הבעיה האתית של האקרים חיוביים, הבעיה החיובית של ארגונים חדירים

בשנים האחרונות אנחנו קוראים על מעצרם של האקרים שחדרו ברחבי העולם למערכות רגישות הסובבות את חיי היום יום של כולנו. חלקם נעצרו לאחר שדיווחו, בדרך של רמיזה או במישרין, על ניסיונותיהם או הצלחותיהם.

דיווחים רבים התפרסמו בשנים האחרונות אודות תקיפת מערכות, בעיקר מערכות הטסת מטוסים, בקרה אווירית, בקרת רמזורים, השטת ספינות ענק, מערכות רפואיות, מערכות נהיגה ברכב, פרוטוקולי תקשורת ותפעול לוויינים, תצורות ממוחשבות תעשייתיות השולטות על כורים גרעיניים, תחנות כוח וטורבינות גז וכימיקלים.

ממש לאחרונה, למשל, פרסם ה-FBI מידע לפיו מומחה משחקים והאקר בשם כריס רוברט נעצר בחשד כי פרץ למערכת CAN-Bus, שתל דגמים מסוימים של מטוסי איירבוס (Airbus) ובואינג (Bowing), ושלט על ניהוג המטוס ממושב נוסע רגיל. הוא עשה זאת תוך שימוש במערכות תקשורת מולטימדיה המותקנות במטוס, ושמיועדות וזמינות לנוסע רגיל.

רוברטס טען שה-FBI עיוות את עדותו. לדבריו, הוא אמנם אמר שהתחבר למערכות הניהוג ביותר מ-12 טיסות, אולם לא ביצע פעולת שליטה.

בין כך ובין כך, עולות בהקשר זה כמה שאלות מעניינות: מה קורה כאשר האקרים מוצאים נקודות תורפה באבטחת סייבר של מערכות רגישות הנוגעות לציבור? מה מניע את ההאקרים הללו? כיצד מגיבות הרשויות? ומה מצפות הרשויות מההאקרים?

מניסיוני האישי עם מאות האקרים ישראליים, ביניהם מבריקים, ההכללה לפיה האקרים מצטיינים "חיים סביב האתגר הבא" נכונה למדי.

מיד עם התחלת דרכו של מומחה תקיפה מבריק טיפוסי הוא מרותק ומונע על ידי שאיפה להכרה בינלאומית. מכיוון שדרכי הפעולה של האקר מוגבלות מאוד על פי חוק, אין לו דרכים לגיטימיות להתפרסם ולכן הוא "תוקף" את ההיבט החוקי על ידי הזדהות עמוקה ואקטיבית עם הרעיון של "האקטיביזם החיובי" – "תיקון העולם בשם הציבור ולהגנתו". אנונימוס (Anonymous) משתמשים בזה לא פעם להצדקת פעולותיהם.

פרסום "קטן"

אלפי האקרים ברחבי העולם משוטטים בכל רגע נתון ברשת ומחפשים "להנאתם ולאתגרם" נקודות תורפה בארגונים שונים. בדרך כלל, הם מופעלים באופן אסוציאטיבי: כתבה מסוימת או אירוע מסוים גורמים להם להתעניין במערכת מסוימת ברגע נתון, ומשם הם מנסים למצוא בה נקודות תורפה למשך זמן מה. לעתים הניסיון נעשה אובססיבי, בעיקר כאשר הם מאמינים שהשקעת זמן נוסף תביא להצלחתם, ולעתים, אסוציאציה נוספת גורמת להם לעבור לאתגר הבא.

כאשר האקר מגלה נקודת תורפה במערכת של ארגון כלשהו עומדת בפניו האפשרות להודיע לארגון על קיומה, להצביע על פרטיה המהותיים ולאפשר לו לתקן אותה. לאחר שהארגון מתקן את הפירצה, מפרסם ההאקר פוסט בבלוג, כתבה או מאמר על מנת להתפרסם.

הבעיות הכרוכות בתהליך כזה רבות:

ראשית, האם ההאקר ביצע בתהליך הבדיקה שלו עבירה פלילית? האם חצה את הרוביקון הנחשב על פי החוק המקומי לעבירה? שאם לא כן, כיצד ידע להצביע על נקודת התורפה בפרוטרוט?

