שתו של נעם רותם וילדיהם יצאו לפארק מים ביוון. הוא, בגלל בעיה בברך, נשאר לבד בחדר במלון. היה לו הרבה זמן, ויש לו חשבון בטוויטר. הוא גלל את הפיד, עד שמשהו הקפיץ אותו. "ראיתי התנהגויות לא טבעיות ועניין אותי מה קורה שם, אז התחלתי להתחקות אחרי הנושא של הבוטים וחשבונות מזויפים", הוא מספר.
להאזנה לכתבה, הוקלט על ידי הספריה המרכזית לעיוורים ולבעלי לקויות קריאה
זה קרה בתחילת אוגוסט, והתוצאה, עד כה, היא שתי חשיפות של רשתות בוטים שפעלו בעברית. הראשונה, שאותה שרטט כבר באוגוסט, צייצה מימין המפה הפוליטית. השנייה, שאותה תיאר בתחילת החודש (בסיוע אקטיביסט הקוד הפתוח יובל אדם), כללה מאות בוטים שהרבו בציוצי תמיכה בראש הממשלה בנימין נתניהו ושהופעלו כנראה על ידי גורם זר, ייתכן מטורקיה. וזה רק קצה הקרחון של מה שקורה ברשת הישראלית. "יש לנו עוד כמה רשתות מאוד מעניינות", מגלה רותם בראיון ל"מוסף כלכליסט". "לפחות אחת מהן מופעלת בידי פעילי מפלגה, ואני לא יודע עד כמה הם מדווחים על זה כחלק מהוצאות התעמולה שלהם. כך שיכול להיות שיש פה השלכות מעבר ל'לא יפה'".
בשנה האחרונה נהפך רותם (40) לאחד השמות המוכרים ברשת הישראלית, ובעיקר באגף הסייבר שלה. איש הייטק במקצועו ואקטיביסט בזמנו הפנוי, זה שנים שהוא מתעניין בצד המלוכלך של עולם ההייטק הישראלי – מה שמתרחש מאחורי הקלעים של האתרים והשירותים שכולנו משתמשים בהם, אילו פרצות אבטחה וחורים יש שחושפים את המידע שבהם. בעבר הוא שמר את הממצאים לעצמו, או חלק אותם עם מפעילי האתרים – האקר מהזן הטוב, שמתריע מפני פרצות אבטחה. אבל בשנה האחרונה הוא מפרסם בטוויטר או באמצעות עיתונאים את התגליות המרעישות ביותר – למשל כאלה שנוגעות לפרצות אבטחה וכשלי פרטיות באתר גיוס המועמדים של השב"ס, בחברה שמפעילה את השירותים המקוונים של רשויות מקומיות רבות ובתשתיות מחשוב אחרות שהבעיות בהן חשפו עובדי ממשלה וגופים כגון נמל אשדוד, משרד החינוך, משרד הביטחון ובית המשפט העליון.
"זו האג'נדה שלי, לחשוף את הכשלים של המערכת שכביכול אמורה לפעול לטובתנו אבל בפועל פחות עושה את זה", הוא אומר. ומעבר לחשיפת בעיות אבטחה כאלה, בחודשים ובמיוחד בשבועות האחרונים הוא גם האיש שמאתר את מה שעשויה להיות הגרסה הישראלית לבחישה פוליטית אדירת ממדים שנעשית באמצעות הרשתות החברתיות. בפתחה של עונת בחירות, אנחנו עתידים לראות מתקפות נרחבות של עיוותים מקוונים מהסוג שהעין של רותם קולטת והקוד שלו מפצח, במלון ביוון, בבית במושב סמוך לירושלים או במשרד שלו בפתח תקווה. יכול מאוד להיות שרותם, בעבודה דון קישוטית כמעט שהוא עושה בהתנדבות, הוא שומר הסף החשוב ביותר של הרשת הישראלית כעת.
"הרבה דברים משפיעים על פעולות של אנשים", הוא מסביר את המוטיבציה שלו. "חלק מהאנשים מונעים מפחד קיומי, חלק מדאגה לעתיד שלהם ושל ילדיהם, חלק מרצון לשוויון, למניעת אפליה, ועוד. אלמנט חשוב נוסף שמשפיע הוא מה אנשים אחרים מסביב עושים. למשל, אם אדם אחד פועל לקדם אפליה ממוסדת בחוק, זה יכול להיראות לי הזוי ולא לגיטימי, אבל אם כל האנשים סביבי פועלים לקדם אפליה ממוסדת, מבחינתי זה הופך למשהו לגיטימי, 'רצון העם', ואני עשוי לחשוב שהערכים שלי לא מתאימים פה ולדכא אותם. זה פחות או יותר מה שעושה רשת בוטים: מנסה ליצור לגיטימציה מזויפת לדעות מסוימות ולדכא דעות אחרות. על ידי הרמת המסך מעל האופרציות האלה אנחנו מקווים לנטרל, או לפחות להחליש, את העדריות הסינתטית הזאת, ולתת קול לאנשים אמיתיים ולא לערימות של שקלים".
