בלי לגנוב ובלי להרוס: הישראלים שפורצים לחברות הכי גדולות בעולם

לא כל מי שמחפש פרצת אבטחה עושה זאת כדי לגנוב מידע או להשתלט על מערכות. במקביל לעולם ההאקרים הפליליים צמחה בעשור האחרון תעשייה גלובלית של "ציידי חולשות" - חוקרי אבטחה שמקדישים את ימיהם לניסיון לפרוץ למערכות של מיקרוסופט, אפל, מטא, גוגל, אנבידיה ואלפי חברות נוספות, אבל במקום להסתיר את הפריצה הם מדווחים עליה ליצרן ומקבלים בתמורה תגמול כספי.

הכלכלה הזו, המכונה "Bug Bounty", כבר אינה תחביב של כמה האקרים בחדר חשוך. סביב התחום נבנתה אקוסיסטם שלם: פלטפורמות כמו HackerOne ו-Bugcrowd שמתווכות בין החברות לחוקרים, תוכניות פרטיות שמיועדות רק לחוקרים בעלי מוניטין, תחרויות בינלאומיות שמחלקות מיליוני דולרים, וחברות סייבר שמפעילות צוותים שלמים שכל תפקידם הוא לאתר חולשות ולדווח עליהן. גם משרד ההגנה האמריקאי אימץ את הגישה, כשהשיק כבר ב-2016 את תוכנית Hack the Pentagon - תוכנית הבאונטי הראשונה של הממשל הפדרלי.

התגמול נקבע לפי חומרת הפגיעה: חולשות בעלות השפעה מוגבלת, כמו חשיפת מידע שאינו רגיש או שגיאות מקומיות, עשויות לזכות במאות דולרים בלבד, בעוד שחולשות קריטיות - למשל כאלה שמאפשרות הרצת קוד מרחוק, השתלטות על חשבונות או עקיפת מנגנוני אבטחה - עשויות להניב עשרות ואף מאות אלפי דולרים. בשנה האחרונה בלבד שולמו דרך HackerOne יותר מ־80 מיליון דולר לחוקרי אבטחה, בעוד גוגל לבדה חילקה יותר מ-17 מיליון דולר במסגרת תוכנית התגמולים שלה.

אבל מאחורי המספרים מסתתרת תרבות שלמה: דירוגים עולמיים, מרוץ להיות הראשון שמוצא את החולשה, קהילה בינלאומית שמכירה היטב את הכוכבים שלה - ותחרות שבה לפעמים הפרס הוא לא רק כסף, אלא גם המכונית שהצלחת לפרוץ אליה.

אלוף העולם הישראלי

עבור עמרי ענבר, מומחה אבטחה בחברת הסייבר Novee, המפתחת פלטפורמת AI לביצוע בדיקות חדירה, באג באונטי היה במשך תקופה מקצוע לכל דבר. לפני שהצטרף לחברה, הוא עבד כפרילנסר והקדיש את רוב זמנו למציאת חולשות עבור תוכניות התגמול של חברות טכנולוגיה. בשיאו אף דורג במקום הראשון בעולם בפלטפורמת HackerOne - הישג שהפך לכרטיס הביקור שלו בתעשייה.

ענבר מתאר את עולם הבאונטי כתחרות בלתי פוסקת בין חוקרי אבטחה. החברות אולי משלמות את הפרסים, אבל היריב האמיתי הוא אלפי חוקרים אחרים שמנסים למצוא את אותה חולשה לפניך. ככל שהתחום גדל, כך גם התחרות: חוקרים צוברים מוניטין, מקבלים ניקוד, ובהמשך מוזמנים לתוכניות פרטיות וסגורות שבהן הפרסים גבוהים יותר והגישה מוגבלת למעטים. "זה משחק של מספרים. התחרות היא נגד ההאקרים האחרים. אתה חייב לעשות משהו שאחרים לא עושים".

לדבריו, יש שתי אסטרטגיות עיקריות: לצלול לעומק של מערכת אחת ולנסות למצוא בה כמה שיותר חולשות, או לבחור סוג מסוים של חולשה ולחפש אותו בעשרות ואף מאות מוצרים שונים. "במקום לחפש המון דברים במקום אחד, אפשר לחפש דבר אחד בהמון מקומות. בדרך כלל שם מוצאים דברים שאחרים פספסו".

לדבריו, היתרון הגדול של תוכניות הבאונטי עבור החברות הוא כלכלי ומקצועי כאחד. במקום להסתמך רק על צוותי אבטחה פנימיים, הן מגייסות למעשה קהילה עולמית של חוקרים שפועלים מסביב לשעון. "צוות פנימי עושה בדיקות באופן תקופתי. זה לא אותו דבר כמו מאות אלפי אנשים עם מאגרי ידע שונים ויכולות שונות. וגם ברמת העלויות זה משתלם - משלמים רק על הצלחות".