שנית, אם ההאקר יסתפק בדיווח כללי שאינו בחזקת הפללה עצמית, עלול הארגון להתעלם מפנייתו, ומכאן – גם האפשרות להתפרסם נמנעת.

שלישית, הארגון עשוי לפעול באגרסיביות רבה ו-"להרוג את השליח", לאמור: לרכז מאמציו בפגיעה בהאקר במקום להתייחס לנקודת התורפה ולתיקונה. ואכן, תופעה זו נפוצה בקרב ארגונים רבים, בעיקר הממשלתיים שבהם. הפגיעה בהאקר תביא להימנעות של האקרים אחרים מדיווח, אולם לא להימנעות שלהם מחיפוש אתגרים ופרסום, בדרך חוקית או אחרת. במקרה הרע האחר, היא תביע להנצחה של נקודת התורפה, עד שהאקר ממדינה עוינת ימצא אותה וינצלה.

להערכתי, אלפי ארגונים בישראל קיבלו בשלב זה או אחר פניית מייל מהאקר ובו צוינו נקודות התורפה. לעתים, הארגון מתעלם כליל מהבעיה, בדרך כלל עקב מודעות ירודה והעדר איש מקצוע שיכול לתקן את הפירצה. לעתים הוא יתרכז בתיקונה, אך יילחם בהאקר, במידה שהאחרון יבקש לפרסם את הדברים, ולעתים הוא אף יפנה למשטרה, תוך ניסיון לאתר את ההאקר הפונה.

החשדנות מובנת. ההאקר ומניעיו אינם ידועים לארגון. באותה מידה, יכול ההאקר לפנות אל המתחרים של הארגון, במידה שמדובר בארגון מסחרי, או אל האויב, במידה שמדובר בארגון ממלכתי, ולהציע מרכולתו (מידע על פירצה) עבור תמורה כספית. האקר מבריק יכול להיות גם "טיפש מסחרי", ואולי ינסה לסחוט את הארגון עצמו – לאו דווקא סחיטה כספית, אגב. סחטנות תתפרש ככזו, ובצדק, גם אם ההאקר יציע "לסגור את הפירצה בתשלום". בקשה או דרישה ששירותיו יישכרו על ידי הארגון עלולה להיחשב בעיני החוק כסחיטה. עולם הדארקנט מוצף במודעות "מכירת מידע".

פרסום "גדול"

עוצמתו של פרסום נובעת מרמת העניין הציבורי או מעוצמת הנזק בעטיו של אירוע שבו תנוצל הפירצה. לכן, פרסומים אודות מערכות הטסת מטוסים, בקרה אווירית, בקרת רמזורים, השטת ספינות ענק, מערכות רפואיות, מערכות נהיגה ברכב, פרוטוקולי תקשורת ותפעול לוויינים, תצורות ממוחשבות תעשייתיות השולטות על כורים גרעיניים, תחנות כוח וטורבינות גז וכימיקלים – יזכו את ההאקר בפרסום נרחב לאין שיעור.

כאן, המדינות סלחניות עוד פחות, ובמידה מסוימת – תוקפניות.

מחד, אין להאקר "חיובי" אפשרות לגלות נקודות תורפה ללא עבירה על החוק, וזאת בעת שההאקרים של מדינת האויב עושים זאת כל העת, תרים ומסמנים לעצמם נקודות תורפה כדי לנצל אותן ביום פקודה. מאידך, התועלת של האקר "חיובי" לא ניתנת לשיעור, במידה שהוא מצביע על כשל שהאויב עלול לנצל אותו.

סוף מעשה בתחילת חקיקה מתקדמת

מהי הדרך העומדת בפני ההאקרים? מהי הדרך הנכונה מנקודת הראות של המדינה? נדמה כי שאלות אלה נדרשות לחקירה ולקבלת החלטות במטה הקיברנטי.

ראוי כי חוקים מסוימים יחוקקו כדי לתת מענה לעידן הטכנולוגי המשונה כל כך, וישראל יכולה להרשות לעצמה להיות מובילת דרך משפטית. אין צורך לחכות שוב לגויים.

הכותב הינו מנכ"ל See Security ויו"ר הפורום הישראלי לאבטחת מידע.