גלובס - עיתון העסקים של ישראלאתר נגיש

פתאום כולם מבינים שכדאי לשלם להאקרים

יותר ויותר חברות מציעות פרסים כספיים למי שיגלו פרצות אבטחה מסוכנות במערכות שלהן ■ האקרים יכולים להרוויח כיום מאות אלפי דולרים בשנה, אבל חלקם מרגישים שמגיע להם יותר

מישל פרינס / צילום באדיבות המצולם
מישל פרינס / צילום באדיבות המצולם

ב-1881 פט גארת' המתין בחדר חשוך בפורט סאמנר, ניו-מקסיקו. הוא חיכה שלחדר ייכנס בילי הנער, פושע נמלט עם פרס של 500 דולר על ראשו - לא מעט כסף במונחים של היום. גארת' היה במצוד אחרי בילי חודשים ארוכים, וכשסוף סוף הגיעה שעת הכושר, ירה כדור אחד שפגע מעל לבו והרג אותו. אלה היו המקום והתקופה שבהם אנשים שנמשכו אחר כסף וריגוש צדו פושעים, ממלאים את החלל שמותירות השורות הדלילות של רשויות החוק.

ציידי הראשים לא נעלמו מהעולם, אבל רובם כבר לא הורגים אף אחד, והם לא אוהבים שקוראים להם ככה בגלל המטען ההיסטורי. אבל כיום, כשמדברים על Bounty, מצוד תמורת פרס, מתכוונים יותר ויותר לגרסה הטכנולוגית של התחום הזה. יותר ויותר האקרים גילו שהדרך להתפרנס מהתחביב הלא-תמיד-חוקי היא לאתר פרצות אבטחה מסוכנות תמורת כסף, ויותר חברות גילו שתשלום כזה יכול לחסוך להם עוגמת נפש אדירה.

תופעת ציידי הבאגים לא חדשה, היא קיימת מיומה הראשון של הרשת. ענקיות טכנולוגיה כמו גוגל, פייסבוק ומיקרוסופט משלמות כבר שנים להאקרים שמזהים פרצות במוצריהן - אלפי דולרים אם לא מדובר בבעיה חמורה במיוחד, עשרות ואפילו מאות אלפי דולרים אם כן. בשנה שעברה הצטרפה אליהן גם אפל, שהבינה שתרחיש האימים של מתקפת סייבר גובר על אובססיית החשאיות של החברה.

ואולם, בשנתיים האחרונות מבינים גם בשאר התעשיות את מה שבהייטק כבר הבינו מזמן - שעדיף לשתף פעולה עם ההאקרים ה"טובים" מאשר לסבול מנחת זרועם של ההאקרים ה"רעים". לפי נתוני חברת HackerOne, 41% מתוכניות ציד הבאגים שהושקו בין אפריל 2016 למרץ 2017 היו מטעם חברות שאינן טכנולוגיות, בתחומים כמו בריאות, חינוך, ובמיוחד גיימינג ומסחר מקוון, שבהם מספר התוכניות כמעט הוכפל בשנה. לפני שנתיים רק 22% מהתוכניות הופעלו מטעם חברות כאלה.

החברות האחרות עדיין לא מתחרות בסכומים שמציעות חברות הייטק, שמוכנות לשלם בממוצע 30 אלף דולר על גילוי פרצה קריטית. ואולם, חלקן כבר לא רחוקות מכך: בתחומים כמו בידור, מסחר מקוון וגיימינג סכום הפרס הממוצע עומד על 20 אלף דולר. דווקא בפיננסים הסכום נמוך הרבה יותר, שלא לדבר על בריאות או חינוך.

הפרס הממוצע הגבוה ביותר על גילוי פרצה כלשהי, לא בהכרח קריטית, מגיע בכלל מתחום הרכב (4,491 דולר), כמעט פי שניים ביחס לפרס הממוצע שמעניקות חברות הייטק. הבהלה התאגידית, התלות הגוברת בטכנולוגיה והעלויות האפשריות של הפרצות הפכו את ציד הבאגים לשיטה הרבה יותר מקובלת להתגונן.

