הרעיון ההזוי של שרת המשפטים איילת שקד

הבוקר התבשרנו בעיתונות כי שרת המשפטים איילת שקד מציעה רעיון "מבריק": יש עומס בתיקים בבתי המשפט? הבה נחייב את כל מי שמעוניין להגיש תביעה יצוגית בתשלום אגורה "פעוט" של 50,000 שקל (אם התביעה היא לבית משפט שלום) או 62,000 שקל (אם התביעה היא לבית משפט מחוזי). תהיה אפשרות לבקש פטור אבל אותו פטור ינתן במשורה, ורק במקרים חריגים.

מי שחשב על הרעיון והציע אותו לשרה כנראה לא לקח בחשבון שמשרדי עו"ד שיש להם את הסכומים האלו לשלם, ישלמו וימשיכו להציף את בית המשפט בתביעות שחלקן תביעות מגוכחות, והטריקים של חילופי עו"ד ושאר "דילים" – ימשיכו להתרחש. האם הצעה כזו תעבור? אני בספק ובכל מקרה אני די בטוח שאם ההצעה הזו תקרום עור וגידים – יהיו מספר גופים שיגישו נגדה בג"צ וסביר להניח שההצעה תיבעט החוצה.

זה לא סוד שבתי המשפט "מפוצצים" בתביעות וכל תביעה (בין אם היא תביעה קטנה או גדולה) לוקחת שנים, אבל עד כה הפתרונות היו פתרונות שלעניות דעתי לא ממש נתנו תשובה רצינית לבעיה. הוספת משמרות לשופטים או הצעות של בוררות כאלטרנטיבה הן נחמדות – אבל אלו פתרונות של "פלסטר".

הבעיה הכי גדולה של מערכות המשפט ומשרד המשפטים – נעוצה במחשוב. כן, כיום ניתן להציץ בפסקי דין ובחלק מהמקרים יש אפילו אפשרות להעלות מסמכים (אם כי משום מה בכל הקשור להעלאת מסמכים להוצל"פ לדוגמא – מי שתכנן את המערכת הצליח לגרום לכך שהדבר יהיה כרוך בתסבוך מיותר לחלוטין), אבל עדיין ברוב המקרים יש צורך ב"טיול" לבתי המשפט כדי להגיש מסמכים, אין שום מערכת "התראות" שמתריעה על קבלת תשובה או התראה כי הזמן להגיש תשובה ו/או בקשה חולף ובכלל המערכת נראית כמו משהו שליש אפוי (לפחות הפעם זה תומך בכרום, שגם זה משהו, אם כי התמיכה נעצרת כשזה מגיע לכרטיס חכם אם אינך משתמש ב-Windows).

בכדי לצמצם את העומס הענקי, יש צורך "להחליף דיסקט" במשרד המשפטים וברשויות הקשורות בכל הקשור לכל ה-Life Cycle של תביעה, בין אם מדובר בתביעה קטנה, הוצל"פ, תביעות גדולות וכו'.

אחד הדברים שנכנסים יותר ויותר כיום בעולם המחשבים, הוא ה"בינה הממוחשבת" (AI). גוגל, מיקרוסופט, פייסבוק, וגם לא מעט חברות פה בארץ עובדות על כך שהמחשב לא רק "יבין" בעצם מה אנו רוצים ממנו, אלא שהוא גם "ילמד" מה הם התהליכים, מה "טוב"/"מותר" ומה "רע"/"אסור" והיתרון הכי גדול – איך אפשר לעשות דברים באופן אופטימלי.

בכל תביעה, בין אם מדובר בתביעה של חברת ביטוח, תביעה קטנה, הוצל"פ וכו' – ישנם תהליכים קבועים שחוזרים על עצמם, בין אם מדובר בתהליך פתיחה, או התדיינות הצדדים, הגשת מסמכים, תהליך גילוי/הרמת מסך ועוד 1001 חלקים – רובם חוזרים על עצמם כשהשוני המרכזי הם הטענות של הצדדים וכמובן ההוכחות והתוכן המוגש. כאן אפשר להפעיל אוטומציה שתתן מספר דברים:

