ביום שלישי אחד לפני כחודש, ישב רן בר זיק באולם הספורט בבית ספר בפתח-תקווה וצפה במשחק כדורשת של ליגת מאמאנט, גמר גביע העיר ליתר דיוק. בר זיק אומר שבמהלך המחצית הראשונה הוא שמר על ריכוז והיה נתון כמעט כולו לעידוד קבוצת קפלן-אש, שבה משחקת אשתו, אבל את ההפסקה הוא בילה בהשוואת מחירים. מזה זמן שמשפחת בר זיק מתכננת לשפץ את המטבח, ובאותה עת הוא התעניין במחירי מקררים. הוא נכנס לאתר השוואת המחירים זאפ והחל להשוות דלתות וליטרים ומדפים, אלא שבניגוד למרבית הגולשים, הרגיש צורך בלתי נשלט להציץ גם למה שמתרחש מאחורי הקלעים באתר. הוא הפעיל אפליקציה שמודדת את קצב תעבורת הנתונים בינו לבין האתר, וכשבחן אותם ראה שמשהו אינו כשורה. "ראיתי תקשורת כפי שהיא לא צריכה להיות", אמר השבוע ל-G. "זה כמו שאתה עומד ליד שער מבוצר ונעול ואז פשוט רואה אנשים באים אל הדלת ולוחצים על הידית ונכנסים דרכה בלי מפתח".
הוא שלח כמה נתונים לחברו, חוקר אבטחת מידע בשם עידו פרידלנדר ("הוא הבן אדם הרציני משנינו"), ולמחרת השניים נפגשו, נברו עמוק בקוד וגילו שנתונים אישיים של כמיליון ישראלים - שמות, מספרי טלפון, כתובות מייל, חשבונות פייסבוק ועוד - היו חשופים לעיני כל מי שמצויד ביכולת טכנית ממוצעת. הם הכינו מסמך שמפרט את הממצאים, שלחו אותו לחוקר אבטחה נוסף שיאשר את הגילוי, ורק כשהשתכנעו שאכן עלו על פרצת אבטחה משמעותית פנו לתקשורת ולזאפ. כן, בסדר הזה. עוד מעט הוא גם יסביר מדוע. (לכתבה המלאה)
זיהוי הפרצה בזאפ סיים חודש עמוס מבחינתו של בר זיק. בתחילת פברואר הוא הפריך את טענות של ארגון זיר"ה על כך שכניסה לאתרי צפייה ישירה מעמידה את מחשביהם של הגולשים בסכנה, ולקראת סוף החודש הוא הצביע על פרצה באתר קרנות השוטרים, שדרכה אפשר היה להגיע למגוון רחב של פרטים אישיים על אנשי האכיפה. בשנים האחרונות איתר פרצות אבטחה באינספור אתרים: בקשת וברמי לוי תקשורת, במשרד הפנים וברשות הדואר, בג'רוזלם פוסט וגם בגוגל ובפייסבוק. למעשה, בר זיק הפך בשנים האחרונות לאחד הגורמים המרכזיים באיתור והתראה על פרצות אבטחה באתרים ישראלים.
פרצת האבטחה אחרת שלטענתו הוא זיהה ראשון אבל לצערו לא הצליח לחשוף לפני כולם היא זו שהתגלתה בינואר באפליקציית צמידי הכושר של Strava. דליפת המידע מהאפליקציה איפשרה לכל אחד לראות על גבי מפה את מסלולי הריצה של כל מי שענד את הצמידים של החברה. כך, נחשפו לעין המבנה הפנימי, הלא ממופה, של כל בסיסי צה"ל וגם מסלולים של סיורים קבועים. כמו כן, חשפה האפליקציה גם בסיסים סודיים של ארצות-הברית בפינות מרוחקות של העולם. בר זיק מספר שהגיש את המידע על אודות הדליפה לצנזורה והמתין לאישורו במשך שלושה ימים, אולם עד שזה קרה המידע כבר התפרסם בחו"ל וחולל שערורייה. "רציתי למות", הוא מסכם.
