פצחן לבן אוהב פרצן שחור? מערכות היחסים שבין האקרים - לאלה שרודפים אחריהם

מאחורי כל דיווח על פריצה מרושעת לאתר ישראלי, כמו זו שהתרחשה השבוע, מתחוללת מלחמה של אנשי הגנת סייבר בהאקרים הזדוניים • אלא שעל רקע מאבקי המוחות הדיגיטליים מתפתחות גם מערכות יחסים הדדיות של הערכה - ולפעמים אפילו חיבה: "אני מאוד אוהב את לזרוס מצפון קוריאה, הם הראו יכולת טכנית גבוהה. עקבתי אחריהם במשך שנים"

פצחן לבן אוהב פרצן שחור? / צילום: Shutterstock
פצחן לבן אוהב פרצן שחור? / צילום: Shutterstock

כנס ההאקרים Y2Hack, שתוכנן להיערך בישראל בשנת 2000, עורר מהומה פרובינציאלית לואוטקית. "כותבים בתקשורת שעושים כנס גנבים בישראל או כנס פורצים לכספות בישראל", אמרה ח"כ דאז ענת מאור (מרצ), בישיבה שניהלה כיו"רית הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי. "זה אבסורד", ציטט אותה מגזין וויירד של אותם ימים, וסיפר שטענה שהאקינג "אינו חוקי בישראל ובמדינות רבות אחרות, כולל ארה"ב. אם היה עומד להתקיים כנס של גנבים, או כנס של גברים שמכים את נשותיהם, איך הייתם מרגישים?" מאור אף פנתה ליועמ"ש אליקים רובינשטיין, שיבקש משר הפנים נתן שרנסקי למנוע את כניסת הפושעים המסוכנים לישראל להשתתף בכנס.

נאורה שם־שאול, מחלוצות תרבות הרשת הישראלית וראשת הכנס, כתבה אז למאור וניסתה להסביר מי הם ההאקרים ומה חשיבותם: "תקראו להם רובין הודים של העולם החדש, או תקראו להם הפיראטים של המילניום - חלקם של ההאקרים בבניית הטכנולוגיות והתרבות של הרשת רב, הן בפיתוח עצמו, והן בהיותם 'סנגורו של השטן', המתריעים על הפרצות הקיימות במערכות המחשוב שלנו. [...] כל שבוע פורץ איזה ילד גאון למערכת מחשבים מתוחכמת, אולי נפסיק לחשוב שכל הילדים האלה הם פושעים/גאונים, ונתחיל לבדוק אם באמת המערכות המשרתות אותנו פרוצות?"

הכנס התקיים בסופו של דבר, השנים עברו, ישראל הפכה למטרה אהובה על האקרים עם ובלי אידיאולוגיה אנטי-ישראלית, ואדי הסיליקון שלנו המשיך את ההצלחה של צ'קפוינט לאינספור חברות נוספות, וישראל התמצבה כמעצמת סייבר הגנתי והתקפי (תודה על זה, NSO). אבל היחס האמביוולנטי להאקרים עדיין איתנו, כולל טשטוש ההבדל הסמנטי בין האקר, פצחן בעברית, אדם שבוחן מערכות כדי לגלות בהן פרצות לצורך לימוד, קבלת קרדיט מקצועי וסגירתן; לבין קראקר, פרצן, שהוא האקר שפורץ למערכות למטרות ריגוש, רווח כספי או אמירה אידיאולוגית.

במינוח אחר, האקרים טובים, או האקרים אתיים, מכונים כובע לבן, והאקרים רעים, זדוניים, מכונים כובע שחור. ומאחר שהכובעים הלבנים עוקבים מקרוב אחרי פעילות הכובעים השחורים כדי לסכלה וללמוד ממנה איפה יש פרצות שצריך לסגור, הם עשויים לחוש כלפי יריביהם הזדוניים יחסי הערכה מקצועית, הערצה ואפילו לפתח חיבה אישית.
"אני לא מזדהה איתם ולא מרגישה אליהם חיבה", אומרת קרן אלעזרי, חוקרת באוניברסיטת ת"א ומרצה באוניברסיטת רייכמן. "מה שאני כן רואה זה הערכה ליצירתיות שלהם. לפעמים הם מעלים חיוך על הפנים כשהם עושים משהו עם חוש הומור.

קרן אלעזרי / צילום: רמי זרנגר
 קרן אלעזרי / צילום: רמי זרנגר

"בהרבה מאוד מההתקפות שאני חוקרת הם יוצרים לעצמם מותג. הסיבה היא כפולה: יש מותגים בתחום הכופרה שברגע שיודעים שזו מתקפה של X, מבינים שהם רציניים וחייבים לשלם להם, כי אי אפשר לשחרר את הקבצים; אבל גם כי הם מתחרים עם קבוצות תקיפה אחרות על מפתחים ועל שיתופי פעולה. למשל Ryuk, זה שם של אל מוות מאנימה יפני. יש קבוצת תקיפה ממש רצינית שהמיתוג שלהם זה הלו קיטי. זה חמוד, זה מעורר חיוך, זה מצחיק. זו אחת החברות שמשוייכות לתקיפה על חברת המשחקים City Projekt Red, שעומדים מאחורי סייברפאנק77 ו-וויצ'ר".

