הגלקסי S25 נפרץ תוך 2 דקות: איך נראית אליפות העולם להאקרים?

"יששששששששש!!!!!"

קן, בחור גבוה עם שיער ארוך כהה מצוות The Summoning התחיל לצעוק ולקפוץ בהתלהבות תוך שהוא קורע את התפאורה שמאחוריו. התגובה הרגשית שלו מובנת: הוא באותו רגע זכה ב-50,000 דולר על עבודה של פחות מחמש דקות - פריצה לסמארטפון הגלקסי S25.

הצוות שלו אגב, גרף קרוב ל-200,000 דולר ביומיים וזכה בתואר Master of Pawn הכולל גביע בצורת פסל של עורב מיכני וג'קטים תואמים שהונחו על כתפיהם כמו גלימות בערב הסיום של תחרות PWN2OWN, שאגב, התקיים בלא פחות מהכלא הישן של העיר קורק באירלנד. קריצה אירונית אם תרצו לאנשים שהולכים לא פעם בצד האפור של החוק - האקרים, המכונים בעברית גם פצחנים, אבל אנחנו נידבק למונח שכולם מכירים.

Pwn2Own היא תחרות פריצה שנתית (היום כבר כמה פעמים בשנה), "אליפות העולם להאקרים" אם תרצו, שמטרתה להראות בצורה פומבית עד כמה מערכות שאנחנו סומכים עליהן, דפדפנים, מערכות הפעלה, טלפונים, ראוטרים, ואפילו מכוניות - עדיין פריצות. הרעיון פשוט: אם תצליח לפרוץ מטרה עדכנית עם כל עדכוני האבטחה, בלי להשתמש בפרצות שפורסמו בעבר, אתה מקבל כסף, פרסים, ובמקרים מסוימים ממש "לוקח הביתה" את ההתקן שפרצת (כן, זה כולל גם טסלות). את התחרות מנהלת יוזמת Zero Day Initiative (ZDI) של חברת האבטחה Trend Micro, והיא גם מי שדואגת להעביר ליצרנים את הפרצות שהתגלו ולתת להם 90 יום לתקן לפני פרסום מלא.

התחרות הושקה באפריל 2007 בכנס אבטחת המידע CanSecWest בוונקובר, בתחילה כמין ניסוי לקעקע את המיתוס Mac OS X בטוח בהרבה מווינדוס. שמו לה אז על השולחן שני מקבוק פרו מחוברים לרשת אלחוטית, והכללים נעשו קלים יותר מיום ליום: בהתחלה רק תקיפה מרחוק, אחר כך גם דרך הדפדפן, ולבסוף גם חיבור מקומי. ביום השני, החוקר דינו דזובוב מצא בין לילה חולשה לא ידועה מראש (מה שמכונה גם "חולשת יום אפס", כשם היוזמה) בתוכנת הווידאו קוויק טיים, שנטענה דרך ספארי. ברגע שמבקר גלש לקישור זדוני שהכין, ההשתלטות הושלמה. הפרס היה 10,000 דולר והמחשב עצמו. זו הייתה הדגמה חיה לכך שגם מק "מחוסן" אפשר להפיל עם ניצול הפרצה המתאימה.

בשנה שאחרי זה הפך כבר לאירוע שמושך כותרות: מקבוק אייר חדש, מעודכן עד הסוף, נפרץ תוך בערך שתי דקות על הבמה על ידי צ'רלי מילר, דרך פרצה בספארי. הוא יצא עם 10,000 דולר והמחשב, ואפל קיבלה אחר כך את פרטי הפירצה כדי לסגור אותה. זה היה רגע שזכה לחשיפה תקשורתית גדולה, והבהיר לציבור הרחב שהאבטחה של אפל לא קסומה: אם יש תמריץ, יש דרך לעשות הכל.

במהלך העשור הקודם (2010-2013 בערך), Pwn2Own כבר לא הייתה "פרוץ את ספארי ותקבל לפטופ", אלא זירת מבחן לכל הדפדפנים הגדולים, שכולם ישבו על מערכות ההפעלה הגדולות והמוכרות עם עדכוני אבטחה מלאים. ב-2010, למשל, הוקדשו עשרות אלפי דולרים רק לפריצה של דפדפנים עדכניים, ובמקביל התחילו לתת פרסים על פריצה לסמארטפונים: אייפון, אנדרואיד, בלאקברי ואפילו Windows Phone הי"ד, כולל ניסיון לגעת לא רק במערכת ההפעלה אלא גם במודם הסלולרי, כלומר הרכיב שמדבר עם הרשת הסלולרית. הרעיון היה להכריח יצרנים לטפל גם בשכבות שאנשים רגילים בכלל לא חושבים עליהן...

