"לתקוף את אויב הסייבר במחילות ובמפקדות שלו"
ביקור נדיר במערכי הסייבר של שירות הביטחון הכללי, ה"האקרים ברישיון" של מדינת ישראל: כך מנהלים מלחמה מתוך אולמות עבודה בסגנון הייטקיסטי. מיוחד, לקראת כנס סייברטק 2017
עמיר רפפורט
| 18/01/2017
צילום: באדיבות השב"כ
בעיצומו של גל טרור הסכינים ששטף את ישראל במחצית הראשונה של שנת 2016, התגייסו אנשי שב"כ רבים למערכה. הפעם לא היה מדובר רק בסוכני שטח מחוספסים עם אקדחים, אלא בצעירים רבים שפעלו מתוך חדרים בסגנון הייטקיסטי במרכז הארץ.
זירות הפעולה שלהם במקרה הזה היו הרשתות החברתיות. אנשי הסייבר של השב"כ חיפשו מסביב לשעון התארגנויות שעמדו להוציא אל הפועל פיגועים.
למעשה, הם "חיו" בתוך הרשתות. בחלק מהמקרים, המידע שאספו הוביל למעצרי מנע שבוצעו על ידי לוחמי צה"ל והשב"כ, אלה שכן נמצאים שטח. במקרים שבהם הסכנה לפיגוע נחשבה פחות מיידית, בוצעו שיחות אזהרה טלפוניות: אנשי שב"כ התקשרו להוריהם של נערים מיהודה ושומרון, והבהירו להם כי אם הילד יבצע פיגוע, המשפחה כולה תשלם מחיר כבד.
"היו פעמים ששמענו את ההורים 'מפליקים' לילדים שלהם מהצד השני של הטלפון, עוד לפני שהשיחה הסתיימה. ההורים מיד הבטיחו שיהיו אחראים למעשי הילדים שלהם", אומרים באגף הסיגינט-סייבר בשירות הביטחון הכללי: "אנחנו מעריכים שכך נמנעו פיגועים רבים".
ערכנו ביקור עיתונאי נדיר ביחידות הסייבר של השב"כ לקראת כנס סייברטק 2017, בתאריכים 30 בינואר – 1 בפברואר 2017, בגני התערוכה בתל אביב.
הביקור היה רצוף בהפתעות, שכן בשב"כ דיברו איתנו בפתיחות רבה על מלחמות הסייבר וגם משום שהסביבה הפיזית, שבה פועלים אנשי הסייבר של השב"כ, אינה מזכירה את הדימוי המקובל לשירות ביטחון חשאי: אין מדובר במרתפים אפלים או בחדרים משעממים, שמסתעפים מתוך מסדרונות אפורים. להפך, חלק מאנשי הסייבר יושבים בחללים פתוחים, שממוקמים במרכזי ההיי-טק התוססים ביותר (כמובן, שלא תמצאו על הדלתות שום שלט שיעיד על שיוכם הארגוני האמיתי). אחרים ממוקמים במטה השב"כ המרכזי, אבל גם כאן חללי העבודה מלאי אור, והקירות מצופים בטאפטים צבעוניים. בחדרי המנוחה יש מכונות ברד ואספרסו וגם קונסולות של משחקי פלייסטיישן ואקסבוקס, כאילו מדובר במשרדי אפל או גוגל.
שוחחנו על כלל מערך הסייבר של השב"כ, רובו בקדמת הטכנולוגיה של הגנת הסייבר, כולל שיטות הגנה פרואקטיביות, וחושף התקפה רחבה על ישראל, שסוכלה במרחב הקיברנטי לפני כשנתיים, מבלי שנודע עליה עד כה. עוד נגיע לזה.
המהפכה השלישית
ככלל, מערך הסייבר של השב"כ עומד בשנת 2017 בפני מהפיכה גדולה, שאותה מוביל ה"ראש" נדב ארגמן, אבל כדי להבין את השינוי הארגוני המשמעותי, שעומד בפתח, צריך להתחיל במהפכה הראשונה – היא התרחשה לפני יותר מ-20 שנה, בתקופת שיא פיגועי ההתאבדות שהתרחשו בערי ישראל לאחר הסכמי אוסלו, בשנות ה-90 של המאה שעברה.
