כנראה שכל מי שהשתמש אי פעם בתוכנה של מיקרוסופט, שבאופן מעשי מדובר במרבית העולם, מכיר את ההודעה הזאת. אחרי שנופלת אחת מהתוכנות של ענקית הטכנולוגיה, למשל אופיס או ווינדוס, שואלת אותך המערכת האם תסכים לשלוח דוח על הקריסה חזרה לחברה. הדוחות הללו סייעו במשך שנים למיקרוסופט לתקן אלפי באגים בתוכנות, אבל רק ב־2007 הבינו בחברה כי למיליארד דוחות שמתקבלים מדי חודש יש גם ערך רב בתחום האבטחה. הראשון לזהות את העניין היה ג'ון למברט.
● אילון מאסק בניסיון נוסף לבטל את עסקת טוויטר
● חוזר להייטק? חיזורי המשקיעים אחרי בנט עשויים לסמן את הכיוון הבא שלו
הכל התחיל כשלקוח דיווח על מתקפת סייבר. לאחר שבמיקרוסופט חקרו את הנושא, הם גילו כי מדובר במתקפת אפס ימים (Zero-day), המתקפה המתוחכמת מכל. כזו שמנצלת פגם לא מוכר בתוכנה כדי לחדור פנימה.
אובססיה לניתוחים של דוחות קריסה
באותה עת למברט, מומחה אבטחה, ומהנדסים נוספים במיקרוסופט החלו לזהות דפוס של קריסות במחשבים נוספים. כל הקריסות היו קשורות לניסיונות תקיפה מאותו הסוג, ולמברט הבין כי מסתתר כאן משהו שיוכל לסייע לגלות מתקפות סייבר בשלב מוקדם. בחודשים הבאים הוא הפך אובססיבי לניתוח דוחות קריסה.
"העניין עם מתקפות אפס ימים הוא שהתוקפים לא יכולים לנסות אותן לפני השימוש, והן לא תמיד עובדות", מסביר למברט בראיון לגלובס. "יכול להיות שהחולשה הייתה בגרסה בצרפתית של ווינדוס והתוקף ניסה לתקוף את הגרסה האנגלית, או שהם ציפו שמשתמש יפתח מסמך בגרסת 32 ביט של אופיס ובפועל הוא השתמש בגרסת 64 ביט. דברים אלו גורמים לפעמים לקריסה של מערכת ההפעלה, ודרך הקריסות הללו אפשר לזהות תקיפות מוסוות".
האובססיה של למברט לניתוח דוחות קריסה תשתלם שנה מאוחר יותר, ב־2008, כשהוא יחשוף בעזרתם את אחת החולשות החמורות ביותר אי פעם בווינדוס. ניצול החולשה שחשף למברט, אפשר להאקרים לראות את כל הקבצים שיש למשתמש על המחשב, לצלם את המסך שלו ובעצם לעשות כל מה שהם רוצים בכל מחשב שמריץ ווינדוס. החולשה הייתה כל כך חמורה שבמיקרוסופט החליטו לחרוג מהנוהג הקבוע להוציא עדכון אבטחה ביום שלישי פעם בשבועיים, ופרסמו באופן מיידי תיקון דחוף בשם MS08-067. בתוך שבוע, כ־400 מיליון בעלי מחשבים בעולם כבר התקינו אותו.
הסיפור יכול היה להיחשב להצלחה גדולה של מיקרוסופט ולמברט, שהפך לסוג של אגדת סייבר בחברה, אבל הסוף שלו לא היה טוב. בדצמבר אותה שנה, חודשיים אחרי פרסום העדכון, תקף וירוס מחשב חדש בשם "קונפיקר" מיליוני מחשבים שלא התקינו את התיקון בזמן. דרך ניצול החולשה הוחדר הווירוס, בין השאר, למחשבים של הצבא הגרמני, הצי הבריטי, מערכת המשפט ביוסטון, ובית חולים בשפילד, אנגליה. עד היום הווירוס נחשב לאחד הקטלניים ביותר.