  1. בפתיחת תיק, לפי סוג התיק, המערכת תדע לבקש את המסמכים הרלוונטיים מהצדדים, כך שכל צד יוכל להעלות מסמכי וורד או PDF או תמונות או קבצי מדיה לפי מה שצריך בתיק. לאחר ההעלאה, המערכת תודיע לצד השני כי הועלו תכנים ויש באפשרותו להעלות תכנים שהוא צריך להעלות בתיק.
  2. לאחר ההעלאת הקבצים ובחירת שופט (או רשם, תלוי בתיק) – התיק יעבור ל"עוזר" (בין אם עוזר שהוא בעצם AI או נציג אנושי) שיבדוק שהתוכן שהועלה הוא התוכן הנכון, ואם חסרים תכנים לתיק, הוא יודיע לצדדים. בסיום הבדיקה יתאפשר משהו חדש..
  3. אותו משהו חדש הוא בעצם מעין "צ'אט" או מעין "פוסט" בתוך התיק. כל צד יכול לכתוב את הטקסט שלו (בתצורת Rich Text) ולהעלות עוד מסמכים להוכחת טענותיו. לאחר שהוא יסיים לכתוב את התוכן, תישלח הודעה אלקטרונית לצד השני שצד א' כתב תכנים והמערכת ממתינה לתגובתו. לאחר שהצד השני הגיב, המערכת תשלח הודעה לצד א' שצד ב' הגיב ושוב צד א' יוכל להגיב וכו' וכו'
  4. לאורך כל אותו צ'אט יופיע כפתור אופציונלי של "התייחסות שופט/רשם" – שלחיצה עליו תשלח התראה לשופט או לעוזריו להתייחס לתכנים, והשופט/רשם יוכל לכתוב את התייחסותו ולהחליט מה שיחליט. החלטתו תבלוט ב-Flow של התכנים ומה שנאמר ע"י הצדדים.
  5. כל הצדדים יוכלו לראות את כל התוכן בשרשור פתוח ממוספר, כך כל צד יוכל להתייחס לטקסט שנכתב בעבר ע"י ציון מספרו וכך יהיה קל יותר להגיב על דברים שנאמרו בעבר.
  6. היה והשופט הגיע להחלטה לגבי התיק, לשופט יהיו מספר אופציות מה להחליט והמערכת תוציא אוטומטית את כל המסמכים הרלוונטיים לצדדים, וכל התיק (או חלקו) יהיו זמינים לציבור כפי שהם מופיעים כיום כולל פסק דין וכו'.

אינני עו"ד ואני לא מכיר את מערכות המשפט לעומק, ויכול להיות בהחלט שטעיתי במינוחים או בשרשרת כיצד תיק עובר את חייו, אבל בעקרון – הדרך שציינתי לעיל יכולה לחסוך זמן רב בניהול התיקים, ואני בטוח שהדברים אינם כאלו פשוטים.

משרד המשפטים אינו צריך ללכת ולשכור את אחת מהחברות שהוא עובד איתם לכתוב דבר כזה, הוא צריך להוציא משהו כמו "קול קורא" לחברות בארץ שמפתחות תוכנות ו-AI על מנת שיציעו פתרון כזה, לוח זמנים והדגמה של המערכת. כבונוס משרד המשפטים יוכל לבקש תנאי שהקוד עצמו של המערכת יהיה בקוד פתוח עם API פתוח כך שניתן יהיה לשלב מערכות חיצוניות שידעו "לדבר" עם המערכת הזו, כך גם ניתן יהיה לקבל מקהל המפתחים בארץ תיקוני קוד (אבטחה, שיפורים וכו') וגם לראשונה משרד המשפטים יוכל להכיר קצת פלטפורמות מודרניות שעדיין אינם בשימוש אצלם.

האם פתרון כזה יכול לסייע? לעניות דעתי – בהחלט. מערכת כזו יכולה לקצר משמעותית הן את זמן הטיפול בתיק, הן את הזמן ששופט/רשם צריך להשקיע והיא גם יכולה להקל משמעותית על הצדדים מבחינת בהירות התהליך, שקיפות, והמתנה לתורים ארוכים וישיבות ארוכות בבית המשפט (כמובן שמערכת כזו לא מטפלת בדברים כמו שמיעת עדים וכו'). פיילוט שמבוסס על כמה עשרות תיקים בקטגוריה כמו תביעות קטנות לדוגמא יכול להוכיח כמה המערכת יכולה לייעל דברים והליכים.

הכל תלוי במשרד המשפטים. לא צריך להוסיף הליכים וגם מבחינת עלות מחשוב נוספת, לא מדובר במשהו ש"יאכל" מחצית מתקציב המשרד.