במסגרת אותה מהפיכה, הורה ראש השב"כ בזמנו, עמי איילון, להעביר את הארגון לעידן חדש של טכנולוגיות מידע, והתוצאה הייתה שיטות פעולה חדשניות שידעו "לדוג" טרוריסטים מתוך ים של אינפורמציה דיגיטלית. בתחילת שנות ה-2000 אף הוקמה באגף האבטחה של השב"כ "הרשות הממלכתית לאבטחת מידע" (רא"ם), שקיבלה אחריות על הגנת התשתיות הקריטיות לישראל מפני התקפות סייבר.
המהפכה השנייה התרחשה בתחילת העשור הזה, אז הוקמו בשב"כ חטיבות חדשות לסיגינט וסייבר, שפעלו לצד שני אגפי מטה מרכזיים - אגף הסיגינט-סייבר ואגף טכנולוגיות המידע (IT). הסיגינט (איסוף מידע דיגיטלי) והסייבר הפכו לחלק בלתי נפרד מכל מבצע, ובהיבט ההגנתי עבר השב"כ מהתמקדות בשיטות הגנה פסיביות להגנה התקפית. במסגרת המהפכה השלישית, שעומדת בפתח, יוקם אגף אחד לסיגנט סייבר וטכנולוגיות מבצעיות, שירכז תחתיו גם את חטיבות הסיגינט-סייבר והטכנולוגיה של האגפים השונים.
"בשנת 2010 הוקמו ארבע חטיבות בין לילה, כעת אנחנו לוקחים אותן ומחברים לכדי אגף סיבר וטכנולוגיות ויוצרים כך גוף אחד שיהיה מעין אגרוף עוצמתי", אומרים בשב"כ.
למעשה, אפשר להגיד שאתם מקימים זרוע סייבר ראשונה מסוגה, שתחבר בין ההגנה וההתקפה, בזמן שבצה"ל דיברו על הקמת זרוע כזאת אבל לא הקימו אותה בפועל (בדצמבר 2016 הוחלט במטה הכלל לשמר לעת עתה את ההפרדה בין ההגנה להתקפה, ע.ר)?
"אנחנו לא עושים הקבלה למהלכים של צה"ל או צבאות אחרים, אצלנו, מדובר באגרוף שמתאים לעידן הנוכחי שבו הכל מתערבב, המציאות הפיזית בשטח והעולם הקיברנטי. במציאות כזאת, גם רכז בשטחים צריך זיקה טכנולוגית. זה לא מספיק להיות לוחם טוב או מפעיל סוכנים מתוחכם. האינטרנט שובר את כל החומות".
"לפני 15 שנה, רק ארבעה אחוזים מאנשי השב"כ היו ממערכי הסייבר והסיגינט, כיום הם מהווים לא פחות מ-25 אחוזים מכוח האדם", ממחישים בשב"כ את המהפכה באמצעות נתון מדהים. והשיעור הזה עוד ימשיך לגדול.
"מאגרי המידע של ישראל הם הכי גדולים במזרח התיכון ומהגדולים והמורכבים בעולם, בגלל הקדמה הטכנולוגית, והם מצריכים הגנה רציפה", אומרים בשב"כ.
"להבדיל מתקופות קודמות, מי שהכי משפיע על המצב, אלה לא מדינות, אלא ענקיות האינטרנט והטלקום מעמק הסיליקון בקליפורניה. כל שינוי קטן שקורה בפאלו-אלטו מרעיד את העולם הקיברנטי כולו".
עד כמה משמעותית מבחינתכם הגישה של הגנה התקפית בסייבר?
"היא משמעותית מאוד. אבטחת מידע הייתה הסוגיה הראשונה שעמה התמודדנו כבר לפני שנים, משם הובלנו לאבטחה של מערכות מידע, וב-2012 הבנו שגם זה לא מספיק טוב, ואם לא נתמודד עם כלל מרחב הסייבר אז נפספס.
"מבחינתנו, כמו שבעולם הפיזי לא מתמודדים עם פיגועי טרור של החמאס רק באמצעות מאבטחים בכניסה לקניונים, אלא רודפים אחרי אנשי הטרור בכל מקום, במחילות ובסמטאות, ותוקפים אותם גם במקומות שבהם הם מתכננים את הפיגועים - כך צריך להיות גם בסייבר. הגישה היום היא בהחלט התקפית, ומערבים בה גם תרגילי הונאה".
