עשרות מתכנתים, האקרים ומומחי אבטחת מידע הוקפצו לשדה הקרב האינטרנטי בעקבות מתקפת הסייבר של פעילי אנונימוס. יום בחדר המלחמה של אנשי ההייטק שגייסו את עצמם בהתנדבות כדי להגן על מרחב הרשת של ישראל
משה שטיינמץמגיני הסייבר (צילום: פרטי)
מהלך מתקפת הסייבר על שרתים ואתרים ישראליים ביום שלישי שעבר הגיע צלם עיתונות לחדר המצב של il־cert - "מרכז לטיפול באירועי סייבר ואבטחת מידע במגזר האזרחי בישראל".
עשרות המתנדבים במקום ניהלו קרב וירטואלי עם פעילי ״אנונימוס״ מרחבי העולם, שמדי 7 באפריל, בכל שנה, מפגיזים את מחשבי ישראל. רגע לפני שהצלם החל לתעד את הקרב, שם לב גדי עברון, ראש ה־ cert (צוות לוחמת רשת) שבלוח מופיעה ססמת הוויי־פיי של חדר המלחמה. היא נמחקה מיד ורק אז הורשה הצלם להמשיך בעבודתו. ״זה היה יכול להיות מצחיק״, אומר עברון. ״יכולנו לרשום ססמה אחרת ולתפוס את ההאקר שמנסה להשתמש בה", הציע אחד המתנדבים. את הפיקוד בהגנה מפני המתקפה השנתית של ״אנונימוס", שנקראה הפעם ״שואה דיגיטלית״, נטל על עצמו il־cert.
״שמנו לעצמנו מטרה להיות הגורם שניתן לפנות אליו באירועי אבטחת מידע וסייבר ולקדם את מדינת ישראל גם מבחינת המודעות וגם העמידות של המגזר האזרחי בנושא״, מסביר עברון, מנכ״ל ומייסד il־cert, גוף הפועל בהתנדבות ומרכז את הטיפול באירועי סייבר אנטי־ישראליים מאז 2011. ״אנחנו עובדים כל השנה, כמו למשל מול המתקפה האיראנית בדצמבר, וגם בכנסים שאנו עורכים״.
סייבר הוא קיצור של המילה קיברנטיקה המשמש ככינוי נפוץ למרחב הקיברנטי ובפרט לעולם האינטרנט. בשנים האחרונות, רשת האינטרנט היא יעד לביצוע פעולות טרור הנקראות מתקפות סייבר. עברון, כיום מנכ״ל חברת סטארט־ אפ ישראלית בתחום אבטחת המידע ובעברו סמנכ״ל ענקית האנטי וירוס ״קספרסקי״, היה ממקימי ^cert של מערך המחשוב הממשלתי ב־2005.
״כבר בתחילת העשור הקודם חוקק החוק שהקים את רא״ם (הרשות הממלכתית לאבטחת מידע שהיא חטיבה בשב״כ, מ״ש)״, הוא אומר. ״זה אומנם לא הספיק, אבל לפחות קם משהו. במשטרה הקימו יחידה לטיפול בפשעי מחשב, במערכת הביטחון ובצבא יש גופים שעושים עבודה קשה״.
עברון מציין אף את ספקיות האינטרנט הישראליות ש״עושות עבודה רבה כדי להגן על המשתמשים שלהן ועל עצמן, גם בזה לא צריך לזלזל״. אלא שהסיבה העיקרית להקמת il־cert
נעוצה דווקא במוכנות המגזר האזרחי לאיומי רשת: ״אף פעם לא היה מי שיתאם את הפעילות והחלל הזה מאוד משמעותי. לכן החלטנו שצריך לעשות מעשה. כל גוף צריך להגן על עצמו ואני האחרון שיגיד לו איך. אני גם לא בא להחליף גופים קיימים. אלא שאם יש רעידת אדמה מחר, כולם יודעים מה לעשות. אם נוחת טיל, יודעים מה לעשות. תחום אבטחת המידע לא מכוסה בצורה הזאת. התפקיד שלנו הוא לעמוד בקשר עם ספקיות שירות בעולם כדי שיחסמו את ההתקפה, להיות בקשר עם הספקיות בארץ, לפנות לארגון הישראלי המותקף, לעבוד עם חברות האנטי וירוס, ולדבר עם העיתונות כדי להעביר את המידע לציבור. פשוט לנהל אירוע״.
