קוראים לי 'פסיק' ואני האקר
הם כחושים מאוד, או שמנים מאוד, רובם ממושקפים ומשדרים חוסר ביטחון - כן, זהו הסטריאוטיפ המקובל של ההאקר המצוי. אבל הדמות הזו היא מציאותית. כך בדיוק נראו בשבוע שעבר משתתפיו של כנס ההאקרים הישראלים הראשון. הם בעיקר ניסו לשכנע עד כמה הם מועילים - וחלקם גם ביקשו להישאר אלמונים. הפורצים בע"מ
דרור גלוברמן
02/04/00
כשקפטן קראנץ' הירצה, הקהל ישב בדממה שלא תיאמן. הוא סיפר באנגלית צפופה על דרכים לעקוף מערכות טלפוניה בארה"ב בסוף שנות ה­70'. כשהוא מוסתר מאחורי צג המחשב והמיקרופון שלו, תיאר כיצד הצליח להאזין ל­FBI בכמה לחיצות חכמות על המקשים, או כיצד השיג שימוש חינם. קפטן קראנץ' עצמו הגיע עד לטלפון החסוי של הנשיא ניקסון, אבל ניתק לאחר שהלה ענה לטלפון. קהל המאזינים היה מרותק ודומם. הקפטן תיאר באריכות כל חיוג וחיוג, וכיצד עקף כל מערכת. רובן של המערכות הללו נעלם מן העולם עוד לפני שמרבית המשתתפים בקהל נולדו. אבל לדברי אופיר ארקין, מנהל מחלקת אבטחת איכות בחברת האבטחה פקט טכנולוגיות, "הדרכים שהוא מתאר, אלו אותן דרכים שמשתמשים בהן היום. הוא האקר אמיתי, משום שהוא ממש יצר משהו, ולא חיקה אחרים או לקח חומרים מוכנים". כנס ההאקרים הראשון בישראל נערך בשבוע שעבר בתל­אביב, במקביל לתערוכת אינטרנט וורלד. יזמה ואירגנה אותו איריס ווינשטיין, אשת יחסי ציבור העוסקת בהיי­טק. "קראתי על תערוכה דומה שנערכה באמסטרדם לפני שנתיים", היא מספרת, "ושמתי את זה בצד. בחודשים האחרונים צץ אצלי הרעיון לארגן כנס ה אקרים בארץ. חשבתי שחברות אבטחת המידע תשתפנה פעולה, אבל בפועל זה לא קרה. הן אמרו שמבחינה תדמיתית הן לא רוצות להקשר להאקרים". מבחינה תדמיתית זה נשמע אולי מזיק, אבל האמת היא שחברות רבות מחפשות ומעסיקות האקרים.בכנס נערכו הרצאות ופאנלים בנושאים טכניים שונים, והוא כלל פעילות לילה, בסגנון מה שהיו קוראים פעם "הווי". מופעי סטנד­אפ, סרטי האקרים (יש דבר כזה), שקי שינה וגיטרות. מי שהביא מחשבים ישנים מהבית ­ ג'אנק ­ נכנס חינם. המחשבים הורכבו ופעלו בתערוכה, ונתנו הזדמנות לאורחים להיזכר בקומודורים המיתולוגיים ובני גילם. ההאקרים עצמם, אגב, נראים בדיוק כמו הסטריאוטיפ המצוי. חלקם כחושים מאוד, או שמנים מאד, רובם המוחלט ממושקף, הם מסתובבים בקבוצות ומשדרים חוסר ביטחון. מין ביל­גייטסים קטנים. רבים מהם מכירים זה את זה היטב, אולם באו לכנס כדי להיפגש לראשונה פנים אל פנים.
