דו"ח טכנולוגי
בלי קפוצ'ונים: וידויה של האקרית
מומחית הסייבר Malware Unicorn מספרת על הצד הנשי של תעשיית אבטחת המידע, תפיסה חדשה מטילה צל על תעשיית ההון סיכון, חברות טכנולוגיה משתפות פעולה בהפלת רשת בוטים ופיטר ת'יל מקדם ניסויים בבני אדם
קפוצ'ון? הצחקתם אותי
הדימוי המקובל של האקר הוא של צעיר מאותגר התפתחותית וחברתית, ששורץ במרתף האפל שלו ובונה וירוסים שידפקו למישהו אחר את החיים. או, במילים אחרות, התפתחות של המדען המטורף מהמאה ה-19, רק עם יותר קוד ופחות גופות גנובות מבית הקברות הקרוב, ועם חתול כתחליף לגיבן בשם איגור.
אמנדה רוסו, הידועה בכינוי Malware Unicorn היא האקרית הגנתית (White Hat) שמתארת את החוויות שלה כאישה בתחום אבטחת המידע. היא היתה צריכה לעבוד קשה יותר כדי להתגבר על העובדה שהיא חריגה בנוף – יש מעט נשים בתחום – וכתוצאה מכך נאלצה ללמוד במהירות איך לעבוד ביעילות שיא ובלי תקלות. היה בכך, לדבריה, גם יתרון: בזמן שהעובדים האחרים התמקדו במגדר שלה, היא התמקדה בשיפור הכישורים שלה.
כעת היא מפעילה בלוג חמוד להפליא שמיועד לחוקרות אבטחת מידע, VanitySec, שמתמקד בשילוב בין אבטחת מידע ואופנה. היא קוראת לעוד נשים להצטרף למקצוע, ומסבירה שלתפקיד שהיא מבצעת יש חשיבות קריטית בהגנה מפני מתקפות רשת. היא מתארת את קבוצת ההאקריות כקבוצה מגוונת להפליא, שבה לכל אדם יש תחומי עניין שונים משלו, ואת יצירתן של תת-קבוצות של גיקיות.
היא מציינת את היתרון שבעבודה מאיפה שבא לך - ואת האנונימיות היחסית של ההאקר. בסופו של דבר, קצת קשה יותר לשפוט אותך על פי המגדר שלך כשהזהות שלך חסויה וכל מה שידוע עליך הוא הקוד שאת כותבת. בישראל, כידוע, יש תעשיית סייבר גדולה ופורחת - ויש בה לא מעט נשים בולטות מאוד. אז אם לשמוע לעצת רוסו, לכל מי שאוהבת קוד ואקשן כדאי לנסות את תחום אבטחת המידע.
זוזו הצידה, צוציקים
חברת הון סיכון חדשה, Social Capital, פנתה לרשות לניירות ערך בארה"ב בבקשה לשמש כתחליף לבנקים עבור חברות שרוצות לצאת להנפקה ראשונית. המנכ"ל שלה, צ'מאט פאליהפיטיה, טען שהשירותים של החברה שלו יחודיים ושחברות הון סיכון אחרות עומדות בפני הכחדה.
זה נשמע במבט ראשון (והאמת שגם במבט שני ושלישי) כמו התייהרות קלאסית של מנכ"ל שמשוכנע שהוא מתת האל לאנושות. אבל בין כל ההשתחצות, יש לפאליהפיטיה כמה נקודות שצריך לחשוב עליהן. למשל, העובדה שתחום ההון סיכון יכול לעבור מהפכה מהיום למחר - מהפכה שתחסל את רוב הקרנות.
