ההאקר החרדי שהפך למומחה סייבר: העולם אינו בטוח
ישראל גורט, ההאקר ה-25 בהיכל התהילה של גוגל, פצחן הכובע הלבן הישראלי השני (כנראה) ברשימה העולמית, מספר איך מלב בני-ברק הוא הגיע לחזית מאבק הסייבר הגלובלי, ואיך הסטארט-אפ החדש שלו קשור לתיקון עולם
שום דבר בחזות החיצונית של ישראל גורט - בן 26, נשוי, תושב בני-ברק המשתייך לאחת החסידויות הגדולות - לא מעיד שהוא אחד מההאקרים המובילים בישראל. לא להיבהל, הוא מההאקרים "הטובים", אלה שמסייעים לחברות אבטחת מידע לאתר פרצות ולסתום חורים לפני שיגיעו המתקפות של "הרעים". כדי להוכיח את יכולותיו, בתוך זמן קצר לאחר תחילת הריאיון התכתבות פרטית שלי במסנג'ר של פייסבוק מופיעה על מסך המחשב שלו: הוא "משוחח" איתי דרך משתמש פיקטיבי שפתח במחשב אחד, ועותק מההתכתבות בינינו מופיע על מסך המחשב האחר. יצירת העותק הזה לקחה לו בערך חמש דקות עבודה.
"כשמצאתי את הפרצה הזו דיווחתי לפייסבוק, אבל הם לא טיפלו בה כי הם לא הבינו את הבעיה. פתחתי לעצמי חשבון פייסבוק שלוש דקות לפני ששלחתי להם את ההודעה, והם חשבו שזו עוד הודעת ספאם. כשהם חזרו אליי הסברתי להם שאני יהודי חרדי ואין לי פייסבוק, ופתחתי חשבון רק לצורך הדיווח. אתמול שלחתי להם הודעה נוספת, שאלתי אותם למה הם לא מטפלים בפרצה הזו, שמהניסיון שלי נחשבת חמורה - והוספתי בסוגריים: אני מדורג 25 בהיכל התהילה של גוגל למגלי פרצות אבטחת המידע, ככה שאני יודע מה אני אומר. אני מקווה שהם יטפלו בה".
הוא גדל בחיפה ולמד ב"חדר" חרדי ("בלימודי הליבה אתה צריך ללמוד שפה נוספת, יידיש זה קביל"). אביו עבר קורס במחשבים, ולאחר מכן העניק תמיכה טכנית ושירותי מחשוב למשרד השיכון. בשל עבודתו הוא הכניס לביתו מחשב, לא חזון נפרץ בבתים חרדיים בימים ההם. "ממש אהבתי את המחשב, הייתי מתעסק איתו ברמת הברזלים והחומרה, לפרק ולהרכיב", אומר גורט. "לאחר מכן אבא שלי החל למכור מחשבים באופן פרטי, ואני הייתי עוזר לו להרכיב אותם. לאט-לאט נכנסתי גם לעולם התוכנה. האינטרנט היה עוד בחיתוליו, עם צליל חיוג, והורדת עדכון לווינדוס מהרשת הייתה לוקחת 17 שעות. מאוד נמשכתי לזה, והתחלתי בתוכנות של ילדים. בניתי מצגות בפאוור-פוינט והיה לי מעניין מאוד".
משחקי הילדים הפכו לתחביב רציני יותר כשאחד המתכנתים במשרד השיכון סיפר לאביו על שפת מחשב חדשה, "סי שארפ". האב החליט להביא לבנו במתנה ספר לימוד עברי של השפה ובו יותר מ-600 עמודים. הייתה רק בעיה אחת: כל הפקודות הן כמובן באנגלית, שפה שישראל לא ידע לקרוא. "התחלתי ללמוד את ה-ABC. בתוכנות הראשונות תרגלתי סימנים. יש למשל פקודה שנקראת IF: ידעתי איך כותבים אותה, אבל לא ידעתי שהפירוש שלה בעברית הוא 'אם'. בעצם למדתי קודם תכנות ואז אנגלית".
הוא התחיל בקטן. לאמו המורה הוא תכנת משחק בינגו ממוחשב, וכשאחותו הייתה צריכה להכין משחק בשביל עבודה בבית הספר, הוא בנה לה משחק טריוויה. "בהתחלה ישבתי על המחשב בכל יום כשחזרתי הביתה, אבל אצלנו בחסידות ילד מגיל 9 כבר לא יושב על המחשב, ושעות המחשב הצטמצמו רק לתקופות בין הזמנים. לא היה לי אז אינטרנט וגם לא השתמשתי בגוגל. הייתי יושב עם הספר, מדפדף לעמוד האחרון, שבו הופיעה רשימת הפקודות, ופשוט מנסה אותן. זו הדרך הכי קשה ללמוד תכנות, אבל כנראה גם הכי יסודית, כי אתה לא משתמש בקיצורי דרך".
