ראיון כלכליסט
מייסד ספיו יוסי אפלבאום: "אפל ואמזון נכשלו לגמרי בהבנת האיום"
אפלבאום, מומחה עולמי לאבטחת סייבר, סבור שהחדירה שנחשפה למחשבי ענקיות הטכנולוגיה היא "רק קצה הקרחון". כמי שמצא את רכיב הריגול, בדק אותו ונגע בו במו ידיו, הוא יודע על מה הוא מדבר
כשענקיות טכנולוגיה כמו אמזון ואפל הכחישו בשבוע שעבר את דיווחי "בלומברג" כי צבא סין החדיר שבבי ריגול לשרתי המחשב שלהן, וכאשר הממשל האמריקאי הצהיר רשמית שאין סיבה לפקפק באמינותן ‑ בסוכנות הידיעות ידעו עם מי להתייעץ. ואכן, יוסי אפלבאום, מייסד ומנכ"ל חברת הסייבר ספיו סיסטמס (Sepio Systems), היה מסוגל לאשר את הידיעות ממקור ראשון. הוא ראה שבב כזה במו עיניו, כשחברת טלקום אמריקאית גדולה שאת שמה הוא מסרב למסור שכרה אותו כדי לסרוק את חוות השרתים שלה. אפלבאום גילה שם רכיב ששימש כדלת אחורית לגורמים בסין.
- מכת הסייבר הסינית: אפל ואמזון טוענות שלא שנפגעו - ומקבלות גיבוי מממשלת ארה"ב
- מכת הסייבר הסינית: לנובו ו-ZTE מודאגות, אפל ואמזון מכחישות
- אמזון: פיטרנו עובד שהעביר פרטי לקוחות למוכרים חיצוניים
לא רק שהסיפור שנחשף ב"בלומברג" קרה באמת, טוען אפלבאום בראיון ל"כלכליסט", אלא שהוא רק קצה הקרחון. לדבריו תקיפות סייבר שמבוססות על חומרה הולכות ומתרבות בשנים האחרונות, כי קשה לזהות אותן. "פעם הן הצריכו יכולות של מדינה, אבל היום אנחנו רואים מתקפות שהעלויות שלהן הן מאות או אלפי דולרים בודדים".
לפי הפרסומים לפני שבוע, הצבא הסיני הצליח להסתנן למפעלים בסין של יצרנית לוחות האם האמריקאית סופרמיקרו, ולהשתיל בהם בחשאי שבב זדוני זעיר. הלוחות שהשבבים הותקנו בהם נמכרו לעשרות לקוחות, ובהם אפל, אמזון, בנקים גדולים וקבלני משנה של ממשלת ארה"ב. השבב אפשר לתוקפים להשתלט על השרתים ולעשות בהם ככל העולה על רוחם.
גם השינוי שנעשה בשרתים שאפלבאום בדק נעשה במפעלי סופרמיקרו, אבל אפלבאום ראה שינויים דומים בחומרה של ספקים סינים אחרים. "סופרמיקרו היא קורבן", הוא אמר לבלומברג. "הבעיה היא בשרשרת האספקה הסינית".
סמנכ"ל הכספים והעכבר
אפלבאום (45) התמחה באבטחה בשירותו ביחידת המודיעין 8200. ב־1998 היה ממייסדי וובסיליקון העוסקת בתחום הזה, וכשזו נרכשה בידי ענקית האבטחה מגל הוא מונה לסמנכ”ל הטכנולוגיה שלה בצפון אמריקה. מאז הוא בארצות הברית. לפני שנתיים הקים עם יפתח ברטשפיז ובנצי בן עטר את ספיו סיסטמס. יו”ר החברה הוא לא אחר מראש המוסד לשעבר תמיר פרדו.
“הקמנו את החברה כדי להגן בעיקר על ארגונים לא־ממשלתיים מהתקפות שהמנוע הראשוני שלהן הוא ממשלות. מתקפות מבוססות חומרה הן תחום שכמעט אף אחד לא מטפל בו, לא מדינות ולא חברות פרטיות. בסין הסיפור הוא הממשלה, אבל בסופו של דבר זה יכול להיות כל דבר: מצאנו עכברים נגועים, מקלדות ומדפסות מטופלות, סורקים”.
