סגור
גג עמוד techtalk דסק
משה לוי
משה לוי (צילום: מקסים דינשיין)

TechTalk
גנבת? קבל פרס: מדוע חברות קריפטו מצ'פרות האקרים שפרצו אליהן?

בעקבות ריבוי הפריצות לחברות קריפטו והגידול בהיקף גניבות המטבעות הדיגיטליים נוצר דפוס חדש של התנהלות מול האקרים: חברות משאירות להם חלק מהכסף הגנוב בתמורה למידע על האופן שבו הפריצה בוצעה. משה לוי, מנהל אבטחת מידע (CISO) בחברת סייברינט, סבור שזה פיתרון מסוכן

השיטה החדשה 'באג באונטי' החלה להוכיח את עצמה כאשר התשלום להאקרים לעיתים מחזיר את רוב הכסף. השאלה שעולה עכשיו – אם הדבר נעשה בהסכמה בין הפורצים לחברה, האם זה לא פלילי?
"כובע לבן" זו ההגדרה לאדם המבצע התקפות סייבר בצורה מותרת, חוקית. לדוגמה, חברה שפתחה אתר אינטרנט חדש מחוייבת על פי הרגולציה בישראל להעביר את הפלטפורמה מבדק חוסן לתשתיות (penetration testing).בחברות גדולות קיימת תוכנית נוספת - באג באונטי (Bug Bounty) שמה.
מדובר בתוכנית מאוד פשוטה: המטרה מוגדרת מראש וההאקר בעל "הכובע הלבן" יפוצה על פי כמות "החדירות" שימצא. כן, יש אנשים שזו העבודה שלהם - ואפילו אפשר לחיות בכבוד רק מבדיקות מהסוג הזה. זאת ועוד: לאחרונה אנו עדים לתופעה חדשה - הבאג באונטי שלאחר מעשה. ההאקר מבצע פריצה מוגדרת מראש אך ללא אישור וללא הסכמה. לאחר שהצליח לחדור לשרתי החברה ולהשיג אחיזה בסכום מסויים, חברות הקריפטו שמגלות על הפריצה פונות אל התוקפים, לרוב בטוויטר, ומנסות לבצע איתם משא ומתן.
כך יוצא שהחברות שמגלות על הגניבה מההאקרים מודיעות להם שהן מוכנות לתת להם בונוס בדמות מטבעות קריפטו בשווי מיליוני דולרים, במידה שיסכימו להחזיר חלק מהכסף. בנוסף, החברות גם מבקשות לדעת תמורת הסכום הזה איך בוצעה התקיפה - וכל זאת בהסכמה מלאה שלא לחשוף פרטים אישיים ושלא תוגש נגדם תלונה לאחר הפריצה.
המספרים, אגב, מטרידים במיוחד: בשנת2021 נגנבו 1.55 מיליארד דולר במטבעות קריפטו. נכון לרגע כתיבת שורות אלה, בשנת 2022 נגנבו כ-2 מיליארד דולר.
חשוב לציין: בלוקצ'יין היא טכנולוגיה בהתהוות והפרוטוקולים שעל גביהם מתבצעות העברות הכספים הן בעייתיות במיוחד. אחרי הכל, גם בנקים רגילים סובלים ממתקפות, אבל הם לרוב מבוטחים ובעל החשבון אמור להיות משופה על פגיעה כזו או אחרת. בקריפטו, הביטחון הזה כמעט לא קיים. מדובר בסיכון העיקרי שמשתמשים לוקחים על עצמם.
השיטה החדשה - הבאג-באונטי לאחר מעשה - היא סוג של הלבנת הון לאחר פריצה לא חוקית לחברת קריפטו. נוצרה כאן משוואה חדשה ומאוד מטרידה: אם ההאקרים מחליטים לגלות לחברה איך נעשתה הפירצה ואיך אפשר למנוע אותה בעתיד, אז במקום חקירה הם מקבלים מתנה.
יש דוגמאות רבות לאירועים כאלה, שהבולטות מבניהן היא זו של חברת Aurora ששילמה 6 מיליון דולר להאקר עבור איתור פגיעות. העניין הוא שמן הסתם שיש יותר מדרך אחת לבצע התקפת סייבר - וזה שהוכחת לחברה שביצעת התקפה בדרך מסויימת לא אומר שגילית את כל הקלפים שהיו אצלך. ואז עולה השאלה: למה שאותו האקר לא ינסה לתקוף את אותה הפלטפורמה שוב, בדרך אחרת? אם הוא יצליח, ייתכן שהוא ישלשל עוד כמה מיליונים לכיס שלו.
לאורך השנים ניתן היה לראות כיצד הגברת רמת האבטחה במוסדות פיננסים שונים הובילה לירידה בהצלחת מקרי הפריצה אליהם. גם בפרויקטי קריפטו נדרשת התערבות מיידית - מוסדית או רגולטורית - שתחיל חוקי אבטחה נוקשים ותאפשר למשתמשים לדעת שהכסף שלהם מוגן ואינו נתון לסחטנות מידי גורמים שונים.
משה לוי הוא מנהל אבטחת מידע (CISO) בחברת סייברינט