רשתות של חשבונות מזויפים ובוטים נהפכו בשנים האחרונות לאחד האיומים המטרידים ביותר על התנהלות תקינה של מערכות בחירות במדינות דמוקרטיות. במשאל העם על הברקזיט בבריטניה וביתר שאת בבחירות לנשיאות ארצות הברית, רוסיה השתמשה ברשתות כאלו כדי להפיץ פייק ניוז ולהעמיק את הקרע הפוליטי. בחודשים האחרונים התברר שהיא לא היתה היחידה — פייסבוק וטוויטר חשפו רשתות דומות שהופעלו מאיראן ופעלו לקידום אינטרסים שלה במדינות מערביות וערביות (ובאוגוסט חשפה חברת קלירסקיי הישראלית רשת איראנית נוספת שפעלה בעברית).
בארץ, הרשתות שרותם חשף הופעלו כנראה בידי גורמים מתוחכמים פחות ובעלי תקציב קטן יותר. זו שחשף באוגוסט פעלה בטוויטר, וכללה חשבונות שהתחזו לנשים צעירות, חלק מהן חיילות, שבין ציוץ פוליטי אחד למשנהו עסקו בפרסום תמונות מנופי ארצנו וברכות שבת שלום. במקרים רבים הציוצים הועתקו מילה במילה מציוצים של אנשי ימין (למשל, ציוץ של נחמיה גרשוני שאמר "מעניין אם את הזרעים של כל עלילות הדם בהיסטוריה של העם היהודי שתלו יהודים־נבלים"), ואחר כך צויצו מחדש בידי צייצני ימין מוכרים. מרבית החשבונות ברשת נסגרו לאחר חשיפתה.
הרשת השנייה נחשפה בתחילת החודש בתום שלושה חודשי עבודה, שבהם רותם ושותפו לחשיפה יובל אדם הקדישו כמה שעות ביום לעניין. היא כללה מאות בוטים וחשבונות מזויפים בטוויטר, שבשנה וחצי האחרונות חתומים על אלפי ציוצי תמיכה בנתניהו: רותם ואדם זיהו כ־150 חשבונות שפעלו ברשת, ויש כנראה עוד עשרות שזיהויים לא ודאי לחלוטין. מתוך 11,874 ציוצים של הרשת שנבחנו, כ־75% (8,830) מתייחסים באופן ישיר לנתניהו. רבים מהחשבונות עקבו זה אחרי זה והדהדו זה את ציוציו של זה, וחלק מהציטוטים התגלגלו לפרסום באתרים שמקורבים לנשיא רוסיה ולדימיר פוטין. במרכז הרשת עמד חשבון של משתמשת שמזוהה כישרא רוזן
(@rosennisrah), שמתארת את עצמה כ"חברה (Girlfriend) של בנימין נתניהו": כמעט 20% מציוצי הרשת הם ריטוויטים של החשבון הזה ויותר מ־10% נוספים הם שיחה עמו. הציוץ הנעוץ בחשבון, שפורסם בינואר, הכריז באנגלית: "אהובי נתניהו (אמוג'י לב) אני אוהבת אותך... אתה הנשמה שלי... אני מנשקת אותך משפתיים... יחד לנצח... אתה בלב שלי (אמוג'י לב) אתה המלך שלי... אני המלכה שלך". גם שאר הציוצים של החשבון מעריצים את נתניהו או מרטווטים אותו. ציוצים של חשבונות אחרים ברשת מנוסחים בעברית עילגת מאוד, כאילו תורגמו בשירות תרגום מקוון ("אמש הרגה טרוריסט פלסטין שני אזרחים ישראלים. הוא פגע בשני אנשים אחרים. לך לעזאזל!!!", צייץ למשל המשתמש "משה בני"). זמן קצר אחרי שרותם ואדם דיווחו לטוויטר על הרשת, היא סגרה את החשבונות. לשכת ראש הממשלה לא התייחסה לעניין.
לצורך זיהוי הרשת (ורשתות נוספות שאותן הם עדיין חוקרים) רותם ואדם יצרו כלים אוטומטיים שמיפו באופן כמעט מלא את כל רשת הטוויטר הישראלית ואת זו המקיפה אותה. השניים מיפו עשרות מיליוני חשבונות, על כל המידע הפומבי שבהם, כמו גם את הקשרים בין חשבונות שונים. המיפוי הזה אפשר להם לזהות ויזואלית שהקשרים ביניהם אינם טבעיים אלא מתוכננים, וכך להתמקד בחשבונות חשודים וברשתות שבהן הם פועלים. כשבדקו את הציוצים עצמם, מצאו שרבים מהם צויצו מ־Twitter Lite, המשמש בגלישה מהדפדפן בטלפון הנייד. למה זה חשוב? כי רבות ממערכות האוטומציה של רשתות הבוטים הפופולריות אוהבות לרוץ על הממשק הזה. כשהם בדקו מהו האימייל לשחזור סיסמה גילו כי לרבים מהחשבונות יש כתובת מייל מאותו דומיין — אינדיקטור משמעותי לכך שמדובר ברשת אחת. וכשהם בדקו את החשבונות לעומק, רותם ואדם גילו שאף שהחשבונות מצייצים בעברית, שפת הממשק שלהם היא טורקית. במילים אחרות, יש כאן רשת מובהקת, שככל הנראה מופעלת מטורקיה או דרך טורקיה.
