גלובס - עיתון העסקים של ישראלאתר נגיש

בני גנץ / צילום: כדיה לוי

האיראנים מסוגלים היו לפרוץ לטלפון הנייד של בני גנץ, אולם סביר שהמידע שתפסו איננו מהותי לגנץ או לביטחון המדינה. כך מעריך בשיחה עם "גלובס" חיים תומר, ראש אגף המודיעין לשעבר במוסד בהתייחס לפרשת הפריצה האיראנית לטלפון של הרמטכ"ל לשעבר שנחשפה על ידי עמית סגל בחדשות 12 ביום חמישי האחרון.

"האיראנים חזקים מאוד בתחום הסייבר. הם לא פראיירים. הם אומה עם הרבה מאוד מתמטיקאים ויש להניח שיש להם סוסים טרויאנים טובים. כל מה שהם צריכים זה לקבל את מספר הטלפון של היעד", אומר תומר ובכך מתייחס בעיקר להערכות שנפוצו כי אם הייתה זליגת מידע לאיראנים, הרי שהיא נעשתה על ידי מדינה שלישית בעלת יכולות משופרות בתחום.

ומה ביחס למידע שנתפס? לדברי תומר: "ההערכה שלי היא שקצין בכיר בצה"ל ובטח רמטכ"ל שחי במערכת שמאוד מודעת לכללי ביטחון קשר ושדה - הסיכוי שמצאו משהו עסיסי משמעותי בטלפון הפרטי שלו בעיניי מאוד קטן. אני מניח שאלמלא כך, התחקיר היה מצביע על נזק ביטחוני וזה לא המצב. סביר שלא היה משהו משמעותי שם. הוא בטח דיבר עם משפחתו וחבריו כמו כל אדם נורמלי".

אז למה הפרשה התפוצצה דווקא עכשיו?

"זו כבר פרשנות, והניחוש שלך טוב כמו שלי. כל אחד צריך לנחש ולהפעיל את השכל הישר שלו. ההסבר שלי הוא שגורמים מתחרים פוליטיים שידעו על הפרשה בחרו למחזר אותה להטיל ספק בדמות הביטחונית שלו, תוך ניצול העובדה שאנשים מהשורה לא מבינים. יש פה איזשהו צעד של לוחמה פסיכולוגית שמישהו ביצע. מי ביצע? אני לא יודע".

ההשפעה על הבחירות

בפוסט שפרסם חבר הכנסת לשעבר ומשקיע הסייבר הגדול בישראל, אראל מרגלית, הוא השווה את הפרשה לתהליכים שקרו סביב הבחירות בארה"ב או הצבעת הברקזיט: "התרעתי בעבר שוב ושוב באופן קונקרטי, לפני כחודש, שקיימת סכנה ברורה ומיידית לפגיעה בבחירות בישראל על ידי גורמים חיצוניים וגורמים פנימיים" כתב מרגלית שהצביע גם על חשש מכך שמערך הסייבר כפוף ישירות לראש הממשלה.

חששות מפני השימוש הפוליטי במידע חולק עמו גם מומחה ד"ר נמרוד קוזלובסקי, מומחה לסייבר ומשפט מאוניברסיטת תל אביב ,שדווקא אינו סבור שיש בעיה במערך הסייבר של ישראל. "החשש הוא שבתקופת בחירות מבוצעת פריצה לטלפונים של פוליטיקאים או אנשי מפתח במערכת הבחירות כדי להדליף מידע מהטלפונים שלהם לשם השפעה על מערכת הבחירות", אומר קוזלובסקי.

מה התסריט הרצוי לתוקפים או מי שמפעיל אותם?

"החשש הוא שגורם שפרץ לטלפון ידליף את המידע לרשת האפלה, הדארקנט, באופן לא מזוהה, אך יפנה אליה עיתונאים או אנשים אחרים לשם הפצת המידע מהטלפון הפרוץ. לחלופין, יש חשש שאם כעת לציבור ידוע שהטלפון של פוליטיקאי נפרץ, יופץ מידע שנחזה להיות מתוך הטלפון הפרוץ, אך הוא שקרי ונועד להשפעה שקרית על מערכת הבחירות.

"כיוון שהציבור יודע שהטלפון נפרץ הוא ייטה להאמין לאמיתות המידע שיופץ, גם אם הוא שקרי. למשל תכתובת בעיתית לכאורה שהייתה לאותו גורם או אמירות בעייתיות".