ובעשור האחרון, תחת החסות של חברת האבטחה Trend Micro, התחרות עברה למתכונת ממוסדת יותר, עם כללים ברורים, מסגרת מסודרת וזמנים קבועים לכל מקצה, אבל גם שווי הפרסים עלה - והגיע כבר למיליון דולר לפריצה שווה, כמו זו לוואטסאפ שהייתה אמורה להיות מקצה הגמר של התחרות.

הכללים של התחרות הם די פשוטים: אתה, הפורץ, צריך להדגים על הבמה פריצה לציוד או לתוכנה, תוך שימוש ב-"חולשת יום אפס" שלא הייתה מוכרת או בשימוש בעבר, ומוקצים לך שלושה ניסיונות במהלך חצי שעה, כשהשעון מתקתק. ברוב המקצים שראיתי קורה אחד משני דברים: או שהפריצה עובדת תוך דקות ספורות, לפעמים שניות, או שהעסק מסתבך ואז יש ניסיון, ועוד ניסיון והזמן אוזל. באחד המקצים היותר מותחים, וכן, זה דומה לצפייה בכל תחרות אחרת: הצוות שפרץ להתקן בית חכם פופולרי בחו"ל בשם Home Assistant Green, ממש הגיע לדקות האחרונות כשהצליח לפרוץ את המכשיר. המתח באוויר הורגש. האם הם יצליחו?

זאת, על אף שבצפייה מהצד, דברים לא נראים כל כך מרתקים: מדובר באנשים שמקלידים על מחשבים ניידים (אסור בתכלית האיסור להסתכל להאקרים במסכים, וזה נחשב גסות רוח וחוסר נימוס משווע לעשות כן). חלק מהמתקפות, הן מתקפות שנעשות באוויר - דרך ציוד אלחוט, ודרך פריצה לפרוטוקולים שכולנו משתמשים בהם בכל יום כמו בלוטות' ו-וויי-פיי. כדי למנוע מצב שהפריצות יסכנו או יכוונו למכשירים שמסביבן, ובאותה הצלחה, שמכשירים בסביבה לא יפריעו לפריצה - הן נעשות בתוך תיבות מיוחדות, ממוגנות קרינה שנראות קצת כמו קופסאות לטיפול בחומרים רדיואקטיביים עם כפפות מובנות. המכשירים (התקן הפריצה ומכשיר היעד), ננעלים בתוך הקופסה וכל התפעול של הפריצה נעשה דרך חלון קטן הקבוע בראשן. התיבות האלה נבנות על פי מפרט ועלות של קופסה אחת כזו הוא 50 אלף דולר.

עכשיו תשאלו - מה עושים עם הפרצה, הרי הרגע פרצו למכשיר פופולרי וזה מסוכן, כי יש אנשים שיוכלו לנצל אותה? אז יש נוהל מסודר לעניין. אחרי כל פריצה מוצלחת, ההאקרים נכנסים לחדר פרטי עם הנציגים של החברה שמייצרת את הציוד או התוכנה, המכונה גם "חדר גילוי". הם יושבים עם הנציגים של היצרן, ומסבירים להם בדיוק איך הצליחו לבצע את הפריצה, כדי שהחברה תוכל לתקן ולהטליא את הפרצה שההאקרים מצאו, וזו התכלית של התחרות, בעצם. אבל יש שני שוטים מונפים מעל הראש של החברות: האחד, הוא שיש להם חצי שעה בלבד לשאלות טכניות והשני, יש להם 90 יום לתקן את הפרצה לפני שהיא מפורסמת. רוב היצרנים מזדרזים לתקן את הדרוש תיקון, אבל לא כולם.

אחרי הפריצה המוצלחת של הצוות שלו לגלקסי S25, תפסתי את קן לשיחה של כמה דקות. באופן לא מפתיע, האיש מגיע מתחום האבטחה: עד לאחרונה הוא היה מה שנקרא Pen Tester, כלומר בוחן חדירות, מה שנקרא גם כובע לבן - אדם שמשלמים לו לבדוק עמידות של מערכות מידע בפני פריצות. ממש לאחרונה הוא קיבל הצעה לחוזה כחוקר אבטחה במשרה מלאה, וזו לא תחרות ה-PWN2OWN הראשונה שלו, ביחד עם השותף שלו, דימיטריוס. על הפרצה לגלקסי S25 הם עבדו חודשיים ורציתי קצת להבין איך עובד ראש של האקר.

