דו"ח טכנולוגי
העיר האמריקאית ששותקה בגלל נשק סייבר אמריקאי
מתקפת הכופר האחרונה ששיתקה את העיר בולטימור נשענה על נוזקה שפיתחה ארה"ב בעצמה, מה שמוכיח את חיוניות הגבלת השימוש בנשק מקוון; איך התמודדה פייסבוק עם הדרישה לצנזר סרטון שמכפיש את ננסי פלוסי; ומיקרוסופט נתפסת שוב בטריק מלוכלך לקידום הדפדפן שלה
חרב פיפיות, הדור הבא
לפני שלוש שנים היתה אפל בעיצומו של קרב איתנים מול ה-FBI ומשרד המשפטים; הבולשת הפדרלית דרשה מאפל ליצור פרצה במערכת ההפעלה שלה, שתסייע לחוקרים לחדור לאייפון של חשוד בפיגוע ירי רצחני. אפל סירבה, כאשר אחת הטענות שהעלתה היא שאם תיצור פרצה כזאת קיימת סכנה שהיא לא תישאר בידי כוחות אכיפת החוק אלא תוכל להגיע לגורמים עוינים - פושעי סייבר או מדינות אויב - שינצלו אותה לרעה. הקרב הסתיים לבסוף בלי הכרעה, לאחר שגורם אלמוני מכר ל-FBI גישה לפרצה אחרת שייתרה את הצורך בסיועה של אפל. ואולם עתה, שלוש שנים מאוחר יותר, הנבואה של אפל מתגשמת במלואה.
העיר בולטימור במדינת מרילנד מתמודדת בשלושת השבועות האחרונים עם אחד הסיוטים הגדולים של כל ארגון בעידן המודרני, בוודאי כזה שאמון על שירות וזמינות מסביב ליממה: מתקפת כופר שהצליחה לשתק את מערכות המחשוב של העירייה, ובפרט את רשת המיילים הפנימית ואת מערך תשלום החשבונות העירוני – עורק החיים של העיר שבלעדיו חלק ניכר מתקציבה פשוט לא מתקבל.
החיים בעיר שובשו מהותית, כששירותים מהותיים כמו התראות בסוגיות בריאות או השלמת מכירות של נכסי נדל"ן לא יוצאים לפועל. אבל אולי הדבר המדהים ביותר במקרה הזה, כפי שחשף הניו יורק טיימס בסוף השבוע, הוא העובדה שכלי מהותי בנוזקה ששימשה לביצוע המתקפה פותח על חשבון המסים שמשלמים תושבי בולטימור עצמם ושאר אזרחי ארה"ב במרחק נסיעה קצרה מעירם - במטה של הסוכנות לביטחון לאומי (NSA).
זה התחיל ב-2017, כשהודלף לרשת כלי של ה-NSA בשם EternalBlue,שככל הנראה נגנב ממנה שנה קודם לכן. הכלי מנצל חולשה בפרוטוקול SMB של מיקרוסופט, שמשמש לתקשורת בין מכשירים ברשת מחשוב. אגב, עד היום ב-NSA לא יודעים מי עומד מאחורי גניבת הכלי והפצתו - עובדים ממורמרים או מרגלי סייבר בשירות מדינה זרה.
החולשה זוהתה ותוקנה עוד לפני השימוש הראשון בנוזקה שהתבססה על EternalBlue, אבל מערכות פגועות שמפעיליהן לא טרחו להתקין עדכוני אבטחה עדיין נפוצות מאוד: נכון להיום, יש קרוב למיליון מערכות מחשב שמחוברות לרשת וחשופות לפרצה, יותר מ-400 אלף מהן בארה"ב (ליפן, במקום השנה, יש רק כ-75 אלף מערכות כאלה).
בשנתיים האחרונות נעשה בכלי שימוש על ידי האקרים שפועלים בשירות מדינות כמו צפון קוריאה, רוסיה וסין כדי לגרום נזקים גלובליים בשווי של מיליארדי דולרים. צפ' קוריאה, שהיתה הראשונה לעשות בו שימוש עם נוזקה בשם WannaCry, שיתקה בסיועו את מערכת הבריאות בבריטניה, מערכת הרכבות בגרמניה ו-200 אלף ארגונים בכל העולם; רוסיה יצרה נוזקה שנועדה לפגוע בתשתיות המחשוב באוקראינה, אך התפשטה משם למערכות מחשוב של חברות בינלאומיות שפעלו במדינה ולחברת מרק, למשל, היא גרמה נזקים של 670 מיליון דולר; והאקרים איראניים השתמשו בכלי כדי לפרוץ לחברות תעופה במזרח התיכון.