במקרה אחד גילתה ספיו רכיב סלולרי משוכלל מושתל בעכבר המחשב של סמנכ"ל כספים באחד הבנקים הגדולים בעולם. "גנבו מידע מהבנק עד שתפסנו את זה. מצאנו את זה גם בחברת חשמל באחת המדינות באירופה; בחברות תקשורת בסינגפור, בישראל, בברזיל. מכיוון שלא מדובר בהתקפת תוכנה, כלי הגנת סייבר מסורתיים פשוט לא רואים אותן. הן רצות מתחת לרדאר".
בכל המקרים החומרה הזדונית מושתלת בשלב הייצור?
"רוב קשה לומר אם ההתקפות בוצעו בשלב הייצור או בשרשרת האספקה. במקרה אחד שנחשפנו אליו ברבעון האחרון, קופסה יצאה נקייה מהיצרן והגיעה עם חומרה נגועה ללקוח. זו היתה אחת מחברות השילוח הגדולות. שילמו לשליח ואמרו לו: לפני שאתה נכנס לאיזה מקום, תביא את הקופסה הזו וקח את זו במקום. והנה חדרו לתוך הארגון.
"ככה מגיעים בסוף למקומות שמכילים את המידע הפרטי שלנו, בתור חולים למשל, או את המידע שלנו כמדינה. או שנותנים יכולת למישהו בצד השני של העולם לכבות לנו את החשמל".
מי מסוגל לעשות את זה?
"רק מדינה אחת שמייצרת אלקטרוניקה מסוגלת לזה ברמת הייצור. אבל הרבה פעמים זה קורה דווקא בשרשרת האספקה, ואת זה יכולים לעשות כל מיני גורמים, החל במדינות וכלה בגופי פשיעה ואפילו ארגוני טרור.
"דוגמה אמיתית: בנק יוצא במכרז למחשבים. אני מקים משווק, מציע מחיר זול ב־10% וזוכה במכרז. הנה נכנסתי לשרשרת האספקה. כמות המקרים האלה שאנחנו רואים בשנים האחרונות מדירה שינה מעינינו".
צריך לגרום לסין לשלם מחיר
עד כה, טוען אפלבאום, רוב החברות בעולם העדיפו לעצום עיניים לנוכח הסכנה. "אבל מי שטוען שהוא יודע מה קורה בשרשרת האספקה שלו פשוט חי בסרט. אני מתבייש להגיד כמה בנקים, חברות פיננסיות או חברות רפואיות לא יודעים מה יש להם - מחשבים, שרתים, מתגי תקשורת".
הפתרון שספיו מציעה ללקוחותיה מבוסס על שני מרכיבים. הראשון הוא תוכנה שממפה בלי הרף את מערך המחשבים בארגון. השני הוא ניטור תמידי של הרשת, כדי למצוא חריגות שמעידות על פעילות עוינת.
כשהחדירה לאפל ולאמזון התפרסמה לפני שבוע, הן פרסמו הכחשה תקיפה.
"כשאנשים שקולים מגיבים באלימות, זה אומר שמישהו נוגע בעצב חשוף. הייתי בקהילת המודיעין מספיק שנים כדי להבין שלאלימות יש סיבות כאשר אם היא מגיעה מאנשים שהם לא אלימים ביומיום. והתגובות היו מאוד אלימות".
למה היה חשוב להן להכחיש?
"אם הפרסומים נכונים, זה כישלון קולוסאלי של גופי הסייבר בחברות האלה. הרי הם נכשלו בעצם הבנת האיום".
האם הלקח מהפרשה הוא שצריך להפסיק להסתמך על סין כבסיס ייצור?
"העולם לא יכול להפסיק להסתמך על סין, אבל צריך להפעיל עליה לחץ כבד. יש נשיא שזועם על סין, ולהערכתי היא תשלם מחיר כואב מאוד. צריך לגבות מהם מחיר כדי לגרום להם להירתע".