קן שמח להסביר: "יש לי מודל (או צורת חשיבה - נ.ל.) שאומר: "זה לא יהיה מצחיק אם מכשיר מסויים יעשה את זה?" ואז אני עובד אחורה. השותף שלי, דימיטריוס, עובד מאוד שיטתי, כך שאנחנו משלימים זה את זה", מתאר קן.

שאלתי אותו איך סמסונג הגיבו לעובדה שמכשיר הדגל הנוכחי שלהם נפרץ על ידו. "הם שמחים שאני עוזר להם לחסל באגים. אני כבר כמה שנים מעביר להם תיקונים של פרצות, כך שאנחנו מכירים. אני אוהב אותם!", הוא מכריז בחיוך.

זה גרם לי לתהות האם יש יצרנים שהגיבו פחות בנחמדות להשפלה שבפריצת אמצעי האבטחה שלהם, ומסתבר שיש. קן קצת היסס לפני ששיתף פרטים. "בהליך הגילוי, היצרן מקבל חצי שעה לשאול שאלות. האנשים של שיאומי בזבזו 25 דקות בלנסות להסביר למה הפרצה לא תקפה (לתחרות יש כללים ברורים בעניין - נ.ל.) ולמה צריך לשלול מאיתנו את דמי הפרס. בגלל זה יצרנים סיניים הם יותר לא חלק מ-PWN2OWN. הם פשוט רצו שלא נקבל את הפרס. הם רצו לדפוק אותנו", הוא מספר.

מי שהסתובב כאב גאה בין הנוכחים ואף היה המנחה ומנהל הטקס של התחרות, הוא דסטין צ'יילדס, מנהל התקשורת של יוזמת יום אפס, שמחזיק בשם של כוכב להקת בנים אבל בפועל הוא איש בשנות החמישים לחייו עם שיער מאפיר אבל כוכב רוק לא פחות מחברי אותן להקות:

הוא ליווה בקריינות בלתי פוסקת כמעט את המקצים, ובכמה שידורים חיים ששודרו ביוטיוב תוך שהוא משלב אנקדוטות, הזמנות לפאבים שבהם היו חגיגות הניצחון של אותו היום וההמלצות שלו למה לאכול ולשתות. וצ'יילדס יודע על מה הוא מדבר, הוא היה שם כמעט מההתחלה של התחרות, אי שם ב-2009. בסופו של היום האחרון והארוך של התחרות בת שלושת הימים, שאלתי אותו האם הוא מרוצה.

"לדעתי זו הייתה הצלחה גדולה. חילקנו למעלה ממיליון דולר בפרסים, נמצאו 73 פרצות יום-אפס ייחודיות, והמחקר היה מרשים במיוחד, בתחומים שאנשים באמת משתמשים בהם. הבאגים בטלפונים הסלולריים היו מדהימים, כולל שני ניצולי פרצות שונים למכשירי סמסונג גלקסי שפשוט הפילו אותנו מהרגליים. ראינו גם לא מעט באגים במדפסות, תחום שנוטים לשכוח, למרות שהן מהוות חוליה חלשה ברשת הארגונית עם כוח עיבוד לא מבוטל, ולכן יכולות לשמש למעבר רוחבי במתקפה", מזכיר מנהל התקשורת של חברת האבטחה.

אבל הפרס המיועד של מיליון דולר למי שידגים על הבמה פריצה חדשה לוואטסאפ בסוף לא חולק. ההאקרים שאחראים לו, שהיו תחת מעטה חשאיות כבד (היו אמורים להופיע בפומבי בפנים מוסתרות, והגיעו רק ביום האחרון בטיסה מיוחדת) בסוף הגיעו להסכם שקט עם מטא.

"הצוות שתכנן לתקוף את WhatsApp בפריצה ללא מגע (zero-click) החליט ברגע האחרון לפרוש, כי המחקר לא היה בשל מספיק", אומר צ'יילדס. "אבל למרות הפרישה, הצלחנו להעביר את המידע למטא (Meta) לצורך תיקון, כך שזו עדיין הצלחה מבחינתנו", הוא אומר, ומזכיר בעצם את התכלית האמיתית של התחרות: לצוד פרצות ולהפוך את המכשירים שכולנו משתמשים בהם, לבטוחים יותר - למרות שבתחרות באירלנד, זה נראה להיפך.

גילוי נאות: הכותב היה אורח חברת Trend Micro