החיים בעולם פתוח ולא בטוח

הצגת התכלית שערך חוקר הסייבר דוד שטרנברג במסגרת כנס CyberSecurity 2014, שהתקיים לפני ימים אחדים, כללה שתי מערכות: האחת קשורה לעולם הנייד, ואדון בה בהמשך. המערכת השנייה, הוויזואלית מאוד, הראתה לאיזה עתיד אנחנו צועדים בעולם הרכב והתחבורה – האפשרות להניע ולהפעיל מכונית בשלט רחוק, ללא מגע יד אדם, בלי כבלים ובלי שום מערכות מחברות. כמו בכל הצגת תכלית, גם כאן כל אחד ראה את מה שהוא הבין או שרצה לראות.

אחדים כינו זאת "פריצה בשידור חי", אחרים נצמדו לכותרת ששטרנברג נתן להרצאתו, "השתלטות על מכונית מרחוק באמצעות תוכנה ומחשב נייד", והיו כאלה שנטו לפקפק האם זה באמת יכול לקרות.

זה אמנם קרה. המכונית שעמדה במרכז האולם הונעה, אורותיה דלקו וסיבובי המנוע נשמעו היטב, כאילו שנהג יושב בתוכה. מכאן, הדיון הוא לגבי המסקנות – והן מגוונות: מה אפשר לעשות עם מכוניות ללא נהג, בהיבט של תנועה, אילו מסקנות יכולות להסיק מזה חברות הביטוח בעולם וברמה היותר כוללת, עד כמה הממשקים שאנחנו משתמשים בהם יום יום חשופים למידע מצד שלישי ועד כמה אנחנו לא מוגנים בהיבט הזה.

חיזוק לטענה זו הביא שטרנברג בהצגת התכלית השנייה שלו באותו אירוע. היא הייתה פחות סקסית אבל השאירה הרבה תובנות. הוא הראה כיצד כל בעל טלפון נייד יכול להפוך להיות מפעיל סלולרי לכל דבר. שטרנברג עשה זאת בעזרת שלושה משתתפים בכנס שהיו מוכנים לנדב את הסלולר שלהם. במספר שניות בלבד הוא הצליח להפוך את אחד המשתתפים למפעיל סלולרי וחיבר את השניים האחרים אליו. השלב הבא היה ששני המנויים החדשים בחברת הסלולר שהוקמה באותו הרגע דיברו ביניהם בצורה חופשית – בחינם, כמובן – ובעל הטלפון הנייד השלישי, "המפעיל", האזין לשיחות שלהם בצורה ברורה וחלקה, באיכות מעולה, שלא הייתה מביישת אף חברת סלולר.

גם כאן המסקנות והתובנות הן רבות, ואפילו מדאיגות. המסקנה המרכזית היא שברור מאליו שחברות הסלולר יכולות להאזין ולעקוב אחרי כל שיחה או פעולה שאנחנו עושים בטלפון. זה כבר לא חדש, אלא שהדוגמה שניתנה בכנס המחישה זאת היטב. ואם הן יכולות ועוקבות אחרי הפעולות שלנו, לרוב מסיבות לכאורה "טובות", כדי לספק לנו שירותים טובים יותר, על אחת וכמה ארגוני ענק כמו פייסבוק (Facebook), גוגל (Google) ואחרים.

עלה מהכנס שאנחנו חיים בעולם פתוח לחלוטין, חסר כל גבולות פיזיים ו-וירטואליים, שבו כולם מאזינים לכולם, כולם עוקבים אחרי כולם והיכולת שלנו להתגונן, לכאורה, מוגבלת.

מה-NSA ועד המאגר הביומטרי
הדיון הזה מחבר אותנו לאירוע אחר שהסעיר את העולם בסוף השבוע: הצהרתו של נשיא ארצות הברית, ברק אובמה, לפיה האמריקנים יחדלו מלהאזין למדינות ידידותיות ויבצעו שינוי משמעותי במדיניות שלהם.

אובמה נתקל בגל של תגובות נגד לדבריו, כי הכול יודעים שה-NSA מצותת לא רק למדינות כי אם גם לארגונים ולפרטים. אולם, השאלה היותר מטרידה, שהנשיא האמריקני כלל לא נתן עליה את הדעת, היא: אם לא ה-NSA, מי ישמור את המידע? מי יעקוב וידע מה אנחנו עושים בכל רגע? הרי איש לא מעלה על דעתו שגורמי ביון וגורמים הממונים על הביטחון האמריקנים יפסיקו לצותת.

עולה כאן שאלה עוד יותר ערכית וכללית: בעידן של תקשורת פתוחה, עד כמה מדינות מסוגלות בכלל לאסוף מידע, לעתים חיוני, ועד כמה הן אחראיות לשמירתו? מכאן, אך טבעי לגלוש במהירות לסוגיה שמטרידה אותנו, בישראל: המאגר הביומטרי. מצדדי המאגר נשבעים באותות ובמופתים כי אי אפשר לפרוץ אותו באמצעים קונבנציונליים, בגלל המבנה שלו, צורת שמירתו ואלף סיבות אחרות. אלא שאת אותה טענה מעלים ראשי ה-NSA וראשי ארגוני ביון בכל העולם, כאשר הם נקראים אל הבוסים הפוליטיים שלהם ונדרשים "להוריד פרופיל" בכל מה שקשור להאזנות.

אפשר היה להתחבר לטענות אלה עד לרגע שבו התפוצצה פרשת אדוארד סנואודן, שחשף סודות רבים של ה-NSA בכל מה שקשור להאזנות ולפריצות. אף אחד לא יכול להיות ערב לכך שיקומו סנואודים אחרים במדינות נוספות, כולל בישראל, ויחשפו את השיטות בהן עוקבים ארגוני הביון באותן מדינות אחרי האזרחים, כמו גם פרטים חסויים נוספים על ראשי המדינה והצבא.

הנה כי כן, בעידן הטכנולוגי שלנו הכול אפשרי: החל מהנעת מכונית בשלט רחוק, עבור בהאזנה מלאה לכל שיחה שאנחנו מקיימים במכשירים החכמים ועד חשיפה כוללת וחסרת מעצורים של הפרטים הכי חסויים והכי אישיים שלנו.

אז מה עושים? לדעת מומחי אבטחה וסייבר, צריך לעשות שני דברים מרכזיים: הראשון הוא להפנים בצורה חד משמעית שאנחנו חיים בעולם לא מוגן וכל החומות והממשקים היפים שמכרו לנו לפני חמש שנים ואמרו לנו שהם-הם ההגנה כבר לא קיימים. הדבר השני שצריך לעשות הוא לא לנוח לרגע ולהמשיך ולפתח אמצעי הגנה ואבטחה נגד המערכות החדישות. המוחות המבריקים יושבים בשני צידי המתרס של המאבק על המידע: אצל ההאקרים, הפושעים והטרוריסטים מזה ואצל ההאקרים ה-"לבנים" וגאוני יחידות העילית למיניהן מזה. מדובר בשדה הקרב החדש, שבו לא הטנקים יכריעו אלא אלה שיצליחו למנוע מאדוארד סנואודן הבא לפצח ולהפיץ מידע בקלות רבה כל כך. עד אז, צריך לעשות את מה שעושים לגבי כל סכנה ידועה: להיזהר, לחשוב פעמיים לפני שחושפים מידע – ובעיקר לא לפטפט יותר מדי בטלפון. זה מסוכן.