כמו בהרבה דברים בחיים, גם אצל האקרים יש "טובים" ו"רעים". האקרים לבנים מחפשים איך לפרוץ לאתרים המוכרים ביותר, וכשהם מצליחים הם מדווחים לארגונים על הפרצה ומקבלים תמורה כספית, שיכולה לנוע מ-50 דולר ועד 100,000 דולר. חברות ענק כמו אמזון וגוגל מנהלות תוכניות "ציד חולשות" (Bug Bounty) כדי לגלות פרצות בהגנות שלהן.
זה התחיל כתחביב שהפך לענף רווחי - וגם תחרותי. לפני כחודש החלה תחרות עולמית בין קבוצות האקרים ממדינות שונות. בכל סבב הקבוצות התבקשו לחפש חולשות באתרים מפורסמים, ועל סמך החולשות שמצאו וכמות האתרים שבהן הן פוגעות, הן מקבלות ניקוד. הקבוצה הישראלית, שמונה 23 אנשים מחברות שונות בהייטק, הצליחה לעבור את שלב חצי הגמר, וכעת מחכה לדעת האם הצליחה להעפיל לגמר.
רותם בר, בן 37, נשוי ואב לילדה בת 8, תושב תל אביב, הוא אחד המשתתפים בקבוצת ההאקרים הישראלית שהקים גל נגלי. הוא פעיל בתחום אבטחת מידע מזה שנים, והיום הוא ראש תחום אינטגרציות ומרקטפלייס בחברת Cider security. "התחלתי בצבא, כששירתי בממר"ם", הוא מספר ל-mako. "שם התחלתי ללמוד איך לפרוץ במערכות מחשוב. מאז אני מתעסק בזה גם בעבודה וגם כתחביב".
קבוצת התוקפים הישראלית מונה גברים מחברות שונות, בהן פלייטיקה, וויקס, אינטל ומאנדיי, והם נפגשים פעמיים בחודשיים-שלושה, "מעבירים חוויות ופורצים ביחד". "אנחנו מעבירים בינינו כל מיני שיטות, כל אחד מביא את הזווית שלו. זה כיף ונחמד לפרוץ לאתרים", אומר בר. "גם במהלך התחרות התייעצנו אחד עם השני".
את התחרות העולמית ארגנה חברת האקר 1, שהיא בעצם פלטפורמה שמחברת בין החברות לבין ההאקרים הלבנים. במסגרת התחרות ניתנת רשימה של אתרים מפורסמים, ועל "ההאקרים הטובים בעולם" למצוא בהם חולשות. מדובר באתרים פומביים, בהם טינדר, טיקטוק, קוסקו, פיוניר, רדיט, גלאסדור, AT&T, יאהו ועוד.
עד כה הקבוצה הישראלית ניצחה קבוצות מהודו וארה"ב והצליחה למצוא פרצה משמעותית שמשפיעה על 8 מיליון אתרים בעולם, בהם כ-4,000-5,000 אתרים ישראלים. "דיווחנו על הבעיה, עכשיו הם הולכים לתקן אותה, ואז נוכל לספר לעולם. בינתיים אי אפשר לספר מה מצאנו, כדי שתוקפים אמיתיים לא ינצלו את זה", מסביר בר.
הפריצה הראשונה שלו הייתה "בטעות" לגוגל לפני כ-12 שנה. "בזמנו הצלחתי לייצר אימייל, שכאשר אני שולח אותו, הוא מפעיל קוד שהוא בעצם תולעת, שיכול לאפס ולשנות סיסמה לבעל הג'ימייל, וגם לשלוח מייל בשמו לכל רשימת הכתובות שלו וככה להפיץ הלאה את הווירוס. חיפשתי את גוגל כדי לדווח להם, ומישהו אמר לי, 'עזוב אותך, בוא לא נספר לגוגל. אני יכול לסדר לך מזוודה מלאה בכסף'. סירבתי, אמרתי לגוגל, הם אמרו לי תודה. היום למצוא פריצה מסוג זה יכולה להיות שווה גם 100 אלף דולר", הוא מספר.
בר מספר כי קיבל פעם על באג אחד שמצא 20 אלף דולר. "זה היה מוצר אופן סורס, קוד פתוח, שיש להרבה חברות. מצאתי שכשמתקינים אותו, הוא גורם לחברה להיות הרבה יותר חלשה, ואפשר דרכו לפרוץ ולהפעיל שירותים פנימיים בתור החברה. בגלל שזה רוחבי וכולל הרבה חברות, החליטו לשלם ככה. אחד הפרסים הכי גדולים ששולמו לאחרונה היה לפני חצי שנה - מישהו קיבל 2 מיליון דולר אחרי שהוא הראה איך הוא יכול לפרוץ לאתר קריפטו ולקנות אינסוף אתריום".
הוא מסביר כי לאתרים ישראלים אין תוכניות באג באונטי פומביות, והם לא משלמים כסף עבור פריצה. "אם אין תוכנית מסודרת, אתה מעדיף לא לפרוץ אליהם, כי אז אתה עובר על חוק המחשבים בארץ".
ומה הפריצות הכי יוצאות דופן שהיו לו?
"לפני שנתיים השתתפתי בתחרות שהזמינו אותנו לפרוץ את הרכבים של פיאט. לכל מכונית יש מחשבים והמחשבים האלה מחוברים לאינטרנט. הצלחנו גם להתניע את האוטו מרחוק, לפתוח את הדלתות שלו וגם להשתמש ברכב ככלי כדי לפרוץ לענן, למחשבים של החברה. ראיתי את כל הרכבים שלהם בלייב ואיפה כל אחד נמצא. בנוסף, גם גו פרו הביאו לי מצלמה כדי לפרוץ אליה וטסתי לארה"ב על חשבונם כדי לפרוץ לאתר של המארינס".