הפושע המבוקש הפך לצייד מבוקש

ההיסטוריה של מערכת היחסים בין האקרים לארגונים היא של חשד ואי-אמון הדדי, בצדק מבחינת שני הצדדים. השותפות שפורחת כיום ביניהן לא נובעת מאהבה גדולה, אלא משיתוף אינטרסים: בעולם העסקי תוכניות ציד באגים נחשבות כיום לפרקטיקה מומלצת לתוצאות אפקטיביות, מה שמכונה Best Practice.

המגמה הזאת מאפשרת את עליית ציד הבאגים כענף עיסוק חדש: אם פעם האקרים היו פורצים למחשבים רק בשביל האתגר, ההנאה או הכוונה הרעה, ובהמשך הם הצליחו לעשות מזה פה ושם גם כסף, היום הם יכולים להפוך זאת למקצוע מן המניין. 17% מבין ההאקרים שלוקחים חלק בתוכניות ציד באגים עושים זאת בהיקף של עבודה במשרה מלאה (כלומר 40 שעות ומעלה בשבוע). 6% ממחפשי הפרצות המקצועיים מקבלים על עבודתם מאות אלפי דולרים בשנה, ובממוצע התגמול עומד על 20 אלף דולר בשנה.

קחו לדוגמה את טומי דבוס (DeVoss). רק לפני עשור דפקו בעוצמה על דלת ביתו סוכני FBI, אחרי שהוא פרץ למערכותיהן של כמה חברות גדולות, ובהן יאהו. דבוס, שבילה שלוש תקופות מאסר במתקני הכליאה של ארצות הברית בתחילת שנות האלפיים, הפך מאז לצייד באגים במשרה מלאה. לא ברור אם הוא טרח לעדכן בהיסטוריה הפלילית שלו את החברות ששילמו לו, בהן גם יאהו עצמה, אך ספק אם זה מה שהיה מונע מהן להיעזר בשירותיו. אחרי הכל, אם רוצים לדעת איך לפרוץ כספת, עדיף לקרוא לגנב מאשר לשוטר.

אותה יאהו הדגימה בחודש שעבר עד כמה סיכוני אבטחה יכולים לגרום נזק לארגון. היא נאלצה להודיע בבושת פנים שהחשבונות של משתמשיה, כל 3 המיליארדים שנרשמו לאורך השנים, נפרצו בשנת 2013. מאז ועד היום הגישו נגד החברה, שגם כך רחוקה מימי הזוהר שלה, 41 בקשות לתביעות ייצוגיות בגין הפגיעה במשתמשים ובמשקיעים.

השערוריה האחרונה בתחום מגיעה מבית אובר: החודש התברר כי היא בחרה להשתיק גניבת פרטים של 57 מיליון משתמשים באפליקציית שיתוף הנסיעות בכך ששילמה כופר של 100 אלף דולר לפורץ. זה אולי כסף קטן עבור הסטארט-אפ הפרטי הגדול בעולם, אך משהדבר התגלה, כלל לא ניתן לכמת את ההשלכות המשפטיות והתדמיתיות. את הכלכליות אפשר להתחיל: סופטבנק היפנית, שהתעניינה זמן רב בהשקעה באובר, הציעה לחברה הסכם רכישת מניות במחיר הנמוך ב-30% משוויה. ואלו רק שתי דוגמאות לבעיה שעולה למשק האמריקני סכומים אסטרונומיים מדי שנה.

כשכל כך הרבה כסף מתגלגל בתחום, ברור שיהיו מי שינסו למסד אותו, ולאחד את ההאקרים העצמאיים לגוף שקל יותר לעבוד מולו. חברת HackerOne, למשל, מנהלת תוכניות ציד באגים עבור לקוחות כמו גוגל, סטארבקס, מחלקת ההגנה של ארה"ב, לופטנזה ונינטנדו. בשנה האחרונה חולקו דרכה 22 מיליון דולר להאקרים שאיתרו 57 אלף פרצות שונות. "זה כבר לא רעיון חדשני ששמור לחברות הטכנולוגיה", אומר ל"גלובס" מישל פרינס, מנכ"ל ומייסד-שותף של HackerOne. "ציד הבאגים חדר לכל התעשיות".

