Tuesday, June 25, 2019

Михаил Брук: анекдот от Маhараля из Праги (ЮМОР)




Маhараль из Праги в книге "нецах исраэль" сказал замечательную вешь, которую можно рассказывать как анекдот. Каждый народ ставит себе идеалом то, чего у него нет, то к чему надо стремиться, поэтому мусульмане поставили себе идеалом закон, аллах, закон, христиане - любовь, а евреи - единство.

Хазин: нас ждёт переход не в шестой технологический уклад, а возврат в чётвертый

Михаил Брук: Амалек сегодня (отрывки)

Леонид Агутин. Красная книга.

Далеко, средь приволжских бескрайних полей,
Где роса и другие осадки,
Гнёзда вьёт заповедный российский еврей,
Глухари, журавли, куропатки.

Было время, еврей был в избытке везде,
Ворковал на цветущих опушках,
И откладывал яйца в уютном гнезде,
На деревьев высоких макушках.

Жил в России еврей не один уже век,
Время прошлое кануло в бездну,
И российский его приручил человек,
Находя, что евреи полезны.

И никто не предвидел печальный финал,
Уважаем еврей был по праву.
Ойстрах что-то играл, Левитан рисовал,
Брали Нобеля Гинзбург с Ландау.

Ниже есть продолжение.

К перелёту на юг ещё не дан сигнал,
Не трубила труба к перемене,
Бродский что-то писал, Пастернак сочинял,
Гердт с Раневской играли на сцене.

И хотя браконьеры твердили о том,
Что еврей очень вредная птица,
Пережив по привычке войну и погром,
Продолжал он в России гнездиться.

Он летал над страной, расправляя крыло,
Не чиня беспредел с беспокойством,
Каждый знал, у него есть меж многих одно
Очень нужное, важное свойство.

Как ни вилась судьбины кручёная нить,
В дни лихой и жестокой непрухи,
На евреев ужасно удобно свалить
Непогоду, войну и разруху.

Кто-то рожь из амбара коварно украл,
И из крана водица не льётся?
Сразу ясно, еврей вновь зерно поклевал
И испортил в деревне колодцы.

Каждый знает, что честен российский народ,
И храним небесами и богом,
А пернатый еврей нефть в Тюмени крадёт,
Поит водкой людей в Таганроге.

Но в последнее время, с течением дней,
Стал значительно редким пернатый,
И сбиваясь в косяк, наш российский еврей
Улетает в Израиль и Штаты.

Словно ветром в туманную даль унесло,
Как торнадо батонные крохи…
Но в России по прежнему пиздят бабло,
И дороги по прежнему плохи.

Я еврей, я сижу на сучке у ручья,
Я не сею ни зла, ни интригу,
Предо мною большая Отчизна моя,
Я записан в ней в Красную Книгу.

Не подвластен я пуле, штыку и мечу,
Я здесь буду и присно,и ныне,
Из России в Израиль пока не лечу
По вполне объяснимой причине.

Пусть пред кем-то мои безграничны грехи,
Я шипы не меняю на розы,
Кто ещё, как не я вам напишет стихи,
Как шумят под Самарой берёзы?
https://a-gutin.ru/?p=517

עושים היסטוריה 275-276: כופרות (Ransomware) – היסטוריה של סחיטה ממוחשבת (Hebrew)

mp3 part I
mp3 part II

תוכנת הכופר הראשונה, ב-1989, הייתה כשלון עברייני מביך – אבל מאמר מדעי פורץ דרך של שני מדעני מחשב הפך את התוכנות הזדוניות האלה לכלי סחיטה רב עוצמה, שאת נחת זרועו אנחנו מרגישים היום היטב.
...
בשנת 2013 היכתה את עולם המחשבים כופרה מתוחכמת בשם 'קריפטולוקר' (CryptoLocker), שלראשונה דרשה דמי כופר בביטקוין. מאחוריה עמד פושע סייבר מתוחכם ומסוכן באופן יוצא דופן: סלביק (Slavik).


Ниже есть продолжение.

ום שישי, השניים עשר במאי, 2017, היה יום גרוע עבור הרבה מאוד אנשים. אנשי עסקים, רופאים, בנקאים וטכנאים ביותר ממאה וחמישים מדינות הפעילו את המחשבים שלהם בבוקר – ובמקום שולחן העבודה הרגיל, הופתעו לראות תמונה של מנעול לבן וגדול על רקע אדום ומאיים, ולצידו המילים – "אופס, הקבצים שלך הוצפנו."

ואכן, מי שניסה לגשת אל הקבצים שהיו מאוחסנים על המחשב שלו – גילה שהוא לא יכול לפתוח אותם. מתחת לתמונת המנעול הלבן היה שעון עצר שספר את השניות והדקות לאחור, ומסר שאינו משתמע לשני פנים: אם לא תשלם שלוש מאות דולר בביטקוין – הקבצים שלך ימחקו.

"הקבצים החשובים שלך הוצפנו. […] אולי אתה עסוק עכשיו בחיפוש אחר דרך להציל את הקבצים שלך, אבל אל תבזבז את הזמן. אף אחד לא יוכל לשחזר אותם ללא שירות הפענוח שלנו."

שמה של התוכנה הזדונית שהייתה אחראית לאיום הזה היה WannaCry – 'רוצה לבכות', בתרגום חופשי. שם הולם, במקרה הזה: WannaCry הייתה אחת מהתקפות הכופר הממוחשבות הגדולות והנרחבות ביותר אי פעם, אם לא הגדולה שבהן: למעלה ממאתיים אלף מחשבים בכל רחבי העולם נדבקו בתוכנה הזדונית הזו, וסיפורים מסמרי שיער על תיקים רפואיים שאבדו בבתי חולים ועסקים שהפסידו סכומי עתק הציפו את מהדורות החדשות. מומחי אבטחת המידע הזהירו מפני תרחיש אימים שכזה כבר מזה שנתיים ויותר, אבל הייתה זו הפעם הראשונה שהציבור הרחב נחשף לאיום ה'כופרות' – Ransomware, בלעז – במלוא עוצמתו.

AIDS, סוס טרויאני

אבל רק מעטים זוכרים שגם לפני כמעט שלושים שנה, בדצמבר 1989, התעוררו כמה אלפי משתמשי מחשב בבריטניה ומספר מדינות אירופאיות נוספות – לתרחיש דומה מאוד לזה שתיארתי לכם כרגע. הכיתוב שראו על מסך המחשב שלהם כשהפעילו אותו, היה –

"אנא המתן כשלושים דקות. אזהרה: אל תכבה את המחשב שלך, אחרת הקבצים שעל הדיסק הקשיח ייפגעו."

בחלוף שלושים דקות מתוחות, קיבל המשתמש הודעה מדאיגה נוספת.

"פג תוקפו של רישיון השימוש בתוכנה זו. זה הזמן לשלם לחברת PC Cybory עבור הרשיון שלך. עלות רישיון השימוש בדיסק הקשיח לכל החיים הוא שלוש מאות שבעים ושמונָה דולר. שלח את ההזמנה שלך בדואר לחברת PC Cyborg, תיבת דואר 87-17-4TL, פנמה."

וכל הקבצים שהיו על הדיסק הקשיח – נעלמו. כשניסו המשתמשים לכבות ולהדליק מחדש את המחשב – קיבלו את אותה הודעה שוב ושוב. אמנם המילה 'סחיטה' לא הופיעה באופן מפורש בטקסט – אבל אי אפשר היה לפספס את רוח הדברים. התלונות החלו זורמות לתחנות המשטרה השונות. בתוך זמן קצר נתגלה המכנה המשותף לכל המקרים: כל הקורבנות קיבלו, מספר ימים קודם לכן, מעטפה לבנה בדואר ובתוכה דיסקט. הכיתוב על המעטפה הכריז שמדובר ב- "דיסקט הכרות עם מחלת האיידס, גרסא 2.0", והשולחת היתה חברה מסתורית בשם PC Cyborg.

יתכן ואתם שואלים את עצמכם – מי האידיוט שיכניס למחשב שלו דיסקט שקיבל בדואר, מגורם לא ידוע? בימינו, עם כל הוירוסים והתוכנות הזדוניות, זו המקבילה הדיגיטלית של יחסי מין לא מוגנים. אבל בשנות השמונים והתשעים, טרום עידן האינטרנט, הפצת דיסקטים ודיסקים דרך הדואר היתה נפוצה למדי: משתמשי המחשב היו רגילים לקבל תוכנות חינמיות ודמואים שהיו מצורפים למגזינים, למשל. מעט אנשים שמעו על 'וירוס מחשב' ועוד פחות נתקלו בייצור כזה באופן אישי.

זאת ועוד, רבים ממי שקיבלו את המעטפה הלבנה השתתפו בשנה הקודמת בכנס בינלאומי של ארגון הבריאות העולמי בנושא מגיפת האיידס – HIV, כפי שאנחנו מכנים את המחלה היום. על כן רבים מהם הכניסו את הדיסקט למחשבם והתקינו את התוכנה שעליו. הם לא התאכזבו: התוכנה אכן סיפקה להם מידע שימושי לגבי המחלה. הם נתבקשו למלא שאלון קצר אודות גילם, מוצאם האתני והרגלי המין שלהם, ובתמורה ניתחה עבורם התוכנה את הסיכוי שלהם להידבק בנגיף. לא היתה לאיש סיבה לחשוד שבתוך התוכנה התמימה למראה מסתתר, בעצם, 'סוס טרויאני': תוכנה זדונית המתחזה לתוכנה לגיטימית.
חברת קש בפנמה

בתוך המעטפה, לצד דיסקט ההתקנה, היה גם נייר ועליו הוראות התקנה ורישיון שימוש. במבט שטחי, רשיון השימוש היה דומה לכל אחד מאינספור רשיונות השימוש הטרחניים והמשמימים שאנחנו נתקלים בהם כשאנחנו מתקינים תוכנות חדשות, ומסמנים עליהם 'אני מסכים' בלי שאפילו קראנו את הכותרת. אבל מי מבין המשתמשים שכן טרח לקרוא את הטקסט המשפטי גילה שבאופן חריג למדי, תנאי ההסכם הכתיבו שמי שמתקין את התוכנה – למעשה, כאילו הסכים לרכוש אותה.

"ישנו תשלום חובה עבור השימוש בתוכנה. […] היא אינה ניתנת לך חינם. אם תתקין את התוכנה על המחשב שלך, אזי תחת תנאי הרשיון הזה אתה מסכים לשלם לחברת PC Cyborg."

כאמור, הסכם שימוש כזה הוא חריג מאד בעולם המחשב – אבל זה עוד לא הכל.

"אם תפר את תנאי רישיון השימוש הזה, חברת PC Cyborg שומרת לעצמה את הזכות להשתמש בהתקני תוכנה שונים כדי להבטיח את הפסקת השימוש בתוכנה. להפרת הסכם הרשיון יהיו השלכות חמורות ביותר. מצפונך עשוי לרדוף אחריך למשך שארית חייך."

