הפרצה בוואטסאפ: "ישראלים לא נפגעו"
מערך הסייבר מזהיר מפני גורמים ש"מנסים להבקיע את השער" של וואטסאפ, לאחר שפרצת אבטחה באפליקציית המסרים המידיים איפשרה להשתיל בסמארטפונים תוכנת ריגול של חברת NSO הישראלית. חוקר בצ'ק פוינט מספר על שוק שלם שבו נסחרות חולשות אבטחה: "פרצה כזאת יכולה לעלות מיליון דולר, פרצה במערכת ההפעלה של האייפון - שניים-שלושה מיליון דולר"
הפרצה באפליקציית וואטסאפ לא פגעה במשתמשים ישראלים - כך קובע לביא שטוקהמר, מנהל המרכז לניהול אירועי סייבר של מערך הסייבר הלאומי, בשיחה עם ynet. לדבריו, מערך הסייבר כבר פרסם שתי התרעות קודמות בעניין וואטסאפ, האחרונה בפברואר והקודמת בשנה שעברה. "אנחנו רואים יותר ויותר אינדיקציות לאירועים סביב וואטסאפ, מה שמצביע על אינטרסים הולכים וגוברים מול התשתית הזאת. זה כנראה שער מאוד אטרקטיבי וככל הנראה הרבה גורמים מנסים להבקיע אותו", אומר שטוקהמר. איך אפשר להתגונן? במערך הסייבר ממליצים - בדיוק כמו וואטסאפ עצמה - לעדכן לגרסה החדשה ביותר.
חשיפת הפרצה, או כמו שהיא מכונה בלשון המקצועית "חולשה", לא הפתיעה את אנשי המקצוע בתחום הגנת הסייבר. למעשה, מתברר שמדובר בקצה הקרחון של שוק בינלאומי של סחר בלתי חוקי בחולשות במערכות מידע ובאפליקציות, שבהן קבוצות האקרים עוסקות באיתור חולשות ולאחר מכן מוכרת אותן לחברות סייבר התקפי כמו NSO ולגופים ממשלתיים העוסקים בפעולות סייבר התקפי.
עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט, אומר כי מדובר באירוע מתגלגל ולהערכתו יצוצו עוד פרטים רבים ומדאיגים בימים הקרובים: "אנחנו עדיין בוחנים את האירוע. בינתיים הכל בגדר שמועות. להערכתי מדובר במידע שארגון מודיעין הדליף, או מישהו שנשרף והעביר את המידע לסוכנות, שעדכנה את וואטסאפ. היתה פה בוודאות שרשרת אירועים".
שוק הסחר בחולשות מחשב מתנהג בדומה לשוק הסחר הבינלאומי בנשק לא חוקי: ישנם יצרנים, סוחרים וישנם לקוחות, וכולם מתעלמים מההיבט הבלתי חוקי של פגיעה באנשים, ברכוש ובמידע שנגרמת כתוצאה מהסחר הזה. "אנחנו בעולם של ניצול חולשות ומכירת חולשות", אומר ואנונו, "זה כלי נשק סייברי לכל דבר וזה הכסף הגדול. אנחנו עוברים מעידן שבו תקציבי הביטחון עוברים מנשק קונבנציונלי לסייבר התקפי ואנחנו מדברים על תקציבים גדולים".
לדברי ואנונו, יש בשוק מחירונים ידועים וחולשה באפליקציה חברתית למשל יכולה להימכר בכמיליון דולר במזומן. מחיר חולשה במערכת ההפעלה iOS של אפל עשוי להגיע לשניים עד שלושה מיליון דולר. ביקוש ענק יש גם לחולשות בדפדפדנים, בפלגאינים וברכיבי תוכנה נוספים. "נוצר שוק שלם, ארסנל שלם, וכל חולשה היא בעצם כניסה למערכת, ומשם אתה יכול להפעיל עוד חולשות. זה העולם של הסייבר ההתקפי של היום", הוא מסביר.
אריק וולובסקי, מנהל הנדסה בסימנטק ישראל, מוסיף: "זה עולם שלם שכל הזמן מחפשים בו חולשות וכל הזמן מנסים למכור אותן". לדבריו, לחברות שמאתרות חולשות קל יותר למכור את המידע על החולשה מאשר לעשות בה שימוש, הן מחשש מחשיפתן והן מחשש לנזק שעלול להיגרם.
בימים האחרונים דווח על פריצה לשלוש חברות האנטי-וירוס האמריקאיות הגדולות – טרנד מיקרו, מקאפי ונורטון (מקבוצת סימנטק). לפי טענת קבוצת האקרים, היא הצליחה לגנוב את קוד המקור של החברות ולהעמיד אותו למכירה בדארקנט תמורת 300 אלף דולר לכל גורם מעוניין. לפי הערכות בענף, הלקוחות הראשונים יהיו ממשלות מכל העולם, שבאמצעות מתווכים ירצו לשים את ידם על הקוד ולגלות באמצעותו פרצות במערכות מידע, אבל גם גופי פשע וטרור שעלולים לעשות בו שימוש לתקיפה.
וולובסקי אומר כי היקף נסיונות החדירה הוא "בכמויות היסטריות", מאות אלפי התקפות יומיומיות. לצד גופים ממשלתיים ופליליים שמתמקדים באנשים מסויימים בלבד, הרבה מאוד מנפח התקיפות הוא של האקרים פרטיים, שמבקשים להרוויח כסף קל: לנצל את משאבי הטלפון כדי לכרות ביטקוין, לגנוב מידע על כרטיסי אשראי וחשבונות בנק. הוא מציין כי מי שחודר לטלפון של אדם פרטי יכול לפגוע בו מאוד קשה, לגוב את כל פרטי האשראי של לקוחות, לבצע העברות בנקאיות וגם לבצע פעולות הרסניות כמו גרימת קריסה של רשת סלולרית על ידי חדירה למשתמשים רבים במקביל.