"אני חושב שזה לא נכון, זה אפילו שגוי", אומר עמרי שגב מויאל, מייסד-שותף ומנכ"ל פרופרו, שמבצע Incident Response (ניתוח מתקפות סייבר לאחר מעשה) ובין השאר סייע להוואנה לאבז, H&M ו-KLS. "ובמיוחד מי שמתעסק בתחום של Incident Response כמונו ורואה את הקורבנות, רואה למה זה גורם, צולל לעומק הדברים ורואה את הנזק הגדול. אני חושב שזה הפוך לגמרי - זה נהיה עניין של רדיפה, ונדטה.
"יש קבוצות מסוימות שדאגתי שממש ימצאו את האנשים עצמם, אתה לא ישן בלילה בשביל לנסות לתפוס אותם. זה הופך להיות אישי. למשל במקרה של קבוצת APT34, העליתי בבלוג האישי שלי את הפרטים שלהם".

לא הערצה כמו לבקסטריט בויז

"כובעים שחורים לא ישחקו יפה עם לבנים. הם נחותים בעיניהם", קובע עידו נאור, מנכ"ל ובעלים בחברת Security Joes. "יש הרבה סוגים של כובע שחור: יש כאלו שעובדים לבד, עובדים עבור גוף או חברה, עובדים בעד תעמולה, עובדים ביחד עם כובעים לבנים. כובע שחור רואה בכובע לבן נחות ממנו. לכן 'ידידות' לא באמת מתאפשרת. אולי יחסים עסקיים. כובע שחור זה עניין של פרספקטיבה - לא כל משחיז סכינים הוא רוצח".

אין אף מקרה תקיפה שהרשים אותך?
"בוודאי שיש! אני מאוד אוהב את לזרוס מצפון קוריאה. עקבתי אחריהם במשך שנים. לא הייתה ביני לבינם תקשורת כלשהי. אבל זה לא כמו שעקבתי אחרי הבקסטריט בויז. לא מדובר בהערכה/הערצה. חייב להיות גבול דק. הם הראו יכולת טכנית מאוד גבוהה, אבל הם ניצלו אותה לרעה ולכן אני לא מביע סימפטיה כלל כלפיהם".

"אני לא נמצא בקשר עם אף האקר זדוני, בין מדינתי כמו האיראנים, או פיננסי כמו קבוצות הכופרה", אומר אוהד זיידנברג, חוקר מודיעין סייבר בכיר. "אני גם חושב שאסור לנו לדבר עם תוקפים, גם אם הם רוצים כמו במקרה של Black Shadow. זה לשחק לידיים שלהם. מצד שני, אי אפשר להגיד שאני לא משקיע הרבה זמן בללמוד קבוצות תקיפה, חלק במסגרת תפקידי, אבל גם חלק מהסקרנות שלי לגבי התנהגות תוקפים מדינתיים במרחב הסייבר.

כל חוקר מודיעין תמיד מפתח עניין במושא המחקר שלו. אני מאוד מחובר לאיראן כמדינה ולא רק כאויב, מחובר לתרבות, לאוכל, למוזיקה ולהיסטוריה. כשמושא המחקר שלי הוא קבוצות תקיפה, אני מאוד נהנה מללמוד את ההיסטוריה שלהם ואת ההתפתחות שלהם כקבוצה, גם אם המטרה היא לסכל את הפעילות שלהם.

"אני מאמין שללמוד את היעד המודיעיני לעומק מאפשר לחקור בצורה טובה יותר. צריך לסייג ולהגיד שבריגול זה מתאפשר לעומת הרס וכופר. מתקפות כאלה מאוד קשות לי, מדובר בהרס ממשי וחציית קווים אדומים. שם המוטיבציה ללמוד את התוקף היא כדי לסכל את הפעילות שלו".

מתקפות סייבר / צילום: Shutterstock
 מתקפות סייבר / צילום: Shutterstock

אני מכיר את זה שחיילים במודיעין שעוקבים אחרי אויב מסוים מעריצים את המנהיגים שלו, תולים דגלים ותמונות שלהם וכאלה, בקטע חצי אירוני.
"כשאתה חוקר משהו שיש לך עניין בו, אתה מפתח זיקה אליו. הזיקה היא לא אהבה או רגשות חיוביים, אלא היכרות עמוקה עם היעד, ההיסטוריה שלו, ההתפתחות שלו לאורך הזמן. במודיעין אין לך מפגש עם הצד השני, ולכן האנשה שלו נותנת כלים יותר טובים ללמוד את התוקף. אצלי זה למשל בא לידי ביטוי בתוקפים האיראניים המבצעים תקיפות מודיעיניות. קבוצת Charming Kitten למשל, יצא לי לחקור עשרות גלי תקיפה שלהם בישראל ובעולם ולראות כיצד הם לפעמים משנים מילה אחת במייל, ורק מההיכרות העמוקה שלך אתה מצליח לשים לב לזה. שם ההתרגשות מתרחשת, בזיהוי, ובטח ביכולת להשתמש בידע על ההאקרים הרעים כדי להגן על המותקפים שלהם. זה בטוח יעזור לי להסביר למה על הקיר בחדר שלי תלוי ציטוט מרויטרס של שגריר איראן באו"ם מגיב לדו"ח שהפצתי בחברת קלירסקיי על צ'ארמינג קיטן".