קצת על פתרון אחסון חדש לציודים קטנים

כשמסתכלים על תחום המובייל, רואים כי ישנם דברים שמתקדמים לעיתים בקצב מהיר (התפתחות המצלמה האחורית לדוגמא, כמות האחסון, כמות הזכרון [אוקיי, למעט באפל ששם לוקח זמן רב עד שהם מוסיפים RAM], רזולוציית ואיכות מסך ועוד), אך אחד הדברים שבקושי התפתחו בתחום הוא עניין אמצעי האחסון, הן פנימית והן מבחינת כרטיסי מיקרו SD.

עד לפני שנה פלוס, האחסון הפנימי שבטלפון/טאבלט/PC-במקל/PC מבוסס טאבלט היו מבוססים על ארכיטקטורת eMMC, זו אותה ארכיטקטורה ישנה שהיתה עוד בימי ה-Pocket PC ו-PALM (הצבעוניים). עם הזמן יצאו כמה גרסאות (גירסה 4 שלטה זמן בשוק ולפני בערך שנתיים וחצי יצאה גירסה 5, אתם יכולים להסתכל על ההבדלים מבחינת תכונות כאן). גם גירסה 5 של ה-eMMC לא בדיוק הציגה ביצועים מרשימים כל כך (בהשוואה אפילו ל-SSD ביתי!). כן, יכולות הכתיבה והקריאה היו די טובות למובייל, אבל כיום הדרישות הן ליותר: חברות מעוניינות לפתח תוכנות עריכה מתקדמות יותר, אנשים רוצים לעשות עריכות וידאו או תמונות, משהו קצת יותר מהבסיס –  לפני שהם משתפים את כל העולם ואחותו ויש עוד המון פונקציות שחברות פיתוח היו שמחות לפתח למובייל – אם יחידת האחסון היתה מגיבה קצת…יותר..מהר והיה אפשר לעשות יותר פעולות במקביל.

גם בתחום המיקרו SD חלו התפתחויות, אך ההתפתחויות הללו היו יותר שיפורים של פונקציות קיימות כמו כתיבה יותר מהירה וקריאה יותר מהירה עם תאימות אחורה ותמיכה לגדלים מעל 64 ג'יגהבייט (SDXC), אבל הבעיה העיקרית של כל פורמט המיקרו SD הן היכולות שלו – אתה יכול לכתוב בצורה רציפה או לקרוא בצורה רציפה (או למחוק וכו') אבל אתה לא יכול לעשות מספר דברים במקביל כמו קריאה וכתיבה ביחד. הפורמט של מיקרו SD לא מאפשר זאת ולכן אמצעי האחסון הזה הוא מוגבל מאוד ויותר משמש לאחסון מאשר לעריכת תמונה לדוגמא (העריכה תתבצע על ה-RAM והתוצאה תישמר על ה-eMMC/מיקרו SD ובמקרה של תוכנות מתקדמות – העריכה תתבצע על ה-eMMC והתוצאה תישמר על מיקרו SD).

sdומה לגבי האח הגדול של מיקרו SD, כרטיסי ה-SD? ובכן, מבחינת פונקציונאליות כרטיסים אלו זהים לאחיהם הקטן, אך מכיוון שהם גדולים יותר, החברות יצרו כרטיסים בעלי כמות אחסון כמו 512GB, דבר שעדיין לא ניתן לעשות כיום במיקרו SD. גם האמינות שלהם טובה יותר וכמובן – אם הם נופלים, קל לזהות אותם על הדשא, שטח וכו'.

ב-30 למרץ השנה פורום JEDEC הוציא סוף סוף הודעה על המפרט המיוחל שיחליף בהמשך את עניין כרטיסי המיקרו SD (ובהמשך את כרטיסי ה-SD), הלו הוא פורמט ה-UFS.

256GB-UFS_03

פורמט ה-UFS בא להחליף את כל מה שקשור לאחסון מבחינת מובייל/טאבלט וכו'. בפורמט זה "משאילים" את מה שיש לך ב-PC ומכווצים אותו לפורמט מובייל. כך לדוגמא, מהירות הקריאה היא כמו מהירות SSD בחיבור SATA (כלומר עד 550 מגהביט), מהירות כתיבה עד 95 מגהבייט לשניה, ו-IOPS של 40,000 וזאת בהשוואה ל-100 IOPS שאפשר להוציא ממיקרו SD.

