פצחן לבן אוהב פרצן שחור? 2022-02-09
כללי
Comments Off
Spy vs. Spy 🖼️ Terry Robinson cc-by-sa

מאחורי כל דיווח על פריצה מרושעת לאתר ישראלי כמו אטרף מתחוללת מלחמה של אנשי הגנת סייבר בהאקרים הזדוניים • אלא שעל רקע מאבקי המוחות בין הפרצנים הזדוניים לבין הפצחנים שצדים אותם מתפתחות גם מערכות יחסים הדדיות של הערכה – ולפעמים אפילו חיבה

כנס ההאקרים Y2Hack, שתוכנן להיערך בישראל בשנת 2000, עורר מהומה פרובינציאלית לואוטקית. "כותבים בתקשורת שעושים כנס גנבים בישראל או כנס פורצים לכספות בישראל", אמרה ח"כ דאז ענת מאור (מרצ), בישיבה שניהלה כיו"רית הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי. "זה אבסורד", ציטט אותה מגזין וויירד של אותם ימים, וסיפר שטענה שהאקינג "אינו חוקי בישראל ומדינות רבות אחרות, כולל ארה"ב. אם היה עומד להתקיים כנס של גנבים, או כנס של גברים שמכים את נשותיהם, איך הייתם מרגישים?" מאור אף פנתה ליועמ"ש אליקים רובינשטיין שיבקש משר הפנים נתן שרנסקי למנוע את כניסת הפושעים המסוכנים לישראל להשתתף בכנס.

נאורה שם-שאול, מחלוצות תרבות הרשת הישראלית וראשת הכנס, כתבה אז למאור וניסתה להסביר מי הם ההאקרים ומה חשיבותם:

תקראו להם רובין הודים של העולם החדש, או תקראו להם הפיראטים של המילניום – חלקם של ההאקרים בבניית הטכנולוגיות והתרבות של הרשת רב, הן בפיתוח עצמו, והן בהיותם "סנגורו של השטן" , המתריעים על הפרצות הקיימות במערכות המיחשוב שלנו. […]  אם מספרים לנו שכל שבוע פורץ איזה ילד גאון למערכת מחשבים מתוחכמת, אולי נפסיק לחשוב שכל הילדים האלה הם פושעים/גאונים, ונתחיל לבדוק האם באמת המערכות המשרתות אותנו פרוצות?

בסופו של דבר הכנס התקיים, השנים עברו וישראל הפכה למטרה אהובה על האקרים עם ובלי אידיאולוגיה אנטי-ישראלית, ואדי הסיליקון שלנו המשיך את ההצלחה של צ'קפוינט לאינספור חברות נוספות, וישראל התמצבה כמעצמת סייבר הגנתי והתקפי (תודה על זה, NSO). אבל היחס האמביוולנטי להאקרים עדיין איתנו, כולל טשטוש ההבדל הסמנטי בין האקר, פצחן בעברית, אדם שבוחן מערכות כדי לגלות בהן פירצות לצורך לימוד, קבלת קרדיט מקצועי וסגירתן; לבין קראקר, פרצן, שהוא האקר שפורץ למערכות למטרות ריגוש, רווח כספי או אמירה אידיאולוגית.

במינוח אחר, הפצחנים – האקרים טובים, או האקרים אתיים, מכונים כובע לבן, והפרצנים – האקרים רעים, זדוניים, מכונים כובע שחור. ומאחר שהכובעים הלבנים עוקבים מקרוב אחרי פעילות הכובעים השחורים כדי לסכלה וללמוד ממנה איפה יש פירצות שצריך לסגור, הם עשויים לחוש כלפי יריביהם הזדוניים יחסי הערכה מקצועית, הערצה – ואפילו לפתח חיבה אישית.

