אהלן חברים,
קוראים לי עידו, ואני הדבר הזה שאנשים מכנים "האקר".
התואר הזה מייצר באופן אוטומטי קונוטציות שליליות, אך עולם ההאקרים מלא בסוגים שונים של אנשים, וביניהם גם כאלה שבחרו בטוב.
בחרתי לקרוא לספר שלי "האקר סטנדרטי", זהו גם שם הבמה שלי, אף שבמקצוע שלנו יש הכול חוץ מחיים סטנדרטיים.
נולדתי בקיבוץ כברי שבגליל המערבי וגדלתי בעפולה, הבן השני מבין ארבעה בנים. לא הגעתי לעולם עם כפית של זהב בפה, ופילסתי את דרכי האישית והמקצועית בעשר אצבעות, בעבודה קשה, ביזע ודמעות. לולא אנשים טובים שעזרו לי וכיוונו אותי למקומות הנכונים, הייתי בקלות עלול להפוך לעבריין, פורע חוק ואפילו פושע־על בקנה מידה בין־לאומי.
החיים בפריפריה היו קשים, והיכולת למנף פוטנציאל כלשהו עלתה בתוהו בגלל חוסר הכוונה. מצאתי את עצמי שוב ושוב מוטח אל הקרקע ואיבדתי אמונה ביכולות שלי. הנורמה הייתה לי קשה לעיכול, והפכתי לנער פרוע שנשלח לפנימייה צבאית לחיות שם לצד נערים, חלקם אלימים, שנמצאו כל הזמן במלחמת הישרדות חברתית וכלכלית. השנים בפנימייה, שאותה שנאתי, היו עלולות בקלות לדרדר אותי לרחוב. למרות זאת, צברתי עוד ועוד שכבות הגנה ותעוזה שסייעו לי בהמשך הדרך. יצאתי משם, התגייסתי ליחידה מובחרת ומשם סללתי את הדרך לתואר במדעי המחשב, שהביא אותי לתחום העיסוק שלי בעשור האחרון.
היום, בגיל שלושים וחמש, אני נשוי לאורטל ואב לשלוש בנות - אופיר, ליאור ואורי. אני נחשב מומחה סייבר בקנה מידה עולמי, ויש לי ולאורטל חברה משגשגת בתחום בשם Security Joes. אני מפרסם מחקרים על תקיפות האקרים ועל מלחמות מקוונות, המקבלים תהודה בעיתונים בין־לאומיים נחשבים בעולם הסייבר, משתדל לתרום מזמני להכוונה של אנשים אחרים בקריירה, ועוסק בצבירת ידע ובשמירה על איזון פנימי.
אז איך מגיע ילד נכשל מעיר פרבר קטנה לחיים מלאי הישגים, ומה למד במהלך הדרך הקשה? על כך תוכלו לקרוא בספר.
ועוד משהו: אני מרגיש שמלווה אותי סוג של השגחה. מעולם לא דיברתי עליה, אבל למדתי לדבר אליה הרבה, ואני רואה אותה טוב יותר מיום ליום. השגחה היא סוג של מלאך שומר. אין לה פנים או נוכחות, אבל היא שם. היא מביאה אליי אנשים טובים ודואגת שהם יכוונו אותי לדרך הנכונה. היא גם כנראה עושה הכול כדי להראות לי שהאנשים בסביבתי צריכים את העזרה שלי, וכך נפתחות בפניי דלתות נוספות, ואני צובר סיפוק רב מהעשייה שלי. קשה לפענח אותה, אבל היא שם.
קריאה מהנה.
שלכם באהבה,
עידו נאור
פרק 1
טורפי על
מסע הרפתקאות בדיוני בעולם בן מיליוני שנים, שבו יצורים ענקיים חיים בשלום עם אימא אדמה בסביבה מרתקת ועוצרת נשימה, עומד במרכז העלילה של הסרט הידוע "פארק היורה", שאף פעם לא נמאס לי לצפות בו שוב ושוב. למרות היופי הבלתי נתפס של העולם הקדמוני, טורפי על נודדים בין שטחי המחייה השונים וטורפים יצורים שהטבע לא סיפק להם מנגנוני הגנה חזקים דיים להישרדות. בני אדם, כמו בני אדם, מהר מאוד מזהים בטורפים הללו את הפן העסקי, ועתיד פיסת האלוהים הזו הולך ומתעוות ככל שיותר אנשים נחשפים לסוד הקסם. לאחר שהספרים הפכו לחוויית קולנוע, העיוות קיבל נופך חדש שדרכו אפשר ממש לראות איך העולם שאנו חיים בו היום מזריק מהיכולות שלו לתוך טורפי העל הללו והופך אותן למכונות הרג מושלמות, לכאורה.