UFS_02כפי שאתם יכולים לראות – פורמט ה-UFS הוא פורמט שאינו תואם לכרטיסי מיקרו SD. אינכם יכולים להשתמש בו בציודים נוכחיים, לא רק בגלל צורת הפלסטיק שמעט שונה, אלא גם בגלל כמות ומיקום הפנימים בתחתית הכרטיס. יקח כמובן זמן עד שהיצרנים יתמכו בפורמט זה אך לא זמן רב – כל החברות שמשתתפות בפורום JEDEC כבר התחייבו להוציא ציוד תואם וכך חברות כמו סמסונג, סוני, ניקון, קאנון, מוטורולה ואחרות עובדות בימים אלו על שילוב UFS במוצריהן. הראשונה שיצאה עם כרטיסים היא סמסונג, אך היצרנים האחרים גם יוציאו כרטיסים (בחבילה יכלל מתאם ל-PC) במהלך השנה הקרובה.

פורמט ה-UFS הוא הרבה יותר רחב מאשר כרטיסים אלו, הפורמט הוא גם לאחסון פנימי בטלפון וכו'. כך לדוגמא, אם יש לכם מכשירים כמו סמסונג Galaxy S6 ומעלה, האחסון הפנימי הוא מבוסס UFS, כך שהביצועים שם יותר גבוהים בהשוואה למכשירים אחרים מבחינת FILE I/O (אם כי עדיין אין תוכנות חיצוניות שמשתמשות בפונקציונאליות זו).

אז איפה UFS בעצם יסייע לנו? הנה מספר דוגמאות:

  • כל מי שרוכש מצלמת DSLR לקהל המקצועי-ביתי למיניהם מכיר את הבעיה – אתה יכול לצלם כמות של 15-20 תמונות ברצף ואחרי זה .. אתה צריך לחכות שהמידע יעבור מה-RAM לכרטיס. עם UFS אפשר יהיה "להשתולל" כי ה-UFS יכול לכתוב במהירות את התוכן לכרטיס.
  • כיום ניתן לצלם וידאו 4K בכל סלולרי מודרני מהשנה שנתיים האחרונות, אבל אם תנסו להשוות את איכות הוידאו שצילמתם בסלולרי לאיכות מצלמת וידאו טובה (לדוגמא: Sony PXW-Z150) יראה שההבדלים הם שמיים וארץ, וזה לא רק בגלל החיישן אלא יותר בגלל שהטלפון צריך לדחוס "באכזריות" את הוידאו כך שהוידאו מהסלולר בעיניים מקצועיות יראה די עלוב. עם UFS אפשר לשמור באיכות מאוד גבוהה את הוידאו ישירות לכרטיס וגם אפשר להקליט לפרקי זמן יותר ארוכים (רק שימו לב שהסוללה "תיאכל" בצילום כזה, הקלטות כאלו צורכות המון חשמל והטלפון מתחמם במהירות).
  • כל מקלות ה-PC הזולים (בסביבות ה- ~100$) מגיעים עם כמות מועטה של אחסון: 32 או 64 ג'יגהבייט והוספת כרטיס מיקרו SD כיום לא עוזרת הרבה. אפשר כמובן להתקין תוכנות על המיקרו SD אבל הביצועים יהיו מחפירים. עם UFS לעומת זאת, אפשר יהיה לוותר על התקנת מערכת ההפעלה שהיצרן התקין ולהעביר/להתקין אותה ישירות על כרטיס UFS יחד עם האפליקציות שלכם. הביצועים יהיו כמו SSD ביתי פשוט (לא כמו Samsung 950 Pro), אבל זה הרבה יותר טוב מהמצב כיום. אגב, תהליך זה יקח זמן הואיל ואינטל עד כה לא הוציאה שום Chipset שתומך ב-UFS בצורה "טבעית" ובמקלות PC היצרנים לא נוטים להוסיף צ'יפים מעבר למה שאינטל ממליצה.