מצפונך עשוי לרדוף אחריך למשך שארית חייך… אני לא משפטן, אבל אפילו אני הייתי מרים גבה אם הייתי נתקל בטקסט זה. אבל רשיון או לא רשיון, רוב המשתמשים המבוהלים היו הרבה יותר מודאגים לגבי הקבצים שלהם מאשר לגבי יסורי מצפון פונציאליים. מומחי אבטחת מידע מיהרו לנתח את התוכנה הזדונית, ועד מהרה התחוור שלמרות הרושם הראשוני המאיים – מדובר בוירוס לא מתוחכם במיוחד. הקבצים, מסתבר, לא נמחקו: הם רק הוסתרו בתוך תיקיות בלתי נראות במחשב, והתוכן שלהם לא נפגע כלל. שמותיהם של הקבצים הוצפנו והוחלפו בג'יבריש חסר משמעות – אבל האופן שבו נעשה הדבר היה חובבני למדי: ההצפנה הייתה למעשה טבלה פשוטה שבה כל תו הוחלף בתו אחר – למשל, האות B הוחלפה באות U, האות F הוחלפה בסימן קריאה וכולי. החוקרים שבחנו את הקוד של הוירוס חילצו מתוכו את טבלת ההצפנה, ובתוך ימים ספורים יצר מישהו תוכנה פשוטה שהסירה את התוכנה הזדונית והשיבה את הקבצים למצבם המקורי.

הסקוטלנד יארד הבריטי פתח בחקירה וגילה ש PC Cyborg הוקמה בפנמה שבמרכז אמריקה שלושה חודשים קודם לכן בידי שלושה אנשי עסקים בעלי שמות שהעידו על מוצא אפריקני. כתובת החברה הייתה פיקטיבית, לא יותר מאשר תיבת דואר רגילה. המעטפות נשלחו לכעשרת אלפים איש, מתוכם שלושת אלפים שהשתתפו בועידה הבינלאומית של ארגון הבריאות העולמי, ועוד שבעת אלפים שהיו מנויים של מגזין בשם PC Business World. את רשימת התפוצה רכש מהמגזין אלמוני בשם 'מר קֵטֵמה' (Ketema). היום לא היינו מצפים ממגזין מחשבים מכובד למכור את רשימת המנויים שלו לכל דיכפין – אבל אז, בשנות השמונים העליזות, הנוהג הזה היה מקובל יותר.

חוקרי המשטרה ומומחי אבטחת המידע היו מבולבלים. במי הם נלחמים כאן? האם מדובר בארגון בינלאומי של פושעים מתוחכמים? השימוש בחברת קש כמסווה לפעילות הפלילית ועצם מעשה הסחיטה באמצעות תוכנה זדונית רמזו על תחכום ואולי גם על השקעה כספית לא מבוטלת: הדיסקטים עצמם, אפילו ללא עלות המשלוח בדואר, ודאי עלו כמה עשרות אלפי דולרים. מצד שני, התוכנה הזדונית עצמה הייתה בברור חובבנית, והניסוח של הסכם הרישיון היה…פשוט…מוזר. בדוח אודות הכופרה שכתבו שלושה מומחי אבטחה זמן מה לאחר האירועים, אפשר לשמוע את הבלבול בו היו נתונים החוקרים:

"קשה לדעת איך להתייחס לדיסקט הזה. […] לפי ההכנה המדוקדקת והזהירה שלו וסכום הכסף הגדול שבוזבז על העניין, סביר להניח שלא מדובר אך ורק בניסיון סחיטה גס ותו לא. האם ייתכן שלא שמענו את המילה האחרונה מ PC Cyborg? האם ייתכן שבעוד מספר שבועות נקבל מכתב נוסף ובו פרק הסחיטה האמיתי? ואולי, מצד שני, מדובר בסך הכל בכמה אנשים הזויים? אם זה המצב, אולי אין להם שום מניע נסתר, ומה שראינו עד כה יהיה סוף הסיפור."
'ד"ר פאפ הורעל"

שבועיים מאוחר יותר ארעה פריצת דרך בחקירה. בנמל תעופה באמסטרדם שבהולנד עצרה המשטרה המקומית גבר שהפגין התנהגות משונה. שמו היה ד"ר ג'וזף לואיס פאפ (Papp), בן שלושים ותשע, אמריקני, מומחה לאנתרופולוגיה. פאפ היה בדרכו לארצות הברית בחזרה מאפריקה, שם ערך מחקרים מדעיים על קופים מקומיים. הוא פנה לשוטרים בשדה התעופה והתלונן בפניהם שמישהו מנסה לחסל אותו, ואפילו שרבט על מזוודה של נוסע אחר – "דר' פאפ הורעל."

השוטרים עיכבו את המדען הפרנואיד לחקירה, וכשפתחו את מזוודתו גילו בתוכה חותמת דיו עם הכיתוב PC Cyborg. המשטרה ההולנדית דיווחה על התגלית לסקוטלנד יארד הבריטי ושיחררה את ד"ר פאפ לדרכו. כשנחת המדען בארצות הברית, המשיכו ה FBI והסקוטלנד יארד בחקירה סמויה שהעלתה כי מספר שנים קודם לכן פיתח ד"ר פאפ עניין רב במגיפת ה HIV, ואפילו ארגן כנס גדול סביב המחלה בקניה. אבל זמן קצר לפני שחזר לארצות הברית, פוטר פאפ מעבודתו בארגון הבריאות העולמי. הוא התגורר עם הוריו בעיירה קטנה באוהיו, ושכניו תיארו אותו כאדם שקט ונעים לבריות.

אחרי שלושה חודשים של חקירה סמויה פשטו הסוכנים על ביתו ועצרו את פאפ. בחיפוש בחדרו נתגלו לא פחות ממיליון דיסקטים ריקים. עושה רושם שפאפ קיווה להשתמש בדמי הכופר שירוויח מהכופרה שהפיץ כדי לממן קמפיין סחיטה נוסף, רחב יותר.

ג'וזף פאפ הוסגר לבריטניה, שם התגוררו מרבית קורבנותיו. במשפטו הודה כי שלח את הדיסקטים בדואר – אבל טען כי אין מדובר בניסיון סחיטה. אחרי הכל, הוא כתב בברור בהסכם הרישיון שהתקנת התוכנה פירושה הסכמה לרכוש אותה, ושהפרת ההסכם עלולה להביא לפגיעה במחשב. זו לא אשמתו שהמשתמשים לא קראו את הסכם השימוש לפני שהתקינו את התוכנה! לרוע מזלו של פאפ, השופטים הבריטים לא התרשמו מטיעון ההגנה היצירתי הזה.

במשפט גם נחשפו מניעיו של פאפ. לטענתו, ארגון הבריאות העולמי והממשלות האפריקנית עושות יד אחת כדי למנוע מאזרחיהן גישה למידע אודות מחלת האיידס. מדוע? כיוון שהמגיפה הקטלנית היא דרך יעילה מאד, עבורן, לבלום את הגידול באוכלוסיה. התוכנית שלו הייתה להשתמש בכסף שירוויח מהסחיטה כדי לממן מחקר מדעי עצמאי ולחשוף בפני הציבור את הסכנה של ה HIV.

פאפ היה אדם מבריק ומחושב, בכך אין כל ספק. למשל, הוא הקפיד שלא לשלוח את הדיסקטים הנגועים למשתמשים בארצות הברית, כדי לא לעמוד למשפט במדינה שלו. אבל התוכנית המגלומנית שלו והטיעונים הקונספירטיביים שכנעו את השופטים שהוא סובל ממחלת נפש. זה, והעובדה שהופיע מדי פעם בבית המשפט כשהוא חובש לראשו קופסאות קרטון ומסלסלי שיער בזקנו, כדי להגן מפני 'קרינה קטלנית'. בסופו של דבר, גם התביעה הסכימה להכריז על ד"ר פאפ כ'ביזיון לציבור': מונח משפטי רשמי באנגליה שמאפשר לסיים משפט ללא הרשעה פלילית. פאפ הוחזר אחר כבוד לארצות הברית, שם בילה מספר שנים בבית חולים פסיכיאטרי. לא רבות ידוע על קורותיו של פאפ לאחר מכן. הוא עבר לניו יורק, שם פרסם ספר תחת הכותרת המטעה 'אנתרופולוגיה פופולרית': הספר באמת היה על אנתרופולוגיה, רק מאד מאד לא פופולרי. בהמשך הקים חווה לשימור זני פרפרים, וב-2006 מצא את מותו בתאונת דרכים קטלנית.

אין ספק כי שביחס מזימות לפשע אחרות, כופרת ה-AIDS היתה פלופ זוועתי. פאפ בזבז עשרות אלפי דולרים כדי להקים את חברת הקש שלו ולקנות את כל הדיסקטים הריקים – אבל ההצפנה החובבנית שפוצחה בזריזות הביאה לכך שאף אחד מקורבנותיו לא שלח לו ולו סנט אחד לכתובת בפנמה. למעשה, כופרת ה AIDS הייתה כישלון כל כך טוטאלי, שיחלפו עוד חמש עשרה שנים – נצח, במונחים של עולם המחשב – עד שמישהו בעולם התחתון יסכים לתת לרעיון של כופרות צ'אנס נוסף. אך עם זאת, אפשר לומר שבזכות הכשלון המהדהד של ד"ר פאפ, "זכינו" להנות מכופרות הרבה יותר מתוחכמות ומוצלחות, כמו למשל WannaCry.
הצפנה סימטרית

ד"ר מוטי יונג (Yung) הוא מדען מחשב אמריקני, ישראלי לשעבר, שנחשב למומחה ופורץ דרך בתחום הקריפטוגרפיה, מדעי ההצפנה: בין החברות שעבד בהן אפשר למצוא את IBM, גוגל ו RSA. ב- 1996, הזמן שבו מתרחש סיפורנו, עבד באוניברסיטת קולומביה שבארצות הברית, ושם הכיר חוקר בשם אדם יאנג (Young). יחד ייסדו השניים תחום חדש במדעי המחשב: קריפטו-וירולוגיה.

מהי 'קריפטו-וירולוגיה'? ובכן, באופן מסורתי, חוקרי הצפנה בוחנים דרכים ושיטות להגן על מידע מידי מישהו שמנסה לגשת אליו: למשל, לפתח צפנים מתוחכמים כדי לאפשר לסוכנויות ביון לשלוח הודעות סמויות למרגלים שלהן במדינות זרות מבלי שאיש יוכל לקרוא אותן. קריפטו-וירולוגיה, לעומת זאת, לא מנסה *להגן* על מידע באמצעות הצפנה, אלא להשתמש בהצפנה כדי לתקוף את היריב – למשל, להצפין את המידע החיוני של האויב, כדי שהוא לא יוכל לגשת אליו. למשל, להצפין את מפות המודיעין של מדינת אויב, כדי שחוקרי המודיעין שלה לא יוכלו לעשות את עבודתם.

ההשראה לתחום המחקר החדש הזה הגיעה לחוקרים בזכות הגאות הדרמטית במספר הוירוסים למחשב בשנות השמונים והתשעים, ובמיוחד אותם וירוסים שעשו שימוש בטכניקות של הצפנה – כמו הכופרה של ד"ר פאפ. בשנת 1996 פרסמו יונג ויאנג מאמר ובו ניתחו, בין היתר, את כופרת ה AIDS. המסקנה שלהם במאמר הייתה שהחולשה הבסיסית שממנה סבלה כופרת ה AIDS הייתה שיטת ההצפנה בה בחר הד"ר: הצפנה 'סימטרית'.