לבר זיק, בן 40 מפתח-תקווה, חשוב להבהיר שהוא לא חוקר אבטחת מידע ולא איש אבטחת מידע: "אני מתכנת. אני יודע לבנות אתרים ומודולים וגם האתר שלי, אינטרנט ישראל, מתעסק בטכנולוגיה. כשאנשים נורמליים נכנסים לאתר כלשהו הם רואים מולם ממשק. אני לא. אני מסתכל על כלי המפתחים. אתה יודע, זה כמו הקטע ב'מטריקס', שניאו מסתכל על המסך שמורכב ממלא סימנים ירוקים שיורדים כלפי מטה והוא שואל את הבחור השני שמסתכל על המסך מה הוא בעצם רואה. הבחור השני אומר לו 'מתרגלים לזה, אני אפילו לא רואה את הקוד'. מכיר את זה שיש נרקומנים שלא ממש פורצים למכוניות אלא פשוט עוברים בין מכוניות חונות ומנסים לפתוח כל דלת? אז אני כזה. אובססיבי".
-550x413.2018314T120116.jpg "בר זיק / צילום: כפיר זיו")
תשלום באונטי? לא בישראל
הוא נולד וגדל בבת ים, מספר שבקושי הצליח להוציא תעודת בגרות. גם השירות הצבאי שלו לא אופייני לשדרה המרכזית של קהילת ההייטק המקומית: עובד רס"ר. "מאוד רציתי ללמוד מחשבים בזמן הצבא ואבא שלי אמר לי, שמע, מחשבים זה לא בשבילך כי אתה לא טוב במתמטיקה. למה שלא תלמד כלכלה? אז הלכתי ללמוד כלכלה בבאר שבע ולא סיימתי את התואר. עבדתי בתנובה ככלכלן בזמן הלימודים וכשהייתי חוזר הביתה אחרי יום עבודה הייתי מתכנת ובסופו של דבר הצלחתי להבין שאני צריך לעבוד בזה. הקריירה שלי החלה ב-012 ומשם התגלגלתי ל-HP ובסוף ל-OATH (מרכז הפיתוח של וריזון, ש' ס')".
מה כל כך דחוף לו לאתר פרצות? ועוד להוציא את זה לתקשורת? בר זיק משיב בכנות: "קודם כל אני עושה את זה בשביל קידום אישי. זה מחזק את המותג האישי שלי לצד האתר שלי שאני מפעיל כבר עשר שנים.
"שנית", הוא ממשיך, "אני באמת רוצה להפוך את העולם למקום יותר בטוח. יש לי את האתר שלי שבו אני מלמד מתכנתים הרבה דברים, וחשוב לי שמתכנתים יידעו לבנות תוכנות מאובטחות. זה לא בשמיים וחשוב לי לחנך ולהסביר. בכל פעם שאני מוצא פרצה אני מסביר מאיפה זה מגיע ואיך סוגרים אותה. מאוד משמח אותי כשמישהו בא אליי ואומר לי שהוא הטמיע באתר שלו תהליך שמחזק את רמת האבטחה בו.
"תראה, יש בישראל הרבה חוקרי אבטחה טובים, לא ג'וחים כמוני, אבל הם לא נוגעים באתרים ישראלים כי אין בארץ את התרבות של תשלום באונטי ושל גילוי נאות. אני למשל מצאתי בדפדפן כרום של גוגל פירצת אבטחה שאיפשרה לאתרים לצלם אנשים בלי ידיעתם באמצעות המצלמה של המחשב שלהם. כשדיווחתי על זה לגוגל הם ענו לי תוך שעה ובשבת ובדקו אם אני זכאי לבאונטי. הם החליטו שזה לא באג אבטחה, שעליו הם משלמים אלפי דולרים, אבל הם נתנו לי שקיפות מלאה על כל הדיון וזה היה מאוד הוגן. מעבר לזה, הם גם משתפים איתך פעולה בחשיפה אבל אתה עושה את זה בתיאום איתם כי כל העניין זה לא לחשוף פרצות לפני שהן תוקנו".