היא תתחיל כשטיטאנים כגוגל ואמזון יחליטו שהם רוצים פעילות נרחבת בתחום ההשקעות בחדשנות - לא רק ברמה של קרן אחת או השקעות נקודתיות. למשל, חברה כמו אמזון יכולה להגיד לעצמה "היי, הם עובדים על הענן שלנו, משתמשים בתוכנות שלנו, למה שלא נשקיע בהם?" ולהפוך את ההשקעות לפעילות מרכזית. בניגוד לאנשי הון סיכון, לחברות ענק יש הבנה מעמיקה מאוד של השווקים שהן פועלות בהן ושל חברות שהן צריכות. למה? משום שיש להן משקיעים על הגב וכל העולם עוקב אחר כל פעולה שהן עושות.
לדברי פאליהפיטיה, משקיעי הון סיכון נוטים להישען על תחושת הבטן שלהם והמלצות בקהילה ולא תמיד על תמונה רחבה של השוק, על משהו שאפשר לכמת. המשקיע יכול להחליט שליזם יש תעוזה, חזון, מוצר שלו מתאים, צוות טוב ולשים על החברה כסף שקיבל ממי שהשקיע בקרן. לעומתו, ענקית טכנולוגיה, עם סדרי עבודה תאגידיים, תוכל לבצע ניתוח והערכה טובים יותר בהתבסס על המשאבים שלרשותה. את האנליסטים שלה יהיה קצת קשה לקנות עם מצגת.
אם אתה לא נשען על מודל סטטיסטי, אומר פאליהפיטיה, אם אתה לא יודע מה בדיוק החברה עושה ומה הנתונים שלה, אתה לא במשחק הנכון. הוא נוחר בבוז כשהוא מזכיר את הרקע של משקיעי ההון סיכון האלה: המשפחות הנכונות, בתי הספר הנכונים, כל ההון החברתי הנדרש להגיע לתפקיד ואפס הבנה בו.
חוסל בוטנט אנדרואידי
זה מביך למדי: שורה של חברות, רובן יריבות, התאגדו כדי לחסל במאמץ משותף בוטנט שהשתמש באלפי מכשירי אנדרואיד חטופים כדי לבצע התקפות DDoS מסיביות. הבוטנט, שכונה WireX, זוהה בתחילת החודש. ההתחלה היתה תמימה יחסית: כמה התקפות קטנות על אתרים קטנים. ואז כלי הפשיעה צמח לאלפי מכשירים וההתקפות הפכו למשמעותיות יותר מבחינת תדירות, משך והיקף פעילות הבוטים.
למה מביך? כי בדרך כלל היית מצפה להתקפה כזו מכיוון מכשירי אינטרנט הדברים, שהאבטחה שלהם היא בדיחה גרועה. ניתן היה לצפות שבוטנטים יתקיפו לא רק טוסטרים, אלא גם מחשבים של משתמשים לא מודעים מספיק. אבל מכשירי אנדרואיד? גוגל לא אמורה להגן עליהם?
אז זהו, שלא: הביקורת של גוגל על האפליקציות בחנות פליי שטחית מאוד. במשך שנים לא היתה ביקורת של ממש. וזה מדאיג, כי מכשירי אנדרואיד הם כנראה הסוג הנפוץ ביותר של מכשירים מקוונים שיש בעולם. אם מישהו הצליח להפוך אלפים מהם לבוטנט, יהיו אחרים שינסו וכנראה גם יצליחו.
חוקרי אבטחה של Akamai שמו לב לבוטנט בשלב מוקדם, והבינו שהוא מופעל באמצעות פליי: מאוחר יותר זוהו כ-300 אפליקציות שהסתננו לחנות גוגל תוך שהן מתחזות למשהו אחר, אבל שימשו בפועל ככלי לחטיפת המכשירים שהתקינו אותן. גוגל מחקה בימים האחרונים את כולן, אבל קשה לראות איך היא תמנע מתוקפים לחזור על התרגיל הזה בלי להראות הרבה יותר נוכחות בהליך האישור של אפליקציות. מוקדם יותר החודש, העיפה גוגל מהאפסטור שלה כמה אפליקציות ריגול. לפני שבוע, זיהו שם חוקרים נוזקות פיננסיות. אם גוגל רוצה שהמשתמשים ימשיכו להוריד אפליקציות מהחנות שלה בלי חשש, היא צריכה לקחת הרבה יותר אחריות, בתור בעלת מערכת ההפעלה הסלולרית המובילה; עם כוח גדול מגיעה אחריות גדולה.