להשלים את המדינה
לאורכו של היום זורמים הדיווחים לחדר המצב שנפתח ומתארח בחדר ישיבות של חברה תל אביבית המתמחה באבטחת מערכות מידע. ב־9:52 בבוקר מתחילה המתקפה. ״נפלו כמה עשרות אתרים ישראלים לא רשמיים. אתרי זמרים, עמותות״, מתקבל דיווח. דקה אחר כך, עוד עדכון: ״שוחררו רשימות של פרטי גישה לאתרים, אבל רוב המידע ישן״.
בצהריים מתקבל עדכון לפיו ״שוחררו רשימות כרטיסי אשראי גנובים. בבדיקה - אושר כישנים״. אחר כך ״שוחררה רשימה של פרטים אישיים של אזרחים - נבדקת האמיתות שלה״. אחרי שעה: ״אומת שמדובר באותו המידע מפריצה בבוקר לאתר ישראלי יחיד״. ההאקרים של אנונימוס מצליחים למחוק אתר של פקולטה באחת האוניברסיטאות בארץ. cert מדווחים כי הנושא בטיפול cert אקדמי הפועל בארץ.
חמש בערב. מתקבל מודיעין שלפיו ״מתחילה פלגנות בתוך התארגנות Opisraei (הכינוי למתקפה השנתית של אנונימוס). חלק מההאקרים תומכים בדאע״ש ואחרים מתנגדים לו״. בשעות הערב המאוחרות נרשמת עוד מתקפה נגד אתרים אקדמיים. ב־23:24 נסגר חדר המצב, ״נשמח להמשיך ולקבל דיווחים. תודה לכולם״.
״ישבנו בחדר המצב 30 אנשים, ועוד הרבה השתתפו מהבית או מהעבודה״, מסכם עברון. ״תחשוב ש־30 אנשים מההייטק, ביניהם מנכ״לים וסמנכ״לים, מפסיקים לעבוד ויום שלם מגיעים לעשות רק את זה למען המדינה״.
cert מונה 60 מתנדבים קבועים: מתכנתים, האקרים ומומחי אבטחת מידע. ״יש לנו סטארט־אפיסטים שהנושא הזה חשוב להם״, אומר עברון. ״אומנם יש לנו מגבלות של גוף שעובד בהתנדבות, אבל אנחנו אקטיבים ופועלים ברצף כבר מ־2011. אנשים.
מהתעשייה, מהאקדמיה, מכל מגזר בישראל שמתעסק באבטחת מידע. אנשים שבאים בזמנם הפנוי ומתנדבים כדי לסגור את החלל שיש במדינה בנושא הזה".
בנוסף ל־60 שמגייסים את עצמם למילואים בחזית המאבק, ישנה קהילה של קרוב ל־1,000 ישראלים - למעשה העורף - הפועלת באמצעות קבוצה סגורה בפייסבוק ותומכת ^cert. עברון אומר כי ״אלה אזרחים ישראלים שמדווחים על אירועים, עוזרים להבין אם הם רלוונטיים ומסייעים בטיפול. זו ממש תנועה אזרחית בפייסבוק״.
״יש לנו תוכנית עבודה מול כל לקוח״, מסביר עברון את התנהלות חדר המצב. ״אדם שמדווח לנו על אירוע הוא מבחינתנו לקוח. יש הנחיות: האם צריך לקבל מידע באופן מאובטח; עם מי הלקוח מוכן לשתף את המידע; אם אנחנו עובדים עכשיו בתוך ^cert או יוצאים החוצה, לדוגמה לספקיות שירות, לארגון המותקף או אפילו לארגון שממנו מתקיפים. אנחנו גם עורכים מחקר על ההתקפות כדי לצבור מידע שישמש אותנו בעתיד. אנחנו גם מדווחים על אירועים לגורמי משטרה ולגורמי ביטחון. אנחנו בקשר עם העיתונות במקרה שיש ניסיון לבצע מלחמה פסיכולוגית נגד ישראלים, כמו במקרה עם ההאקר הסעודי״.
חלק עיקרי בפעולות cert, כאמור, מסתמך על מידע מודיעיני שזורם לחדר המצב. ״זה לא מידע שגורמי המודיעין של ישראל מדווחים לנו״, מבהיר עברון.