"לרשתות כאלה יש מספר תפקידים", מסביר רותם. "הראשון הוא להראות תמיכה מזויפת בעמדה מסוימת וליצור לה לגיטימציה. השני הוא לתקוף אנשים שמביעים עמדה מנוגדת כדי להמאיס עליהם את השיח. ראינו את זה קורה בארצות הברית עם שורה של אקטיביסטים שחטפו כאלה מתקפות שחלק מהם פשוט היו צריכים להתנתק מהרשת. ראינו את זה בפינלנד עם עיתונאי שהתבטא נגד ההשפעה הרוסית, וראינו את זה באנגליה סביב הברקזיט. זה צבא של טרולים שהתפקיד שלו הוא לגרום לאנשים לחשוב אם שווה להם בכלל להביע דעה מסוימת, בהינתן מחיר כזה של תקיפה אישית ומכוערת. אנחנו רואים את ההתנהלות הזו בכמה רשתות בישראל, ומאמינים שזה רק ילך ויחמיר ככל שמתקרבים לבחירות".
אבל היו עוד תגובות, צפויות פחות, בעיקר לבוטים של נתניהו. "משרד החוץ הפיץ את זה בכל השגרירויות, והרבה שגרירים הפיצו את זה", אומר רותם. "וקיבלנו הרבה פניות מכל מיני גורמים להמשיך את המחקר, חוקרים ישראלים וגם אוניברסיטאות בארץ ובחו"ל – אוניברסיטת חיפה הציעה שנשתמש בשרתים שלהם, באוניברסיטה הפתוחה יש מעבדה שחוקרת את התחום, קיבלנו הצעות מאוניברסיטאות מישיגן ואמסטרדם, מאוניברסיטה בגרמניה. גם חברות מסחריות הציעו עזרה נדיבה, בכסף ובשרתים, אבל ביקשו לקבל את הדאטה. זה משהו שאנחנו פחות שמחים לשתף, כי זה מידע יקר ערך שיש לו שימושים מסחריים פוטנציאליים גדולים. אנחנו מעדיפים לא להיכנס לבור הזה".
כרגע ההצעות עוד נבחנות, הוא אומר, "ואנחנו מנסים לראות באיזה פורמט ממשיכים, ואיזה משאבים נוכל להביא לסיפור. השאיפה היא להביא מספיק משאבים שיאפשרו לנו להמשיך למפות רשתות בוטים, להעלות את קנה המידה ולנסות להסתכל על פייסבוק, שם הן עובדות באופן דומה ופונות לאוכלוסיות אחרות לחלוטין. בטוח יש שם פעילויות מעניינות לא פחות".
זו לא מלחמה בטחנות רוח? סגרת רשת בוטים אחת, תצוץ אחרת.
"לא קל להקים רשת כזאת, בכלל לא קל. מאוד מאוד יקר לבנות אותה, וזה רק נהיה יותר ויותר יקר. כיום, בהרבה מקומות בעולם, כדי לפתוח חשבון בטוויטר או בפייסבוק אתה צריך מספר טלפון, וזה לא יכול להיות אותו מספר טלפון. אם אתה רוצה רשת של עשרת אלפים חשבונות, אתה צריך עשרת אלפים מספרי טלפון. יש לזה עלות. ויום אחד סוגרים לך את הרשת, זהו, ואתה צריך עשרת אלפים מספרים חדשים. זה תועפות של כסף, והמון המון עבודה. לכן ההשוואה לטחנות רוח עושה עוול. ההשקעה בהקמה של רשת לעומת הסיכון של לאבד אותה לפני שממצים אותה היא גדולה מאוד. מי שהולך כיום להקמה של רשתות ועושה את זה בצורה חובבנית עדיף שיזרוק את הכסף שלו לים".
בהיבט הזה, צריך להבדיל בין עבודה של חברות שבונות רשתות, למשל עבור מפלגות, לעבודה רחבה יותר של מדינות זרות. "לרוסים יש אינסוף כסף, אז זה לא יפגע בהם", מודה רותם. "הם גם משקיעים באותנטיות הרבה יותר ממה שיכול להשקיע משרד פרסום. כמו שסטאלין אמר, 'על כל גרמני שנהרג נהרגים 10 רוסים, אבל יש לנו הרבה יותר רוסים'. למדינות יש הרבה יותר כסף מטוויטר או מפייסבוק וזו מלחמה ממש, והיא שונה מהמלחמה במפלגות, למשל. גם הכלים אחרים.
"אבל הרשתות החברתיות יכולות לעשות יותר כדי לפגוע במאמצים האלו של המדינות. אם החברות היו רוצות לסגור את רשתות הבוטים הן היו יכולות לעשות את זה בקלות יחסית, כי הן חשופות להרבה מידע שלנו אין. אבל הנאמנות של חברות מסחריות היא לא ללקוחות אלא לבעלי המניות, ואם הן יסגרו את כל החשבונות המזויפים הן יישארו עם הרבה פחות חשבונות, מה שייראה פחות טוב בדו"חות הרבעוניים. בתקופה האחרונה יש אמנם חלחול של ההבנה שזה חשוב, בטח אחרי שראינו את ההשפעה של הרשתות האלו בארצות הברית, בבריטניה ובצרפת. אבל כמו כל דבר, יש הבדל בין ההבנה לפעולה, ואני מקווה שהפעולה תעלה כיתה. בעיניי זה לא קורה מספיק".
בשנה האחרונה הפעילות של טוויטר ושל פייסבוק בתחום עלתה מדרגה, והשתיים החלו למחוק יותר ויותר רשתות של חשבונות מזויפים ובוטים, לאחר שגילו אותן בעצמן או בעקבות פניות שקיבלו מרשויות חוק או מגורמים פרטיים. בקיץ, למשל, הן מחקו רשת של חשבונות שהופעלו מאיראן — הפעם הראשונה שזוהה בוודאות גורם ברמת מדינה שיצא לקמפיין התערבות זרה נרחב במדיה החברתית, מלבד רוסיה כמובן.
