"ב־25 השנים האחרונות תעשיית הסייבר לא עשתה עבודה טובה בהגנה על אנשים". רוברטס, השבוע // צילום: יהושע יוסף // "ב־25 השנים האחרונות תעשיית הסייבר לא עשתה עבודה טובה בהגנה על אנשים". רוברטס, השבוע

"קל יותר לפרוץ למטוס נוסעים מאשר למכונית הפרטית שלכם"

כנער הוא חדר למחשבי בנק, הגיע לפי פרסומים עד לתחנת החלל הבינלאומית, והתפרסם כשפרץ למערכות של מטוסים מסחריים • בראיון לרגל שבוע הסייבר באוניברסיטת ת"א, ההאקר כריס רוברטס מספר מה גורם לו לאתגר את עולם אבטחת המידע, ומזהיר מפני טרור בשחקים מצד דאעש

"כריסטופר, זה בשבילך", צעקה בחוסר שקט אמו של ההאקר כריס רוברטס. היו אלה תחילת שנות ה־80 באנגליה, ומבעד לדלת ניצבו כמה שוטרים שהגיעו לבדוק איך לעזאזל פרץ ילד בן 14 למערכות הבנק המקומי, והעביר כסף מהחשבון של אביו אל החשבון שלו.

"זה היה המבוא שלי לאכיפת חוק", נזכר כיום רוברטס (47), כ־30 שנים אחרי האירוע המכונן. היתה זו, אפוא, רק התחלתה של קריירה מרשימה, אם כי שנויה במחלוקת, של מי שהפך בחלוף השנים לאחד ההאקרים הידועים בעולם.

עם השנים, הוא ושותפיו הספיקו לפרוץ למערכת תאורה בחוף המערבי בארה"ב כדי לשדר, בהבהובי פנסי רחוב, הודעות מורס גסות לתחנת החלל הבינלאומית, שעד היום לא ברור אם נקלטו על ידי אסטרונאוטים. בהמשך נקשר שמו לניסיון לשדר ל"קיוריוסיטי", רכב החלל של נאס"א על המאדים, את ההמנון הלאומי של הממלכה המאוחדת.

מעשה נוסף, שעליו הוא משום מה קצת פחות שש לשוחח, הוא הפריצה למחשבי נאס"א שבעקבותיה, כך לפי הפרסומים, הצליח לשנות את הטמפרטורה בתחנת החלל הבינלאומית. רוברטס לא מאשר את הדברים, אלא רק אומר בחיוך: "לפני ארבע שנים נתקלתי באישה נפלאה שזיהתה את שמי ואמרה לי שהיא עבדה בנאס"א בתחנת החלל. אמרתי לה: 'אני מתנצל בפנייך על מה שקרה', והיא אמרה: 'זה כל מה שרציתי לשמוע'".

בנאס"א טוענים שזה בלתי אפשרי, המערכת הזאת שכביכול נפרצה אפילו לא מחוברת לאינטרנט.

"יש הרבה מערכות שלא מחוברות לאינטרנט, וזה לא חייב להיות מחובר לאינטרנט. אם זה לא מחובר זה לא אומר שזה מאובטח. כל מה שאתה צריך לדעת זה מהיכן מגיע אות, איך הוא משודר, והאם יש בו חפיפה".

אבל רוברטס הוא לא סתם האקר חובב שרק מתגרה במערכות החוק. חברות פרטיות וגופי ביטחון ברחבי העולם, חלקם ממשלתיים, נעזרים בשירותיו. ואם שואלים אותו מדוע ביצע את אותן פריצות, הוא מספר כי "זה אמנם כיף ואפשרי, אבל יותר מכך - ניסינו להדגים שהאנושות ממשיכה להציב טכנולוגיה בלי מספיק שיקולי בטיחות וביטחון, בלי מספיק אחריות".

גישה ישירה לקוקפיט

רוברטס נולד בקפריסין וגדל באנגליה ואיטליה. בגיל 15 עזב את בית הספר, ולאחר שבילה קצת פחות משנה באוניברסיטת אוקספורד, הבין שגם האקדמיה היא לא בשבילו. מהמראה שלו קשה להתעלם: זקן ארוך בצבעים מתחלפים, וחצאית סקוטית מסורתית, כיאה לשורשיו הסקוטיים. הוא מתגורר בקולורדו, ארה"ב, עם בת זוגו, ויש לו שתי בנות. "בתי בוחרת את הצבע של הזקן. היא חושבת שיש לה אבא מגניב, כזה שמטייל הרבה, מופיע לפעמים בעיתונים וחוזר עם סיפורים מעניינים מחו"ל".

