מחבר: יוסף ורד

✝️ הכומר שמכר את הפרטיות שלו

זהו סיפור עם מוסר השכל על מידע אנונימי שאינו אנונימי, נתוני מיקום בטלפון החכם שלכם, וכמרים שמשתמשים באפליקציות היכרות וברים של הקהילה הגאה

מי שמביט לי במידע, לא יודע מי אני

כשחושבים על המידע שחברות באינטרנט אוספות עלינו, ההנחה הרווחת (והדי לא-מדויקת) בנוגע למידע הזה הוא שמעבירים אותו תהליך של “אנונימיזציה”, שבו מסירים מהמידע כל מזהה אישי (כגון שם, מספר ת”ז, טלפון, מייל וכו’), ומשאירים רק מזהה מספרי שלא ניתן לחבר לאדם ממנו הגיע המידע, וכמובן את המידע עצמו.

המידע האישי שלי אינו רלוונטי למפרסמים וחברות, כיוון שחברה לא צריכה לדעת את השם שלי כדי למכור לי משהו, אלא רק את הפרופיל שלי: מצב משפחתי, מקום מגורים, מגדר, תחום עובדה, והאם אני מחבב כלבים/מאפים/שנ”צ (במקרה שלי התשובה היא “כן” להכל). על בסיס הפרופיל האישי שלי החברה יכולה להתאים לי פרסומות מדויקות, להתאים לי מוצרים ולהרוויח ממני כסף גם בלי לדעת את השם שלי או את המסת”ז שלי. לכן, החברה יכולה שלא לשמור את המידע האישי שלי, וזה לא ישפיע על הרווחים שלה.

הבעיה מתחילה כשאנחנו נזכרים שיש כמות מוגבלת של אנשים בעולם, כך שבהינתן מספיק פרטים על אדם ספציפי, אפשר לפסול אנשים אחרים שאינם מתאימים לפרופיל ולצמצם את החיפוש שלנו עד לרמה שבה ניתן לאתר בדיוק (או לפחות ברמת ודאות גבוהה) את האדם הספציפי שזה המידע שלו, גם ללא שום מזהים אישיים, ורק על בסיס המידע ה”אנונימי” שזמין למפרסמים.

נניח שהמידע שקיבלנו כולל את המגדר של האדם, מיד צמצמנו את טווח התוצאות שלנו בכ-50%. אם יש לנו מידע על קבוצת הגיל שלו, זה כבר יכול לצמצם את הטווח בכמעט 80%, ושילוב של מגדר וקובצת גיל יחד כבר מביא אותנו ל90%. בצורה כזו צמצמנו כמעט 8 מליארד בני אדם על פני כדור-הארץ לקצת פחות מ-800 מיליון, שזה הספק לא רע בשביל שתי פיסות מידע מאוד רחבות. 

תחלק לי לשתיים

בתחום של ניהול מידע קיים מושג מקצועי לתהליך הצמצום הזה, שנקרא “ביט”. ביט מתאר חיתוך של טווח תוצאות קיים לשניים, מה שמשאיר לנו 50% מהטווח הקודם. אם קיימים לנו 2 ביטים, זה כבר ישאיר 25% מטווח התוצאות המקורי, וכו’. לכל פיסת מידע שמאפשרת לנו לצמצם את טווח התוצאות יש ערך של כמה ביטים היא שווה: מגדר שווה ביט אחד, אבל טווח גילאים יכול להיות שווה בין 2 ל-7 ביטים, בתלות ברמת הדיוק שלו. לנתונים נוספים, כגון חבישת משקפיים, אחזקת רישיון נהיגה או מגורים במדינה מסוימת, יש ערך ביט משתנה, אבל לכולם יש ערך שיכול לצמצם את טווח התוצאות המקורי שאיתו התחלנו.

