לפני כשלוש שנים קיבל א' טלפון מגורם ישראלי, שהציג את עצמו כמגייס כוח אדם בתחום הסייבר ההתקפי. "יש לך כאן הזדמנות, מדובר על הרבה מאוד כסף", אמר המתווך לא', משוחרר טרי ששירת כמדריך בקורס אר"מ (אולפן ריתוך מודיעין) של יחידה 8200. זהו קורס הסייבר ההתקפי הסודי, המוביל והיוקרתי ביותר בצה"ל. "בימים אלה מרימים קורס אר"מ עבור גוף ביטחוני של מדינה באסיה, בוא נראה איך אנחנו יכולים לעבוד יחד", המשיך המתווך. "אני מדבר איתך על שכר של 50־60 אלף דולר בחודש, מגורים וטיסות עלינו".
א' היה מסוקרן. הפיתוי שבמשכורת הגבוהה וההזדמנות לבלות תקופה ביעד אקזוטי בהחלט קסמו לו. במשך כמה שבועות ניהלו הצדדים משא ומתן, ובשלב מסוים הגיעה העת לחתום על חוזה. אבל משהו נראה לו לא בסדר. "היו יותר מדי נקודות שחורות שלא מדברים עליהן, וזו הייתה בעיה מבחינתי", מסביר א'. "למשל, המתווך סירב לספר לי באיזו מדינה מדובר עד שאחתום על החוזה, או מי הבן אדם או הגוף שאחראים על ניהול הקורס. זה לא נשמע לי טוב".
באמצעות קשריו בעולם הסייבר גילה א' באיזו ארץ מדובר: מדינה מפנקת מאוד, עם מרכז עסקי גדול. לבקשתו, לא נחשוף את שמה כאן, אך נספר שזו מדינה שיש לה קשרים דיפלומטיים ואף ביטחוניים עם ישראל, "ובכל זאת, סירבתי להצעה. לא הרגשתי עם זה בנוח", אומר א'. "קורס אר"מ שבו הדרכתי, הוא קורס שלקח לצבא שנים לפתח ולהביא אותו לרמה שבה הוא נמצא היום. לתת את כל הידע הזה למדינה שלישית בשביל סכום כסף, שברור שנועד לסנוור אותך? זה לא התאים לי".
×
בשבוע שעבר חשף תחקיר "7 ימים" כיצד בוגרי 8200 ויחידות טכנולוגיה נוספות במערכת הביטחון זוכים להצעות מפתות מחו"ל, לעיתים בחברות שלא ברור מי עומד מאחריהן. כך, למשל, מצאו עצמם ישראלים עובדים בשירות חברה קפריסאית, שמספקת שירותים ל"דארק מאטר", חברת סייבר הפועלת בחסות סוכנות הביון של איחוד האמירויות הערביות. בעקבות החשיפה הגיעו למערכת "ידיעות אחרונות" פניות רבות, ביניהן גם של בוגרי יחידות מסווגות כמו א', שסיפרו כי קורס הסייבר היוקרתי ביותר של צה"ל – מועבר על ידי מדריכים לשעבר גם בחו"ל. "הגורמים הזרים האלה לא רוצים את הידע הטכני שיש לנו", מסביר א', "כי אותו אתה יכול למצוא בגוגל".
אז למה דווקא אתכם?
"כי 8200 זה חותמת. ודבר שני, כי הם רוצים להבין אילו צורות חשיבה יש בתחום הסייבר ההתקפי. ידע זה לא מספיק, צריך להבין איך אתה מפיק מהידע הזה תועלת".
ניסיון הגיוס של א' אמנם לא צלח, אך לדבריו כמה מחבריו מ־8200 הסכימו להצעה המפתה, עברו למדינה האסיאתית, ובתמורה לתנאי העסקה שחבריהם בארץ יכולים רק לחלום עליהם, לימדו את אנשי גוף הביטחון המקומי איך לפתח כלי סייבר התקפיים. "הקורס החל לרוץ ב־2018, בהשתתפות עשרות מדריכים ישראלים, והמחזור הראשון היה הצלחה", אומר א', "בימים אלה נפתח המחזור השני". דבריו של א' נתמכים בעדויות אחרות של יוצאי מערך הסייבר ההתקפי של קהילת המודיעין, אשר הגיעו לידינו.
