למה פרטיות היא כבר לא מוצר צריכה בסיסי – ומה יאמר על זה לוציוס מ"האביר האפל"? - קופסה שחורה - הבלוג של לביא לזרוביץ - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

למה פרטיות היא כבר לא מוצר צריכה בסיסי – ומה יאמר על זה לוציוס מ"האביר האפל"?

מעבר לרשתות החברתיות, שם אנחנו מפרים את פרטיותנו ופרטיותם של אחרים באופן מודע, יש עוד אינספור גורמים שאוספים עלינו מידע ללא ידיעתנו ■ פתרון אפשרי לכך מגיע מהאקדמיה הישראלית

מורגן פרימן בתפקיד לוציוס פוקס
מתוך הסרט "האביר האפל"

האם הפרטיות היא זכות בסיסית? התשובה הקצרה והקצת מוזרה היא: לא! מעבר לעדכונים השוטפים של כל אחד ואחת מאיתנו ברשתות החברתיות, שבהן אנחנו מפרים את פרטיותנו ופרטיותם של אחרים באופן מודע, יש עוד אינספור גורמים שאוספים עלינו מידע ללא ידיעתנו - כך חשף אדוארד סנודן ביולי 2013 כאשר העביר לידי הניו יורק טיימס, הוושינגטון פוסט והגרדיאן אלפי מסמכים מסווגים.

סנודן החל לעבוד ב-2013 עבור חברת ייעוץ בשם Booz Allen Hamilton, שסיפקה שירותים עבור ה-NSA בארה"ב. כעובד החברה, קיבל סנודן גישה רחבה למערכות והיה עד לכמות המידע הנאסף על אנשים בארה"ב ובעולם כולו. מה זיעזע אותו כל כך? מה הביא אותו לחשוף מערכות מודיעיניות רגישות? בין היתר הדברים הבאים:

תוכנית למעקב מודיעיני (PRISM) - התוכנית נמצאת בשימוש ה-NSA ומאפשרת גישה לתכנים כמו היסטוריית חיפושים, דואר אלקטרוני, תכתובות ומסרים של כל מי שמשתמש באתרים או שירותים הנמצאים תחת מעקב. המידע נאסף מאתרי אינטרנט ושירותים אינטרנטיים (גוגל, פייסבוק) - לעתים בהסכמת הארגון או החברה שמחזיקה את הנתונים (כמו במקרה של יאהו) ולעתים ללא הסכמת הארגון. במקרים שבהם הארגון או החברה סירבו לחשוף את הנתונים, ה-NSA פנו לבית המשפט בדרישה לחשוף את הנתונים מטעמים ביטחוניים. במקרים אחרים, ה-NSA ככל הנראה פרצו את דרכם לרשת החברה ולנתונים ללא ידיעת הארגון.

תוכנית לשיתוף מודיעין גלובלי – התוכנית מקדמת שיתוף פעולה מודיעיני בין ארגוני ביון ברחבי העולם (בין היתר: GCHQ – הביון הבריטי, BND – הביון הגרמני וככל הנראה גם הביון הישראלי) כדי להתגבר על מכשולים משפטיים. ארגוני הביון לעתים מוגבלים משפטית לעקוב אחר אזרחי המדינה שאותה הם משרתים. לעומת זאת, ארגון ביון אחר של מדינה החברה בתוכנית, אינו מוגבל משפטית ועל כן יכול לעקוב ולספק את המודיעין. כך, במדיניות של יד רוחצת יד, ארגוני ביון במדינות שונות בעולם עקפו את החסמים המשפטיים השומרים על פרטיותם של האנשים.

אדוארד סנודן
רויטרס

השתלטות על תשתיות תקשורת – גישה לסיבי התקשרות והכבלים שמהווים את הבסיס לתקשורת האינטרנט והטלפוניה בעולם היא מכרה זהב לכל ארגון ביון. על כן, על פי המסמכים שנחשפו על ידי סנודן, ארגון הביון הבריטי, ה-GCHQ, פרץ לרשת התקשורת הבלגית Belgacom במבצע שכונה Operation Socialist. המבצע איפשר ל-GCHQ גישה נוחה לתקשורת סלולרית היוצאת והנכנסת ממכשירים השייכים ליעדים של הארגון הנמצאים תחת מעקב. בנוסף לכך, ל-GCHQ ולארגוני ביון שותפים היתה, כמובן, גישה ויכולת מעקב אחרי כל מי שהשתמש ברשת הסלולרית של Belgacom. מבצע Operation Socialist הוא רק דוגמה אחת מני רבות שנחשפו במסמכים שפורסמו על ידי סנודן.

אלו הן כמובן רק כמה דוגמאות למערכות ותוכניות שפותחו ושימשו לאיסוף מידע אדיר. איסוף מידע בקנה מידה שמזכיר קצת את הטכנולוגיה מהסרט "האביר האפל" המאפשרת להפוך כל מכשיר סלולרי למכשיר ציתות.

האביר האפל - דלג

בסרט, לוציוס (מנהל הארסנל של בטמן אשר מגולם על ידי מורגן פרימן) מתרשם מהטכנולוגיה ובסופו של דבר אומר: "Beautiful. Unethical. Dangerous". בדיוק מה שיגיד כל מי שאוהב טכנולוגיה מצד אחד, ומצד שני מבין עד כמה הטכנולוגיה הזו עלולה להפוך מסוכנת: מסוכנת לדמוקרטיה, לחופש הביטוי או פשוט לפרטיות. הטכנולוגיות האלו שפותחו כדי להתמודד עם איומי טרור ואיומים ביטחוניים אחרים, מאפשרות לארגוני הביון לחדור לתאי טרור ולאסוף מודיעין קריטי. המחיר לכך הוא הפרטיות של כולנו. ולאלה מאתנו החושבים שפרטיות היא מחיר נסבל במציאות שבה אנחנו חיים, אדוארד סנודן אומר כך:

סנודן - דלג

עד כאן אין חדש תחת השמש. "האביר האפל" יצא ב-2008 ואדוארד סנודן פירסם את המסמכים ב-2013. מה שכן התחדש לאחרונה, הוא הדרך שבה ארגונים וחברות בוחרים כיום להגן על פרטיות המשתמשים מעינם הבוחנת של ארגוני הביון והטכנולוגיות המאפשרות את זה. לאחר שהתפרסמו המסמכים, המודעות לנושא הפרטיות עלתה גם בקרב המשתמשים וגם בקרב החברות וספקי השירות השונים. חברות כמו אפל ו-ווטסאפ (לפני שנרכשה על ידי פייסבוק) מאפשרות למשתמשים להצפין את התכנים על ידי סיסמה או טביעת אצבע שבלעדיה לא ניתן לגשת לתוכן.

כך, גם אם גוף ביון ידרוש גישה לנתונים בתמיכת בית המשפט, הדבר יתאפשר רק באמצעות ובאישור המשתמש. אפליקציית ווטסאפ, למשל, מבוססת על פרוטוקול סיגנל (Signal) שמאפשר לקבוצות של משתמשים לשלוח הודעות מוצפנות. פענוח ההודעות אפשרי רק לחברי הקבוצה באותו רגע אף שכל ההודעות מאוחסנות (בצורה מוצפנת) על שרתי האפליקציה. לכן, לפייסבוק ובעצם לכל גורם עם גישה לשרתים (גם אם הגורם הזה הוא ה-NSA) אין כל דרך לפענח את ההודעות.

לטוס ללונדון מתחת לרדאר

התפתחות נוספת שהתרחשה לאחרונה בנושא הפרטיות מגיעה מכיוון אחר - האקדמיה בתחום התאוריה של מדעי המחשב. שלושה חוקרים מאוניברסיטת בן גוריון, הטכניון והמרכז הבין-תחומי בהרצליה, העוסקים בתאוריה של מדעי המחשב, הציגו פתרון חדש ויעיל לבעיה חדשה-ישנה הנקראת Private Information Retrieval (PIR). הבעיה, שהוצגה לראשונה כבר ב-1978, דנה בשאלה האם ניתן לתשאל מסד נתונים מבלי לחשוף את פרטי השאילתה. כלומר, האם אליס, שמתעניינת בטיסה ללונדון, יכולה לתשאל מסד נתונים של מחירי טיסות מ-Google Flights או SkyScanner למשל, מבלי לחשוף את יעד הטיסה שבו היא מעוניינת, וכך לשמור על פרטיותה מכל עין בוחנת.

.

המענה הנאיבי והמאוד לא יעיל לבעיה הזו הוא "כן". אליס יכולה לדעת את המחיר לטיסה ללונדון מבלי לחשוף את היעד, פשוט על ידי תשאול מחירי הטיסה עבור כל יעד בעולם. כך, כל גורם עם גישה להיסטוריית החיפושים של אליס לא יוכל לדעת בוודאות באיזה יעד אליס התעניינה.

הפתרון שהציגו החוקרים מבוסס על פונקציה שנקראת Function Secret Sharing (FSS), שאותה בונה אליס כתחליף לשאילתה. כל אחד ממסדי הנתונים מקבל פונקציה הנגזרת מה-FSS ומבצע חישוב שאינו חושף את השאילתה, כפי שניתן לראות בדוגמה.

הדוגמה הניתנת כאן היא כמובן רק הפשטה של הרעיון ופונקציית ה-FSS. בפועל, בניית הפונקציה והתהליכים החישוביים מעט מורכבים יותר ונשענים על יסודות קריפטוגרפים.

כיום, משתמשים הקנאים לפרטיותם צריכים לעשות הרבה כדי להגן עליה: להתקין גישה לרשת האינטרנט באמצעות TOR (The Onion Router) המנתב את תעבורת הרשת על פני מספר שרתים וממסך את המוצא והיעד של התקשרות; להצפין הודעות אימייל באמצעות PGP כך שלא יהיה ניתן לקרוא את ההודעות משרת הדואר האלקטרוני; וכמובן להימנע מרשתות חברתיות. אך תודות להתפתחויות האחרונות והפתרונות החדשים לבעיית ה-PIR, בעתיד הקרוב יתאפשר מימוש יעיל שיאפשר לכולנו ליהנות מקצת פרטיות בין share ל-post מבלי להתאמץ יותר מדי. השאלה היא האם או מתי אתרים ואפליקציות יממשו את הטכנולוגיה.

מימוש פתרון כדוגמת ה-FSS יוציא מידיהן של החברות המחזיקות במסדי הנתונים הרבה מאוד מידע על משתמשיהן. מידע בכמות עצומה כאמור מעניין מאוד ארגוני ביון ושווה הרבה מאוד כסף. אך בדומה למקרה של פרוטוקול ה-HTTPS והאייקון של המנעול הירוק בדפדפן, אם אנחנו, המשתמשים, נעדיף להשתמש בשירותים המגנים על פרטיותנו - תיאלצנה החברות לבנות אתרים ואפליקציות המממשים את הטכנולוגיה. כך פרטיותנו תישאר מוגנת מעיניהן הבוחנות של ארגוני הביון, ובנוסף הדבר יחייב את אותן חברות לחפש דרכים אחרות להגדיל את שורת הרווח. והפעם - לא על חשבון הפרטיות של כולנו.

הכותב הוא חוקר סייבר בכיר במעבדות סייברארק; סייברארק היא חברה גלובלית לאבטחת חשבונות פריווילגיים - שכבה קריטית באבטחת ה-IT המגינה על תשתיות ונכסי מידע של הארגון.

הרשמה לניוזלטר

כל הסקירות בזירת הניתוחים של TheMarker - בתיבת המייל שלכם

ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות שאולי פיספסתם

*#