HackerOne הוא אחד הסטארט-אפים הגדולים ביותר בתחום הזה. יש לו כאלף לקוחות, והוא מפעיל 140 אלף האקרים ב-70 מדינות ברחבי העולם. "אם לקוח מבקש, אנחנו יכולים להציע לו מאגר האקרים שעבר הערכה וסינון מקדימים על ידינו", מציין פרינס. "הפלטפורמה בנויהכך שאין תמריץ לעבריינים לפעול בה".

מדובר בתופעה כלכלית, אבל גם תדמיתית. היום האקרים נושאים בגאווה את תג המשרה המלאה של צייד באגים, מדווחים על היקפי הפרסים שהם צוברים, ואפילו מכתירים "שחקנים מצטיינים". לפי HackerOne, מרביתם (יותר מ-80%) הם צעירים בני 18 עד 34, שרבים מהם מנתבים את הפרסים לתשלום שכר לימוד.

בואו לצד האפל, יש לנו כסף

על פניו, תוכניות ציד הבאגים משתלמות לכולם: ההאקרים לא רק מתפרנסים, אלא גם נשארים עצמאיים, ולא כובלים את עצמם לעבודה קבועה כשכירים בחברות הייטק. מבחינת החברות מדובר על מיקור חוץ זול פר אקסלנס. הרי למה לחברה להרחיב את מחלקת ביטחון המידע שלה, אם היא יכולה להשתמש במאגר בלתי נדלה של מוחות, לקרוא להאקרים רק כשבאמת יש צורך, ולשלם להם רק אלפי דולרים בממוצע לכל פרצה?

אלא שמבחינת חלק מההאקרים, ההתנהלות של החברות הגדולות היא חרפה. חלק מהחברות שמשיקות תוכניות ציד באגים רושמות רווחים של מיליארדי דולרים ברבעון, מה שגורם לסכומים שהן משלמות לפורצים להיראות נמוכים עד גיחוך. התוכנית של אפל, למשל, ספגה לא מעט ביקורת על הסכומים הנמוכים יחסית שהיא מציעה. אמנם גילוי חלק מהפרצות יכול לזכות את המוצא הישר ב-200 אלף דולר, אבל ברבעון האחרון אפל הרווחה יותר מ-10 מיליארד דולר.

תחושת העלבון הזו הצמיחה תעשייה אפורה-מתחרה, שבה סוחרים האקרים בפרצות שגילו כדי לקבל הרבה יותר כסף. בחלק מהמקרים מדובר בשיתוף פעולה עם ארגוני פשיעה של ממש, או עם מפעילי תוכנות שדורשות כופר מהמשתמשים: מתקפת הכופר Wannacry, שהחלה במאי האחרון ופגעה ביותר מ-200 אלף מחשבים ברחבי העולם, התבססה בין היתר על רכישת פרצות.

ואולם, גם בתחום החוקי יש מי שמוכנים לשלם הרבה יותר מהחברות הנפגעות עצמן. זירודיום (Zerodium), למשל, מבקשת מהאקרים למכור לה פרצות למערכות הנחשבות קשות במיוחד לפיצוח: האקר שיגלה פרצה משמעותית ב-iOS של אפל, למשל, עשוי להתעשר ב-1.5 מיליון דולר, ומי שיצליח לפצח את תוכנת התקשורת המוצפנת Tor יקבל מיליון. את המידע יכולה למכור זירודיום, בסכומים גבוהים אפילו יותר, לממשלות ולארגוני ביון.

אלא שחברות שלא משלמות מספיק היא עוד בעיה קטנה יחסית לחברות שלא משלמות בכלל. לפי HackerOne, למרות העלייה במספר הגופים שמפעילים תוכניות ציד באגים, רק 6% מהחברות הציבוריות עושות זאת. בין אם מדובר בחוסר מודעות או חוסר רצון לשתף פעולה עם האקרים, רבות מהחברות האלה מעמידות את עצמן בסכנה, שרק תלך ותגבר בשנים הקרובות. אובר ויאהו כבר קיבלו את קריאת ההשכמה שלהן, השאלה מתי יגיע תור השאר.