את ניסיונו הטכנולוגי הוא מתעל כיום לתפקידו כראש אגף מחקר והנדסה בחברת אבטחת המידע LARES. לארץ הוא הגיע כדי להשתתף בשבוע הסייבר הלאומי השנתי של המרכז למחקר סייבר בינתחומי ע"ש בלווטניק באוניברסיטת ת"א, מערך הסייבר הלאומי במשרד רה"מ ומשרד החוץ. האירוע מתקיים זו השנה השמינית ומפגיש מומחי סייבר וגורמים מדיניים, ביטחוניים ועסקיים כדי לדון בהיבטים דיפלומטיים של טרור ופשעי סייבר, שיתופי פעולה בינלאומיים, סייבר וחינוך הדורות הבאים בתחום, פתרונות חדשניים להגנה ועוד.

ואם אמרתם סייבר, אמרתם כריס רוברטס. לצד ההרפתקאות שלו עם נאס"א, הוא "חקר" בחייו גם לא מעט מטוסים, כך לפי פרסומים שונים: בשנים 2014-2012 הוא נהג להתחבר למערכת המולטימדיה של מטוסי נוסעים, ולאחר מכן פרץ למערכת המטוס, וכך היה יכול לצפות ולעקוב, למשל, אחרי מערכת הניווט, מד הדלק וממשק המנוע. אחד המקרים הידועים שבו היה מעורב אירע בשנת 2015. לאחר שירד מטיסת יונייטד הוא עוכב על ידי ה־FBI בחשד שפרץ למערכות המטוס.

אלא שדווקא באותו מקרה, רוברטס מפריך את הדברים. "כולם אמרו לי 'לאן פרצת?' ואמרתי להם 'לא פרצתי'. מה שקרה הוא שאחד מארגוני בטיחות התעופה שחררו הודעה שלפיה מטוסים חשופים לפגיעות. איירבוס שחררו הצהרה נגדית ואמרו שהמטוסים בטוחים לחלוטין. באופן אירוני, הייתי בזמן הזה בטיסה לעיר סירקיוז כדי לתת הרצאה על בטיחות במטוסים.

"הייתי באופן חוקי בוויפי של המטוס, וחבר שלח לי הודעה - האם ראיתי את הדיווח הזה. הייתי קצת מתוסכל מכך, שלפתי מדריך טיסה, הסתכלתי בקונטרול איך לפרוס את מערכת החמצן, ושלחתי הודעה 'אני יושב במטוס, זה מה שאפשר לעשות'. זה כל מה שעשיתי. בטח שלא שיניתי את נתיב המסלול של המטוס. התקרית של 2015 היא לא יותר מאשר אי הבנה".

האם זה בכלל אפשרי לשנות את מסלול המטוס?

"יש מחנה אחד שאומר שזה לא אפשרי, ויש מחנה אחר שאומר שזה אפשרי - להגיע ממערכת הבידור למערכת שליטת הקבינה, ולמערכות נוספות, ואז לקבל גישה ישירה לקוקפיט. צריך לדעת את כל הדרכים ואיך לפרוץ אותן, ונדרשת גם גישה לתוכנת התחזוקה של המטוס, וכן מידע על אתר ההצפנה. אם יש לך את אלה - הטענה היא שאפשר לעשות זאת".

ולאיזה מחנה אתה שייך?

"אני שייך למחנה שאומר שאם המטוס מאחר, כדאי שנגביר קצת את המהירות".

הניסיונות שעשית נשמעים כמו משחק בחיי אדם.

"כשעשינו את המחקר היינו משוגעים מרוב זהירות. וזו כנראה הסיבה שגם לא עצרו אותי על הדברים".

לאחר האירוע חברות תעופה יצרו איתך קשר כדי לקבל סיוע בתחום הביטחון?

"נערכו כמה שיחות. אחת מיצרניות הרכיבים ביקשה סיוע. כשהגעתי בעבר לשבוע הסייבר בישראל, אל על ביקשה לדעת היכן נקודות החולשה שלה, ואני נותן להם הרבה קרדיט שהם ביקשו לדעת את הדברים".

כהאקר, כיצד אתה מתרשם מהבטיחות של אל על?

"הם לוקחים את הנושא יותר ברצינות מאשר כמה מהחברות האמריקניות. הם באמת רצו להבין מה ניתן ומה אפשרי לעשות, ולשפר. היתה בינינו שיחה טובה".

האם וויפי בטיסה ישפיע על היתכנות הפריצה למטוסים?

"זה לא אמור להשפיע, היו ליצרניות מספיק שנים כדי להפריד בין המערכות השונות על המטוס באופן בטיחותי. בכלל, אני חושב שמטוסים הם בטוחים, עד כמה שהם יכולים להיות".