אמנם יש כ-8 מיליארד אנשים בעולם וזה אכן נשמע הרבה, אבל חשבון קצר מראה שזה קצת פחות מ-233. מכיוון שכל ביט אמור לחתוך את טווח התוצאות בחצי, זה אומר שתיאורטית, בהינתן מידע בשווי 34 ביטים או יותר, אני יכול לחבר בין המידע האנונימי של אדם ספציפי לאדם אמיתי עם שם וכתובת, ולדעת בדיוק למי המידע הזה שייך.

אישה מסתירה את זהותה מאחורי מסכה של לואי ויטון 🖼️ האתר הרשמי

כמובן שבמציאות זה טיפה שונה, כי הביטים לא תמיד מחלקים את המידע שלנו באופן “מושלם”, ויש חפיפות של ביטים. גם פיסת מידע מאוד ממוקדת על אדם, כגון “בעלים של תיק יד לואי ויטון”, יכולה להיות שווה הרבה ביטים, אבל היא כבר כוללת בתוכה חפיפה גבוהה מאוד למידע אחר, כגון מגדר, רמת הכנסה, או אפילו אזור מגורים. בנוסף, אין בנמצא (לפחות כרגע) מאגר נתונים פומבי של “בעלי לואי ויטון” עם שמות וכתובות, אז המידע הזה לא כ”כ יעזור לנו לצמצם את טווח התוצאות שלנו.

בשורה התחתונה, בהינתן מספיק מידע אנונימי שאנחנו יכולים להשוות למידע פומבי יחסית שחשוף כבר היום על אנשים, כגון גיל, מגדר, מקום מגורים, מקום עבודה, מאפיינים חיצוניים וכו’, אנחנו יכולים לעשות דה-אנונימיזציה למידע אנונימי, ולחבר אותו לאדם עם שם ופרטים ידועים.

לוקיישן, לוקיישן, לוקיישן

התהליך הזה, שמאפשר את הסרת מעטה האנונימיות כאשר קיים מספיק מידע, הוא הסיבה שנתוני מיקום הם אחד מסוגי המידע הכי מסוכנים לפרטיות: כל דיווח מיקום הוא דבר מדויק מאוד ושווה המון ביטים. נתוני מיקום הם גם רבים מאוד, והם ומצטברים מהר. אפילו מיקום אחד בשעות הלילה בנקודה מסוימת ומיקום נוסף בשעות היום בנקודה אחרת, יכולים להספיק לאיתור אדם ספציפי ברמת ודאות נמוכה. אם הנתונים חוזרים על עצמם אפילו מספר קטן של פעמים, כבר אפשר לדעת בוודאות גבוהה במי מדובר, בהתבסס על נתונים פומביים של מקום המגורים והעבודה או הלימודים של האדם.

כך קרה שנתוני המיקום של הטלפון החכם של ג’פרי בוריל (Jeffrey Burrill), כומר קתולי בכיר מאוד בכנסייה האמריקאית, הובילו להתפטרותו לאחר חשיפתו כהומוסקסואל על ידי גוף תקשורת בשם “הפילר”, המסקר את הכנסייה הקתולית. הפילר רכש באופן חוקי לחלוטין מאגר מידע עצום מספק תקשורת סלולרית. המאגר כלל שנתיים של נתוני מיקום של מיליוני מכשירים, וכן נתוני שימוש של אפליקציות שונות בחיבור האינטרנט של המכשירים.

החשיפה בפילאר שהביאה להתפטרותו של מונסיניור ג'פרי בוריל
החשיפה בפילאר שהביאה להתפטרותו של מונסיניור ג’פרי בוריל

העיתונאים של הפילר הצליחו לאתר במאגר המידע העצום את מכשיר הטלפון של בוריל, בהתבסס על נתוני מיקום מביתו, הכנסייה בה עבד, אירועים בהם השתתף ובית הקיץ שלו. הנתונים גם חשפו כי הוא משתמש באפליקציית ההיכרויות גריינדר, הנפוצה בקרב חברי הקהילה הגאה, וכן ששהה בברים של הקהילה הגאה בעת שביקר בערים אחרות, לעיתים במסגרת עבודתו בכנסייה.