במקביל הגיע הכלי גם לידיהם של סתם פושעי סייבר, שהחלו להשתמש בו לביצוע פשעים מסוגים שונים, שמתקפת הכופר נגד בולטימור היא רק הבולטת שבהם. בשנה האחרונה, מתקפות מבוססות EternalBlue נמצאות בעלייה וערים מטקסס ועד פנסילבניה חטפו בגללו מכות ששיתקו את פעילותן והביאו לעלויות כספיות ניכרות. אלו היו קשות במיוחד בערים שגם כך סובלות ממצוקה תקציבית, שכתוצאה ממנה גם רשת המחשבים שלהן מיושנת. לפי חברת אבטחת המידע eset, מדי יום מזוהות מאות אלפי מתקפות שעושות שימוש בכלי של ה-NSA.
זה לא צריך להפתיע אף אחד. למרות שפיתוחים כמו EternalBlue מכונים כלי האקינג, מדובר בכלי נשק לכל דבר ועניין. הוא אולי לא יורה כדורים כמו רובה או יכול לפוצץ מטרות כמו טיל, אבל אין ספק שהוא גורם נזקים כבדים ומהותיים לתשתיות חיוניות, אולי אפילו פוגע בחיי אדם, ומשבש את אורח החיים הסדיר ומאיים על יציבות השלטון בדיוק כמו כל כלי נשק אחר. יתכן שמדובר אף בנשק יעיל יותר מאלו הפיזיים, שכן התוקף כמעט שלא מסכן את עצמו במתקפה, ויכול לתקוף במקביל מגוון עצום של יעדים.
ומדובר בנשק שקשה מאוד לשלוט בו כשהוא מגיע לשדה הקרב: בין אם ציידת בו את חייליך, או סיפקת אותו לבעלי ברית, ברגע שכלי נשק יוצא ממעבדות הפיתוח וממרחבי האימון על העולם האמיתי, אין לך שום שליטה במה שנעשה בו. יכול להיות שבסופו של יום הוא יחזור לידיך ללא שום נזק (מלבד זה שהתכוונת לגרום), אבל יש סיכוי הרבה יותר מסביר שהוא יפול לידיים שלא רצית שיגיע אליהן, שיעשו בו שימושים שלא התכוונת שיעשו בו, ואפילו שבסופו של דבר הוא יופנה נגדך – כפי שקורה בימים אלה בארה"ב.
לא מדובר בפעם הראשונה שמשהו שכזה מתרחש. אחד המקרים הידועים לשמצה התרחש בתחילת שנות ה-80, כשארה"ב סיפקה נשק ללוחמים אפגנים שהגנו על אפגניסטן ממאמצי הכיבוש של ברית המועצות, ושותפתה פקיסטן סייעה בהסכמתה להבאת מוסלמים קיצוניים למדינה. אלו שימשו, בין השאר, כבסיס להקמת הטאליבן ולפי הערכות מסוימות גם אל-קעידה. וזה ממשיך גם היום: לפי דיווח משנה שעברה, חלק ניכר מהציוד הצבאי של הטאליבן נכנס למדינה בדמות אספקה לצבא ולמשטרת אפגניסטן.
ולא חסרות דוגמאות נוספות, החל מלוחמי דאע"ש שעושים שימוש בנשק שסופק במקור למורדים בסוריה ועד טנקים שארה"ב מכרה לכוחות הביטחון של עיראק והגיעו בסופו של דבר לידי חיזבאללה. ברגע שכלי נשק נפרס בשטח, הסיכוי שתצליח לשמר שליטה מלאה עליו שואף לאפס.
המקרה של EternalBlue לא שונה במהותו. ברגע שהחלה הסוכנות לעשות בו שימוש בשדה הקרב, זה היה עניין של זמן עד שהוא יצא משליטתה ויגיע לידיים זרות ועוינות. יש רק הבדל חשוב אחד בין נוזקה לבין טנק: אם איבדת טנק, יש לאויב רק טנק אחד להשתמש בו נגדך. אם איבדת תוכנה, יש לאויב אינספור כלים לתקוף אותך, ואינספור חרכים שדרכם הוא יכול לנסות לחדור. ובארה"ב לבדה יש יותר מ-400 אלף חרכים כאלה. ה-NSA השקיעה סכומים אדירים בפיתוח EternalBlue, אבל עכשיו פושעים ואויבים של ארה"ב יכולים לעשות בנשק הזה שימוש בעלות אפסית, נמוכה משמעותית מעלות תחזוקה של טנק עם פוטנציאל נזק הרבה יותר גדול.