אבל כאמור, לדעת רותם דרושה פעילות הרבה יותר רחבה של טוויטר ופייסבוק נגד רשתות כאלה. "הייתי מצפה שבתוך החברות האלה תהיה קבוצה שתפקידה לצוד את הרשתות האלה, ומכיוון שמדובר פה בהשפעות שחורגות באופן משמעותי מהרשת החברתית שלהן, השפעות שיש להן פוטנציאל להשפיע על חיים של מיליונים — הייתי מצפה שהן יעשו את זה בשקיפות מלאה. שיגידו אילו חשבונות נתפסו, מה הם ניסו לעשות, ושזה יקרה באופן קבוע, ולא פעם בכמה חודשים כשהן מרגישות את הלחץ הציבורי עולה. אני מאמין באמת ובתמים שאם הן היו רוצות — היה אפשר לתפוס את הרשתות האלה הרבה לפני שהן נהפכות לאיום על הדמוקרטיה. זה רק עניין של אינטרס".
רותם, שנולד בקיבוץ גת וגדל בשדות ים ובכפר ורדים, מתהדר בתואר האקר כבר יותר מ־30 שנה, מימי הינקות של הקהילה המקוונת בישראל. "כשהייתי בן 6 אבא שלי הביא מחשב הביתה, לקיבוץ. אחרי כמה משחקים אחי ואני התחלנו לכתוב תוכניות בשפת בייסיק. כשהיינו בני עשרה כבר כתבנו משחקים לאיזו חברה שפיתחה טלוויזיות חכמות", הוא מספר. "באותה תקופה התחיל גם להיכנס האינטרנט, ואז התחלתי כבר לפרוץ לאתרים ולחנויות שהתחילו לצוץ. אלה היו הימים הראשונים של האינטרנט, 1995-1994. אני וחברים בתיכון נכנסנו לכל מיני אתרים וחיפשנו פרצות אבטחה. היתה חנות מוזיקה שפרצנו לאתר שלה ודאגנו לקבל משם דיסקים חינם, מאתר אחר הזמנו גלגל גבינות אדיר בלי לשלם. בתקופה ההיא זה היה מאוד פשוט, אנשים לא הבינו מה זו אבטחה בכלל. היית יכול לקבל כל דבר בחינם".
זה לא תמיד עבר בשקט. "היו עניינים עם המשטרה, הם גילו את זה כי אחד החברים שלי דיבר – הוא לקח טרמפ עם מישהו והתברר שזה היה שוטר, לא איזו פעולה מודיעינית מתוחכמת. הזמינו אותי לחקירה על אחד הדיסקים שקיבלנו, פתחו תיק אבל זה נסגר. הם לא ידעו על הדברים האחרים, נתתי להם את הדיסק והם לא טרחו לשאול על ההמשך, לא טרחו להבין מה קרה. רצו למלא את הטפסים, אמרתי להם 'כן, כן, כן', וזה נגמר".
פעילות ההאקינג הזו נעצרה עם הגיוס שלו לצה"ל, שם נולדה הפעילות הפוליטית שלו. "התחלתי את השירות בקרבי ואחרי שנפצעתי עברתי למינהל האזרחי בג'נין. הייתי שם ב־1997. זו היתה תקופה של פיגועים, אבל בגדה היה יחסית שקט והיחסים עם הפלסטינים היו קורקטיים. הלכנו לסיורים משותפים בשטח, נהגנו לג'נין לארוחת צהריים. היה נחמד, אבל אתה רואה שם דברים שאתה כאדם צריך להחליט אם הם בסדר בעיניך או לא. ולי זה נראה מאוד לא בסדר. מעצרים ליליים, הריסות של אוהלים בכל מיני מקומות. אנשים שאין להם שום דבר ואתה בא ומראה להם מי האדון ומי הכלב. שם עברתי רדיקליזציה בתחום הפוליטי. מי שנכנס לשם יוצא או שמאלני קיצוני או ימני קיצוני, אין אנשים שנשארים באמצע". שנים אחר כך רותם פתח בלוג, "לפני המבול", שהביא לידי ביטוי את העמדות הפוליטיות שלו. הוא כתב על המצב בגדה, בעיקר על סוגיות כמו מעצרים מינהליים, וזכה לפופולריות רבה בקרב חוגי שמאל.
ואולם העיסוק העיקרי שלו היה עבודה שגרתית בהייטק. "ב־1999, שיא הבועה, הצטרפתי לחברת RU-Sure, שיוסי ורדי ייסד ממש אחרי מיראביליס ושהפעילה שירות להשוואת מחירים. הם קיבלו הצעה של כמה מאות מיליונים מ־AOL, אמרו: 'לא, אנחנו רוצים יותר', ואחר כך כבר סגרו אותם עם הפסד של כמה מיליוני דולרים. אחריה הקמתי חברה ופיתחנו מערכת של ניהול קזינו ומסחר בבורסה, שהופעלה בכמה אתרים ושירותים מקוונים למשך תקופה". ב־2004 הוא נסע להודו, ושהה שם כשנה וחצי. "נפצעתי שם, חזרתי לארץ לכמה חודשים, הכרתי את אשתי, ביום שהכרנו היא אמרה: 'יאללה, אני באה איתך להודו', היא הגיעה והתחתנו בהודו באמצע הג'ונגל, עם המשפחות".