"כל חוקר מודיעין תמיד מפתח עניין במושא המחקר שלו"

"אני לא מזדהה איתם ולא מרגישה אליהם חיבה", אומרת קרן אלעזרי, חוקרת באוניברסיטת ת"א ומרצה באוניברסיטת רייכמן. "מה שאני כן רואה זה הערכה ליצירתיות שלהם. לפעמים הם מעלים חיוך על הפנים כשהם עושים משהו עם חוש הומור. הרבה מאוד מההתקפות שאני חוקרת הם יוצרים לעצמם מותג. הסיבה היא כפולה: יש מותגים בתחום הכופרה שברגע שיודעים שזה מתקפה של X, מבינים שהם רציניים וחייבים לשלם להם, כי אי אפשר לשחרר את הקבצים; אבל גם כי הם מתחרים עם קבוצות תקיפה אחרות על מפתחים ועל אפיליאטס. למשל Ryuk, זה שם של אל מוות מאנימה יפני. יש קבוצת תקיפה ממש רצינית שהמיתוג שלהם זה הלו קיטי. זה חמוד, זה מעורר חיוך, זה מצחיק. זו אחת החברות שמשוייכות לתקיפה על חברת המשחקים City Project Red, שעומדים מאחורי סייברפאנק77 ו-וויצ'ר".

קרן אלעזרי 🖼️ Tony Sojka | re:publica (cc-by-sa)
קרן אלעזרי 🖼️ Tony Sojka | re:publica (cc-by-sa)

"אני חושב שזה לא נכון, אפילו שגוי", אומר עמרי שגב מויאל, מייסד-שותף ומנכ"ל פרופרו, שמבצע Incident Response (ניתוח מתקפות סייבר לאחר מעשה) ובין השאר סייע להוואנה לאבז, H&M ו-KLS. "ובמיוחד מי שמתעסק בתחום של Incident Response כמונו ורואה את הקורבנות, רואה למה זה גורם, צולל לעומק הדברים ורואה את הנזק. אני חושב שזה הפוך לגמרי – זה נהיה עניין של רדיפה, ונדטה. יש קבוצות מסויימות שדאגתי שממש ימצאו את האנשים עצמם, אתה לא ישן בלילה בשביל לנסות לתפוס אותם. זה הופך להיות אישי. במקרה של APT34, העליתי בבלוג האישי שלי את הפרטים שלהם".

"כובעים שחורים לא ישחקו יפה עם לבנים. הם נחותים בעיניהם", קובע עידו נאור, מנכ״ל ובעלים בחברת Security Joes. "יש הרבה סוגים של כובע שחור: יש כאלו שעובדים לבד, עובדים עבור גוף או חברה, עובדים בעד תעמולה, עובדים ביחד עם כובעים לבנים. כובע שחור רואה בכובע לבן נחות ממנו. לכן 'ידידות' לא באמת מתאפשרת. אולי יחסים עסקיים. כובע שחור זה עניין של פרספקטיבה – לא כל משחיז סכינים הוא רוצח".

אין אף מקרה תקיפה שהרשים אותך?
"בוודאי שיש! אני מאוד אוהב את לזרוס מצפון קוריאה. עקבתי אחריהם במשך שנים. לא הייתה ביני לבינם תקשורת כלשהי. אבל זה לא כמו שעקבתי אחרי הבקסטריט בויז. לא מדובר בהערכה/הערצה. חייב להיות גבול דק. הם הראו יכולת טכנית מאוד גבוהה, אבל הם ניצלו אותה לרעה ולכן אני לא מביע סימפתיה כלל כלפיהם".

עידו נאור 🖼️ חן גלילי/Cytactic
עידו נאור 🖼️ חן גלילי/Cytactic

"אני לא נמצא בקשר עם אף האקר זדוני, בין מדינתי כמו האיראנים, או פיננסי כמו קבוצות הכופרה", אומר אוהד זיידנברג, חוקר מודיעין סייבר בכיר. "אני גם חושב שאסור לנו לדבר עם תוקפים, גם אם הם רוצים, כמו במקרה של Black Shadow – זה לשחק לידיים שלהם. מצד שני, אי אפשר להגיד שאני לא משקיע הרבה זמן ללמוד קבוצות תקיפה, חלק במסגרת תפקידי, אבל גם חלק מהסקרנות שלי לגבי התנהגות תוקפים מדינתיים במרחב הסייבר. כל חוקר מודיעין תמיד מפתח עניין במושא המחקר שלו. אני מאוד מחובר לאיראן כמדינה ולא רק כאויב, מחובר לתרבות, לאוכל, למוזיקה ולהיסטוריה. כשמושא המחקר שלי הוא קבוצות תקיפה, אני מאוד נהנה מללמוד את ההיסטוריה שלהם ואת ההתפתחות שלהם כקבוצה, גם אם המטרה היא לסכל את הפעילות שלהם. אני מאמין שללמוד את היעד המודיעיני לעומק מאפשר לחקור בצורה טובה יותר. צריך לסייג ולהגיד שבריגול זה מתאפשר לעומת הרס וכופר. מתקפות כאלה מאוד קשות לי, מדובר בהרס ממשי וחציית קווים אדומים. שם המוטיבציה ללמוד את התוקף היא כדי לסכל את הפעילות שלו״

אני מכיר את זה שחיילים במודיעין שעוקבים אחרי אויב מסויים מעריצים את המנהיגים של האויב, תולים דגלים ותמונות שלהם וכאלה, בקטע חצי אירוני.
"כחוקר מודיעין, כשאתה חוקר משהו שיש לך עניין בו, אתה מפתח זיקה למושא המחקר. הזיקה היא לא אהבה או רגשות חיוביים, אלא היכרות עמוקה עם היעד, ההיסטוריה שלו, ההתפתחות שלו לאורך הזמן. במודיעין אין לך מפגש עם הצד השני, ולכן האנשה שלו נותנת כלים יותר טובים ללמוד את התוקף. אצלי זה למשל בא לידי ביטוי בתוקפים האיראניים המבצעים תקיפות מודיעיניות. קבוצת Charming Kitten למשל – יצא לי לחקור עשרות גלי תקיפה שלהם בישראל ובעולם ולראות כיצד הם לפעמים משנים מילה אחת במייל, ורק מההיכרות העמוקה שלך אתה מצליח לשים לב לזה. שם ההתרגשות קורית, בזיהוי, ובטח ביכולת להשתמש בידע על ההאקרים הרעים כדי להגן על המותקפים שלהם. זה בטוח יעזור לי להסביר למה יש לי ציטוט מרויטרס של שגריר איראן באו"ם מגיב לדו"ח שהפצתי בחברת קלירסקיי על צ'ארמינג קיטן, על הקיר בחדר".

"פוטנציאל הרווח היה מיליארדים. אבל עבורי זה לא היה רלוונטי"

"ההגדרות של 'כובע לבן' או 'כובע שחור' חסרות משמעות וכנראה נטבעו על ידי אנשים שמעולם לא עסקו בתחום ברצינות", פוסק האקר שביקש לשמור על אנונימיות. "האקרים הם האקרים, והטובים בהם עושים את מה שהם עושים בשביל האתגר, וההתלהבות מהיכולת האנושית לפתור חידות ולעקוף הגנות מתוחכמות על מנת להגיע לפרס. הקהילה מורכבת מפסיפס של יחידים שהמשותף ביניהם הוא ההתרגשות מחדירה למקום שנאסר עליהם להיות בו. עצם הכניסה היא הפרס, לרבים מהם, ומה שנמצא בפנים הוא כמעט חסר משמעות. החתירה להיכנס למערכות מוגנות יותר ויותר משותפת הן ל'האקרים האתיים והן ל'פושעים', וההבדל היחידי הוא מה עושים עם המידע שמוציאים משם. ישנם שיתופי פעולה רבים בתוך הקהילה, החלפת מידע ושיטות פעולה על מנת להמשיך ולהשתפר כיחידים, וכן, לפעמים נוצרות בריתות פחות צפויות, אך כאלה שמועילות לכל המעורבים בהן".