גורט המשיך במסלול הקבוע בחסידות: ישיבה קטנה, ישיבה גדולה, חתונה ולימודים בכולל. אבל המשיכה למחשבים דגדגה לו באצבעות. כשהבוס של אחיו חיפש מישהו שיתקין לו תוכנה חדשה בעסק, גורט התנדב לעשות זאת. את התוכנה הוא לא הכיר, אבל סמך על יכולותיו ללמוד אותה תוך כדי ההתקנה.
שלוש שנים אחרי החתונה הוא יצא לעבוד. "היו לכך שתי סיבות. כמובן הסיבה הכלכלית, אבל לא רק זה. הרגשתי שזה יותר מדי בשבילי, לשבת כל היום וללמוד", הוא אומר. "תראה, גם אם אקים סטארט-אפ מצליח, זו עדיין תהיה הצלחה סוג ב'. גם בעיניי וגם בעיני האנשים סביבי. זה לא כמו להיות דיין, למשל. זו הצלחה. היה לי חבר בכולל שכל הזמן כתב חידושים. החותן שלו נתן סכום כסף והוא הוציא ספר בארבעים עותקים. קינאתי בו, כי לזה אתה שואף. החלום, בילדות ובהמשך החיים, הוא לא לעשות אקזיט אלא להוציא ספר. אבל זו ההחלטה שקיבלתי, כי היה לי קשה במסלול של הכולל".
בלי יותר מדי ניסיון, בלי ידע מוקדם מלבד מה שלמד מהספרים, וכמובן בלי תואר במחשבים, הוא ניגש לריאיון העבודה הראשון שלו, בחברה שמפתחת תוספים לתוכנת הנהלת חשבונות מוכרת. "נכשלתי באופן מזעזע כי לא ידעתי מספיק", נזכר גורט, "אבל קיבלו אותי בגלל המלצה של חבר. האמת, לא הייתי טוב, אבל למדתי".
את הלימוד הוא התחיל בשפת תכנות חדשה מבחינתו, SQL. "זה הדבר הכי מסובך, אבל הצלחתי ללמוד אותה כבר בשבוע הראשון. אין באמת אתגר שלא תוכל לפתור אם תנסה, וזה נכון בכל דבר, לא רק בפיתוח. אם אתה מקבל אתגר ומאמין שאתה יכול לעמוד בו, אתה תצליח. כשהצלחתי באתגר שהיה לכאורה הכי קשה, הבנתי שאני יכול לעשות דברים אחרים ולצבור ניסיון.
"עבדנו עם תוכנות לווינדוס, ומנהל הפיתוח שאל אותי אם אני יודע לבנות אתר אינטרנט. עניתי לו: כן. לא הסברתי לו עד כמה הידע שלי מוגבל, פשוט התחלתי לעשות והצלחתי. היה לי כלל: אם נוח לי, זה לא טוב. כשאני מגיע למצב שנוח לי ואני יודע כל מה שצריך בעבודה שלי, אני מפסיק להתקדם".
ואכן, כשהשתעמם מהקמת אתרי אינטרנט הוא עבר לפיתוח WEB ולמכשירי אנדרואיד. כאן לא רק ידע מוקדם לא היה לו, אלא גם חומרה: "אני חרדי, אין לי סמארטפון, אין מסרונים, אין אינטרנט. אני לא מבין כלום באנדרואיד, אבל אנשים באו אליי ושאלו אותי על הטלפון שלהם. אהבתי לנסות ולסייע, וככה התחלתי להכיר את התחום, לשחק עם מכשירי אנדרואיד, להבין איך הם עובדים באמת ולהכיר את המערכת. חפרתי והתמחיתי בה. באותו זמן קיבלתי פנייה דרך חבר יזם, שרצה לפתח מכשיר אנדרואיד שיתאים לציבור החרדי. התחלתי לעבוד איתו בפיתוח סמארטפונים כשרים".
גם הפעם זה היה בדרך קשה, אך יסודית. "התחלתי לחקור אפליקציות כדי להבין איך הן עובדות. איך חקרתי אותן? הייתי קורא את קוד המכונה. כל תוכנה שאתה בונה מתורגמת לקוד מכונה, משהו שמחשב יכול להבין. זה כמו לחקור וירוסים בתהליך שנקרא 'רברסינג', שחזור לאחור אל קוד המקור. כמו בהנדסה גנטית, אתה מתחיל לשנות את הקוד, לרדת לפקודות הבסיסיות ולהזיז דברים. אתה משנה שורה ורואה מה קרה בפועל. ככה התחלתי לפתח אפליקציות. זה היה אבסורד, כי לא ידעתי לפתח אפליקציות לאנדרואיד, אבל ידעתי איך הן בנויות כי קראתי את הקוד. למדתי את התכנות בכיוון ההפוך".