"שווה לי יותר לבחור בטוב"

"ההגדרות של 'כובע לבן' או 'כובע שחור' חסרות משמעות וכנראה נטבעו על ידי אנשים שמעולם לא עסקו בתחום ברצינות", פוסק האקר שביקש לשמור על אנונימיות. "האקרים הם האקרים, והטובים בהם עושים את מה שהם עושים בשביל האתגר, וההתלהבות מהיכולת האנושית לפתור חידות ולעקוף הגנות מתוחכמות על מנת להגיע לפרס. הקהילה מורכבת מפסיפס של יחידים שהמשותף ביניהם הוא ההתרגשות מחדירה למקום שנאסר עליהם להיות בו. עצם הכניסה היא הפרס, לרבים מהם, ומה שנמצא בפנים הוא כמעט חסר משמעות. החתירה להיכנס למערכות מוגנות יותר ויותר משותפת הן ל'האקרים האתיים' והן ל'פושעים', וההבדל היחידי הוא מה עושים עם המידע שמוציאים משם. ישנם שיתופי פעולה רבים בתוך הקהילה, החלפת מידע ושיטות פעולה על מנת להמשיך ולהשתפר כיחידים, וכן, לפעמים נוצרות בריתות פחות צפויות, אך כאלה שמועילות לכל המעורבים בהן".

אחד האנשים שמדגימים זאת הוא Malwaretech, מרקוס הצ'ינז בשמו הארצי, האקר בריטי שמצא את מתג החיסול של כופרת WannaCry והציל את היום. הוא התקבל בכנס האקרים בארה"ב בכבוד מלכים, אבל אחר כך נעצר והתברר שהוא אחראי גם על כרונוס, רושעה שאפשרה לגנוב חשבונות בנק של אנשים. "נכון, הוא גיבור ואני מכיר אותו ונפגשנו לפני זה, אבל ברגע שראיתי שהוא פיתח את כרונוס כל כך התעצבנתי", אומר שגב מויאל. "בסדר, הבנתי, וגם דיברנו, והוא גם התחרט והכל. אבל בוא'נה, ראיתי את הצד השני שחטפו מכרונוס, אנשים שאיבדו את חשבונות הבנק שלהם והכל. יש פה השלכות מטורפות".

"אין לי הערצה אליהם כבני אדם, אני יכולה להעריך את היכולות הטכניות, לא מעבר", טוענת רעות מנשה, מייסדת ומנכ"לית Tetrisponse, חברת המתמחה בתגובה לאירועי אבטחת מידע וסייבר. היא עוסקת בהאקינג מגיל צעיר, אבל לדבריה מעולם לא חשבה לבחור בנתיב האפל. לשאלה מה ההבדל בינה לבין האקרים שחורים היא משיבה בכעס: "אני לא תוקפת בתי חולים, מי תוקף בית חולים?! לא כולם כאלה, כן? אני מניחה שיש האקרים שחורים שיש להם גבולות מבחינה מצפונית. אני גם לא אוהבת לקרוא לזה לבן ושחור, זה לא מתאים לזמננו, אפשר להגיד האקר טוב והאקר רע".

נאור התמודד עם דילמה כזאת כשחשף ב-2017 פרצה של השתלטות על תחנות דלק מרחוק, ומספר שקיבל הצעות למכור את החולשה לקבוצות מפוקפקות. "פוטנציאל הרווח היה מיליארדים. קבוצה קוריאנית באה במיוחד לכנס במוסקבה שנכחתי בו כדי לדבר איתי מאחורי הקלעים. הם הציעו חבילה מאוד אטרקטיבית, אבל עבורי זה לא היה רלוונטי".

למה? מצפון?
"אתיקה מקצועית. אני דמות שהרבה עוקבים אחריה. אם אני אהיה מונע מכסף ולא מאתיקה מקצועית, אני מוביל אחרי אלפי אנשים ישר לתהום. שווה לי יותר לבחור בטוב, ומה גם שאני לא האש-פאפי. אין לי צורך בג'קט של גוצ'י ושבעה רולס רויס בחניה. נולדתי בכברי… תן לי בית עם עצים בחוץ וג'יפ ואני מסודר".

"תמיד אני אומר, אם אתה מצליח לעשות משהו נורמלי ברמה גבוהה בתור כובע שחור - חבל", אומר שגב מויאל. "לך תמצא עבודה בסקיורטי ותרוויח יותר כסף".

צרו איתנו קשר *5988