פושע הסייבר המלזי, שחוזר ומנסה ונהדף מדף הכניסה למערכת פיננסית ישראלית, עלול להיות מאוד מופתע אם היה מתברר לו שההגנה על המערכת הושגה בזכות ילד בן עשר. תוקף הסייבר האיראני, איש משמרות המהפכה, שנשלח לחדור למערכת מוניציפלית בצפון הארץ, היה ממש מתבאס לגלות שמישהו בן 16 עלה על עקבותיו, זיהה את וקטור ניסיון החדירה וגם דיווח על זה למערך הסייבר הלאומי.
קוראים להם האקרים לבנים, לחבר'ה האלה שמחפשים נתיבי חדירה למחשבים ומערכות אינטרנט, וכשהם מוצאים אותם הם מדווחים לארגונים ומקבלים תמורה על המאמץ. חברות ענק כמו אמזון, איביי וגם עליבאבא מנהלות תוכניות "ציד חולשות" (Bug Bounty) והן נעזרות בהם כדי לגלות פרצות בהגנות שלהן. אבל אנחנו מספרים היום תופעה חדשה בין ההאקרים הלבנים: בני הנוער שעוסקים בציד חולשות ופרצות, ועושים את זה כי הם באמת רוצים לעזור לארגונים. וגם קצת כי הם נהנים מזה.
לעדן צרף, בן 16, תלמיד כתה י' ממושב ניצני עוז, יש המון מה לעשות ומעט זמן להספיק את הכל. עד עכשיו הוא כבר הספיק להשלים מבחן בגרות במדעי המחשב, הוא לומד שנה שנייה לתואר במדעי המחשב במכללת נתניה, והוא גם לקח קורסים בבית הספר לסייבר ITsafe. בתקופה האחרונה הוא גם עובד קצת בפיתוח אוטומציה של קוד בתחומי הסייבר, ובין לבין הוא מנסה ללמוד היסטוריה, אנגלית ומתמטיקה בבית הספר.
עדן, איך אתה מספיק את הכל?
"התחלתי כבר מגיל קטן עם זה, מגיל תשע או עשר. הבנתי שחוץ מהתכנות אני רוצה להתפתח לעוד תחומים וככה הגעתי ללימודי סייבר. שיפרתי את הידע האפליקטיבי שלי והבנתי שזה מה שאני אוהב. התחלתי להשתתף בתוכניות באג באונטי ואפילו מצאתי כמה חולשות באתרים. עבדתי גם כמתכנת במשך ארבעה חודשים, אבל אסור לי להגיד יותר מדי מה עשיתי. זה מה שאני אוהב לעשות, אוטומציה של תוכנה, לעשות את החיים יותר קלים".
ואיך כל זה מסתדר עם הלימודים?
"יש מקצועות שאני פחות טוב בהם ויוצא גם שיש לי פחות זמן להשקיע בהם, אבל כמובן שבמקצועות שאני אוהב אני משקיע יותר. עכשיו כשעליתי לתיכון יש מגמת מחשבים, ובגלל שסיימתי בגרות במדעי המחשב אז יוצא שאני עוזר לילדים במגמה. זה אחלה להיזכר בחומר שכבר למדתי ולעזור לילדים בתחום. עם אזרחות והיסטוריה קצת יותר קשה לי, אז אני פחות משקיע בהם. אני לא מזניח לגמרי אבל יש דברים שיותר חשובים לי".
אורי לוי, תלמיד תיכון בן 17, לומד בכתה י"א בקריית מוצקין. מבחינתו הסייבר הוא הדרך שהוא בוחר לחיים, אם ניתן לקבל בכלל החלטות כאלה בגילו. "מגיל 11 התחלתי ללמוד תכנות ותמיד אהבתי ללמוד דברים חדשים", הוא מספר, "אחר כך, לקראת תקופת הקורונה התחלתי ללמוד בקורס סייבר על ליקויי אבטחה. מפה המשכתי, אחרי שידעתי את זה כבר די טוב, והחלטתי שאני רוצה לחקור חולשות ובאג באונטי. עכשיו אני חוקר בזמני הפנוי וגם מתרגל בקורס סייבר בנושא מובייל".
מאור דיין, בן 20 מלוד, התחיל את הדרך שלו בעולם הסייבר כשהיה רק בן תשע. היום הוא איש סייבר מקצועי ועצמאי שלוקח חלק בפעילויות שהשתיקה, מתברר, יפה להן.
איך התחברת לעולם הסייבר?
"בגיל תשע קיבלתי את המחשב הראשון שלי. לאט לאט הגעתי למשחקים, וכמו כל אחד רציתי יותר נקודות, רציתי לנצח, וככה התפתחתי לתחום הצ'יטים (קודים לקיצורי דרך) ומודים וכל המשחקים האלה, ואז גיליתי את התחום ההאקינג. בגיל 14 כבר התעסקתי באתרים, ברשתות, במערכות מידע, מצלמות, ראוטרים".
אני מבין שלא הסתפקת בזה?
"הגעתי לצוותים של האקרים ישראלים, קבוצות שגם הגיעו לחדשות. אנחנו עשינו דברים יפים מתוך אהבת הארץ, פעלנו נטו מאהבת הארץ, נטו להגנה על אזרחים, נטו למציאת דברים שיעזרו להגן על אזרחים. יש אנשים שייקחו את המילה האקר במובן הלא נכון אז אני נזהר מלהגיד את זה. אבל בסופו של דבר עשינו רק דברים טובים, לא הרגנו אף אחד. מאז התפתחתי לפן החוקי יותר, שזה איתור ליקויי אבטחה. אחרי הצבא הלכתי לקורס סייבר כי רציתי לחדד יותר דברים שקשורים לליקויים".
אתה כבר הייתי בעל ניסיון, אז מה נתן לך הקורס?
"גיליתי שיש הרבה דברים שאני יכול ללמוד מהם. בחרתי בתחום ליקויי אבטחה כי הנושאים האחרים די חקוקים לי במוח ובתחום הזה רציתי לרענן את הזיכרון. כשנכנסתי לתחום מצאתי שהייתה הרבה התנשאות. אנשים לא מדברים אתך, לא מנסים לעזור לך בכלום".
מה אתה עושה היום?
"אני כבר אחרי הלימודים, עובד כעצמאי ועושה פרויקטים. איתור ליקויי אבטחה לחברות בארץ ובחו"ל, דברים שאני לא יכול לדבר עליהם, יותר בקטע של מודיעין".
האקרים בקטע טוב
אם אתם חושבים על האקר כמו שהוא מתואר בצילומי האילוסטרציה – קפוצ'ון גדול מסתיר פנים אפלות, אתם חושבים על האקר שחור, כזה שמחפש דרכים לחדור למחשבים כדי לגנוב מידע, לסחוט, לחסום את המחשב במטרה לגבות כופר. לפעמים הוא ימכור את המידע שגילה בדארקנט להאקרים אחרים, או לחברות שירוויחו כסף מהמידע. במקרה הפחות גרוע הוא ימכור את המידע לחברה שאליה הצליח לפרוץ, שתשלם בזריזות ותאנח אנחת רווחה.
אבל יש גם האקרים לבנים, כאלה שהפנים שלהם גלויות. הם עושים את אותה עבודה בדיוק, אבל כשהם מוצאים את הפרצה הם מדווחים לחברה ונהנים מטפיחה על השכם, אולי תעודת הוקרה. הם האקרים בקטע טוב. לפעמים הם מקבלים פרס מהחברה, בסכום נמוך בהרבה מהתשלום שהיו יכולים לגבות אם היו עובדים תחת הקפוצ'ון השחור.
"בעלי אקספרס מצאתי שאני יכול להזריק כל קובץ שאני רוצה דרך העלאת פרופיל. זאת אומרת שאם אני רוצה אני יכול לעשות פישינג למישהו מהאתר של עליבאבא או עלי אקספרס. דיווחתי להם אבל אני פחות יכול לדבר על מה קיבלתי מהם"
יש חבורה קצת יותר אגרסיבית, שלא מסתפקת רק בהגנת סייבר אלא מנסה את כוחה בתקיפה של הפושעים, למשל אתרים אנטישמיים או אתרים פלסטיניים. הייתה קבוצה שכינתה את פעולותיה "תג מחיר" כנגד מי שתוקפים את ישראל. הייתה קבוצה שניסתה להתמודד עם התוקפים האיראניים בסדרת המתקפות על ישראל ב-2020. רשויות הסייבר המוסמכות בישראל לא ממש אוהבות את היוזמות האלה, זו הסיבה שהם בדרך כלל מסתירים את זהותם.
תסבירו לי את הקטע, שבשעות הפנויות שלכם אתם מחפשים חולשות
מאור: "בהתחלה כשהייתי עושה את הדברים האלה, זה היה סוג של אתגר, דבר שאתה יודע שהרבה אחרים לא מצליחים לעשות אותו. יש סיפוק כזה כשאתה נכנס למסד מידע של חברה. שאתה פתאום את כל המידע הזה מול העיניים, נוגע בדברים. כשהחברות נותנות לך אישור להיכנס, בכלל אתה עף על זה. זה מאפשר לך לעשות הכל כמעט - להגיע לכל מקום באתר או בשרתים של החברה. הקטע הוא, שבשנים האחרונות חברות בעיקר בחו"ל התחילו לתת לך כסף או מתנות על זה שאתה עוזר להם למצוא את העניינים האלה. וזה פתח קהילה של מיליוני אנשים, מכל מקום בעולם, שיושבים כל היום 24/7 ומוצאים ליקויים. זה פשוט מדהים".
