השנה היא 2021, ופתאום, באופן מסתורי, מתחילות בזו אחר זו אפליקציות לקרוס. כן. ממש כך. אולי אתם אפילו זוכרים את הלילה שבו מסכים שחורים החליפו את עגלות הקנייה באתרי האונליין של רשתות האופנה הבינלאומיות, את מחלקות ההזמנות של חברות התעופה שהתרסקו, את עמודי הבית של ענקיות הטכנולוגיה שננעלו או השתגעו, ועולם האפ שיפשף את עיניו ולא הבין מה קורה.
וכיוון שהרצפה של האחד היא התקרה של האחר, ממש במקביל ישבו במבשרת ציון שלושה גיקים בוגרי 8200, שהם גם החברים הכי טובים מילדות – גל אלבז, נדב צ'רנינסקי ואבשלום חילו – וגם הם שיפשפו עיניים. שלושת החברים שגדלו יחד מגיל אפס, עשו יחד את היסודי, התיכון, הצופים, וגם את הצבא בחיל המודיעין, ושהיום גם בנות הזוג שלהן חברות – הבינו שעלו על משהו שגם ענקיות הטכנולוגיה לא ידעו שהן זקוקות לו.
2 צפייה בגלריה
yk13894785
yk13894785
(צילום: יובל חן)
"כל המחשבים, כל טלפון שאת מכירה, כל האפליקציות, הכל בנוי על מערכת הקוד הפתוח מהראשונות והבולטות בעולם, שנקראת לינוקס, והיא הבסיס לכל מערכות ההפעלה שיש. כל עוד זה עובד טוב, כולם לוקחים את הבסיס הזה ומפתחים עליו עוד ועוד מוצרים. מדובר באתרים ובאפליקציות הכי רגישים, שאנשים מסתמכים עליהם בכל דבר – חיפוש בגוגל, מפות ניווט. אנחנו הצלחנו להיכנס למערכת הזו ולתקוף אותה, וגם מצאנו לזה פתרון. כשמאות אפליקציות ברחבי העולם נפלו באותו לילה, היינו כבר עם הפתרון ביד, והיינו גם אחרי סבב שיחות עם לקוחות מהגדולים ביותר שיש בתחום הטכנולוגיה, שכבר התלהבו מההמצאה ורצו לקנות, כי הבינו איך היא יכולה להגן עליהם ולחסוך להם מאמץ, זמן וכסף. ופתאום כל העולם מבין שזה מה שהוא צריך".
למי שלא מבין בתחום, כמוני, נספר שיש מספר עצום של פרצות בקוד הפתוח, וכדי לסתום אותן, צריך קודם לאתר אותן. הפתרון שהמציאו הטריו ממבשרת עוקב אחרי האפליקציה בזמן הריצה שלה, ומצמצם את הפרצות באופן משמעותי כך שאפשר לאתר אותן בזמן אמת ולסתום אותן, לפני שהתוקפים מנסים לנצל אותן.
2 צפייה בגלריה
yk13900298
yk13900298
אזהרה מפרצה אצל ענקיות הבינה המלאכותית. סאם אלטמן, מנכ"ל OpenAI | צילום: אביגיל עוזי
"הלילה הזה, של סוף דצמבר, היה מאיץ החלקיקים שלנו", מתפייט אלבז, ה-CTO (מנהל טכנולוגיות ראשי) של הסטארט-אפ המסקרן הזה, אוליגו סקיוריטי, כשאנחנו יושבים במשרדיו שמשקיפים מגבוה על קו האופק התל-אביבי.

הפריצה לאינסטגרם

הם בני 28. אלבז הוא המנוע, הרוח המרעישה בצמרות העצים ומפילה את הפירות הבשלים לאדמה. צ'רנינסקי הוא המנכ"ל הנמרץ והלוגי, שבשפתו הציורית מפרק כל הסבר לגורמים הכי קטנים ועוזר לי לרוץ אחרי ההמצאה שלהם, וחילו הוא ה-CPO, מנהל תהליך ראשי, המחושב והמאוזן שבחבורה, שמדבר מעט ומדוד, אבל כמו חקלאי טוב מכיר כל ערוגה בשדה שלו.