הייטק-האקרים

עוד כתבות

עינת גנון / צילום: בר שניר

פרויקט הענק מתעכב: עוד פרישה מהמרוץ לניהול רשות המטרו

עינת גנון, סמנכ"לית הרשות להתחדשות עירונית, הודיעה על פרישה מהמרוץ לניהול רשות המטרו, לאחר שלאחרונה גם צחי דוד, סגן הממונה על התקציבים באוצר לשעבר, הסיר את מועמדותו לתפקיד ● כעת נותר מועמד אחד לבחירה, והמכרז עומד בפני ביטול

בורסת טוקיו / צילום: Associated Press, Eugene Hoshiko

נעילה ירוקה באסיה. מחיר הזהב זינק במרץ ב-9.8%

היום חוגגים את יום שישי הטוב, ולכן לא יתקיים מסחר בבורסות באירופה ובוול סטריט ● אמש ננעלה וול סטריט בירוק, מדד ה-S&P 500 שבר שיא בפעם ה-23 מתחילת השנה ● מחיר הביטקוין עומד על 70.5 אלף דולר למטבע ● מדד שנגחאי עלה ב-1%

מערכת ReDrone של אלביט / צילום: אלביט מערכות

הנקמה של פוטין בהודו, ומערכת יירוט הרחפנים החדשה של אלביט

אלביט הציגה ללקוחות אירופאיים את מערכת היירוט המתקדמת שלה, אלג'יריה מצאה מענה בסין מול עוצמת המל"טים מתוצרת ישראל, ארה"ב שמה את מבטחה בלייזר, והנקמה של פוטין בראש ממשלת הודו • השבוע בתעשיות הביטחוניות

איציק וייץ, מנכ''ל קבוצת קרסו מוטורס / צילום: אלעד גוטמן

המספרים חושפים: כך הפך מותג בנזין סיני אלמוני למכרה הזהב של קבוצת קרסו

הכתבה הזו היתה הנצפית ביותר השבוע בגלובס ועל כן אנחנו מפרסמים אותה מחדש כשירות לקוראינו ● מהדוח השנתי של יבואנית הרכב עולה כי המותג צ'רי, שמכירותיו זינקו ב-2023, הקפיץ את נתח השוק שלה וסייע לה להציג רווח מכובד בתקופה קשה ● אבל ל"אסטרטגיה הסינית" הזו, שמשנה בצורה משמעותית את הפוקוס העסקי של הקבוצה, יש מחיר - ובראשו דריסת מותגים ותיקים

דם אברמוב בקמפיין בנק הפועלים / צילום: צילום מסך

בלי אסקפיזם ועם לוחם בשיקום, הפרסומת של בנק הפועלים היא הזכורה ביותר

פרסומת הבנק, שבה מככב הלוחם הפצוע אדם אברמוב, היא גם המושקעת ביותר עם כ–1.6 מיליון שקל ● מדירוג הזכורות והאהובות של גלובס וגיאוקרטוגרפיה עולה כי השבוע התברגו שתי פרסומות חדשות: מנורה מבטחים וטאצ' ● הפרסומת של ביטוח 9 היא האהודה ביותר גם השבוע

ראסל אלוונגר, מנכ''ל טאואר סמיקונדקטור / צילום: ענבל מרמרי

ראסל אלוואנגר: "אני חייב הרבה לישראל. היא אפשרה לטאואר להפוך למה שהיא"

טאואר הייתה האקזיט המדובר של 2022, אולם הצעת הרכישה החלומית של אינטל נפלה ● המנכ"ל ראסל אלוואנגר ניצל אותה כדי להכניס רגל בדלת למפעל של אינטל בניו מקסיקו: "זו לא הייתה סטירת לחי גדולה. יש לנו עכשיו קיבולת ייצור" ● את דעותיו על המצב בישראל הוא שומר לעצמו: "להעיר על הנושא זה כמו להתארח אצל מישהו לארוחת ערב ולהגיד לו שהבית מבולגן"

