יומן אבטחה

הרשת גועשת בעקבות הצעת החוק של חבר הכנסת אמנון כהן מש"ס להגביל גישה לאתרים לא ראויים. ברמה האישית אני לא באמת מבין על מה המהומה. לפני מספר שנים חסמו את הגישה לשיחות פורנו בטלפון, אלא אם המנוי מבקש זאת במפורש ובסופו של דבר ההבדל אינו מהותי. לא מדובר על מניעת שירותים, אלא על הגבלתם לפי גיל. כמו שישנם סרטים בקולנוע שמוגבלים לגיל 16 ומעלה וכדומה. ניתן לעשות זאת, השאלה אםהעלות סבירה, האכיפה ישימה  וכיצד מגנים על פרטיות הגולשים.

אבל כמובן שלא לשם כך התכנסנו. הדרישה הבסיסית היא לזיהוי ביומטרי. יש משהו בזיהוי ביומטרי שקוסם מאוד לאנשים. הרי מה יכול להיות יותר מאובטח או מזהה מאשר טביעת האצבע. אלא שרצוי לזכור שהמחשב לא באמת מזהה טביעות אצבע אלא מזהה משהו שנראה כמו טביעת אצבע. מה זה המשהו הזה? לפני כעשור חוקר יפני עורר מהומה כשבאמצעות חומרים שרכש בשלושים דולר הצליח לעבוד על שמונה מתוך עשרה רכיבי זיהוי ביומטריים, באמצעות הכנת טביעות אצבע מג'לטין. זיהוי ביומטרי הוא בהחלט רכיב אבטחתי חשוב, אך בתרחישים מסוימים. לדוגמא, בתרחיש האומלל שמציע חבר הכנסת כהן זיהוי ביומטרי לא רלוונטי. נניח שיש לנו מאגר טביעות אצבע מרכזי (נניח). ונניח לרגע שכל הספקיות מחוברות אליו (שוב, נניח). מה מונע ממני (הילד הפוחז) לייצר טביעת אצבע מזויפת של אבי או אמי (טביעות האצבע שלהן מרוחות על כל שולחן/מחשב/רהיט בבית). בייחוד כשהחומרים זולים (אם כי היום צריך להשקיע יותר בעת זיוף טביעות אצבע).

באבטחה מקובל לדבר על Client Side Security לעומת Server Side Security. אבטחה בצד הלקוח (Client Side) הוא מצב בו מנגנון האבטחה נמצא בשליטת המשתמש (שאנו מניחים שהוא עוין), בעוד שאבטחה בצד השרת (Server Side) מחייבת כי מנגנון האבטחה נמצא הרחק מידיו של המשתמש. בגלל הבעייתיות של טביעות ביומטריות (ארחיב ברשימה נפרדת על כל הנושא של ביומטרי), זה לחלוטין לא רצוי לעשות בהם שימוש במקום בו לא ניתן לוודא כי נעשה שימוש ראוי במנגנון הביומטרי (להבדיל מכרטיס חכם שמממש רמת אבטחה גבוהה בהרבה).

פתרון אבטחה נכון לטובת החוק של חבר הכנסת כהן יתבסס על שימוש בתשתיות תעודת זהות חכמה, כאשר תעודת הזהות החכמה תכיל זיהוי ביומטרי (בחוק צריך לעמוד בכל זאת), אלא שהזיהוי יהיה לכרטיס. ספקית האינטרנט תוכל לוודא רק את תאריך הלידה של מחזיק הכרטיס (נתון שיופיע על תעודת הזהות) וכך לא תוכל לדעת מי הגולש, אלא רק את גילו. כמובן שצריך לבנות פתרון כזה במיוחד ולא ניתן יהיה למנוע מהספקית לשאול את הכרטיס עוד נתונים, אך לא סביר שהספקיות עצמן ינצלו אפשרות זו לרעה (קל לעלות על זה). פתרון שכזה ימנע מאגר טביעות אצבע מרכזי ויאפשר לשמור על פרטיות בעת גלישה לאתרים לא ראויים. מאחר והכרטיס החכם יהיה גם תעודת הזהות של ההורים (לצורך העניין), קיימת סבירות רבה שהם ישאו את הכרטיס איתם (נדרש על פי חוק) וכך הילד לא יוכל לעשות בו שימוש כשאינם בבית.

כמובן שפתרון זה אינו נותן מענה לסוגיה של זיוף ביומטרי, אך הוא בפירוש יותר חזק מסתם זיהוי ביומטרי. כמובן שהשאלה הבאה היא איך מסננים אתרי פורנו ושאלה קשה יותר היא מה עושים עם גולשים אנונימיים (כאלה שעושים שימוש בשירותי אנונימיזציה כדוגמת TOR או שרתי Proxy מיוחדים מבוססי SSL). על מנת לאכוף את החוק במלואו יהיה צורך לאסור שימוש אנונימי ברשת וזו כבר פגיעה אמיתית בדמוקרטיה. גם אם מסתפקים בסינון של אתרים, נדמה שזו משימה בלתי אפשרית, כיוון שלא ניתן להבחין בצורה ממוכנת בין אתרים "ראויים" ל"לא ראויים". בין אתר פורנו לאתר אקדמי החוקר את תופעת הפורנו.

אפשר כמובן לחוקק חוק שיאפשר לשב"כ לנטר גם את כל תעבורת האינטרנט. אם כבר שומרים על צביון יהודי, אפשר גם לשמור על צביון יהודי וכשר.