רותם חזר לארץ, חזר להייטק, לחברת אדטק, ואחר כך הקים עם שותפים חברה משלו. "בהתחלה עסקנו ביצירת טראפיק — כל מיני דרכים לייצר תעבורה לאתרים, באמצעות בניית רשתות בוטים או כתיבת תכנים אוטומטית. חלק מהתכנים שהאלגוריתמים שלנו כתבו התפרסמו כמאמרים כלכליים באתרים שונים אחרי שעברו עריכה אנושית. היו לנו בוטים שהפיצו את הדברים האלו. שם למדתי איך פועלות רשתות בוטים. לפני כשמונה שנים עברנו לתחום שהיה מעניין ורווחי יותר, של פיתוח מערכות מחשוב ארגוניות לשוק עסקי גדול, ואנחנו כבר לא עושים בוטים".
רותם מקפיד לא לחשוף את שם החברה שלו או את השוק שבו היא פועלת. הוא משמש סמנכ"ל הפיתוח שלה, לא עוסק בה בסייבר, ומדגיש ש"כל מה שאני עושה מעבר לעבודה זה בגדר תחביב, בין אם זה ציד בוטים או האקינג". לדבריו, "המטרה היא למלא חסך, לעשות את מה שהמדינה היתה צריכה לעשות. צריך להסתכל על החברה האזרחית ועל המערכות של החברה האזרחית כמכלול, ולהתריע על הבעיות שאני מצביע עליהן. זה לא רק אני, יש עוד שורה של אנשים שעושים את זה".
חוץ מציד בוטים או האקינג, אגב, התחביב הנוסף שלו הוא מאפים, הכנתם ואכילתם. כמי שהגדיר את עצמו "פחמימה מהלכת", הוא נוהג להרחיב בנושא בטוויטר. "הקטע עם המאפים התחיל בדיווח על פרצה חמורה למערך הסייבר. דיווחתי והלכתי להכין סמבוסק. לקח להם כל כך הרבה זמן לענות עד שהכרזתי על תחרות 'מי מהיר יותר — מערך הסייבר או סמבוסק', והסמבוסק זכה. מאז זה נהפך לסוג של משחק, אבל גם מערך הסייבר התחיל לענות הרבה יותר מהר".
אף שמעולם לא עסק בסייבר באופן מקצועי, הניסיון של רותם בעולם הפיתוח סיפק לו תובנות ייחודיות על התחום. "כשאתה לומד לבנות מערכות גדולות ואתה מכיר את הליכי הפיתוח, את הכשלים בתהליכים, את סוג האנשים שמגיע לתפקידים שונים בפיתוח, קל לך להצביע על כשלים במקומות אחרים", הוא מסביר. "הרבה אנשי סייבר מגיעים לתחום כאנשי סייבר. הם לא עברו את התהליך המלא של מפתח זוטר, מפתח בכיר, מנהל, ולכן הם פשוט לא מכירים את העולם של הפיתוח ואיך הוא באמת פועל.
"יש לי תיאוריה שאני קורא לה תיאוריית הנפל. לגייס מפתחים זה עסק יקר וארוך — צריך למצוא אותם, לסנן, לקלוט, ללמד. עד שאתה רואה תוצר מבן אדם זה יכול לקחת חודשים ארוכים, ולא תמיד כל הגיוסים טובים, הרבה פעמים גם מי שעבר את הסינונים לא עושה את העבודה כמו שצריך. כמנהל אתה חושב שאולי אתה לא קולט אותו כמו שצריך, והוצאת כבר כל כך הרבה כסף, אתה רוצה לנסות להציל את המצב. אז אתה משאיר אותו, נותן לו כמה דברים ומנסה לעזור לו לצאת מהבור שהוא נמצא בו. באופן טבעי, בכל צוות יש את החזקים, הרוב שהם סבירים, ממוצעים, וישנו הנפל. את משימות הליבה נותנים לחזקים, את כל המודולים והפיצ'רים של האמצע לממוצעים, ואת הפיצ'רים הכי מיותרים והכי הזויים, אלו שמנהל שיווק צעיר ביקש ושלאף אחד אין כוח לעשות, נותנים לנפל. ובאיזשהו שלב אפילו לא בודקים את הקוד שלו כי אומרים: 'אוי ואבוי מה הוא עשה שם'. כך עולים פיצ'רים איומים, שהרבה פעמים יש להם השלכות אבטחה איומות. זה מה שקרה באתר הגיוס של השב"ס. עלה פיצ'ר מטופש, משהו של שליחת הודעה, שנתן גישה מלאה לכל המערכת".
הפרצה שמצא באתר לגיוס מועמדים לשב"ס, שאותה הציג באפריל ב"כלכליסט", חשפה מידע רגיש רחב – שם מלא, מידע מסווג על השירות הצבאי (כולל ביחידות סודיות), מידע רפואי ועוד – על אלפי ישראלים שניסו להתקבל לעבודה בשירות בתי הסוהר. זו אחת הפרצות המטרידות ביותר שאיתר עד היום, אבל כאמור היא לא היחידה. במקרים אחרים הוא גילה חורי אבטחה חמורים במערכות של "אוטומציה החדשה", החברה שמפעילה את מערכי המחשוב והשירותים המקוונים של רשויות מקומיות רבות; פרצה במערכת המקוונת של מפעילת כרטיס המסעדות סיבוס, שחשפה פרטים מלאים על הזמנותיהם של מאות אלפי לקוחות, כולל עובדי ממשלה; ופרצה בהטמעה של מערכת שיירפוינט של מיקרוסופט (שקשורה לאופן שבו הותקנה המערכת ולא נמצאת באחריות ענקית התוכנה), שחשפה מידע של גופים רבים במשק, כולל משרד החינוך, יחידות של משרד הביטחון ובית המשפט העליון. ובדרך כלל, כאמור, מאחורי הכשלים רותם מזהה את הנפלים.
"לרוב לנפל יש כזה חוסר מודעות, שעל כל הפיצ'רים הוא חותם בשמו. בשב"ס זה היה מישהו שקוראים לו דני, בסיבוס סיגל. הם פשוט קוראים לפונקציות על שמם ומתגאים בהן. מפתחים רציניים לא יחלמו לשים את השם שלהם על פיצ'ר — אתה לא עושה את זה, אתה קורא לפיצ'ר על שם מה שהוא עושה, לא על שמך. כשאני רואה כזה דבר אני יודע שיש פה תהליך פיתוח רקוב ומישהו שלא יודע מה הוא עושה. אז מצאתי את הנפל, ועכשיו אני אתחיל להתחקות אחרי מה שהוא עשה. והרבה פעמים אתה מוצא כניסה למערכת דרך העבודה של אותו נפל. ומי שלא עסק בפיתוח, מי שלא ניהל פיתוח אף פעם, יחשוב שיש שם מוזר של פונקציה אבל ימשיך הלאה כי זו רק עוד פונקציה. אבל מי שעסק בפיתוח ומכיר את הדינמיקות בצוות יכול לשים על זה את האצבע. ברגע שאתה מכיר את התהליכים אתה יודע שמפה אפשר להיכנס. זה לא תמיד קורה, אבל לא מעט פעמים הצלחתי למצוא את החור בגדר בזכות השלט שהנפל שם עליו".
הבעיה, כמובן, אינה רק בנפל. הוא מעין הש"ג שפישל, אבל הבעיה מערכתית. "חברה נורמלית בחיים לא היתה מעלה קוד כזה, כי יש בקרת קוד ותהליך עבודה של בדיקות. כשאתה רואה הערות בקוד ופונקציות שהוסרו, אתה מבין שאין תהליכים של בדיקות ויודע איפה להסתכל. מי שאף פעם לא עשה את זה, אף פעם לא נכשל בזה, לא ידע למצוא את זה במקומות אחרים. אני מסתכל איך עבדתי לפני 20 שנה, איזה קלולס הייתי, ואומר: 'הו, הנה מישהו כזה'. מה נעם של לפני 20 שנה היה עושה? עכשיו אני יודע איך למצוא את זה".
הידע והניסיון שלו הם אלה שמאפשרים לו לדעת בקלות איפה הוא ימצא בעיות. "זה כמו שטבחים הולכים למסעדות אחרות והתפריט המלוכלך אומר להם: 'אוי ואבוי מה קורה פה'. כשאתה מסתכל על מערכת אתה מקבל רושם אם היא מקצועית. ברגע שיש חריקות, אתה תדע שברגע שתפתח את מכסה המנוע תראה שם חיות".
גם גולשים מהשורה מרגישים את זה — יש אתרים שכיף להיכנס אליהם, ויש אתרים שאין חשק להגיע אליהם.
"בדיוק. וברגע שאני מקבל את התחושה הזו, אני יודע להרים את מכסה המנוע ולהגיד: 'יש פה בעיה איומה. כל המידע שלכם חשוף'. וכאמור, זה לא רק אני, יש רבים שמתעסקים בתחום".
רותם נהג לדווח לחברות על הפרצות שמצא עד ש"הצטברו יותר מדי דברים, ואמרתי 'לעזאזל, זו לא בעיה שלי, זו בעיה שלהם, שהם יפתרו אותה', והתחלתי לפרסם את זה". כשהוא מדבר על בעיות האבטחה, ניכר תסכול עמוק של לוחם צדק. "זה לא יכול לעבוד ככה", הוא אומר. "לא הגיוני שב־2018 המערכות עדיין מוגנות בצורה כל כך חובבנית. זה פשוט לא יכול להיות. אתה רואה את כל הדליפות בחו"ל, שמידע יוצא, נמכר ומפורסם, ובארץ לאף אחד לא אכפת, אף אחד לא מסתכל על זה. אז מישהו צריך לעשות את זה. ואם לא נגרום לכך שלחברות יהיה חשוב להגן על המידע שלנו, אף אחד לא יעשה את זה".
התגובות שהוא מקבל כשהוא חושף פרצות מגוונות. "במקרים רבים לספר למישהו שיש לו חור במערכת זו לא חוויה נעימה. יוצא לי לקבל לא מעט איומים מרומזים יותר ופחות. קיבלתי שיחת טלפון מחברה גדולה מאוד, מסביב לשולחן ישבו כמה עורכי דין שאמרו לי שאם אגיד שמידע לא יצא מהמערכת הם לא יצטרכו לפנות לשב"כ ולעצור אותי. כל מה שהיה אכפת להם זה לכסות את עצמם, ולעזאזל המידע של, ליטרלי, מיליוני אזרחים. כשמדובר בחברות קטנות יותר — כבר איימו עליי שיגיעו אליי הביתה. לשמחתי זה לא קרה".