כדי להמחיש את הגישה השונה חושפים בשב"כ את הדוגמה הבאה, שמתפרסמת כאן בראשונה: לפני כשלוש שנים זיהו אנשי הסייבר של השב"כ מהלך מתוכנן היטב, שבוצע על ידי אחד האויבים המתוחכמים של ישראל באיזור. במסגרת המהלך "התמקם" האויב במספר צמתים רגישים של מערך התקשורת הישראלית. כנראה, שהכוונה הייתה להישאר שם בצורה 'רדומה', ולבצע התקפה מתוזמנת היטב ביום פקודה. ייתכן שהכוונה הייתה להשתלט כך במקביל על היקף רחב של שידורי טלוויזיה ורדיו.
על פי שיטות ההגנה המסורתיות, יכול היה השב"כ לגרש את ה"תוקפים" מן הצמתים הרגישים, או להגביר את ההגנה עליהם. אבל, הוא נהג אחרת. אנשי הסייבר בצד הישראלי עקבו אחר התפתחות מתקפת האויב, ולמדו את דפוסי הפעולה ואף את שעות העבודה של ה"האקרים" התוקפים. ואז, ניצלו חופשה ממושכת של הצד השני כדי לחסל את המתקפה, ולבצע מעין מתקפת נגד. אחת הדרכים לתקוף האקרים של האויב היא לחשוף פרטים שלהם בקרב קהילות של האקרים אחרים ברשת. "בעולמות של האקרים, אין דבר משפיל מזה", אומרים בשב"כ, מבלי להתייחס במפורש לפרטי מתקפת הנגד המסוימת שהוביל השב"כ (בכל זאת, לא על כל היבטי מלחמות הסייבר הוא יכול לדבר באופן גלוי לגמרי).
ההתקפה שסוכלה הייתה אחת המתוחכמות שעמה התמודד השב"כ בשנים האחרונות, להבדיל ממקרה שארע בתחילת דצמבר 2017, אז הוחלפו שידורי לוויין של אחד הערוצים בישראל בהודעה כתובה מטעם החמאס. במקרה הזה, נוצלה העובדה ששידורי הלוויין נקלטים בעוצמות מאוד נמוכות, משיקולים כלכליים. כאשר זוהתה ההשתלטות העוינת על השידור, הוגברה העוצמה והודעת החמאס נעלמה בין רגע.
את הכתבה המלאה ניתן למצוא במגזין ישראל דיפנס ומחר באתר ישראל דיפנס.
ביקור נדיר במערכי הסייבר של שירות הביטחון הכללי, ה"האקרים ברישיון" של מדינת ישראל: כך מנהלים מלחמה מתוך אולמות עבודה בסגנון הייטקיסטי. מיוחד, לקראת כנס סייברטק 2017
צילום: באדיבות השב"כ
בעיצומו של גל טרור הסכינים ששטף את ישראל במחצית הראשונה של שנת 2016, התגייסו אנשי שב"כ רבים למערכה. הפעם לא היה מדובר רק בסוכני שטח מחוספסים עם אקדחים, אלא בצעירים רבים שפעלו מתוך חדרים בסגנון הייטקיסטי במרכז הארץ.
זירות הפעולה שלהם במקרה הזה היו הרשתות החברתיות. אנשי הסייבר של השב"כ חיפשו מסביב לשעון התארגנויות שעמדו להוציא אל הפועל פיגועים.
למעשה, הם "חיו" בתוך הרשתות. בחלק מהמקרים, המידע שאספו הוביל למעצרי מנע שבוצעו על ידי לוחמי צה"ל והשב"כ, אלה שכן נמצאים שטח. במקרים שבהם הסכנה לפיגוע נחשבה פחות מיידית, בוצעו שיחות אזהרה טלפוניות: אנשי שב"כ התקשרו להוריהם של נערים מיהודה ושומרון, והבהירו להם כי אם הילד יבצע פיגוע, המשפחה כולה תשלם מחיר כבד.
"היו פעמים ששמענו את ההורים 'מפליקים' לילדים שלהם מהצד השני של הטלפון, עוד לפני שהשיחה הסתיימה. ההורים מיד הבטיחו שיהיו אחראים למעשי הילדים שלהם", אומרים באגף הסיגינט-סייבר בשירות הביטחון הכללי: "אנחנו מעריכים שכך נמנעו פיגועים רבים".
ערכנו ביקור עיתונאי נדיר ביחידות הסייבר של השב"כ לקראת כנס סייברטק 2017, בתאריכים 30 בינואר – 1 בפברואר 2017, בגני התערוכה בתל אביב.
