לקראת אמנת ז'נבה של הסייבר

עשרות חברות חותמות על התחייבות לא לסייע לממשלות במתקפת סייבר, מסתבר שקיימברידג' אנליטיקה גנבה מפייסבוק הרבה יותר מידע משחשבו, ורוסיה בניסיון מגושם לחסום את טלגרם

יוסי גורביץ' 14:2618.04.18

תגיות:

הלנצח נאכל סייבר?

יותר מ-30 חברות טכנולוגיה אמריקאיות, שהבולטות שבהן הן מיקרוסופט ופייסבוק, חתמו אתמול (ג') על הצהרת עקרונות, לפיה הן יסרבו לסייע לכל ממשלה (בכלל זה ממשלת ארה"ב) כנגד "אזרחים או מפעלים חפים מפשע", וזאת מבלי להתייחס למיקומם של אותם חפים מפשע. הצהרת העקרונות אומרת עוד כי החברות יתגייסו לסייע למדינות שסופגות את מתקפת הסייבר, ללא קשר לשאלה האם סיבת התקיפה היא פשע פלילי או פעילות "גיאו פוליטית".

קראו עוד בכלכליסט:

יש כמה נקודות שחשובות לציון כאן. קודם כל, בולטות בהיעדרן גוגל, אפל ואמזון. גוגל ואמזון מחזיקות עננים נכבדים למדי, ולשתיהן יש לא מעט חוזים עם מערכת הביטחון של ארה"ב (אמזון מתחרה כרגע על חוזה לאספקת שירותי ענן לפנטגון). שנית, אף אחת מהחברות שחתמו על הצהרת העקרונות לא מגיעה מהמדינות שביצעו את התקיפות הבולטות בשנה האחרונה: רוסיה, סין, צפון קוריאה ואיראן. שלישית, השימוש במושג "אזרחים ומפעלים חפים מפשע" נראה כמו ניסיון להבחין בין פגיעה באוכלוסיה ובין התקפת סייבר על מוסדות צבאיים – משהו שעל פניו הצהרת העקרונות לא אוסרת.

השאלה האמיתית היא עד כמה האמנה הזו תשרוד מגע ראשון עם ממשל עצבני. אם מחר יחליט דונלד טראמפ לבצע התקפת סייבר על קירגיזסטאן (למה קירגיזסטאן? למה לא?), ומיקרוסופט תסרב לשתף פעולה, היא תוכתר בטוויטר תוך 27 שניות כבוגדת וכסכנה לאומה. האם היא תהיה מוכנה לשלם את המחיר? זו בדיוק הבעיה באמנה של חברות. אמנות צריכות להיערך ברמה הבינלאומית, בין מדינות. הבעיה היא שכמו שאמנות ז'נבה הראשונות הגבילו את השימוש בכוח יבשתי הרבה יותר מאשר את השימוש בכוח ימי, משום שבריטניה השולטת בימים הבהירה שהיא לא תחתום על משהו כזה ולאמנה ימית בלי בריטניה לא הייתה משמעות, כך המדינות שממנפות את התקפות הסייבר ככלי מדיניות לאומי לא יסכימו לוותר עליו. גם ארה"ב לא צפויה לוותר בעתיד הנראה לעין על ה-NSA.

ואף על פי כן, תחושת האי נוחות של חלק ניכר מעמק הסיליקון מהצורך להשתתף בתוקפנות סייבר והאמנה החלקית הזו יכולים, בסופו של דבר, להניע אותנו בכיוון הנכון. גם אמנות ז'נבה לא נכתבו ביום אחד. נקווה רק שנצליח ללמוד משהו מההיסטוריה ושלא נצטרך לעבור את אותה הדרך עד אמנת סייבר סבירה.

מייסד מיקרוסופט ביל גייטס צילום: גטי אימג'ס

87 מיליונים? הייתם מתים

פרשת פייסבוק וקיימברידג' אנליטיקה אולי נמרחת באיטיות במורד הכותרות מאז שמארק צוקרברג העיד מול חברי הקונגרס, אבל היא לא נגמרה. הפרלמנט הבריטי עורך חקירות משלו, בניסיון לברר מה לעזאזל קרה בברקזיט, ואחת מעובדות קיימברידג' אנליטיקה העידה שהחברה אספה הרבה, הרבה יותר מידע מפייסבוק ממה שפייסבוק דיווחה עליו.

לדברי העדה, בריטני קייזר, קיימברידג' אנליטיקה אכן אספה מידע של 87 מיליוני משתמשים באמצעות החידון הידוע לשמצה של אלכסנדר קוגאן, אבל שהחידון הזה היה רק אחד מתוך חידונים רבים שהוכנסו לפייסבוק כדי לאסוף מידע. בעדותה אמרה קייזר שמספר מחלקות בקיימברידג' אנליטיקה היו מעורבות בהכנת החידונים ביחד עם קוגאן, כדי לאסוף כמה שיותר מידע. היא ציינה את שמותיהם של שני חידונים שעל קיומם היא יודעת, אבל אומרת שהיו רבים נוספים.

מאז פריצת הפרשה, פייסבוק שינתה את עמדותיה פעם אחר פעם. תחילה דיברה על מספר משתמשים קטן שדלף, אחר כך על 50 מיליונים, ובסופו של דבר על 87 מיליונים. אבל זה המידע שיש לה על חידון אחד של קיימברידג' אנליטיקה. כעת מסתבר שהיו הרבה יותר – ולפייסבוק לא היה מושג עליהם. החברה אמרה בתגובה, באומללות מסוימת, שהיא עוברת עכשיו על כל האפליקציות שלהן היא נתנה גישה לכמות מידע גדולה (פייסבוק השתמשה בלשון הפסיבית, "הייתה להן גישה") ושבסופו של דבר היא תוציא דו"ח מסכם. כנראה בשישי בערב בתקווה שאף אחד לא ישים לב.

באותה הזדמנות, הוציאה פייסבוקעוד טקסט לא קריא על האופן שבו היא מיישמת את תקנות הפרטיות החדשות באירופה (GDPR), שאמורות לאפשר למשתמשים גישה ושליטה למידע שיש לפייסבוק עליהם. החברה תשלח בקרוב, מיילים למשתמשים אירופאיים שבהם יתבקשו לתת הסכמה מודעת למה שפייסבוק אוספת עליהם. החברה עדיין תדרוש מהם להסכים לתנאי השימוש שלה ולא ממש ברור מה יקרה אם הם יסרבו. נעדכן.

צילום: שאטרסטוק

ברוסיה חוסמים את הכל

הצנזורה הרוסית העבירה לפני כמה ימים לבתי המשפט שלה בקשה לחסום את טלגרם, משום שזו מחזיקה במפתחות ההצפנה של המשתמשים אבל מסרבת לחלוק אותם עם הדירקטוריון השני של הק.ג.ב., המכונה היום FSB, ועם הדירקטוריון הראשון, שמתהדר היום בשם SVR. הללו מהווים את המשטרה החשאית ואת זרוע ביון החוץ של רוסיה, בהתאמה.

מייסד טלגרם, פאבל דורוב, הודיע שהוא לא יכרע ולא ישתחווה. דורוב, שזיהה מראש את מה שצפוי לקרות, עקר ממולדתו רוסיה – שהיצוא העיקרי שלה הוא מוחות רוסיים – והוא מנהל את המאבק הדיסידנטי שלו מהמפרץ הפרסי. לא בדיוק המקום האידיאלי. בחוגי חובבי ההצפנה (או כפי שהמדור אוהב לקרוא להם, מלטפי האניגמות) מציינים בזעף שעצם העובדה שטלגרם שומרת את מפתחות ההצפנה שלה הופכת אותה ללא בטוחה, ומזכירים שאתמול פורסם על כך שהממשלה הצרפתית בונה לעצמה תחליף טלגרם. מלטף אניגמה אמיתי לא זז בלי Signal. דורוב עזב את רוסיה אחרי שפוטין השתלט על המיזם הגדול הראשון שלו, תחליף פייסבוק הרוסי ויקונטקטה (VK), ואמר דברים חריפים למדי על המשטר.

ספקי הרשת הרוסיים מיהרו לציית לצו, ובתגובה המוני רוסים - אוקיי, המוני רוסים עם יכולת כתיבה וגישה לתקשורת – מיהרו להתקין VPN. בתגובה החלה הצנזורה הרוסית להעלים כתובות IP כאילו היינו עדיין בעידן סטאלין, והיא חוסמת כעת טווח נרחב למדי של כתובות ה-IP של אמזון ושל גוגל, בטענה שהללו מאפשרות גישה לטלגרם. הצנזורה גם דרשה מאפל ומגוגל להסיר את טלגרם מחנות האפליקציות שלהן כפי שהיא זמינה ברוסיה. נעדכן.

קצרצרים

1. קיימברידג' אנליטיקה, שכבר הוזכרה למעלה, הייתה בשלבים מתקדמים להנפקת ICO, כשהשמיים נפלו עליה. במקביל היא התכוונה לקדם מטבע שמכונה Dragon Coin והוא מופץ על ידי מאפיונר ידוע ממקאו בעל השם הרומנטי "שן שבורה." המטבע של קיימברידג' אנליטיקה עצמה היה אמור לגייס כספים כדי לאפשר לאנשים למכור את המידע האישי שלהם למפרסמים. יש להניח שהחברה לא תכננה לעדכן את הלקוחות הפוטנציאליים שהיא כבר מוכרת את המידע שלהם. ספק אם יש תחום אפל יותר שבו החברה יכלה לעסוק, אבל אנחנו כבר בשלב ה"אה, באמת? כמה לא מפתיע" ביחס אליה.

2. היום (ד') צפויה חברת האספה המחוקקת של קליפורניה להציג הצעת חוק שתאסור על חברות לאלץ את עובדיהן שפורשים לנהל איתן הליכי גישור במקום לנהל איתן דיון בבית משפט כמקובל. העיקרון שבגללו חברות אוהבות כל כך גישור הוא שגישור הוא חשאי, והוא מאפשר לחברה להסתיר את העוול שביצעה. הוא נוח לחברות מאד במקרים שבהם העוול הוא תקיפה מינית או הטרדה מינית – כי הוא מאפשר להן להשאיר את התוקף בתפקידו בלי מבוכה ציבורית. כמובן, יש סבירות גבוהה שתוקף מיני שתקף ולא נענש יתקוף שוב. באופן ראוי, מי שתציג את הצעת החוק תהיה סוזן פאולר, המהנדסת לשעבר באובר שלפני שנה פתחה את קופת השרצים של החברה. כך צריך.

3. פייסבוק מחקה אתמול (ג') 120 קבוצות לדיון בפשע מקוון, שקידמו שלל פשעים, מהתקפות DDoS, יצירת בוטנטים וספאם ועד עוקץ ניגרי. בקבוצות הללו היו חברים מספר מדהים של 300,000 משתמשים, אם כי אין לדעת כמה מהם אכן היו משתמשים אמיתיים. הקבוצות התקיימו באין מפריע במשך שנים, עד שהעיתונאי וחוקר האבטחה בריאן קרבס הקדיש את יום חמישי שעבר לחשיפה שלהן והעביר את הפרטים לפייסבוק. אם קרבס, חוקר עצמאי, לא היה עושה את העבודה המלוכלכת עבור תאגיד ששווה מאות מיליארדי דולרים, הן היו ממשיכות בפעילותן החרוצה כאילו כלום. פייסבוק: אנחנו כאן בשבילך.

4. כמה סטארט-אפים בסן פרנסיסקו החליטו להיכנס לעסקי הדו-גלגליים, כמובן מבלי להתחשב בחוקים המקומיים וללא הסכמה החלו להציב קורקינטים חשמליים ברחובות, שאותם ניתן להפעיל באמצעות אפליקציה. תוך זמן קצר התמלאה העיר, בו זמנית, באנשים שנוסעים ברכב חשמלי על מדרכות – מגיפה שמוכרת היטב בתל אביב – תוך חוסר התחשבות בהולכי הרגל והפרת המרחב שלהם, ובאנשים שמשליכים את הקורקינטים איפה שבא להם, כי למי אכפת מהסביבה וממילא החברה יודעת איפה הגרוטאה באמצעות האפליקציה. לעיר נמאס, והיא הוציאה צווי מניעה נגד החברות וכלי הרכב הבלתי מורשים שלהן. הללו צווחו ככרוכיה ואומרות שמדובר בפגיעה ביזמות, אלא מה. כי להפקעת שטח ציבורי לטובת רווח פרטי קוראים יזמות.

5. העליה של תוכנות מהירות ומתקדמות (שם קוד: AI) מאפשרות זיוף מדויק של סרטוני וידאו. הם יכולים לגרום לאנשים להיראות כאילו הם עושים דברים או אומרים דברים שהם כלל לא אמרו. כבר יש ז'אנר פורנו כזה, כמובן (רדיט אסרו עליו לאחרונה). בבאזפיד החליטו עד כמה היכולת לפברק את המציאות מסכנת את היכולת שלנו להבחין בין מציאות ובדיון, והעלו סרטון שבו אובמה נראה כשהוא מקלל את טראמפ תוך שהוא מזהיר את הציבור מהעובדה שמעתה, אי אפשר לסמוך יותר על מה שרואים ברשת. מטריד, וסביר להניח שהטכנולוגיה תשמש ארגוני תעמולה אפלים תוך 3...2...1....