מהי 'הצפנה סימטרית'? הרעיון הבסיסי פשוט למדי. קחו מפתח רגיל והכניסו אותו למנעול של דלת הבית. סיבוב אחד של המפתח נועל את הדלת, וסיבוב בכיוון ההפוך – פותח אותה. זה העיקרון של הצפנה סימטרית: אותו המפתח שבו משתמשים כדי להצפין מידע כלשהו, הוא גם המפתח שאיתו מפענחים את ההצפנה. בהקשר של הצפנה, 'מפתח' הוא פיסת מידע – מספר, מילת קוד או כל נתון אחר – שאנחנו משתמשים בו כדי להצפין את המידע. למשל, בכופרת ה AIDS ד"ר פאפ השתמש בהצפנה פשוטה למדי: טבלה שמגדירה החלפה של תו אחד בתו אחר – B ב- U, אף בסימן קריאה וכן הלאה. הטבלה הזו היא המפתח שבעזרתו הצפינה הכופרה את שמות הקבצים במחשבים הנגועים. הטבלה הזו, מטבעה, היא דו-כיוונית: דהיינו, באותו האופן שבו מפתח של דלת גם נועל אותה וגם פותח אותה – אני יכול להשתמש בטבלה כדי להחליף את B ב- U, וגם להחליף את U בחזרה ל – B.

עכשיו – מה אנחנו עושים עם מפתח הדלת שלנו אחרי שנעלנו את הבית? אם אתם אשתי, אתם שמים אותו איפשהו, שוכחים איפה שמתם אותו ואז מאשימים את בעלך המסכן שהזיז את המפתח והעלים אותו שכשהוא בסך הכל ניסה לעשות קצת סדר בבית כי מה זה הברדק הזה, ואיך אפשר לחיות ככה, ואולי תשימי את התיק שלך בפינה כמו שצריך ו…. אההמ. כן. הקיצר, אתם שומרים את המפתח בכיס כי בלי המפתח, אי אפשר לפתוח את הדלת אחר כך. באותו האופן, אם הכופרה שהצפינה את הקבצים שלנו צריכה להיות מסוגלת לפענח את הקבצים האלה אחר כך – והיא צריכה, כי אם אי אפשר לפתוח את הקבצים, אף אחד לא ישלם את די הכופר – היא צריכה לשמור את מפתח ההצפנה הזה איפה שהוא בתוך הקוד, כי בהצפנה סימטרית אותו מפתח ש'נועל' את הקבצים הוא גם המפתח ש'פותח' אותם.

מומחי האבטחה שניתחו את הכופרה של ד"ר פאפ היו מודעים לעובדה הזו, והם חפרו וחפרו וחפרו בתוך הקוד של הוירוס עד שמצאו את הטבלה המדוברת – ובעזרתה החזירו את המצב לקדמותו. במילים אחרות, החולשה הגדולה ביותר של הצפנה סימטרית היא שקשה מאד להחביא את מפתח ההצפנה בתוך הקוד. אם נחפש מספיק טוב בתוך הקוד, תמיד נמצא את המפתח בסוף.
הצפנה א-סימטרית

מוטי יונג ואדם יאנג מצאו דרך להתגבר על החולשה הזו: טכניקה שאם מיישמים אותה בתוך כופרה כמו AIDS, היא הופכת את ההצפנה להרבה – הרבה – יותר קשה לפיצוח. שמה של הטכניקה הזו הוא 'הצפנה א-סימטרית', והיא פותחה עוד בשנות השבעים של המאה העשרים.

מהי הצפנה אסימטרית? ובכן, אם נמשיך את האנלוגיה הקודמת, אז הצפנה אסימטרית היא כמו מנעול דלת שיש לו שני מפתחות: מפתח אחד שנועל את הדלת, ומפתח אחר שפותח אותה. המפתח הנועל, זה שמצפין את המידע, מכונה 'מפתח ציבורי': אתה יכול לתת אותו לכל אחד – לילדים, לשכנה, אפילו לאשתך – כי איתו אפשר רק לנעול את הדלת. המפתח השני, זה שפותח את הדלת, מכונה 'מפתח פרטי', ואותו אתה שומר לעצמך. אני מניח שדי קשה ליצור מנעול פיזי שפועל באופן הזה, אבל כשמדובר במתמטיקה ובספרות בינאריות, זה בהחלט אפשרי.

נניח שאני מתכנת מרושע שרוצה לפתח כופרה. אני יוצר שני מפתחות קריפטוגרפיים: אחד ציבורי, ואחד פרטי. את המפתח הציבורי אני מכניס לתוך הקוד, וכשהכופרה שלי משתלטת על מחשב קורבן היא מצפינה את הקבצים שעליו – דהיינו, 'נועלת' אותם – באמצעות המפתח הציבורי. העובדה שהמפתח הציבורי נמצא בתוך הקוד, גלוי לכל מי שמעוניין לחפש אותו – לא מעלה ולא מורידה: המפתח היחיד שיכול לפתוח את ההצפנה הוא המפתח הפרטי שנמצא אצלי, ורק אצלי. רוצה לקבל את המפתח הפרטי ולפענח את הקבצים המוצפנים? שלם את דמי הכופר.

זה המקום המתאים לומר כמה מילים על הדילמה האתית המורכבת שבה מצאו את עצמם יונג ויאנג. כשפרסמו שני החוקרים את המאמר שלהם, שבו הסבירו על האופן שבו ניתן להשתמש בהצפנה אסימטרית כדי לפתח כופרות בלתי ניתנות לפיצוח – היה להם ברור שאת המאמר הזה יקראו לא רק חוקרי הצפנה אחרים, אלא גם עבריינים. היו רבים שתהו – בקול רם, אפילו – האם ראוי שהחוקרים יעניקו מתנה כל כך יקרת ערך לפושעים: טכניקה שתעזור להם לפתח כופרות יעילות ומסוכנות מאוד. מה היינו חושבים על מומחה לכלי נשק שנותן טיפים לרוצח פוטנציאלי, כמו איך לכוון את הנשק שלו טוב יותר?… יאנג ויונג לא ניסו להתחמק מהדילמה הזו. כבר בפסקה הראשונה של מאמרם הסבירו את המניע שמאחורי החלטתם לפרסם את הטכניקה החדשה ברבים.

"כל התקדמות טכנולוגית משמעותית טומנת בחובה עוצמה מסוימת. לפעמים, העוצמה הזו משמשת לטובת הציבור – אבל ברוב המקרים, היא גם מנוצלת לרעה. הקריפטוגרפיה היא ברכה בתחומי עיבוד המידע והתקשורת כיוון שהיא מאפשרת לאנשים לאחסן מידע באופן בטוח ולנהל תקשורת פרטית על פני מרחקים גדולים. טבעי לשאול – 'מהם השימושים הזדוניים הפוטנציאלים של קריפטוגרפיה?'. אנחנו מאמינים שעדיף לחקור את השאלה הזו [עכשיו], מאשר לחכות להתקפות האלה לכשיגיעו."

במילים אחרות, שני החוקרים רואים בקריפטוגרפיה טכנולוגיה ניטרלית: כזו שיש לה שימושים מועילים, אבל גם מזיקים. אם החוקרים יבחרו להתעלם מהשימושים הזדוניים הפוטנציאליים של הטכנולוגיה הזו – השימושים האלה לא יעלמו, והעבריינים לא יתעלמו מהם. על כן, לתפיסתם, עדיף לחוקרים להיות צעד אחד לפני העבריינים, לזהות את השימושים הזדוניים האלה ולמצוא להם הגנות מתאימות. מבחינה זו, הדילמה שניצבה בפני יונג ויאנג היא אותה הדילמה שניצבה ועודנה ניצבת מול אינספור מדענים אחרים לכל אורך ההיסטוריה לגבי פיתוחן של טכנולוגיות כמו חומרי נפץ, אנרגיה גרעינית, חומרים כימיים מסוכנים, זנים חדשים של חיידקים ועוד ועוד.
רעיון טוב – על הנייר בלבד

חלפו עוד עשר שנים עד שרעיונותיהם של יונג ויאנג מצאו את דרכם אל כופרות מודרניות. בסביבות 2005 החלו מופיעות תוכנות זדוניות חדשות שהיו מצויידות בטכניקות ההצפנה המתקדמות האלה. וירוסים כמו GPCoder, Archiveus ו Cryzip הטילו את חיתתם על משתמשי המחשב – אז בעיקר במזרח ומרכז אירופה.

אבל למרות זאת, אם בוחנים את התמונה הכוללת של מפת איומי הסייבר בעשור הראשון של המאה העשרים ואחת – כופרות, אותן תוכנות זדוניות שמצפינות מידע על מחשב הקורבן ומבקשות דמי כופר כדי לפתוח אותו – היו נדירות למדי, איום זניח מאד ביחס לסוגים אחרים של תוכנות זדוניות. באותה התקופה כבר נתגלו מאות אלפי ואפילו מיליוני וירוסים חדשים בכל חודש – ורק בודדים מתוכם היו כופרות. למה? מדוע ויתרו העבריינים על המתנה היקרה שהעניקו להם מוטי יונג ואדם יאנג: טכנולוגיה שתשדרג את וירוסי הכופר ותהפוך אותם לאיומים מסוכנים באמת? משתי סיבות.

הסיבה הראשונה היא שקריפטוגרפיה היא אחד השדות הקשים והמאתגרים ביותר במדעי המחשב. יש מרחק גדול בין הבנה רעיון עקרוני כלשהו בתחום ההצפנה – ובין יישום שלו הלכה למעשה. אם אני כותב תוכנה 'רגילה' – נניח, לשם הדוגמא, משחק מחשב – מותר לי לטעות פה ושם. אולי במצב מסוים המשחק יתקע או יקרוס, אולי משהו קטן במשחק לא יעבוד – אבל בסך הכל הכללי, המשחק יעבוד בסדר גמור, ואפשר יהיה להנות ממנו. תוכנה מורכבת, כמו מערכת הפעלה למשל, עשויה להכיל אלפי שגיאות ותקלות קטנות שכאלה, ואנחנו עדיין נוכל להשתמש בה. אבל כשמדובר בתוכנת הצפנה, זה לא עובד ככה. כל טעות בקוד, כל שגיאה זעירה או שיבוש קטנטן, היא פרצה שמומחי פיצוח הצפנים יכולים להסתנן דרכה ולשבור את הצופן.

דוגמה מעולה לבעייתיות הזו היא WannaCry, אותה כופרה שעימה פתחתי את הפרק. כאמור, WannaCry הייתה כופרה מוצלחת במיוחד: בתוך פחות מארבעים ושמונֵה שעות היא השתלטה על למעלה ממאתיים אלף מחשבים, הצפינה את הקבצים שעליהם ודרשה תשלום של שלוש מאות דולר בביטקוין כדי לשחרר אותם. זמן לא רב לאחר מכן מצא חוקר אבטחה בריטי דרך להאט את התפשטותה של הכופרה ולמנוע ממנה להדביק מחשבים חדשים – אבל לא זה העניין: משתמש שהמחשב שלו כבר נדבק בוירוס האכזרי והקבצים שעליו כבר הוצפנו, עדיין היה בבעיה קשה.

אבל אז, ארבעה ימים לאחר שנתגלתה WannaCry לראשונה, חשף חוקר אבטחה צרפתי חולשה מפתיעה בכופרה.

WannaCry השתמשה ברעיון ההצפנה האסימטרית שתיארו יונג ויאנג. לאחר שהתוכנה הזדונית הסתננה לתוך המחשב הקורבן, היא יצרה שני מפתחות הצפנה: אחד ציבורי, ואחד פרטי. בעזרת המפתח הציבורי היא הצפינה, 'נעלה', את הקבצים. את המפתח הפרטי, המפתח שאיתו אפשר לפתוח את הקבצים – היא שלחה דרך האינטרנט אל ההאקר שיצר אותה, ואז מחקה אותה מהמחשב לגמרי. על פניו, הפשע המושלם: המפתח הציבורי שנמצא על המחשב חסר תועלת, ורק העבריין מחזיק במפתח הפרטי שיכול לפתוח את ההצפנה.