למברט, כיום מנהל חקר אבטחה ומודיעין איומי סייבר במיקרוסופט העולמית, הגיע לתחום כמעט מחוסר ברירה. "אחרי הלימודים באוניברסיטה, עבדתי ב־IBM. בתור מישהו שהיה חדש שם, כשהוחלט על איזה תחום כל אחד יעבוד לקראת השחרור של הגרסה הבאה של התוכנה, לי נתנו לבחור אחרון. התחום שאף אחד לא רצה היה אבטחה. זה לא היה פיצ'ר, זה היה משהו שהיינו מוכרחים לעשות במוצר, אבל אני התאהבתי בתחום", הוא צוחק.
אחרי שלוש שנים ב־IBM, הוא עבר למיקרוסופט בשנת 2000 - ומאז הוא שם. כיום, מיקרוסופט היא מעצמת סייבר שמעסיקה 8,500 עובדי אבטחה ב־77 מדינות, כולל פעילות גדולה בישראל שאותה מובילה מיכל ברוורמן־בלומנשטיק, מנכ"לית מיקרוסופט ישראל מחקר ופיתוח וגם סמנכ"לית הטכנולוגיה של חטיבת האבטחה העולמית בחברה. למברט עצמו מנהל מאות אנשי אבטחה, חלקם במרכזים של מיקרוסופט בישראל.
אבל בימים הראשונים של למברט בחברה, המצב היה שונה. באותה עת זכתה מיקרוסופט לתדמית בעייתית בכל הנוגע לאבטחה, כאשר שורה של תולעי מחשב (תוכנות הנושאות קוד זדוני) חדרו את ההגנות של ווינדוס - והביכו את ענקית הטכנולוגיה. "בכל כנסי האבטחה היו בדיחות על חשבונה של מיקרוסופט", מודה למברט.
למברט ואחרים הבינו שמשהו חייב להשתנות, והם העבירו את המסר למעלה. הכי למעלה שאפשר, למייסד ביל גייטס. "הייתי בפגישה שבה הסברנו לביל גייטס שאבטחה זה דבר עצום, ואנחנו צריכים שכל החברה תעסוק בו. לא רק צוותים ספציפיים. אמרנו לו 'ביל, אתה צריך לכתוב על זה מזכר כמו שעשית עם האינטרנט בשנות התשעים'", נזכר למברט.
גייטס הבין את הצורך בשינוי סדרי העדיפויות
גייטס אכן שלח בינואר 2002 מייל לכל עובדי מיקרוסופט תחת הכותרת "מחשוב מהיימן" (Trustworthy Computing). במייל שהפך לאייקוני, גייטס קרא לתעדף אבטחה על פני הוספת תכונות (פיצ'רים) חדשות לתוכנה. זאת הייתה תפיסה מהפכנית. "בסופו של דבר", כתב גייטס אז. "התוכנה צריכה להיות בטוחה בעיקרה כך שלקוחות לא יצטרכו לדאוג מכך".
בעקבות המייל הוקמה בתוך מיקרוסופט קבוצת "מחשוב מהימן", שלמברט עבד בה במשך עשור. מטרת הקבוצה הייתה "להקשיח" את המוצרים של החברה על ידי זיהוי וטיפול בחולשות אבטחה. "אחד התפקידים שלנו היה לבצע בדיקת אבטחה סופית לפני ששולחים את המוצר", מספר למברט. "זה היה תהליך חדש במיקרוסופט, ובחברה לא היו רגילים שצוות חיצוני יבוא ויקבע האם אפשר לשלוח החוצה או לא את המוצר. בפעם הראשונה שעשיתי את התהליך, המנהלים החליטו שהם שולחים את המוצר ביום שישי אפילו שהם נכשלו בבדיקה הסופית. עליתי עם זה עד לגייטס והוא הורה להם להחזיר את המוצר. אחר כך כולם בשרשרת ההנהלה הבינו שיש פה משהו אמיתי ויישרו קו".