"השוק לא מגיב בסנקציות"
ופה מגיע העניין הזה של פנייה לתקשורת: לדברי בר זיק, בעוד שמחוץ לישראל נהוג לתגמל האקרים שמגלים פרצות אבטחה ולשלם להם על העבודה שבדרך כלל חוסכת לבעלי האתרים כסף או פגיעה ביוקרה, בארץ, כך בר זיק, המצב שונה: "לפני כמה שנים פניתי בפעם הראשונה לחברה ישראלית שגיליתי אצלה חולשה. אמרתי להם, יש לכם באג באתר וקל לתקן אותו. מה קיבלתי בתמורה? מכתב איום בתביעה על כך שלכאורה עברתי על החוק בכך שפרצתי למחשבים שלהם, ואיום שאני לא אעבוד יותר בתעשייה לעולם. אפשר היה לראות שם את כל המשתמשים שלהם ואת כל המידע עליהם, טלפונים, מיילים, מה שאתה רוצה. אני בטוח שבעלי החברה או בעלי המניות שלה לא היו שמחים לדעת שאפשר להגיע למידע על כל הלקוחות שלהם".
ומה עשית כשקיבלת את מכתב האיום הזה?
"התקפלתי כמובן. הייתי במצב כלכלי אחר ועם ילדים קטנים אז אמרתי לעצמי שבתור בן אדם פרטי אין לי סיבה להכניס את הראש שלי לדבר כזה. כל חוקר אבטחה נכווה מדברים כאלו וזה גורם לרבים לעשות את הדבר הכי קל, הכי אנושי והכי מתקבל על הדעת כשהם מגלים חולשה - להגיד פאק איט ולהמשיך הלאה בלי לעשות כלום. אבל אתה יודע מה קרן אלעזרי תמיד אומרת בהרצאות שלה? (אלעזרי היא חוקרת סייבר ואושיית הייטק ידועה, ש' ס') שהאקרים הם תאי החיסון הכי טובים לגוף. ואם מתעלמים מהם אף אחד לא לומד את הלקח ואף אחד לא משלם מחיר. לא המנהלים שאישרו ולא מנהלי הפיתוח שעשו עבודה לא טובה. ואז מה שקורה זה שיום אחד יש פרצת סייבר רצינית ואנשים נפגעים ממש אבל אז זה כבר מאוחר מדי".
הבדלי הגישות לנושא הפרצות וליקויי האבטחה בין אתרים ישראלים ושירותים בישראל לבין מקביליהם בעולם, הוביל את בר זיק לשינוי גישה. כעת, כשהוא מגלה ליקוי אבטחה הוא קודם כל פונה לעיתונאי: "אחרי שהעיתונות מדברת עם אותה חברה היא מתייחסת הרבה יותר ברצינות לעניין וכל התהליך מטופל מהר ונסגר מהר". ואכן, תגובת זאפ לידיעה עם פרצת האבטחה באתר, שפורסמה לפני שבועיים בגלובס, מעידה על לקיחת אחריות ("הנושא נמצא כעת בבדיקה מקיפה ונעשה את כל הפעולות הנדרשות על מנת שהדבר לא יחזור על עצמו"). על תגמול לחושפי הפרצה בחרו בזאפ לוותר.
"זו תרבות ניהולית נטו", אומר בר זיק על מדיניות האי-תגמול להאקרים. "למה נטפליקס נראים כמו שהם נראים והממשק של חברות ה-VOD המקומיות נראה כמו שהוא נראה? למה כמעט כל אתר פה נראה כמו הצרות שלי? רמת אבטחה המידע בישראל לא מספקת משום שאין פה שום סנקציה.
