{ }
שני 18 בנובמבר 2019
בפייסבוקבטוויטרבאינסטגרם
נגישות
ידיעות אחרונות
הכי מטוקבקות
    הבניין באבו־דאבי שבו שוכן מטה חברת דארק מאטר בפרסומים שונים מגדירה עצמה החברה כ"שותפה אסטרטגית" של ממשלת איחוד האמירויות | צילום: AFP
    7 ימים • 16.10.2019
    הקוד הפרוץ של לוחמי הסייבר הישראלים
    בגיל 20 ומשהו, אחרי שירות ב–8200 ובשאר יחידות הטכנולוגיה המסווגות, הם מקבלים מציידי ראשים הצעות עבודה מסחררות: בונוסים של מיליונים, בית על החוף ומשכורות של מאה אלף דולר בחודש - רק כדי שיעברו לחו"ל. המדינה לא עושה כמעט כלום כדי לעצור את בריחת המידע החשאי והרגיש הזה מהארץ. וכך קורה, למשל, שבוגרי חיל המודיעין עובדים בשביל חברת "דארק מאטר", שקשורה לסוכנות הריגול של איחוד האמירויות הערביות. כן, קראתם נכון: ישראלים מפתחים נשק סייבר - שמתישהו עלול לשמש לתקיפת ישראל
    רונן ברגמן, איתי אילנאי

    המספר שהופיע על צג הטלפון של א' היה לא מזוהה, אבל בתפקידו הביטחוני הבכיר באחת משגרירויות ישראל בחו"ל, הוא כבר רגיל להפתעות. ובכל זאת, השיחה שאליה נקלע הכתה אותו בתדהמה. מעברו השני של הקו היה צעיר ישראלי, משוחרר טרי מאחת מיחידות הסייבר המובחרות של צה"ל, אלו שהפכו בשנים האחרונות לחוד החנית של המודיעין. בשירותו הצבאי עסק הצעיר בפיתוח כלי סייבר התקפיים מתוחכמים. עכשיו, כאזרח, הוא ביקש טובה: עזרה בהשגת רישיון עבודה במדינה שבה שירת א'. "אני עדיין זוכר את עצמי עונה לטלפון, במרפסת הבית, ואת המשפט הראשון שאותו בחור אמר לי אחרי שהציג את עצמו: 'אני ניתקתי קשר ממדינת ישראל והיום אני מפתח כלי תקיפה למדינות ערב'", משחזר א'. "בהתחלה הייתי בהלם, שאלתי אם מדובר במצלמה נסתרת. תחשבו על אותו בחור בן עשרים ומשהו, שהולך עכשיו לעזור למדינה ערבית לפתח כלי, שברור לך שמחר בבוקר אפשר להשתמש בו כדי לתקוף את הטלפון של הרמטכ"ל! זה מטורף".

     

    מה ענית לו?

     

    "אמרתי לו, 'תקשיב טוב, יכול להיות שמערכת הביטחון לא רודפת אותך, אבל אתה תוקע לה אצבע בעין. אחד כמוך צריך לשבת בכלא. הבעיה היא שעד היום הוא לא יושב בכלא. כמוהו, אני יודע על אנשים נוספים שמידע לגביהם הגיע למשרד הביטחון, ולא נעשה איתם דבר".

     

    א', שפרש לאחרונה אחרי סדרה של תפקידי מפתח במערכת הביטחון, מספר שהשיחה ההיא הטרידה אותו מאוד, והוא החל לברר את הנושא. התברר לו כי בעולם מסתובבים מספר לא מבוטל של יוצאי יחידות הסייבר ההתקפי של צה"ל, שמתפתים להצעות נדיבות מאוד מצד חברות בחו"ל, הרחק מעיניהן של מערכות הביטחון והמודיעין הישראליות. בחלק מהמקרים, אנשי הסייבר הללו מספקים שירותים לחברות שלא תמיד ברור מי עומד מאחוריהן ומה היעד הסופי של המוצר שפיתחו. "מדובר באיום על הביטחון הלאומי", מזהיר א'. "מה שקורה היום הוא שמדינות זרות קונות את המידע הצה"לי בהרבה מאוד כסף. אני, שהייתי חתום בקריירה שלי על סודות מדינה, מעולם לא חשבתי לספר אפילו לאשתי במה אני מתעסק. אבל כשאתה יוצא בגיל 23־24 מהצבא ומציעים לך סכומים של חמש ספרות בדולרים, נטו לחודש, ההבדל בין טוב לרע, בין מה מותר למה אסור, מתחיל להיטשטש. כל סוכנויות הביון הישראליות מבינות את הבעיה ושצריך לטפל בה, אבל לא עושות כלום. הסיבה היא שלמערכת אין שיניים כדי לפעול נגדם".

     

     
    מתקן של 8200. “הרשויות לא לגמרי יודעות איך לאכול את החיה הזאת של הסייבר" | צילום: יריב כץ
    מתקן של 8200. “הרשויות לא לגמרי יודעות איך לאכול את החיה הזאת של הסייבר" | צילום: יריב כץ

     

     

    גם גורמים אחרים בתעשיית הסייבר בישראל מספרים על בוגרי יחידות צבאיות מסווגות כמו 8200 והיחידה הטכנולוגית של אגף המודיעין, שעשו דרכם בשנים האחרונות לחברות זרות בחו"ל, שבהן גם כאלו בבעלות מדינות ערב. יש בין אנשי הסייבר הללו כאלו שאף מצטיידים לפני צאתם לחו"ל בחוות דעת משפטיות כיצד לנהוג לנוכח החוק הישראלי. הצעיר ששוחח עם א', למשל, קיבל ייעוץ להצהיר כי ניתק קשר עם המדינה, ולכן לכאורה חוקי היצוא הביטחוני לא תקפים כלפיו. "זה קורה מדי פעם", אומר עו"ד המתמחה בנושא, שנוהג לסרב תדירות לבקשות כאלו של אנשי סייבר. "כעורך דין לפעמים מגיעים אליי אנשים שעושים בעיניי דברים לא נכונים, ואני אומר להם את זה".

     

    לא מעט מבוגרי היחידות הללו קיבלו בשנתיים האחרונות פניות מגופים השייכים או מספקים שירותים לחברה בשם Dark Matter ("חומר אפל"), שעל פי פרסומים בעולם, היא למעשה הזרוע המסחרית של אגף הסייבר בשירות המודיעין של איחוד האמירויות הערביות. וכן, כמה מהישראלים שקיבלו פניות, גם החלו לעבוד עבור החומר האפל.

     

    לא רק חברות זרות מנסות לגייס את מומחי הסייבר הישראלים. גם אנשי עסקים ישראלים – רבים מהם בעצמם בכירים לשעבר בקהילת המודיעין – פותחים חברות בחו"ל, הרחק מהפיקוח הנוקשה של משרד הביטחון, ומגייסים אליהם את בוגרי היחידות של צה"ל. החשש: ידע וניסיון שנרכש בצה"ל יזלוג למדינות זרות, לא כולן חובבות ציון.

     

    הפיתוי המרכזי של בוגרי היחידות הללו הוא כסף. הרבה מאוד כסף. בהתכתבות שהגיעה לידי "ידיעות אחרונות", אומר משוחרר 8200 טרי ל"צייד ראשים" (הכינוי לאדם שתפקידו לאתר אנשי מקצוע מובילים), שאם זה לא יותר מ־40 אלף דולר לחודש, אין בכלל על מה להתחיל לדבר. צייד הראשים, אגב, עונה לו שאין שום בעיה והוא ירוויח הרבה יותר. במקרה אחר מציע צייד ראשים לבוגר היחידה לקחת איתו לחו"ל את כל הצוות שלו מ־8200 ו"לקבל תנאים שבאמת אין היום אף ארגון שמסוגל להתחרות בהם". זה כולל "רילוקיישן עם נוף אל הים", רמז למגורי יוקרה. עדויות אחרות שהגיעו אלינו אף נקבו בהצעות שהגיעו ל־100 אלף דולר בחודש, לא כולל בונוסים.

     

     
    מטה חברת NSO בישראל. “בדיוק בגלל זה האמירויות הקימו את דארק מאטר" | צילום: אוראל כהן
    מטה חברת NSO בישראל. “בדיוק בגלל זה האמירויות הקימו את דארק מאטר" | צילום: אוראל כהן

     

     

    ×

     

    היחידות הטכנולוגיות של מערכת הביטחון נחשבות מאז שנות ה־90 לחממת ההיי־טק הישראלי. חיילים וקצינים רבים שמשרתים ביחידות הללו עוברים אחר כך בטבעיות לשוק הפרטי, וחלקם ממשיך לעסוק באותו תחום. ממילא כל עוד החברה היא ישראלית, חלות עליה מגבלות לגבי מה היא יכולה למכור ולמי.

     

    דוגמה בולטת לחברה ישראלית כזו היא NSO. מקימי החברה הבינו שאפליקציות נפוצות כמו ווטסאפ וטלגרם גורמות למדינה להפוך למעשה לעיוורת. גם אם גורם המודיעין מצליח להתחבר לקו הנתונים, הוא יקבל קוד לא ברור שייקח לו שנים לפצח. אנשי החברה פיתחו תוכנה בשם "פגאסוס", שחודרת לטלפונים ו"לוכדת" את ההתכתבות לפני שהטקסט עובר קידוד. עם הכנסות של מאות מיליוני דולרים בשנה, הפכה NSO למובילה בעולם בתחום הפריצה לטלפונים ניידים ועוררה גם לא מעט ביקורת בשל כך: מצד אחד, זה כלי שמאפשר מעקב אחרי ארגוני פשיעה, טרוריסטים וסוחרי נשק; מצד שני, עלו טענות כי "פגאסוס" שימשה ממשלים למעקב אחרי עיתונאים ופעילי זכויות אדם. יש הטוענים בקהילת המודיעין שגם NSO השתמשה בתחילת דרכה בידע שנרכש במערכת הביטחון, אבל בחברה מכחישים זאת וטוענים שכל הידע נולד ופותח אצלה. כך או כך, גם NSO מעסיקה במערך הפיתוח והייצור שלה בעיקר יוצאי יחידות טכנולוגיות של קהילת המודיעין.

     

     
    חיילים ב-8200. “יש פה שטח אפור שניתן לשחק בו"
    חיילים ב-8200. “יש פה שטח אפור שניתן לשחק בו"

     

     

    על פי פרסומים בחו"ל, NSO מכרה מוצרי סייבר גם לאיחוד האמירויות, הנסיכות הערבית העשירה שבמפרץ הפרסי. באיחוד האמירויות, נטען בפרסומים זרים, עשו לא מעט שימוש בכלים ההתקפיים של NSO. כך, למשל, נחשפו העברות כספים של מאות מיליוני דולרים במזומן מהאויבת המושבעת של האמירויות, קטאר, לחיזבאללה, לכוח קודס של משמרות המהפכה וגם לדאעש. הפרסומים הביכו מאוד את קטאר, והניעו מלחמת סייבר כוללת במפרץ, שלתוכה, איך לא, נכנסו גם הרוסים.

     

    התשלום שמקבלת NSO עבור שירותיה הוא בדרך שמכונה בעגה המקצועית "שיטת האסימונים": מדינה מסוימת רוכשת את המערכת – עלותה מוערכת בכמה עשרות מיליוני דולרים – ומשלמת לחברה עוד סכום מסוים עבור כל תקיפה. יש הערכות הטוענות כי איחוד האמירויות שילמה ל־NSO קרוב ל־100 מיליון דולר, וזה חוץ מסכומי העתק שהנסיכות שילמה לחברות סייבר אחרות עבור שירותים נוספים. כסף הוא אמנם לא בעיה ממש גדולה לנסיכות שלמעשה צפה על נפט, אבל אף אחד לא אוהב לשלם כל כך הרבה. אלא שחוץ מזה, אם הפרסומים בנושא מדויקים, את המודיעין של איחוד האמירויות הדאיגה מן הסתם מגבלה אחרת: NSO לא מאפשרת פריצה לטלפונים של ישראלים ואמריקאים. אז הם החליטו להפוך בעצמם למעצמת סייבר. ומהר.