אבל מפענחי צפנים הם יצורים עקשניים במיוחד. הם מסוג האנשים שישבו על תשבץ או חידת הגיון במשך ימים, שבועות או שנים עד שיפתרו אותם – והם מומחים באיתור הסדקים הקטנים והחולשות הזעירות שיפילו אפילו את ההצפנה המורכבת ביותר. במקרה הזה, חוקר האבטחה הצרפתי שבחן את קוד התוכנה של WannaCry הבחין בתקלה זעירה באופן שבו יצרה הכופרה את מפתחות ההצפנה שלה. מבלי להכנס ליותר מדי פרטים טכניים, אומר רק שכדי ליצור את המפתח הציבורי והמפתח הפרטי – WannaCry הייתה צריכה לבצע תרגיל מתמטי מסוים: הכפלה של שני מספרים ראשוניים גדולים מאד. מכיוון שהרבה תוכנות במחשב משתמשות בהצפנה בשגרה, מערכת ההפעלה – Windows – מכילה בתוכה קוד שכבר יודע לעשות את זה. באופן הזה, מי שמפתח תוכנה חדשה לא צריך 'להמציא את הגלגל' כל פעם מחדש ולכתוב קוד שמבצע את ההכפלה הזו: הוא יכול לבקש מ Windows שתעשה את זה בשבילו ורק תיתן לו את התוצאה הסופית. גם המתכנת של WannaCry ניצל את האפשרות הזו. למה לא? חיים קלים…

אבל מסתבר שבקוד של מערכת ההפעלה הייתה שגיאה. אחרי שמערכת ההפעלה סיימה לחשב את תוצאת המכפלה של שני המספרים הראשוניים – היא לא מחקה את המספרים האלה מזיכרון המחשב. כל עוד המחשב נשאר דולק וחשמל מגיע לשבבי הזכרון – המספרים האלה נשמרו בתוכם.

מדוע מדובר בשגיאה? כי אם אני יודע מהם שני המספרים הראשוניים שבעזרתם חושבו המפתח הציבורי והפרטי – אני יכול לבצע את אותה ההכפלה שוב, ולשחזר את המפתח הציבורי והפרטי! זה כמו שמישהו ירצה לדעת מה קניתי בסופר: אם אין לו מושג מה היה בעגלה שלי כשעזבתי את החנות, הוא יכול לנסות למצוא את רשימת הקניות שנתנה לי אשתי. מכיוון שאני נשוי ותיק וחפץ חיים, אני כבר יודע לא לסטות מרשימת הקניות אפילו במילימטר: אם כתוב לי ברשימה מרכך כביסה של מותג X, ועל המדף יש גם מרכך כביסה של מותג Y זול בחצי – אני אקנה את המרכך של מותג X ויעלה כמה שיעלה, כי כמו שכתוב – לא תחקור במופלא ממך, או משהו כזה. במילים אחרות, אם יש לך את רשימת הקניות שלי, אתה יודע בדיוק מה קניתי – ובאותו האופן, אם יש לך את המספרים הראשוניים בזכרון, אתה יודע בדיוק מהם מפתחות ההצפנה שנוצרו מהם. וכך חוקר האבטחה הצרפתי כתב תוכנה חדשה שמחלצת את אותם מספרים ראשוניים מהזיכרון, מחשבת את המפתח הפרטי החסר – ומחלצת את הקבצים הנעולים על המחשב ללא דמי הכופר. כל זאת בהנחה, כמובן, שהמשתמש לא כיבה את המחשב אחרי שנידבק בכופרה.

אם כן, זו דוגמה מצויינת לקושי הגדול של יישום מוצלח של רעיונות קריפטוגרפיים: כל טעות זעירה הורסת את ההצפנה. למעשה, במקרה הזה מי שיצר את WannaCry היה בסדר גמור: הוא עשה את הכל בדיוק כמו שצריך – ועדיין, באג קטנטן ועלום במערכת ההפעלה, באג שאפילו לא קשור אליו בשום צורה – הרס לו את התוכניות. במילים אחרות, שימוש בהצפנה אסימטרית כדי ליצור את הכופרה האולטמיטיבית הוא אולי רעיון נפלא על הנייר – אבל כשבאים יישם אותו מגלים שהוא הרבה יותר קשה ליישום משנדמה לך בהתחלה, ולכן רוב עברייני הסייבר העדיפו להתמקד בפשעים פשוטים וקלים יותר למימוש – כמו פריצות לבנקים, למשל…

אלו מבין העבריינים שבכל זאת התאהבו ברעיון של סחיטת דמי כופר מהקורבנות שלהם, פנו אל כופרות מסוג אחר, פשוט ובסיסי יותר. הכופרות האלה מכונות 'לוקרים' (Lockers, מלשון 'לנעול') והן לא מצפינות את הקבצים שעל המחשב הנגוע – אלה רק מונעות מהמשתמש לגשת אליהם. למשל, לוקר בשם רבטון (Reveton) היה מציג על המסך חלון גדול ובו לוגו של סוכנות משטרתית כלשהי – והודעה שאומרת שהתוכנה זיהתה שהמשתמש צפה בפורנוגרפיה או בתוכן לא חוקי אחר ולכן עליו לשלם קנס של מאה אירו. ה"טריק" כאן הוא שהחלון הגדול כיסה את כל המסך, ואי אפשר היה לסגור אותו: אם ניסית ללחוץ על האיקס בפינה החלון, לא קרה כלום. זאת אומרת, המחשב היה פחות או יותר משותק עד ששילמת את דמי הכופר. לוקרים אחרים השתמשו בטכניקות דומות: חלונית פופ-אפ שלא נסגרת, דפי אינטרנט שאי אפשר לצאת מהם וכו' וכו'. למרבה המזל, הלוקרים האלה לא היו מוצלחים במיוחד: משתמש מחשב מנוסה היה מסוגל להתגבר על המטרד הזה די בקלות גם ללא תשלום של הכופר.
שובל של ראיות

הסיבה השניה לכך שכופרות מתוחכמות לא תפסו אחיזה בקרב הפושעים היא שהעברת כסף באופן אנונימי דרך האינטרנט היא לא דבר פשוט. בעולם האמיתי, אני יכול לשלם למישהו בשטרות מזומן, ולמי שרוצה לעקוב אחרי קשה לדעת כמה כסף שילמתי ולמי: אחרי הכל, כל השטרות נראים, בגדול, אותו הדבר. אבל כשמדובר בהעברות כספים דרך האינטרנט, הכסף בדרך כלל משאיר אחריו 'שובל של ראיות' שאפשר לעקוב אחריהן. למשל, אם אני עושה קניות באתר כלשהו ומשלם בכרטיס אשראי – אז חברת האשראי שלי, ואולי אפילו הבנק, שומרים אצלם רישום של עסקת האשראי. אם אני חשוד בפשע כלשהו, המשטרה יכולה לגלות בקלות למי שילמתי וכמה. 'שובל הראיות' הזה הוא זה שהביא, כזכור, לנפילתו ולכידתו של ד"ר ג'וזף פאפ, האיש מאחורי כופרת ה AIDS: פאפ ניסה לטשטש את שובל הראיות הזה על ידי הקמתה של חברת קש בפנמה, PC Cyborg, אבל החותמת עם שם החברה שנתגלתה במזוודה שלו סיכלה את התוכנית הזו. עבריינים ששקלו להשתמש בכופרות למטרותיהם הנלוזות, נתקלו מיד בבעיה הזו: איך אפשר לקבל את דמי הכופר מהקורבן, מבלי שהמשטרה תוכל להגיע אליהם באמצעות אותו שובל ראיות – או לחילופין, מבלי הקורבן יוכל לבטל את העברת הכסף ברגע שקיבל את הקבצים שלו בחזרה.

יוצרי הכופרות בעשור הראשון של המאה העשרים ואחת ניסו מגוון של שיטות כדי להתמודד עם הבעיה הזו. למשל, כופרה בשם ארכיביוס (Archiveus) דרשה מהקורבנות לגלוש לאתר של בית מרקחת כלשהו ולקנות שם תרופות. דמי הכופר, במקרה הזה, היו העמלה שיקבל יוצר הכופרה תמורת הרכישות. כופרה אחרת, WinLock, ביקשה מהמשתמשים לשלוח סמס למספר פרמיום כלשהו, שעלותו הייתה כעשרה דולרים. היו כופרות שניסו להשתמש בשירותי העברת כספים דיגיטליים כמו Western Union או בכרטיסי מתנה נטענים. היו מגוון של שיטות וטכניקות – אבל לכולן היו חסרונות: חלק השאירו יותר מדי עקבות וראיות, אחרות היו ניתנות לביטול על ידי הקורבנות.

אם כן, בשורה התחתונה, כופרות היו רעיון יפה על הנייר – אבל עבור הפושע הממוצע, רעיון קשה מדי ליישום. רוב הפושעים הם לא נבלי-על של סרטים: הם לא יבנו מכונות מתוחכמות וירקמו מזימות חובקות עולם, שאחר כך צריך כמה דקות טובות כדי להסביר אותן לג'יימס בונד בסצינת השיא של הסרט ובזמן הזה בונד מותח איזה קפיץ בשעון המתפוצץ שלו או שולף סכין יפנית מהשן הטוחנת העליונה. העבריין הממוצע, כמוני וכמוכם, הוא עצלן – ואם לשלוח דואר ספאם, למשל, מרוויח לו מספיק כסף ויותר קל לביצוע, זה מה שהוא יעדיף.

אבל כל זה השתנה בשנת 2008 כשאדם אנונימי בשם סטושי נאקאמוטו (Nakamoto) – או אולי קבוצה של אנשים שהסתתרה תחת שם פיקטיבי, אנחנו לא יודעים – פרסם באחד הפורומים באינטרנט מאמר ובו הציע רעיון חדש: מטבע וירטואלי בשם ביטקוין. זמן לא רב לאחר מכן נקמוטו שחרר לעולם את תוכנת הביטקוין, והשיק את מהפכת המטבעות הוירטואליים שאנחנו נמצאים בעיצומה כיום. אבל ליוזמה של נקמוטו הייתה עוד השפעה בלתי צפויה – עלייה דרמטית בפופולריות של כופרות.

אם בעשור הראשון של המאה העשרים ואחת היו רק כמה כופרות בודדות, אזי ב 2017, למשל, הכופרות היוו כשישים אחוזים מכלל התוכנות הזדוניות, עם נזק ממוצע של למעלה מאלפיים דולר לכל קורבן בארצות הברית לבדה. איך הפך הביטקויין את הכופרות מאיום זניח למדי לסוג הנפוץ ביותר של תוכנות זדוניות בימינו? ואולי יותר מעניין – איך תרמו הכופרות להצלחה המטאורית של הביטקויין?

אלו השאלות שנענה עליהן בפרק הבא. בנוסף, נשמע על CryptoLocker, אחת מהכופרות המסוכנות בהיסטוריה – ועל ההאקר הרוסי שיצר אותה ובתמורה זכה להיות אחד הפושעים המבוקשים ביותר בעולם, עם פרס של שלושה מיליון דולר על ראשו. נשמע גם על העתיד של הכופרות בעולם מקוון של מכוניות אוטונומיות ובתים חכמים. כל זאת ועוד, בפרק הבא של עושים היסטוריה.

בפרק הקודם סיפרתי לכם על שורשיה של תופעת ה-Ransomwares: תוכנות זדוניות שמונעות מהמשתמש לגשת אל הקבצים שלו על המחשב, ודורשות ממנו דמי כופר כדי לשחרר אותם. סיפרנו גם על שני האתגרים הגדולים ביישום סוג כזה של פשע ממוחשב. הראשון – אם אתה לא מומחה בקריפטוגרפיה, זה די קשה לכתוב תוכנת הצפנה טובה שתהיה Bulletproof: דהיינו, כופרה נטולת שגיאות שאי אפשר לפצח אותה בקלות. האתגר השני – העברת כספים דרך האינטרנט בדרך כלל מותירה אחריה שובל של ראיות, ולא קל למצוא דרך לקבל דמי כופר באופן שמותיר את העבריין אנונימי מחד, ומאידך לא מאפשר לקורבן לבטל את התשלום ולקבל את כספו בחזרה מאוחר יותר. שני האתגרים האלה הביאו לכך שבמשך שנים כופרות היו סוג נדיר וזניח יחסית של תוכנות זדוניות, למרות שכבר בשנות התשעים הראו שני חוקרים, מוטי יונג ואדם יאנג, כיצד ניתן ליישם בכופרות הצפנה חזקה שתהפוך אותן לכלי נשק מרשים בארסנל של עברייני המחשב.



כמעט עשרים שנה חלפו מאז פרסמו יונג ויאנג את מאמרם, ובספטמבר 2013 נתגלתה כופרה חדשה בשם קריפטלוקר (CryptoLocker). במובנים רבים, קריפטולוקר היתה דומה מאוד לכופרות שבאו לפניה. כמו כופרת ה AIDS משנות השמונים המאוחרות, גם קריפטולוקר הצפינה קבצים חשובים – למשל, מסמכים ותמונות – ואז הקפיצה על מסך המחשב הודעה מאיימת: שלם שלוש שלוש מאות דולרים או שכל הקבצים שלך יימחקו לתמיד – ושעון עצר בפינת המסך החל לספור לאחור שבעים ושתיים שעות. כאמור, עצם האיום שהציבה קריפטולוקר לא היה חדש: מה שכן היה חדש היה אחת מאפשרויות התשלום שהציגה הכופרה לקורבנותיה: ביטקוין (BitCoin).


ביטקוין



ביטקוין נוצר לראשונה ב-2009, על ידי אדם או קבוצת אנשים שהסתתרו מאחורי הכינוי האנונימי 'סאטושי נאקאמוטו'. מדובר במטבע וירטואלי – דהיינו, מטבע שקיים בעולם הממוחשב בלבד – אבל לא זו התכונה המייחדת אותו משאר המטבעות הותיקים יותר: אחרי הכל, אפשר לשלם באינטרנט גם בשקלים ובדולרים. התכונה החדשנית והחשובה באמת של ביטקוין – גם לענייננו שלנו – היא העובדה שכדי להשתמש בו, אין צורך במתווכים.



למה הכוונה? הנה ההסבר. נניח שקניתי בעלי אקספרס מברשת ניקיון לשירותים בצורת השערות של דונלד טראפ. אני לא ממציא – יש דבר כזה, בחיי. זה עולה בערך חמישה עשר דולרים ליחידה. איך אני מעביר את התשלום למוכר? אם ארצה לשלם באשראי – אני צריך את חברת האשראי כמתווך בעסקה. אם ארצה לשלם בהעברה בנקאית – הבנק הוא המתווך. למעשה, כשמדובר במטבעות רגילים, אין אפשרות לשלם דרך האינטרנט שלא באמצעות מתווך! מדוע? כיוון שאני והמוכר לא ממש סומכים אחד על השני. אני לא סומך על המוכר שישלח לי את המוצר שקניתי כי תכל'ס, איך אפשר לסמוך על מישהו שמוכר מברשת לשירותים בצורת דונלד טראמפ. המוכר, מצידו, המוכר לא סומך עלי שאעביר לו את הכסף, כי תכל'ס איך אפשר לסמוך על מישהו שקונה מברשת לשירותים בצורת דונלד טראמפ. תפקידם של המתווכים בעסקה, חברת האשראי ושל עלי אקספרס עצמה, הוא – אחד, לאפשר לי העברה של הכסף דרך האינטרנט, שניים – להבטיח למוכר שהכסף שאני שולח אינו מזויף, שלוש – להבטיח שאם התחייבתי להעביר כסף, אני לא יכול להתחרט, לפחות לא בקלות – וארבע, לאפשר לי לבצע עסקה עם מישהו שאני לא מכיר אישית, לפעמים מהצד השני של העולם.



ביטקוין מבטל את הצורך במתווכים, לפחות בכל מה שקשור לצד הפיננסי של העסקה. מדוע? לא אכנס כאן לשאלה איך בדיוק עובדת הטכנולוגיה שמאחורי ביטקוין – זהו נושא מרתק ורחב בפני עצמו שכנראה אקדיש לו פרק שלם בעתיד – אבל לצורך הדיון שלנו, חשוב להבין שלביטקוין יש ארבע תכונות עקרוניות. הראשונה – הוא דיגיטלי, ולכן אפשר להעביר אותו דרך האינטרנט. השניה – אי אפשר לזייף אותו. השלישית – פעם שהעברת למישהו ביטקוין, אי אפשר לבטל את ההעברה. והרביעית – שני הצדדים בעסקה נשארים אנונימיים לגמרי: מבחינתו של מישהו שמסתכל מבחוץ, כל מה שהוא רואה זה כתובת כלשהי באינטרנט מעבירה ביטקוין לכתובת אחרת – ואין דרך קלה לשייך את הכתובות הללו לאנשים בעולם האמיתי. השילוב של ארבעת התכונות מבטל, הלכה למעשה, את הצורך בחברת אשראי או בנק כמתווך. במילים אחרות, תשלום דמי כופר בביטקוין הוא המקבילה הממוחשבת של העברת מעטפה מלאה בשטרות בלתי מסומנים. אין פלא אם כן, שכמעט מיד לאחר שנוצר – הפך ביטקוין לחביבם של אנשי העולם התחתון ושימש כאמצעי תשלום לכל מיני עסקאות אפלות, מסחר בסמים ועד כלי נשק.



קריפטולוקר הייתה הכופרה הראשונה – או אולי הכופרה המשמעותית הראשונה – שאימצה את ביטקוין כאמצעי תשלום, וההימור שלה על המטבע החדש השתלם – ובגדול. על פי הערכות שונות היא השתלטה על כרבע מיליון מחשבים בכל רחבי העולם, ולמרות שרק קצת פחות מאחוז וחצי מהקורבנות אכן שילמו את דמי הכופר – עדיין הזרימה הכופרה לכיסיהם של יוצריה מטבעות ביטקויין בשווי של כשלושה מיליוני דולרים. ההצלחה האדירה וכמעט חסרת התקדים הזו עוררה את תאבונם של עברייני סייבר בכל רחבי העולם, ויצרה מעין 'בהלה לזהב': מאז קריפטולוקר חלה עלייה דרמטית במספר הכופרות – עד כדי קפיצה של פי עשרה ופי אחד עשרה במספרן במהלך שנת 2016 לבדה. הנתח היחסי שתופסות כופרות מתוך כלל הנוזקות שמתגלות בעולם משתנה כל העת, אבל בחודש יוני של 2017, למשל, היוו הכופרות כשבעים אחוזים מכלל הנוזקות שנתגלו באותו החודש. העליה הדרמטית הזו בפופולריות של תוכנות כופרות הביאה את חברת אבטחת המידע סימנטק לפתוח את הדו"ח השנתי שלה ב-2015 במילים –



"מעולם בהיסטוריה האנושית לא היו כל כך הרבה אנשים בכל רחבי העולם נתונים לסחיטה בהיקפים כה מאסיביים כפי שהם היום."


מאפיינים יחודיים של כופרות



ההצלחה המרשימה הזו של קריפטולוקר מעלה שאלה מסקרנת. קריפטולוקר נתגלתה ב- 2013, ארבע שנים אחרי שהופיע ביטקוין לראשונה. ארבע שנים, במונחי עולם הטכנולוגיה, הם די הרבה זמן: מדוע לא אימץ יוצר או יוצרי הכופרות את המטבע החדש קודם לכן? אנחנו לא יודעים בוודאות, כמובן, אבל אפשר לשער שהסיבה היא שבשלב הזה, משתמשי המחשב ה'רגילים', אלה שאינם חובבי טכנולוגיה מושבעים – לא שמעו על ביטקוין מימיהם ולא היה להם שמץ של מושג איך משלמים איתו. עובדה זו הכריחה את היוצר של קריפטולוקר להוסיף לכופרה שלו, למשל, הסבר על מה זה בכלל ביטקוין, מה אפשר לעשות איתו ואפילו להוסיף קישורים לדפי עזרה והסבר באינטרנט. כופרות אחרות, בשנים מאוחרות יותר, הציגו סרטונים שמסבירים איך לשלם בביטקוין – ואפילו הפעילו 'מרכזי שירות ותמיכה' טלפוניים אליהם יכלו הקורבנות לפנות ולקבל עזרה בתשלום הכופר.



העניין הזה מוליך אותנו למסקנה מרתקת, והיא שכופרות הן 'חיה מיוחדת' בנוף הכללי של תוכנות זדוניות, מכיוון שהן מנהלות אינטראקציה עם ה"לקוחות" שלהן. למה הכוונה? וירוסי מחשב 'רגילים' הם חד כיווניים: הם בדרך כלל גונבים מידע או זורעים הרס במחשב שאליו הם מסתננים, אבל בכל מקרה – אין להם אינטראקציה עם המשתמש. אבל בכופרה, הפושע רוצה לגבות דמי כופר ולכן מטבע הדברים חייבת להיות לו אינטראקציה כלשהי עם המשתמש. וכפי שיודעים כל בוני האתרים ומפתחי האפליקציות, לאינטארקציה עם "הלקוח" יש השפעה גדולה מאוד על אופיה ותכונותיה של תוכנה, במספר מישורים.



למשל, תוכנה זדונית טיפוסית בדרך כלל תנסה להיות כמה שיותר 'בלתי נראית' מבחינת המשתמש, כי אם היא תתגלה – זה הסוף שלה. אצל כופרות המצב הפוך: כופרה צריכה להיות כמה שיותר בולטת, ולא סתם 'בולטת': היא צריכה להיות מפחידה. היא צריכה להכניס את הקורבן לפאניקה, כי אם למשתמש יהיה זמן לחשוב בהיגיון, להתייעץ עם חברים או לחפש בגוגל – יכול להיות שהוא יגלה שאפשר להיפטר מהכופרה בדרך אחרת כלשהי, או לשחזר את המידע מגיבוי כלשהו. לכן, יוצרי הכופרות הפכו עם הזמן למומחים בלוחמה פסיכולוגית. השימוש בשעון עצר שסופר אחורנית את השניות והדקות הוא דוגמה קלאסית לאלמנט 'מלחיץ' שכזה, והוא רק ההתחלה. ישנן כופרות שמשמיעות הודעה קולית מפחידה ומאיימת. כופרות אחרות מציגות על המסך גרפיקות מלחיצות כמו צלבי קרס או דמות מסתורית של האקר עטוי קפוצ'ון, או סמלים של רשויות חוק כמו ה FBI וה CIA.