לדברי קוזלובסקי: "דווקא הטיעון כאילו השב"כ צריך לעסוק בכך ולא מערך הסייבר הוא שגוי. מערך הסייבר מיומן לסייע בחקר מקרי פריצה ויש לו את איסוף המודיעין הרלוונטי. מערך הסייבר עצמאי ומקצועי ובוודאי שאינו מונחה על ידי פוליטיקאים.

"דווקא פעילות של השב"כ בביצוע חקירות הנוגעות לנושאי מידע או לביטויים בתקופת בחירות הנה בעייתית לאור רגישות הנושא של חופש הביטוי והדעה בתקופת בחירות והחשש מביצוע פעולות חקירה שאינן על פי דרך הפעולה המחייבת של רשויות אכיפת חוק. בכלל, אני חושב שהטלת הדופי המרומז במערך הסייבר אינה ראויה. מערך הסייבר הוא מערך מקצועי, מיומן ובלתי תלוי וניסיון לרמוז לקשר עם נתניהו הוא חסר כל בסיס".

מאחורי הקלעים של הפריצה

בדו"ח שפורסם לאחרונה העריכו בחברת צ'ק פוינט כי סיכוני הסייבר במערכת הבחירות הנוכחית גבוהים מתמיד. בשיחה עם יניב בלמס, מנהל מחלקת המחקר בצ'ק פוינט הוא מעריך כי הפריצה לטלפון של גנץ היא "ככל הנראה, תקיפה מהסוג המסוכן ביותר מסוג זירו-קליק. אלו מתקפות שנעשות ללא מודעות ומעורבות המשתמש שנתקף.

"זאת, בניגוד לרוב המוחץ של תקיפות שמנצלות חולשות אנוש אשר גורמות למשתמשים להתקין תוכנות נגועות בווירוסים, או, למשל, ללחוץ על קישורים שמובילים לאתרים נגועים".

הבעיה לדברי בלמס היא שאם מישהו נפל קרבן לתקיפה מקצועית שכזאת, אזי "רוב הסיכויים שלא יהיה לו מה לעשות עם זה. לכן הן נקראות זירו-קליק - מתקפות ללא קליק מצד הקרבן. ללא אינטראקציה מצד המשתמש.

"זה הדובדבן בקצפת התקיפות - מספיק שהתוקף מקבל את מספר הטלפון שלך וזהו. אין שום אינדיקציה שקרה משהו וברגע שהתוקף בפנים הוא יכול לגשת לכל דבר שנגיש למשתמש, שזה הכל בעצם, אלו יכולות שיש רק למדינות או לגורמי ריגול עסקי ברמות הכי גבוהות".

בתקיפות זירו-קליק, מסביר בלמס, "מספיק שהתוקף מכיר את מספר הטלפון של יעד התקיפה. אם למשל התוקף יודע שהיעד משתמש באייפון, לדוגמה, והוא מכיר חולשה ברכיב מסויים במודם הסלולרי של האייפון שמדבר עם המגדל הסלולרי, אזי מספיק לשלוח סמס לאותו טלפון על מנת להשתלט עליו".

מה המחיר של מתקפת סייבר מסוג זירו-קליק?

"השוק משקף היצע ביקוש ואת הקושי לבצע את הפעולה", מסביר בלמס "כאשר שווי פריצה לאיפון, למשל, עשוי להגיע למיליון וחצי דולר בעוד פריצה מקבילה לאפליקציה ארגונית יכולה לעלות 'רק' 200-300 אלך דולר".

איך התגלתה הפריצה? איך בכלל ניצן לגלות פריצות מסוג זה?

"התשובה תלויה בסוג ההדבקה. מניח שבחלק מהמקרים אי אפשר בכלל לגלות, או שמסובך מאוד. אולי נעשה שימוש בכלים מוכרים יותר - כאלה שמתקשרים עם שרתים שמשמים צמתי מידע לסוג כזה של פעילות סייבר. במקרים שכאלה מערכות הניטור המדינתיות או הפרטיות יכולות אולי לתפוס את זה בדיעבד. עד כמה זה יעיל? אני לא יודע להגיד. זה תלוי בסוג ההדבקה".

מה ניתן לעשות כדי לצמצם את הסיכונים מהסוג הזה?

"אם הממשלה תרצה היא תוכל לייצר מערכת משלה או לקחת קיימת ו'להקשיח' אותה כי רמת ההגנה הגבוהה ביוצר היא מנגנוני הגנה שלא מוכרים לתוקפים. זה מעלה את רף התקיפה בהרבה. אבל גם זה לא פיתרון מושלם. הכל בסופו של דבר פועל לפי מודל של ניהול סיכונים שצריך לפעול לפיו".