להבין איך להגן
אופיר ארקין נשא את אחת ההרצאות לבדיקת רשתות וגילוי מחשבים שמחוברים לאינטרנט, "אחד השלבים בפריצה למערכות", לדבריו. ארקין מחלק כל פעולת פריצה לשלושה שלבים: הראשון, הוא איסוף המידע; החלק השני הוא הפריצה עצמה; והשלישי ­ עוסק בהסתרת הפריצה וכניסה לעומק המערכת, באמצעות החלפת קבצים מסויימים בקבצים אחרים, שמעלימים את הפורץ, ועשויים במקרים מסויימים לכלול תוכנות מתוזמנות שמושתלות במחשב הנפרץ, ויודעות להעביר אל ההאקר מידע שבו הוא מעוניין, שעות או ימים מאוחר יותר, באופן עצמאי. התהליך המתואר למעלה נשמע הרסני למדי, אבל בעצם "חשוב להבין שהמטרה של הכנס הזה היא לא רק לבוא וללמוד איך להרוס", אומר ארקין, "אלא להבין יותר טוב איך להגן על הרשת שלך. אנשים שזה התפקיד שלהם יאפיינו נכון יותר את האביזרים והתוכנות שבעזרתן הם מגינים על הרשת שלהם. המטרה שלי היא שמי שאחראי על הרשת יבין את הסכנות בפתיחה של תנועה מסוימת לאתר שלו"."אני אוהב לשאול למה ואיך, ואז לחקור את הטכנולוגיה כדי למצוא תשובות", מודה ארקין. "אם מישהו או משהו עומד בדרכי, זה רק מגביר את האמביציה. אני יושב לילות ולומד את הטכ נולוגיות השונות, לפעמים עד רמת הביטים, ומנסה למצוא איפה תתעורר בעיה בין הפרוטוקולים השונים. כשאתה מוצא בעיית אבטחה, שקשורה למוצר מסוים של חברה, אתה קודם שולח להם מייל ומודיע להם. נותנים להם קצת זמן, ואם תוך שבוע הם לא חוזרים עם תשובה, או מפרסמים תיקון לבעייה, נהוג לפרסם את זה ברשימת תפוצה ולהודיע לכולם. זה מפעיל מנוף מסוים על החברה לתקן את הבעיה". הרזומה של ארקין כולל כמה מהחברות הידועות ביותר בתחום. פסיק (דמות הענק מהנסיכה הקסומה) הוא האקר ידוע בקהילה, שאינו מוכן לפרסם את שמו או את תמונתו. הוא בן 22, ועוסק ביעוץ לאבטחת מידע. הוא מספר, כי בגיל 14 סיים את הקריירה שלו בבית הספר, ואז השלים תואר ראשון במדעי המחשב ובמתמטיקה באוניברסיטה הפתוחה. כיום הוא לומד לתואר שני באוניברסיטת תל­אביב, ובמקביל מרצה שם ובמקומות אחרים. מגיל צעיר הוא שימש יועץ אבטחה למשרדים ממשלתיים. כיום הוא עובד בחברה גדולה ומוכרת מאוד, שאת זהותה הוא אינו מוכן לחשוף. "האקר הוא לא אדם שמחפש תשובות, אלא מישהו שלומד מערכות, ורוצה להגיע לתשובה לבד. אלו לא ילדים שיכולים לפתח תוכנות עם סיסמאות. לאלה יש כינוי מיוחד ­ 'סקריפט קידיס', ילדים קטנים ומשועממים שעושים שטויות, והם לא נהנים ממוניטין רב. בעיני זה פאתטי. מבין כל האנשים כאן, כמעט כולם הם כאלה, Wannabe's"" ­ 'רוצים להיות'. מספר ההאקרים האמיתיים כאן, שבאמת מבינים מערכות, הוא אולי עשרה. האקר אמיתי הוא אדם טוב. לא הכרתי האקר שלא היה כזה". זה לא אומר כמובן, שהוא לא נאלץ לעבור לפעמים על החוק. "על פי החוק אסור לעשות בישראל הצפנות, אלא אם כן יש לך אישור מחיל הקשר", מספר פסיק, "ולכן כל מי שמשתמש בדפדפן האקספלורר, או במייל מקודד, הוא עבריין לצורך העניין. אני עצמי חדרתי לרשתות של חברות תקשורת, אבל אף פעם לא גרמתי רוע, לא הוצאתי חומר לא לי, רוב העניין היה להגיע וללכת. להיכנס לרשת בתור מנהל מערכת, אבל מעולם לא ניצלתי את ההרשאות שלו".
