ב-1881 פט גארת' המתין בחדר חשוך בפורט סאמנר, ניו-מקסיקו. הוא חיכה שלחדר ייכנס בילי הנער, פושע נמלט עם פרס של 500 דולר על ראשו - לא מעט כסף במונחים של היום. גארת' היה במצוד אחרי בילי חודשים ארוכים, וכשסוף סוף הגיעה שעת הכושר, ירה כדור אחד שפגע מעל לבו והרג אותו. אלה היו המקום והתקופה שבהם אנשים שנמשכו אחר כסף וריגוש צדו פושעים, ממלאים את החלל שמותירות השורות הדלילות של רשויות החוק.
ציידי הראשים לא נעלמו מהעולם, אבל רובם כבר לא הורגים אף אחד, והם לא אוהבים שקוראים להם ככה בגלל המטען ההיסטורי. אבל כיום, כשמדברים על Bounty, מצוד תמורת פרס, מתכוונים יותר ויותר לגרסה הטכנולוגית של התחום הזה. יותר ויותר האקרים גילו שהדרך להתפרנס מהתחביב הלא-תמיד-חוקי היא לאתר פרצות אבטחה מסוכנות תמורת כסף, ויותר חברות גילו שתשלום כזה יכול לחסוך להם עוגמת נפש אדירה.
תופעת ציידי הבאגים לא חדשה, היא קיימת מיומה הראשון של הרשת. ענקיות טכנולוגיה כמו גוגל, פייסבוק ומיקרוסופט משלמות כבר שנים להאקרים שמזהים פרצות במוצריהן - אלפי דולרים אם לא מדובר בבעיה חמורה במיוחד, עשרות ואפילו מאות אלפי דולרים אם כן. בשנה שעברה הצטרפה אליהן גם אפל, שהבינה שתרחיש האימים של מתקפת סייבר גובר על אובססיית החשאיות של החברה.
ואולם, בשנתיים האחרונות מבינים גם בשאר התעשיות את מה שבהייטק כבר הבינו מזמן - שעדיף לשתף פעולה עם ההאקרים ה"טובים" מאשר לסבול מנחת זרועם של ההאקרים ה"רעים". לפי נתוני חברת HackerOne, 41% מתוכניות ציד הבאגים שהושקו בין אפריל 2016 למרץ 2017 היו מטעם חברות שאינן טכנולוגיות, בתחומים כמו בריאות, חינוך, ובמיוחד גיימינג ומסחר מקוון, שבהם מספר התוכניות כמעט הוכפל בשנה. לפני שנתיים רק 22% מהתוכניות הופעלו מטעם חברות כאלה.
החברות האחרות עדיין לא מתחרות בסכומים שמציעות חברות הייטק, שמוכנות לשלם בממוצע 30 אלף דולר על גילוי פרצה קריטית. ואולם, חלקן כבר לא רחוקות מכך: בתחומים כמו בידור, מסחר מקוון וגיימינג סכום הפרס הממוצע עומד על 20 אלף דולר. דווקא בפיננסים הסכום נמוך הרבה יותר, שלא לדבר על בריאות או חינוך.
הפרס הממוצע הגבוה ביותר על גילוי פרצה כלשהי, לא בהכרח קריטית, מגיע בכלל מתחום הרכב (4,491 דולר), כמעט פי שניים ביחס לפרס הממוצע שמעניקות חברות הייטק. הבהלה התאגידית, התלות הגוברת בטכנולוגיה והעלויות האפשריות של הפרצות הפכו את ציד הבאגים לשיטה הרבה יותר מקובלת להתגונן.
הפושע המבוקש הפך לצייד מבוקש
ההיסטוריה של מערכת היחסים בין האקרים לארגונים היא של חשד ואי-אמון הדדי, בצדק מבחינת שני הצדדים. השותפות שפורחת כיום ביניהן לא נובעת מאהבה גדולה, אלא משיתוף אינטרסים: בעולם העסקי תוכניות ציד באגים נחשבות כיום לפרקטיקה מומלצת לתוצאות אפקטיביות, מה שמכונה Best Practice.
המגמה הזאת מאפשרת את עליית ציד הבאגים כענף עיסוק חדש: אם פעם האקרים היו פורצים למחשבים רק בשביל האתגר, ההנאה או הכוונה הרעה, ובהמשך הם הצליחו לעשות מזה פה ושם גם כסף, היום הם יכולים להפוך זאת למקצוע מן המניין. 17% מבין ההאקרים שלוקחים חלק בתוכניות ציד באגים עושים זאת בהיקף של עבודה במשרה מלאה (כלומר 40 שעות ומעלה בשבוע). 6% ממחפשי הפרצות המקצועיים מקבלים על עבודתם מאות אלפי דולרים בשנה, ובממוצע התגמול עומד על 20 אלף דולר בשנה.
קחו לדוגמה את טומי דבוס (DeVoss). רק לפני עשור דפקו בעוצמה על דלת ביתו סוכני FBI, אחרי שהוא פרץ למערכותיהן של כמה חברות גדולות, ובהן יאהו. דבוס, שבילה שלוש תקופות מאסר במתקני הכליאה של ארצות הברית בתחילת שנות האלפיים, הפך מאז לצייד באגים במשרה מלאה. לא ברור אם הוא טרח לעדכן בהיסטוריה הפלילית שלו את החברות ששילמו לו, בהן גם יאהו עצמה, אך ספק אם זה מה שהיה מונע מהן להיעזר בשירותיו. אחרי הכל, אם רוצים לדעת איך לפרוץ כספת, עדיף לקרוא לגנב מאשר לשוטר.
אותה יאהו הדגימה בחודש שעבר עד כמה סיכוני אבטחה יכולים לגרום נזק לארגון. היא נאלצה להודיע בבושת פנים שהחשבונות של משתמשיה, כל 3 המיליארדים שנרשמו לאורך השנים, נפרצו בשנת 2013. מאז ועד היום הגישו נגד החברה, שגם כך רחוקה מימי הזוהר שלה, 41 בקשות לתביעות ייצוגיות בגין הפגיעה במשתמשים ובמשקיעים.
השערוריה האחרונה בתחום מגיעה מבית אובר: החודש התברר כי היא בחרה להשתיק גניבת פרטים של 57 מיליון משתמשים באפליקציית שיתוף הנסיעות בכך ששילמה כופר של 100 אלף דולר לפורץ. זה אולי כסף קטן עבור הסטארט-אפ הפרטי הגדול בעולם, אך משהדבר התגלה, כלל לא ניתן לכמת את ההשלכות המשפטיות והתדמיתיות. את הכלכליות אפשר להתחיל: סופטבנק היפנית, שהתעניינה זמן רב בהשקעה באובר, הציעה לחברה הסכם רכישת מניות במחיר הנמוך ב-30% משוויה. ואלו רק שתי דוגמאות לבעיה שעולה למשק האמריקני סכומים אסטרונומיים מדי שנה.
כשכל כך הרבה כסף מתגלגל בתחום, ברור שיהיו מי שינסו למסד אותו, ולאחד את ההאקרים העצמאיים לגוף שקל יותר לעבוד מולו. חברת HackerOne, למשל, מנהלת תוכניות ציד באגים עבור לקוחות כמו גוגל, סטארבקס, מחלקת ההגנה של ארה"ב, לופטנזה ונינטנדו. בשנה האחרונה חולקו דרכה 22 מיליון דולר להאקרים שאיתרו 57 אלף פרצות שונות. "זה כבר לא רעיון חדשני ששמור לחברות הטכנולוגיה", אומר ל"גלובס" מישל פרינס, מנכ"ל ומייסד-שותף של HackerOne. "ציד הבאגים חדר לכל התעשיות".
HackerOne הוא אחד הסטארט-אפים הגדולים ביותר בתחום הזה. יש לו כאלף לקוחות, והוא מפעיל 140 אלף האקרים ב-70 מדינות ברחבי העולם. "אם לקוח מבקש, אנחנו יכולים להציע לו מאגר האקרים שעבר הערכה וסינון מקדימים על ידינו", מציין פרינס. "הפלטפורמה בנויהכך שאין תמריץ לעבריינים לפעול בה".
מדובר בתופעה כלכלית, אבל גם תדמיתית. היום האקרים נושאים בגאווה את תג המשרה המלאה של צייד באגים, מדווחים על היקפי הפרסים שהם צוברים, ואפילו מכתירים "שחקנים מצטיינים". לפי HackerOne, מרביתם (יותר מ-80%) הם צעירים בני 18 עד 34, שרבים מהם מנתבים את הפרסים לתשלום שכר לימוד.
בואו לצד האפל, יש לנו כסף
על פניו, תוכניות ציד הבאגים משתלמות לכולם: ההאקרים לא רק מתפרנסים, אלא גם נשארים עצמאיים, ולא כובלים את עצמם לעבודה קבועה כשכירים בחברות הייטק. מבחינת החברות מדובר על מיקור חוץ זול פר אקסלנס. הרי למה לחברה להרחיב את מחלקת ביטחון המידע שלה, אם היא יכולה להשתמש במאגר בלתי נדלה של מוחות, לקרוא להאקרים רק כשבאמת יש צורך, ולשלם להם רק אלפי דולרים בממוצע לכל פרצה?
אלא שמבחינת חלק מההאקרים, ההתנהלות של החברות הגדולות היא חרפה. חלק מהחברות שמשיקות תוכניות ציד באגים רושמות רווחים של מיליארדי דולרים ברבעון, מה שגורם לסכומים שהן משלמות לפורצים להיראות נמוכים עד גיחוך. התוכנית של אפל, למשל, ספגה לא מעט ביקורת על הסכומים הנמוכים יחסית שהיא מציעה. אמנם גילוי חלק מהפרצות יכול לזכות את המוצא הישר ב-200 אלף דולר, אבל ברבעון האחרון אפל הרווחה יותר מ-10 מיליארד דולר.
תחושת העלבון הזו הצמיחה תעשייה אפורה-מתחרה, שבה סוחרים האקרים בפרצות שגילו כדי לקבל הרבה יותר כסף. בחלק מהמקרים מדובר בשיתוף פעולה עם ארגוני פשיעה של ממש, או עם מפעילי תוכנות שדורשות כופר מהמשתמשים: מתקפת הכופר Wannacry, שהחלה במאי האחרון ופגעה ביותר מ-200 אלף מחשבים ברחבי העולם, התבססה בין היתר על רכישת פרצות.
ואולם, גם בתחום החוקי יש מי שמוכנים לשלם הרבה יותר מהחברות הנפגעות עצמן. זירודיום (Zerodium), למשל, מבקשת מהאקרים למכור לה פרצות למערכות הנחשבות קשות במיוחד לפיצוח: האקר שיגלה פרצה משמעותית ב-iOS של אפל, למשל, עשוי להתעשר ב-1.5 מיליון דולר, ומי שיצליח לפצח את תוכנת התקשורת המוצפנת Tor יקבל מיליון. את המידע יכולה למכור זירודיום, בסכומים גבוהים אפילו יותר, לממשלות ולארגוני ביון.
אלא שחברות שלא משלמות מספיק היא עוד בעיה קטנה יחסית לחברות שלא משלמות בכלל. לפי HackerOne, למרות העלייה במספר הגופים שמפעילים תוכניות ציד באגים, רק 6% מהחברות הציבוריות עושות זאת. בין אם מדובר בחוסר מודעות או חוסר רצון לשתף פעולה עם האקרים, רבות מהחברות האלה מעמידות את עצמן בסכנה, שרק תלך ותגבר בשנים הקרובות. אובר ויאהו כבר קיבלו את קריאת ההשכמה שלהן, השאלה מתי יגיע תור השאר.
הייטק-האקרים
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.