לפי הדיווח בפייננשל טיימס, הפרצה שהתגלתה בוואטסאפ שימשה את NSO כדי לשתול את תוכנת הסייבר ההתקפי שלה בסמארטפונים של אנשים ספציפיים. החברה טענה בתגובה לדיווח כי היא "פועלת על פי החוק ואיננה מפעילה את הטכנולוגיה בעצמה". לפי הצהרות החברה, הכלי ההתקפי נמכר לממשלות בלבד ועל בסיס מתן רישיון למספר זעום של מטרות - בני אדם החשודים בפעילות כנגד המדינה. עם זאת, פעמים רבות נטען כי פגאסוס שימשה משטרים בדרום אמריקה ובמזרח התיכון לרדיפה אחר פעילי זכויות אדם.
וואטסאפ עדכנה את הרגולטור שלה באיחוד האירופי, הנציבות להגנה על המידע באירלנד (DPC), על פרצת האבטחה, והמליצה למשתמשים להוריד את הגרסה העדכנית ביותר של האפליקציה ולוודא שמערכת ההפעלה שלהם מעודכנת. בוואטסאפ עדיין חוקרים את חולשת האבטחה, אבל מעריכים כי מדובר במשתמשים בודדים שהותקפו וכי מדובר בפעילי זכויות אדם. "אנחנו עובדים מול ארגוני זכויות אדם כדי להבין מי נפגע", אמר דובר מטעם וואטסאפ, "זאת באמת הדאגה הכי גדולה שלנו".
"כמו להוריד פצצה על חברת החשמל"
ואנונו אומר שהסחר בחולשות של אפליקציות מדיה חברתית הוא תופעה שהתגברה בשנה האחרונה, עם חולשות שהתגלו בוואטסאפ, טלגרם ופייסבוק: "מציאת חולשה באפליקציה מאוד שימושית היא כמו להוריד פצצה על חברת החשמל כי דרך החולשה הזו אתה יכול להוריד את כל המערכות של חברת החשמל". הלקוחות של החולשות הם בין השאר גופי מחקר ממשלתיים, שמנהלים מאגר של חולשות שבהן עושים שימוש בזמן תכנון תקיפה על גורם כלשהו. "כשאני מבצע התקפת סייבר, יש לי מסלול שלם של הגדרת היעד, איך מגיע אליו, דרך איזה תחנות, וכשאני בונה תוכנית התקפית, אני עובר הרבה רכיבי טכנולוגיה, מראוטרים דרך חברות הסלולר, מערכות המידע ועוד, ובכל אחד מהם יש אופציה להיכנס בדרכים שונות".
אם השוק כה גדול, למה תמיד הדיווחים הם על NSO?
"הם די מובילים בסיפור הזה. גופים ומדינות סומכים עליהם ועל הכלים שהם מייצרים. כנראה בגלל שיש להם הרבה לקוחות אז הרבה פעמים הלקוחות נשרפים כשמשתמשים בכלים שלהם ולכן יש הרבה חשיפות".
וולובסקי אומר כי החולשה שהתגלתה בוואטסאפ חמורה במיוחד: "זה סותר את מה שאנשים האמינו, שאם הם מתקינים אפליקציה מחברה גדולה אז היא בטוחה". לדבריו, גם חברות שמתקינות אצל העובדים מערכת סגורה שנמצאת תחת פיקוח יחידת המחשב החברה (MDM) טועות לחשוב שהן מוגנות. "אנשים עובדים כל הזמן עם וואטסאפ והוא מותקן כמעט בכל טלפון ואם אתה שותל באמצעותו כלי מעקב אז אתה יכול לגנוב מידע גם ממערכות סגורות, באמצעות תמונות מסך מאוד מהירות שקולטות מיילים, קבצים, וכל מידע שמגיע לטלפון". הפיתרון הוא במערכות מסוג MTD שמגינות על כל התקשורת, האפליקציות ומערכת ההפעלה של הטלפון, ומתריעות על כל פעילות חשודה מראש.
עו"ד חיים רביה, ראש קבוצת הסייבר במשרד עורכי הדין פרל כהן צדק לצר ברץ, אומר כי ממשלת ישראל צריכה לפקח על שימוש בכלי סייבר בעלי אופי של נשק, "שיכולים לשמש למטרות מאוד מסוכנות או לפחות מפוקפקות. אבל את מה שישראל אינה עושה בהקשר לנשק היא גם אינה עושה בהקשר לתוכנות". הוא הוסיף כי "מדינת ישראל נוהגת בהיתרי הייצוא שלה באופן ליברלי יתר על המידה ואותן תופעות שאנחנו רואים בהיתרים לייצוא נשק אנחנו גם רואים בהיתרים לייצוא מערכות סייבר. ישראל מתאפיינת בזה שהיא מייצאת נשק גם למשטרים מדכאים ואפילו למשטרים שמבצעים פעולות רצח נגד עמם כמו מיאנמר, וקרוב לוודאי שהיא לא נוהגת בקפדנות רבה יותר כשמדובר בהיתרים לייצוא תוכנות ריגול".
אתה לא סומך על ועדת האתיקה הפנימית של NSO, שבוחנת את העסקאות לפני חתימתן?
"ל-NSO יש ועדה אתית פנימית ולפייסבוק יש סוללת יועצים שעוסקת בפרטיות ועדיין החברות, זו גם זו, כל אחת בדרכה, רוצה לעשות רווח. בלי פיקוח רגולטורי חיצוני, תקיף ויעיל - הן מסיימות במקומות שאנחנו לא רוצים לראות אותן בהם".