בשנים האחרונות הוא רואה גם את השפעת הבינה המלאכותית. לדבריו, AI אמנם הגדיל משמעותית את מספר הדיווחים שמגיעים לתוכניות הבאונטי, אך חלק גדול מהם חסר ערך. "אנשים חושבים שמספיק לחבר את קלוד ולבקש ממנו למצוא חולשות. רוב מה שמגיע הוא זבל טהור. ה-AI יודע מה שסך האנושות יודע - החוקר הטוב צריך למצוא את מה שאף אחד עדיין לא יודע".

כשהחברה מעודדת את העובדים לרדוף אחרי הפרסים

אם ענבר מייצג את צייד החולשות העצמאי, ב-Tenable ישראל כבר הפכו את הבאג באונטי לחלק בלתי נפרד מפעילות המחקר. החברה, מהגדולות בעולם בתחום ניהול החשיפות, מפעילה צוותי מחקר שמאתרים חולשות במוצרים של ספקים אחרים, מדווחים עליהן דרך תוכניות הבאונטי - ומאפשרים לחוקרים לשמור לעצמם את מלוא כספי הפרס.

ארי איתן, דירקטור מחקר - אבטחת AI וענן בחברה, מספר כי מדובר במדיניות מכוונת שנועדה לעודד מצוינות מקצועית ולתגמל את החוקרים באופן ישיר. "ברגע שחוקר שלנו מוצא חולשה ומדווח עליה, כל כספי הבאונטי הולכים אליו. בלי תקרה".

הצוות מונה מספר חוקרים בלבד, אך בשנה האחרונה קיבלו יחד מאות אלפי דולרים במסגרת תוכניות הבאונטי של יצרנים שונים. החיפוש עצמו אינו אקראי. במקום לנסות למצוא כל חולשה אפשרית, החוקרים בוחרים מראש את המטרות היוקרתיות ביותר - מערכות שבהן פגיעה אחת עלולה להשפיע על מיליוני משתמשים. בין היתר דיווח הצוות על חולשות במערכות AI ובתשתיות ענן של חברות ענק.

אחד ההישגים הבולטים היה מציאת חולשה שאפשרה לפרוץ את מנגנון הבידוד בין שרתים בסביבת הענן של Google ולהריץ קוד בסביבה אחרת - חולשה שהובילה לתגמול במסגרת תוכנית הבאונטי של החברה.

לדברי איתן, הניסיון הוא עדיין היתרון התחרותי החשוב ביותר. "אם אתה מכיר חולשה ממקום אחד, אתה יודע לחפש אותה במקום אחר. זה משחק של ניסיון". גם הוא מתייחס למהפכת ה-AI, אך מזווית מעט שונה. "ה-AI הוא מכפיל כוח לחוקר מנוסה, לא למישהו שלא מבין".

ליגת האלופות של ההאקרים

בפסגת עולם ציידי החולשות נמצאת Pwn2Own - תחרות ההאקינג היוקרתית בעולם. כאן כבר לא מדובר בדיווח על חולשה דרך האינטרנט, אלא בזירה תחרותית שבה חוקרי אבטחה מגיעים פיזית, מקבלים זמן קצוב ומנסים לפרוץ למוצרים אמיתיים - ממחשבים ונתבים ועד מערכות רכב של טסלה – באמצעות חולשות שלא היו ידועות קודם לכן. מי שמצליח זוכה בפרס כספי, בנקודות לתואר היוקרתי Master of Pwn, ובחלק מהמקרים גם במכשיר שעליו השתלט.

אורי כץ, מנהל צוות מחקר בחברת Oligo Security, המפתחת פתרונות להגנת יישומי ענן בזמן ריצה, הוביל את הצוות הישראלי שזכה באחת מהתחרויות הללו. עד היום רק שלושה ישראלים מחזיקים בתואר Master of Pwn - ושלושתם היו חברי אותו צוות.

לדבריו, התחרות ממחישה מדוע חברות הטכנולוגיה משקיעות כל כך הרבה כסף בציידי חולשות. "לפעמים מבפנים קשה לראות את התמונה הכוללת, ואנשים מבחוץ מביאים פרספקטיבה חדשה".

במסגרת אחד ממחקריו מצא הצוות 23 חולשות בפרוטוקול של Apple שנמצא במגוון רחב של מוצרים - ממחשבי Mac ועד מערכות CarPlay. לדבריו, גם כאן ה-AI משנה את כללי המשחק, בעיקר בשלבים הראשונים של המחקר.

"פעם מיפוי משטחי התקיפה היה עבודה ידנית. היום AI עושה חלק גדול מהעבודה הזאת, ואנחנו יכולים להתמקד במה שבאמת דורש חשיבה". אלא שגם בסופו של דבר, הוא אומר, ההצלחה אינה נובעת מהכלים אלא מהדרך שבה חושבים. "יש הרבה עניין של ניסיון, ושל היכולת להיכנס לראש של התוקף".