עדן: "אני חושב שבגלל שכל העולם הולך לשם היום, לדיגיטל ולאינטרנט, אז חשוב שזה יהיה הדבר הכי מאובטח ואנחנו צריכים להגן עליו. זה מה שאני אוהב בזה. אני מרגיש שאני כאילו עוזר לאנשים ויכול להיות שאולי הצלתי מישהו באחת מהחולשות שסגרתי".
תנו לי דוגמאות לחולשות שמצאתם?
מאור: "יש כמה מאות חברות שמצאתי אצלן חולשות. בעלי אקספרס מצאתי, שאני יכול להזריק כל קובץ שאני רוצה דרך העלאת פרופיל. זאת אומרת שאם אני רוצה אני יכול לעשות פישינג למישהו מהאתר של עליבאבא או עלי אקספרס. דיווחתי להם אבל אני פחות יכול לדבר על מה קיבלתי מהם. מצאתי גם מלא חולשות באוניברסיטת הרווארד, יש לי כמה תעודות הוקרה מהן. באמזון מצאתי בעיה במערכת הסרטים IMDB, שם יכולתי להחדיר קוד למשתמש. אמזון לא נותנים פרסים, אבל קיבלתי תעודת תודה מאוד חמה".
אורי: "אני מצאתי באיביי פרמטר שאפשר היה להפוך אותו לקצה נקודה זדונית. אפשר היה להעביר את מי שרוצה להירשם לכתובת מתחזה ולרשום אותו במקום אחר. איביי תיקנו את זה על המקום, ואני קיבלתי קרדיט באתר".
עדן: "על רוב החולשות שמצאתי אני לא יכול לדבר כי חברות לא אוהבות שמספרים על זה. זה מוציא להן שם רע. אחת החולשות, אולי הכי חמורה, הייתה בפלטרפורמה של ישובים וערים בישראל, שמאפשרת לפרסם פוסטים לתושבים. מצאתי אפשרות להשתלט על כל חשבון באתר, ובעצם לפרסם פוסטים שקריים מטעם ראש העיר או דברים כאלה".
ולא דגדג לך להוציא פוסט בשם ראש עיריית נתניה, למשל?
"כן, דגדג לי מאוד. אבל אני חושב שעצם זה שאני מצאתי את זה ולא מישהו שהיה יכול לבקש כסף בשביל זה, זה היה שווה את זה יותר. יש המון חולשות כאלה, שאסור לי לספר עליהן אפילו לחברים שלי, אבל עצם זה שאני הולך לישון בלילה כשאני יודע שיכול להיות שהצלתי בנאדם שהיה נופל על זה, זה נותן הרבה סיפוק".
קיבלת פרס על החולשה הזו?
"היה שם בן אדם מאוד נחמד. דיברתי איתו והסברתי לו איך לסגור את הבעיה. כן, קיבלתי גם איזה תשלום נחמד, אבל תרמתי את הכסף. אני לא רוצה להרגיש שעשיתי את זה בשביל עבודה או משהו בסגנון".
מכללת ITsafe למקצועות הסייבר, שהוקמה לפני כשנתיים על ידי אמיר בראל ורומן זאיקין, זיהתה את הטרנד: היא מכשירה סטודנטים באופן מקוון בלבד. זאיקין פיתח טכנולוגיית בינה מלאכותית שמנחה את התלמיד, מזהה כשלים ומזרימה אליו את התוכן הנדרש לתיקון. "סייבר הוא הלהיט הגדול של בני הנוער בתקופה הנוכחית, לא פחות מגיימינג", אומר זאיקין, "רק שבעולם הסייבר אנו מלמדים אותם להתמודד עם מערכות טכנולוגיות ואפליקציות. האתגרים הללו מלהיבים ומרתקים אותם ללא גבול והם מפתחים קריירה כמומחי סייבר עוד לפני הגיוס לצבא. רבים מהם ישתלבו מן הסתם ביחידות הטכנולוגיות המובחרות".
איפה אתם רואים את עצמכם בעתיד?
עדן: "אני מכוון ליחידה טובה בצה"ל. אני רוצה לקחת את היתרונות שלי ולהגיע ליחידה שאוכל לתרום למדינה, אולי מהצד היותר התקפי".
אורי: "התוכנית שלי זה להתכונן לצבא, ולהתעסק באבטחת מידע ב-8200. בלי קשר לזה, אני רוצה להתמחות בבאג באונטי ולהתעסק בזה בעתיד יותר".
אתה לא מתכנן להקים סטארט-אפ בתחום הסייבר?
אורי: "לאט לאט, עם הזמן, אני רק בן 17".