ב־2014 קיבל למברט משימה חדשה ממיקרוסופט. הוא נבחר להקים ולנהל את מרכז מודיעין איומי הסייבר של החברה (או בקיצור MSTIC), תפקיד בו כיהן עד ליוני האחרון, אז קודם למשרתו הנוכחית שהוסיפה לו תחומי אחריות נוספים. הצוות למודיעין איומי סייבר נולד לאחר שחברות עברו מניהול שרתים עצמאי שלהן - לשרתים בענן הציבורי, שחברות כמו מיקרוסופט ואמזון הפעילו.
במיקרוסופט גילו כי המעבר הזה מסבך את החיים מבחינת אבטחה. "כאשר הלקוחות עברו לענן, הם הביאו איתם את האויבים שלהם שניסו לתקוף אותם שם", אומר למברט. "ופתאום, נדרשנו להתמודד עם מגוון עצום של תוקפים מכל מיני תחומים וגיאוגרפיות. לכן נזקקנו לקבוצה שתתמקד באותם אויבים, תנסה לנטר אותם ולהפריע להם עוד לפני שהם תקפו".
במרכז מודיעין הסייבר, שהוגדר בעבר בתור סוג של יחידת עילית במיקרוסופט, עוקבים אחרי תוקפים מכל העולם. אלו יכולות להיות כנופיות האקרים מרוסיה שרוצות לבצע מתקפות כופרה עבור בצע כסף, או האקרים המזדהים עם השלטון האיראני ומנסים לפגוע במטרות כלכליות אסטרטגיות. הם, בין השאר, מודיעים ללקוחות שהם עלו על הכוונת של האקרים.
"אנחנו רוצים לדעת מה הפוקוס של היריב, איזה סקטורים הוא תוקף ואיזה סוגי ארגונים. מידע קריטי כדי לדעת להתגונן", למברט מסביר. "אחרי שהבנו את הכלים והטקטיקות, באיזה נוזקה הם משתמשים והאם הם פועלים כדי להרוס, לגנוב מידע או לרגל, אנחנו מקצים לה שם מטבלת היסודות כמו כספית או פולוניום".
מתקפה איראנית על ישראל וארה"ב
באוקטובר אשתקד דיווח מרכז מודיעין הסייבר של מיקרוסופט על האקרים המקושרים לאיראן שניסו לתקוף 250 לקוחות של אופיס 365, עם מיקוד על חברות לפיתוח ציוד הגנה בישראל ובארה"ב, נמלים במפרץ הפרסי וחברות תובלה במזרח התיכון. התוקפים השתמשו בשיטה של "ריסוס סיסמאות", ניסיון לחדור למספר רב של חשבונות בבת אחת דרך שימוש בסיסמאות מקובלות. "בפחות מ־20 מקרים זה הצליח", פרסמה מיקרוסופט.
כשאתה מסתכל על פעילות של האקרים המזוהים עם איראן, האם היית מגדיר אותם כמתוחכמים?
"הרבה ממה שאנחנו רואים זה תחכום טקטי או מבצעי. הם לא משתמשים במתקפות אפס ימים חדשות שמחברות חמש חולשות יחד, אבל רואים שהם מנסים להפעיל הרבה שרירים ולפעול במהירות. להיכנס לרשת לפני שהמגן יבין מה קרה ואיך להגיב על זה".
אולם עם כל הכבוד לאיראן, האירוע הגדול והעוצמתי ביותר של השנה מבחינת סייבר היה ללא ספק המלחמה בין רוסיה לאוקראינה. דוח שפרסמה מיקרוסופט באפריל, חודשיים אחרי הפלישה הרוסית לאוקראינה, תיאר לפחות שישה שחקני מדינה המקושרים לרוסיה שביצעו יותר מ־237 מבצעי סייבר נגד אוקראינה לצורך הרס ואיסוף מודיעין. התקיפות הללו השלימו לא פעם את המתרחש בלחימה הקונבנציונלית, במה שבמיקרוסופט הגדירו "מלחמה היברידית".
כך, למשל, ב־1 במרץ, במקביל לשיגור הטיל לעבר מגדל הטלוויזיה בקייב, שחקן רוסי פתח במתקפת סייבר נגד גוף תקשורת אחר - חברת שידורים אוקראינית גדולה. בזמן שכוחות רוסים כיתרו את העיר מריופול, אוקראינים רבים קיבלו אימייל משחקן רוסי המתחזה לתושב העיר ומאשים לכאורה את הממשלה האוקראינית בכך שזנחה את אזרחיה.
"בתחילת ינואר, לפני פרוץ המלחמה, ראינו גל של התקפות שנועדו ליצור הפחדה דרך השחתה של אתרים, או הדלפות של ג'יגה־בייטים של מידע לגבי אזרחים. אחרי פרוץ המלחמה, השימוש הרוסי בסייבר הפך ליותר טקטי, כמו תקיפה של מצלמות אבטחה בשטח שיתנו לתוקפים נראות על מה קורה ברחוב", מסביר למברט.
"הסייבר לא נועל נעלי צבא, ולא תופס שטח"
בכל זאת, מי שציפה כי סייבר יהיה מרכיב חשוב בניצחון רוסי באוקראינה התבדה. רוסיה לא ניצחה באותה הקלות שחשבה, והסייבר היה פחות דומיננטי בקרבות משהעריכו תחילה. "סייבר לא נועל נעלי צבא. זה מרכיב שיכול לתת יתרון בסיטואציה נכונה אבל הוא לא יתפוס שטח", אומר למברט.
ואולי בעצם הפרזנו ביכולות הסייבר של רוסיה, והן פחות חזקות ממה שחשבו?
"הייתה הרבה עזרה וסיוע שמיקרוסופט ומגנים אחרים סיפקו לאוקראינה. החל משלב מוקדם סיפקנו לאוקראינה התראות על איומים. בהתחלה, תהינו איך נוכל ליצור קשר באמצע המלחמה עם ארגון תקשורת באוקראינה או ארגון שעוסק במשאבי טבע. חשבנו שהסיכוי שנגיע אליהם הוא אולי 10%, אבל בפועל ב־90% מהפעמים הצלחנו ליצור איתם קשר, נתנו להם את המידע ישירות וראינו איך לוקחים את המידע והודפים בעזרתו את התוקפים מחוץ לרשת שלהם. זה קרה מדי יום.
"הרבה מהקבוצות הרוסיות לא השתמשו במתקפות אפס ימים כדי לחדור לרשתות, אלא השתמשו בחולשות שלא הותקנו עדכונים עבורם. אנחנו השתמשנו בטכנולוגיה של חברה בשם RiskIQ שרכשנו (רכישה בהיקף חצי מיליארד דולר מ־2021; א"ד) כדי לסרוק את הרשת של הממשלה האוקראינית מבחוץ, ולראות איזה חולשות התוקפים רואים. הממשלה הלכה אז וסגרה את החורים. גם אם התוקפים מתוחכמים, יש להם עדיין מגבלות".
ג'ון למברט
אישי: גדל בלואיזיאנה, וסיים ב־1997 תואר ראשון במדעי המחשב באוניברסיטת טוליין בניו אורלינס
מקצועי: בתום שלוש שנים ב־IBM, עבר למיקרוסופט בשנת 2000. עבד כעשור בצוות "מחשוב מהימן" שנועד לשפר את האבטחה במוצרים, וב־2014 הקים את מרכז מודיעין איומי הסייבר. כיום, מנהל חקר אבטחה ומודיעין איומי סייבר
עוד משהו: חובב טיולי שטח, וצייצן פעיל בטוויטר עם 44.5 אלף עוקבים
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.