"לא בשביל האגו"
"האקר אמיתי לעולם לא ישוויץ במה שעשה וברשתות שאליהן חדר, משום שהוא לא עושה את זה בשביל פירסום. אני יכול לשבת על זה 20 שעות בלי לישון או לאכול, והכל רק בשביל האגו העצמי, כי זה גירוי למוח ששום דבר לא יכול לתת, עניין חווייתי ואתגרי, שאולי רק קפיצה ממטוס יכולה להשתוות אליו. ובניגוד אליה, זה לא מסתיים אף פעם". האקר טוב צריך להיות אוטודידקט. "תמיד אפשר להשיג המון חומר באינטרנט, ומשם אתה ממשיך הלאה בעצמך. כל אפליקציה שמעניינת אותי, או מערך תקשורתי כלשהו, אני משיג ובוחן אותו לעומק בלילות בלי שינה. אני כותב מערכות מיוחדות שבודקות את המכשירים האלה. האנאלייזר (אהוד טננבאום, שהתפרסם כשחדר למערכות אמריקניות מסווגות) השתמש בכלים מוכנים. האקר לא משתמש בכלים מוכנים. זה שיא הפאתטיות. יש ספרי הוראות שמסבירים איך לעשות את מה שהוא עשה, אני יכול ללמד כל ילד לעשות את זה בשעתיים. אם המחשב אומר לך ככה, תלחץ פה, ואם אחרת, תלחץ שם. פה מסתובבים אנשים שתיכנתו את המערכות של צ'קפוינט (מחברות האבטחה הגדולות בעולם)". בכנס נכח גם אנדי מילר, דובר מועדון ההאקרים כאוס הברלינאי. למעריב הוא מסבי ר במה שונה ההאקר האמיתי מהתדמית השלילית שנוצרה לו בציבור: "האקר הוא אדם שמתעניין בטכנולוגיה ורוצה לחקור אותה. חיי האנושות נעשים תלויים יותר ויותר בטכנולוגיה שאף אחד לא מבין. אנחנו חוקרים את הטכנולוגיה, מנסים למצוא נקודות שבהם המערכות לא בטוחות, ואז מתריעים לחברות, שלרוב מתקנות את הליקויים. אנחנו לא מעודדים בשום אופן פעולות לא חוקיות. היום אנשים לא שודדים בנק עם תת­מקלע, אלא פורצים אליו באמצעות רשת המחשבים שלו. הם עדיין פושעים, זה לא עושה אותם האקרים". המוטו של ההאקרים, לדבריו, הוא להביא לשקיפות מוחלטת של המידע. כל מידע. מילר וחבריו מוזמנים היום יותר ויותר לסייע לגופים ממשלתיים בגרמניה להתמודד מול אתגרים של אבטחת מידע. קבוצת ההאקרים שמייצג מילר חשפה בציבור יותר מפעם את מבושיהן של חברות מובילות: "חשפנו ליקוי אבטחה ברשת GSM בשידור חי בטלוויזיה הגרמנית, ליקוי שאיפשר למישהו אחר להיכנס לקו שלך ולעשות שיחות על חשבונך. הרי אנשים רגילים לא יכולים לעשות את זה בעצמם, בשביל זה יש אותנו. לא היתה כאן עבירה על החוק. לפי החוק, מותר לי עכשיו לפתוח מכשיר כדי לבדוק איך הוא עובד, ואם ה מכשיר הזה שלי, זה בסדר. אסור לי לחדור לרשת ולעשות שימוש בטלפון, אבל בטלוויזיה לא עשינו בזה שימוש ברעה". מההאקרים הישראליים הוא ספג בעיקר רושם אחד. "זה נורא מוזר, כי כולם קשורים בדרך זו או אחרת לצבא. צבא זה לא דבר שמתעסק עם פורצי מחשבים, למרות שידוע שקיים ריגול צבאי וריגול תעשייתי באמצעות המחשב. ההאקרים הרי מעודדים את חופש המידע, ובצבא זה לא בדיוק הלך הרוח. מה שכן, תעשיית אבטחת המידע הישראלית היא בעלת מוניטין טוב מאוד בעולם".