"בזמנו פניתי לרשות להגנת הפרטיות כשגיליתי את הפרצה באתר של מפלגת הבית היהודי שממנה אפשר היה להגיע למספרי תעודות הזהות, השמות והכתובות של הבית היהודי. קיבלתי מהם תגובה? לא. פניתי אחרי עוד שבוע ואז שוב אחרי עוד שבועיים ולא קיבלתי כלום. מישהו עשה עם זה משהו? לא. ואותו דבר כשאני ועידו קינן (עיתונאי עצמאי שעוסק באינטרנט, ש' ס') כתבנו על דליפת המידע במפלגת העבודה שגם אצלם נחשפו כל הפרטים על אודות המתפקדים שלהם. לאף אחת מהמפלגות לא עשו כלום וגם כשאני חושף פרצת אבטחה בחברה עסקית ציבורית השוק לא מגיב בסנקציה על החברה. זה לא שהמניות של החברות הללו זזות בבורסה כשהידיעה על דליפות המידע מהן מתפרסמות.
"בחברה אמריקאית גדולה, כשמתפרסם מידע על דליפת מידע של לקוחות, אתה רואה את שווי השוק שלהן נחתך מיד ואת המנכ"ל מזומן לתת דין וחשבון לדירקטוריון. פה זה פשוט לא קורה".
"שתי תעשיות הייטק"
בר זיק אומר שעל אף הלחץ הרב, רובו של השוק הישראלי לא ערוך לתקנות הפרטיות של האיחוד האירופי שייכנסו לתקוף במאי הקרוב (מה שידוע כ-GDPR, ראשי תיבות של General Data Protection Regulation). זאת, על אף שאתרים וגופים שלא יעמדו בדרישות המחמירות של האירופאים יודרו מהמשך הסחר עמם תושבי האיחוד.
"כל החברות הגלובליות שפועלות מפה נערכות לשינוי אבל חברות מקומיות קטנות נמצאות במצב של פאניקה מוחלטת", אומר בר זיק. "אם הן לא ישכילו להתאים את המערכות שלהן לתקנים, יהיו נגדן כתבי אישום וקנסות והן ייחסמו מלעשות עסקים. נכון לעכשיו, אתרים ישראלים כל כך דולפים ויש בהם פרצות אבטחה שזורם מהן מידע על אנשים שממש יכול לפגוע בהם".
ממה זה נובע?
"בעיניי זה קורה כי בעצם יש בישראל שתי תעשיות הייטק. התעשייה הראשונה היא התעשייה הגלובלית והסטארט-אפים שמסונפים אליה. לאנשים שעובדים בה יש תנאים טובים ומשכורות יפות והן עובדות בצורה מסודרת ורצינית. תעשיית ההייטק השנייה היא של החברות המקומיות הקטנות שמפתחות בישראל בעיקר עבור חברות שהליבה שלהן לא טכנולוגית.
"בחברות הללו, שמזמינות עבודות ממפתחים מקומיים, תשומת הלב הניהולית שניתנת לנושאים הללו נמוכה בהרבה והחברות שהן לוקחות כדי להרים להן פרויקטים בתחום הטכנולוגי - חותכות פינות. למנהלים בגופים המזמינים את העבודות אין את הידע הטכנולוגי כדי להקפיד על זה שהעבודות יתבצעו כמו שצריך והם רוצים שהכול יהיה מהר, מהר, מהר, וככה זה נראה - מחוויית שירות נוראית ועד פרצות אבטחה. החברות הללו לא מרשות לעצמן מתכנתים טובים שעולים יותר ולכן לאף אחד אין רצון להשתפר והכל נראה קטסטרופה. בעיני זה ישתנה רק כשלרגולטור יתחיל להיות אכפת מהנושאים הללו. עד אז זה לא יזוז".