חרדים בלשכת הגיוס / צילום: מיטב ודובר צה''ל

בג"ץ: לעצור תשלומים לישיבות שתלמידיהן לא מתגייסים החל מה-1 באפריל

בג"ץ הוציא את צו הביניים בשל היעדר מקור חוקי להעברת התשלומים ● וכעת, מיום שני הקרוב יופסק התקצוב לתלמידי ישיבות שחייבים בגיוס ● השופטים אימצו עמדה מחמירה מזו של היועמ"שית ● התנועה לאיכות השלטון: "צו הביניים הזה מהווה צעד תקדימי בדרך לשוויון, וציבור המשרתים מודה לבית המשפט על החלטתו החשובה"

''התייצבות ושיפור, גם אם צנוע, ברוב הפרמטרים הפיננסיים של ההייטק הישראלי'' / אילוסטרציה: Shutterstock

אחרי שנה קשה, הרבעון הראשון של 2024 מראה מגמה חיובית בתעשיית הטק הישראלית

על פי נתונים חדשים מדוח ההייטק "Tech Review", ברבעון הראשון של 2024 חברות הסטארט-אפ הישראליות גייסו כ-1.6 מיליארד דולר ● מדובר בעלייה של כ-10% ביחס לרבעון הקודם וירידה של 10% בהשוואה לרבעון המקביל אשתקד ● 38% מסך הסכום הכולל גוייס בחברות הסייבר

משה ארבל, שר הפנים / צילום: מארק ישראל סלם - הג'רוזלם פוסט

בעקבות חשיפת גלובס: השר ארבל קורא לנתניהו לאפשר כניסת פועלי בניין פלסטינים לישראל

שר הפנים מציין במכתבו: "גוברות ההערכות כי אלפי פועלים פלסטיניים מיהודה ושומרון מועסקים שלא כדין בענף" ● הוא קורא לראש הממשלה לבחון הסדרה של הכנסת הפועלים לישראל, בין היתר על ידי בחינה פרטנית של כל פועל והגבלת גיל

קבוצת רוכבי אופניים עם טל ברודי. מימין: ריבה פרידמן בורוביק / צילום: דבורין תקשורת

מקבוצות אופניים ועד קבלת פנים בחזרה לבית: הארגון שמלווה מפונים במלחמה

מאז פרוץ המלחמה מלווה ארגון "הרוח הישראלית" אלפי משפחות של מפונים, ואף גייס תרומות בהיקף של 2.5 מיליון שקל ● מ"מ המנכ"לית, ריבה פרידמן בורוביק: "האתגר הגדול הוא שיקום הקהילות"

אילוסטרציה: טלי בוגדנובסקי, צילומים: AP (Mosa'ab Elshamy), אתר החברה, שאטרסטוק

באפריקה הצעירים מנצחים, וביפן מייצרים חיתולים רק בשביל קשישים

בסנגל בוחרים נשיא חדש וצעיר, ובאירופה רוצים להפקיע את הריבית הרוסית ● בינתיים, סין נזכרת שהיא אינה רוצה בחורבן המערב, וארה"ב מנסה למנוע את מושחתי העולם מלהלבין בנדל"ן ● חמישה אירועים מהשבוע שהיה בעולם 

ייצור השבבים / צילום: Shutterstock, Golubovy

חברות השבבים הישראליות שמשלמות על הקשחת הכללים

ביטול רכישת חברת שבבים ישראלים על ידי הענקית האמריקאית קוואלקום מתווספת לנסיגת אינטל מרכישת טאואר אשתקד ● לפי מומחים, מדובר במגמה מתעצמת של הקשחת העמדות מצד רגולטורים בעולם ● "חברות צריכות להתחיל לחשוב מראש על אלטרנטיבות", הם אומרים

בנק ההשקעות ג'יי. פי מורגן / צילום: Reuters, Mike Segar

האסטרטג של הבנק הגדול בעולם: "אתם לא תדעו כשהירידות יגיעו"

בבנק ג'יי פי מורגן שוב מזהירים מפני ירידות בשווקים, למרות שהתחזיות שלהם לא פוגעות כבר שנתיים וחצי ● האם הפעם התחזיות שלהם יתממשו? ומה הם ממליצים למשקיעים?

