דו"ח טכנולוגי
חברות סייבר התקפי מקלות על האקרים ופושעים לפרוץ לנו לחיים ולשבש אותם
אם חברות סייבר התקפי היו חושפות את הפרצות שהן מכירות, החיים של כולנו היו כנראה בטוחים הרבה יותר; הפנטגון יילחם בפייק ניוז; פייסבוק נכשלה בכך בברזיל לאחרונה וקורקינטים חשמליים מהווים סכנת חיים במקרה של הוריקן
אפילו אם כל מה שחברות סייבר התקפי, כמו NSO הישראלית לדוגמה, מספרות לנו על פעילותן נכון. ואפילו אם חברות אלו, שמוכרות לממשלות כלי ריגול שמבוססים על פרצות סודיות שמצאו, באמת מספקות את השירותים שלהן רק לממשלות שמקפידות לשמור על זכויות אדם. גם אם נעשה שימוש במוצרים האלה רק כדי למנוע פיגועים ולעצור מחבלים. וגם אם כל הדיווחים המבוססים (והאמינים) שלפיהם נעשה שימוש בתוכנות של NSO למעקב אחרי פעילי זכויות אדם, עיתונאים ומתנגדי משטר במדינות כמו ערב הסעודית מופרכים לחלוטין. גם אז יש בפעילותן של החברות, או ליתר דיוק בפעולות שהן לא עושות, כדי לסכן משתמשים ולחשוף אותם לפעילות של פושעי סייבר, לפגוע בזכויות אדם ואפילו להביא לרדיפה בקנה מידה רחב של אוכלוסיות ומיעוטים.
גלי ההדף שהתעוררו בעקבות חשיפת גוגל על פרצות בנות שנתיים במערכת ההפעלה של האייפון הם ראיה מצוינת לכך. בסוף השבוע דיווחה חטיבת מחקרי הסייבר של גוגל שבמשך כשנתיים הצליחו האקרים להפיל בפח מאות אלפי משתמשי אייפון. זאת תוך שהם פורצים למכשירים וגונבים מהם מידע. אלה התבצעו בסיוען של 14 פרצות, בהן שתי פרצות שלא היו ידועות בעבר (מה שמכונה בז'רגון Zero Day) והן איפשרו לתוקפים לקבל גישה כמעט לכל המידע שעל המכשיר. הדרך לנצל אותן התבססה על הקמה של אתרים מזויפים ברשת, ושליחת קישורים אליהם למשתמשים תמימים שהקלקה אפשרה את החדרת הנוזקה. על פי הבדיקות שבוצעו, הנוזקות שהוחדרו דרך האתרים הזדוניים שימשו לריגול וגניבת מידע מהמכשירים. כל הפרצות, למעט השתיים שלא היו ידועות קודם לדיווח, נחסמו בפברואר האחרון.
אם נשים בצד לרגע את העובדה שגוגל מנצלת את המשאבים האדירים שלה על מנת לבייש באופן לא הוגן את אחת המתחרות הגדולות שלה, וזה כי פרצות אבטחה יש לכל מערכת תוכנה מורכבת, כולל אנדרואיד של גוגל עצמה. יש כאן גילוי חמור על סדרת חורי אבטחה שיכולה לאפשר לתוקפים להשתלט באופן מוחלט על חייו של אדם. ההאקרים קיבלו גישה לכמעט כל המידע הרגיש שאוחסן באייפון. החל משמות משתמשים וסיסמאות שאוחסנו ברכיב הפנימי של האייפון, עבור בהודעות אישיות מווטסאפ, טלגרם ו-iMessages, דרך תמונות ועד ניטור בזמן אמת של מיקום המשתמש. להאקרים זה מאפשר מגוון שימושים זדוניים, ובהם התחזות, סחיטה או גניבה רגילה באמצעות חדירה לחשבון הבנק של המשתמש באפליקציה.
אבל דיווח של TechCrunch מהלילה חשף שימוש זדוני לא פחות. לפי הדיווח, כמה מהאתרים שניצלו בשנתיים האחרונות את הפרצה על מנת להחדיר נוזקות לאייפונים כוונו נגד האוכלוסייה האויגורית בסין, בני מיעוט מוסלמים שהם כיום אחת הקבוצות הנרדפות במדינה. לדברי מקורות, האתרים הופעלו על ידי גורמים שעבדו בשירות ממשלת סין. פעילות זה משלימה דיווחים אחרים על מערך המעקב הדיגיטלי שמפעילה סין נגד האויגורים, שהוא כנראה ההתגלמות הקרובה ביותר כיום לחזון הדיסטופי שהביא ג'ורג' אורוול בספרו 1984. גוגל, אגב, לא הפיצה את שמות האתרים ששימשו במתקפות, מידע שיאפשר לחוקרים לזהות עוד קרבנות ממוקדים של המתקפות האלו.