יצורים ענקיים חיים גם בעולמנו כיום, ואיתם גם טורפי על מזן שונה מזה המוצג על המסך. עידן היורה אולי הסתיים, אך עידן חדש בשם "סייבר" נולד, והוא גדל בצורה אקספוננציאלית, רחוק מאוד ממה שאימא אדמה דמיינה. טורפי העל היום הם תאגידי ענק, ממשלות, מדינות וצבאות, והיצורים הענקיים הם תשתיות בין־לאומיות קריטיות, כמו: חברות תעופה, רשתות רכבות, קווי ספנות מסחריים ועוד. קשה לנו לגלות את טביעת רגלם כשהם מחוברים לרשת האינטרנט, או יותר נכון - טביעת האינטרנט שלהם, אך היא שם, ניזונה ממידע אינסופי הזורם בין אותות החשמל. גם אם לעיתים נראה שאותם יצורים מוגנים מאחורי חומות שאי־אפשר לפצח, זוהי טעות. מספיק ללמוד קצת על עולם הסייבר כדי לפתוח את השער למציאות שונה לגמרי מזו שאתם מכירים. טורפי העל בעולם המודרני חיים את הג'ונגל הווירטואלי ויודעים כיצד לאסוף מידע רב אשר יוביל אותם לליבה של אותם יצורים ענקיים. טורף כזה אינו בעל צורה מוגדרת, וקשה מאוד להבין כיצד הוא בנוי. למרות זאת, אפשר לעלות על עקבותיו ולשייך אותן לארגון או למדינה עוינת.
מחקר טורפי העל של עולם הסייבר הפך למוקד העולם המקצועי שלי ממש לא מזמן. בעיניי, חקר הווירוסים במחשב הפך להיות דומה יותר ויותר לפלאונטולוגיה (חקר מאובנים בשכבות האדמה), מפני שווירוס אינו מתחיל ומסתיים בתקיפת סייבר אחת. מדובר בשרשרת של אירועים הקשורים זה לזה במבנה שתוכנן בקפידה, ממש כמו מבנה העצמות של טורפי העל בעידן היורה. כל זיז עצם שכלל את עצמו במשך דורות של התפתחות אבולוציונית, כדי להוסיף ליכולת ההישרדות ולעוצמה של הטורף. כך בדיוק נראות קבוצות של האקרים הפועלות במימון של מדינה או של ארגון עוין כלשהו, ומדובר בהון עתק.
המונח המקצועי הכולל המגדיר את הקבוצות האלו בעולם הסייבר הוא APT -Advanced Persistent Threat (איום תמידי מתקדם).
"בוקר טוב עידו". הבוס שלי התקשר אליי מרומניה. תקשרנו באנגלית, ושלו הייתה במבטא רומני כבד. "אנחנו בעיצומה של חקירת APT. אנחנו חושדים שהמקור איראני וצריכים את עזרתך".
בשיחה הוא הסביר לי כיצד טורפי על מהמפרץ הפרסי השאירו עקבות אצל ספקים של חברות ביטחוניות, וביקש ממני ליצור קשר עם גורמים ביטחוניים בישראל כדי להסתייע בהם.
"אני שולח לך כמה דגימות לחקירה. תמלא בדוח החקירה את הממצאים וצור קשר עם משרד הביטחון שלכם", הוא סיכם.
ליצור קשר עם משרד הביטחון? מדהים.
"אביאל, תחזור אליי, אחי, בזמנך", שלחתי הודעת וואטסאפ לאחד החברים שלי מהיחידה בצבא.
לא הייתי בטוח באיזו יחידה אביאל משרת כיום, אבל זכרתי שאחרי הצבא הוא נשאר במשרד הביטחון, ובטח החליף כבר כמה תפקידים מאז. אחרי שעות אחדות הוא חזר אליי.
"מה קורה, ידו?" הוא כתב, מחסיר בכוונה את האות ע' מהשם שלי.