כפי שכבר הבנתם, גורט מתקשה להמשיך לשבת במקום אחד כשהוא מרגיש מיצוי. ההזדמנות הבאה הגיעה כשבמשרד השיכון עברו למיקור חוץ בתחום התמיכה הממוחשבת, ואביו נותר מחוסר עבודה. הצצה באתר ג'וב-נט כדי לסייע לאב למצוא פרנסה, גילתה לגורט היצע משרות נרחב ביותר בתחום אבטחת מידע. "לא ידעתי בדיוק מה עושים בזה, אבל התחום נראה לי מעניין ואמרתי שאנסה. בשלוש בלילה שלחתי קורות חיים, ועד תשע בבוקר כבר היו לי ארבע הודעות בתא הקולי".
הוא הוזמן לריאיון עבודה בחברת תוכנה, ובתחתית דוא"ל ההזמנה הופיע קישור לאתר החברה. גורט לא התעצל: הוא נכנס לאתר OWSAP, הנחשב לוויקיפדיה של אבטחת המידע, למד שם על עשר הפרצות הנפוצות בעולם, קרא את התיאורים המפורטים והבין את הלוגיקה ("בתור מתכנת שלמד הכול בדרך הקשה ונפל בכל בעיה אפשרית, הבנתי איך האקר יכול לנצל את זה").
כשהוא מצויד במידע החדש, נכנס גורט לאתר החברה שהזמינה אותו לריאיון, ובאחד העמודים גילה פרצת XSS (Cross Site Scripting) חמורה שמאפשרת להריץ קוד זר באתר. "ישבתי בריאיון עם מי שהיה אמור להיות המנהל שלי, והוא שאל אותי אם אני מכיר את המושג XSS. ביקשתי להתיישב מול המחשב בחדר, פתחתי את אתר החברה והראיתי לו את ה-XSS אצלם בבית, בחברה לאבטחת מידע. התקבלתי", הוא אומר בחיוך.
זו לא הייתה ההתנסות הראשונה שלו בתור האקר. זמן קצר לפני כן הוא מצא פרצת אבטחה באחד מעשרת האתרים הגדולים בישראל, והצליח לבצע דרכו רכישות בלי לשלם. "אני אדם טוב. פניתי אליהם, שלחתי דוא"ל לתמיכה, וכתבתי שמצאתי פרצה. מנהל אבטחת המידע חזר אליי, ביקש פרטים והציע לי לחקור, להכין דו"ח מסודר ולהיפגש. בסוף השבוע הייתי אצל הוריי, והם אמרו לי: 'אל תיפגש איתו, פרצת לאתר ותחכה לך שם משטרה'. אבל נפגשנו וישבתי עם אנשי החברה בתור מתכנת והסברתי את מקור הפרצה. הם הציעו לי לעבוד שם. סירבתי, אבל הבנתי שזה משהו שאני יכול להצליח בו".
בחברת התוכנה שאליה התקבל תפקידו היה לבדוק אתרים, ולנסות לתקוף אותם כדי לאתר פרצות אבטחה. הניסיון שלו בעולם הפיתוח סייע לו רבות. "ידעתי איך הדברים אמורים לעבוד, וביצעתי תקיפה אפליקטיבית, כלומר כזו שנכנסת לראש של כותב האפליקציה או הקוד. חשבתי איך אני הייתי כותב אותם, ואיפה הייתי טועה. ככה למדתי יותר ויותר ונהייתי טוב בזה. נתנו לי שמות של חברות גדולות ומובילות וביקשו שאפרוץ אליהן, שאכנס כמה שאני יכול. עם חודש ניסיון בתחום, קיבלתי משימה לפרוץ לחברה מאוד מוגנת. והצלחתי. אמרתי לעצמי 'וואו'. התברר לי שהעולם פרוץ הרבה יותר ממה שנדמה".
ההפתעה הגדולה הייתה כשהצליח למצוא פרצת אבטחה משמעותית באתר של לא אחרת מאשר ענקית התוכנה מיקרוסופט. "נכנסתי במקרה לאתר הדוא"ל שלהם, וברקע הרצתי תוכנה שבודקת תעבורת נתונים. משהו נראה לי חשוד. גיליתי שם פרצת XSS קריטית. בעולם הבנקים, על משהו כזה מעירים מתכנת בלילה. זו פרצה שיכולה לגרום לתקיפת משתמשים, קל לממש אותה, והאפקט גבוה".
גורט שלח דוא"ל בהול לענקית המחשוב, ודיווח על הפרצה החמורה. הם הודו לו ואף שלחו פרס כספי של כמה אלפי דולרים. "המשמעות של הפרצה הייתה שאני יכול להריץ קוד שיאפשר לי לקרוא את המיילים. אמרתי לעצמי: בנקים, חברות ביטוח, חברות ביטחוניות - בסדר. אבל מיקרוסופט?"