     

    לפני כשנתיים החלו בכירים ב־NSO להיתקל בתופעה מוזרה: עובדים בדרגים שונים, כולם הרוויחו יפה וזכו להערכות גבוהות ולתמריצים, החלו להתפטר בתירוצים כאלה ואחרים.

     

    כשעוד שני עובדי מפתח כאלו התפטרו, החליטו בחברה לשכור חוקרים פרטיים שעקבו אחריהם. שני העובדים, אגב, עסקו במציאת דרכים לפרוץ לטלפונים שבהם מותקנת מערכת ההפעלה הנפוצה בעולם, אנדרואיד.

     

    המעקבים אחר השניים בארץ לא העלו דבר, אבל יום אחד מצאו עצמם שני צוותי המעקב נוסעים יחד לאותו מקום: נתב"ג. איכשהו, הצליחו גם החוקרים לעלות על אותו מטוס. "בשדה התעופה בלרנקה אוסף אותם רכב הסעות שמסיע אותם למלון 'אטלנטיקה' בלימסול", נכתב בדוח החקירה הפרטית, שהגיע לידי "7 ימים". "לאחר מכן הם נאספים במרצדס לבנה על ידי אישה אוקראינית בשם קטרינה".

     

    החוקרים צפו בשניים נכנסים למשרדי חברה בלימסול. בירור העלה כי המשרדים נשכרו על ידי גרמני תושב דובאי. שני הישראלים שהו בקפריסין כשבוע, במהלכו, על פי דוח החוקרים, הם פגשו שם גם עובדים לשעבר נוספים של NSO, בהם ישראלי נוסף, ש"היה מועסק בחברה כחוקר במשך קצת למעלה משנתיים ועזב... העובדה כי פגישה זו לא התנהלה בארץ, יש בה כדי להעיד על כך שככל הנראה השיחה עסקה במתן שירותים אשר לא ניתן לספקם מישראל". בהמשך אותו שבוע הם פגשו גם את הגרמני תושב דובאי ואדם נוסף, בעל דרכון פקיסטני. "לאחר הפגישה במסעדה, 'הגרמני' ו'הפקיסטני' טסים יחד לדובאי במחלקה ראשונה".

     

    על פי דוח החוקרים, בשבועות שלאחר מכן נכנסו שני הישראלים למעין שגרה: הם עלו על טיסה לקפריסין בתחילת השבוע, שהו שעות ארוכות במשרדים, התגוררו בדירה שכורה בצמוד להם וטסו חזרה לארץ בסופ"ש. אגב, מציין הדוח, אשתו של אחד מהם, שנותרה בארץ, משרתת בקבע בצה"ל.

     

    ×

     

    החברה הקפריסאית שבה החלו שני הישראלים לעבוד מעניקה שירותי איתור ומחקר חוּלְשוֹת (בעגה המקצועית, "חור" בתוכנה, שדרכו מתאפשרת פריצה) ופיתוח כלי סייבר התקפיים עבור חברת־בת של דארק מאטר. כן, אותה חברה שאמורה להפוך את איחוד הנסיכויות למעצמת סייבר עולמית. כשקיבלו את דוח המעקב, יצאו אנשי NSO הנרגזים לדובאי ופגשו את מי שהיה מנכ"ל דארק מאטר באותה עת. הוא אישר כי השניים עובדים עבורו, אך טען כי הם פנו אליו, ולא הוא אליהם. כמו כן, הוא אמר שיש ישראלים נוספים שעובדים עבורו, כולל קצינים לשעבר ב־8200 והם ממוקמים בסינגפור ובמדינות נוספות.

     

    דארק מאטר הוקמה ב־2014 בידי NESA, גוף איסוף המודיעין הטכנולוגי של ממשלת איחוד האמירות. הממשל מממן חלק מתקציב החברה והוא גם אחד הלקוחות המשמעותיים שלה. משרדי החברה אף שוכנים שתי קומות בלבד מתחת למשרדי NESA, באותו בניין באבו־דאבי, וסמנכ"ל המחקר של דארק מאטר החזיק בעבר באותו תפקיד ב־NESA. בפרסומים שונים מגדירה עצמה דארק מאטר כ"שותפה אסטרטגית" של ממשלת האמירויות.

     

    עם הקמתה יצאה דארק מאטר למסע גיוס נרחב של כוח אדם, במיוחד של אנשי סייבר עם ניסיון בחדירה לטלפונים ניידים ובפריצה למצלמות אבטחה. "בעשר השנים הקרובות, כל מדינה מתקדמת בעולם תרצה לבנות לעצמה יכולת עצמאית בתחום הסייבר האיסופי, אולי גם ההתקפי בהמשך, וחלקו הגדול יהיה בסקטור האזרחי", אומר בכיר לשעבר במערכת הביטחון. "בדיוק בגלל זה האמירויות הקימו את דארק מאטר".

     

    החברה לכדה מהר מאוד את תשומת הלב של כמה כלי תקשורת בעולם. מתחקירים שפורסמו ב"ניו יורק טיימס" וברויטרס נטען כי דארק מאטר עוסקת בהאזנות לא רק לאזרחי הנסיכות, אלא גם לאזרחים זרים, בהם אמריקאים, וכמובן – מתנגדי המשטר. המעקבים הללו, סיפרו עובדים לשעבר של דארק מאטר, היו חלק מפעילות שזכתה לשם הקוד "פרויקט עורב" ונוהלה מקרוב בידי סוכני NESA הממשלתית. "כמו אח גדול על סטרואידים", תיאר עובד לשעבר בדארק מאטר את פעילותה.

     

    התחקיר של רויטרס אף חשף כי ב־2016 האף־בי־איי פתח בחקירה, לאחר שאזרחים אמריקאים שעבדו בעבר כמפתחי סייבר ב־NSA האמריקאי גויסו בידי דארק מאטר, ועלה חשד כי בפועל הם הפכו למרגלים שפועלים נגד בני ארצם. כמה מהעובדים נעצרו בשדה התעופה בשובם מאבו־דאבי לארצות־הברית ותושאלו בידי סוכני הבולשת. החקירה עדיין בעיצומה ולא ברור כיצד תסתיים.

     

    ב־NSO טוענים כי גם החומר שאספו במעקב בקפריסין הועבר לידי מערכת הביטחון. ככל הידוע, נכון לכתיבת שורות אלו לא נעשה בנידון דבר. ייתכן שהסיבה לכך היא משפטית: לכאורה, אף אחד מהישראלים הללו לא עבר על החוק, ואין כל מניעה שהניסיון המקצועי שצברו ישרת אותם באזרחות.

     

    יש הטוענים שזו לא הסיבה היחידה: על פי פרסומים זרים, איחוד האמירויות מקיימת קשרים חשאיים ענפים עם ישראל וקהילת המודיעין שלה. קשרים כאלו, עם מדינה ששוכנת על חוף מול איראן, יכולים להיות חשובים הרבה יותר מאשר כללים כאלו או אחרים. "אתה רוקד פה ריקוד כפול", מסביר גורם ביטחוני לשעבר הבקיא בתעשיית הסייבר. "יש למדינת ישראל הרבה אינטרסים מול איחוד האמירויות וחשיבות אסטרטגית ליחסים איתה. למרות שלא משנה איך יציגו את זה, דארק מאטר היא חברה ממשלתית של איחוד האמירויות, שהוקמה כדי לפתח יכולות של סייבר התקפי".

     

    לדברי הגורם, בתקופה האחרונה מבצעת דארק מאטר גיוס נרחב מתעשיית הסייבר הישראלית, עם עדיפות לבוגרי יחידות הסייבר ההתקפי של צה"ל. "דארק מאטר צדים ראשים בתוך החברות הישראליות", הוא אומר. "הם יודעים הכל, מי עובד איפה ועל מה. הם פנו לחבר'ה איכותיים מאוד, שנמצאים בחזית הטכנולוגיה, ואמרו להם: בואו אלינו לפתח מוצרים התקפיים".

     

    ויש להניח שמדובר בהצעות מפתות.

     

    "מאוד מפתות. הם באים ממדינה בלי מגבלות תקציב, ומציעים סכומים שאנחנו הישראלים לא יכולים לעמוד בהם. בתעשייה מדברים על מיליון דולר בשנה או 100 אלף דולר בחודש".

     

    לאחרונה גילו ב־NSO שכמה עובדים בחנו אפשרות שצוות שלם על כל עובדיו יעקור לדארק מאטר. לחלק מהעובדים הללו הציעו ציידי ראשים בונוסים של מיליוני שקלים.

     

    בשיחות טלפון מקפריסין אישר אחד העובדים הישראלים שעזבו את NSO כי שירת ב־8200 וחברו אישר כי שירת ביחידה מסווגת. העובד טען כי הוא מכיר עוד אנשי סייבר מהצבא אשר נקלטו לעבודה בחברות בקפריסין. הוא גם סיפר "שחברים שלי, לא אני", שעובדים בחברות סייבר בקפריסין, קיבלו טלפונים מנציג המלמ"ב (הממונה על הביטחון במערכת הביטחון), שטען כי עלו חשדות שהם משתמשים בידע שצברו בצה"ל, ודרש מהם "להפסיק זאת לאלתר". עם זאת, לדבריו, אף אחד מהם לא נקרא פיזית לחקירה ובוודאי שלא הועמד לדין.

     

    שניהם טוענים שכלל אין בעיה עם מה שהם עושים. "הידע שלנו מהצבא כבר התיישן, אני ממילא עוסק בתחום אחר לחלוטין", אומר אחד מהישראלים. "יש היום חוקרי חולשות ביחידות הרלוונטיות של גוגל, שהם הרבה יותר טובים מכל המומחים של 8200". לשאלה מה בדיוק הוא עושה בחברה הקפריסאית, משיב חברו כי הוא "חוקר", מבלי לפרט. שניהם מוסיפים שלפני שהחליטו לעבוד עבור חברת סייבר זרה הם קיבלו חוות דעת משפטית.

     

    מי שהעניק להם את אחת מחוות הדעת הללו, הוא עו"ד דניאל רייזנר, ממשרד הרצוג, פוקס נאמן. "החברה בקפריסין אמנם מוכרת יכולות לאיחוד האמירויות, זה לקוח דרמטי שלה, אך היא לא נמצאת בבעלותו של מישהו מאיחוד האמירויות", מבהיר עו"ד רייזנר. לדבריו, בחברה עובדים כמה ישראלים, אך הם מהווים חלק קטן מכוח האדם שלה. "מי שמנסה לצייר את החברה הזו ככזו שלקחה ישראלים מיחידות מיוחדות והביאה אותם לקפריסין כדי לעקוף את הפיקוח הישראלי, מטעה".

     

    מדוע, אם כך, שני העובדים הללו ביקשו ממך חוות דעת משפטית?

     

    "כיוון שהם שאלו את אותה שאלה כמוכם: האם זה מותר או אסור. אמרתי להם, שכל עוד אתה לא לוקח איתך ידע של העולם הביטחוני הישראלי, זה בסדר. אם עבדת בעולמות האלה ויש לך ידע ביטחוני ישראלי, אז אתה לא רשאי לתת אותו לגורם זר ללא רישיון, ולא משנה אם זה בקפריסין, ישראל או גוואטמלה. אבל אם זה לא קשור לאותו עולם תוכן, אז הם יכולים לעשות מה שהם רוצים. התברר שהתשובה היא שהם לא עובדים באותו תחום".

     

    לא כולם משתכנעים מדבריו של רייזנר. "מה שקורה בפועל בחלק מהמקרים הוא שהצעירים האלה מוציאים את הידע הייחודי שפותח ביחידות הסייבר בצה"ל", טוען גורם בתעשיית הסייבר הישראלית. "זה מאוד פשוט: טאלנטים מ־8200 עובדים עבור חברות שמייצרות יכולות ייחודיות למדינות ערב".

     

    יש גם תעשיות אזרחיות בעולם שמפתחות סייבר התקפי, כמו היכולת לפרוץ לטלפונים ניידים.

     

    "נכון, אבל כשאתה מדבר על השלב הבא, כמו תקיפה, למשל, ולא רק איסוף מודיעין, ברור לך שזה תחום הידע של החבר'ה מיחידות הסייבר הישראליות. בעיניי, חלק מהחבר'ה האלה עושים משהו שהוא פסול. הם צריכים להבין מה טוב ומה רע, והם לא מבינים את זה בגיל הזה".

     

    גורם משפטי הבקיא בעולם הסייבר טוען כי השאלה בכלל לא צריכה להיות כן־חוקי או לא־חוקי. "בסופו של דבר, ההיבט הציוני־מוסרי־אתי הוא העניין המוביל, ולא העניין החוקי", הוא מסביר. "בזה אני חושב שאנחנו לא תמיד עושים מספיק, בחינוך, בהסברה ובכלים שאנחנו נותנים לאנשים האלה. וכן, צריך גם להבין שיש בשוליים אנשים שלעולם לא תצליח למנוע מהם לעשות דברים כאלה בשביל כסף".

     

    ×

     

    וכסף זה שם המשחק כאן. עולם הסייבר בכלל, והסייבר ההתקפי בפרט, בנוי סביב טאלנטים: מפתחים שיודעים לצלול אל תוך מערכת הפעלה, לאתר בה את אותן חוּלשות, וכך לחדור לתוכה ולאסוף באמצעותה מודיעין רב־ערך. למי שיכול לעשות את הדברים האלו מוצמד תג מחיר של חמש ולפעמים שש ספרות. בדרך כלל בדולרים.

     

    "אם רב־סרן שעוסק בסייבר ב־8200 מקבל 25 אלף שקל ברוטו בחודש, ברגע שהוא יצא לשוק הפרטי, הוא ירוויח 50־55", אומר בעלים של חברת סייבר ישראלית העוסקת בתקיפה. "אם הוא יעבור לאחד ממרכזי הפיתוח של החברות הזרות הגדולות, הסכום יזנק ל־70־75 אלף שקל לחודש. יש גם יותר".

     

    כמה יותר?

     

    "יש בני 20 שמקבלים ממני 100 אלף שקל בחודש", הוא אומר. "זה סכום שאני מרגיש שמשחית אנשים".

     

    הסיבה לסכומים המטורפים הללו היא שאנשי סייבר התקפי שהשתחררו ממערכת הביטחון הישראלית הם נדירים, אולי כמה עשרות בשנה. לכן, חברות סייבר מעסיקות "ציידי ראשים" מיוחדים, שזוכים לתמורה נאה אם יביאו בוגר 8200 כזה לחתימה על חוזה. גורם הבקיא ברזי תעשיית הסייבר הישראלית אומר, "שהמאבק הזה על אנשים הפך לגלובלי. השוק הישראלי מוגבל בכמה שאנחנו יכולים לשלם, והמדינות הבינו שהן צריכות לקנות אנשים, לא טכנולוגיות. יש כמה מעיינות גדולים בעולם לטאלנטים של סייבר התקפי. אם מסתכלים למשל על חוקרי חולשות, יש את ארה"ב, בריטניה וישראל. בשאר העולם יש האקרים בודדים טובים, למשל יש בחור קוריאני טוב, מקסיקני טוב וכמה גרמנים. ברגע שהגעת לאנשים האלה, אתה מתחיל להציע להם כסף".

     

    חשוב להדגיש: ממש לא מדובר בכל בוגרי היחידות הללו. יש לא מעט ישראלים, שלמרות הכל, הפיתוי הזה לא משכנע אותם. "אלה שהולכים ועובדים בחברות זרות עבור בצע כסף מוציאים שם רע לאנשים כמוני, ואנחנו כועסים עליהם מאוד", אומר ד', ישראלי שעובד בחו"ל ועוסק בסייבר הגנתי. "החברה שלי, שממוקמת מחוץ לישראל, לא צריכה להיות מפוקחת על ידי אפ"י (אגף הפיקוח על היצוא הביטחוני במשרד הביטחון – ר"ב, א"א), ובכל זאת הכנסנו את עצמנו לפיקוח. אפילו אם מגיע אליי לקוח פוטנציאלי, אני פונה לקבל אישור מאפ"י לפני שאני חושף בפניו את היכולות שלי. שום סכום כסף לא שווה את זה שאני לא אישן טוב בלילה".

     

    גם י', צעירה שהשתחררה משירות ביחידת סייבר, אמרה "לא". במקרה שלה, ניסיון הגיוס החל בווטסאפ ממספר שלא הכירה, הרשום באחת ממדינות אסיה. "הוא כתב בעברית וסיפר כי קיבל את השם שלי מ'חברים שלך מהיחידה', והיה די בקיא במה שעשיתי ובתחום המסוים והמאוד ייחודי שבו עסקתי", משחזרת י'. "ממה שהבנתי ממנו, הוא חבר בקבוצה של בוגרי 8200, שמבלה את זמנה במתקן אירוח כלשהו, מלון או בית נופש, על אחד מחופי הים בתאילנד, ושם הם חיים, מבלים ועובדים. הם עוסקים בחקר חולשות ומסחר בהן. הוא אמר שהם עושים גם עבודות פרילנס עבור חברות ישראליות, וגם עבור גורמים בינלאומיים שונים". הצעירה החליטה להשיב להצעה בשלילה, למרות "שהוא התחיל לדבר על כסף, המון כסף שאפשר להרוויח מעבודה איתם. סכומים מטורפים".