חלק מאנשי הסייבר שעברו לחו"ל טענו בתחקיר כי הידע שרכשו בצה"ל התיישן, לכן אין כל בעיה בעבודתם הנוכחית. א' חושב שזו היתממות: נכון, ה"חוּלשות" (זיהוי של פרצה בתוכנה, שמאפשרת חדירה דרכה) אולי השתנו, הוא מסביר, אבל הידע בנוגע לאותן חולשות – לא. "גם אם יש ידע שלא צברת בקורס עצמו, השירות בצבא מכשיר אותך להבין מה צריך לעשות עם הידע הזה. אתה לא תמיד חשוף למבצע שבו אתה משתתף או לפרטים של המטרה שעימה אתה מתמודד, אבל אתה מבין מה החולשה שאתה מחפש או מה הכלי שאתה מפתח ולמה. כשילד בן 16 מחפש חולשות באייפון שלו הוא עושה את זה בשביל הכיף. זה לא אותו דבר כשגוף ביטחוני עושה את זה ויודע מה השימושים שאפשר לעשות בחולשה הזו בהמשך".
×
ענף עיסוק נוסף שמתברר כי הישראלים מככבים בו הוא "סחר החוּלשות": מומחי תוכנה – רבים מהם בוגרי אותן יחידות מסווגות - מזהים פרצות קריטיות בתוכנות ומוכרים אותן לגופים אחרים. מי שמקשר בין המומחים לבין הלקוחות – חלקם, מן הסתם יכולים להיות מאוד לא־נעימים ולא־נחמדים – הם ה"ברוקרים". אחד מהם, ברוקר ישראלי פעיל שגם הוא בוגר קהילת המודיעין, סיפר השבוע ל"7 ימים" כי ייצג לא מעט ישראלים בעסקאות כאלו. אגב, אותו ברוקר אומר כי לאחרונה פרש מהמקצוע, לאחר שלדבריו קיבל איומים על חייו מאחד השחקנים החזקים בעולם סחר החולשות.
כמה עולה חולשה כזו?
"תראו, זה תלוי במה שנקרא 'וקטור החדירה'".
שזה אומר?
"המטרה הסופית שלך היא להתקין סוס טרויאני על המכשיר של המותקף. בשביל זה, הדבר הראשון שאתה צריך זו היכולת להריץ קוד על המכשיר שלו, ובשביל זה אתה צריך פלטפורמה, כמו ווטסאפ, למשל. ברגע שחדרת לווטסאפ, השלב הבא הוא היכולת להשתלט על המכשיר כולו מתוך האפליקציה".
ככל שהחדירה קלה יותר ומאפשרת השתלטות רחבה יותר על המכשיר המותקף, כך נוסק מחירה. "למשל, חולשה שמאפשרת לך להשתלט על מכשיר מתוך הווטסאפ, יכולה להגיע לשלושה מיליון דולר", מסביר הברוקר. "המחיר הוא יקר, בגלל שווטסאפ היא תוכנה מאוד נפוצה, ולכן סביר להניח שהיא תהיה במכשיר של המטרה שאתה רוצה לתקוף. אם תצליח גם לפתח וקטור חדירה של 'זירו קליק', כלומר שהמטרה לא צריכה ללחוץ על משהו כדי שהסוס הטרויאני יותקן, המשמעות היא שאתה יכול להתחבר לטלפון של כל מי שאתה רוצה, וכל מה שצריך זה שתהיה לו אפליקציית ווטסאפ בטלפון הנייד".
מחירה של חולשה שמאפשרת חדירה באמצעות ios, מערכת ההפעלה של אפל, יכולה להגיע לדברי הברוקר לחצי מיליון דולר, וחולשה במערכת ההפעלה "חלונות" של מיקרוסופט ל־400 אלף דולר. "ואת כל החולשות האלה אפשר למכור כמה פעמים, לכמה לקוחות שונים", הוא מתלהב. לדבריו, מדי שנה נמכרות בעולם עשרות בודדות של חולשות משמעותיות מהסוג הזה, כאלו שפותחות דלת רחבה עבור המחזיקים בהן ומאפשרות להם לאסוף מידע מודיעיני רב־ערך.