בעצם אתה אומר שכל המיילים שלנו חשופים?
"בעולם ההאקרים יש שני סוגי תקיפות: תקיפת שרתים ותקיפת משתמשים. בתקיפה מהסוג הראשון אני גורם נזק לחברה – למשל, מוציא מידע מהבנק. בתקיפת משתמשים אני תוקף אותך - למשל, מעביר כסף מהחשבון שלך לחשבון שלי. קל יחסית לתקוף משתמשים. נניח שאני רוצה לגנוב לך את פרטי החשבון או להיכנס לך לדוא"ל. אני אכתוב קוד שמייצר את הפרצה, אבל הוא צריך לפעול אצלך במחשב – או שאני צריך לשכנע אותך להיכנס לאתר שלי וככה לשאוב את המידע עליך. מספיק שתיכנס לאתר גדול ותקליק שם על פרסומת שנראית לגיטימית, והנה הגעת לאתר שלי ואתה כבר חשוף".
זה מה שקרה למשל להילרי קלינטון בפרשת המיילים?
"אצל הילרי קלינטון צריך להפריד בין שני דברים. יש חקירת אף-בי-איי שבודקת אם כמזכירת המדינה היא השתמשה בדוא"ל הפרטי שלה כדי לשלוח חומרים מסווגים. הדבר דומה לקצין בצה"ל שמשוחח בטלפון האישי שלו על נושאים סודיים. קלינטון טוענת שכל המיילים שלה לא היו בעלי סיווג, ומתנגדיה טוענים שהיא שלחה חומר חסוי דרך שרת לא מסווג. אם כן, זו עבירה פלילית.
"במקביל, יש מה שוויקיליקס פרסמו - הפריצה למייל של יושב ראש הקמפיין של קלינטון בבחירות הנוכחיות. זה לא מאוד מסובך. השיטה הכי נפוצה היא לשלוח למישהו קישור, וכשיפתח אותו הוא יגיע לדף כניסה כמו של המייל שלו: שם הוא מתבקש להכניס שם וסיסמה, אבל בעצם מוסר אותם לתוקף. ואז, בכמה צעדים פשוטים, יש חלון זמן של כמה דקות שבו אתה יכול להיכנס לתיבת המייל שלו ולשלוף משם חומרים.
"פורצים למיילים כל הזמן, ואני מאמין שלא ניסו לתפוס דווקא את יושב ראש הקמפיין. רצו לתפוס מישהו בכיר אצלה, ניסו שלושים איש, הצליחו עם אחד. ההבדל בין תוקף למגן הוא שמגן צריך להגן על כל המקומות, ולתוקף מספיק חור אחד. מגן שיש לו מאה הגנות וחור אחד הוא לא מוגן, ולכן הגנה קשה הרבה יותר מהתקפה".
כמו בכל מתכנת, גם בגורט קינן הרצון להקים סטארט-אפ. אחרי ההצלחה עם מיקרוסופט והפרס הכספי המכובד, הוא חשב להפוך את התחביב הצדדי של זיהוי פרצות אבטחה באתרים גדולים למקור גיוס משאבים, שבעזרתם יקים את חברת ההזנק העתידית שלו. היעד הבא אחרי מיקרוסופט הייתה ענקית החיפוש גוגל.
"רוב האנשים אפילו לא מנסים. חושבים: אני אצליח למצוא פרצה בגוגל? עם כל צוותי האבטחה שיש להם? אבל אמרו לי בעבודה: אתה תותח אפליקטיבי, אתה יכול. המשפט 'אני לא יכול' הוא בעייתי, חוסם אנשים. כי אם תנסה, אולי תצליח. אז ניסיתי, ומצאתי פרצה אחת בגוגל. ואז עוד אחת, ועוד אחת".
הוא דיווח על שלוש פרצות קריטיות בג'ימייל, זכה על כך בפרסים כספיים, ודורג במקום ה-25 ב"גוגל הול אוף פיים", היכל התהילה. "זוהי רשימת כל ההאקרים שדיווחו על פרצות בגוגל. אתה יכול להיכנס למקום 560, ואתה יכול להיכנס למקום גבוה יותר. הדירוג של גוגל הוא לפי כמה הדיווח היה משמעותי, לפני כמה זמן הוא היה, ואם תרמת חלק מהפרס לצדקה. גם זה מעלה אותך ברשימה.
"אתה מקבל מגוגל כמה אלפי דולרים על כל דיווח. הם נותנים לך את הכסף כי אתה אדם טוב, וברור להם שאם היית מוכר את המידע בשוק לידיים זרות היית מקבל הרבה יותר. ביקשו ממני תמונה שתופיע ברשימה שלהם – הרי אין לי פרופיל בגוגל פלוס או בפייסבוק או ברשת חברתית אחרת. שלחתי להם תמונה שלי, בחור חרדי עם כובע. למיטב ידיעתי אני הישראלי מספר שתיים ברשימה הזו".
איך הסתדרת עם ההתכתבות באנגלית מול גוגל ומול כל עולם התכנות?
"כשלמדתי בישיבה קטנה לא ידעתי אנגלית, אולי מילים ספורות. בישיבה הגדולה היו לי חברים שהגיעו מחו"ל, דוברי אנגלית, והתעקשתי לדבר איתם את השפה. לאט-לאט התחלתי קצת לדבר ולהבין. בהמשך גם קראתי יותר ויותר באנגלית. עוד לא היה לי אז 'גוגל תרגום', והייתי קורא מאמר ולא מבין חצי ממנו, אבל תופס את הפואנטה. בעבודה הראשונה שלי הייתי צריך לכתוב חלק מהדו"חות באנגלית. ככל שאתה כותב יותר, אתה משתפר".
ביקשתי מגורט להבין מעט יותר על תקיפת הסייבר הגדולה שפגעה לפני שבועיים באתרי אינטרנט מרכזיים בארה"ב. בין השאר ספגו שרתי DNS התקפות שגרמו לשיבושים בגלישה לאתרים כמו אמזון, טוויטר, נטפליקס, CNBC ואחרים. "אנחנו מדברים על מתקפת Denial of Service, כלומר מניעת שירות", הוא פותח.
"כדי להסביר במילים פשוטות איך זה קורה, תחשוב על אנרכיסטים שרוצים לתקוף את הבנקים בישראל. כל מה שהם צריכים לעשות זה לבוא בהמוניהם לבנק, ופשוט לעמוד בתור. לקוח אמיתי של הבנק לא יכול לקבל שירות, כי לפניו יש תור של 150 איש. אין לו סיכוי להגיע לפקיד. הבנק לא קרס, אבל אתה לא יכול לעשות שום פעולה בבנק כי הכול תקוע.
"זו המתקפה. באינטרנט אין כתובת ספציפית לאתרים, והכול יושב על שרתים. כשאתה נכנס לאתר מסוים המחשב מתקשר לשרת, שהוא מעין מוקד טלפוני, 'שואל' אותו איפה נמצא האתר, ואז נכנס אליו. התוקפים פשוט העמיסו את השרת בהמוני בקשות. רשת טוויטר, למשל, לא נפלה – אבל מי שניסה לברר איפה היא, לא הצליח לקבל תשובה".
לפי הדיווחים עשו ההאקרים שימוש ב"אינטרנט של הדברים", כלומר במכשירים ביתיים. "בבית מודרני מתקדם יש לך שני מחשבים, חמישה סמארטפונים, טלוויזיה חכמה, סטרימר חכם לטלוויזיה, שואב אבק רובוטי, מצלמות רשת, וראוטר שגם הוא מכשיר חכם. כל הדברים האלה מחוברים לרשת האינטרנט. יש גם בתים חכמים, מקררים חכמים ואפילו מזגנים ודוד שמש עם אפליקציה שמאפשרת הפעלה מרחוק. במרבית המקרים, מי שבנה את המכשירים לא השקיע באבטחה שלהם, וכמעט לכולם יש סיסמאות ברירת מחדל. אדם הרי אומר לעצמו: מה יגנבו משואב האבק הרובוטי שלי?
"אבל לתוקף יש דרישה אחת: מכשיר שמחובר לאינטרנט. הוא לא צריך מחשב מתוחכם, הוא לא צריך את המידע שלך, הוא צריך רק יכולת לבצע פעולות. בכל המכשירים יושבת מאחורי הקלעים מערכת הפעלה - אין לה ממשק יפה, אבל היא מערכת הפעלה לכל דבר, בדרך כלל לינוקס. אתה יכול לתכנת אותה לבצע כל פעולה, למשל לגשת לאתרים באינטרנט.
"התוקף נהנה מהשימוש באינטרנט, אבל אתה לא ניזוק מזה, ולכן אנשים לא טורחים להגן על המכשירים שלהם. מישהו ישתלט על המכשיר? זה לא עושה לי כלום. הוא אולי יאט אותו קצת, ישתמש ברוחב הפס של האינטרנט ובחשמל, אבל זה לא משהו שאנשים מודעים לו. לא שמים לב ולא יודעים שיש בעיה".
אז איך להתמודד עם איום הסייבר של השואב הרובוטי שלי בבית?