הביקור היה רצוף בהפתעות, שכן בשב"כ דיברו איתנו בפתיחות רבה על מלחמות הסייבר וגם משום שהסביבה הפיזית, שבה פועלים אנשי הסייבר של השב"כ, אינה מזכירה את הדימוי המקובל לשירות ביטחון חשאי: אין מדובר במרתפים אפלים או בחדרים משעממים, שמסתעפים מתוך מסדרונות אפורים. להפך, חלק מאנשי הסייבר יושבים בחללים פתוחים, שממוקמים במרכזי ההיי-טק התוססים ביותר (כמובן, שלא תמצאו על הדלתות שום שלט שיעיד על שיוכם הארגוני האמיתי). אחרים ממוקמים במטה השב"כ המרכזי, אבל גם כאן חללי העבודה מלאי אור, והקירות מצופים בטאפטים צבעוניים. בחדרי המנוחה יש מכונות ברד ואספרסו וגם קונסולות של משחקי פלייסטיישן ואקסבוקס, כאילו מדובר במשרדי אפל או גוגל.
שוחחנו על כלל מערך הסייבר של השב"כ, רובו בקדמת הטכנולוגיה של הגנת הסייבר, כולל שיטות הגנה פרואקטיביות, וחושף התקפה רחבה על ישראל, שסוכלה במרחב הקיברנטי לפני כשנתיים, מבלי שנודע עליה עד כה. עוד נגיע לזה.
המהפכה השלישית
ככלל, מערך הסייבר של השב"כ עומד בשנת 2017 בפני מהפיכה גדולה, שאותה מוביל ה"ראש" נדב ארגמן, אבל כדי להבין את השינוי הארגוני המשמעותי, שעומד בפתח, צריך להתחיל במהפכה הראשונה – היא התרחשה לפני יותר מ-20 שנה, בתקופת שיא פיגועי ההתאבדות שהתרחשו בערי ישראל לאחר הסכמי אוסלו, בשנות ה-90 של המאה שעברה.
במסגרת אותה מהפיכה, הורה ראש השב"כ בזמנו, עמי איילון, להעביר את הארגון לעידן חדש של טכנולוגיות מידע, והתוצאה הייתה שיטות פעולה חדשניות שידעו "לדוג" טרוריסטים מתוך ים של אינפורמציה דיגיטלית. בתחילת שנות ה-2000 אף הוקמה באגף האבטחה של השב"כ "הרשות הממלכתית לאבטחת מידע" (רא"ם), שקיבלה אחריות על הגנת התשתיות הקריטיות לישראל מפני התקפות סייבר.
המהפכה השנייה התרחשה בתחילת העשור הזה, אז הוקמו בשב"כ חטיבות חדשות לסיגינט וסייבר, שפעלו לצד שני אגפי מטה מרכזיים - אגף הסיגינט-סייבר ואגף טכנולוגיות המידע (IT). הסיגינט (איסוף מידע דיגיטלי) והסייבר הפכו לחלק בלתי נפרד מכל מבצע, ובהיבט ההגנתי עבר השב"כ מהתמקדות בשיטות הגנה פסיביות להגנה התקפית. במסגרת המהפכה השלישית, שעומדת בפתח, יוקם אגף אחד לסיגנט סייבר וטכנולוגיות מבצעיות, שירכז תחתיו גם את חטיבות הסיגינט-סייבר והטכנולוגיה של האגפים השונים.
"בשנת 2010 הוקמו ארבע חטיבות בין לילה, כעת אנחנו לוקחים אותן ומחברים לכדי אגף סיבר וטכנולוגיות ויוצרים כך גוף אחד שיהיה מעין אגרוף עוצמתי", אומרים בשב"כ.
למעשה, אפשר להגיד שאתם מקימים זרוע סייבר ראשונה מסוגה, שתחבר בין ההגנה וההתקפה, בזמן שבצה"ל דיברו על הקמת זרוע כזאת אבל לא הקימו אותה בפועל (בדצמבר 2016 הוחלט במטה הכלל לשמר לעת עתה את ההפרדה בין ההגנה להתקפה, ע.ר)?
"אנחנו לא עושים הקבלה למהלכים של צה"ל או צבאות אחרים, אצלנו, מדובר באגרוף שמתאים לעידן הנוכחי שבו הכל מתערבב, המציאות הפיזית בשטח והעולם הקיברנטי. במציאות כזאת, גם רכז בשטחים צריך זיקה טכנולוגית. זה לא מספיק להיות לוחם טוב או מפעיל סוכנים מתוחכם. האינטרנט שובר את כל החומות".