אלא שלא לעולם חוסן. רוברטס מספר כי כיום "פריצה למטוס, אם אתה על הקרקע, יכולה לקחת דקות. על המטוס עצמו זה לוקח יותר. אם נכנסת למערכת הבקרה, פוטנציאלית ניתן להגיע לרשת שבה המטוס משתמש ואחרי זה? אני לא יודע. לא חקרתי מעבר לכך".

ההגנה של אייר פורס 1

אגב, לא רק רוברטס סבור שניתן לפרוץ למטוסים. רק בשבוע שעבר פורסם כי מומחי סייבר מהמחלקה לביטחון המולדת בארה"ב פרצו למטוס בואינג 757, ובעקבות האירוע גם הגיעה מהם אזהרה מדאיגה - "זה רק עניין של זמן" עד שהאקרים יפגעו בטיסות מסחריות.

רוברטס טוען כי אם המחלקה לביטחון המולדת פרצה למטוס, "פוטנציאלית כל אחד יכול, גם דאעש (המדינה האסלאמית; ר"פ). בהתחשב במה שאני יודע ובמה שאני חושב שהמחלקה לביטחון המולדת יודעת, זה עניין של זמן עד שהמידע הזה יגיע לידיים שירצו להשתמש בכך בצורה שלילית. ארגוני הטרור הם חכמים, ויש להם אותו מידע כמו שיש לנו. יש להם אמצעים, כסף ויכולות - ולכן הטיעון הוא שזה רק עניין של זמן".

המחלקה לביטחון המולדת פרצה לדגם מטוס הזהה למטוסו האישי של דונלד טראמפ. מה זה מלמד על יכולת ההגנה של מטוסו?

"אני מקווה שהם פעלו יחד עם השירות החשאי כדי לוודא שהמטוס של טראמפ לא חשוף לאותן פרצות, ואני מקווה שיש לו אבטחה טובה יותר".

ומה לגבי אייר פורס 1?

"לפי ההבנה שלי, הושקעו מחשבה ואמצעים רבים כדי לוודא שכל נשיא שנמצא שם יהיה בטוח לחלוטין".

זה יהיה נחמד עבורך כאתגר לבדוק את זה?

"הייתי שמח שתהיה לי ההזדמנות החוקית לעשות זאת. זה יהיה נהדר אם יאפשרו לכמה מאיתנו לפרוץ אליו בתוך, נאמר, 72 שעות. כולם ילמדו מזה".

טלוויזיות (לא) חכמות

רוברטס, שלא מפסיק לאתגר את עולם הסייבר, סבור כי אט־אט אנו מטמיעים בחיינו, ובגופנו, יותר טכנולוגיה, ובכך הופכים למושא לתקיפה. "זה רעיון מפחיד", לדבריו. "לא רחוק היום שבו יעשו האקינג למוח האנושי. ולצד זה, אין מספיק אנשי אבטחה ולא הצלחנו לעצור את הפריצות. זה הולך להיות מלוכלך. צריך לבצע שינוי לפני שכל האורות ביבשת כזו או אחרת ייכבו.

"תעשיית הסייבר לא עשתה עבודה טובה בהגנה על אנשים. ב־25 השנים האחרונות איבדנו כל כך הרבה מידע. רק ב־2017 נגנבו 4-2 מיליארד פיסות של רשומות נתונים - תיקים רפואיים, זהויות של אנשים, כרטיסי אשראי, רישומים צבאיים. זו כמות עצומה.

"ובכלל, דיברנו על מטוסים, אבל אם תשאל אותי - המיקוד וחלק מהפתרונות יותר מפותחים במכוניות מאשר בתחום התעופה. זו התחושה שלי".

אז מורכב יותר להאקר לפרוץ לרכב מאשר למטוס?

"כן, קשה יותר לפרוץ למכוניות מאשר למטוסים. מושקע שם הרבה מאוד כסף ומיקוד, כולל מגוון מוחות. אין כזה גיוון בתחום ביטחון הסייבר בתעופה. פשוט אין".

וכמה קל לפרוץ למכשירים אלקטרוניים ביתיים, כמו טלוויזיות חכמות?

"זה קל כמעט כמו לפרוץ למחשב עם ווינדוס 2000".

כיצד נראה מסע בין מדינות כשאתה כריס רוברטס?

"זה די נחמד. לפעמים אנשים מזהים אותי בשדה ובמטוס, ושואלים אותי 'אתה הבחור?' ואני עונה שכן. 'האם זה בטוח?' כן. 'האם תפרוץ למטוס?' לא. לעזאזל, אני על הדבר הזה, אני לא רוצה שיתרסק".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו