מה ההבדל בין סחר בנשק סייבר וסחר ברובים?

הגיע הזמן באמת

מחוקקים בארצות הברית דורשים לשקול מחדש את נהלי ייצוא טכנולוגיות הסייבר ההתקפיות של סקטור אבטחת המידע האמריקאי, ולהחריף אותם. מדובר בצעד רצוי, מבורך ונהדר, שאני מקווה שיקרה גם בארץ ובכל העולם וכמה שיותר מוקדם. למעשה, הוא יוכל להועיל לתעשיית הסייבר, וגם לצמצם פשיעה מקוונת ואפילו פגיעה בחיי אדם.

כדי להבין מה כל כך חשוב בהגבלת הטכנולוגיות הללו, צריך להבין את מהותן; ההבדל בין מוצרי סייבר התקפיים והגנתיים הוא ההבדל בין אקדחים ואפודים קרמיים: האחד מהם הוא נשק - שנועד לפרוץ, לשבור מגננות, לגנוב מידע, לרגל ולהזיק למטרה שלו. למשל, נוזקת פגסוס שפיתחה NSO, ומסוגלת לפרוץ לטלפונים של פושעים ומרגלי אויב ולספק לסוכנויות מודיעין מידע ערכי עליהם. העניין הוא שהתוכנה לא יודעת להבדיל בין מרגל ובין סתם מישהו שהשלטון לא אוהב משום שמחזיק בעמדות לא נכונות, מאמין בדת לא מתאימה, או עיצבן את המקורב הלא נכון. ולכן, יכולות פלטפורמות סייבר התקפי להוביל למקרי פגיעה בזכויות אדם ואף למעצרים ורצח.

לא רוצח, רק מאפשר רצח צילום: שאטרסטוק

ולכן, הגיוני שהפצה ומכירה של פיתוחים כאלה תהיה מפוקחת בצורה הדוקה ביותר. הבעיה בפיקוח הוא שנשק סייבר הוא בעצם תוכנה - לא משהו שקשה להעביר מאדם לאדם, לפרק ולהשביח, או למכור לפושע עם כיסים תפוחים. מערכות נשק אחרות קלות בהרבה לפיקוח, וגם אם תיגנב אחת, לא סביר שתהיה שימושית בידי הגנב תוך זמן קצר. למשל, ב-2011 נפל בשטח איראן מל"ט אמריקאי חמקן מדגם RQ170, והמדינה הינדסה אותו לאחור וב-2016 השיקה את הגרסה שלה, סאעקה.

קוד הוא סיפור אחר לגמרי: אפשר למכור, לגנוב או להדליף את הידע לפיתוחה, רכיבים מהתוכנה, את התוכנה כולה, את פרקטיקות ההפעלה שלה ועוד גם במייל אחד, ולהשמיש אותו במהירות רבה; אם יש לך את המוצר במלואו, תוכל לשגר אותו באותו היום. והחברה שבנתה את המוצר ההתקפי? היא תוכל רק למלמל "זו לא אני, זה הלקוח שחשבתי שהוא בסדר, אבל התגלה כבעייתי". סוגיית הלקוח היא עוד סיפור מההפטרה: הלקוחות הם ממשלות - צבאות, סוכנויות אכיפה, יחידות משטרה, שב"כים למיניהם ועוד. אלו הם גופים גדולים ומסודרים מאוד, אך אף מיטב הניסיונות, חומרים שלהם חומקים לפעמים מבעד למסננת נהלי האבטחה.

המזל"ט שבנתה איראן ע"ב טכנולוגיה אמריקאית צילום: aegistg

חברות הסייבר ההתקפי טוענות שהן מוכרות כלים לישויות ביטחוניות, אך לא נוהגות להתייחס אל התוצרת שלהם בתור "נשק". בפועל, הרי תוכנת פריצה לא פורצת את העור. אבל בעידן בו יש כזה מין זינוק בריגול המוני וכל כך הרבה מידע זמין ברשת על כל אחד, תוכנת הפריצה היא ראש הגשר שחסר לגורמי כוח כדי לצוד מתנגדים ולוחמי חופש, פעילים פוליטיים ויריבים - ציד שמסתיים לא פעם במות הקורבן. למשל, נטען שתוכנות NSO שימשו לאיתור העיתונאי הסעודי ג'מאל חשוקג'י, שמצא את מותו בעינויים איומים. NSO הכחישה, אך יש להניח שלפחות חלק מלקוחותיה השתמשו במוצרים כדי לחטוף ולענות אנשים.

אגב, למחוקקים בארה"ב פחות אכפת מסבל אנושי; הם פשוט לא רוצים שהטכנולוגיה תגיע לידי יריבים בינלאומיים כסין. לכן, הצעת החוק שהחלה להתגלגל לאחרונה מתייחסת לענישת חברות אמריקאיות שמכרו נשק סייבר, ולחשיפת תקריות שכאלה שזוהו בעבר. יש לקוות שהחקיקה תעבור, ותאומץ בידי ממשלות נוספות. זה אפילו לא משנה אם הרעיון הוא להגן על המדינה מפני מתקפות סייבר או לא - פשוט לא חסרים כלי נשק בעולם, שמחליפים ידיים ומזיקים לכולנו - וכל מה שמגביל את הפצתם, מועיל לאנושות.   

ספאם סלולרי: אהבה ושנאה בטלפון

שיחות ספאם הן דבר מעצבן ביותר, יעיד כל מי שרץ פעם לטלפון בהמתינו לשיחה חשובה, רק כדי לשמוע מהצד השני הקלטה של איזו ישיבה שממש רוצה כסף. בעוד בישראל מדובר במטרד ספורדי, בארצות הברית מימדי התופעה עצומים: מיליארדי שיחות שכאלה מבוצעות בכל שנה, ולצרכן אין דרך לעשות דבר נגד ההצקה הזו. מה, הרי הקפיטליזם האמריקאי מתיר לאנשים להציע לאחרים מוצרים, זו הדרך האמריקאית.

בשנה האחרונה החלו ארגוני הגנת צרכנים להגביר את הלחץ על המחוקקים, ונראה ששינוי ממשמש ובא: נציבות התקשורת הפדרלית שוקלת להחיל חקיקה שתאפשר לספקיות סלולר לחסום את שיחות הספאם כברירת מחדל.

"שלום מדברים מישיבת הצדיקים של מעלה גרא" צילום: שאטרסטוק

לא ברור כיצד זה יעבוד טכנית; אמנם קל לזהות פלטפורמות שמבצעות מיליוני שיחות באופן אוטומטי, אך גם לא קשה מדי להסוות את פעילותן באמצעות מכונות וירטואליות, מנגנונים שמדלגים בין רשתות וחשבונות ועוד; חברות השיווק האמריקאיות פשוט לא הצטרכו להשתמש בטכנולוגיות הסוואה שכאלה עד כה, כי החוק איפשר להן להספים טלפונית את האמריקאים. 

ויש משהו מאוד אמריקאי במבנה החקיקה המוצע; אם ספקיות הסלולר הן שיוכלו להחליט אם לחסום באופן יזום את הספאם, האחריות עוברת אליהן. הרשויות לא רוצות להיות אלו שיתערבו במסחר יותר מדי, קפיטליזם אובר אלס. וברוח אותו קפיטליזם, לא מן הנמנע שהספקיות יאפשרו לחברות השיווק להמשיך להספים, פשוט תחת עלויות חדשות ומנויי פרימיום, אולי אפילו יסייעו להן.

קצרצרים

1. כולנו שומעים על AI כל הזמן, ועל כמה שהטכנולוגיה הזו תעשה הכל קל יותר וכל עסק ירוויח בזכותה הון עתק. והנה מגיעה דוגמה מהשטח: מחקר של MIT ואוניברסיטת וושינגטון גילה שכלי AI שביצע תרגום אוטומטי של עמודים באיביי הצליח להביא לצמיחה של 10% במספר העסקאות דרכה. הרעיון מאוד פשוט: לא כל מוצר מוצג בכל שפה, והאינטגרציה התרבותית מצריכה לא פעם מעורבות של מתרגם אנושי או יישום תרגום בסיסי. ואולם, כלי AI הצליח לבצע את התהליך בעצמו והנגיש כך הרבה מוצרים להרבה אנשים. רואים? בינה מלאכותית היא לא רק מכוניות שנוסעות לבד (ולפעמים דורסות אנשים) או כלים שמזהים תוכן פוגעני בפייסבוק (ומצנזרים יצירות אמנות במחשבה שהן פורנו).

בינה מלאכותית? יש ערך שאפשר לראות צילום: שאטרסטוק

2. סין החלה לחסום את וויקיפדיה בכל השפות; עד כה, הסתפקה בשפות המדוברות בשטחה - ועתה הרחיבה את החסימה. מדינות אחרות שביקשו לצנזר את וויקיפדיה נטו לחסום ערכים ספציפיים, כדי שאזרחיהן יוכלו להמשיך וליהנות מהידע השימושי שמציעה האנציקלופדיה השיתופית. אבל סין לא רוצה להנגיש דבר, ואם כבר - ברצונה שאנשים ידעו פחות.

3. אינסטגרם נפטרת מ-Direct, אפליקציית הצ'ט הייעודית שהשיקה בסוף 2017. היא היתה זמינה במספר מדינות ונועדה לאפשר לגולשי הרשת החברתית לתקשר ביניהם אה-לה-ווטסאפ, מה שקצת מתנגש עם העובדה שבעלת אינסטגרם היא גם בעלת ווטסאפ. פייסבוק נמצאת במגמת צמצום שירותי צ'ט, והנחתם על אותה הפלטפורמה כדי שתוכל לשתות מידע מכל יישומי ההתכתבויות השונים שלה - מסנג'ר, ווטסאפ, וכלי ההודעות של אינסטגרם.