עיתונאי הפילר חשפו את המידע בפני הכנסייה, מה שאילץ את בוריל להתפטר, העלה את הסיפור לכותרות ועורר שוב את הדיון על החוקיות של הפרקטיקה של מכירת מידע אנונימי ע”י ספקי תקשורת, תוך הבנה שבדיעבד המידע יכול לעבור די-אנונימיזציה ולפגוע בפרטיות של המשתמשים.

אגב, ייתכן שהפילאר יפילו עוד בכירים בהמשך. השבוע הם פרסמו ניתוח נוסף של מידע סלולרי מאזור הוותיקן, ודיווחו שבתקופה של 26 שבועות ב-2018, לפחות 32 מכשירים סלולריים עשו שימוש באפליקציות דייטינג וסטוצים ממקומות מאובטחים ובניינים במתחם הוותיקן, אשר אינם פתוחים לתיירים ולעולים לרגל.

אני יודע מה עשית בקיץ האחרון

כבר היום יש להניח שגורמים פליליים רוכשים חבילות של מידע אנונימי ומחפשים בו סימנים לבגידות, נטיות מיניות מוסתרות, שחיתויות, וכל דבר אחר שאנשים מעדיפים שישמר בסוד ולא יהפוך לנחלת הכלל, ומשתמשים בו לאיים על אנשים שיחשפו אותם אם לא יתנו כסף או דברים אחרים (תחשבו על פוליטיקאי שנסחט להצביע באופן מסויים בהצבעה גורלית).

גופי מודיעין ממשלתיים וארגוני טרור רואים ערך גדול במידע כזה. חמאס או חיזבאללה, למשל, יכולים לרכוש מאגרי מידע אנונימיים גדולים, ולהתחיל לעקוב אחרי מסלולים של מכשירים עם היסטוריית מיקומים בכנסת, משרדי ממשלה או בסיסים צבאיים, ולהכין “בנק מטרות” של מקומות מגורים של בכירים ישראלים, מקומות הלימוד של ילדי הבכירים, מסלולי נסיעה קבועים, ועוד מידע שיכול לשמש לפגיעה בביטחון המדינה.

גם גופי אכיפה בכל העולם כיום עושים שימוש במידע שכזה, אפילו לצורך המאבק בנגיף הקורונה, כמו שראינו בישראל עם אפליקציית המגן והאיכונים של שב”כ. כבר היום מידע כזה יכול לשמש כדי לפתור פשעים או למנוע אירועים פליליים, אך גם כדי לרדוף עיתונאים, אקטיביסטים וחברי אופוזיציה. גם עיתונאים יכולים לעשות שימוש במידע כזה ע”מ לחשוף שחיתויות או לחסל דמויות ציבוריות, ורשימת הגופים שיכולים להשתמש במידע כזה, והשימושים הפוטנציאליים בו, עוד ארוכה.

איך מנצחים מגיפה

המצב הוא אכן בעייתי, כיוון שספקי התקשורת שלנו יודעים בדיוק היכן אנחנו נמצאים בכל רגע נתון – ככה הרשת הסלולרית עובדת: הטלפון הסלולרי שלנו משדר, התא הסלולרי הקרוב ביותר קולט, וכך מועברים שיחות, סמסים וגלישה. עד שתעבור חקיקה האוסרת באופן מוחלט מכירה של נתוני מיקום, המידע שלנו עלול להישאר חשוף. אבל לפני שאתם שוברים את הטלפון ועוברים לחיות במערה ולהכין בורקסים על מדורה, יש מספר פעולות שניתן לבצע.

בשלב ראשון, נמנעים ככל הניתן מלאפשר גישה למיקום לאפליקציות שמוכרת את המידע לצד ג’ (שזה כמעט כולן). בנוסף, לא נותנים גישה לנתוני מיקום לאפליקציות בזמן שהן רצות ברקע אלא רק בזמן שהן פועלות על המסך של המכשיר. באופן כללי מומלץ לתת אישור גישה לנתוני מיקום רק לאפליקציות שחייבות את זה כדי לתפקד. באפליקציות של משלוחים וכו’, עדיף להקליד בכל פעם את המיקום שלכם, ולא לתת לאפליקציה גישה אל נתוני המיקום.

בנוסף, מומלץ להשתמש בהגנות ובהצפנות לתעבורת המידע בין המכשיר שלכם והאינטרנט, באמצעות VPN [פרסומת: אנחנו ממליצים על פרוטון VPN], או לפחות אפליקציות הצפנת DNS כגון Intra. ככל שכמות המידע שניתן לאסוף על השימוש שלכם קטנה יותר, הסיכוי לפגיעה בפרטיות שלכם יורד.

לבסוף, נסו לעודד כמה שיותר אנשים אחרים לנהוג כמותכם ולהגן על המידע שלהם. אפילו אם אתם מנהלים חיים שאתם גאים בהם, ואין לכם סודות אפלים שאתם מסתירים, תמיד יהיו אנשים שלא נהנים מהפריווילגיה הזו ונאלצים להסתיר דברים מסוימים בנוגע לעצמם כדי להימנע מפגיעות שונות. אם כולנו ביחד קטין את כמות המידע שחברות מקבלות מאיתנו, מאגרי המידע האלה יהפכו פחות ופחות יעילים, וכך נייצר “חסינות עדר” ונוכל להגן גם על המעטים שזקוקים לפרטיות שלהם.

יוסף ורד הוא סמנכ"ל טכנולוגיה בחברת EMT Engineering LTD. הוא כתב בגליון ספטמבר 2020 על שובן של הצרות של חלונות XP

(תמונה ראשית: איפה ישו? 🖼️ Campos Felipe + עידוק)


מערכת הפעלה בת 19 יוצאת לחופשי ועושה צרות להורים

מי לא זוכר את Windows XP ותמונת הרקע המפורסמת שלה? אמנם עברו 19 שנה מאז שמערכת ההפעלה האהובה הושקה, אבל גם היום היא מצליחה לעשות כאב-ראש לא קטן ליצרנית שלה מיקרוסופט, ועכשיו נראה שכאב הראש הזה הולך לגדול.

בסוף השבוע שעבר הופיעו בטוויטר דיווחים ראשונים על דליפה של קוד המקור של מערכת ההפעלה Windows XP מבית מיקרוסופט. ע”פ הדיווחים בשיחה, קובץ במשקל 43 גיגה שותף לראשונה באתר 4chan, ומאז נמחק, אך עותקים שלו כבר זמינים בטורנטים ובפלטפורמות שיתוף קבצים שונות, והוא נגיש לכל דורש.

דסקטופ חלונות XP

חלונות XP יצאה לשוק ב-2001, ונחשבה למערכת הפעלה מוצלחת בסדרת חלונות. מיקרוסופט לקחה אותה לווטרינר שירדים אותה ב-2014, אז הפסיקה לספק לה עדכונים וטלאי אבטחה (למעט עדכון קריטי חריג אחד ב-2017, שנועד לחסום את הכופרה WannaCry).

הקובץ שדלף כולל את כל קוד המקור של חלונות XP, וכן מספר קבצים וסרטונים הכוללים תאוריות קונספירציה שונות הממוקדות בביל גייטס, מייסד מיקרוסופט. הוא שימש כמנכ”ל החברה עד כשנתיים לפני השקתה של XP, והיום הוא פילנתרופ בתחום הרפואה, שנמצא במוקד של מספר תאוריות קונספירציה שונות המופצות ברשת, ומאשימות אותו במעורבות זדונית בהקשר לנגיף הקורונה ולפריסת רשתות הסלולר בדור החמישי (5G).

קוד מקור – הדנ”א של התוכנה

קוד מקור הוא הקוד שנכתב ע”י המתכנתים שמפתחים את התוכנה, והוא כולל את כל ההתנהגויות של התוכנה וכן הערות שונות, בצורה שניתנת לקריאה והבנה ע”י מתכנתים אחרים. אחרי שקוד המקור מוכן, הוא עובר הידור (ובלעז קומפילציה) – תרגום משפת תכנות לשפת מחשב, מה שהופך אותו לבלתי-קריא לעין אנושית וקשה-עד-בלתי-אפשרי להנדסה לאחור כדי לחלץ ממנו את קוד המקור. זה הקוד שנמצא במחשבי המשתמשים – הם יכולים להשתמש בו, אבל על פי רוב לא יוכלו לפענח אותו.

התכונות של קוד המקור הופכות אותו לקניין הרוחני החשוב ביותר של חברות תוכנה. רוב חברות התוכנה שומרות על קוד המקור שלהן מכל משמר, ומסרבות לחלוק אותו עם גורמים מחוץ לחברה. מקרים של דליפת קוד מקור פרטי לאינטרנט או למתחרים עסקיים יכולים להוביל לנזק כלכלי עצום ואף לסגירה של חברות.

דליפת קוד המקור של חלונות XP ב-4Chan
דליפת קוד המקור של חלונות XP ב-4Chan

(עם זאת, אנו שמחים לראות בשנים האחרונות עליה רצינית בכמות החברות המסחריות המסתמכות על קוד פתוח או על חלקים של קוד פתוח במוצרים שלהן. קוד פתוח – open source – הוא מודל שבו קוד המקור של התוכנה גלוי לחלוטין, וזמין לשימוש, להפצה ולשינוי. היתרון של קוד פתוח הוא שכולם יכולים לראותו, למצוא בו טעויות ופירצות ולתקנן).

כשיש חור בתחתית הדלי, גם המים שלמעלה נוזלים

הבעיה עם חשיפת קוד המקור, מעבר לנזק הכלכלי שבהפצת גירסאות פיראטיות, היא סכנת האבטחה. קוד המקור מאפשר לכל מתכנת בעל ידע להבין כיצד התוכנה תתנהג במצבים שונים, היכן מצויים טעויות ובאגים, וחשוב מכל – היכן השאירו המתכנתים פרצה באופן לא מכוון. באמצעות קוד המקור ניתן גם לייצר עותק של התוכנה לאחר שעבר מניפולציה, והוסרו או הוספו אליו חלקי קוד שונים. האקרים מתים על קוד מקור.

אז איך קורה שדליפה של קוד מקור של מערכת הפעלה כ”כ ישנה עדיין יוצרת בעיות למיקרוסופט כיום? התשובה נעוצה בצורת הפיתוח של סידרת מערכות ההפעלה חלונות. מיקרוסופט מפתחת כל גירסת חלונות חדשה כהמשך ישיר למערכת שקדמה לה, מבצעת שינויים בקוד הקיים (לפעמים תוך כתיבת אגפים שלמים מחדש), ומוסיפה קטעי קוד חדשים כדי לייצר את מערכת ההפעלה החדשה. משמעות הדבר היא שבכל גירסת מערכת הפעלה יש חלקים שלמים שנובעים באופן ישיר ממערכת ההפעלה שקדמה לה.

סוודר חלונות XP שנמכר באתר Shelfies
חולצת חלונות XP שנמכרת באתר Shelfies

בין XP הוותיקה לחלונות 10 של ימינו מפרידים אמנם שלוש גירסאות והר של עדכונים, אבל סביר מאוד שעדיין קיימים חלקים גדולים בקוד של 10 שעברו שינויים קטנים בלבד, או בכלל לא, בהשוואה ל-XP. כך שבאמצעות קריאה ומחקר של קוד המקור של XP, האקרים יוכלו למצוא וקטורים לתקיפה של חלונות 10; ולמידה מעמיקה של הקוד תסייע לתוקפים לקבל תמונה טובה של סגנון הפיתוח של מיקרוסופט, דבר שיכול לסייע להם לחשוף חולשות נוספות במערכות העדכניות.

דבר זה יכריח את מיקרוסופט להשקיע משאבים גדולים עוד יותר באיתור וסגירת פרצות, שחלקן אף עלולות להיות קשות מאוד לטיפול, במיוחד אם הן בבסיס מערכת ההפעלה ואחראיות על פעולות קריטיות רבות.

XP – המערכת שמסרבת למות

סכנה נוספת הנובעת מדליפת קוד המקור היא הסיכון למחשבים שעדיין מריצים XP. נכון להיום, כ-1.3% מהמחשבים בעולם עדיין מריצים את XP. רוב המחשבים הלא מעודכנים הללו משמשים להרצת תוכנות ישנות או שליטה על מכונות ישנות, ועדכון שלהם יהיה כרוך בכתיבת תוכנות חדשות או תוכנות התאמה במקרה הטוב, או בהחלפת חומרה ואף מערכות שלמות במקרה הרע. ארגונים רבים לא מסוגלים להרשות לעצמם את העלויות הללו, ונשארים תקועים עם XP מכורח הנסיבות.

הבעיה היא שרוב המחשבים שעדיין רצים על XP משמשים לשליטה על מערכות חשובות ויקרות, בהן כספומטים, מערכות לחימה, מכשירים רפואיים ומכונות ייצור גדולות. כך שמלכתחילה מדובר במטרות מפתות לתוקפים, וקל וחומר אחרי דליפת קוד המקור.

מסך פרסומת שרץ על חלונות XP 🖼️ ג'וי איטו (CC-BY)
מסך פרסומת שרץ על חלונות XP 🖼️ ג’וי איטו (CC-BY)

מאחר שמיקרוסופט הפסיקה לעדכן את XP בחינם לכלל המשתמשים, כבר כמה שנים ששורה של ארגונים ומדינות משלמים סכומי כסף גבוהים לחברה עבור גישה לקוד המקור והמשך קבלת תמיכה מסוימת, כדי להימנע מהצורך בשדרוג המערכות. התמיכה הזו איפשרה להם להישאר צעד אחד לפני תוקפים פוטנציאלים, ולהצליח לשמר מידה סבירה של הגנה, שכעת לא תתקיים יותר. בנוסף, מיקרוסופט גם הפעילה תוכנית בשם Government Security Program (GSP), שבמסגרתה נתנה למדינות ולארגונים גדולים גישה לקוד המקור כדי שיוכלו לייצר גירסאות מוגנות יותר של מערכת ההפעלה (אולי משם הגיעה הדליפה?)

מה עכשיו?

כדי למנוע ניצול לרעה של קוד המקור לפיתוח מתקפות חדשות ויעילות על מכשירי XP, אחד מהשניים יצטרך לקרות: אחרוני משתמשי XP ייאלצו להיפרד ולשדרג, או שמיקרוסופט תצטרך לחזור ולעדכן את XP.

הערכה זהירה אומרת שמיקרוסופט לא יחזירו את המערכת לחיים, והפרצות שבה יישארו פתוחות. הארגונים שעדיין עושים שימוש במערכת יעמדו בפני בחירה קשה האם לשדרג את המערכות שלהם בעלויות גבוהות, לנסות לסתום לבד את הפרצות במערכת, או פשוט להשאיר את המערכת שלהם פרוצה לחלוטין.

מאחר שקוד המקור נגיש כעת לכולם, ייתכן שנראה צמיחה של חברות שימלאו את החלל שהשאירה מיקרוסופט ויציעו עדכונים והגנות בתשלום. אולי תקום קבוצה קטנה של ארגונים שיפתחו ויפיצו עדכונים כדי להשאיר את המערכת בחיים. ייתכן שגם קהילת הקוד הפתוח תתגייס לנושא ותפיץ עדכוני אבטחה בחינם לכל דורש, כדי לשמר את מערכת ההפעלה האהובה בחיים עוד כמה שנים. מיקרוסופט עלולה לפעול משפטית להגן על זכות הקניין שלה, אבל זה יהיה טפשי מצדה להילחם במי שמנסים לעזור למשתמשים הלגיטימיים שנשארו מאחור.

יוסף ורד הוא סמנכ"ל טכנולוגיה בחברת EMT Engineering LTD