"אני יתום מאבא שלי, שנפטר מדום לב כשהייתי בן 13. את ההודעה על המוות שלו קיבלתי כשישנתי אצל נדב", מספר גל. "אבא שלי הוריד אותי אצלו בערב, וכשחזר הביתה קיבל דום לב. בעצם זו הייתה הפעם האחרונה שראיתי אותו. כשהתגייסתי לצבא", הוא ממשיך, "יצאתי לעבוד ולעזור בפרנסת המשפחה".
כשהוא אומר את זה אני מדמיינת לרגע עבודה בפס החם של איזה דוכן המבורגר, אבל גל צוחק ומחזיר אותי לסרט הטוב שהוא וחבריו חיים בו: "תוך כדי השירות הצבאי ב-8200 עבדתי בצ'ק פוינט כפורץ שמאתר חולשות ובודק עמידות אבטחה של אפליקציות. הייתי פורץ לוואטסאפ, לווינדוס או לגוגל, ואז מספר להן איך הצלחתי לפרוץ לאפליקציה שלהן, כדי שידעו שיש בהן פרצות, וגם מרצה על זה בכנסי סייבר בינלאומיים להעלאת המודעות", הוא אומר, ומסביר שלאורך זמן מתגלות בכל אפליקציה פרצות אבטחה שמתקנים, כי זה הטבע של תוכנה.
בספטמבר 2020 הוא גילה דרך לפרוץ לאינסטגרם על ידי כך שהצליח לאתר ולנצל חולשה בספריית הקוד הפתוח שעליה בנויה האפליקציה. "לא האמנתי. איך זה יכול להיות שמספיקה לי פרצה אחת בספרייה אחת וכבר אני פורץ לתוך כל אינסטגרם, שהיא אפליקציה סופר מורכבת, משתלט עליה ויכול לעשות מה שבא לי בכל חשבון, להעלות תמונות, לשתף תמונות, לצלם ולשלוח הודעות? וכל האפליקציות בנויות על אותן ספריות של קוד פתוח, שבעולם הדיגיטל הן משותפות וחינמיות לכולם. בדיוק כפי שלא תייצרי לעצמך מלט וברזל כשאת רוצה לבנות בניין, אלא תתבססי על חומרים שמישהו אחר כבר ייצר, ככה גם כשכותבים קוד, משתפים אותו בספרייה פתוחה לטובת כולם".
מספיק שחלק ממש מזערי מתוך קוד אחד בספרייה אחת מתוך מאות אלפי ספריות זמינות יהיה תקול או פגום, בשוגג או בזדון, ואותה שגיאה יכולה "לשבת" בתוך הקוד ולא להתגלות, אבל כאשר יהיו פורצים שישאפו לכך, הם יוכלו להריץ בדיקה כדי לנסות לאתר את הפרצות הללו ולהשתמש בהן כדי לפרוץ לאפליקציות ולגרום נזק, או למכור את המידע הקריטי הזה בהרבה מאוד כסף. את התובנה הזו קלטו החבר'ה של אוליגו, וזאת הבשורה שהחליטו להביא לעולם — להגדיר מחדש את הדרך שבה מחפשים ומאתרים את הפרצות בספריות האינסופיות של הקודים, וגם את הדרך שבה אפשר לסתום אותן. הם עזבו הכל — גל את צ'ק פוינט, נדב ואבשלום את הצבא, והלכו אחרי הפאשן והשליחות.
הם ממש המציאו טכנולוגיה חדשה שלא הייתה קיימת לפני כן, והיא מאפשרת לארגונים להריץ אותה על הספריות של הקוד הפתוח ולזהות בהן חולשות. איך זה עובד? אי-אפשר לספר, כי הרעיון נמצא בתהליכי הגנה על ידי מספר פטנטים שהוגשו, אבל אפשר להגיד שהטכנולוגיה מתחקה אחרי האופן שבו ספריות הקוד "מתנהגות", וכאשר ספרייה "מתנהגת" בדרך שלא אמורה לאפיין אותה, זה סימן שמישהו חיבל בה, או שנפלה טעות בכתיבת הקוד, והמערכת שלהם מתריעה על הפרצה וכבר יודעת גם איך לטפל בה.
גל: "תחשבי על זה ככה. אם את לוחצת על המחשבון בטלפון שלך והוא פתאום מנסה לחייג או לגשת למצלמה, את ישר יכולה להבין שיש בעיה".
אבשלום: "או אם את הולכת לגן חיות. את יודעת איך נשמע ברווז ואיך נשמע אריה. אם פתאום הברווז מתחיל לשאוג, ברור שמשהו לא תקין. הסוד הוא להצליח להקשיב לכל חיה בפני עצמה, במקום לנסות להבין את כל גן החיות".