     

    החברה הזו בתאילנד היא לא משהו חריג. בשנים האחרונות בכירים לשעבר במערך הסייבר הישראלי עקרו לחו"ל והקימו שם חברות, הרחק מהפיקוח של משרד הביטחון. בחלק מהמקרים הם פונים לציידי ראשים ישראלים ומבקשים מהם: תשיגו לנו בוגרי 8200 ושאר היחידות. "על מנת לאתר את האוכלוסייה הזו, יש צורך בהשקעת משאבים, ביכולות, בידע ובטכניקות גיוס שונות", אומר עופר לקס, "צייד ראשים" מומחה באיתור בכירים וטאלנטים בחברת Hunter Executive Placement (IRC Israel). "הטאלנטים הנדירים ביותר לעיתים כלל לא נמצאים ברשתות החברתיות, והגישה אליהם מבוססת על טכניקות אחרות. אף אחד לא כותב בקורות החיים שלו או בלינקדאין, 'עברתי הכשרה מיוחדת ומסווגת'".

     

    לכן, לקס ועמיתיו משתמשים בטכניקות שונות לגיוס. לאחרונה, למשל, החלו בוגרי יחידה קטנה וממודרת לקבל ממנו פניות באמצעות הרשת החברתית לינקדאין. הם תהו איך הוא הצליח לאתר את השמות שלהם.

     

    לקס יצא לגיוס הזה מטעם חברת WiSpear, חברת סייבר הממוקמת בקפריסין. את החברה מנהלים שני קצינים בדימוס, טל דיליאן ועוז ליב, שניהם פיקדו בעבר על היחידה הטכנולוגית של אגף המודיעין, אחת מספקיות הטאלנטים המרכזיות של עולם הסייבר ההתקפי.

     

    ההתכתבות בין לקס לבין אחד מבוגרי היחידה הגיעה לידי "7 ימים" ומספקת הצצה לעולם החשאי של גיוס טאלנטים לחברות סייבר. "ניחשתי לפי הפרופיל שלך שכנראה אתה בוגר קורס אר"מ (אולפן ריתוך מיוחד, קורס הסייבר של 8200 – ר"ב, א"א). הייתי שמח להתייעץ איתך בנושא השמשת חולשות ו'reverse engineering'", כותב לקס לאחד מהם.

     

    איש הסייבר: "קצת רקע. מי אתה? פשוט עוד אנשים שאני מכיר קיבלו הודעה ממך".

     

    לקס: "אני יכול לפרט לך בטלפון. זה לא משהו לכתוב כאן. יהיה לך זמן לשיחה טלפונית קצרה?"

     

    איש הסייבר: "לא תודה. מתנצל, אבל אני לא מכיר אותך ואם זה לא משהו שאפשר להתכתב עליו בלינקדאין, כנראה אין לנו על מה לדבר".

     

    לקס: "מבין את דברך. אתן מעט רקע: אני חתום על NDA (הסכם סודיות – ר"ב, א"א) ולכן קצת קשה לי לפרט בכתב. אני מומחה איתור. אני מאתר ארמנקים עבור משימה ספציפית של השמשת חולשות, שמובילים שני מפקדים בדימוס (פרטים יימסרו כמובן רק בעל פה). הם הנחו אותנו לחפש רק כאלה. אשמח לפרט יותר בעל פה".

     

    איש הסייבר: "לא מעוניין. תודה".

     

    לקס: "מתוך מה שביררתי שמותר לי לומר: במידה ויש פתיחות ורצון ללמוד חקירת מובייל והשמשת חולשות מובייל, יש לי משהו שישדרג אותך מקצועית, ישדרג אותך פיננסית, בנוסף יש את הדובדבן של הקצפת: רילוקיישן מול הים".

     

    איש הסייבר: "מעריך את זה, פשוט לא חושב שזה מה שאני מחפש עכשיו, רילוקיישן אני יכול לעשות היום, ומבחינת שכר אני מרוויח יפה גם ביחס לאנשים שבסייבר התקפי, או עובדים בקורפורייט, אבל מעריך את הפנייה".

     

    לקס: "מבחינת שכר, לא משנה כמה אתה מרוויח היום, נאמר לי ששכר לא יהיה הבעיה. הייתי שמח לחבר אותך איתם (הכוונה למפקדי היחידה - ר"ב, א"א) שתשמע מה יש להם לומר. לכם בטח תהיה שפה משותפת (אתם באים מאותה היחידה בדיוק). יתר על כן, אם תרצה לקחת איתך את הצוות שלך עמו עבדת, הם מוכנים לקלוט את כולם במידה ואתם עומדים בדרישות. כלומר תוכל לעבוד עם החברים שלך, ולקבל תנאים שבאמת אין היום אף ארגון שמסוגל להתחרות בהם".

     

    טל דיליאן עצמו אומר שאין כל בעיה בניסיון הגיוס הזה. "כשמדינת ישראל רוצה שלא יגייסו אנשים מסוימים, היא יודעת לעשות את זה", הוא אומר. "גם הוצאת רופאים מומחים מישראל לפאלו־אלטו עושה נזק למדינה".

     

    יש הבדל בין רופאים לבין מומחי סייבר התקפי.

     

    "זה אתה החלטת, בנית מודל ערכי מסוים שאני לא מסכים איתו. כתוב באיזשהו מקום במדינת ישראל שזה אסור? עד כמה שאני מבין את החוק במדינת ישראל, שעוד לא הפכה להיות טוטליטרית, כל מה שלא אסור, עדיין מותר. ישראל לא אמרה לאנשים האלה אל תצאו לחו"ל, כמו שעשו הרוסים למדענים שלהם".

     

    ×

     

    במידה רבה, דיליאן צודק. מדינת ישראל לא אסרה בחוק על יוצאי יחידות הסייבר שלה לעבוד בחו"ל. "נכון, אי־אפשר לסגור בחקיקה את התחום הזה לגמרי", אומר גורם משפטי הבקיא בנושא. "אבל מצד שני, אי־אפשר לדרוש מאנשים שמשתחררים מהצבא לעשות 'דיליט' על הכל. לכן צריכות להיות הגדרות מאוד ברורות. מגיעים משוחררים בני 25־26 ושואלים מה מותר לי, מה אסור, ואין מה להגיד להם. יש פה שטח אפור שניתן לשחק בו". עם זאת, לדבריו בתקופה האחרונה מתקיימים במשרד הביטחון דיונים בנושא, במטרה לפתור את הבעיה.

     

    למה זה כל כך מורכב? למה שהמדינה לא פשוט תאסור על העסָקה כזו, או תחייב תקופת צינון ארוכה לפני מעבר למגזר הפרטי? "כי אם אתה תגיד לצעירים בגיל 18 או 19 שמתגייסים ליחידות הסייבר שאסור יהיה להם אחר כך לעבוד בתחום בחו"ל או שיהיו חייבים צינון", מסביר גורם שמכיר מקרוב את הנושא, "אתה תישאר בתוך זמן קצר בלי מערך סייבר צבאי למדינת ישראל. אף אחד לא יסכים לשרת שם".

     

    אבל מצד שני, יש שטוענים שמה שקורה כרגע בשטח, הוא פשוט אבסורד. "זה מצב בלתי סביר", אומר גורם ביטחוני לשעבר. "כשאני השתחררתי מצה"ל, נאלצתי להמתין במשך שנתיים של צינון לפני שפניתי למגזר הפרטי. במקרה של האנשים האלה, זה לא קיים. אתה יוצא מיחידת הסייבר הצבאית, ויום אחרי זה אתה עובד בשביל דארק מאטר".

     

    הפיקוח על הנושא מוטל על כתפיהם של אנשי אגף אפ"י במשרד הביטחון. לצד מחמאות על עבודתם הקפדנית, יש גם לא מעט ביקורת על פיקוח־יתר. "הרשויות לא לגמרי יודעות איך לאכול את החיה הזאת של הסייבר", מסביר איש טכנולוגיה בכיר. "או שאין רגולציה או שיש עודף רגולציה. התוצאה היא שמאוד קשה לעבוד בארץ".

     

    הטענה של גורמים רבים בתעשייה היא שהמגבלות הקשוחות הללו הן הסיבה שבגללה אנשי סייבר ישראלים מחליטים להקים חברות בחו"ל, ושהמידע זולג מהארץ. במילים אחרות, המדינה רצתה לשים יד על השיבר, אבל גרמה להצפה שמוטטה את כל הסכר.

     

    "המדינה בעקיפין מעודדת במידה מסוימת תופעות כאלה, על ידי מדיניות היצוא", מסביר עו"ד יובל ששון ממשרד מיתר, המתמחה בייעוץ לחברות סייבר. "מדיניות היצוא של ישראל מאוד מחמירה, מתוך אינטרסים טובים וצודקים. אבל בהיותה כזו, היא מעודדת אנשים טובים ללכת ולהקים את התשתיות העסקיות שלהם בחו"ל. כי כשאתה פועל בחסותה של מדינת ישראל אתה הרבה יותר מפוקח, וכשאתה יותר מפוקח מהמתחרים שלך אתה בחיסרון גדול מולם".

     

    "אנחנו מבריחים את החברות הישראליות החוצה עם רגולציה בלתי אפשרית", אומר בעל חברת סייבר שפועלת בישראל. אחת הדוגמאות הבוערות לכך היא הוויכוח שמתרחש בימים אלו סביב השימוש בטכנולוגיית ה"זירו קליק": בעבר, כאשר התבצעה תקיפה של טלפון נייד במטרה לפרוץ אליו, היה צורך לשלוח למכשיר הודעה (סמס או ווטסאפ), במטרה שהיעד יפתח אותה. תהליך זה נקרא "וואן קליק" (לחיצה אחת). לאחר מכן התפתחה טכנולוגיית הזירו קליק, שמאפשרת פריצה לטלפון גם ללא צורך בהקלקה או בכל פעולה אחרת מצד המטרה.

     

    "עד שאתה מקבל את הרישיון, זה כבר לא אקטואלי", אומר גורם בתעשיית הסייבר בישראל. "ההחלטות מתבצעות בקצב של נשק מהעולם הישן, כמו אף־16, מערכות שדורשות תהליך פיתוח של שנים. עולם הסייבר עובד אחרת, הוא רץ קדימה. יש סיפור על חברה ישראלית שטסה לקנות חולשה מהאקר בחו"ל, ועד שהם נחתו עם הדיסק־און־קי בנתב"ג, החולשה כבר פוּצ'פְצ'ה (ביטוי סלנג מקצועי, שפירושו שחברת התוכנה גילתה את החולשה והוציאה עבורה פֵאץ', "טלאי", לסגור את הפרצה – ר"ב, א"א).

     

    "אז נוצר מצב שבו כולנו מפסידים", ממשיך הגורם. "היזמים שהיו יכולים להביא לפה מיליארדים יוצאים לחו"ל, הצעירים שעושים רילוקיישן עלולים להפוך לעבריינים, והמדינה לא באמת מצליחה להחזיק את הידע אצלה".

     

    הנה דוגמה מצוינת: אל"מ (מיל') טל דיליאן, איש הסייבר הישראלי הבכיר, הקים ב־2011 חברה בשם "סירקלס". המוצר שפיתחה החברה מאפשר לאַכֵּן (למצוא מיקום) כל טלפון סלולרי בתוך שש שניות, רק באמצעות המספר שלו. למודי ניסיון, דיליאן ושותפיו רשמו את החברה בקפריסין ופתחו מרכז מחקר בבולגריה. בתוך שלוש שנים סירקלס כבר גילגלה יותר מ־50 מיליון דולר במכירות, בעיקר באמריקה הלטינית, ורשמה רווח תפעולי של כ־40 מיליון דולר. "כשהתחלנו לעבוד על הטכנולוגיה הזו, אפ"י אסר על החברות הישראליות לעבוד בתחום", אומר אדם שעבד בחברה באותן שנים. "לקח לאפ"י 11 חודשים עד שהם אישרו לחברות ישראליות לייצא את הטכנולוגיה. בזמן הזה סירקלס השתלטה על השוק, בעוד שהחברות הישראליות, ובראשן ורינט, ממתינות לאישור. למעשה סירקלס חייבת הרבה כסף לאפ"י, כי הוא חיסל עבורה את התחרות".