"שומע, אני צריך אותך בהקשר של סייבר, תוכל לקשר אותי למישהו אצלכם?" הרגשתי נינוח לשתף.
"וואו, נשמע מעניין! כן בטח, אני אקשר אותך לדנה, היא מנהלת אצלנו אירועים בנושא".
הוא קידם אותי במשימה ברגע. בתוך זמן קצר התארגנה שיחת וידאו משותפת ביני, בין דנה ובין אנדריי.
"היי דנה, כאן אנדריי. אני מנהל מחקר הווירוסים והבוס הישיר של עידו. אני אשמח לשתף כמה פרטים".
דנה בעיקר הקשיבה, אני יצרתי גשר תרגומי מעבר למילים המסובכות ולאיורים הלא ברורים, והיא הנהנה מרחוק.
"מה שאתה אומר זה, שכרגע כמה ספקים של משרד הביטחון הישראלי מודבקים בנוזקה (תוכנה שמטרתה לחדור או להזיק למחשב) שיש בידיה יכולות ריגול?" היא ירתה שאלה וקטעה את רצף ההסבר על המחקר.
איזו ישראלית טיפוסית, חשבתי לעצמי בגאווה. ישר ולעניין, כל הכבוד דנה!
"אנחנו חושדים שאכן זה המקרה", אנדריי ענה בנימוס אירופאי.
"אז מה אנחנו אמורים לעשות?" היא הובילה.
"כרגע אנחנו צריכים שתתני לעידו גישה לספקים הללו כדי שנוכל לבדוק את הרשתות שלהם".
"עידו, זה בסדר?" אנדריי ביקש את אישורי.
"ודאי", השבתי.
לא היה לנו זמן לשקול מה לעשות וגם לא עמדו בפנינו יותר מדי אופציות.
למחרת דנה יצרה איתי קשר וביקשה ממני להגיע לבסיס צבאי סודי במרכז הארץ. כשהגעתי למקום, היא המתינה לי בכניסה ויחד ירדנו במעלית לקומת המרתף, ויצאנו למסדרון חדרים אפרורי למדי. לובשי מדים לא היו שם, אבל זה לא היה נראה אפילו קרוב למשרדי הייטק, שלעיצוב המפנק שלהם כבר התרגלתי. חדרים חדרים חצינו את המסדרון, וכולם נראו אותו דבר.
הגענו למשרד של דנה. היא נתנה לי לפטופ וכרטיס חכם לטובת גישה למקורות מוגנים. על המחשב שקיבלתי היה סטיקר עם השם שלי, ועל הכרטיס היה כתוב: "מערכת עיט". התחברתי מרחוק לרשת, ומשם לאחד הספקים שנותן להם שירותי מחשוב. שלפתי מהתיק כונן נייד שהכנתי מבעוד מועד ושקיבל את אישור המשרד, וחיברתי אותו למחשב. בכונן אני מחזיק תוכנות רבות וקטעי קוד שהכנתי במשך השנים, ואלו יסייעו לי בחקירה. סריקה של הרשת הביאה אותי למצוא את השרת המרכזי, התחברתי אליו כדי להאזין לטווח התקשורת. השרת המרכזי בתעבורת הרשת שקול לתחנה מרכזית של אוטובוסים - כולם חייבים לעבור שם.
התחלתי לסנן את הבקשות. חלקן יצאו מדפדפנים של עובדים, חלקן מתוכנות וידאו או צ'אט כמו סקייפ ויצרו לי רעש לבן. אני חיפשתי כתובות ספציפיות, שרתים שיושבים במפרץ הפרסי. הנה! מצאתי אחד! מצאתי שרת אפליקציה אחד שעליו אתר האינטרנט של הספק תקשר בצורה מוזרה, עם אחת הכתובות שאנדריי שיתף איתי! צללתי לתוך השרת כדי לקבל תמונה ברורה יותר. תיקיות האתר הן אלו שמשכו אותי קודם, למרות שהתהליך שהדליף מידע אל השרת האיראני היה אחד אחר. עשיתי חיפוש קצר, אך זה היה צעד יומרני מדי מצידי. נכון, חשדתי שהתוקפים הגיעו דרך האתר, אבל הייתי חייב פרמטרים נוספים כדי לזקק את החיפוש שלי. היו שם יותר מדי קבצים. ניגשתי לתהליך ופירקתי את התוכנה לגורמים - לחתיכות קוד קטנות. חיפשתי מה מפעיל את הקריאה לשרת האיראני.