אז בגן החיות של הטכנולוגיה, אוליגו, שהוקמה בתחילת 2022, גייסה כבר 8 מיליון דולר בסבב ראשוני, ואחר כך עוד 20 מיליון דולר. החברה מעסיקה 60 עובדים ברחבי העולם, מהם 40 בתל-אביב, במשרדים שנראים בדיוק כמו שאתם מדמיינים כשאתם חושבים על משרדי סטארט-אפ, כולל פינות המאפים והפירות, השירותים המעוצבים והחבר'ה שמביאים את שקיות האוכל החומות של תן ביס ויושבים לאכול את התאילנדי, ההודי או הטבעוני באופן ספייס.
"75% מאיתנו היו או עדיין במילואים. 8200 זה כאן", הם מתגאים, ומספרים שבקרוב יהיו להם גם משרדים בניו-יורק. ברור, כאשר כל כך הרבה משקיעים מהעולם מגלים עניין בהמצאה שלהם. מה הפלא שבין המשקיעים שכבר יש להם ניתן למצוא את שלמה קרמר, מייסד, שותף ומנכ"ל Cato Networks; איל וולדמן, מנכ"ל ומייסד מלאנוקס טכנולוגיות וחתן פרס ישראל טרי; אייל מנור, לשעבר סמנכ"ל Google Cloud; רונה שגב-גל מהקרן הישראלית TLV, "שמחברת אותנו לאקוסיסטם היזמי וגם מספקת את המנטורשיפ היזמי ואת היכולת להתקשר ולשאול משהו ב-2:00 בלילה"; ואת יוני חפץ מהקרן האמריקאית לייטספיד, "שנותנת לנו את השקט ואת הכוח ואת הגב הכלכלי לכוון הכי גבוה בעולם".

הפרגון מצ'ק פוינט

עם כאלה שמות בארסנל, ההורים שלהם כבר מבינים מדוע הילדים עזבו את הלימודים באוניברסיטה וקפצו למים העמוקים של החיים האמיתיים, למרות האתגרים הרבים. אבל היו להם כמה נקודות אחיזה שבעזרתן הצליחו לסובב את העולם, והראשונה שבהן היא החברות האמיתית והשורשית ביניהם.
נדב: "ההורים שלנו למדו ביחד רפואה והיו חברים טובים עוד לפני שאנחנו בכלל נולדנו. אנחנו גדלנו ביחד, ומבחינתנו אנחנו לא חברים, אנחנו אחים. עשינו הכל ביחד. הלכנו כל בוקר ביחד לבית הספר, היינו ביחד בצופים, היינו גיקים של מחשבים ודימיינו איך זה יהיה לעשות משהו גדול יחד כשנהיה גדולים. היה לנו ברור שאנחנו צוות שמאוד נהנה להיות ביחד, אם זה לשחק כדורסל, ללמוד מדעי המוח ומדעי המחשב, או לעשות ביחד את ההכנה לשירות הצבאי".
גם את השירות בחיל המודיעין עשו כאמור במקביל, עוברים בין היחידות הטכנולוגיות השונות, צוברים ניסיון מקצועי ופיקודי, צוברים חברים שהופכים עם הזמן לקולגות בשוק האזרחי, ובעיקר הרבה מאוד פז"ם של סייבר הגנתי והתקפי, מה שמאפשר להם מהר מאוד לרוץ על כל המגרש. והם רצים עליו בספיד. היה להם גם את הגב הרחב של החברים מחיל המודיעין שכבר יצאו לאזרחות וידעו לסמן להם את הבורות ואת המקפצות לאורך הדרך, וגם לתמוך, לפרגן, לחבר עם יועצים ומשקיעים, ולא לתת להם להישבר למרות הלילות ללא שינה והמתח הגדול.
הם ממש לא פוחדים ממתחרים, ואפילו מברכים על כל אחד שמחליט להיכנס לתחום, כי כמו שאומר נדב: "אוליגו היא תפיסה, תנועה חדשה במרחב הדיגיטלי. לפני שזה מוצר, זה קודם כל תפיסת עולם לגבי הדרך שבה צריך להגן על אפליקציות ועל קוד פתוח".