     

    דיליאן סיפר בראיון ל”פורבס” שאחד הניסיונות הראשונים למכור את הטכנולוגיה המהפכנית של סירקלס התבצע במדינה בדרום אמריקה, שם הוא ביקש לעניין את המשטרה המקומית במרכולתו. לדבריו, מפכ"ל המשטרה של אותה מדינה, בכבודו ובעצמו, ביקש ממנו לאכן שני מספרי טלפון, רק לצורך הדגמה. מאוחר יותר יגלה כי לאחר ה"הדגמה", שלחה המשטרה 3,000 שוטרים לפשוט על כפר שבו התחבאו שני עבריינים, שהטלפונים היו שייכים להם. "היום לא הייתי עושה את זה", הוא אמר.

     

    העבריינים שנלכדו עוד נחשבים מטרה לגיטימית. אבל מה יקרה אם תוכנות תקיפה שישראלים פיתחו ישמשו לפריצה ולאיתור, נניח, סוכני מוסד, או אנשי סגל דיפלומטי ישראלים? וגם אם לא יופעלו נגד ישראלים – מי ימנע את השימוש בכלים האלו נגד גורמי אופוזיציה, עיתונאים, מתנגדי שלטון לגיטימיים? "כשאני מוכר לסוכנות ביון כלשהי של מדינה אחרת ומקבל לכך אישור יצוא, ואותה סוכנות מחליטה לחדור לטלפון של מתנגד משטר, זו לא בעיה שלי. אני לא השוטר של העולם", אומר גורם ישראלי בכיר בתחום הסייבר. "אם תתפוס אותי מוכר לחוקר פרטי, תתלה אותי בכיכר העיר. מאוד קל לאכוף את חברות הסייבר במקום את המשתמשים שלנו. אני צריך להיות זה שקונס את ממשלת מקסיקו? זו התייפייפות נפש.

     

    "צריך גם להבין, שקשה מאוד לפקח על הידע הזה, כי חלקו נמצא אצל ילדים בני 13", הוא ממשיך. "איך מבטיחים שילד כזה, מדרום־קוריאה, לא יעביר את החולשה שהוא מצא לאיראנים? אין לי פתרון לזה. אבל מה שבטוח זה, שכללים שנורא מתאימים לפיתוח נשק ואמצעי לחימה כמו טילים בליסטיים, ממש לא מתאימים לעולם של הסייבר".

     

    משרד הביטחון: "לא ניתן להתייחס לשאלות על מקרים ספציפיים"

     

    "7 ימים" העביר למשרד הביטחון רשימה של שאלות שעולות מהתחקיר ככלל, ועל פעילות הישראלים בדארק מאטר בפרט. בין השאלות שנשאלו היו האם היו ישראלים שעובדים בדארק מאטר פנו לבקשת רישיון, והאם המשרד בודק את החומרים שהועברו אליו בנושא. במשרד הביטחון בחרו להשיב בכמה משפטים כלליים, וענו תשובות מתחמקות לשאלות הספציפיות. להלן תקציר תגובת המשרד: "אגף הפיקוח על היצוא הביטחוני במשרד הביטחון, שהוא הרשות המוסמכת למתן רישיונות שיווק ויצוא ביטחוני, פועל מכוח החוק לשמירה על האינטרסים המדיניים, הביטחוניים והאסטרטגיים של מדינת ישראל. הפיקוח על היצוא הביטחוני מתבצע בהתאם לאמנות, למשטרי הפיקוח ולסטנדרטים הבינלאומיים... מעבר לכך, לא ניתן להתייחס לשאלות על אודות רישיונות ספציפיים, מטעמים ביטחוניים ומדיניים".

    על השאלות לגבי ישראלים שעובדים בדארקט מאטר, ענו במשרד: "עבודת ישראלים בחברות זרות נדרשת ברישיונות לפי חוק רק כאשר מועבר על ידם ידע ביטחוני או שירות ביטחוני, כהגדרתם בחוק, לחברה הזרה. משרד הביטחון אינו מוסר נתונים לגבי מרשם היצוא הביטחוני המנוהל באגף הפיקוח על היצוא (אפ"י) או נתונים הנוגעים לבקשות רישוי ספציפיות".

     

    עו״ד דניאל רייזנר ממשרד הרצוג, פוקס נאמן, הגיב בשם החברה שמעסיקה את הישראלים בקפריסין: ״החברות בקפריסין מעסיקות גם ישראלים, אם כי אלה לא רוב העובדים בחברות. הן החברות והן העובדים ביקשו ייעוץ משפטי באשר למגבלות שחלות על העסקה. הובהר להם כי לישראלים אסור לספק ידע ישראלי מפוקח לגורם זר בלא אישור ממשרד הביטחון. גם החברה וגם העובדים מתעקשים שאין שום העברת ידע מפוקח, בין היתר בשל העובדה שעובדים מועסקים בתחומים שונים מאלה שבהם הם עבדו בישראל. בהיעדר ידע מפוקח, אין כל מגבלה על ישראלים לעבוד עבור חברות זרות ובינלאומיות". 

     

    מ NSO נמסר בתגובה: ״באשר לדארק מאטר: איננו מגיבים על פעילות של חברות אחרות. באשר לרגולציה: מטרת הרגולציה היא בראש ובראשונה להגן על מדינת ישראל ולכן אנחנו מברכים עליה ונמשיך לפעול על פיה. בריחת מוחות וידע מפוקח לחברות סייבר זרות, בין אם אזרחיות ובין אם ממשלתיות, היא נושא מטריד שעל מדינת ישראל לתת על כך את הדעת. אנחנו ב NSO בחרנו להשאיר את המחקר והפיתוח בישראל ולפעול על פי הנחיות ומדיניות היצוא והפיקוח על מנת לשמר את הידע הישראלי ולמנוע פגיעה במדינת ישראל."

     

    ronen@ronenbergman.com

    itay-i@yedioth.co.il

     


    פרסום ראשון: 16.10.19 , 22:01