הילדה האירנית שנהפכה ללוחמת סייבר ישראלית - Markerweek - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

הילדה האירנית שנהפכה ללוחמת סייבר ישראלית

סנז ישר גדלה באירן בתקופת האייתוללה חומייני והימים שלאחר המהפכה, וברחה עם משפחתה לישראל. היום היא מרכזת את תחום המחקר ומודיעין הסייבר בחברת FireEye ונמנעת מלפגוש את בני משפחתה שנותרו מאחור, כדי לא לסבך אותם

95תגובות
סנז ישר
אלון לוין

"קמ"ן שטח" — כך מגדירה סנז ישר את תפקידה ב–FireEye, ענקית אבטחת המידע הבינלאומית. סנז, המרכזת את תחום המחקר ומודיעין הסייבר בחברה, עובדת בכל יום ממקום אחר — בנק, חברת תשתיות, או מוסד לאומי כלשהו, ומחפשת פירצות.
השם הרשמי של התפקיד הואForward Deployed Analyst, וכמוה עושים אותו קומץ עמיתים־חוקרים, פחות מעשרה, בתאגיד של 3,200 עובדים, שפזורים במדינות שונות. "התפקיד שלי הוא לנסות להבין מה האיום ומה המקור שלו", היא אומרת, "כשקורה אירוע גם החברות הטובות ביותר מאבדות את הראש".

>> לדבר על כל מה שחם בהיי-טק: הצטרפו לאקוסיסטם

מתקפות הסייבר הגדולות בשנים האחרונות

מאיפה אתם אוספים את המודיעין שלכם? יושבים על פורומים ברשת האפלה?

"רק כ–20% מהמידע מגיע מהרשת האפלה. כדי להשיג מידע בעל ערך אמיתי צריך ליצור אינגייג'מנט עם ההאקרים, ואת זה עושים עם זהות מתחזה ובאופן ממוקד. למשל, אתה מספר שאתה מחפש כלי לתקוף באמצעותו את מערכת הסוויפט (מערכת העברת הכספים הבין־בנקאית; א"ז) ואז צריך ליצור יחסי אמון עם האקר שעוסק בזה".

מדובר בתפקיד ייחודי מאוד. יש לכם קבוצת ווטסאפ של האנליסטים?

"ווטסאפ לא. יש לנו תוכנת היפצ'אט (תוכנת צ'אט ארגונית; א"ז), עם שרת מותקן בארגון, ובשביל דברים שיש להם גם איזה פן אישי — טלגרם".

טלגרם בטוחה יותר מווטסאפ?

"כשמדובר במצב של צ'אט סודי (Secret Chat) כן, כי אין באמצע שרת שאפשר לתקוף. כשאתה שולח הודעה בווטסאפ, והמקבל לא זמין, אז ההודעה ממתינה בשרת — זה מקום שאפשר לתקוף".

אבל בטלגרם את לא יכולה לראות את קוד המקור?

"אני מעדיפה שלא להשיב".

סנז ישר
lior golsad

FireEye, אחת מענקיות עולם הסייבר, נסחרת בנאסד"ק בשווי של 2.7 מיליארד דולר, אחרי שב–2013 רכשה את חברת מודיעין הסייבר Mandiant בעסקה של מיליארד דולר. החברה פחות מוכרת לציבור הכללי, כי היא עובדת בעיקר מול גופי ענק — תאגידים וגופי מדינה. בישראל למשל, יש לה כמה עמדות ב-CERT, חמ"ל הסייבר הלאומי בבאר שבע.

בפשטות, FireEye היא חברת מודיעין. היא משתמשת בהתקנות ובסנסורים שלה בכל רחבי העולם כדי לזהות מתקפות חדשות, ולהתריע לכלל לקוחותיה על איומים חדשים. בניגוד לחברות סייבר רב־לאומיות רבות, ל–FireEye אין פעילות מחקר ופיתוח בישראל, אלא רק גוף מכירות ותמיכה.

סיור במתקן מים כבדים באירן

הדרך של ישר לתפקיד הבכיר הזה סלולה בהפיכות ובמהפכים אישיים. היא נולדה ב–1981 בטהרן, העבירה את ילדותה בצל משטרו של האייתוללה חומייני, המנהיג הרוחני של אירן דאז בימים שלאחר המהפכה האסלאמית. "הייתי בת 8 ביום שבו הוא מת. אני זוכרת שבכיתי", היא מספרת.

איך היה לחיות כיהודייה באירן?

"בסך הכל היתה לי ילדות טובה. למדתי בבית ספר יסודי יהודי, ובחטיבת הביניים כבר רציתי 'לראות עולם', אז עברתי לבית ספר כללי רגיל — של בנות בלבד, כמובן. הוקפצתי כמה כיתות, אז סיימתי תיכון בגיל 16. אפילו השתתפתי באולימפיאדת הכימיה של אירן והגעתי למקום ה–12. אני זוכרת שלקחו אותנו לראות מתקן מים כבדים (תרכובת שמשמשת חומר מקרר בכורים גרעיניים; א"ז). אחר כך שמעתי שהמנהלת שלי ננזפה על זה, כי בכל זאת אני יהודייה".