אבשלום: "ברור שעוד שחקנים מנסים לעשות את מה שאנחנו עושים, וזה לא מבאס אותנו. כי על ה'איך' יש לנו פטנטים, אבל על ה'מה' שאנחנו מנסים לפתור, את זה אין לי בעיה שעוד ועוד חברות ינסו לפצח. זה רק מוכיח שהתחום פעיל. אנחנו פשוט יודעים שהמוצר שלנו הוא הכי טוב, ויעשה את זה הכי טוב. אנחנו נמצאים בשוק ענקי שעוד חברות מנסות לפתור בו את הבעיות, וככל שיהיו יותר חברות זה רק ייתן לתחום שלנו יותר הכרה".
אבל איך זה הגיוני שרק אתם חשבתם על זה?
גל: "הפריצה לאינסטגרם עזרה לנו לשים לב לבעיה האמיתית באופן שונה מהדרך שהשוק הסתכל עליה באותה תקופה".
נדב: "אנחנו אוהבים להקיף את עצמנו באנשים הכי טובים וללמוד מהם. אז הלכנו לכל המפקדים שלנו מהצבא ולחברים שלנו שכבר הקימו סטארטאפים בעבר, והתייעצנו איתם איך לעשות את תהליך ה-ideation (הגיבוש של הרעיון) הכי טוב".
אבשלום: "וגם הבנו שלמרות שארגונים משקיעים המון כדי לאבטח את האפליקציות שלהם, בסוף מאוד קל לפרוץ אליהן. כי הדרך שהייתה קיימת עד עכשיו לא הצליחה לעלות על כל הפרצות, וככל שיש התפתחות באיך שהטכנולוגיה עובדת ואיך שהתוכנות עובדות ואיך שקוד עובד, ככה הפתרונות הישנים פחות רלוונטיים. העולם משתנה, וגם הדרך שבה האבטחה נעשית צריכה להשתנות לכלים וכיוונים חדשים".
גל, לא כעסו עליך בצ'ק פוינט?
"האמת היא שמאוד פירגנו. צ'ק פוינט זה הבית וזה בית הספר הכי טוב שלי. אבל אנחנו לא פועלים בדיוק בתחום שלהם. הם עושים הגנה על רשתות, קצת כמו להגן על הגדר של היישוב, ואנחנו מגינים על הבתים שנמצאים בתוך היישוב, כלומר על האפליקציות עצמן. זה תחום אחר שדווקא משלים לצ'ק פוינט. הפרגון הזה הוא אחד הדברים היפים גם בצ'ק פוינט וגם בהרבה חברות ישראליות. הצבא הוא בית הספר שבונה יזמים ושדואג לכך שבסופו של דבר תעשיית ההייטק נעשית חזקה, גם באופן כללי וגם בסייבר, בזכות זה שיש הרבה חברות גדולות ומצליחות ועובדים שצמחו ביחד והם חברים ועוזרים אחד לשני. כי מה שמעניין בסוף זה לא לפתור רק את הבעיות של השוק המקומי, אלא לפתור את הבעיות של סיטי בנק למשל, שהוא אחד הבנקים הגדולים בעולם", אומר גל ומחייך.
וכן, גם לשם הם הגיעו, כמובן בעזרת קשרים כחול-לבן. "לכי תגיעי למישהו שמנהל שם מיליונים, או לאיזה בעל תפקיד. רק לקבוע פגישה לוקח חודש. ומה אני אגיד לו? שלום אני הבחור מישראל שפרץ לאינסטגרם? אבל כשאני מגיע דרך קולגות למקומות הכי גדולים בעולם, ויוצא לי להתעסק עם לקוחות שבתור בנאדם רגיל אין לי בכלל גישה אליהם, זה גם חלק מהאקוסיסטם המטורף הזה שיש בתעשיית ההייטק הישראלית".
נדב: "השיתוף בארץ הוא מאוד משמעותי ואני לא יודע אם זה קיים בתעשיות אחרות ובמדינות אחרות. לשמוע מה אחרים עשו, איך התקדמו אנשים שהם קצת לפנינו במסלול, זה לא טריוויאלי שיש לנו כזו תמיכה וכאלה פידבקים שעוזרים לנו לשפר את המוצר משיחה לשיחה, וגם להתייעץ בדברים הכי קטנים, כמו למשל איזה מתנות לקנות לעובדים לחג", גל צוחק.
אחרי 7 באוקטובר, איך היחס של הלקוחות ושל המשקיעים לזה שאתם ישראלים?
"מהסביבה הקרובה של המשקיעים אנחנו מרגישים הרבה אמפתיה אמיתית כלפינו. סייבר זה שוק שמוטה כלפי ישראל, הרבה מהפעילות בו היא בישראל, וגם בתקופות קשות ומאתגרות השוק עדיין מקבל תמיכה מהעולם".
וגם הרמת גבה חדה על המוניטין שהתרסק?
גל: "שום מוניטין לא התרסק. למרות הכל, ישראל נחשבת להכי דומיננטית בשוק הסייבר. יש הערכה עצומה לחדשנות של ישראל, למסוגלות שלנו, העולם יודע שיש לנו ידע וניסיון ייחודיים וזה לא משהו שאיבדנו. ממש לא".
אז מה צריך כדי להיות אתם? יושב ילד בבית וקורא את הראיון, מה תגידו לו?
נדב: "אני חושב שהסיפור שלנו בנוי משילוב של הרבה עבודה קשה, למידה, צבירת ידע עמוק על תחום ספציפי לאורך זמן, אבל במקביל גם לשים דגש על החלק הבינאישי, לדעת לרתום את האנשים הנכונים, לסחוף אותם שיעזרו לך, ולייצר קשרים טובים אחד עם השני ואז עם הסביבה".
אבשלום: "המפתח זה הכוח שלנו כצוות. אלה האנשים שאני סומך עליהם 24/7".
גל: "הם עברו איתי דברים לאורך השנים שאני לא אעבור עם אף בנאדם אחר, ולכן אנחנו משפחה. אחים. זה מה שגרם לי לצאת למסע הזה איתם. הם מאוד חמודים וצנועים החברים שלי שיושבים פה והם לא יגידו לך, אבל הם השמנה והסלתה של 8200. זה מצטיין מפקד 8200 (מצביע על נדב), השני מדריך שהכשיר דורות של אנשי מודיעין וקיבל הצטיינות מראש חטיבת ההגנה בסייבר. אנחנו עושים הכל בשקט-בשקט, לא אוהבים לדבר על עצמנו אלא עושים את העבודה הקשה מאחור".

גילוי ראשון

לפני כמה שבועות הם בהחלט עשו רעש, כאשר כתבה שהתפרסמה עליהם ב"פורבס", אחד האתרים הכלכליים החשובים בעולם, הכתירה אותם כראשונים בעולם שעלו על תקיפות סייבר שכוונו כלפי אפליקציות AI. בין החברות שהוזכרו כנתונות בסכנת פריצה אפשר למצוא גם ענקיות כמו Open AI, המפתחת של ChatGPT, ואם זה לא מספיק, הם גם מצאו פרצת אבטחה נוספת אצל ענקיות הטכנולוגיה פייסבוק ואמזון.
ואיך את זה עשיתם?
השלושה מחייכים את החיוך הצנוע אבל ממזרי שלהם. "המעניין הוא שחברות הענק האלה בכלל לא ידעו או לא שמו לב שתוקפים להם את השרתים. אנחנו אלה שהבאנו את זה לידיעתם", הם אומרים. "הוכחנו להם שהתקיפה היא לא מהיום, אלא התחילה כבר לפני שמונה חודשים, ומאז הם 'רצים' על המחשבים הכי יקרים בעולם, כי כל הנתונים של החברות הגדולות הרי שמורים על מחשבי ענק שכל אחד מהם עולה מיליונים. ועכשיו הם לגמרי יכולים לסחוט את החברות, או להשתמש בפריצה כדי להרוויח הרבה כסף במטבעות קריפטו. למשל, כשעקבנו אחרי הכסף שנכרה במהלך התקיפה, זיהינו שאחד התוקפים הוא כבר רביעי בעולם מבין כורי הקריפטו. התקיפות האלו השתלמו לו".
מה עושים במצב כזה?
גל: "קודם כל, מודיעים לחברות שזיהינו פריצה. קלטנו שאם זה מה שאנחנו זיהינו בשלושה שבועות, אז בטוח שהפריצה התחילה לפחות לפני שנה, ושזה כבר יותר גדול מכולנו ולכן אנחנו מפרסמים כל פריצה כזאת, כדי שהעולם ידע איך להגן על האופן-סורס שלו. ולא רק באפליקציות".
נדב: "בינה מלאכותית זה דבר טוב כאשר משתמשים בו בצורה חיובית ומאובטחת".