לסיכום: UFS מביא סוף סוף את האחסון הקטן לעולם המודרני של משהו שמזכיר SATA (אם כי UFS יותר מתוחכם מ-SATA הואיל והוא יכול לקבל מספר פקודות לביצוע במקביל ולא אחד אחד כמו SATA). אני מתקשה להאמין שנראה בשנה שנתיים הקרובות את האחסון הקטן מתקרב ל"אח" הגדול (NVMe) שנותן מהירויות פנטסטיות, אבל זה יקרה במוקדם או במאוחר. מבחינה פרקטית אם אתם רוצים UFS ככרטיסון – תוכלו להשתמש בו ב-Galaxy Note-7 שיוכרז בהתחלת חודש הבא (2 לאוגוסט), סמסונג מכניסה במכשיר הסלולרי הזה התקן שידע לתמוך הן במיקרו SD רגיל והן בכרטיסון UFS (רק אחד יכול להיות בפנים). שאר החברות בוודאי יתנו פתרון כזה בהמשך השנה או בשנה הבאה.

המציאות והדמיון ב-Mr. Robot

הסידרה Mr. Robot היא אחת הסדרות הנצפות ביותר כיום על ידי אנשים טכניים, חובבי/מקצועני אבטחת מידע. אחת הסיבות לכך היא שבניגוד לסדרות אחרות שבהן מראים כל מיני סוגי גרפיקה מלהיבים שאין שום קשר בינם למציאות – בסידרה הזו מראים לא מעט דברים שהם מציאותיים לחלוטין: שימוש בלינוקס ככלי עיקרי, שימוש בציודים אמיתיים (Bluetooth, Raspberry Pi ועוד) והכי חשוב – לא מזלזלים באינטיליגנציה של הצופה הטכני (בהגבלות מסויימות. אחרי הכל, הם אינם יכולים לפרסם פריצות שלמות בלי לחטוף תביעות מכאן עד הודעה חדשה).

[stextbox id="alert" caption="אזהרה"]מכאן יהיו ספויילרים לגבי פרק ראשון בעונה 2. לא ראית? עצור, תשיג את הפרק, צפה ותחזור.[/stextbox]

בפרק הראשון בעונה השניה רואים מספר דברים, ואני מעוניין להתעכב על 2 נקודות חשובות מבחינת אבטחת מידע.

מה רואים: היועצת המשפטית של הבנק מגיעה לביתה האולטרה-חכם (מה שנקרא Smart Home). האזעקה מצפצפת והיא מנטרלת אותה דרך המסך שצמוד לקיר (אנדרואיד). לאחר מכן היא מנסה לכבות דברים שנדלקו פתאום כמו המוסיקה והטלויזיה וזה מצליח לה בקושי. לאחר מכן היא נכנסת למקלחת ושם היא חוטפת מים רותחים תוך כדי המקלחת והיא נסה על נפשה, ולקינוח המזגן "מחליט" להקפיא את הבית והאזעקה פועלת נון סטופ בלי שניתן להפסיק אותה – עד שהיועצת מרימה ידיים והיא עוזבת את ביתה במונית לבית מלון.

המציאות: ישנן כיום לא מעט מערכות Smart Home בשוק החל מחברות כמו סמסונג ופיליפס ועד למערכות של חברות די חדשות בשוק. רובן המוחלט אינו כולל את מה שרואים בפרק, כך לדוגמא עניין המים החמים לא ממש אפשרי כי המשתמש קובע זאת עם ידית מכנית בעת שהוא מתקלח. אפשר לגרום לדוד חשמל להידלק לפני שהדיירים מגיעים, אבל לא עניין המקלחת. עניין השליטה בטלויזיה, אודיו, אזעקה אפשריים בהחלט אך מבחינת "הקפאת" הבית – להקפיא בית לוקח לפחות שעה למזגן רציני, לא דקות ספורות.

מסקנות שכדאי ללמוד: אלו שקונים בהתלהבות את ה-Smart Home עושים צעד לא חכם. נכון, זה מאוד מפתה לשלוט על הכל בצורה אוטומטית או עם שלט, אבל האבטחה במכשירים אלו היא מחפירה, עלובה, גרועה. במקרים רבים כל מה שצריך זה 5 דקות מול גוגל כדי לדעת איך לפרוץ פנימה ואיך לשנות דברים ב-Smart Home. אנליזה של המכשיר מבחינת קוד אסמבלי או סקריפטים פנימיים יכולה לגלות לא פעם שהסיסמא לשינוי דברים ב-Smart Home נמצאת כטקסט גלוי והחברה התקמצנה בהטמעת מעבד נורמלי כך שהמעבד החלש שהם הכניסו אינו יכול לעמוד בסשן HTTPS אפילו (הבדל של 3-4$!!). כדאי שידע כל רוכש מערכת כזו: הטמעת מערכת כזו בבית עושה את החיים לפורצים יותר קלה (טוב, תלוי אם הפורץ מבין משהו במחשבים. סביר להניח שאזהרה זו יותר מתאימה לחו"ל מאשר לארץ), ואגב – זה לא נגמר בבית, זה גם ברכבים (במיוחד רכבי היוקרה!) – יותר ויותר רכבים ממוחשבים נמצאים עם חורי אבטחה גדולים הואיל והיצרן שוב התקמצן בבדיקת חדירות אבטחה, בדיקת קוד וכו'. באינטרנט יש כל מיני קליפים שמראים מישהו שנמצא במרחק של כמה עשרות מטרים מרכב יוקרתי והפורץ עם לאפטופ מצליח לפתוח את הרכב, לנטרל את האזעקה ולהפעיל, וזה לא נעצר כאן – הנה דוגמא של 2 חברים שהצליחו לשלוט על רכב JEEP בזמן שהרכב נוסע ולבטל ברקסים, לשלוט על המוסיקה ועוד:

מה רואים: עובד במחלקת ה-IT בחטיבת הבנקים של E-Corp הינו חבר גם בקבוצת FSociety והוא מקבל מדארלין Disk On Key והוא כמובן מפעיל אותו באחד המסופים ולאחר דקות ספורות נראה מסך Ransomware הדורש שאחד המנהלים יפגש עם הקבוצה במקום ציבורי עם 5.9 מיליון דולר. ה-Ransomware משתלט על כל המסופים בכל סניפי הבנק ובדרך גם מוחק את בסיס הנתונים המרכזי של הבנק. מה קורה עם הכסף? את זה תראו בפרק 2 (שזמין לצפיה, אגב)

המציאות: תאורתית, עם מספיק תחכום, שוחד עובד – אפשר לבצע התקפת Ransomware אבל זה יהיה מקסימום ברמת סניף ולחוקרי הבטחון של הבנק והמשטרה לא תהיה הרבה עבודה כדי לתפוס את הגורם שביצע זאת: כל מה שצריך לעשות זה להשוות מתי קבצים החלו להשתנות ולהשוות מול הוידאו שצולם במצלמות הפרוסות בבנק לפי אותו זמן. אני מעריך שתוך יום העבריין יתפס.

מסקנות שכדאי ללמוד: אם יש משהו שגורמי הבטחון בבנקים מסרבים להבין זה שהזמנים השתנו. פה נגנבו 81 מיליון דולר דרך מערכת SWIFT, בבנק בבנגלדש כמעט הצליחו להרים מיליארד דולר (וזה נפל בסוף רק בגלל שגיאת כתיב, המשטרה מצאה שהבנק היה קמצן כרוני בכל מה שקשור לסוויצ'ים או חומת אש), וכאן הצליחו להרים דרך הניו יורק פד סכום של 100 מיליון דולר. בכלל, שנת 2016 נראית כרגע כשנה שבה קבוצות האקרים מאורגנות מעזות הרבה יותר ולפעמים הם מצליחים לגרוף מיליוני דולרים ולהשאיר לחוקרים אבק! לך תחפש שיתוף פעולה עם המשטרה הסינית לדוגמא (גם אם קבוצת הפורצים יעשו סלפי קבוצתי והחוקרים יקבלו תמונה – הסינים לעולם לא מסגירים סינים והם מוכנים "לשפוט" את העבריינים).

אם יש משהו אחד שהבנקים (במיוחד בישראל) צריכים – זה "שינוי דיסקט" בכל הקשור לנהלי אבטחה, להעיף נהלים כמו עדכוני אבטחה כל 6 חודשים והעדפה של השכרת אנשי אבטחה שיודעים לחשוב ממש "מחוץ לקופסא", ובדרך להתנתק מדברים כמו מערכות של מיקרוסופט. מה לעשות שאם לפורצים של פריצות Zero Day למערכות שונות, הסיכוי של הבנק להתגונן קטן באופן רציני. קחו דוגמא הכי פשוטה: גשו לכל כספומט, אל תכניסו כרטיס, ופשוט התבוננו במסך: אתם תראו אנימציות פרסום של הבנק. האנימציות רצות על Flash – ומה לעשות של-Flash יש יותר חורי אבטחה מגבינה צהובה! גם אם מערכות הכספומטים יקבלו עדכוני אבטחה (ואין זה משנה אם הן מריצות XP או Windows 7) – מהזמן שהפורצים יש בידם Zero Day ועד שיותקן עדכון אבטחה לאותם Zero Day יעברו לפחות 30-60 יום (מה לעשות שזה לא לינוקס שאפשר לשכור חברה שתסגור פרצות תוך יום או יומיים אם מדובר בקוד קרנל או קוד של חבילת קוד פתוח אחרת שבשימוש הבנק). המון זמן לפורצים. איך הפורצים יכנסו? הרי מערכות הכספומטים סגורים – יש את הגורם האנושי שקל לשחד אותו או בכלל להגיע למפתח שבאמצעות שוחד רציני יכול להכניס קוד זדוני (שמישהו במחלקת הבטחון יבדוק מתי נעשה ואם נעשה Code Auditing חיצוני לקוד של המפתחים בבנק) ומשם הדרך ל"חגיגות" קצרה וישנן עוד דרכים ושיטות שהמשותף להן הוא שברוב המקרים אינדיבידואל לא יכול לעשות זאת אולם קבוצות עם מימון יכולות בהחלט לבצע זאת.

הסידרה Mr. Robot מציגה לעיתים דברים מוגזמים (גרימת נזק לקלטות גיבוי בבניין שמראש נועד לאחסון דברים אלו? קלטת LTO מהישנות ועד החדשות יכולות לעמוד בעד 45 מעלות חום ו-80% לחות!) אבל היא גם מציגה עקרונית דברים שמאוד כדאי להתייחס אליהם: איך הפרטיות שלנו נעלמת, איך הפוסטים שאנו משתפים בהיסח הדעת ברשתות החברתיות יכולים להזיק לנו, וגם איך קל לדעת היום על אנשים הרבה יותר פרטים ולהפוך את חייהם לסיוט מתמשך ומה שהכי חשוב לכל אלו שאחראים על אבטחת מידע ומערכות במקומות שונים – אולי אינכם מאובטחים ממש כמו שחשבתם.

כמה מילים על הצעת "חוק הפייסבוק" של שקד וארדן

לפני מס' ימים התחילו להתפרסם כתבות על "חוק הפייסבוק" של ח"כ איילת שקד וח"כ גלעד ארדן. עו"ד יהונתן קלינגר כתב פוסט מאוד מעניין מבחינת משפטית ואני בהחלט ממליץ לקרוא את הפוסט. אני אכתוב על הפוסט מבחינה יותר טכנית.

ראשית, אציין שאין לי ציפיות מח"כ שקד או ארדן. ההבנה שלהם בפייסבוק בפרט או בגוגל ובאינטרנט בכלל – נראית שאינה גדולה והיא פחות או יותר כמעט כמו משתמשים רבים שאינם טכניים. מצד שני, עצוב לראות ש-2 החכ"ים לא ממש לקחו יעוץ מקצועי מהאנשים שכן מבינים בתחומים הנ"ל לפני שהם החליטו לשלוף את השפן הזה.

כלל מספר 1 לגבי האינטרנט הוא שה"אינטרנט זוכל הכל" (או "גוגל זוכר הכל" ליתר דיוק). כתבת פוסט בבלוג ומחקת? הוא עדיין שם. גוגל שומר עותק "מטמון" שנגיש לכל אחד. מעבר לכך, אם פוסט או טוויט הוא מעניין – אנשים יצלמו את החלק הזה (כולה לחיצה של ALT PRINT-SCREEN ולאחר מכן "גזירה" של הקטע הרלוונטי, 10 שניות של עבודה) ויפיצו הלאה, ולא צריך להתאמץ כדי להיזכר ברגעים מביכים. תשאלו את ג'ודי ניר מוזס, יאיר לפיד ועוד – שפרסמו דברים שהם מחקו אותם אך אנשים העלו צילומי קטעים של הטקסטים להנאת גולשים אחרים.