לדברי הברוקר, את מרכולתם של חוקרי החולשות מבקשים לרכוש בעיקר גופים ביטחוניים ממשלתיים וחברות סייבר, אשר מפתחים כלים התקפיים. חשוב להבהיר: מרבית המוכרים והקונים בתעשייה הם גורמים לגיטימיים, ומי שמשתמש אחר כך ביכולות החדירה, עושה זאת פעמים רבות כדי להיאבק בארגוני טרור ובפשע המאורגן. עם זאת, הסחר בחולשות לא נתון ברוב המקרים לשום פיקוח, "ואתה לא תמיד יודע מי באמת הלקוח שלך", מדגיש הברוקר. "רק אם אתה מספיק זמן בתעשייה תדע להצליב את הדברים ולהבין בעצמך. כישראלי, היו פעמים שבהן אמרתי 'לא' ללקוח, כי הבנתי שמדובר במדינה שאני לא מעוניין להתעסק איתה".
אז למי מכרת?
"אני הייתי מוכר חולשות רק לגורמים מערביים".
×
שאלנו את הברוקר כמה ישראלים להערכתו נמצאים כרגע בעולמות הללו. "אני מעריך שיש כמאה ישראלים, מפתחי סייבר, חלקם יוצאי יחידות מסווגות, שעזבו את ישראל בשנים האחרונות ועברו להאבים (מרכזי פיתוח – ר"ב, א"א) הגדולים של הסייבר ההתקפי בעולם, שנמצאים בקפריסין, סינגפור וגיברלטר".
למה שסוחר חולשות לא יעבוד פשוט מהארץ?
"כי אפ"י (האגף לפיקוח על היצוא הביטחוני במשרד הביטחון – ר"ב, א"א) הוא הארגון הכי מסובך בעולם להוציא ממנו אישור יצוא. אני מכיר אנשים שכבר יותר משנה וחצי נמצאים בתהליך קבלת אישור, ובינתיים רק מפסידים כסף. זה תהליך שלא ברא השטן. הרבה חוקרים מעדיפים לעזוב את ישראל, כי אם הם ימכרו חולשה בתור ישראלים מבלי לקבל אישור מאפ"י, הם יהפכו לעבריינים".
בתגובה לפניית "7 ימים" למשרד הביטחון באשר למדריכי הקורס שמלמדים באותה מדינה באסיה, ענו במשרד כי "משרד הביטחון אינו נוהג לפרט בעניין מדינות ספציפיות".
עם זאת, נמסר כי, "משרד הביטחון נוקט מדיניות אכיפה מחמירה במקרים של הפרת חוק הפיקוח על היצוא הביטחוני בכלל ובתחום הסייבר בפרט. רק לאחרונה הותר לפרסום עצם קיומה של חקירה שמנהל המשרד, יחד עם משטרת ישראל, בחשד של עבירה על חוק הפיקוח על היצוא הביטחוני. על פרטי החקירה קיים צו איסור פרסום ולכן לא נוכל להרחיב מעבר לכך".
ומה לגבי הטענות כלפי הסרבול של אפ"י?
"אפ"י אחראי לאיזון העדין בין החובה לשמירה על ביטחון המדינה ונכסיה הביטחוניים האסטרטגיים (גם בתחום הסייבר), אל מול ההכרח לאפשר לחברות הסייבר בישראל צמיחה ושגשוג, תוך ביצוע יצוא בהתאם לרישיונות ומגבלות הנדרשים מכורח המציאות. לכן תחום הסייבר מקבל התייחסות מיוחדת, הן באכיפה, היכן שנדרשת, והן בהקלות ובהסרת חסמים ביורוקרטיים. מוצר סייבר בסיווג בלמ"ס נכלל ברפורמה שאפ"י מוביל ופטור מרישיון שיווק לרשימת המדינות המותרות. אפ"י מקיים עם חברות הסייבר שיח ענייני ושיתוף הפעולה מצוין".