זה צריך להטריד אותנו במיוחד, כי ממש כאן בישראל יש כמה חברות שמפתחות כלי נשק עוצמתיים לא פחות, כש-NSO היא כנראה המוכרת שבהן. כבר היום נעשים, לפי דיווחים, לא מעט שימושים בעייתיים בכלי הנשק של NSO. חוקרים של מכון סיטיזן לאב באוניברסיטת טורנטו זיהו בין השאר שימוש שלהם נגד עיתונאים וגורמי אופוזיציה במקסיקו ובערב הסעודית, ואף קשרו בין כלי נשק אלו לעיתונאי ג'מאל חשוקג'י שנרצח בקונסוליה הסעודית באיסטנבול. וזה רק מה שקורה עם שימוש מאושר ומבוקר בנשק.
אין ספק שאבטחת המידע בקרב NSO ודומותיה היא הטובה ביותר שיש, ברמה בינלאומית שלא היתה מביישת אפילו ארגון עצמתי ויעיל כמו ה-NSA. אבל בסייבר, אין שום חומה בצורה וכמו שהגנות ה-NSA נפלו ואפשרו את הפצת הנשק של הסוכנות בכל העולם, כך יכולות ליפול גם ההגנות של NSO ולאפשר את הפצת הנשק שהיא מפתחת, פגסוס, לכל פינה בגלובוס. פגסוס יכולה לשמש כדי להשתלט בצורה מוחלטת על כל סמארטפון, ולספק לתוקף גישה מלאה למידע ששמור על המכשיר וכן לבצע פעולות כמו האזנה לשיחות או הפעלה מרחוק של המצלמה והמיקרופון.
כל מה שצריך זו דליפה אחת כדי שהכלי הזה יגיע לידיים של מדינות עוינות (יותר מאלו שכבר מחזיקות בו), פושעי סייבר מתוחכמים או אפילו סתם אקסים מתוסכלים שישתמשו בו כדי לרגל אחרי בני הזוג שלהם לשעבר. דליפה כזו יכולה להתרחש בכל רגע, אולי אפילו כבר קרתה מתחת לאף של NSO, וברגע שהנוזקה תשוחרר לרשת הנזקים שיגרמו ממנה יכולים להיות אסטרונומיים. NSO ודומותיה הן חברות נשק לכל דבר ועניין, והיחס אליהן צריך להיות בהתאם.
קצרצרים
1. פייסבוק חוטפת בימים האחרונים אש בעקבות החלטה שלא להסיר סרטון מזויף שמציג את יו"רית בית הנבחרים של ארה"ב, ננסי פלוסי, כשיכורה. במקום זאת, פייסבוק רק הוסיפה אזהרה לווידאו והקטינה את החשיפה שלו בפיד. הפעם, בחירוק שיניים, אין ברירה אלא לעמוד לצד פייסבוק. לרשת החברתית אסור להפוך לצנזורית-על, גם ככה היא מצנזרת יותר מדי דברים. הדרישה שחברות טכנולוגיה יצנזרו כל דבר שלא הולם את רוחנו מובילה לדרך מסוכנת, וטוב שלפחות במקרה זה הרשת החברתית סירבה להתקדם בה.
2. אוהבים לחיות על הקצה? אז אולי תשקלו לרכוש מחשב נייד שמכיל שישה מהווירוסים המסוכנים בעולם. המחשב, למעשה יצירה אמנותית שמכונה The Persistence of Chaos, 2019, מוצע למכירה פומבית כאשר ההצעה הנוכחית, יום לפני סגירת המכירה, עומדת על 1.2 מיליון דולר.
3. העכברים ממשיכים לברוח מהספינה הטובעת שהיא אובר. האחרון שבהם הוא גם מי שהיה העובד הראשון של החברה והמנכ"ל הראשון שלה, רייאן גרייבס. גרייבס, כיום מנהל קרן הון סיכון, כיהן כסגן נשיא בכיר באובר עד 2017, ולאחר מכן ישב בדירקטוריון. כעת הוא מנתק איתה קשר סופית בעקבות "חילוקי דעות עם ההנהלה בנוגע לפעילותה ומדיניותה". או, במלים פחות מכובסות: החלטנו להתנקש בתומך הגדול האחרון של המייסד טראוויס קלניק.
4. והנה ההוכחה שפשוט אי אפשר ללמד חברות גדולות לקח. מיקרוסופט כבר הסתבכה לפני אי שם בפאתי המאה ה-20 כשקדמה את דפדפן אקספלורר על חשבון דפדפנים מתחרים באותה עת. בערך שני עשורים חלפו, אבל התרגילים לא השתנו: משתמשי כרום בווינדוס 10, שהתקינו תוסף אבטחה של מיקרוסופט, גילו שהוא למעשה נוהג להוציא אותם מכרום או פיירפוקס ולהעביר אותם לגלישה בדפדפן אדג' - היורש של אקספלורר. הכל אך ורק משיקולי אבטחה, כן?