הכופרה שהיא אולי הדוגמה המוצלחת ביותר למניפולציה הפסיכולוגית הזו היא כופרה בשם Jigsaw ('מסור'), משנת 2016. השם ג'יגסו לקוח משמו של סרט אימה מפורסם בשם 'המסור': והכופרה מציגה על המסך תמונה של בובה מפחידה מתוך הסרט, וציטוט של שורה מתוכו. ג'יגסו מציגה שעון עצר של שבעים ושתיים שעות – אבל בכל כמה שעות שבהן הקורבן לא משלם את דמי הכופר, הסכום של הכופר עולה בהדרגה -מעשרים דולר בביטקוין, ועד מאה וחמישים דולר. זאת ועוד, בכל שעה שחולפת הכופרה מוחקת קבצים: בהתחלה רק קובץ אחד בכל פעם, ואז עוד ועוד קבצים ככל שחולף הזמן. אם המשתמש 'מעיז' לכבות את המחשב – הכופרה מענישה אותו, ומוחקת אלף קבצים בפעם הבאה שיפתח את המחשב. אחת הגרסאות של ג'יגסו מאיימת על הקורבן שאם לא ישלם את הכופר, היא תשחרר את המידע האישי שלו ברחבי האינטרנט לעיני כל. כל הטקטיקות המאיימות והמלחיצות האלה באות לכסות על העובדה שההצפנה שהפעילה ג'יגסו על הקבצים לא הייתה חזקה במיוחד, ואפשר היה לפצח אותה בעזרת תוכנות מתאימות.



טקטיקות של הפחדה הן הנפוצות ביותר בכופרות, אבל פה ושם אפשר למצוא גם עבריינים יצירתיים יותר. למשל, יש כופרות שמציגות תמונות פורנוגרפיות על המסך, אולי כדי שהמשתמש יתבייש להראות את המחשב שלו לטכנאי מחשבים. כופרות אחרות מבטיחות לתרום חלק מדמי הכופר לצדקה! כתמיד, גם במקרה הזה אין גבול ליצירתיות האנושית.



דוגמה נוספת להשפעה של האינטראקציה עם הקורבן היא בבחירת סכום הכסף שהעבריין גובה מהקורבנות שלו. אם מסתכלים על תשלום דמי כופר כעסקה כלכלית טהורה, אז כמו בכל עסקה כלכלית – גם כאן ישנם מגוון של שיקולים שמשפיעים על ההחלטה של הקורבן האם לשלם את הכסף. למשל, דמי כופר בסך שלוש מאות דולר הם סכום סביר יחסית לאמריקני הממוצע – אבל הם הרבה כסף לרוסי או לסיני הממוצע. אם אני אמריקני, כנראה ש"שווה לי" לשלם שלוש מאות דולר כדי להציל את התמונות של הילדים, אבל אם אני סיני – כנראה שהתמונות של הילדים לא שוות לי כל כך הרבה כסף. בית עסק ישלם, מן הסתם, הרבה יותר כסף כדי להציל את המידע העסקי הקריטי שלו – ממידע של אדם פרטי. לכן, ישנן כופרות מתוחכמות שבמהלך ההשתלטות על המחשב בודקות היכן בעולם הן נמצאות, או אם המחשב המדובר שייך לאדם פרטי או לעסק – ומשנות את דרישת דמי הכופר בהתאם.



זאת ועוד, בדיוק כמו כל קונה בחנות אינטרנט מקוונת, יוצר הכופרה חייב לשכנע את הקורבן שלו שהוא אמין: שאפשר לסמוך עליו שאחרי שהקורבן ישלם את דמי הכופר, הוא באמת יקבל את הקבצים שלו בחזרה – אחרת הקורבן לא יהיה מוכן לשלם את הכסף. מכיוון שכך, יש כופרות שמאפשרות לקורבנות כמה 'פענוחים חינם' של קבצים מוצפנים רק כדי להדגים להם שהן רציניות ושאחרי התשלום יקבל הקורבן את התמורה המלאה לכספו. בקיצור, מי שרוצה ליצור כופרה מוצלחת, רצוי שיהיה לא רק מתכנת טוב – אלא גם קצת כלכלן וקצת פסיכולוג.



ועוד הערה מעניינת אחת לפני שאנחנו חוזרים אל סיפורה של קריפטולוקר. במבט לאחור, עושה רושם שכפי שהביטקוין עזר לכופרות להתרומם ולהפוך לכוח משמעותי בעולם התוכנות הזדוניות – כך סייעו הכופרות להצלחה של הביטקוין. לפני שבועות מספר שוחחתי עם חבר, בעל עסק עצמאי, שכופרה השתלטה על המחשב שלו ודרשה דמי כופר בביטקוין. עד אותו הרגע, החבר לא הכיר את ביטקוין – אבל עכשיו לא הייתה לו ברירה: הוא בדק, התייעץ, למד על ביטקוין ולסוף קנה ביטקוין ושילם את דמי הכופר. כמו החבר שלי, לא מעט אנשים ברחבי העולם חבים את עסקת הביטקוין הראשונה שלהם לכופרות – שהרי באותם הימים אף תוכנה אחרת, לגיטימית, לא הסכימה לקבל ביטקוין כאמצעי תשלום. אין דרך לדעת כמה מההצלחה של ביטקוין אפשר לזקוף לזכותן של הכופרות, אבל אין ספק שיש להן חלק בעניין.



אגב, אותו חבר קנה בזמנו ביטקוין בהיקף של כאלפיים וחמש מאות דולר. אמנם הכופרה דרשה "רק" ביטקוין בשווי אלפיים דולר, אבל אתם יודעים איך זה – עדיף לקנות קצת יותר מדי, מאשר להיתקע עם קצת פחות מדי. החבר שילם את הכופר ונשארו לו כמה ביטקוין ביד. מספר שנים אחר כך, כשהשווי של הביטקוין נסק לאלפי דולרים לביטקוין אחד – החבר מכר את הביטקוין שהיה ברשותו, והרוויח בעסקה הזו יותר כסף מאשר הפסיד לכופרה. אז אולי יש דבר כזה 'קארמה' בעולם.


סלביק



בחזרה לקריפטולוקר. קריפטולוקר היא דוגמה מוצלחת לא רק לשימוש חכם בביטקוין – אלא גם למהפך עקרוני נוסף שהתחולל בעולם התוכנות הזדוניות בעשר השנים האחרונות.



באופן טבעי, הצלחה הגדולה של קריפטולוקר והנזק הגדול שגרמה משכו את תשומת ליבן של חברות אבטחת המידע ורשויות החוק. הכופרה עצמה לא הכילה כל רמז לגבי זהותם של יוצריה, אבל החוקרים שבחנו אותה הבחינו מיד שמי שיצר את קריפטולוקר ידע מה הוא עושה. פרט לשימוש החדשני בביטקוין, גם אופן ההצפנה של הקבצים – שכפי שכבר ציינתי קודם, הוא לכשעצמו אתגר טכנולוגי לא פשוט – היה ללא דופי ובלתי ניתן לפיצוח. במילים אחרות, קריפטולוקר הייתה בברור עבודה של מקצוענים, ולא ילדים שהשתעשעו בנוזקות בזמנם הפנוי או נוכלים שחיפשו לעשות כסף קל. השאלה הייתה – מי היו אותם מקצוענים.



השם 'סלביק' (Slavik) מוכר לאנשי אבטחת המידע מאז שנת 2006 לפחות. סלביק הוא כינויו של מתכנת שיצר את אחת התוכנות הזדוניות הידועות ביותר לשמצה: זאוס (Zeus), תוכנה זדונית מתוחכמת וקשה ביותר לגילוי ששימשה בעיקר לפריצה של חשבונות בנקים. סלביק ומספר נוכלים ממוצא רוסי ואוקראיני ששיתפו עמו פעולה, פרצו לחשבונות הבנקים של עשרות חברות וארגונים וגנבו מיליוני דולרים. בשנת 2010 הצליח ה-FBI להניח את ידו על כמה משותפיו של סלביק ולבלום את הפעילות העבריינית של הכנופיה בארצות הברית – אך סלביק עצמו הצליח לחמוק.



סלביק ירד למחתרת. הוא הכריז בפורומים של העולם התחתון על 'פרישה' ואף מכר את קוד המקור של זאוס לפושע אחר. במשך מספר חודשים לא שמעו ממנו דבר – אבל ב-2011 נתגלתה תוכנה זדונית חדשה שהייתה גרסא משופרת ומתוחכמת עוד יותר של זאוס: השם שניתן לה היה "גיים אובר זאוס" (GameOver Zeus). טביעות האצבע הדיגיטליות של סלביק לא הותירו ספק: ה"פרישה" הייתה לא יותר מאשר פסק זמן להתארגנות, שאיפשר לסלביק לשכלל את דרכי פעילותו. גיים-אובר זאוס השתלטה על מיליוני מחשבים ברחבי העולם, וגל חדש של פריצות ממוחשבות בהיקף של עשרות מיליוני דולרים הכה בחברות גדולות וארגונים פיננסיים.



גיים-אובר-זאוס לכשעצמה לא הייתה כופרה, אלא תוכנת ריגול שאספה מידע כמו שמות משתמשים וסיסמאות לצורך פריצה לחשבונות בנקים, למשל. אבל ב-2013, כשהופיעה קריפטולוקר – גילו החוקרים שגיים-אובר-זאוס מפיצה את קריפטולוקר: דהיינו, כשגיים-אובר-זאוס משתלטת על מחשב חדש, היא מתקינה עליו קריפטולוקר. הפצה כזו מעידה על קשר הדוק בין שתי התוכנות הזדוניות. לצורך הדוגמה, אם יש לי רשת פודקאסטים היפוטתית לגמרי, ובפודקאסטים ההיפותטיים האלה אני משמיע פרסומת ליצרנית מזרנים היפוטתית לגמרי – אז ברור שאו שיש לי מפעל שמייצר מזרנים, או שאני וחברת המזרנים משתפים פעולה באופן כלשהו. באותו האופן, כיוון שגיים-אובר זאוס הייתה בשליטתו המלאה של סלביק, ברור שהוא אחראי גם לכופרה החדשה – או לכל הפחות עובד בתיאום מלא עם האנשים שמאחוריה. יתרה מכך, בחינה מדוקדקת של הקוד של שתי התוכנות הזדוניות – גיים אובר זאוס וקריפטולוקר – העלתה שבסבירות גבוהה, אותו מתכנת שכתב את האחת, כתב גם את השניה.



עובדה זו יצרה לרשויות החוק הזדמנות נדירה: אם יצליחו לחסל את גיים-אובר זאוס, יצליחו באותה ההזדמנות למוטט גם את קריפטולוקר. שתי ציפורים במכה אחת.


מבצע טובר



ה FBI האמריקני החל לתכנן את 'מבצע טובר' (Operation Tovar), מה שהפך לאחד המבצעים המורכבים ביותר בתולדות עולם אבטחת המידע. זרועותיו הארוכות של סלביק, באמצעות גיים-אובר זאוס וקריפטולוקר, פגעו במשתמשים וארגונים בכל רחבי העולם כמעט, ועובדה זו הכריחה את ה-FBI לשתף פעולה מגוון של רשויות חוק וחברות אבטחה כדוגמת ה-Europol, UK National Crime Agency, Dell, Microsoft, Symantec, The Australian Federal Police ועוד.



שמירה על סודיות וחשאיות, כשכל כך הרבה גורמים מכל כך הרבה מדינות מעורבים במבצע, הייתה אתגר כביר בפני עצמו – אבל בפני אנשי החוק ניצב גם אתגר טכנולוגי מורכב במיוחד.