ב–1998, כשהיא בת 17, המשפחה נסעה ל"טיול" בחו"ל ולמעשה היגרה לישראל. "עם הנחיתה בארץ למדתי באולפן, ולאחר מכן נרשמתי ללימודי ביולוגיה וסוציולוגיה באוניברסיטת תל אביב — כשפתאום קיבלתי צו גיוס. סיימתי את התואר ומיד התחלתי מסלול עתודה. זה היה מסלול לעולים ולא הייתי צריכה להתחייב לשירות קבע — מפה לשם זה היה רומן שנמשך 15 שנה".

מעצמות הסייבר החדשות: מה הן רוצות?

מה עשית בצבא?

"התגייסתי ב-2001 למודיעין והייתי בליבה של החיל — משהו שאז עוד לא קראו לו סייבר. את כל השנים עשיתי באמ"ן, וכשהגעתי לדרגת רס"ן החלטתי לקחת חל"ת כדי להחליט אם אני רוצה לסיים את הקריירה שלי בצבא. תוך כדי השירות השלמתי תואר שני במינהל עסקים באוניברסיטת בן גוריון".

ומה קרה בחל"ת?

"אתה יודע איך זה בסייבר — מגייסים אותך עוד לפני השחרור, וגויסתי לחברת סייבריזן".

סייבריזן היא אחד הסטארט־אפים הבולטים בענף הסייבר הישראלי. החברה, שגייסה עד היום 188 מיליון דולר, פועלת בתחום המכונה EDR (ראשי תיבות של Endpoint Detection and Response). ישר מונתה לראש צוות המודיעין בחברה. "זה מה שעשיתי בחל"ת, ובספטמבר האחרון השתחררתי. עם השחרור קיבלתי הצעה מ-FireEye".

יש לך קרובים שנותרו באירן?

"כן. עקרונית אני יכולה לפגוש אותם במדינה שלישית, אבל אני נמנעת מלעשות את זה כדי לא לפגוע בהם".

סנז ישר
אלון לוין

איפה תתקוף סין? תלוי בתוכנית החומש

עולם הסייבר הבין־מדינתי מתעצב בימים אלה: מעצמות הסייבר המתגבשות כוללות את ארה"ב ובריטניה במערב (יחד עם ישראל) ומנגד את רוסיה וסין במזרח. זהו מרוץ התעצמות שמזכיר במידה רבה את מרוץ החימוש האטומי מהמאה הקודמת, שזכה לכינוי המלחמה הקרה. זהו בדיוק תחום ההתמחות של ישר והיא לומדת את הפוזציה של כל שחקנית, הבריתות שלה והמוטיווציות, קצת כמו חוקרת יחסים בינלאומים — אבל בסייבר.

ישר לא מסתירה את הערכתה לכוח העצום שיש לרוסיה במרחב המקוון: "רוסיה לא יוצאת למבצע סייבר נקודתי, היא עושה מערכה שהיא גם תודעתית פסיכולוגית, וכוללת גניבת מידע וחבלה". בהקשר הזה אי אפשר שלא להכיר את המעורבות שמיוחסת לרוסיה בהטיית הבחירות לנשיאות בארה"ב ב–2016, הן באמצעות שתילת פייק ניוז ברשתות החברתיות והן באמצעות הדלפת פרטים מביכים ממטה הקמפיין של המתמודדת הדמוקרטית הילרי קלינטון. "יש עדויות לכך שרוסיה משתפת פעולה עם שחקני משנה בסייבר, למשל עם אירן, בעיקר סביב אינטרסים משותפים, במקרה הזה בסוריה", אומרת ישר.

מהירים ובלי קשקושים - חפשו TheMarker בטלגרם (להורדה באנדרואיד, להורדה באייפון)

ישר מסבירה שאפשר למצוא במאפייני התקיפות האירניות עקבות רוסיות, כנראה לא במקרה. באחרונה מזהה ישר בת ברית חדשה של רוסיה במאמץ הסייבר: זה כמה חודשים רוסיה מספקת לצפון קוריאה נתיב גישה לאינטרנט העולמי, ובחינם. מדוע? יכול להיות שרוסיה צריכה שהצפון־קוריאנים יעשו עבורה משהו בזירת הסייבר. כמה מתקפות סייבר גדולות מהתקופה האחרונה מיוחסת לצפון קוריאה, אבל האם כלי התקיפה הגיעו בכלל מרוסיה? זו תיאוריה די מקובלת. "רוסיה נותנת למישהו אחר לעשות את הדברים המלוכלכים, מדינות חסות שלה", אומרת ישר. "פוטין גאון, ובין היתר הוא מזהה פושעי סייבר רוסים שיושבים בכלא, וחונן אותם תמורת שירות סייבר עבורו".

בלומברג

ואיפה נמצאת סין בתשבץ?

"סין היא מקרה מעניין. בספטמבר 2015 היתה לחיצת ידיים בין ברק אובמה לנשיא סין שי ג'ינפינג, והמדינות הגיעו להסכם הדדי בסייבר — לא לתקוף חברות אזרחיות אחת של השנייה. מאז אנחנו רואים ירידה תלולה בתקיפות מכתובות IP סיניות — הם מכבדים את ההסכם. מנגד, סין עובדת לפי תוכנית חומש, ולתוכנית חומש (הבאה בתור תושק ב–2021) יש נספח סייבר. אתה רוצה לדעת איפה סין תתקוף? תקרא את תוכנית החומש. אם סין החליטה להיות ראשונה בעולם בתחום האנרגיה הסולארית, אז מאיפה יבוא הידע? הם יגנבו מה שצריך ממי שצריך. הם כבר עשו את זה בתחום הרכבות המהירות ותוך כמה שנים עקפו את יפן. אני חושבת שהם גונבים מידע ממכוני מחקר ומאוניברסיטאות".

אז מכון מחקר הסייבר באוניברסיטת תל אביב צריך לדאוג?

"למה מחקר סייבר? נסה מכון מחקר לחקלאות, למשל. אני מוטרדת מהמצב שלנו מול סין. אלה אזורים שבהם ההגנה שלנו כל כך חלשה, שאף אחד אפילו לא יידע אם גנבו מידע". ישר אומרת כי היא לא מוצאת דמיון בין כלי התקיפה הרוסיים והסיניים: "אין דמיון בין הכלים ולא בין המתודולוגיות".

מלבד רוסיה, אירן וסין, ישר גם חוששת מצמיחת כוחות סייבר חדשים: "למדינות כמו אירן יש עדיין גבולות, אבל אנחנו רואים כל הזמן שחקניות חדשות, הודו, וייטנאם פתאום נהייתה שחקנית, אפילו פקיסטן". ישר מזכירה כי בניגוד לכללי המלחמה הקונבציונלית שמאוגדים בכללים ואמנות עם מסורת ארוכת שנים (אמנת ז'נווה בראשן), הסייבר הוא עדיין ג'ונגל נטול חוקים. בעולם מנסים לנסח מוסכמות במה שמכונה "מדריך טאלין", אבל הדרך לשם עוד ארוכה: "בכל עימות עתידי הסייבר יהיה חזית משמעותית נוספת".

מפת התפשטות מתקפת הכופר WannaCry
בלומברג

ישראל לא חסינה ממתקפה

האם ישראל ערוכה לבאות? תלוי את מי שואלים. בשנה החולפת התרחשו שתי מתקפות סייבר ענקיות בעולם, שזיעזעו חברות בינלאומית, מוסדות רפואיים ומערכות פיננסיות. הראשונה, שהתרחשה במאי 2017, כונתה WannaCry, והשנייה, שהתחוללה חודש לאחר מכן, כונתה NotPetya. NotPetya פגעה בכ–150 מדינות ובין היתר הובילה לביטול ביקורים וניתוחים דחופים בבתי חולים, בעיקר בבריטניה. NotPetya גבתה נזקים מצטברים בכמיליארד דולר, כולל מאות מיליוני דולרים שאבדו לחברת התרופות מרק ולחברת הספנות הדנית Maersk. בשני המקרים, ישראל יצאה בזול, וכמעט לא נרשמו אירועים חריגים. סנז סבורה שאנחנו לא חסינים, ולעתים צריך יותר מזל משכל: "ב–WannaCry כן חטפנו, גם אם לא שמעת על זה, ו–NotPetya חדרה לרשתות דרך תוכנת ניהול חשבונות אוקראינית, שבמקרה פשוט לא מותקנת בישראל".

אז את מודאגת?

"אנחנו מתמודדים יום־יום עם תקיפות מוכוונות על ישראל. יש אויבים שמחכים רק לפרוץ. זה מוזר כי אנחנו מדינה שיודעת להתמודד במלחמות א־סימטריות, מדינה שיודעת לחיות בלי עומק אסטרטגי, אבל בסייבר עדיין מדברים על 'מגן בסייבר'. אם אתה נשאר בצד שלך של הגדר — כבר הפסדת, גם בסייבר. צריך לצאת כל בוקר לציד, לזהות את האיומים. הפסיביות הזו בעייתית. זה נכון לגבי הצבא, שהחליט לא להקים זרוע סייבר (הוחלט שסמכויות הסייבר יפוצלו בין חיל התקשוב לאמ"ן; א"ז) וממשיך במנהלי האבטחה בארגונים, שהם אנשים טובים, עם ידע בסייבר, אבל עדיין חיים בתורת הלחימה הישנה של הגנה. צריך לקום כל בוקר ולהגיד: מי האויבים שלי? איך נצוד אותם?".

עובד בסוכנות האבטחה והאינטרנט של קוריאה עוקב אחר התפשטות מתקפת WannaCry ב–15 במאי
Yun Dong-jin/אי־פי


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#