיק עבורה. מה שקורה במצב כזה הוא שיש הרבה האקרים המתוסכלים מזה שהם לא מקבלים את הכסף שהם חושבים שמגיע להם. הם מתחילים לטעון שלא שילמו להם, מאשימים את החברה בכך, ופוגעים בתדמית שלה ברשת, או במקרה החמור יותר - הם עשויים לפרסם את החולשות של החברה באופן לא אתי. זה תחום מאוד-מאוד בעייתי".
- ואיפה נכנסת האבולוציה?
"מה שקורה היום - וזה התחיל מארגונים יותר קטנים מפיי פאל או מגוגל, שאין להם המשאבים להפעיל צוותים שיעברו על הדיווחים - זה שקמו חברות שעובדות כמו מתווכים. הן ספקיות שירותים, שבעצם באות לחברות ומציעות להן להעביר דרכן את הפעלת הקהילה של ההאקרים ואת האימות של הדיווחים שלהם".
שלוש החברות המפורסמות בתחום הזה הן HackerOne, BugCloud ו-Synack. רוד מתרשם במיוחד מצורת העבודה של החברה השלישית ברשימה, שהוקמה על-ידי בוגרי הסוכנות האמריקאית לביטחון לאומי ומעסיקה בשורותיה גם כמה מבוגרי יחידה 8200 הצה"לית.
"צריך לעבור אצלם מבחנים כדי להוכיח שאתה באמת טוב, וגם לדעת איך כותבים דוחות יעילים", הוא אומר בהערכה. "אם אתה עובר את המבחנים שלהם, אתה צריך כמובן לעבור עוד כמה שלבים של אימות הזהות שלך. רק אז אתה נכנס למאגר שלהם, וזאת בניגוד לחברות אחרות, שכל מה שאתה צריך לעשות כדי להשתתף בבאג באונטי שלהן זה להירשם. איכות החוקרים והאמינות שלהם חשובה להם מאוד והם שמים על זה דגש גבוה מאוד".
הבאג ששווה מיליונים
קרן אלעזרי, 34, היא ככל הנראה ההאקרית המפורסמת ביותר בישראל וחסידה גדולה של מודלים שונים לשימוש בכישוריהם של האקרים בדרכים לגיטימיות. היא נראית צעירה מגילה, וניכר שהיא נהנית לנתץ בעצם הנשיות שלה את המיתוס שרק נשים חסרות חיים וסקסאפיל יכולות לעסוק בתחום הפריצה למערכות מידע. את ההרצאה שלה ב-TED על שימוש בהאקרים על-ידי חברות וארגונים, ראו כבר מאות אלפי צופים ברחבי העולם. אלעזרי, שמשמשת גם כעמיתת מחקר בסדנת יובל נאמן באוניברסיטת תל אביב, וכן כמרצה וכאנליסטית בחברת GIGAO, אומרת שבשנתיים שבהן מריצה פייסבוק תוכנית באג באונטי, שילמה החברה יותר ממיליון דולרים עבור באגים שנמצאו על-ידי האקרים מרחבי העולם: "חלק מההאקרים האלה קיבלו הכרה והוקרה רשמית ולא רק פרס כספי, וחלק גם קיבלו עבודה בפייסבוק", היא מצביעה על מוטיבציה אחרת של המשתתפים באתגרים הפומביים.
דרך אחרת להעסיק האקרים היא באמצעות "מבדקי חדירה" (Penetration Testing). "מבדקים כאלה מוזמנים על-ידי ארגון - לדוגמה, בנק או חברה ביטחונית - מחברה אחרת, שמעסיקה האקרים", מסבירה אלעזרי. "יש כמה כללים ידועים לביצוע מבדקי חדירה, ואחד מהם הוא שמגדירים מראש את כללי המשחק - מה מותר ומה אסור, איזה מידע ראשוני מקבלים ההאקרים על-אודות הארגון והמערכת. לפעמים הכול ידוע וברור, לפעמים הם צריכים לגלות לבד לאן ולאילו מערכות מידע הם מנסים להיכנס. השלב החשוב ביותר מגיע אחרי בדיקת החדירה: לא מספיק שהצוות הצליח להיכנס לקודש-הקודשים של הארגון ולהוכיח שניתן, למשל, להעביר מיליון דולר בין חשבונות - עליהם לפרט כיצד הם עשו זאת כדי שהארגון ידע בדיוק אילו פרצות אבטחה קיימות צריך לסגור".
