מי המדינה מעדיפה שידווח לה על כשלי האבטחה?

בתגובת הליכוד לחשיפה העדכנית, השלישית במספר, על דליפת של פנקס הבוחרים , ניתן לזהות כמה שלבים ברורים, מעין גרסה מעוותת של מודל חמשת שלבי האבל של קובלר-רוס.

ראשית, מיקוח או הדיפת אשמה. "תפנה לאלקטור", נמסר מהמפלגה. כמו רוצים לומר, "זה לא אני עשיתי, זה הוא". לאחר מכן, כשהבהירו בכלכליסט שהפעם אי אפשר להתמקח ושהמידע דלף ישירות מאתר הליכוד, הגיע שלב ההכחשה או ההתעלמות והתגובה שונתה ל"לא נגיב". ואז, מאוחר יותר, אולי אחרי שעיבדו עוד קצת את שארע, הגיע שלב הכעס והזעם הקדוש. "ניסיונות התקיפה הפליליים של אתרי הליכוד מבוצעים על ידי עבריינים שפועלים באופן שיטתי כדי לפגוע בליכוד ובהליך הבחירות", נמסר. "הליכוד הגישה תלונה נוספת למשטרה ואנו מצפים לפעולות מהירות שלה לתפיסת העבריינים".

אגב, אם בליכוד רוצים לאתר את ה"עבריינים" המדוברים, קרי אלו שחשפו את כשלי האבטחה החוזרים ונשנים במערכות השונות שבהן משתמשת המפלגה, הם לא צריכים לפנות למשטרה על מנת שתפתח בחקירה, כל שהם צריכים לעשות זה לקרוא הכתבות השונות  שפורסמו בנושא בכלכליסט. שמות ה"עבריינים" מתנוססים שם בגאון – וכדי לאתר את פרטיהם המלאים הם יכולים להיעזר במידע שדלף ממערכותיהם.

ישנן המון בעיות בכל אחת מהתגובות השונות של הליכוד, אבל השלישית היא הבעייתית מכולן, ומכמה סיבות. ראשית, מכיוון שבמקום להתמודד ישירות עם בעיות אבטחה חמורות, חוזרות ונשנות במערכותיה, במקום לקחת אחריות על בחירה כושלת של ספק אפליקציה או העדר אבטחה באתר שלה עצמה, המפלגה בוחרת לקבור את הראש בחול או להטיח האשמות בגורמים עוינים לכאורה שמבקשים לחבל בקמפיין הבחירות שלה.

במדינה נורמלית, כשלי אבטחה שחושפים את מידע על בעלי זכות הבחירה, כולל מידע רגיש במיוחד כמו מצב רפואי של האדם או משפחתו, היו מאלצים את הגורם שממנו דלף המידע לספק תשובות רציניות, לקחת אחריות ולהודיע על פעולה משמעותית כדי למנוע מקרים כאלו בעתיד.

ואולם כשמדובר בישראל ובליכוד, המפלגה לא רק יכולה להגיב בהתחמקות מוחלטת מאחריות, ובספין שקוף שמנסה להפנות את האשמה לגורמים מסתוריים, אלא גם לזכות לגיבוי לכך בדמות תגובה מנומנמת מצד מרבית התקשורת המקומית שמעדיפה להקדיש את משאבי הסיקור שלה להפצת פאניקה מיותרת על מגיפה מנופחת.

מפלגת הליכוד בתגובה לדליפת המידע | צילום: אלעד גרשגורן

הבעיה החמורה יותר היא תיוג הגורמים שמאחורי החשיפה כעבריינים. חמורה, מכיוון שהיא חוטאת לאמת. נעם רותם ורן בר זיק, שחשפו את הפרצות, עשו זאת בדרך הכי לגיטימית שאפשר ודיווחו עליהן למערך הסייבר. המטרה שלהם היא לא לקבל גישה למידע על מנת למכור אותו או להשתמש בו לרעה, אלא לחסום את הפרצות שזיהו, וכן גם לפרסם אותן בצורה רחבה במטרה ליצור מודעות לסוגיה בקרב החברות והגורמים הרלוונטיים, מתוך תקווה להביא להגברת האבטחה של מערכות אחרות ולמנוע בדרך זאת פרצות נוספות.

מבחינה משפטית יבשה לחלוטין בליכוד צודקים. לפי חוק המחשבים, בר זיק ורותם ביצעו עבירה שדינה שלוש שנות מאסר: "החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים. וגם בר זיק עצמו מודה שלפי לשון החוק, כל פעולה של חשיפת כשל אבטחה מלווה בעבירה על החוק. "חוק המחשבים הוא כה מיושן, שלצורך העניין גם הוספה של התו '/' בסוף כתובת האתר ופעולות פשוטות נוספות שנעשות ללא תוכנות סריקה ופריצה נחשבות כלא חוקיות", הוא אמר לדו"ח טכנולוגי. "כל מי שמגלה פירצה ומדווח עליה, גם אם באופן אחראי ולחברה - מסתכן בתביעה ובכתב אישום פלילי. גם אם מדובר בפרצות מגוחכות על גבול האבסורד כמו חלק מהפרצות שראינו לאחרונה. לא מעט מחוקרי האבטחה הישראלים הטובים פשוט מדלגים הלאה לאחר שנכוו".

עם זאת, עו"ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות אמר לדו"ח טכנולוגי שבפועל, כנראה שלא ינקטו פעולות חקירתיות או אחרות נגד בר זיק ורותם: "במקרה שבו המשטרה תחל בחקירה בנושא זה, הרי שקיימת הנחיה מפורשת של פרקליט המדינה שלא להעמיד לדין. ההנחיה מבוססת על מקרים רבים. בראש ובראשונה, מקרה מתחילת שנות ה-2000 בו אדם ביצע בדיקות אבטחה לאתר המוסד. כאשר הוגש כנגדו כתב אישו,  זיכה אותו בית המשפט והסביר שבמקרים שבהם הבדיקה בוצעה רק כדי להראות את פרצת האבטחה, דווחה כדין ובאה לתקן עוול מצד האתר, הרי שלא יהיה מקום להרשיע. זו ההתנהלות שהיתה גם כאן ולכן, להערכתי, אם תהיה חקירה היא תהיה לכיוון השני: האם היתה עבירה פלילית מצד הליכוד כאשר לא אבטח את המידע כראוי".

ואולם, הנחיה היא בסופו של דבר רק הנחיה, וכמו שנכתבה יכולה להתבטל במחי יד. וגם אם בתי המשפט יזכו בסופו של דבר האקר אתי שחשף פרצות אבטחה, עצם קיום החוק יכול להוות גורם מרתיע, במיוחד בקרב אלו שלא מצויים בנבכי הפסיקה וההנחיות בתחום. "יש הנחיה, אבל כשאדם מן היישוב מקבל מכתב מאיים מעורך דין, זה פחות חשוב", הבהיר בר זיק. "כשחוקר אבטחה מקבל מכתב מעורך דין וצריך לכלות את זמנו ואת ממונו בפניה לעורך דין אחר שיגן עליו - יש לזה אפקט מצנן. חברות לא חוששות לעשות כן בגלל 'שיטת מצליח'. אם הם יצליחו להשתיק את החוקר, מה טוב. אם לא, חולשתן של רשויות האכיפה והבקרה בישראל לא תגרור ענישה. בפרשה הזו, האיומים יגרמו אפקט מצנן מאוד על חושפים כאלו והבמה תינתן לעבריינים".

אפליקציית אלקטור. כנס הליכוד | צילום: Youtube

התגובה של הליכוד היא לא יוצאת דופן. בר זיק ורותם נתקלים בדרך קבע באיומים מצד עורכי דין או בתלונות במשטרה בתגובה לחשיפות אבטחה שלהם. בתור שני חוקרים ותיקים ומיומנים, הם לא מתרגשים מאיומים כאלו ויודעים שדינם לחלוף עם הרוח. אבל האקרים אתיים אחרים, צעירים יותר, פחות בטוחים בעצמם, כאלו שמכירים את הסוגיה המשפטית פחות טוב, או סתם כאלו שלא מעוניינים לכלות את זמנם ואת כספם על התכתבויות עם עורכי דין, פשוט יזנחו את התחום, זה לא שווה את כאב הראש.

או, שהם ילכו לחפש פרצות אבטחה במערכות של חברות טכנולוגיה בינלאומיות. שם, לא רק שלא מאיימים בתלונה במשטרה או קוראים לחושפים עבריינים, אלא מקבלים בברכה דיווחים כאלו כי יודעים שהם מסייעים לחזק את המערכת. למעשה, בחברות הבינלאומיות כל כך רוצים לקבל את הפרצות שהאקרים אתיים מגלים, שהן משלמות כסף טוב על דיווחים בנושא, אם עומדים בממדים מסוימים. מספיק טוב, שהאקר מוכשר שמקדיש את זמנו לנושא יוכל להתפרנס מכך.

אבל איפה הן ואיפה החברות והארגונים הישראלים, שתגובה "טובה" מצדם נחשבת לתיקון הפרצה מבלי להגיב באופן כלשהו, לחיוב או לשלילה, להאקר שזיהה אותה. מצב זה לא סתם מעצבן - הוא אפילו מסוכן. "התפישה לפיה יש לסמוך על חברות המונעות על ידי שורת הרווח בענייני פרטיות ואבטחת מידע הוכיחה את עצמה פעם אחרי פעם כלא רק טיפשית, אלא גם מסוכנת", אמר רותם לדו"ח טכנולוגי. "המדינה צריכה לשאול את עצמה מי היא מעדיפה שידווח לה על כשלי האבטחה הזוהרים הללו: חוקרי אבטחה שפרטיות האזרחים נמצאת לנגד עיניהם, או אף אחד, כשהמידע יעבור פעם אחר פעם לידי גורמים שליליים? עד שיבנה מנגנון אחר שיבטיח את אבטחת המידע המוחזק על ידי גופים במשק, חוקרי האבטחה הם קו ההגנה האחרון נגד דליפות מחרידות כמו אלה בהם חזינו בשבועות ובחודשים האחרונים".

המצב הקיים הוא כשל חמור שפוגע באבטחת המידע בישראל ויש דרך פשוטה לטפל בו: לתקן את החוק כך שיספק הגנות להאקרים אתיים מפני תביעה אזרחית או חקירה פלילית (כמובן, בתוספת מגנונים ראויים שימנעו ניצול לרעה, למשל איסור על שימוש במידע למטרה כלשהי כשחובה לעדכן את החברה ואת מערך הסייבר מיד עם גילויה). זה מהלך שיכול לסייע משמעותית לשיפור אבטחת המידע בישראל, שכן הוא ישחרר חוקרים עצמאיים רבים מפחד החקירה המונע מהם לחשוף פרצות אבטחה, וגם לא יעלה שום דבר למדינה.

אבל, כשהמפלגות עצמן, ובראשן מפלגת השלטון, נהנות מהמצב הקיים, ומנצלות את החוק המיושן על מנת לייצר ספינים ולהרתיע האקרים אתיים מחיפוש חורים במערכות שלהן, הסיכוי לקידום תיקון כזה לחוק נראה קלוש עד אפסי.

קצרצרים

1. פייסבוק מציע למשתמשים לקבל תשלום בתמורהלהקלטות קוליות שלהם (https://arstechnica.com/tech-policy/2020/02/facebook-offers-to-pay-users-for-their-voice-recordings/), דוגמה נדירה לחברות אינטרנט שמפצה אנשים ישירות על פגיעה בפרטיות שלהם. ההקלטות, שיתבצעו באמצעות יישום מחקר השוק של החברה, Viewpoints. הן ישמשו, לדברי פייסבוק, על מנת לשפר את מערכות זיהוי הקול של הרמקול החכם של החברה, Portal. התשלום: חמישה דולר בעבור אמירת "היי פורטל" ושמות של עד עשרה חברים חמש פעמים ברצף. לא רע, אם אתם בוטחים בפייסבוק. זמין רק למשתמשים בארה"ב.

2. אבל למה לשלם? מחקר חדש מגלה שרמקולים חכמים מופעלים אקראית בין 1.5 ל-19 פעמים ביום, תוצאה של זיהוי לא נכון מצדם של מילות ההפעלה (כדובר איטלקית, אני יכול להעיד שסירי טועה לא פעם ומזהה את שם הפועל essere כ"היי סירי"). זה קורה, למשל, כתוצאה מטלוויזיה שמתנגנת ברקע. הומפוד של אפל ומכשירים מבוססי קורטנה של מיקרוסופט התעוררו הכי הרבה, כאשר הסדרות בנות גילמור והמשרד היו הגורמים המעירים ביותר (כנראה בגלל כמות הדיאלוג הרבה שבהן).

3. פתיחה מרשימה לשירות הגיימינג הסטרימינג של אנבידיה, GeForce NOW: שלושה שבועות בלבד אחרי השקתו לציבור הרחבה הגיע השירות, לדברי החברה, ליותר ממיליון משתמשים רשומים. זאת, בין השאר, הודות לקיומו של מסלול התנסות חינמי שמגביל את איכות התצוגה ואת זמן המשחק לשעה אחת. בנוסף, המסלול בתשלום כולל 90 ימי התנסות בחינם, כך שלמעשה אף אחד ממיליון המנויים האלו לא מספק הכנסות לחברה.

4. טוויטר משהה 70 חשבונות המקושרים למייקל בלומברג, המתמודד הדמוקרטי לנשיאות ארה"ב, בטענה להספמה ויצירת מניפולציה אצל הגולשים.