המוסד, השב"כ וכל השאר
הכינוס המיוחד הזה עורר סערה זוטא בכנסת, כאשר ח"כ ענת מאור מסיעת מרצ דרשה שלא לאשר את כניסתם לישראל של אורחים מפוקפקים מחו"ל. לדברי עו"ד אביב אילון, המתמחה בחקיקת­אינטרנט Cyber­Law(), הישוותה אותם מאור למכי­נשים, "השוואה מאוד חריפה שאינה במקום", לדבריו. עו"ד אילון היה היועץ המשפטי של הכנס, ובימים כתיקונם הוא חבר בוועדת המיחשוב של לשכת עורכי הדין, יושב בוועדת האינטרנט של הכנסת ועוד כהנה וכהנה תפקידים. "במהלך אירגון הכנס, ניסינו לפנות למשטרה, לשב"כ, למוסד ולמשרד הביטחון, כדי שישלחו את נציגיהם המטפלים בענייני אבטחת מידע, וכדי שאלו יופיעו בפאנלים. נענינו בשלילה. חלק מהם אמרו שאין להם אישור מן הממונים. ח"כ מודי זנדברג (שינוי), שאני יועצו האישי, שלח מכתב לראש הממשלה, ובו ביקש לאשר לראשי המשרדים לשלוח את נציגיהם לכנס. בסופו של דבר פנינו אליהם, והם אמרו שיגיעו, אבל בעילום שם". לדברי ווינשטיין, זה אכן היה המצב: "היו כאן נציגים של משרד הביטחון, של היחידה לפשעי מחשב במשטרה וככל הנראה גם של השב"כ, אולם הם לא הזדהו". בכנס נכחו, ללא ספק, גם נציגים של משרדי ממשלה נוספים. ביניה ם היתה א', העובדת במשרד החינוך. בתגובה לשאלה האם היא מודעת לאיסור שהוטל מטעם הממשלה על כניסה לכנס, חייכה א', והפכה את תג הזיהוי שעל חזה.בכנס פורסמו תוצאות הסקר שערך לירז סירי, האקר כבן 19, שסרק את כל שרתי ואתרי האינטרנט בישראל. התוצאות שהציג מראות, כי למעלה משליש מאתרי האינטרנט המסחריים בישראל, ביניהם אתרי מסחר אלקטרוני, פגיעים לחדירות."מטרת ההאקר היא נעלה", אומר עו"ד אילון. "לאדם הקטן הוא עושה שירות חשוב. צריך להבחין בין חשיפה של מידע הנוגע לתוכנה או לטכנולוגיה, לבין חשיפת המידע שהטכנולוגיה אמורה לשמור עליו. זו מהות ההבדל. אם האקר מצליח לקחת מספרים של ביטוח לאומי, שלא שומר עליהם היטב, זה טוב מאוד, כי נוצר הצורך לתקן את המצב. כדי להגיע לזה מבצעים ההאקרים פעולות פליליות בלית ברירה. כדי שהפעולה תהיה חוקית ולגיטימית, צריך רשות מבעל הרשת. ולא כל אחד רוצה לתת רשות להאקר למצוא פרצות בתוכנה שבה הוא השקיע מיליוני דולרים. ההאקרים גרמו לחברות כמו ריל נטוורקס ודאבלקליק להפסיק לעקוב אחרי לקוחותיהן, ומצאו חורים בתוכנות של מיקרוסופט.המטרה של הכנס, אומר עו"ד אילון, היא לתעל את הידע והאנרגיה של באיו לכיוונים חיוביים ומסחריים. "השוק המסחרי מזהה את הפוטנציאל, ואנחנו רצינו להוציא את זה החוצה. שלא יסתכלו על ההאקרים כגורם שלילי. הכל זה עניין של קונספט".