חשיפת אירוע האבטחה החמור באפליקציית התשלומים הפופולרית פייבוקס שבבעלות בנק דיסקונט, יצרה בהלה, אבל גם כמה יתרונות בטווח הארוך: תזכורת לעובדה שאין שירות או מוצר דיגיטלי שהוא מאובטח ב־100 אחוז, וזה כולל גם אפליקציות בעלות רגישות גבוהה; דיון על האופן שבו חברות מדווחות על אירועי אבטחה מהסוג הזה ועל דרכי הטיפול בהם; וגם אור חדש שנשפך על ההאקרים מסוג "כובע לבן" ועל החשיבות ההולכת וגוברת של הפונקציה שהם ממלאים, לטובת כולנו.
כתבות נוספות למנויי +ynet:
ימים ספורים לאחר הדיווח על שרת חדש, שהתקנתו הובילה לחשיפת מאגר מידע של משתמשי פייבוקס - כולל שמות, ארבע ספרות אחרונות של כרטיס האשראי והעברות תשלום שביצעו המשתמשים - נחשף כי מי שעומד מאחורי גילוי המאגר והצגתו בפני החברה, הוא האקר אוקראיני בשם בוב דיאצ'נקו, העוסק באיתור מאגרי מידע חשופים לרשת ובדיווח עליהם. דיאצ'נקו הוא מה שנקרא "כובע לבן" - האקר אתי, שרותם את כישורי הפצחנות שלו לטובה: איתור וזיהוי של חולשות אבטחה או מאגרי מידע חשופים במרחב המקוון, אסגרה (מאנגלית: Disclosure, דיווח על חולשת אבטחה) שלהם לחברות ולארגונים, וסיוע בנטרול של הפִּרצות - כך שלא יוכלו להיות מנוצלות לרעה, שלא ייפלו לידיים הלא־נכונות.
דיאצ'נקו עצמו הוא דמות מוכרת בתחום: מלבד אסגרת המאגר החשוף של פייבוקס, הוא אחראי על שורה של אסגרות ודיווחים חשובים: למשל, חשיפת פרטיהם של יותר מ־260 מיליון משתמשי פייסבוק ואינסטגרם; חשיפת בסיס נתונים פנימי של 250 מיליון לקוחות מיקרוסופט; וגם מאגר מידע עם פרטי 7.5 מיליון משתמשי תוכנת "פלאש" של הענקית אדובי - כל אלה רק בחודשים האחרונים. פוטנציאל הפגיעה מפריצת מאגרי מידע מהסוג הזה הוא רחב: החל מהנזק התדמיתי הנגרם לחברה ועד לחשיפת המשתמשים למתקפות פישינג, להונאות רשת ולפגיעה פיננסית ואישית ממשית.
הוא כמובן לא לבד: קהילת ה"כובעים הלבנים" היא גדולה ומגוונת למדי - והדבר היחיד שאפשר להגיד לגבי החברים בה בוודאות, הוא שהם לא עוטים קפוצ'ונים ולא רוכנים על מקלדות זוהרות בחדרים חשוכים. חלקם חוקרים בחברות אבטחה גלובליות, חלקם פרילנסרים שמחפשים את הרווח הבא, חלקם מפתחים מנוסים, שמתייחסים לאיתור חולשות אבטחה כתחביב. בצד השני של המתרס נמצאים ה"כובעים השחורים" - פצחנים שמנצלים את הידע והיכולות הטכניות שלהם לפגיעות שונות, ומוכרים ב"רשת האפלה" ידע על חולשות אבטחה ומאגרי מידע לכל המרבה במחיר. הגבול בין שחור ללבן, כך מתברר, לא תמיד מובהק - ויש גם מי שעשו מעברים מפה לשם, בשני הכיוונים.
הדוגמה הבולטת לגבול השברירי הזה היא מרקוס האצ'ינס - חוקר אבטחה בריטי צעיר, שזכה לפרסום עולמי כגיבור מתקפת הכופרה הגדולה בעולם - WannaCry, שהדביקה במהירות מאות אלפי מחשבים בכ־150 מדינות בעולם, וגרמה לנזקים כבדים ואף לפגיעה בתשתיות קריטיות ובבתי חולים. האצ'ינס היה האיש שהצליח לאתר ולמנוע את המשך התפשטות הכופרה, אלא שחודשים ספורים לאחר מכן הוא נעצר, הואשם - ואף הודה (במסגרת הסכם טיעון) במעורבות בפיתוח סוס טרויאני שפעל במערכות פיננסיות בזמן שהיה קטין. בגלל היותו גיבור מתקפה עולמית, מעצרו ומשפטו של האצ'ינס עוררו מחלוקת ציבורית, ובסופו של דבר הוחלט לגזור עליו מאסר על תנאי בלבד. הוא עצמו הביע חרטה עמוקה על מעשיו, והבטיח להשתמש "באותם כישורים שנוצלו לרעה - למטרות חיוביות, ולהגנה על אנשים מפני מתקפות סייבר זדוניות".