שימוש בהאקרים שאינם חלק מהארגון מהווה יתרון משמעותי משום שהתוקפים הם אובייקטיביים, אינם מחויבים לקונספציות מסוימות, ובטח לא למשחקי פוליטיקה פנימית, מסבירה אלעזרי, וזאת, בנוסף לעובדה הפשוטה שהם חושבים כמו תוקפים ומשתמשים בטכניקות תוקפניות.
עם זאת, אלעזרי מדגישה כי יש חברות שמעסיקות האקרים כעובדים בשכר ומתוגמלים היטב על התרומה הייחודית שלהם. ישנן לא מעט דוגמאות כאלה, אבל השתיים הבולטות שאלעזרי מנפקת הן של ההאקר הצעיר COMEX, שהיה אחראי לכלי הפופולרי לפריצת האייפון, ,Jailbreak.me ושמאוחר יותר קיבל עבודה זמנית באפל ולאחר מכן בגוגל; ושל "האקר צעיר אחר,GEOHOT, שפרץ גם את האייפון וגם את קונסולת הפלייסטיישן, והוא היום חבר בצוות חדש שהקימה גוגל, שנקרא Project Zero".
בהקשר זה, אלעזרי מספרת שתחום אחר, ויותר שנוי במחלוקת להעסקת האקרים, הוא תחום "מחקר חולשות האבטחה": "חולשת אבטחה זה בעצם תיאור לבאג תוכנה שמאפשר ניצול למטרה זדונית של אותה התוכנה", היא מסבירה. "בכל רגע יש מאות אנשים ברחבי העולם שעוסקים אך ורק בחיפוש של הבאגים הבאים, החדשים, אלה שיצרניות התוכנה כלל לא חשבו שהם קיימים. באג כזה, טרי וחדש, יכול להיות שווה הרבה מאוד כסף בשווקים האפור והשחור. משום כך ישנן חברות בארצות הברית ובאירופה שמתמחות בלמצוא את אותם באגים, ואז למכור אותם לכל המרבה במחיר - או לסוכנויות ריגול שעושות בהן שימוש חשאי. אחד הדברים שהתגלו בהדלפות של אדוארד סנואדן הוא שהסוכנות האמריקאית לביטחון לאומי (NSA) הוציאו מדי שנה עשרות מיליונים על רכש כזה של חולשות אבטחה מחברות מחקר כאלה".
איך מגייסים האקר?
רמי אפרתי, מייסד ומנכ*ל פרמיטאס, המפתחת פתרונות טכנולוגיים להגנת הסייבר למערכות קריטיות, מדגיש את שאלת האמון שחייב לדעתו להיווצר בין הגוף המזמין את העבודה לבין ההאקרים שבודקים אותו. אין להתפלא על כך: אפרתי העביר את רוב חייו הבוגרים עמוק בעולם הצללים של המודיעין, ולאחר 28 שנות שירות בדרגת אלוף משנה, אינו מוכן לומר מילה על התחומים שבהם עסק בתקופת שירותו. לפני הצטרפותו למטה הסייבר במטה ראש הממשלה, שבו שימש במשך שנה כראש אגף בכיר למגזר האזרחי, הוא היה יזם בתחום הביו-טכנולוגיה והסייבר סקיורטי, ניהל את חברת בריינסטורם שעסקה בתחום תאי הגזע והמחלות הניווניות, הקים חברה משלו והיה סמנכ"ל בחברת נייס.
לדברי אפרתי, "יש חשיבות רבה מאוד להכיר ברמה אישית את ההאקרים המבצעים את בדיקות החדירה ואת אלה המפתחים פתרונות הגנה. חשוב להכיר את רמתם המקצועית, את יושרתם ואת דרכי הפעולה שלהם כדי לדמות ככל הניתן את פעילות ההאקרים".
