השבוע התבשרנו על סגירת חברת הסייבר ההתקפי QuaDream, חברה שהוקמה על ידי יוצאי NSO והתחרתה בה בשיווק כלי פריצה והשתלטות על טלפונים חכמים. 40 עובדי החברה ילכו הביתה. בהשאלה מטולסטוי, לכל חברה שנסגרת יש הצטברות צרות משלה שהוביל להחלטה לסגור; זו תקופה משברית בהייטק בכלל ועל ענף הסייבר ההתקפי בישראל מעיבה גם הכבדת הרגולציה והיתרי פיקוח המכירה (דבר שנעשה בצדק).
נשים בצד את הדיון ההכרחי בפגיעה של הכלים הללו בזכויות אדם, ונשים בצד אפילו את הרגולציה - מאחורי סגירת חברת הסייבר ההתקפי QuaDream מסתתר גם סיפור יותר "קלאסי" של ענף הסייבר, סיפור של חברות התקפיות מול חוקרים אתיים, כובע לבן נגד כובע שחור, סיפור של חתול ועכבר.
איך עובד עולם הסייבר ההתקפי? בחברות הסייבר ההתקפי יושבים אנשים מוכשרים מאד שמכונים "חוקרי חולשות". בישראל רובם ככולם גדלו ביחידות המודיעין והם מאומנים בלמצוא חולשות במערכות תוכנה - שגיאות קטנות בקוד או בתהליך שמאפשרות להשתלט על מערכת. למשל, במקרה של קוואדרים נחשף כי הכלי שלה השתמש בחולשה במערכת הזימונים ביומן המובנה של ה-iOS כך שהיומן ניגש לפתוח עמוד דפדפן, מה שאיפשר להתקין תוכנה זדונית על המכשיר, והכל באופן בלתי נראה ומבלי שהקורבן צריך להתפתות ללחוץ על לינק או לנקוט בכל פעולה (סוג התקפה המכונה: זירו קליק).
בחברות הסייבר ההתקפי יושבים אנשים מוכשרים מאד שמכונים "חוקרי חולשות". הם מאומנים בלמצוא חולשות במערכות תוכנה - שגיאות קטנות בקוד או בתהליך שמאפשרות להשתלט על מערכת. חולשה חזקה אפשר למכור במיליון דולר ואף יותר
חוקרי החולשות הם יקרי המציאות ומקבלים שכר מאד גבוה, שיכול להגיע גם ל-100 אלף שקל בחודש. אפשר להבין את זה: חולשה טובה אפשר להשמיש לכלי תקיפה עוצמתי שניתן לעשות בו שימוש על מטרות רבות (תיאורטית, כל מחזיק של אותו מכשיר) ולמכור לגופי מדינה במיליונים רבים. בבורסת החולשות "זירודיום" אפשר למכור חולשה חזקה אחת גם במיליון דולר, ואף יותר.
חברה חייבת "בנק של חולשות"
חברת סייבר התקפי חייבת להחזיק מספר חוקרי חולשות ראשית בגלל מגוון המערכות, למשל ב-NSO יש מחלקת אנדרואיד ויש מחלקת אייפון, וגם בתוך המכשירים יש גרסאות וגוונים. הסיבה השנייה היא שחברת סייבר התקפי חייבת להחזיק מחסנית או בנק של חולשות, במידה ו"שורפים" חולשה אחת שהיא עושה בה שימוש - שתהיה יתירות וניתן יהיה להציע ללקוחות חלופה במהירות.
שורפים? מי שורף? ובכן בצד השני של המתרס ישנם חוקרי סייבר אתיים, מה שמכונה גם בכינוי "כובע לבן", שהם בדרך כלל חלק מחברות אבטחת מידע. הם עושים את העבודה ההפוכה, מחפשים כל היום נוזקות שמסתובבות בשוק, לא משנה מי כתב אותן. ברגע שהם מוצאים "וירוס" כזה הם מנתחים אותו לעומק, איך הוא עובד, ועל אילו חולשות בתוכנה הוא מתבסס.
בשלב הבא הם מיידעים את היצרן או החברה הרלוונטית, במקרה שלנו אפל, על אודות החולשה ואיך היא עובדת. בשלב הזה החברה תייצר טלאי אבטחה שסוגר את החור ותשלח ללקוחות עדכון גרסה (לכן חשוב להתקין עדכוני גרסה כשהם יוצאים!). רק אחרי שהושלם התהליך, חברת הסייבר ההגנתי תפרסם בלוג-פוסט בו היא תסביר מה קרה, ותיקח קרדיט כמובן.
בצד השני של המתרס ישנם חוקרי סייבר אתיים, מה שמכונה גם בכינוי "כובע לבן", שהם בדרך כלל חלק מחברות אבטחת מידע. הם עושים את העבודה ההפוכה, מחפשים כל היום נוזקות שמסתובבות בשוק, לא משנה מי שכתב אותן
במקרה שלנו מי שאיתר את כלי התקיפה של קוואדרים הוא ארגון הזכויות הדיגיטליות סיטיזן לאב מאוניברסיטת טורונטו יחד עם קבוצת ה- Threat Intelligence של מיקרוסופט. בעבר, בדצמבר 2021, היה זה צוות החוקרים Project Zero של גוגל ש"פירק" לגורמים את פגסוס של NSO. חברת הסייבר ההתקפי קנדירו נאלצה פעמיים לכתוב לגמרי מחדש את כלי התקיפה שלה אחרי פרסום מחקרים מצד חברות אבטחה (אחת מהן הייתה קספרסקי במחקר מ-2018).
בשחמט הזה השאלה היא כמה כלים יש לך על עוד על הלוח ומי המתמודד שנגדך. בשנים האחרונות, החברות הגדולות של עולם הטכנולוגיה הן שמתייצבות נגד הסייבר ההתקפי - נזכיר שהן פייסבוק והן אפל תבעו את NSO והן מנהלות מולה מערכה משפטית. זה שינוי דרמטי במאזן הכוחות. חברה צעירה יחסית, שאין לה מספיק חולשות במחסנית, תתקשה להתמודד לאורך זמן מול כח שכזה. וזו רק סיבה אחת למשבר הסייבר ההתקפי.