קצרצרים
1. המשקיע הסדרתי פיטר ת'יל מקדם בימים אלה מיזם שמפתח תרופה להרפס. הוא כל כך מאמין בהשקעה שלו, שלא אכפת לו שמנהל התרופות האמריקאי מציב תנאים מעיקים להשקת מוצר - תנאים כמו מחקרים שיוודאו שלא מדובר במדע-וודו ושאף אחד לא ימות אם הוא ישתמש בתרופה. עתה נודע שת'יל קידם ניסויים לא-אתיים ב-17 בני אדם מהעולם השלישי, שבוצעו בניגוד לחוק כדי לקדם את פיתוח התרופה. הנתונים מהניסוי כל כך נחותים שהקהילה המדעית מסרבת לקבל אותם. ספרו לי עוד על כמה שעמק הסיליקון משפר את האנושות.
2. בדנמרק ממשיכים את המלחמה נגד אובר: בית משפט הרשיע ארבעה מנהגי החברה בפעילות ללא רשיון נהג מונית, וקנס אותם בסכומים גדולים. אחד הנהגים, שנמצא אשם ב-5,427 נסיעות בלתי חוקיות, נקנס ב-486,500 קרונות – כ-280,000 שקל. שלושת האחרים נקנסו בסכומים שבין 40,000 קרונות (כ-23,000 שקל) ו-100,000 קרונות (כ-58,000 שקל). נשמע כואב. בתביעה הדנית הודיעו שבדעתם להעמיד לדין עוד כ-1,500 נהגי אובר. באובר אמרו שהם מאוכזבים מהפסיקה ושבדעתם לתמוך בנהגים בשעתם הקשה – מה שעשוי לרמוז למדיניות הקבועה של אובר, לשלם קנסות של נהגים מפירי חוק כדי שימשיכו להפר את החוק.
3. היוצר הצרפתי מאט פורי, שיצר את מם פפה הצפרדע, זכה בתביעת זכויות יוצרים נגד שרץ ניאו נאצי, וכתוצאה מכך נאלץ הנתבע למשוך ספר שנאה לילדים שכתב ובו השתמש בדמותו של פפה. במקור, פפה היה צפרדע שוחר כיף. בשנתיים האחרונות, הניאו נאצים הפכו אותו לסמל אנטישמי, עד כדי כך שהוא הוכרז כסמל שנאה. פורי מנהל בימים אלה למאבק כדי להחזיר לעצמו את האיור שלו. עורכי דינו אומרים שזה נצחון ראשון בדרך לעקור את פפה מידי הניאו נאצים. לפני כמה שנים הייתי אומר שזה קרב אבוד, אבל בכלל לא בטוח שיישארו אתרים ניאו נאציים זמינים.
4. האתר הניאו נאצי הוותיק ברשת, סטורמפרונט, הוטבע. לסטורמפרונט יש היסטוריה ארוכה מאוד: מייסד האתר, דון בלאק, כתב ביוזנט כבר ב-1985. סטורמפרונט צמח משורה של קבוצות יוזנט (alt.skinheads, alt.revisionism ואחרות), והמשתמשים שלו נקשרו לכ-100 מקרי רצח על רקע טרור לבן. ספקית ההוסטינג של סטורמפרונט העלימה את האתר לאחר שקיבלה מכתב חריף מארגון עורכי דין למען זכויות אדם, שציינו ביבושת שתוכני סטורמפרונט עומדים בניגוד למדיניות החברה ביחס להפצת שנאה. סביר להניח שכמו הדיילי שטורמר, סטורמפרונט תתחיל עכשיו במסע בין מקומות חסרי מצפון שיארחו אותה לכמה דקות עד שמישהו ישים לב. למרבה השמחה, קצת קשה לנהל ככה אתר.