"תהליך העבודה של חוקר אבטחה לא שונה בהרבה מדרך הפעולה של מי שיושבים מהעבר השני של הגדר", אומר יניב בלמס, מנהל מחלקת מחקר סייבר בחברת צ'ק פוינט הישראלית. "מה שעושה את ההבדל הוא רק לאן 'לוקחים' את זה בסוף. אם למשל היינו מוצאים עכשיו חולשת אבטחה במכשיר אייפון, די בקלות היינו יכולים ללכת ולמכור אותה, ולקבל עבורה הרבה מאוד כסף. המטרה שלנו היא שונה בתכלית: אנחנו מחפשים ומוצאים חולשות כדי לסייע בתיקון שלהן.
"החוקרים שלנו יכולים להרוויח הרבה יותר כסף מהצד השני. בסופו של דבר, יש פה אנשים עם יכולות והם צריכים להחליט באיזה צד הם נמצאים".
בלמס מצביע על השינויים בתחום בעשורים האחרונים: "בשנות ה־90, דיווח על חולשת אבטחה היה מעמיד דווקא את החוקר החושף על הכוונת. חברות וארגונים ראו בזה פגיעה במוצרים ובשירותים שלהם. לאט־לאט הדברים השתנו, הקהילה גדלה, ונוצרו סטנדרטים ותהליכים לאסגרה אחראית ונכונה. היום מבינים את הצורך הזה: הסיבוכיות בעולם אבטחת המידע היא כל כך גדולה - שתמיד יישארו חורים".
לתוך הוואקום הזה נכנסים ה"כובעים הלבנים", חוקרי אבטחת מידע - בין מטעם עצמם ובין כאלה שמועסקים בחברות מבוססות - ועם הזמן, גם הציבור למד להתייחס אליהם אחרת. "לפני 20 שנה היינו נחשבים קצת פריקים, מוזרים כאלה", אומר בלמס, "היום אנחנו מדברים איתך, עיתונאית, בטלפון. זה אומר משהו".
במהלך שנת 2019 דווחו למערך הסייבר הלאומי יותר מ־3,200 אירועי אבטחה, רובם המוחלט של הדיווחים הגיע מטעמם של "כובעים לבנים". "באופן כללי, התופעה הזאת היא חיובית, ואנחנו רוצים לדחוף אותה עוד קדימה", אומר לביא שטוקהמר, מנהל המרכז הארצי לניהול אירועי סייבר במערך. "זה רובד נוסף של הגנה, וזה תחום שנמצא בצמיחה מטורפת. אנשים מבינים שככל שיש יותר ויותר עיניים שמסתכלות כל הזמן על המרחב האינטרנטי ומחפשות את החורים - זה יותר טוב לאבטחה. מצד שני, מוכרחים להיות ערים גם לאי־דיוקים, ולפעולות שיכולות בסופו של דבר לסכן את הניסיון לגילוי הפִּרצה".
מהו הפרופיל המקובל של האנשים שמעבירים לכם דיווחים?
"זה מגוון. מדובר בעיקר על פרילנסרים, שמגיעים ממגוון רחב של מעמדות. זה יכול להיות ילד בן 16, וזה יכול להיות חוקר אבטחה בפנסיה, שעבד בכמה מהחברות הכי גדולות בעולם וזה ההובי שלו. היה לנו גם בחור שדיווח לנו בצורה מאוד משמעותית על כמה חולשות, ובסופו של דבר פשוט גייסנו אותו. היום הוא אחד החוקרים המובילים אצלנו".
לדברי שטוקהמר, היום, תהליכי דיווח ואסגרה של חולשת אבטחה נכנסו כבר לנוהל מקובל בכל ארגון או חברה שמכבדת את עצמה. "זה נועד כדי לתת מסגרת עבודה משפטית, רגולטורית ושקופה, שבה הארגון יכול לקבל דיווחים על חולשות אבטחה. זה קורה אצל כולם - מפייסבוק ועד מוסדות פיננסיים, וזה מתחיל מפונקציה באתר החברה, שאליה אפשר לפנות עם דיווח. החברה מודיעה, 'אנחנו מוכנים לקבל דיווחים על נושאים כאלה אבל לא על נושאים אחרים - כי זה כבר נחשב פגיעה או פריצה'. ככה החוקרים יודעים מתי ולמי לפנות כשהם מוצאים משהו".
אבל בישראל זה לא בדיוק קורה.
"לא. בישראל זה לא מצב שכיח, ואנחנו עובדים קשה כדי לדחוף כמה שיותר ארגונים לעשות את זה. בארה"ב זה נוהג מאוד מקובל. יותר מזה - בעולם יש הרבה מאוד חברות שמציעות גם תשתית של 'באג באונטי', בישראל אפשר לספור אותן על כף יד אחת".
"באג באונטי" היא תוכנית לתגמול חוקרי אבטחה והאקרים "כובע לבן", שמציעה סכומים מוגדרים של תשלום, בהתאם לסוג החולשה שנחשפת. מדובר בסכומים שמתחילים במאות דולרים ומטפסים כלפי מעלה. בלמס מסביר: "בקצה העליון של הבאונטיז האלה אפשר למצוא חברות כמו אפל, שעל פריצה מוצלחת לאייפון יכולה להציע עד 2.5 מיליון דולר. מה שהם מנסים לעשות זה להשוות את הסכומים לאלה של השוק השחור, כדי לתת תמריץ להאקרים לדווח לחברה עצמה ולא למכור את החולשה לחברות סייבר התקפי, למשל. זה פתח תעשייה שלמה של הכנסות, ובעיקר מעיד על כך שהחברות הגדולות עברו ממצב של להילחם בהאקרים למצב שבו הם מעודדים את העבודה שלהם. בצ'ק פוינט אנחנו לא מכניסים 'באונטי' למאגר ההכנסות שלנו", אומר בלמס, "החוקרים אצלנו פשוט תורמים את הכסף לאיזו מטרה שחשובה להם".
תוכניות "באג באונטי" נותנות מענה מסוים לשאלה המעניינת ביותר - שאלת המוטיבציה, אבל מה יכול להשאיר כישרונות טכנולוגיים ב"צד של הטובים"?
לצד חוקרי האבטחה הממוסדים, או ציידי הבאונטי המתוחכמים, יש גם מי שפשוט נתקלים בכל מיני חולשות ופשוט לא יכולים להישאר אדישים. "כל הפִּרצות שאני מוצא הן באמת מגוחכות", מספר רן בר־זיק, מפתח ב"ורייזון מדיה", ואיש החוג למדעי המחשב בקריה האקדמית אונו. "חיפשתי למשל שֵׁם של רשת סופרמרקטים בגוגל, ובעמוד החיפוש השני מצאתי את מסד הנתונים המלא של הרשת. העובדה שאני מפתח תוכנה במקצועי עוזרת, אבל אני לא משתמש בכלים מתוחכמים. לפעמים זה ממש ברמה של 'העתק־הדבק' לקישור".
כחושף חולשות ומאגרי מידע, בר־זיק מכיר מקרוב את היחס של גופים וחברות בישראל לאנשים כמותו. "הבעיות מתחילות, למשל, כשהחברה מתעלמת מהפנייה, ואז צריך להתחיל לרדוף אחריה. עד לפני כמה שנים, החברות היו שולחות אפילו מכתבי התראה מעורכי דין לפני נקיטת הליכים. שמעתי אפילו על מקרה שבו אילצו את חושף החולשה לתקן אותה בעצמו ולשלם פיצוי. במקום להגיד תודה - מאיימים. לשמחתי זה כבר פחות נפוץ היום".
להגיד תודה, להתנהל בשקיפות ולשתף פעולה - זה פחות או יותר מה שמחפשים ה"כובעים הלבנים" - לפחות בישראל, שבה פיצוי כספי משמעותי הוא עוד בגדר חלום. מה בכל זאת מניע את בר־זיק? לדבריו, המוטיבציה היא סוג של "תיקון עולם". "כשאני רואה את האנשים שנפגעים - אם זו אישה מבוגרת שפתאום מפציצים אותה במסרונים, או גנבו לה את פרטי האשראי אחרי שהתקינה בטעות איזה תוסף לדפדפן, או אם זה פרטים של ילדים שנגנבו כי מישהו באתר בית־הספר לא 'סגר' את מאגר המידע כמו שצריך - המוטיבציה פשוטה וברורה. לא תאמיני, אבל זה פשוט רצון לעשות טוב".
פורסם לראשונה: 07:23, 07.02.20