הצעת החוק הזו הגורסת שגוגל ופייסבוק ישתפו פעולה עם המדינה ושופט יוציא צווים לאתרים שמאוחסנים כאן בישראל או בחו"ל – היא בדיחה עצובה מבחינה טכנית מכמה סיבות:

  • גוגל – עם כל הכבוד, גם כשגוגל מוחקת, היא מוחקת אזורית ברוב הזמן, כלומר לגולש הישראלי שיגלוש ל-Google.co.il לא תהיה מוצגת התוצאה אולם אם הוא יגלוש לגוגל USA – סביר להניח שיראה את התוצאה. כך עשתה גוגל עם החלטת האיחוד האירופאי עם "הזכות להישכח" ואני לא בטוח שהפעם זה יהיה שונה.
  • פייסבוק – כן, פייסבוק יכול למחוק פוסטים, תמונות, תגובות וכו' -אבל אם מפרסם הטקסט או מישהו אחר שרוצה לפרסם את הטקסט – יכול להתחכם בקלות ולהעלות תמונה של הטקסט, ואז כל המערכת תצטרך לעבור את התהליך מחדש.
  • הסרת פרסום בחו"ל – זה לא יקרה. כל ספק שפרטיות הלקוחות שלו חשובה (ויש לא מעט כאלו) פשוט יזרוק לפח את הצו ויבקש צו משופט באותה מדינה ועכשיו נראה את המדינה רצה לשופט מקומי להוציא צו חד צדדי. אתרים רבים שאינם "מוצאים חן" בעיני המדינה (כולל אתרים המציינים מיקומי טילים גרעיניים ושאר אמצעי לוחמה עם מיקומים מדוייקים לדוגמא) עדיין נמצאים וכל מה שצריך הוא חיפוש פשוט בגוגל, אז כל הסעיף הזה הוא בדיחה עצובה במקרה הטוב.
  • השר גלעד ארדן מתלונן על תכנים מסיתים שמפרסם החמאס ותנועות אחרות – וגם כאן מדינת ישראל לא יכולה לעשות הרבה. אם  המדינה תרצה להחרים את השרתים שמארחים את האתרים היא תוכל, אבל החמאס יכול להעלות בדיוק את אותם אתרים בשרתים אחרים שלא נגישים לא לצה"ל וצווים ישראליים לא ממש מעניינים אותם. סתם דוגמא – חמאס מבקש לארח את אתריו בשרתים של חיזבאללה או בכל מדינה ערבית אחרת.

גם בלוגרים ישראליים יכולים לפרסם תכנים שצו בית משפט לא יכול להסיר אותם, ולא צריך להיות גאון גדול כדי לבצע זאת. מספיק לשאול כמה אנשים שמבינים בבניית אתר ובאחסונו, רכישת דומיינים, יצירת סאבדומיינים וכו' – כדי "לנטרל" אפשרות הסרה וגם אם יצליחו להסיר, כל מה שצריך זה 5$ כדי לארח את האתר באחד מאלפי חברות Hosting שישמחו לארח את האתר בחו"ל.

הצעת החוק הזו אינה יותר מהצעה פופוליסטית מבלי שחשבו על הדברים לעומק. אם עובד ציבור נעלב מפוסט שפורסם עליו או כל אדם או גוף מוצא את עצמו נפגע מתוכן שפורסם באתר או בבלוג, יתכבד וישיג צו מבית המשפט להסיר את הטקסט או לחלופין – שיתבע את הבלוגר המפרסם. מי שחושב שהמשטרה תוכל לעזור לו בקטע הזה – כדאי שיחשוב שוב. המשטרה לא יכולה להסיר טקסט כי אין לה גישה לשרת. היא יכולה לבקש מספק האירוח להסיר את האתר (בקשה שיכולה להיות מופלת בקלות בבית המשפט הואיל ויש הבדל ענק בין אתר המארח פוסטים רבים לבין פוסט ספציפי). המשטרה יכולה לבקש מגוגל ופייסבוק אבל גם אז אין שום בטחון שהם יסירו או כמה זמן יקח מהגשת התלונה עד להורדת הפוסט אם בכלל.

לסיכום: הצעת החוק הזו גורמת יותר נזק מתועלת. היא מראה שבסופו של יום ישראל אינה כזו "דמוקרטית" כפי שהיא מציגה את עצמה ועם החוק החדש פוסטים מוסרים על ימין ועל שמאל גם מבלי לקיים הליך מלא של תביעה מסודרת. היה אפשר לוותר בקלות על ההצעה ולהשאיר את הנוהל הקיים כיום של "נוהל הודעה והסרה".