מדובר ביירוט תכתובות ברשת?
״כן, לדוגמה, אבל גם מקבלים עוד דיווחים והתרעות מכל מיני כיוונים. נקרא לזה התרעות טכנולוגיות. מודיעין שמגיע משני כיוונים או מודיעין פתוח באינטרנט. זה בעצם מה שאנחנו עושים, מטפלים בהתרעות. אני לא יכול להרחיב יותר מדי, כי זה יהרוס לנו את כל הפעילות בשנה הבאה״.
להתכונן למלחמה הבאה
אחד המתנדבים בחמ״ל הוא רן הראל, 36, שעוסק בתחום אבטחת המידע והסייבר כבר 15 שנה. ״המטרה שלנו היא לעזור לחברות קטנות ולאנשים פרטיים שאין להם יכולת להתמודד עם פרץ כזה של אירועים, והמדינה לא ממש מגנה עליהם״, הוא מסביר. ״אנחנו מצותתים לערוצי התקשורת של ההתארגנות הנגדית, מרכזים מידע ומייעצים להם כיצד לפעול. השנה רוב ההתקפות המסיביות היו נגד אתרי הממשלה. מי שמגן על התשתיות שלה עושה עבודה טובה ולכן לא נגרם נזק ברמה הלאומית. מצד שני, זה משאיר את שאר האוכלוסייה חשופה לגמרי. אתרים של תיירות או של עורכי דין, למשל, איבדו לקוחות באותו יום״.
מתקפה אחת לא הצליחו בחמ״ל לעצור: האקרים חילצו מסד נתונים מתוך איגוד רופאים, פרטים אישיים של פסיכולוגים בישראל, כולל ססמאות שלהם. ״לא ראינו את זה קורה בזמן אמת, רק אחרי מעשה. פה לא הצלחנו״, מודה הראל.
תפקיד מכריע בהצלחה נזקף לזכות הקשרים של מייסדי cert-il, ביניהם דורון שקמוני, עומר כהן, מני ברזילאי ורם לוי, מבכירי תחום אבטחת המידע בישראל. ״אנחנו בונים את זה 20 שנה וב-2011 הקמנו את הגוף באופן מסודר״, מסביר עברון. ״בלי הניסיון שלנו לא היינו יכולים לעשות כלום, כי לקבל התרעות זה לא מספיק. אתה צריך אנשים שיהיו מוכנים לענות לך ושהגורמים הרלוונטיים יקבלו את היכולות שלך ואת הרצון לעזור. אתה צריך את הקשרים בארץ ובעולם. מטה הסייבר הלאומי עובד היום על הקמה של cert לאומי. אנחנו תומכים, אין סיבה שלא יהיה, אבל ליצור את האמון הזה עם הגורמים השונים זה משהו שלוקח שנים. ברשות הסייבר החדשה שהמדינה מקימה עושים עבודה טובה מאוד. זו החלטת ממשלה חשובה״.
אלא cert il בא לתת מענה בעיקר למגזר האזרחי. ״המדינה מתקדמת בצורה מאוד יפה, אבל המגזר האזרחי נשאר מאחור״, אומר עברון. ״יש מספר מקומות בעולם שהגוף הזה הוא ממשלתי, ויש מקומות שזה גוף משולב. ככל שהעולם הופך להיות יותר מחובר, וככל שאנו משתמשים יותר בטכנולוגיה, החיים הופכים קלים יותר, אבל אנו הופכים להיות תלויים יותר באותה טכנולוגיה. אם לא נבנה את התשתיות נכון, ולא נגן על עצמנו טוב, נהיה בצרה. אנחנו חיים בעולם שבו סייבר הוא עובדה. עכשיו אנחנו צריכים להיות מסוגלים להתמודד במלחמה הזו״.
מהו התרחיש הפסימי ביותר לגבי לישראל?
״מבחינתי השאלה היא לא מה תהיה האפוקליפסה. מבחינתי השאלה היא אם יקרה משהו - מי יגיב לו. אני בטוח שתמיד יהיו אנשים טובים שיקומו ויגיבו. אני רק רוצה שיהיה להם מערך מוכן מראש, וזה מה שאנחנו בונים כבר ארבע שנים״.