מרקוס "Malwaretech" הצ'ינז 🖼️ צילום עצמי
מרקוס "Malwaretech" הצ'ינז 🖼️ צילום עצמי

אחד האנשים שמדגימים זאת הוא Malwaretech, מרקוס הצ'ינז בשמו הארצי, האקר בריטי שמצא את מתג החיסול של כופרת WannaCry והציל את היום. הוא התקבל בכנס האקרים בארה"ב בכבוד מלכים, אבל אחר כך נעצר והתברר שהוא אחראי גם על כרונוס, רושעה שאיפשרה לגנוב חשבונות בנק של אנשים. "נכון, הוא גיבור ואני מכיר אותו ונפגשנו לפני זה, אבל ברגע שראיתי שהוא פיתח את כרונוס כל כך התעצבנתי", אומר שגב מויאל. "בסדר, הבנתי, וגם דיברנו, והוא גם התחרט והכל. אבל בוא'נה, ראיתי את הצד השני שחטפו מקרונוס, אנשים שאיבדו את חשבונות הבנק שלהם והכל. יש פה השלכות מטורפות".

״אין לי הערצה אליהם כבני אדם, אני יכולה להעריך את היכולות הטכניות, לא מעבר״, טוענת רעות מנשה, מייסדת ומנכ״לית Tetrisponse, חברת המתמחה בתגובה לאירועי אבטחת מידע וסייבר. היא עוסקת בהאקינג מגיל צעיר, אבל לדבריה מעולם לא חשבה לבחור בנתיב האפל. לשאלה מה ההבדל בינה לבין האקרים שחורים היא משיבה בכעס: "אני לא תוקפת בית חולים, מי תוקף בית חולים?! לא כולם כאלה, כן? אני מניחה שיש האקרים שחורים שיש להם גבולות מבחינה מצפונית. אני גם לא אוהבת לקרוא לזה לבן ושחור, זה לא מתאים לזמננו, אפשר להגיד האקר טוב האקר רע״.

נאור התמודד עם דילמה כזאת כשחשף ב-2017 פירצה של השתלטות על תחנות דלק מרחוק וקיבל הצעות למכור את החולשה לקבוצות מפוקפקות. "פוטנציאל הרווח היה מיליארדים. קבוצה קוריאנית באה במיוחד לכנס במוסקבה שנכחתי בו כדי לדבר איתי מאחורי הקלעים. הם הציעו חבילה מאוד אטרקטיבית, אבל עבורי זה לא היה רלוונטי". 

למה? מצפון?
"אתיקה מקצועית. אני דמות שהרבה עוקבים אחריה. אם אני אהיה מונע מכסף ולא מאתיקה מקצועית אני מוביל אחרי אלפי אנשים ישר לתהום. שווה לי יותר לבחור בטוב, ומה גם שאני לא האש-פאפי. אין לי צורך בז'קט של גוצ'י ושבעה רולס רויס בחניה. נולדתי בכברי… תן לי בית עם עצים בחוץ וג'יפ ואני מסודר".

"תמיד אני אומר, אם אתה מצליח לעשות משהו נורמלי ברמה גבוהה בתור כובע שחור – חבל", אומר שגב מויאל. "לך תמצא עבודה בסקיורטי ותרוויח יותר כסף".

אישה מחבקת כלי שחמט 🖼️ Minh Pham
אישה מחבקת כלי שחמט 🖼️ Minh Pham

____________________________________
התפרסם במקור במוסף G של גלובס, 6.11.2021. תמונת שער: Spy vs. Spy 🖼️ Terry Robinson cc-by-sa