רק היכרות אישית עם האנשים או עם ממליציהם מהווה עבורו בסיס לעבודה משותפת. את רוב האנשים שעמם הוא עובד, הוא פגש במהלך שנות פעילותו בסייבר, וכיום הוא מזהה רבים מהם בחברות אבטחת הסייבר.
אפרתי מספר על האקר שאותו הכיר רק בכינוי המקוון שלו. אותו האקר, המשמש כיום בתפקיד פיתוח בכיר בחברה מצליחה להגנה ממתקפות סייבר, התוודה בפניו רק לאחר תקופת היכרות ממושכת כי הוא האיש שעומד מאחורי הכינוי, וכי פעילותו, המוכרת (לפורומים רלבנטיים בלבד) הביאה רבים בעולם ההגנה לפנות אליו.
אפרתי משוכנע כי על המדינה להגדיר את מקצוע "בודק החדירה" ואת דרכי ההכשרה לבעלי מקצועות הסייבר, ואומר כי עניין זה זוהה על-ידי מטה הסייבר כנושא בעדיפות גבוהה.*הגדרת מקצועות הסייבר ודרכי ההכשרה לעיסוק בהם נבחנו על-ידי ועדה ציבורית בראשות אלוף במיל' עמי שפרן.*אפרתי רואה חשיבות בכך שגם הרגולטורים שעוסקים בתחום הסייבר יפעילו האקרים לבחינת עמידותם של הגורמים שאותם הם מנחים על מנת לוודא שגופים אלה אכן עומדים ברמה הנדרשת ופועלים בהתאם לקריטריונים ולהנחיות.
אלעזרי אומרת שבמקרה של ארגונים שמרניים יותר מחברות היי-טק גדולות, ניתן לבנות את האמון בינם לבין קהילת ההאקרים "צעד אחרי צעד": "אחד מהדברים, שאני עוסקת בו רבות באופן אישי בהרצאות שלי, הוא להסביר לחברות כמו גופים פיננסיים, ארגונים ביטחוניים וחברות אחרות שהן יותר שמרניות, כיצד אפשר לשתף פעולה עם האקרים בצורה בטוחה. דרך אחת ומצוינת שאני ממליצה עליה היא תוכניות הBug Bounty-, במיוחד היום, כשיש חברות שעוזרות להקים את התוכניות האלה ולהפיץ אותן לקהל רחב של ההאקרים.
"דרך אחרת היא לעודד את רוח החדשנות של ההאקרים באמצעות ארגון אירועי האקתון, שהם בעצם לא ממש האקינג במובן של פריצת מערכות, אלא יותר מרתונים של חדשנות ופיתוח טכנולוגיות.
"אירועים כאלה, באווירה לא רשמית, עוזרים לשבור את הקירות בין מפתחים, מעצבים, מהנדסים והאקרים, ובשנים האחרונות הרבה ארגונים 'שמרניים' מקיימים כאלה - אפילו רשת המרכולים 7/11, חברות ביטוח, והבית הלבן קיימו האקתונים בשנים האחרונות. לפעמים נולדות באירועים כאלה טכנולוגיות חדשות, אפליקציות או מערכות מידע חדשות לגמרי, שמחברות עולמות מידע שלא היו מקושרים קודם".
בגלל הידע העמוק וההתעסקות עם גורמים גדולים ועשירים, שכרם של האקרים שעובדים בחברות שמבצעות מבדקי חדירה לארגונים עשוי להגיע לעשרת אלפים דולרים ליום עבודה. דייוויד ממן, סמנכ"ל הטכנולוגיות של חברת GreenSQL, אומר כי עלות פרויקט חדירה בגוף גדול עשויה להגיע לסכומים אסטרונומיים.
"כשעובדים עם חברה שמפעילה אנשים מאוד חזקים בתחום ההקינג, פרויקטים ספציפיים איתם מתומחרים בין חמשת אלפים לעשרת אלפים דולר ליום עבודה", הוא אומר. "המטלות הבסיסיות שלהם אורכות יומיים-שלושה, אבל פרויקט מורכב יותר יכול להימשך שבועות רבים".