כשהשתלטה גיים-אובר זאוס על מחשב כלשהו, היא צירפה אותו – ללא ידיעתו של בעלי המחשב, כמובן – לרשת שבה היו שותפים שאר המחשבים הנגועים. כל המחשבים הנגועים החברים ברשת כזו מכונים בעגה המקצועית 'בוטים' (Bots), מלשון 'רובוטים': זאת מכיוון שמי ששולט ברשת – סלביק, במקרה הזה – שולט בכל אחד מהם שליטה מלאה והם עושים כרצונו כמו רובוטים.



הבוטים בתוך הרשת מסוגלים להעביר מידע בינם לבין עצמם, כמו דבורים בכוורת או נמלים בקן – ועובדה זו הקשתה מאד על החוקרים להשתלט על הרשת. מדוע?

נניח שה- FBI הצליח, בדרך כלשהי, להשתלט על מחשב נגוע אחד. אני מזכיר שהמחשבים המדוברים מפוזרים ברחבי העולם כולו, אז כשאני אומר 'להשתלט' – אני מתכוון להשתלטות מרחוק: דהיינו, במקום שסלביק ישלוט מרחוק על המחשב הנגוע, עכשיו ה- FBI שולט עליו מרחוק. אבל סלביק ישים לב שמשהו לא בסדר: מחשב שעד עכשיו היה בשליטתו, פתאום הפסיק לבצע את פקודותיו. סלביק יחקור ויבדוק מה קרה, עד שיגלה איך בדיוק הצליחו אנשי ה FBI להשתלט על התוכנה הזדונית שלו. בשלב הבא, סלביק ישנה את גיים-אובר זאוס כדי לתקן את הפירצה הזו, ויוציא עדכון תוכנה. עדכון התוכנה הזה "יחלחל" בתוך הרשת, עובר ממחשב אחד לשני כמו שמועה עסיסית בווטאסאפ – ועד שאנשי ה FBI יתפנו כדי לנסות להשתלט על מחשב נוסף ברשת – הם יגלו שהפרצה שלהם כבר נחסמה.

למעשה, זה בדיוק מה שקרה כשניסו מספר חוקרי אבטחה אמריקנים וגרמנים להשתלט על הרשת של גיים-אובר זאוס עוד בראשית שנת 2013: הם הצליחו לקחת את הפיקוד על 99% מהמחשבים ברשת הבוטים – אך השליטה על 1% הנותרים הספיקה לסלביק כדי לסכל את תוכניתם של החוקרים ולחטוף בחזרה את השליטה על הרשת כולה!



על כן לאנשי ה-FBI הייתה רק אפשרות אחת: עליהם להשתלט על כל המחשבים ברשת בבת אחת, בכל העולם. זה אומר שכל חברות אבטחת המידע וכל ארגוני החוק שהיו חלק ממבצע טובר צריכים להיות מסונכרנים, ולהכנס לפעולה ברגע אחד מסוים, יחד. אם מישהו לא יעשה את העבודה כמו שצריך וחלק מהרשת של סלביק לא יפול – אפילו חלק קטן יחסית – המבצע ייכשל. לכישלון כזה עשוי להיות מחיר יקר מאד, כי היה סיכוי סביר שאם סלביק יחוש שהשליטה על רשת הבוטים נשמטת מידיו, הוא עלול לשגר לכל המחשבים שבשליטתו פקודת השמדה עצמית שתמחק את כל המידע על המחשבים הנגועים כדי לנסות ולטשטש את עקבותיו. אי אפשר אפילו להעריך את מידת הנזק שתיגרם למאות אלפי משתמשים וארגונים ברחבי העולם במקרה כזה.


'מועדון העסקים'



ה- FBI החל לתכנן את פרטי המבצע, ובינתיים ניצלו החוקרים את הזמן כדי לגלות עוד ועוד מידע על סלביק וארגון הפשיעה שלו. פריצת הדרך הראשונה התרחשה בשלהי שנת 2013, כשחברה הולנדית בשם Fox IT הצליחה להניח את ידה על אחד השרתים ששימשו את סלביק ואנשיו כדי לשלוט על רשת הבוטים שלהם. השרת הזה הכיל לא רק פאנל שליטה על גיים-אובר זאוס, אלא גם את כל ההתכתבויות והצ'אטים בין חברי הכנופיה. המידע יקר הערך הזה העניק לחוקרים הצצה נדירה לתוככי אימפרית הפשע שהקים הנוכל החמקמק.



סלביק קיבץ סביבו כחמישים פושעי סייבר ותיקים ומנוסים, שחלקם כבר היו פעילים בתחום כעשור. מקובל לכנות התארגנות שכזו 'כנופיית פשע' – אבל האמת היא שמדובר בהרבה יותר מכנופיה. הארגון שבנה סלביק כינה את עצמו The Business Club, ואכן התנהל כארגון עסקי לכל דבר ועניין – לא שונה בהרבה מכל חברת הייטק טיפוסית. סלביק היה ה-CTO (Chief Technology Officer( של הארגון, וניהל את כל הצדדים המעשיים של הפעלת התוכנות הזדוניות, פריצה לחשבונות הבנקים וסחיטת דמי הכופר. לצידו של סלביק היה אדם נוסף, שהיה המנהל העסקי והיה אחראי על העברת הכספים והתשלומים לשאר חברי ה'מועדון'. כל אחד משאר אנשי החבורה התמחה באספקט ספציפי של "המקצוע", אם אפשר לכנות זאת כך, בין אם פריצה לחשבונות בנקים, הפצה של התוכנות הזדוניות, הלבנת כספים וכדומה. חלק חברי הארגון עבדו יחד כבר למעלה מחמש שנים.



התמחות ושיתוף פעולה כזה מעידים על תהליך ה"התבגרות" שעבר עולם הפשיעה המקוונת בשני העשורים האחרונים. רוב כותבי הוירוסים ועברייני הרשת בשנות השמונים והתשעים של המאה הקודמת פעלו לבד, וכל אחד עשה לביתו ופעל לפי האינטרסים הצרים שלו. אבל הכסף הגדול שהחל לזרום לכיסיהם של העבריינים, יחד עם המורכבות הטכנולוגית ההולכת וגדלה של הפעלה של רשתות בוטים חובקות עולם, סחיטת דמי כופר בהיקפים חסרי תקדים ופריצות לארגונים בעלי מערך אבטחת סייבר – דחפו את הפושעים להשתכלל ולהתייעל, ממש כמו בכל שוק עסקי בעולם הנורמטיבי.



"מועדון העסקים' של סלביק לקח את הרעיון הזה אפילו צעד אחד קדימה. סלביק ואנשיו לא רק הפעילו את גיים-אובר זאוס לתועלת הפרטית שלהם: הם העניקו שירותים לפושעים אחרים, פחות מתוחכמים. עבריינים אחרים שרצו גם הם להפעיל כופרות או לפרוץ לחשבונות בנקים של ארגונים, אבל לא היו להם את המשאבים או הידע כדי להפעיל רשת בוטים מתוחכמת או להפיץ כופרות בצורה יעילה – שכרו ממועדון העסקים את שירותיהם של גיים-אובר זאוס וקריפטולוקר. כשפרצו החוקרים של Fox IT לשרת הניהול של סלביק, הם גילו בו לא אחת כי אם עשרים ושבע רשתות בוטים שונות שסלביק ניהל והפעיל עבור עבריינים אחרים – תמורת תשלום, כמובן – במעין מודל 'כופרה כשירות' (Ransomware As A Service).



והחוקרים גילו עוד משהו מעניין, ומאד לא צפוי. שרת הניהול של סלביק הכיל פאנל הפעלה נוסף, חבוי ונסתר: רק לסלביק הייתה גישה אליו, והוא הסתיר את דבר קיומו משאר חברי מועדון העסקים. פאנל ההפעלה הזה שלט על רשת בוטים נוספת, אבל רשת הבוטים הזו לא נועדה כדי לפרוץ לחשבונות בנקים או לשתול כופרות במחשבים נגועים, אלא כדי לאסוף מידע מודיעיני צבאי. סלביק שתל את גיים-אובר זאוס במחשביהם של אנשי ממשל וצבא באוקראינה, גאורגיה וטורקיה, ושם תר אחר מסמכים שהכילו מילות חיפוש כגון 'שכירי חרב בסוריה' ומידע מסווג נוסף. לכולם היה ברור לאיזו מדינה יש אינטרנס לעקוב אחר הנעשה באוקראינה, גאורגיה, טורקיה וסוריה: סלביק, במקביל לפעילותו העבריינית, עבד בחשאי גם עבור שירותי הביון הרוסים – ללא ידיעתם של חבריו.



וההשתלטות על שרת הניהול הניבה לחוקרים עוד פרט חשוב: כתובת אי-מייל ששימשה את סלביק. סלביק היה אולי פושע סייבר מתוחכם, אבל מדי פעם גם הוא – כמו רבים מאיתנו – עשה את הטעות המקובלת ולא הפריד בין חיי העבודה שלו והחיים הפרטיים באינטרנט. אותה כתובת מייל שבה השתמש סלביק כדי לנהל את פעילותו של 'מועדון העסקים' שימשה אותו גם כדי לעשות Log In לפייסבוק. חוקריה של Fox IT סרקו את הרשת החברתית עד שמצאו את הפרופיל שהיה משוייך לאותה כתובת מייל.

סלביק, מסתבר, הוא יבגני מיכאלוביץ' בוגצ'ב (Bogachev): גבר בשנות השלושים לחייו המתגורר ב Anapa, עיירת נופש רוסית לחופי הים השחור. מהתמונות ששיתף בוגצ'ב ברשתות החברתיות עושה רושם שהפשע בהחלט השתלם עבורו: ברבות מהתמונות אפשר לראות אותו עומד לצד מכוניות יוקרה או מפליג ביאכטות מרשימות. עושה רושם שהוא גם מאוד אוהב חתולים, אבל את זה אי אפשר לזקוף לחובתו. לאיש לא היה ספק שכוחות הביטחון של רוסיה לא ישתפו פעולה עם עמיתיהם במערב ולא יעצרו את סלביק, הסוכן הכפול שלהם בעולם הפשע.


המבצע יוצא לדרך



ביוני 2014, אחרי חודשים רבים של עבודת הכנה חשאית ומאומצת, היו כל הכוחות מוכנים לפעולה. ואז – תקלה: מקאפי, אחת מחברות אבטחת המידע שלקחו חלק במבצע, העלתה בטעות לבלוג שלה פוסט ובו הודעה לתקשורת אודות המבצע נגד גיים-אובר זאוס – פוסט שהיה אמור לעלות רק למחרת. אם יבגני בוגצ'ב עוקב אחר הבלוג של מקאפי, הוא יבין במה מדובר וזה יהיה סוף הסיפור. הפוסט נמחק מהאתר במהירות, אבל עכשיו כבר לא הייתה כל ברירה: זה היה עכשיו או לעולם לא. אנשי אבטחת המידע פרצו לרשתות הבוטים של מועדון העסקים והשתלטו עליהן, בזמן שבכל רחבי העולם פרצו שוטרים ובלשים למשרדי חברות אחסון שרתים והחרימו את המחשבים שהיו בשירותה של הכנופיה.