קרן כהן חזון, מנכ''לית ובעלת השליטה בתורפז / צילום: ששון משה

תורפז רוכשת יצרני חומרי טעם בלגית-גרמנית תמורת 48 מיליון דולר

תורפז צפויה לרכוש את קבוצת קלאריס & ווילך באמצעות חברת הבת שלה - פיט ● החברה מייצרת חומרי הגלם היחודיים לתחום הבשר והאפייה ומחזור המכירות שלה הסתכם ב-35.1 מיליון דולר ב-2023

פליטים עזתים ברפיח / צילום: Reuters, IBRAHEEM ABU MUSTAFA

המומחה שמסביר: למה החליטו בעולם שרפיח היא הקו האדום

פלישת צה"ל לרפיח, בין המעוזים האחרונים של חמאס בעזה, עומדת בלב הדיון על עתיד המלחמה ● "העיר הפכה לסמל של המצוקה הפלסטינית והפליטות בעיני העולם", אומר ד"ר הראל חורב, מומחה לחברה הפלסטינית ● בראיון לגלובס הוא מסביר מדוע ישראל טועה בהתנהלותה ברפיח, מתייחס לפלונטר מול ארה"ב ומסביר מדוע חמאס ממשיך לסרב לעסקת חטופים

מרכז תל אביב / צילום: טלי בוגדנובסקי

בעל דירה סירב לחתום על פרויקט תמ"א וזכה ב־320 אלף שקל נוספים

בעל דירה בפרויקט תמ"א 38 בת"א, שהוא גם בעלים של חלק מהחצר, ביקש פיצוי של 1.2 מיליון שקל ● המפקחת על המקרקעין קבעה בהסכמת הצדדים כי אכן מגיע לו פיצוי תמורת חתימתו

פרויקט תמ''א 38 בחיפה / צילום: פאול אורלייב

משרד המשפטים יוזם: יזמי התחדשות עירונית יתחייבו מראש על מועד מסירת הדירות

שורת תקנות שיזם משרד המשפטים, שיידונו בקרוב בוועדת הפנים של הכנסת, יחייבו יזמי התחדשות עירונית במתן מועדי מקסימום לאישור תוכנית הפרויקטים שלהם ואכלוס הדירות שהם מקימים ● תקנות בולטות נוספות הן חשיפת ערבויות מחייבות, גילוי ניגוד אינטרסים של היזמים, וידוא שהדיירים מבינים את ההסכם ועוד

אילוסטרציה: טלי בוגדנובסקי, צילומים: AP, דוברות הכנסת, שאטרסטוק

הדרך לאספקת הפגזים האמריקאיים לישראל עוברת בטורקיה

היחסים בין נשיא טורקיה, רג'פ ארדואן ונשיא ארה"ב, ג'ו ביידן, מתהדקים למרות היחסים המעורערים שהיו בין השניים לאורך השנים ● מדיווח בלומברג, מתברר כי ארה"ב מנהלת מו"מ עם טורקיה לצורך רכישת פגזים וחומרי נפץ, שיאפשרו לה להאיץ את קצב הייצור שלה ולשלוח את חלקם לישראל

קבינט המלחמה. ללא נשים במוקד קבלת ההחלטות / צילום: קובי גדעון-לע''מ

המלחמה חושפת את אוכלוסיית הנשים לסיכונים חריגים. איך אפשר להתמודד איתם?

מדור "המוניטור" של גלובס והמרכז להעצמת האזרח עוקב אחר ביצוע החלטות ממשלה משמעותיות ● הפעם, בשיתוף שדולת הנשים, על האתגרים שמציבה המלחמה בפני נשים ● נשים סובלות יותר מהיעדר ביטחון אישי וכלכלי - ובכל זאת הן לא נמצאות במוקד קבלת ההחלטות

אסף גולדברג, מנכ''ל סלייס עד לאחרונה / איור: גיל ג'יבלי

בדיקת אי הסדרים בעיצומה, אז איך זה שאפשר להפקיד חיסכון לכל ילד בסלייס

רשות שוק ההון מצאה לאחרונה אי סדרים חמורים בהתנהלותו של בית ההשקעות סלייס ● למרות זאת, באתר הביטוח הלאומי סלייס מוצגת כאפשרות להפקדת כספים בתוכנית "חיסכון לכל ילד" ● עד תחילת מאי לא ניתן יהיה למשוך כספים מקופות סלייס, אך הרגולטור לא מודאג