הטל ספק בכול
ניר גאיסט, 26, האקר שייסד לפני כמה שנים את חברת ניוטרון יחד עם ראש אמ"ן לשעבר, האלוף במיל' עמוס מלכא, מכיר את העולם הזה עמוק מבפנים. גאיסט עונה על כל הפרמטרים של ילדי פלא: הוא הקים את החברה הראשונה שלו בגיל 10, התקבל באותו גיל לטכניון כסטודנט מן המניין, ובמשך שנים ארוכות התמחה במבדקי חדירה למערכות ממוחשבות.
"אני מאוד מאמין בגישה האומרת שחברה צריכה לבדוק את עצמה ולא רק לאבטח את עצמה, וישנם לא מעט אנשי אבטחה בחברות שלא חוו מימיהם תקיפת סייבר, והידע שלהם הוא מאוד-מאוד תיאורטי", הוא אומר. "כשמעסיקים האקר, לוקחים את התיאוריה לפרקטיקה".
גאיסט מדגיש כי ארגונים מסוימים, בקהיליות הפיננסיות או הביטחוניות למשל, לעולם לא ישתמשו במודל הבאג באונטי - הן בגלל הרגישות של המערכות שלהם והן בשל כך שכל המוסד הכלכלי שלהן מבוסס על כך שלקוחותיהם סומכים עליהם והם אינם חסינים בפני היתפסות בפומבי עם המכנסיים למטה.
"בנק, למשל, ייקח חברה מובילה בתחום מבדקי החדירה וישלם לה סכום משמעותי מאוד, שייצר לה אינטרס משמעותי. לצערי, השוק הזה בעייתי כי הבדיקות שמבוצעות במסגרת הזו לא משקפות לדעתי את העולם האמיתי באופן מספיק, כי לחברות שמספקות את השירותים הללו קשה מאוד למצוא את התוקפים, שיש להם יכולות ברמה הגבוהה ביותר. בתור מישהו שמחפש האקרים כאלה אני יכול לומר לך שזה מאוד קשה. מדובר באנשים שלא בהכרח מחפשים עבודה, ושברוב המקרים הם קשים מאוד לניהול. מה שאנחנו עושים זה להשתמש בדרך מאוד לא קונבנציונלית: אנחנו לא עובדים דרך חברות השמה או פרסום במקומות הנכונים, אלא ייצרנו אתגר שפרסמנו באתר שלנו ודרכו אנחנו מגיעים לאנשים טובים, כמו גם דרך קשרים אישיים עם אנשים מהקהילה".
לדברי גאיסט, שכרם של האקרים ברמה הגבוהה ביותר מגיע לסכומים "של מנכ"לים גדולים במשק". "לאנשים המעולים באמת יש יכולות שיש למעט מאוד אנשים בעולם שמחזיקים בהן", הוא אומר. "אלה אנשים שעושים הרבה מאוד כסף. אני לא יודע אם הם יכולים להפוך למולטי מיליונרים, אבל אני מכיר האקרים שעשו לעצמם קריירה מאוד-מאוד יפה. אפשר לומר שהם מיליונרים, בטח".
ניוטרון, החברה שגאיסט הקים עם מלכא, מפתחת מוצרי הגנה לחברות בתחומים רגישים מאוד בתחום הפיננסי והביטחוני. עם זאת, הוא מדגיש שלמרות כל המאמצים וכל המשאבים, "אף איש סייבר רציני לא יסכים לומר לך על המערכת שלו שהיא בלתי ניתנת לפריצה. במשך שנים יצא לי לפרוץ לכל בנק גדול שאתה יכול לחשוב עליו ולהעביר כסף בין חשבונות. אם אתה שואל אותי אם אני יכול להיכנס עכשיו לחשבון שלך ולסגור לך את המינוס, אני אומר לך בוודאות של מאה אחוז שכן. אני אומר את זה בכל הרצאה - שלם לי מספיק כסף ותן לי מספיק זמן - ואני אסגור לך את המינוס".