"צריך לדרוש אבטחה מהיצרניות. זה מורכב, כי מי שנפגעים הם לא הלקוחות שלהן. אם שואב האבק שלך יתקוף את השרת בבנק, זה לא משהו שיפגע בך או ביצרנית שואב האבק. מי שצריך לתקן את הפרצה לא מכיר את מי שנפגע. הוא לא לקוח שלו. בחלק מהמכשירים אפשר אולי להחליף סיסמאות, אבל זה לא תמיד ריאלי. גם אם יש דרכים טכניות, לשים 'פיירוול' על המקרר החכם, זה לא פתרון".
יש טענה שמאחורי המתקפות עומדות ממשלות, ולא האקרים פרטיים. יש בזה ממש?
"באינטרנט אין דרך לדעת. אפשר גם לשבת בבית ולעשות את הדברים האלה, לא צריך צבא אלא רק להיות מוכשר מספיק, או לשלם מספיק למי שעושה דברים כאלה. זה לא יותר מאשר ניחוש מלומד, אלא אם הצליחו לעקוב אחרי מישהו. כך גם התולעת 'סטוקסנט', שפגעה במתקני הגרעין באיראן, וייחסו אותה לישראל: זה ניחוש בלבד שמדינה עומדת מאחוריה. יש סיכוי שהאקר פטריוט עשה את זה בעצמו, אבל כנראה לעולם לא נדע".
מדברים גם על איום של מתקפת סייבר ביום הבחירות בארה"ב.
"זה יכול לקרות, וזה מפחיד, כי גם אם תגן על כל המדינה - ימצאו את האתר שלא חשבת להגן עליו ויגידו 'הנה, יש מתקפה'. הבעיה היא תודעתית ומורלית. תחשוב על המתקפה לפני שבועיים: אנשים לא הצליחו להיכנס לטוויטר במשך כמה שעות, ולא נגרם נזק, אבל נגרם רעש ובתקשורת היה בלגן. אחת ממטרות המתקפה היא לייצר את הרעש הזה.
"גם אם נניח שגורמים לעומס באתר חברת החשמל במשך חמש שעות, זה לא שחצי מיליון אנשים נותקו מהזרם. זה ההבדל בין 150 איש שעומדים בתור בבנק, ובין פריצה לכספת. רוב ההגנות הן נגד פריצה ונזק ממשי, ופחות כלפי מניעת שירות. אגב, אם האקרים יצליחו לפרוץ לחברה ולגנוב כסף, אף אחד לא יידע על זה, אבל אם האתר לא יהיה זמין לכמה דקות, כולם ידברו על זה".
עם השנים והניסיון הפך גורט למומחה סייבר ואבטחת מידע, אבל כמו תמיד - כשהוא מתבסס באתגר אחד, הוא מתקשה לוותר על כיבוש היעד הבא. "האקינג זה נחמד, תמיד כיף לחקור, ואני טוב מאוד במה שאני עושה היום. בכל בדיקה כיף לי למצוא את הפרצות. אבל אני מעדיף להיות במקום שאני עוד לא מכיר".
הכיוון החדש של גורט הוא חברת סטארט-אפ בשם Ad-Venture, שאותה הקים יחד עם עידן כהן, מנהלו בחברה שבה עבד. מטרת המיזם: להילחם בחוסמי הפרסומות. "יום אחד קראתי ברוטר שפייסבוק הודיעה לבורסה שאחד מגורמי הסיכון לרווחים בשנה הבאה הוא עלייתם של חוסמי הפרסומות", הוא מסביר. "אם אצליח לפתור בעיה שמפריעה לפייסבוק, זה יהיה מעולה. התחלתי ללמוד את הנושא והתפלאתי: למה אין תוכנות שחוסמות את חוסמי הפרסומות?
"קח לדוגמה את העיתון: אי אפשר לגזור ממנו את כל הפרסומות באופן אוטומטי. הפרסומות באתרים, לעומת זאת, הן כמו 'ברושורים' בתוך העיתון: כשאתה מנער, הכול נופל החוצה. אז אמרתי, ניקח את הפרסומות ונהפוך אותן לחלק אינטגרלי מהדף. זה כמו להדק את הברושורים לעיתון. התקשרתי לעידן, סיפרתי לו איך אני הולך לעשות את זה, ויצאנו לדרך".
מה המוטיבציה שלך לצאת להרפתקה כזו?
"אני אוהב צדק. זה לא תמיד טוב, לא תמיד יעיל, אבל יש דברים שפשוט חורים לי. יש עיוות גדול בשוק הזה: חלק גדול משוק הפרסום המקוון הוא לפי קליקים וצפיות, וכשחוסמים לך פרסומת האתר שלך בעצם לא מקבל כסף. יש חברה גרמנית שיצאה עם מוצר לחסימת פרסומות, והיא מתנהלת כמו מאפיה: חוסמת לאתרים את הפרסומות ואז פונה אליהם בהצעה – אם אתם רוצים שנציג את המודעות שלכם, שלמו לנו אחוזים מכל פרסומת.
