בתחילת השנה חשף צה"ל את אחד מסיכוני אבטחת הסייבר שניצבים בפני אנשיו: נשים שפלרטטו עם חיילים בפייסבוק, ושכנעו אותם להתקין אפליקציית וידיאו-צ'ט. הנשים התגלו כלוחמי יחידת הסייבר של החמאס, והאפליקציה, כרוגלה לשליטה במכשירים ולגניבת מידע מהם. "מדובר בשילוב של טכניקות 'קלאסיות' של מרגלים מהעולם שלפני הסייבר - 'מלכודת דבש', כלומר איסוף מודיעין על ידי פיתוי; והנדסה חברתית, שהיא הטעיה ושימוש בחולשות אנושיות וברצון של אנשים להאמין שבצד השני אכן נמצאת מי שהיא שטוענת שהיא", מסבירה קרן אלעזרי, הישראלית החזקה ביותר בשדה הסייבר, שעובדת עם חברות גדולות בארץ ובעולם.
"גם הטכנולוגיות הכי מתקדמות לא יעצרו משתמש שבתמימותו מתפתה להקיש על לינק, להתקין אפליקציה או לשתף מידע. במקרה הזה, לא רק השפה והסלנג של המתחזים היו אמינים, אלא גם התמונות שנגנבו מפרופילים אמיתיים. זה השתלב עם ההפניה שביצעו אנשי החמאס לחנות אפליקציות זדוניות לסמארטפונים מבוססי אנדרואיד, שהאפליקציות שבה הכילו יכולות ריגול ואיסוף מידע מהמשתמשים התמימים".
איך אפשר היה למנוע את זה?
"שימוש בהיגיון פשוט. חשוב להבין: התקפות סייבר זה לא משהו שקורה רק עם ג'יימס בונד או האקרים עם קפוצ'ון. כל אחת ואחד מאיתנו מקבלים מדי יום לינקים, מתבקשים לשתף פרטים, ומסכימים מדעת או מכוח ההרגל לתת גישה למידע שלנו. הכוח בידיים שלנו - לעצור רגע, לחשוב, ולהתנהג בצורה אחראית עם המידע שלנו, שאולי נדמה לנו כחסר ערך, אבל תמיד יימצא מישהו פלילי או זדוני שירצה לעשות בו שימוש לא ראוי. עדיף להיות פרנואידים מראש, כי זה לא עוזר רטרואקטיבית".
מאחר שצה"ל כנראה לא יגיד לחיילים להפסיק להשתמש בסלולר ובפייסבוק, מה הוא יכול לעשות כדי למנוע מחיילים ליפול בפח?
"צה"ל פתח קו חם בווטסאפ לדיווח על פרופילים חשודים, שזה מהלך עדכני יחסית בשבילו. אפשר גם לעשות תרגילים והדמיות, להשתמש באותן טכניקות של האויב כדי לפתות אנשים לתת פרטים, ואז לחשוף בפניהם את האמת. אחד הדברים שאפקטיביים בזיהוי פרופילים מתחזים, כמו במקרה החמאס, זה 'חוכמת ההמונים'. אם מספר רב של אנשים מרגישים שמשהו קצת לא בסדר באיזה פרופיל, זה עוזר לזהות את המתחזה".
יש קלישאה בעולם הטכנולוגיה שאומרת שהבעיה בדרך כלל נמצאת בין המסך לכיסא המחשב, ואני מניח שזה נכון גם באבטחת סייבר. האם הפעלת כלים שימנעו מאיתנו להזיק לעצמנו יכולה לפתור את זה?
"בארגונים גדולים יש גישה שאומרת שצריך למנוע ממשתמשי הקצה לעשות נזק, למשל על ידי חסימת האפשרות להתקין אפליקציות, ניטור מתמיד של התקשורת או שימוש רחב היקף בווירטואליזציה (יצירת סביבת עבודה וירטואלית נפרדת ומאובטחת על גבי המכשיר). זה יכול להיות מאוד אפקטיבי, אבל גם להכעיס מאוד את העובדים: לא סומכים עליהם, מרגלים אחריהם, לא נותנים להם להשתמש בטלפון הסלולרי האישי שהביאו מהבית.
"מה שמייצר אפקט יותר חזק זה הדגמות חיות, סימולציות שמראות לעובדים כמה מהר ובקלות הם נופלים בפח במייל של פישינג (דיוג, הונאה שמטרתה הוצאת מידע מהגולש, כמו שם משתמש וסיסמה, ע"ק), או בהתקנת משהו זדוני במחשב. יש פרסומות באינטרנט שהן בעצמן וירוסים - זה נקרא Malvertising, והן מופיעות גם בדפי אינטרנט מפורסמים ו'רציניים' כמו יאהו וניו יורק טיימס".
מתקפה פופולרית שתפסה תאוצה בשנה האחרונה היא הכופרה - וירוס שמצפין את תוכן המחשב הנגוע, ומונע גישה אליו. כדי לקבל את מפתח ההצפנה, הכופרה מדריכה את הקורבן לשלם להאקרים, על פי רוב במטבע הקריפטוגרפי ביטקוין, שמאפשר להם לקבל תשלום בלי לחשוף את זהותם. לכופרה הזו כבר התפתחה גם גרסה 'חברתית'. "אנחנו מדברים פה על מעין שיטת פירמידה - הווירוס מצפין את תכולת המחשב שלך, ובמקום לבקש ממך את תשלום הכופר, הוא מודיע שישחרר לך את הקבצים רק אם תשלח לינק שידביק שלושה-חמישה אנשים אחרים באותו הווירוס, והם ישלמו את הכופר".
מה צריך לעשות כדי להתמודד עם זה?
"כמו עם מחלות, הפתרון הכי טוב נגד כופר זו מניעה: לא להתקין ולא להריץ תוכנות לא ידועות, לא לקבל קבצים במייל מאנשים זרים ובמיוחד לא לאשר הרצת מאקרו בתוך מסמכי אופיס, שזו כרגע השיטה הפופולרית (אך לא היחידה) להדבקה. עוד אמצעי למניעה הוא כלי חינמי שפיתח סטארט-אפ ישראלי בשם Cybereason, שיכול למנוע הידבקות.
"אם כבר נדבקתם, כדאי לנסות לשחזר את המחשב מגיבוי: להתקין מחדש את מערכת ההפעלה והקבצים מגיבוי שנעשה בענן או התקן זיכרון. יש גם כמה סוגי כופרה שפיתחו להם פתרונות ספציפיים. בעיניי, לשלם את הכופר צריך להיות המפלט האחרון, ואם עשיתם את זה - בכל זאת כדאי לשקול לדווח למטה הסייבר הלאומי או למשטרה, כדי שיוכלו לפתוח בחקירה או לשלב את הפרטים על הווירוס שהדביק אתכם, כדי למנוע הידבקות של אחרים".
גם החברות הגדולות שמשקיעות רבות באבטחה לא תמיד מצליחות להימלט מהמתקפות עליהן. "ההתקפות האלה עולות לחברות הרבה יותר מהנזק עצמו", מדגישה אלעזרי. "קח, למשל, את סוני וטארגט, שהותקפו. מנכ"לים פוטרו, מניות נפלו, הוגשו תביעות נזיקין מצד עובדים ולקוחות במיליוני דולרים. לכך יש להוסיף את עלות הנזק מכך שמערכות המידע לא עובדות, ואת עלות החברות שנשכרות כדי לחקור את המקרים עצמם".
אף אחד לא שומר עלינו
אלעזרי, 35, הצליחה להעפיל לעמדת כוח מהמשמעותיות בעולם הסייבר. היא יועצת אבטחת סייבר לסטארט-אפים וחברות גלובליות, חברה בצוות החשיבה של אוניברסיטת סינגולריטי ומובילה את הסניף הישראלי של כנס אבטחת הסייבר BSides - לא טריוויאלי למי שפועלת בתחום גברי ברובו. היא התחילה את דרכה כהאקרית בגיל 13, ואפילו לא סיימה את התואר במחשבים (יש לה תואר ראשון בהיסטוריה ופילוסופיה, ותואר שני בלימודי ביטחון מאוניברסיטת תל-אביב), מה שלא מנע ממנה להגיע לתפקיד חוקרת במרכז הסייבר של אוניברסיטת תל-אביב. בשנתיים האחרונות היא מרכזת את מאמצי המחקר שלה בהאקרים הידידותיים.
"אחת המסקנות המפתיעות במחקר שלי היא שלתוכניות לבחינת פרצות במערכת יש ערך גבוה מהצפוי, ולא רק בדולרים. אין ספק שגוגל, למשל, יכולים להעסיק את כוח האדם האיכותי ביותר גם בתחום הסייבר, והם עושים זאת - במשכורות שמתחילות ב-100 אלף דולר לשנה. אבל כשהם מעניקים פרסים של 1.5 מיליון דולר בשנה - פחות מעלות העסקה של עשרה מהנדסים - הם מקבלים דיווחים על מאות, ולפעמים אלפי באגים, כשלעתים קרובות אלו באגים קריטיים, או בעיות שהעובדים בחברה לא מצאו מלכתחילה.
"אבטחה זה מסע מתמשך, לא יעד שהגעת אליו ועכשיו את יכולה לנוח. עם ריבוי הווקטורים, כלומר הכיוונים שבהם יכולים להתקיף אותנו (צ'ט, אפליקציה, דף אינטרנט ראשי, רשת חברתית), זה יהיה נאיבי ומסוכן לצפות ש'מישהו ישמור עלינו', בין אם זו המדינה, צה"ל או חברות הטכנולוגיה. הבעיות הן בכל האקוסיסטם הדיגיטלי שבו אנחנו חיים. פה מגיע התפקיד של ההאקרים הידידותיים, שאלרגיים לבולשיט, שמזהים בעיות ומתריעים עליהן בפני כולם".
את יכולה לשים את האצבע על היום שבו החלו מלחמות הסייבר בין מדינות?
"כשיכתבו את ספרי ההיסטוריה, הנקודה שבה האנושות באמת נכנסה לעידן מלחמות הסייבר תסומן כנראה ביולי 2010, מה שאני קוראת לו 'הקיץ של סטאקסנט'. זה היה הרגע שבו כל העולם נחשף להבנה ש-15 אלף שורות קוד של וירוס מחשבים שינו משהו משמעותי במציאות האסטרטגית הגיאופוליטית העולמית: הן שיבשו את תשתיות העשרת האורניום של איראן.
"הדבר היחידי, כנראה, שעצר את האיראנים מלהגיע אז לכמות אורניום מועשר שמספיקה לנשק גרעיני היה סטאקסנט. זו הייתה נקודה שבה כל העולם, גם האמריקאים, גם האירופאים, ובוודאי הרוסים והסינים, הבינו שסייבר מאפשר להשפיע בצורה אסטרטגית משמעותית. תשווה את זה להתקפה מהאוויר עם מטוס קרב ופצצה חודרת בונקרים, או לחיסול מדענים, אירוע שגם עולה בחיי אדם יקרים וגם עולה הרבה כסף.
"מבחינה כלכלית, יש פה הרבה יותר תועלת יחסית לעלות. המחיר הדיפלומטי הנמוך, העמימות האסטרטגית, הפגנת העוצמה השקטה - כל זה הרבה יותר אפקטיבי, גם במובן של לעכב משמעותית את העשרת האורניום ותוכנית הגרעין, וגם כי קשה מאוד להפנות אצבע מאשימה ולהציג אקדח מעשן. אפילו עכשיו, שש שנים אחרי, כשיש בכירים שהודו, אי אפשר לעשות עם זה שום דבר. לא מדובר בהפרה בוטה של הסוברניות האיראנית בהפגזה מהאוויר של מטוס אמריקאי או ישראלי".
אין אפילו הגדרה של סוברניות סייבר. אין מספיק היסטוריה בשביל לבסס תקדימים.
"יש ניסיונות לייצר נורמות בינלאומיות, ובהם 'מדריך טאלין' שנכתב לפני ארבע שנים. ב-2007 התחוללה מה שאני מכנה 'Web War 1' - מתקפה, כנראה רוסית, על תשתית האינטרנט האסטונית. זה התחיל בגלל שהאסטונים הסירו מונומנט סובייטי של חייל ברונזה בלב טאלין, הרוסים התעצבנו, וזה גרם, לכאורה, למיליציה של מתנדבי סייבר רוסים להפעיל התקפה ששיבשה את האינטרנט ואת הבנקאות הדיגיטלית באסטוניה. בעקבות זה, נאט"ו הקימו שם מרכז סייבר לחקר נורמות לחימה.
"'מדריך טאלין' מתמקד בהתקפות סייבר שגורמות לנזק (כלומר, לא ריגול או פשע דיגיטלי), ודן בשאלה מתי התקפת סייבר הופכת לשימוש בכוח על ידי מדינה או לעימות מזוין בין מדינות, ומתי היא מצדיקה פעילות הגנה עצמית, או אפילו תגובה מצד חברות נאט"ו אחרות. למרות שנאט"ו מקדמים את הפעילות הזו, המסמך לא מייצג עמדה רשמית של אף ממשלה, והוא גם לא מחייב את נאט"ו עצמם.
"רוסיה וסין, אגב, לא השתתפו בכתיבה. אפשר, בעצם, להגיד שהמלחמה הקרה לא נגמרה, היא רק עברה לסייבר. תראה, למשל, כיצד רוסיה השתמשה בהתקפות סייבר בעימותים שלה נגד אסטוניה וגיאורגיה, ובמיוחד בהתקפות נגד תשתיות החשמל באוקראינה".
השנה החולפת סיפקה כמה תמונות סוריאליסטיות ששילבו בין העולם החדש, הווירטואלי, לבין העולם הישן, הפיזי. אחד הרגעים היותר משמעותיים שהציגו את המתח הזה התרחש לפני הבחירות לנשיאות ארה"ב: ה-FBI והמחלקה לביטחון המולדת פרסמו הודעה משותפת שבה האשימו את ממשלת רוסיה בהכוונת הפריצות לאימיילים של הילרי קלינטון, יו"ר הקמפיין שלה ג'ון פודסטה, ו-ועידת המפלגה הדמוקרטית, והדלפתם במטרה לשבש את הבחירות, ולהטותן לטובת דונלד טראמפ. "בתעשיית הסקיוריטי יש קונצנזוס לגבי זה שרוסיה כנראה עומדת מאחורי המתקפות, אבל יש גם קונצנזוס שאין לזה עדויות חד-משמעיות", אומרת אלעזרי.
על פי נתוני מטה הסייבר במשרד ראש הממשלה, ב-2014 ייצאה ישראל פתרונות אבטחת סייבר ב-6 מיליארד דולר, 8% משוק הסייבר העולמי, שעמד באותה שנה על 71.7 מיליון דולר. ב-2016 כבר עמדה ההוצאה העולמית בגין אבטחת סייבר על 80 מיליארד דולר. "בארץ יש יותר מ-200 סטארט-אפים בתחום הסייבר, וחברות כמו צ'קפוינט, אימפרבה וטרסטיר נחשבות כמובילות בשוק. אנחנו מצטיינים בעולם, ולא רק בהגנה - ישראל נחשבת פורצת דרך בתחום הסייבר ההתקפי".
סייבר מרנן
אלעזרי נולדה וגדלה בתל-אביב. היא התחברה לאינטרנט לפני שרוב האנשים ידעו מה זה מודם, והתחילה להעסיק את עצמה באתגרים שהיא אפילו לא ידעה שיש להם שם.
הפכת להאקרית כי לא היו לך חברים?
"אני חושבת שדווקא ההגדרה העצמית שלי כהאקרית עזרה לי למצוא יותר חברים. כילדה הייתי עסוקה עם ספרים וגאדג'טים ומשחקי מחשב, וזה מילא חלק גדול מחיי החברה שלי. לא הייתי מנודה לחלוטין, אבל אני והחברות שלי, התעסקנו הרבה במשחקי מחשב. תראה, הייתי מאוד חנונית בבית הספר, גם מבחינת תחומי העניין שלי וגם מבחינת המעמד שלי בשרשרת המזון החברתית, אבל אני לא חושבת שעשו עליי חרם אי פעם, ואם כן, לא נראה לי שהייתי שמה לב, כי היה לי עולם פנימי מאוד עשיר".
בגיל 14 צפתה בסרט 'האקרז', בכיכובה של אנג'לינה ג'ולי בתפקיד ההאקרית 'אסיד ברן', ומצאה שם גם מודל לחיקוי וגם הגדרה עצמית. כעבור כמה שנים השתתפה בכנס ההאקרים הישראלי הראשון, שהיה לרגע מכונן - לראשונה פגשה אנשים כמוה בחיים האמיתיים. "הייתי לפני גיוס, והאירוע הזה היה חשוב לי לא רק מבחינת ההרצאות הטכנולוגיות, אלא ברמה הקהילתית, להבין שלהיות האקר זה לא דבר עברייני. זה לא קורה רק במרתפים, יש אנשים כאלה שנפגשים, לומדים ועוזרים זה לזה, מבצעים מחקר לטובת העולם הטכנולוגי כולו, ולא רק לטובת המטרות הזדוניות, לכאורה, שלהם".
היום, כשהאקרים הם אנשי מקצוע מבוקשים לא רק בהייטק, אלא בכל תעשייה שיש לה מגע עם טכנולוגיה, זה עשוי להישמע מובן מאליו, אבל בשנת 2000 המילה האקרים עדיין הילכה אימים על רבים. רק מעטים היו ערים להבדל בין קראקר (פרצן) להאקר (פצחן), ובין האקר כובע שחור (האקר 'רע') להאקר כובע לבן (האקר 'טוב'). מבחינת הרוב, האקרים היו שילוב בין עבריינים, טרוריסטים וקוסמים שעוסקים במאגיה שחורה. "להיות מסוגלת ללכת בתל-אביב לאירוע כזה היה לי נורא משמעותי, וגם נתן לי את הדחיפה שהייתי צריכה כמה חודשים לאחר מכן, כשהגעתי לקצין מיון בבקו"ם, וידעתי להגיד לו, 'אני האקרית, אני רוצה לעסוק באבטחת מידע, זה המקצוע שלי'".
כשהיא נזכרת בימיה הראשונים כהאקרית, היא צוחקת בהקלה. "היה לי מזל שלא הואשמתי בפלילים על הדברים שאולי, חלילה, הייתי עלולה באופן תיאורטי, היפותטי לחלוטין, להיות מואשמת בהם".
כי עוד לא היו אז מפלג עבירות מחשב ולה"ב 433?
"פשוט הדברים שעשיתי לא היו כאלה רציניים, ולא גרמו לכזה נזק. היה לי מזל גם שהשירות הצבאי הכניס אותי למסגרת".
הפוטנציאל הנשי
במהלך פגישותינו, אלעזרי נתונה בתזזית לקראת נסיעת עבודה של מספר שבועות לחו"ל. "אני משתדלת להתייחס לזמן שלי כמשאב הכי יקר, ולכן בוחרת רק פרויקטים שמתאימים לעולם הערכים שלי, גם אם זה אומר להגיד 'לא' לפעמים. מאז שיצאתי לדרך עצמאית, לפני חמש שנים, המשרד הוא בכל מקום שבו אני נמצאת, דרך הלפטופ ולפחות שני מכשירים סלולריים. ימי החופש והעבודה שלי לא מתנהלים לפי יומן 'חמש עד תשע' או חגי ישראל, מה שאומר שיש לי את הפריבילגיה לבחור מתי ואיפה אני לוקחת את הזמן לעצמי".
בן זוגה בעשור האחרון, נדב הקסלמן, הוא צלם טלוויזיה וקולנוע שמנהל קריירה בינלאומית מצליחה. "התמיכה שלו והשותפות השוויונית בינינו הן חלק גדול ממה שמאפשר לי להתקדם בעשייה המקצועית שלי. כמעט תמיד הייתי הבחורה היחידה בכנסי האקרים ובלימודי מדעי המחשב. במשך הרבה שנים חשבתי שזה מגניב, שזה נותן לי איזשהו יתרון. עם השנים הבנתי שזה לא בהכרח נכון. התודעה הפמיניסטית שלי התפתחה מתוך מחשבה הומניסטית.
"יש לזה גם צד פרקטי - הרבה חברות מחפשות כל הזמן כוח עבודה בתחום הסקיוריטי. יש מחסור, וכדי לשרוד, תחום הסייבר יצטרך לצאת מהמעגל ולהכניס עוד אנשים לתוך הבויז-קלאב הסגור הזה. מה גם שבקרב הנשים יש כוח עבודה פוטנציאלי אדיר לא מנוצל".
כך תאבטחו את המידע הדיגיטלי שלכם
אימות דו-שלבי. "כדאי להפעיל הזדהות באמצעות סמס בכל השירותים הפופולריים - פייסבוק, גוגל, ג'ימייל, אייקלאוד ודומיהם".
האינטרנט של הדברים. "כשקונים מכשירים חדשים לבית, צריך לבדוק האם המכשיר מגיע עם פיצ'רים של אבטחה, האם צריך לחבר אותו לאינטרנט, ואם כן, למה - להפעיל שיקול דעת".
איפוס סיסמה. "הרבה אנשים מקבלים מוצר - ראוטר, מצלמה, טאבלט או מחשב חדש - ומחברים אותו לרשת עם שם וסיסמה דיפולט (שמגיעים עם המכשיר). חשוב מאוד להחליף את הסיסמאות האלה, במיוחד במכשירים כמו מצלמות וראוטרים".
מניעת צילום לא מורשה. "חשוב לשים מדבקה על העדשה של מצלמת המחשב. במצלמה בטלפון כולנו משתמשים כל הזמן, אבל במצלמה בלפטופ הרבה פחות, ולא בעיה להזיז אותה".
תמונות שמשמידות את עצמן. "אם אתם שולחים תמונות מביכות של עצמכם, נסו לעשות זאת באפליקציות שבהן התמונות מוחקות את עצמן לאחר מכן, למרות שגם בסנאפצ'ט יש דרך להוציא מהזיכרון של המכשיר חלק מהתמונות".
השינוי בתפיסת הכוח
איך השתנתה תפיסת הכוח בעידן החדש?
"אם מקבלים את ההנחה שהעולם עומד להיות יותר ויותר טכנולוגי, מתבקש לשאול מי האדונים. כלומר, בידי מי הכוח להשתמש בטכנולוגיה, כשכולנו צרכנים. ב-2017 אני רואה על מגרש המשחקים העולמי הזה ממשלות, תאגידי טכנולוגיה (רובם המכריע בארה"ב) ואת ההאקרים - בתור אלו שיכולים להחזיר חלק מהכוח והשליטה לידי 'האדם הפשוט'.
"ההאקרים מאתגרים את הממשלות ואת חברות הטכנולוגיה בעצם הדרישה שפרטיות ואבטחה יהיו חלק אינטגרלי ממוצרים, וגם באמצעות העובדה שהם חושפים לא רק מפגעי אבטחה, אלא גם פשע, שחיתות וחוסר שוויון. לדוגמה, השחקנים ההוליוודית שרליז תרון דרשה להשוות את שכרה לשכר של השחקן ששיחק לצידה אחרי שבעקבות הפריצה למחשבי חברת סוני בסוף 2014 התגלו חוזי השכר של האולפנים. וכך, גם ללא קשר למטרת ההאקרים, השתנו כללי המשחק של חוזים בהוליווד.
"בעידן הסייבר פירצות אבטחה אינן עניין של שמירה על סודות תאגידיים או פרטיים, או גניבת כרטיסי אשראי. היום התקפות סייבר הן חלק מהמאבק בנשק גרעיני באיראן וצפון קוריאה, והן משפיעות על בחירות בארה"ב, על מחירי הנפט, וכמובן גם על המדיה.
"אי אפשר להתווכח: הכוח האדיר הזה נמצא בידיים של הרבה מאוד אנשים. ההבדל הוא הבחירות שהם עושים. לכן אני בעד שיותר ויותר ממשלות ותאגידים ישתפו פעולה עם האקרים עצמאיים כדי לאתר את הבעיות באופן פרואקטיבי - ולהאקרים הידידותיים יש פה תפקיד קריטי. ב-2017 יש עשרות אלפי האקרים 'ידידותיים', עצמאיים, שמחויבים למציאת באגים ובעיות אבטחה, ומדווחים על כך לחברות כמו גוגל, פייסבוק, פייפל, סמסונג, יצרניות רכב ועוד. הם חלק מהמערכת החיסונית של העולם בעידן המידע".