* הערה לסיום - ניתן להבין אולי כי אני תומך בקיומן של תעודות זהות חכמות. ובכן, לא. מדובר בפרויקט חסר תועלת, בעל פוטנציאל נזק אדיר לפגיעה בפרטיות האזרחים והונאות כספיות.

הנושא של תעודת זהות חכמה עובר בישראל בשקט יחסי. יצא מכרז שנתקע עקב עתירה (של החברות המפסידות כמובן) לבית המשפט ובשום מקום לא יצא לי לראות התייחסות רצינית לשאלה האם הפרויקט הזה הוא פרויקט ראוי. למעשה, לא הצלחתי לאתר חומרים הקשורים בשאלה מהי בכלל מטרת הפרויקט (ואודה לכל מי שיוכל להפנות אותי לכאלה).

אני אנסה בפוסט זה ואולי גם בעוד כמה בהמשך להאיר בעיות אפשריות הנוגעות לתעודת זהות דיגיטלית. בהזדמנות זו אני גם קורא להקמת פורום מומחים בלתי תלוי שיבחן את השלכות פרויקט שכזה על פרטיות האזרחים, בטחונם ותועלות חברתיות וכלכליות שיש בפרויקט (אם בכלל), לעומת המחיר הצפוי (חברתי וכלכלי). בדומה לפרויקט שנעשה בבריטניה.

נושא תעודת הזהות החכמה נשמע מאוד מלהיב. מה יכול להיות יותר טוב מתעודת זהות דיגיטלית, מבוססת כרטיס חכם ומנגנון PKI המאפשר להצפין, לחתום, להזדהות והכל מהמחשב הביתי. למעשה, הכל יכול להיות הרבה יותר גרוע מכפי שהוא היום.

המצב כיום הוא כזה שלכל אדם יש תעודת זהות (או דרכון, לצורך העניין) וחתימה. בעוד שתעודת הזהות שלו רשומה והונפקה על ידי המדינה, החתימה של כל אחד היא פרטית, הונפקה על ידו ומחייבת אותו רק במידה שבה הוא התחייב לה.

תעודת הזהות הדיגיטלית מאיימת לשנות את הסדר הזה. ראשית, החתימה תונפק על ידי המדינה ולא על ידי האזרח ושנית, החתימה תשכון לבטח על תעודת הזהות. במצב הנוכחי אדם הפורץ למחשבי משרד הפנים יכול לכל היותר לזייף תעודת זהות, אך אינו יכול לזייף חתימה. בעתיד הקרוב, מי שיפרוץ למשרד הפנים יוכל להנפיק לעצמו תעודה עם חתימה של אזרחים אחרים.

על פניו ההבדל אינו מהותי. אלא שאם לוקחים בחשבון שמטרת תעודת הזהות הדיגיטלית לאפשר ביצוע פעולות במרחב הוירטואלי, המשמעות תהיה שדווקא החשש מגניבת הזהויות שמהווה את התמריץ המרכזי (לכאורה) לפרויקטים מסוג זה עלול להתממש ולהותיר אותנו במצב חמור הרבה יותר מכפי שהוא כיום.

כמובן שהטענה שתועלה מייד כנגד היא שמדובר במערכת מאובטחת. אלא שמדוע שנאמין כי מי שלא מצליחים כיום לאבטח את המערכות הפשוטות יותר (הדור הנוכחי) יצליחו לאבטח מערכות מורכבות בהרבה.

אלא שזה לא סוף הסיפור. היה ויום אחד חברות מסחריות יעשו שימוש בתעודת הזהות הדיגיטלית כאמצעי זיהוי, אנו נגלה שלא רק שקל לגנוב זהויות אלא שקשה להתכחש להן. יותר מכך, קורה כאן תהליך מטריד הרבה יותר. אם אדם כלשהו מזייף תעודת זהות, החובה למנוע את השימוש בה חלה על משרד הפנים, המשטרה, הגוף המקבל את התעודה וכדומה. אם מישהו יצליח להשתלט מרחוק על תעודות דיגיטליות של אזרחים, החובה תחול על האזרח. כתוצאה לגופים מסחריים יהיה תמריץ הרבה יותר קטן לאבטחת מערכות.

בשלב הזה אני מניח שצריך להסביר מדוע כרטיס חכם כתעודת זהות חכמה זה לא דבר כה מאובטח. הכרטיס עצמו יכול להיות מאוד מאובטח (אף כי ניתן לפרוץ גם את אלה). אלא שכרטיס חכם עושה שימוש בישות מארחת שרמת האבטחה בה אינה ידועה (מחשב המשתמש). ניתן בקלות יחסית להאזין להקלדות הקוד הסודי של הכרטיס על ידי המשתמש ובאמצעות סוס טרויאני למפות את כרטיס המשתמש למחשב מרוחק. ניתן במתקפה לא מורכבת מדי ולבטח אטרקטיבית להשתלט מרחוק על כרטיס חכם של משתמש.

עכשיו בואו נחבר את הנתון הזה עם כמות המשתמשים בשירותי בנקאות מקוונת בישראל (כמה מאות אלפים), עם כמות המחשבים הנשלטים מרחוק על ידי עבריינים (מה שקרוי bot nets ומונה גם אלפים) ונקבל מתכון לפשיעה מקוונת שיטתית.