יכולות כלי הריגול שזיהתה גוגל, ואופן ההפצה שלהם – שליחת קישור לאתר זדוני – מזכירים מאוד את שיטת הפעולה של תוכנות ריגול דוגמת פגסוס של NSO. על פי הפרסומים הרבים עליה, גם זו מופצת באמצעות קישור שנשלח לקרבן דרך הודעה, וגם היא מספקת לתוקף גישה מלאה למידע שעל המכשיר ויכולות כמו ניטור בזמן אמת של פעילותו (למשל, דרך האזנה לשיחות או הפעלה מרחוק של המצלמה).
חשוב להדגיש שאין שום דיווח שקושר בין NSO לפרצות או למתקפות שמתוארות בדו"ח של גוגל, אבל גם אם החברה לא ידעה על פרצות אלו ספציפיות, היא מכירה ושומרת לעצמה (זה הרי סוד מסחרי, זו פרנסתה) מספר לא ידוע של פרצות אחרות המספקות יכולות דומות ומופצות באופן זהה. מכיוון שהיא שומרת על שיטות אלו בסוד, היא אינה יודעת אילו עוד גורמים גילו אותן ומשתמשים בהן. אבל היא צריכה לדעת שהיא כנראה לא היחידה שמצאה את הפרצות האלו, וכמו שעובדי NSO וחברות סייבר התקפי אחרות הצליחו לגלות אותן, כך צריך להניח שגם גופים גדולים ובעלי משאבים, מדינות כמו סין, ארה"ב וישראל, מצאו ועושים בהן שימוש. לכן זה לא מקרה שמדינות בעלות יכולות סייבר מהשורה הראשונה לא נזקקות לשירותי סייבר התקפי – יש להן יכולות כאלו בעצמן.
האם חברות סייבר התקפי מכירות את הפרצות באייפון, ששימשו את ממשלת סין כדי לרגל ולדכא את אוכלוסיית האויגורים? אין שום דרך לדעת. האם חברות אלה מכירות פרצות שייתכן ונעשה בהן שימושים בעיתיים על ידי גורמים עצמתיים שגילו אותן בעצמן? בוודאות גדולה. הסיכוי שחברות כמו NSO הן היחידות שמכירות ומשתמשות בפרצות שזיהו נמוך ביותר. החברה צריכה לדעת את זה, צריכה לפעול מנקודת הנחה שכל פרצה שהיא מכירה מכיר גם מישהו אחר, ושאין לה שום דרך לדעת אילו שימושים הוא עושה בה.
ובנקודה זו טמון הסיכון החבוי של פעילות NSO ודומותיה. גם אם החברות באמת פועלות כמו שהן מבטיחות, וכלי הריגול שהן עצמן מפתחות ומוכרות משמשים רק לפעילות לגיטימית ולאכיפת חוק כמו מלחמה בטרור. בעצם כך שהן מכירות פרצות אבטחה ומאפשרות להן להמשיך להתקיים, הן לוקחות סיכון שגורמים מפוקפקים הרבה יותר, משתמשים בהן למטרותיהם הנלוזות.
מהרגע שקיימת פרצת אבטחה במוצר כלשהו, אין שום אפשרות לשלוט בה ובשימושים שנעשים בה. אפל ידעה זאת היטב כאשר התנגדה לפני 3.5 שנים לדרישת ה-FBI שתיצור פרצה במערכת ההפעלה שלה, על מנת שהסוכנות תוכל לחדור לאייפון של מחבל שביצע פיגוע ירי. "הממשלה רוצה שאפל תיצור מוצר נכה ולא מאובטח", הסבירה אז החברה לבית המשפט. "מרגע שתהליך כזה ייווצר, הוא יפתח בפנים פושעים וסוכנים זרים את הדרך לגשת למיליוני אייפונים. ומרגע שהממשלה שלנו תיצור אותו, יהיה זה רק עניין של זמן לפני שממשלות זרות ידרשו כלי זהה".
אפל הבינה שהפרצה קוראת לגנב, ושברגע שזו קיימת, בלתי נמנע שיהיו גורמים שינצלו אותה לרעה. בסופו של דבר החברה סירבה ליצור אותה בעצמה. חברות הסייבר ההתקפי כמו NSO לא יוצרות את הפרצות, אבל הן מאפשרות להן להמשיך להתקיים מכיוון שזה משרת את מטרותיהן העיסקיות. גם אם על הדרך הן יכולות לשמש למטרות זדוניות של גורמים שאינם קשורים אליהן. כן, ברור שאם NSO לא היתה פעילה היא לא היתה מגלה את הפרצות האלו וממילא לא היתה יכולה לדווח עליהן. אבל טור זה לא עוסק בהיסטוריה אלטרנטיבית אלא במציאות הקיימת.
במציאות זו, אנשי הסייבר ההתקפי יודעים שכל פרצה שהם מגלים ומשאירים פתוחה יכולה להיות מנוצלת לרעה על ידי שלל גורמים שגילו אותה גם הם – החל מפושעי סייבר ועד מעצמות שמבקשות לרדוף את אזרחיהן ויריביהן. איך הם מתמודדים עם מצב זה, עם ההשלכות המוסריות של החלטתם שלא לחשוף ולהביא לתיקון הפרצות שהם מוצאים? זו כבר ההתמודדות המוסרית שלהם. אנחנו, בתור אזרחים, צריכים לכל הפחות להיות מודעים גם להיבט זה של פעילותן. היבט שמצטרף לכך שהתדמית שמנסה החברה לקדם אינה מדויקת, ושבפועל הן כן מוכרות את כלי הריגול שלהן לגורמים שעושים בהם שימושים פחות מהולמים, בלשון ההמעטה.
קצרצרים
1. משרד ההגנה האמריקאי משיק פרויקט שנועד להילחם בפייק ניוז (או, בשפה ביטחונית, "מתקפות דיסאינפורמציה אוטומטיות בקנה מידה גדול"). לפי בלומברג, סוכנות דארפ"א של הפנטגון מפתחת תוכנה שתוכל לזהות פייק ניוז וגם כוונות זדון במטרה למנוע התפשטות ויראלית של פייק ניוז. המטרה היא להפעיל את המערכת בזמן לבחירות 2020. זה מצוין. מערכי פייק ניוז מופעלים בחסות ובמימון של מדינות דוגמת רוסיה, סין ואיראן. הפעולות שפייסבוק עושה טובות ויפות, ורושמות הישגים, אבל צריך משאבים ברמה של מדינה כדי לזכות להצלחה משמעותית לאורך זמן.
2. וראיה לכך אפשר למצוא בבחירות לנשיאות ברזיל שנערכו ב-2018. פייסבוק התגאתה במוכנותה ובפעילותה במהלך הבחירות, שלדבריה סייעה להלחם בתפוצת הפייק ניוז. ואולם, ניתוח שביצעה החברה עצמה מגלה שפייסבוק כשלה בזיהוי ובחסימת התנהגות חשודה או מידע שגוי בקנה מידה גדול, ושהחברה נאלצה להסתייע בשותפי צד ג' מכיוון שלא השלימה פיתוח של כלי זיהוי פרואקטיבי.
3. אינסטגרם מפתחת כלי חדש שיסייע לצמצם את הספאם באזור המסרים המידיים באפליקציה. הכלי החדש יאפשר למשתמשים להגדיר שרק אנשים שהם עוקבים אחריהם יוכלו לשלוח להם מסרים ישירים, גם אם החשבון שלהם מוגדר כפומבי.
4. הקורקינטים השיתופיים שפושטים על רחובות ערים ברחבי העולם עלולים להפוך למפגע מסכן חיים בדרך חדשה (בנוסף לדרכים המוכרות שנגרמות כתוצאה מנסיעה לא זהירה על הכביש או על המדרכה). במיאמי, שנערכת בימים אלו להוריקן דוריאן, הורו לחברות הקורקינטים שפועלות בעיר לפנות את כלי הרכב שלהם מהרחובות לפני הגעת הסופה. החשש: הרוחות, שיכולות להגיע למהירות של עד 130 קמ"ש, יישאו על כנפיהן את הכלים הקלים ויהפכו אותם לקליעים מעופפים ומסכני חיים.