"הבעיה איתכם", אמר נעםר עם הגיעו למפקדת סייברסייבר עמוסת החתולים והירבועים, "היא שאין לכם קולטורה".
"מה, ספק הווידאו הפופולרי?" שאלתי. "אני אוהב את המוצר שלהם".
"כדאי שתהנה מהאהבה שלך כל עוד אתה יכול", אמר עידוק בארסיות, "מחיר המניה שלהם הוא בשווי של מאפה קוקוס כשר לפסח מיד אחרי המימונה".
"לא קלטורה, קולטורה", זעף נעםר. "אתם יודעים מה זה בכלל? זה הזמן ללכת למוזיאון וליהנות קצת מתרבות שתרחיב את הנפש", אמר, סגר את החשמל במפקדה והכריח אותנו ללכת איתו ללתערוכה טרנדית במוזיאון תל אביב.
למרבה הפתעתנו, המוזיאון היה ריק לחלוטין. החלל הריק הכיל קצת קוד QR וסביבו טקסטים שהיה בהם הרבה "NFT".
"איפה הקולטורה?", עידוק שאל.
"אני מעדיף את קלטורה", התלוננתי. "מה זה הדבר הזה? לא אמנות בכלל!"
ואכן, מוזיאון תל-אביב יצא עם תערוכה חדשה בשם "NFT: אחד מסוגם", שהאספירציות האמנותיות שלה, כך מסתבר, מסתכמות ב… אה… כסף. המבקרים בתערוכה נדרשו לסרוק קוד QR ואז לראות את היצירות הדיגיטליות בתוך גלריה וירטואלית שנתנה חוויה של מיינקראופט שרץ על מחשב CGA. כמה אמנים ומעצבים ישראלים החליטו למחות נגד התופעה הזו באופן ייחודי. נעמה ריבה מהארץ חשפה את המחאה המקורית – האמנים החליפו את הקיואר שהיה בתערוכה בקיואר משלהם.
בפרק של הפודקאסט הפופולרי סייברסייבר, עידוק ואני ראיינו שניים מהאמנים האלו (תחת השמות הבדויים אל"ף ובי"ת), שסיפרו לנו איך ולמה בדיוק הם עשו את זה:
אמנות מזוייפת
מבחינה אמנותית יש מה לומר על כך, והתפנגרלתי בפרק הזה בצורה מעט מביכה. אבל אנחנו פודקאסט על סייבר ומאפים, לכן נתמקד בעניין אבטחת המידע. התקיפה המקורית חושפת כמה חולשות מאוד מובהקות ומסוכנות. ההאקטיביסטים לא ניצלו את החולשות, כמובן, אבל תוקפים אחרים היו יכולים לעשות שמות בסיפור הזה.
על מנת להבהיר מה הבעיה, בואו ונראה סקיצה של מה שקורה בתערוכה כרגיל:
מבקר סורק את הקיוארקוד, מקבל כתובת ווב לגיטימית, טוען אותה ומקבל קבצי צד-לקוח שמתקשרים עם שרת התערוכה ויכולים להראות לו את יצירת ה-NFT. אושר גדול.
עכשיו בוא ונראה מה קרה כשההאקטיביסטים החליפו את הקיוארקוד:
הקיוארקוד המזויף אינו מפנה יותר לשרת התערוכה, אלא לשרת התוקפים, שמחזיר קבצי צד-לקוח זהים לחלוטין – אך אלו מאוחסנים על השרת שלו. הקבצים האלו מתקשרים עם שרת התערוכה כרגיל, כך שהמבקרים בתערוכה לא יודעים מה ההבדל – הם רואים את היצירות שנטענות משרת התערוכה האמיתי, יוצרים שמות משתמש על שרת התערוכה, הכל נראה אותו הדבר בדיוק. אבל קבצי צד-הלקוח נמצאים בשליטת שרת התוקפים.
לכאורה, שרת התערוכה לא יכול לעשות דבר נגד החולשה הזאת, אבל זה לא נכון. יש דרכים לוודא מהיכן נשלחות הבקשות כדי למנוע בדיוק את זה. ההתקפה הזו נקראת CSRF, או בשמה המלא Cross Site Request Forgery. שליחת בקשות לשרת הנכון דרך שרת אחר. יש דרכים למנוע CSRF – ולמפתחים מבינינו שרוצים ללמוד על כך – יש את הדף הזה של OWASP בנושא. כמובן שהחברה שסיפקה את המערכת הזו לא טרחה לעשות את זה. במקרה הזה ההאקיביסטים פשוט דגרו על הנתונים (כך גילינו, למשל, שרוב מבקרי התערוכה הם בעלי אייפון), והחליפו את התערוכה ברגע הקריטי מבחינתם, והניפו שלטי מחאה וירטואליים. לא נעים – אבל לא ממש מזיק.
מה עוד אפשר לעשות עם כזה דבר? ההאקטיביסטים יכלו ליזום תקיפות יותר רציניות, כפי שהזכרנו בפרק – למשל להקפיץ חלון עם הודעת "זכית ב-NFT יוקרתי! התקן את האפליקציה הבכלל לא חשודה הזאת כדי להוריד אותו". זיכרו שלא מדובר פה בהתקפה כללית על מותקפים אקראיים, אלא התקפה ממוקדת על אנשים שאנו יודעים כמעט בוודאות שהם מתעניינים ב-NFT ויש להם בסבירות גבוהה יחסית ארנקים דיגיטליים. בזכות העובדה שהם הכניסו את שמם כדי להיכנס, ונמצאים בסביבת המוזיאון, יש לנו כבר לא מעט מידע עליהם.
אבל זה לא נגמר פה. כל הסיפור הזה סוקר היטב בכתבה של נעמה ריבה, אבל בשיחה איתנו ההאקטיביסטים חשפו התקפה נוספת שיזמו – בגלל שאין שום ולידציה על יצירת משתמשים (אווטארים) בתערוכה, הם השתמשו בקוד ג׳אווהסקריפט פשוט שכל אחד יכול להריץ ויצרו כמות עצומה של אווטארים פיקטיביים שעומדים מול התמונות בתערוכה, מונעים את הצפייה ומחזיקים שלטי מחאה. גם הפעם יוצרי המערכת לא טרחו להגביל את יצירת האווטארים ואיפשרו לכל אחת עם תחכום מינימלי לשבש את הצפיה בתערוכה. דיווחתי על כך בכתבה בקפטן אינטרנט.
"חשוף ופתוח לביקורות"
אז רגע, מי אשם בבעיות אבטחת המידע המרובות והמביכות פה? הלכתי לבדוק עם החברה שסיפקה את הגלריה הווירטואלית – חברת arium.xyz. אריום מספקת גלריות וירטואליות לכמה גופים ובהם מוזיאון תל-אביב. מי שענה לשאלותיי היה בחור צעיר וסימפטי בשם איידן, שהזדהה כמנכ"ל והמפתח היחידי בחברה. איידן הופתע מאוד מכך שיש בעיות אבטחה ואפילו שאל אם אני יכול לסייע לו לפתור אותן. אם זה נשמע לכם נאיבי, אז כן – המפתח שאחראי למערכת שעליה התבסס מוזיאון תל-אביב הוא מפתח שהניסיון הפיתוחי שלו, לפי לינקדין, הוא ארבעה חודשים ב-Summer of Code של גוגל.
יש את הביטוי התלמודי (עידוק, זה בשבילך) שנקרא "לא עכברא גנב אלא חורא גנב". לא איידן החביב אשם פה, אלא הלקוח שלו. ביקשתי ממוזיאון תל-אביב תגובה ואני מביא אותה במלואה, עם הדגשה שלי:
הפרויקט 'NFT: אחד מסוגם' עוסק בתופעה תוך שהוא חושף מגוון רחב של יוצרים ויוצרות בתחום, מתייחס לעבודות ולדרכי הייצור שלהן ולתנודות הקיצוניות של השוק החדש והלא יציב הזה. הפרויקט נוצר בניסיון להבין מהו בכלל NFT וגם לבחון את המדיום ככזה המאפשר חשיבה מחודשת על דרכי תצוגה, מכאן נובעת הבחירה שלנו לבנות לו סביבה וירטואלית ולא תערוכה מוזיאלית קונבנציונאלית. ברור שפרויקט מסוג זה מעלה אינספור שאלות, חשוף ופתוח לביקורות מסוגים שונים. הבחירה לקיים את ה"שוד הווירטואלי" כאקט מחאתי, חושפת בין היתר את החוזקות והחולשות של המדיום. אנחנו עוקבים בעניין רב אחרי פעילויות מסוג זה ובקרוב גם מתוכנן אירוע במוזיאון שיעלה לדיון בדיוק את השאלות והנושאים האלו.
מוזיאון תל-אביב לאמנות עובד עם חברת ARIUM האמריקאית כמי שמומחית בתחום הבנייה של סביבות וירטואליות ועובדת בשנתיים האחרונות עם חברות ומוזיאונים מובילים בעולם. בעקבות הפריצה השנייה במהלך החג, הוסר הקישור לגלריה הווירטואלית והקיוארקוד, אלו יחודשו עם סיום אבטחת המידע.
אכן, מומחיות היא דבר שמשיגים בארבעה חודשי לימוד בבוטקאמפ.
"מה אפשר לומר על זה?", שאלתי את נעםר בייאוש מה.
"אני ממש מאמין שאין להם מושג", אמר נעםר בחיוך ודחף לכיווני תבנית אפייה מהבילה: "רוצים בורקס ירבועים?"
"אוי, נשמח מאוד", אני ועידוק התלהבנו ורצנו אל השולחן.
"עיצרו את גמליכם! יש לי משהו יותר טוב", אמר נעםר כשהוא חוטף את התבנית מתחת לאף שלנו, "NFT של בורקס ירבועים! זה בדיוק אותו דבר מינוס הבורקס אבל שעולה 30 גזיליון את׳ריום ובמקום בורקס אתם מקבלים לינק!"
"לינק שבו אני יכול להזין את פרטי ולשם ישלחו לי את הבורקס?", התלהבתי.
"לא, לינק לטוקן MD5 שג׳ינרטתי ומוצג לראווה באתר אינטרנט שנקרא בורקס-בייס", אמר נעםר בחיוך זדוני. "האתר מאוחסן במרתף הדולף שמתחת לבית שלי על מחשב XT CGA משוכלל".
"אתה… אתה רומז שכל ה-NFT הזה הוא סקאם אחד גדול???" זעקתי, "עוד מעט תגיד שה-NFT של רמי קליינשטיין שרכשתי במיטב כספי לא שווה דבר!" ובעודי צווח ובוכה נמלטתי אל הלילה האפל והקודר, לקול יללות התנים החיים ליד מאורת הסייברסייבר.
רן בר-זיק הוא ארכיטקט תוכנה בכיר, עיתונאי בדהמרקר, בלוגר באינטרנט ישראל, מחבר ספרי תוכנה, אבא לארבעה ילדים