"לפני 15 שנה, רק ארבעה אחוזים מאנשי השב"כ היו ממערכי הסייבר והסיגינט, כיום הם מהווים לא פחות מ-25 אחוזים מכוח האדם", ממחישים בשב"כ את המהפכה באמצעות נתון מדהים. והשיעור הזה עוד ימשיך לגדול.
"מאגרי המידע של ישראל הם הכי גדולים במזרח התיכון ומהגדולים והמורכבים בעולם, בגלל הקדמה הטכנולוגית, והם מצריכים הגנה רציפה", אומרים בשב"כ.
"להבדיל מתקופות קודמות, מי שהכי משפיע על המצב, אלה לא מדינות, אלא ענקיות האינטרנט והטלקום מעמק הסיליקון בקליפורניה. כל שינוי קטן שקורה בפאלו-אלטו מרעיד את העולם הקיברנטי כולו".
עד כמה משמעותית מבחינתכם הגישה של הגנה התקפית בסייבר?
"היא משמעותית מאוד. אבטחת מידע הייתה הסוגיה הראשונה שעמה התמודדנו כבר לפני שנים, משם הובלנו לאבטחה של מערכות מידע, וב-2012 הבנו שגם זה לא מספיק טוב, ואם לא נתמודד עם כלל מרחב הסייבר אז נפספס.
"מבחינתנו, כמו שבעולם הפיזי לא מתמודדים עם פיגועי טרור של החמאס רק באמצעות מאבטחים בכניסה לקניונים, אלא רודפים אחרי אנשי הטרור בכל מקום, במחילות ובסמטאות, ותוקפים אותם גם במקומות שבהם הם מתכננים את הפיגועים - כך צריך להיות גם בסייבר. הגישה היום היא בהחלט התקפית, ומערבים בה גם תרגילי הונאה".
כדי להמחיש את הגישה השונה חושפים בשב"כ את הדוגמה הבאה, שמתפרסמת כאן בראשונה: לפני כשלוש שנים זיהו אנשי הסייבר של השב"כ מהלך מתוכנן היטב, שבוצע על ידי אחד האויבים המתוחכמים של ישראל באיזור. במסגרת המהלך "התמקם" האויב במספר צמתים רגישים של מערך התקשורת הישראלית. כנראה, שהכוונה הייתה להישאר שם בצורה 'רדומה', ולבצע התקפה מתוזמנת היטב ביום פקודה. ייתכן שהכוונה הייתה להשתלט כך במקביל על היקף רחב של שידורי טלוויזיה ורדיו.
על פי שיטות ההגנה המסורתיות, יכול היה השב"כ לגרש את ה"תוקפים" מן הצמתים הרגישים, או להגביר את ההגנה עליהם. אבל, הוא נהג אחרת. אנשי הסייבר בצד הישראלי עקבו אחר התפתחות מתקפת האויב, ולמדו את דפוסי הפעולה ואף את שעות העבודה של ה"האקרים" התוקפים. ואז, ניצלו חופשה ממושכת של הצד השני כדי לחסל את המתקפה, ולבצע מעין מתקפת נגד. אחת הדרכים לתקוף האקרים של האויב היא לחשוף פרטים שלהם בקרב קהילות של האקרים אחרים ברשת. "בעולמות של האקרים, אין דבר משפיל מזה", אומרים בשב"כ, מבלי להתייחס במפורש לפרטי מתקפת הנגד המסוימת שהוביל השב"כ (בכל זאת, לא על כל היבטי מלחמות הסייבר הוא יכול לדבר באופן גלוי לגמרי).
ההתקפה שסוכלה הייתה אחת המתוחכמות שעמה התמודד השב"כ בשנים האחרונות, להבדיל ממקרה שארע בתחילת דצמבר 2017, אז הוחלפו שידורי לוויין של אחד הערוצים בישראל בהודעה כתובה מטעם החמאס. במקרה הזה, נוצלה העובדה ששידורי הלוויין נקלטים בעוצמות מאוד נמוכות, משיקולים כלכליים. כאשר זוהתה ההשתלטות העוינת על השידור, הוגברה העוצמה והודעת החמאס נעלמה בין רגע.
את הכתבה המלאה ניתן למצוא במגזין ישראל דיפנס ומחר באתר ישראל דיפנס.