ממקום מושבו לחופי הים השחור ניסה בוגצ'ב להיאבק בחוקרים ולשמר את שליטתו ברשת הבוטים – אך בתוך שעות ספורות הבין שאין לו סיכוי. מבצע טובר, על שלל שיתופי הפעולה הבינלאומיים והמשאבים הגדולים שהושקעו בו, היו גדולים על מידותיו. בצר לו, ניסה לפחות להגן על הנכס החשוב ביותר שנותר לו: מפתחות ההצפנה של כל המחשבים שהיו נגועים בקריפטולוקר. המפתחות האלה, כפי שהסברתי בפרק הקודם, הם הדרך היחידה לפתוח את הקבצים שהצפינה קריפטולוקר, ואם יצליח בוגצ'ב לשמור עליהם הוא יוכל להמשיך ולסחוט דמי כופר מקורבנותיו גם ללא רשת הבוטים הענפה שלו. לרוע מזלו ולמזלם של המשתמשים, הצליחו חוקרי אבטחת המידע למנוע ממנו 'לשלוף' את מפתחות ההצפנה מהשרת שלו ממש ברגע האחרון.



גיים-אובר זאוס וקריפטולוקר הובסו. מועדון העסקים של בוגצ'ב ספג מכה קשה וחבריו נפוצו לכל עבר. נכון לכתיבת שורות אלה, יבגני בוגצ'ב עדיין מסתובב חופשי ברוסיה: ה FBI החליט, בצעד חריג, להעמיד פרס של שלושה מיליוני דולרים לכל מי שימסור מידע שיביא ללכידתו של הפושע החמקמק – הפרס הגדול ביותר שהוטל על עבריין סייבר עד אז. חוקרי אבטחת המידע הקימו אתר מיוחד בו פרסמו את מפתחות ההצפנה שתפסו, לטובת קורבנותיה של קריפטולוקר.


מבט אל העתיד



מבצע טובר היה הצלחה מסחררת, אבל קריפטולוקר ומועדון העסקים של סלביק מסמנים לנו מגמה ברורה ומטרידה מאד בעולם הפשע הממוחשב. שבועות ספורים בלבד אחרי המבצע, כבר הופיעה כופרה חדשה בשם CryptoWall, שהיתה מתוחכמת ומסוכנת לא פחות מקריפטולוקר. הפופולריות של הכופרות ביחס לסוגים אחרים של תוכנות זדוניות משתנה ותלויה בכל מיני גורמים חיצוניים – למשל, כששער הביטקוין חווה התרסקות כואבת לפני שנתיים, גם הפופולריות של הכופרות דעכה לתקופה מסויימת. אבל למרות זאת הכופרות הם איום מוחשי ומסוכן מאד בעולם אבטחת המידע – במיוחד עבור ארגונים ועסקים. ב-2018, למשל, שישה מכל עשרה עסקים בארצות הברית נפגעו מכופרה. חמישה אחוזים מהקורבנות בחרו לשלם את דמי הכופר, שעמדו בממוצע על בין חמישים למאה אלף דולר. עם מספרים כאלה, קל להבין מדוע מתמקדים הפושעים בארגונים דווקא, בניגוד לסחיטה של משתמשים פרטיים שמהם אפשר להוציא כמה מאות דולרים במקרה הטוב. בתי חולים, בפרט, הם המטרות המועדפות על הנוכלים: רשתות המחשוב בבתי חולים הם בדרך כלל מיושנות ולא מעודכנות – רבים מהמחשבים בארגונים כאלה עדיין משתמשים במערכות הפעלה כמו חלונות XP מלפני חמש עשרה שנים – והמידע הרפואי הוא יקר ערך במיוחד: כשחיי אדם נמצאים על הכף, קל לשכנע את בית החולים לשלם את דמי הכופר. עוד ועוד ארגונים נופלים קורבן למתקפות מכוונות, שבהם הנוכל חוקר ולומד לעומק את נקודות החולשה של הארגון ותוקף אותו פעם אחר פעם – עד שהוא מצליח. הכסף הגדול שמתלווה לנוכלויות האלה מאפשר לארגוני פשיעה כמו 'מועדון העסקים' של בוגצ'ב לגייס לשירותיהם מהנדסי תוכנה מעולים, לאו דווקא כאלה שבאים מעולם הפשע הקלאסי. במדינות כמו רוסיה וסין, למשל, ישנו היצע גדול מאד של מפתחים ומהנדסים מצויינים שיוצאים מהאקדמיה או משתחררים מהצבא – אבל עולם ההייטק המקומי לא מספיק מפותח כדי להציע לכל אנשי המקצוע האלה עבודה בשכר טוב. ארגוני הפשיעה יכולים להציע לאנשים האלה שכר שהוא במקרים רבים גבוה בהרבה מהשכר שיקבלו בעולם המסחרי.



אם כן, עושה רושם שאיום הכופרות לא רק שלא הולך להיעלם – הוא אפילו עשוי להתחזק ולהשתכלל בעתיד הנראה לעין. אל המגמות שכבר ציינתי אפשר להוסיף את העובדה שככל שהעולם שלנו הולך ונעשה מחובר ומקוון יותר, וכל מכשיר אלקטרוני מתחבר לאינטרנט ולמכשירים אחרים – "בנק המטרות הפוטנציאליות" של פושעי הסייבר רק הולך ומתרחב. למשל, עד היום התמקדו הכופרות בקבצים חשובים כמו תמונות או מסמכים – אבל קבצים אפשר לגבות, ואם יש לך עותק של התמונה במקום אחר, אז הכופרה היא לא איום כזה נורא. אבל יותר ויותר מהמכשירים הפיזיים שלנו מחוברים היום לאינטרנט: טלוויזיות, מקררים, מכוניות ומה לא. דמיינו לעצמכם שאתם מדליקים את הטלוויזיה, ובמקום ערוץ הספורט אתם רואים על המסך שעון עצר: שלם בתוך שבעים ושתיים שעות, או שתגיד שלום לטלוויזיה. או מתיישבים בכסא הנהג באוטו, וזו ההודעה שמופיעה על הדשבורד. טלוויזיה ומכונית אי אפשר לשחזר מגיבוי, אתם יודעים.

ואם אנחנו מדברים על תרחישים מדאיגים ומכוניות, מה יקרה כשהמכוניות שלנו יהיו אוטונומיות לחלוטין? האם אתם יכולים לדמיין לעצמכם מצב שבו הרכב ששלחתם כדי לאסוף את הילד מהחבר שלו שולח לכם הודעה – 'שלם עכשיו, או ש…' תרחישים כאלה, שפעם אפשר היה לדמיין אותם רק בסרטי מדע בדיוני, כבר לא כל כך בדיוניים.



מה אפשר לעשות נגד האיום הזה? על פי כל הסימנים, לא הרבה: אין תרופת פלא או שינוי מעשי כלשהו בטכנולוגיה הקיימת שיוכלו לפטור אותנו מאימתן של הכופרות. נקודת האור היחידה בסיפור הזה היא שלא רק הפושעים הם אלה שמשתכללים, אלא גם המהנדסים שיוצרים את הטכנולוגיות שלנו. לפעמים זה לוקח הרבה זמן ודורש כמה מכות מכאיבות כדי להעביר את המסר, אבל כל מוצר חדש וכל תוכנה חדשה שיוצאים לשוק הם קצת יותר מוגנים וקצת יותר עמידים בפני מתקפות כאלה מהדור שקדם להן. אחרי הכל, אבולוציה ו"ברירת המתאימים" היא לא רק נחלתם של היצורים הביולוגיים.

ואולי יותר משמעותי – גם אנחנו, משתמשי הטכנולוגיה, הולכים ומשתכללים: בימינו, גם ילדים קטנים כבר לומדים בבית הספר על "הגיינה" בעולם הדיגיטלי – ממה להזהר, מה מותר ומה אסור לחשוף ברשת, ואיך לזהות איומים שונים. אני חושב שההיסטוריה מלמדת אותנו שבטווח הארוך, אם נעשה את הצעדים הנכונים, נוכל להגיע למעין 'שיווי משקל' עדין עם הטפילים והמזיקים הדיגיטליים שמקיפים אותנו בעולם הוירטואלי, כמו שיווי המשקל אליו הגענו עם החיידקים והוירוסים הביולוגים. נחיה ונראה.


ביבליוגרפיה ומקורות:

https://securelist.com/analysis/publications/77544/a-look-into-the-russian-speaking-ransomware-ecosystem/

https://medium.com/un-hackable/the-bizarre-pre-internet-history-of-ransomware-bb480a652b4b

http://blog.checkpoint.com/2016/04/15/kovter-ransomware-the-evolution-from-police-scareware-to-click-frauds-and-then-to-ransomware/

https://krebsonsecurity.com/2015/08/inside-the-100m-business-club-crime-gang/

https://krebsonsecurity.com/2015/02/fbi-3m-bounty-for-zeus-trojan-author/

https://www.secureworks.com/research/cryptolocker-ransomware

http://blog.trendmicro.com/cryptolocker-evolves-new-monetization-schemes/

http://www.bbc.com/news/technology-28661463

https://www.justice.gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware

https://www.wired.com/2017/03/russian-hacker-spy-botnet/

https://www.bromium.com/sites/default/files/bromium-report-ransomware.pdf

http://news.bbc.co.uk/2/hi/technology/5038330.stm

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-evolution-of-ransomware.pdf

http://www.villagevoice.com/news/dr-popp-the-first-computer-virus-and-the-purpose-of-human-life-studies-in-crap-gapes-at-popular-evolution-6659397

http://www.casilli.fr/2009/12/07/the-aids-trojan-horse-disk-20-years-later-a-sociological-exploratio/

https://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network

http://krebsonsecurity.com/2014/07/crooks-seek-rivival-of-gameover-zeus-botnet/

http://www.slate.com/articles/technology/technology/2014/06/evgeniy_bogachev_gameover_zeus_cryptolocker_how_the_fbi_shut_down_two_viruses.html

https://www.justice.gov/sites/default/files/opa/legacy/2014/05/30/appendix-A.pdf

https://www.fbi.gov/news/stories/gameover-zeus-botnet-disrupted

https://krebsonsecurity.com/2015/02/fbi-3m-bounty-for-zeus-trojan-author/

http://garwarner.blogspot.co.il/2012/03/microsoftdcu-fs-isac-and-nacha-vs-zeus.html

https://www.slideshare.net/Cyburbian/aids-pccyborg-trojan-original-diskette-info

https://www.theregister.co.uk/2016/04/20/jigsaw_ransomware/

https://www.tcdi.com/the-psychology-behind-infamous-ransomware/

https://heimdalsecurity.com/blog/security-alert-new-ransomware-donate-earnings-charity/

https://www.sentinelone.com/blog/exploring-psychological-mechanisms-used-ransomware-splash-screens/

https://www.fireeye.com/blog/threat-research/2017/05/wannacry-malware-profile.html

https://www.comparitech.com/antivirus/ransomware-statistics/

https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html



https://www.ranlevi.com/2019/06/12/ep275_ransomware/
https://www.ranlevi.com/2019/06/25/ep276_ransomware-p2/

התשובה: מאיפה באים אוגרים? (Hebrew)

mp3

למה אנשים התחילו לגדל אוגרים, חיית מחמד שאין בה שום תועלת מעשית? השאלה הפשוטה הזאת מביאה לתשובה שכוללת את ראשוני הציונות, פלפולי עברית, חיים נחמן ביאליק וישראל אהרוני. כמו כן: למה תנין הוא לא תנין וצב הוא לא צב.

https://www.ranlevi.com/2019/06/24/hatshova-ep17/