השעות עברו מהר ולא שמתי לב שהיום עמד להיגמר. הרגשתי שלחץ הזמן לא תורם לריכוז שלי. הגיע הזמן להפסקה קצרה. החלטתי לעלות למטבחון שבקומה העליונה כדי להכין לי קפה שחור וליהנות מסיגריה אחרונה. פניתי לכיוון המעלית, כשאני משאיר מאחוריי את כל הציוד שלי נעול במשרד הקטן בו ישבתי.
"עידו", שמעתי קול מאחורי גבי רגע לפני שנכנסתי למעלית.
הסתובבתי לאחור ומולי עמדה ידידה ותיקה, אשתו של חבר טוב שלי. היה לי ברור שאסור לה לדעת מה אני עושה פה.
"מה אתה עושה פה? אתה בסייבר וזה, לא?" היא חייכה אליי בשאלה.
"באתי לבקר חברים. את זוכרת... 504..." ניסיתי להסיט את הנושא.
"וואלה? יש פה חברים מהיחידה?" היא הופתעה.
שיט, איך לא חשבתי על זה שיש סיכוי שהיא הייתה במודיעין, חלפה בי מחשבה מהירה.
"באילו שנים היית ביחידה? אני לא זוכר", ניסיתי לשאוב ממנה מידע.
"אני? וואו, 2009..." היא ניסתה להיזכר.
"אז את לא מכירה, גואטה עובד פה. הוא מהמחזור של 2002", חזרה לי הנשימה.
התחבקנו לשלום וחזרתי למעלית.
הדלקתי את הסיגריה וחשבתי על האיראנים. שאפתי בנשימות עמוקות עשן סמיך מזיק לריאות, שבהן השקעתי שנים של פיתוח כושר קרבי. הייתי חייב את החטא הזה כדי להחזיק מעמד. כיביתי את הסיגריה בפח גלילי מאלומיניום, לקחתי שלוק אחרון מהשחור וירדתי שוב למשרד. החלקתי את האצבעות על העכבר והמשכתי לסרוק את הקוד של התוכנה הזדונית.
נראה היה לי שהיא נכתבה לדיסק של המחשב. החלטתי לנסות לחפש את אותו תאריך בקבצי האתר. החיפוש הניב כמה קבצים שנוצרו גם הם באותו יום. אחד מהם היה קובץ שעלה כתמונת פרופיל, אך לא היה קובץ תמונה. זהו קובץ שנקרא Webshell. הוא מורכב מצמד המילים web, מפני שצורת התקיפה היא דרך הדפדפן, ו־shell, מפני שהוא יוצר מעטפת (קליפה, שריון) שדומה מאוד לסייר הקבצים במערכת ההפעלה "חלונות". הקובץ נותן להאקר גישה למערכת הקבצים של השרת דרך אתר החברה.
"אנדריי, מצאתי ספק אחד. נקודת הכניסה הייתה דרך Webshell", דיווחתי לבוס שלי, "התוקפים מתקינים תוכנה שמתקשרת עם השרת שמצאנו, ומשם מבצעת השתלטות מלאה על הרשת. היא כנראה תישאר רדומה ולא פעילה עד שיחליטו לצאת לכיוון המטרה האמיתית - משרד הביטחון".
המחקר הזה לא ראה אור יום. הוא נגנז על כל פרטיו ונותר חסוי. חזרתי למשרדים האפרוריים שבקומת המרתף בהמשך עוד כמה פעמים. בפעם ההיא אומנם הצלחנו למגר את ההתקפה של אחד מטורפי העל החזקים בעולם, השוכן לו אי שם במפרץ הפרסי, אך כל מי שמבין בעולם הסייבר יודע, שהוא שולח זרועות תמנון ארוכות לכל רחבי העולם. מבחינתי, המחקר הפלאונטולוגי רק החל. ידעתי כי עלינו לשמור מעט מהממצאים שגילינו כדי להרכיב מפה מדויקת של אותו טורף, ובאמצעותה לזהות קורבנות ביטחוניים נוספים במדינות אחרות.
בינתיים, בואו נתחיל מההתחלה - סיפורו של האקר סטנדרטי. מוכנים?