"או לחלופין, תוכנית חדשה – במקום המודעות שלך, תקנה את הפרסומות מהם, דרך השרתים שלהם. את המודעות הללו הם לא יחסמו, ובתמורה הם ייקחו 'רק' 20 אחוזים מהרווח. הם לא צדיקים גדולים: לוקחים לבנאדם את הלחם, ונותנים אותו בחזרה תמורת אחוזים.
"יש חברות שמתחרות מולנו, ועושות משהו אחר. הן באות לבעלי האתר, מבקשות לקבל את המקום הריק של הפרסומת שנחסמה, ומציעות לשים פרסומות שלהן ולחלוק עם בעל האתר ברווחים. בנאדם משקיע, בונה אתר, משלם משכורות לעובדים, ועכשיו אנשים באים לרכוב עליו ולהשתתף בחגיגה. זה הבית שלך, ולוקחים לך חלקים ממנו. אני מתעצבן מזה".
מה הפתרון שלכם?
"אנחנו מציגים את הפרסומות שלך באתר שלך. האתר ייראה איך שתרצה בכל מקום שהוא. אם שמת את הפרסומת של תנובה בצד ימין, היא לא תזוז. לא נחליף, לא נשנה. איך אנחנו עושים את זה? בעזרת טכנולוגיה שבאה לעקוף את הטכנולוגיה של חוסמי הפרסומות. הם לא יוכלו לזהות את הפרסומות, כי אנחנו פועלים בהטמעה, ולכן גם לא יוכלו לחסום אותן. פייסבוק כבר עשו את זה לעצמם. מולם חוסמי הפרסומות לא מצליחים, כי פייסבוק ניצחו טכנולוגית. אבל אף אחד אחר לא יכול, כי בכל שאר האתרים התוכן מגיע מהאתר עצמו, והמודעות מגוגל. אנחנו עושים את הקישור".
מה השוק שאליו אתם פונים?
"מ-CNN ועד אתרים מקומיים. השוק גדול, והוא מתחיל באתרים הגדולים - לאו דווקא בגוגל ובפייסבוק הענקיים, אבל כן וואלה ו-ynet הגדולים לוקאלית. ההפסד שנגרם למפרסמים מחוסמי פרסומות הוערך ב-2014 בלמעלה מ-30 מיליארד דולר. מספיק שאני אקח קצת מזה כדי להרוויח כסף. במודל העסקי שלנו, אפשרות אחת היא לשלם בכל חודש, ואפשרות אחרת היא שנדאג להציג את כל הפרסומות שלך באתר, אבל מתוך עשר מודעות, תשע יהיו שלך ואחת שלנו. בגלל הכמות הגדולה של המשתמשים יהיה לנו קל להגיע לרווח. ככה אני כחברה בעצם 'רוכש' שטחי פרסום והופך למפרסם בעצמי".
את גורט פגשתי לראשונה בכנס "חרדים לסייבר" של חברת סייברטק וארגון קמא-טק, המסייע לצעירים חרדים להשתלב בשוק התעסוקה הטכנולוגי. במשך כחצי שעה הוא ישב לצד היזם הסדרתי והמשקיע יוסי ורדי, ויחד הם סיפרו על הוויית הצעיר החרדי בעולם ההיי-טק. "בהשתתפות שלי באירוע קיוויתי להשיג דרך ורדי קשרים. הוא אמר לי שזה תחום שהוא פחות מתעסק בו, אבל אז, כמה דקות אחרי שירדתי מהבמה, פנה אליי מישהו ואמר לי: 'אני עובד בחברת פרסום וחיפשתי משהו דומה למה שאתה עושה. בוא נדבר'. עכשיו אנחנו הולכים לסגור איתם על שותפות עסקית.
"זה לא דבר נורמלי. הסיפור טוב מכדי להיות אמיתי. אני אומר לשותף שלי: 'אנחנו נצליח כי יש לך עוד יתרון – אני אתך, אז יש לך סייעתא דשמיא'. ברור שזה זה. יש פה השתדלות, אבל הרבה השתדלו ולא הצליחו. והנה כאן הכוכבים מסתדרים בשורה: שלחתי קורות חיים, הלכתי לריאיון הראשון, והגעתי בדיוק לאדם שאני יכול לפתוח איתו את הסטארט-אפ. אני לא חושב שזה קרה רק בגללי".
איך זה להיות סטארטאפיסט חרדי?
"אני לא מכחיש שיש פה גם גימיק - חרדי, האקר, סטראטאפיסט. מצד שני, זו עבודה. סטארט-אפ הוא לא סתם לפתוח חברה. אני עושה את זה לא למרות שאני חרדי, ולא מפני שאני חרדי, אלא פשוט כי אני רוצה לפתוח סטארט-אפ. מעולם לא הרגשתי שיש משהו שאני לא יכול לעשות כי אני חרדי. הדבר היחיד הוא שאנחנו לא עובדים בשבת. אמרתי לעידן: 'אם אתה עובד בשבת, אני לא יכול ליהנות מזה, אצטרך למחוק את כל הקוד שתכתוב'. בהמשך הגיוס נצטרך למצוא גוי שייתן תמיכה בשבתות, אבל זה בעתיד.
"עכשיו אנחנו מגייסים את הכסף. אנחנו יושבים במתחם 'ראשון סטארט-אפ' בראשון-לציון, עם עוד מפתחים, הכול באופן-ספייס - כולם מדברים עם כולם, כולם שואלים את כולם. אווירת שיתוף טובה מאוד. הרבה חברות כבר אמרו 'נעזור לכם'. ישראלים, כולם רוצים לעזור. ישבתי עם יניב פלדמן, העורך הראשי של המגזין 'גיקטיים', דיברנו שעה, הוא ייעץ לנו. אנשים עוזרים".
ואיך זה להיות חרדי בסביבה חילונית?
"אין קונפליקטים. למשל, כולם בעבודה נמצאים עכשיו בנופש באילת. שאלו אותי למה אני לא מגיע, ואמרתי שאני חרדי, ואנשים חרדים לא נוסעים לאילת. זה לא קונפליקט. אנשים מקבלים את זה שאתה שונה, מכבדים מאוד. לגבי כשרות יש לי פתרון פשוט: אני לא אוכל בעבודה. אני אוכל בערב, ומסתפק בזה.
"קשה לפספס אותי. אני הולך לעבודה בכובע וחליפה חסידית, עם מכנסיים בתוך הגרביים, ואני לא מרגיש שאני צריך להשתנות. לא מעסיקים אותי בגלל המראה, אלא בגלל העבודה. אין לי אינטרס להיטמע או ללכת לערב חברה. אני מכיר את החברים מהעבודה, אבל החברה שלי היא החברה החרדית, ואני לא מנסה לצאת ממנה.
"בסופו של דבר המבחן הוא אתה. יש אנשים שבאו לעבודה כדי להשתחרר, להשתנות, והעבודה היא התירוץ. אין משהו שאני צריך להשתנות כדי לעשות אותו. אין לי חשבון פייסבוק או לינקדאין, וזה לא מפריע לי בעבודה. גם אין לי אינטרנט בבית. אני יכול להישאר חרדי, וזו אפילו לא הקרבה גדולה. אני לא יוסף שירד למצרים. יש אנשים שהולכים לסדר מדפים, יש שהולכים ללמד ב'חדר', אני בהיי-טק. בשביל מי שבא לשם כדרך חיים זה אחרת, אבל בשבילי זו עבודה. אולי לא מתשע עד ארבע, אבל עבודה כמו כל עבודה אחרת".
אתה מזהה סטיגמות על חרדים?
"יש המון סטיגמות, אבל הן לא מפריעות בעבודה. ברור שישאלו אם אני חרדי מלידה, כי חרדים לא עושים סטארט-אפים. זה לא קיים הרבה, נכון, אבל לא כי זה בלתי אפשרי. אגב, חוץ מהסטיגמה החילונית שאומרת שהחרדים לא בתחום, יש סטיגמה של חרדים שחושבים שהם לא יצליחו. ילד חילוני שלמד אנגלית בגיל צעיר יודע שאם הוא ילמד לתכנת, תהיה לו עבודה בהיי-טק. תבוא לצעיר חרדי ותגיד לו ללמוד קורס בתכנות, הוא מיד יענה לך: 'אבל אין לי תואר, בגרות, אין לי כלום'.
"בתחום הסייבר יש מצוקת כוח אדם. מעולם לא שמעתי על מישהו טוב שהגיע לריאיון ולא התקבל. לא משנה אם הוא חרדי, אתיופי או צ'רקסי, מי שטוב מתקבל. אבל אצל החרדים זה קצת שונה, כי מי שטוב הולך ללמוד תורה. הרבה אנשים יוצאים לעבוד, וזה בסדר ולגיטימי, אבל התעדוף הראשוני הוא ללכת ללמוד. כשבאתי לרב שלי ושאלתי אותו אם לעבוד במחשבים – הוא לא אמר לא. החלום האמיתי שלי הוא ללמוד תורה, אולי אעשה את זה אחרי האקזיט", הוא מחייך.
"המשגיח אצלנו בישיבה אמר שבחור שמנסה לפתוח דלתות נעולות, בסוף יפרוץ בנקים. הוא כנראה צדק. עולם ההאקרים מתחלק ל'כובע לבן' ו'כובע שחור'. חובשי הכובע הלבן הם האקרים טובים שמדווחים על פרצות, כובע שחור הם האקרים שגונבים מידע. זה מעניין. אני הולך עם כובע שחור ביומיום, אבל אני מהכובע הלבן".
היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם