ההאקר סמי קמקר: "אין היום שום מערכת שאי אפשר לפרוץ"
"הפורץ הנוצץ" סמי קמקר מספר בראיון ל-ynet על המעבר מהצד התוקף לצד שמסייע לחשוף פרצות אבטחה, נזכר כמה קל היה לו להפיל את MySpace בגיל 19 בלבד ומקפיד להמשיך ולשתף את כל הגילויים שלו באמצעות קוד פתוח. השבוע הוא ריתק את המשתתפים בכנס של מיקרוסופט בת"א
בגיל 19 הוא הפיל את MySpace באמצעות וירוס וכיום - 12 שנים אחרי - הוא הפך לחושף פרצות אבטחה, שמפרסם סרטונים ביוטיוב ובאתר האינטרנט שלו, שבהם הוא מראה כמה קל להתגבר על מערכות אבטחה שונות. קמקר, שהגיע לארץ כדי להשתתף באירוע הסייבר BlueHat Nights של מרכז המחקר ופיתוח של מיקרוסופט בישראל, אמר בראיון ל-ynet כי כיום אין אף מערכת אבטחה שלא ניתן לפרוץ.
קמקר, אחד ההאקרים הכי מפורסמים בעולם, היה האורח המרכזי באירוע של מיקרוסופט, שנערך בתל-אביב ביום שני. קמקר, שזכה לכינוי "הפורץ הנוצץ", שיחזר כיצד הפיל את האתר הפופולרי באמצע העשור שעבר באמצעות Samy Worm.
"אני כנראה הכי ידוע בזכות וירוס שכתבתי כשהייתי בן 19", הוא אמר. "זו הייתה תולעת ל-MySpace. כל מה שעשיתי כשהייתי נער זה היה בשביל הכיף. חשבתי שזה יהיה מצחיק אם מישהו יבקר בפרופיל שלי וירצה להוסיף אותי כחבר - אז הוא למעשה הוסיף אותי כ'גיבור'. אז בעצם זה היה נראה כאילו אני ה'גיבור' שלהם. ורציתי שזה יתפרץ בצורה מהירה יותר, אז העתקתי את הקוד והפצתי אותו לפרופילים של אחרים, ומהר מאוד זה הפך לווירוס גדול, מעל מיליון אנשים הוסיפו אותי כחבר, בסופו של דבר MySpace היו צריכים להוריד את הפלטפורמה מהאוויר כדי להפסיק את הווירוס".
בעקבות אותה פעולה הוא נלקח לחקירה. "השירות החשאי מיד פשט עליי, לקחו לי את המחשב, אסרו עלי לגעת בכלל במחשב במשך שלוש שנים", הוא מספר. "לאחר מכן כשנגמרה תקופת האיסור - חשבתי לעצמי 'אוקיי, אני עדיין רוצה להיות האקר, מה אני יכול לעשות כדי לעזור להפיץ מידע?' קיבלתי עבודה בגיל מאוד מוקדם כי למדתי על תוכנות קוד פתוח, אז איך אני יכול לשתף ולפתוח את הקודים בתוכנות שלי - כדי שאחרים יוכלו ללמוד ולהתפתח בתחום".
קמקר סיפר מה הוא עושה כיום: "אני מבלה הרבה מזמני הפנוי ומהכסף הפרטי שלי כדי להשקיע בדברים שמעניינים אותי באופן אישי, ואני משחרר הכל עם קוד פתוח, כדי שזה יהיה חופשי לשימוש על ידי כולם. מה שקורה זה שאני מספיק בר מזל כדי שחברות ישכרו אותי ויביאו אותי כיועץ ויגידו - 'היי אנחנו אוהבים את הפרויקט הזה שעשית, האם אתה יכול לבנות משהו דומה בשבילנו?' אז אני בר מזל מספיק בשביל לעסוק בדברים שמעניינים אותי באמת ויש הרבה חברות שחושבות שהדברים שאני עושה מעניינים גם, אבל זה משתנה משנה לשנה".
אז מה יותר מעניין - להיות בצד התוקף או המתגונן? קמקר לא מתבלבל ועונה מיד: "באופן אישי אני חושב שיותר מעניין להיות בצד התוקף, כשהתבגרתי לפחות זה מה שעניין אותי. כמובן שאני לא בן אדם זדוני, אז אני לא רוצה לתקוף אנשים אמיתיים או חברות, אבל יש משהו מרגש במתקפה. בגלל שאנשים מעצבים דברים באופן כזה שהם לא יוכלו להיות מותקפים, אז מתקפה בעיניי זה מרגש בגלל שלמרות שהמערכת נבנתה ככה שהתקיפה לא תעבוד עליה - בסוף זה עובד. אם המערכת לא עושה את העבודה שלה - אז היא צריכה עוד עבודה".
קמקר אומר כי אין מערכות שלא ניתן לפרוץ אליהן. "הייתי אומר שכל מערכת יכולה להיות מותקפת בהינתן מספיק זמן ומשאבים", הוא אומר. "אני בטוח שיש מערכות שמוגנות ב-100 אחוז, אבל באופן טיפוסי, ככל שמערכת מספקת יותר שירותים - ככה היא כנראה יותר חשופה למתקפות. בני אדם יוצרים טעויות אז.. אז התשובה היא לא. סביר להניח, אבל שוב, בהינתן מספיק זמן ומשאבים לפריצה".
בשנים האחרונות עבד קמקר בשיתוף עם Wall Street Journal על מחקר בנושא המעקב הבלתי-חוקי אחר משתמשי סמארטפונים באמצעות רכיבי ה-GPS וה-WiFi מה שהוביל לסדרה של תביעות יצוגיות נגדן ולשימוע בגבעת הקפיטול. פיתוח אחר שלו, הנקרא OwnStar, אפשר פרצה לאפליקציית GM, המאפשרת לנהגים לאתר את רכבם, לפתוח אותם ולהניע אותם מה שהביא את החברה לשדרוג השרתים שלה לחסימת התקפות דומות.