ואתה חושב שלחשיפות שלך יש השפעה שיכולה לחולל שינוי עמוק, מעבר לתיקון הנקודתי?
"קשה לענות על זה, אבל אני רוצה להאמין שכן. יש חברות שמבקשות ממני לבדוק אותן כי הן מפחדות שהמידע שלהן פתוח, ולפעמים אני עושה את זה. אני מקבל מסרים מחברות שאכפת להן, וגם מגופים ממשלתיים. הם יודעים שיש כשלים, לא תמיד יש להם יכולת למצוא אותם והם מבקשים שאפנה אליהם אם אמצא. אני מכבד את הבקשות האלו. אם זה מישהו שאכפת לו מהפרטיות של המידע שברשותו אני מוריד בפניו את הכובע. הפרסום זה החלק הקטן בסיפור הזה — אם הם מתייחסים לאבטחת המידע ברצינות, אני איתם עד הסוף".
כשאתה נתקל בפרצה בגוף עם מידע רגיש, מה הסיכוי שאתה באמת הראשון שרואה את זה?
"זו שאלה מעולה. מה שאני עושה זה תמיד להיכנס למערכות פרוצות משני מקומות בעולם (באמצעות VPN, שירות שמאפשר למשתמש להציג עצמו כגולש ממקום אחר בעולם) כדי שמנהלי האבטחה של החברות לא יוכלו להגיד, 'היתה לנו רק פרצה אחת והמידע לא יצא החוצה'. אני מצפה שהם יבואו אליי וישאלו מאיפה נכנסתי, כדי לוודא שאני היחיד. עד היום, זה לא קרה אפילו פעם אחת. אני יודע שהם לא בדקו את זה, כי לא שאלו אותי. ומדובר ביותר מ־100 גופים שהמידע שלהם נחשף.
"נקודת ההנחה שלנו צריכה להיות שמה שאני מוצא אחרים מצאו קודם. אפשר לעשות מיליונים מהמידע שאני מוצא. זה שאני עושה את זה כתחביב בערב בבית זה נחמד, אבל זה לא תחליף לשום דבר אחר. וזה מגיע ממש לכדי סכנה ביטחונית למדינה. למשל הסיפור של נמל אשדוד — קיבלתי גישה לכל מערכת אישורי הכניסה של הנמל, גישה לסידור העבודה לפי מכולות. העובד צריך לבדוק מכולה? אני אלך אליו, אתן לו מעטפה ואעביר את מה שאני רוצה. יכולתי, עקרונית, לסדר לעצמי אישור כניסה לנמל, לסמן מכולה כאילו נבדקה.
"או במקרה של שב"ס — הפרצה אפשרה לזהות אנשים שעבדו בשב"כ, צלפים, תפקידים מיוחדים במשרד ראש הממשלה. כל הקורות חיים שלהם, מסמכים רפואיים, הכל היה שם. תחשוב איזה כוח יש לארגון זר שחשוף לדברים האלו. במקרה אחר מצאתי את מספרי תעודות הזהות של מנהלי המערכות של משרד ממשלתי, תחשוב איזה כוח יש לך אם יש לך אפשרות ללחוץ על מנהל כזה, איזה מידע אפשר להוציא משם".
יש אנשים שאמורים לעשות את העבודה הזאת, הוא מזכיר. "במערך הסייבר של המדינה יש מאות עובדי מדינה שמקבלים תועפות של כסף על הנושאים האלה אבל שמים את הפוקוס על דברים אחרים. בעיקרון הם היו צריכים לעשות הכל כדי להגן על המידע שלנו, אבל הם מגינים בעיקר על מידע ממשלתי".
וזה לא נגמר, כמובן, במשרדי ממשלה. "מצאתי פרצה במערכת מקוונת לניהול קופות רושמות פופולריות, שיושבות בהמון בתי עסק, מפיצוציות עד חנויות בקניון. היא אפשרה גישה לכל המידע של הקופות האלה. מצאתי קופה של מכר שלי, הרמתי אליו טלפון ואמרתי לו: 'נכון בשעה ככה וככה בן אדם בשם ככה וככה שילם סכום כזה?'. הוא שאל איך אני יודע, ועניתי: 'אני בתוך הקופה שלך'. הוא אמר: 'לא נכון, תגיד מה הפדיון היומי שלי?'. אמרתי לו. 'ושל אתמול?'. אני אומר לו. התחיל לבכות. זה הביזנס, החיים שלו, הוא הקים את זה בעשר אצבעות, ופתאום כל המידע על כל העסקאות הכי קטנות שלו פתוח ברשת. דבר כזה יכול להרוס עסק, אלפי עסקים".
למה להרוס? זה לא שאנשים יפסיקו לקנות אצלו.
"אני יודע מי קנה ומה הוא קנה. מי ילך לחנות כשכל הקניות שלו פרוצות ככה ברשת?".
רוב האנשים.
"זו הגישה שאני נלחם בה. אני לא רוצה שיידעו איזו משחה קניתי או מה אכלתי לארוחת צהריים".
נראה שלרוב האנשים זה לא מפריע.
"זה מה שאני רוצה לשנות, ואני מאמין שיש ניצנים של שינוי בתפיסה שזה בסדר שכל המידע פתוח. אם אני יודע שבכל יום שני אתה הולך לאכול צהריים ואוכל קיש עם סלט, ואני חורש את רעתך, אני יכול לתפוס אותך שם. אם אני יודע שקנית טלוויזיה חכמה מדגם כלשהו שיש לה חולשות כאלו ואחרות, אני יכול לנצל אותן נגדך. ככל שיש יותר מידע, כך אתה פגיע יותר".
אבל אתה יודע מה אנשים אומרים: "לא אכפת לי שיידעו כי אין לי מה להסתיר" או "שיגנבו לי את הזהות, גם ככה אין לי כסף. מה יגנבו, את המשכנתא?".
"זה בדיוק העניין. אפשר להכניס אותך לחובות שאתה בחיים לא תצליח לצאת מהם. אנשים שחושפים את כל החיים שלהם, אני לא בטוח שעושים את זה עם מודעות להשלכות. הרי אין לך מה להסתיר עד שיש לך מה להסתיר. אני אתן לך דוגמה: צ'צ'ניה. עד לפני כמה שנים היה לגיטימי להיות שם הומו. אנשים אמרו בגלוי 'אני הומו, אני תומך בהומואים, אין לי בעיה עם הומואים'. יום אחד המשטר השתנה, והיום זה לא חוקי להיות שם הומו. ופשוט הלכו אחורה, לקחו את כל המידע של מי שאמר שהוא הומו והכניסו אותו למחנות ריכוז. רצחו שם המון הומואים שחשבו שאין להם מה להסתיר. מה שהיום לגיטימי, מחר לא יהיה לגיטימי. זו לא דיסטופיה מטורפת, זה דברים שקורים כיום. אתה חושב עכשיו שאין לך בעיה להסתיר שקנית, שצפית או שעשית, אבל מחר אולי כן תהיה לך בעיה עם זה ואז כבר לא יהיה מה לעשות. לכן כל כך חשוב להיות מודעים למה שאנחנו חושפים ולמי אנחנו חושפים את זה, ולדעת איך להתמודד עם זה. לא צריך לשבת עם כובע אלומיניום במרתף של הבית ולמלמל תהילים כל היום, אבל יש דברים קטנים שאפשר לעשות כדי למנוע נזק".
ואתה נופל בדיוק בפח שאתה מדבר עליו. רק מלעקוב אחרי הטוויטר שלך אני יודע שאתה חובב גדול של מאפים. זה כבר פתח שמישהו יכול לנצל.
"אבל אלה דברים שאני בוחר לחשוף. אני לא חושף את הילדים שלי, למשל. על הבעיות בברך שלי כתבתי, כי זה חלק משמעותי מחיי שלא הרגשתי צורך להסתיר, אבל דברים אחרים אני לא רוצה שיידעו. ואם מישהו רציני רוצה לטרגט אותך, לא משנה מה תעשה אתה תיפול. אבל רוב האנשים לא מספיק מעניינים כדי שיטרגטו אותם. גם אני לא חושב שאני מספיק מעניין. כך שהמלחמה היא לא בזה, אלא ברשת שאוספת את כל המידע. המעקב ההמוני, לא המעקב האישי. ובסופו של דבר, מה שאני חושף זה מידע שאני בוחר לחשוף. את המידע הרפואי שלי בקופת חולים אני לא בוחר לחשוף, ואם מישהו אחר חושף אותו זה אקט של אלימות כלפיי. זה הכל עניין של אחריות שלנו. אנחנו מספיק בוגרים כדי לדעת מה אנחנו רוצים שאחרים יידעו או לא יידעו. זה עניין של הסכמה. האם אני מסכים שיידעו שאני אוהב מאפים? כן. האם אני מסכים שיידעו מה אמרתי אתמול לרופא בקופת חולים? חד־משמעית לא. זה ההבדל. בחירה. זו האג'נדה של קריפטו־פארטי: תדע, וברגע שאתה יודע תעשה בחירה מושכלת".
קריפטו־פארטי היא תנועה עממית בינלאומית של מפגשים שמטרתם להנגיש לציבור כלי הצפנה ופרטיות מתקדמים. היא נולדה באוגוסט 2012 באירועים שאורגנו בתוך שעות באוסטרליה, ארצות הברית, בריטניה וגרמניה, ולישראל הגיעה לפני חמש שנים, אחרי שרותם הכיר את יובל אדם, מי שאחר כך יהיה שותפו לחשיפת הבוטים ובעבר השתתף באירועים של התנועה בגרמניה. "לסדנאות שלנו מגיעים אנשים שרוצים לדעת איך להגן על עצמם טוב יותר ברשת, והכלים שאנחנו נותנים הם פשוטים מאוד, לא דורשים מאמץ מיוחד ויכולים לעשות שינוי אמיתי. למשל, התקנה חד־פעמית של כלי כמו מנהל סיסמאות יכולה לחסוך לך תועפות של כאבי ראש, משהו קטן שיכול להציל את הפרטיות שלך. יש גם אימות דו־שלבי, הצפנה, כלי מסרים מיידיים, מדברים על היתרונות והחסרונות של קוד פתוח מול קוד מסחרי – שאלה של איפה האינטרס נמצא. האינטרס של פייסבוק הוא בעלי המניות, לעומת פרויקט קוד פתוח שאין לו בעלי מניות ולכן האינטרס הוא רק אתה. אלה דברים מאוד בסיסיים, אבל עם השלכות מאוד רחבות. אם כולם יישמו את זה, הפרטיות של כולנו תהיה טובה הרבה יותר".