כל הזמן מספרים לנו איזו דיסטופיה טכנולוגית יש בסין, שם הממשלה עוקבת אחרי כל צעד ושעל של האזרחים החיים בה, מנטרת ומסננת את התכנים שאותם מבקשים לצרוך משתמשי הרשת הסינית. צקצקנו, כי זה מה שאנחנו יודעים לעשות, וניפחנו את החזה עוד קצת, כי אנחנו נעלים יותר, ליברלים יותר, ולעולם לא נעשה את זה לעצמנו.
אחרי רצח שלושת הנערים היהודים בגדה המערבית אי אז בשנת 2014, קמו קולות בקרב קצונת המשטרה הישראלית הקוראים להגברת היכולת הטכנית לניטור משתמשים ברשת. הסיבות נעו בין קנאה בסמכויות הרחבות (מדי) של חבריהם בשירות הביטחון הכללי לבין ניסיון לתרץ שלל כשלונות מבצעיים בשל "העדר אמצעים". חשבו, והעלו רעיון: בואו נכריח את כל ספקיות הרשת הישראליות להתקין סוס טרויאני בצורת שרת משטרתי דרכו ינותב המידע מהמשתמשים, וכך נוכל לשלוט בו, וכך גם בהם! גאוני, ווטסון, גאוני.
למעשה, אין פה המון חידוש. בית המשפט הגבוה לצדק כבר נדרש לסוגיה הזו בעבר, כאשר האגודה לזכויות האזרח עתרה (בג"ץ 3809/08) נגד הקלות שבה מועברים נתוני תקשורת לידי שירות הבטחון הכללי ושאר מרעין בישין. המדינה השיבה לבג"צ כי אכן ישנם "נספחים ביטחוניים סודיים המסדירים העברת נתוני תקשורת מחברות התקשורת לשירות הביטחון הכללי". השופטים בייניש, גרוניס, ריבלין, נאור, ארבל, חיות, ומלצר, לא חשבו שהטיעונים הטכניים שהעלתה האגודה לזכויות האזרח ראויים מספיק להתייחסות, והשאירו זאת כך.
זאת אומרת שנתוני התקשורת שלנו – התקשורת שעליה אנחנו משלמים כסף טוב מדי חודש לספקי טלפוניה, סלולר ואינטרנט – מועברים מזה שנים רבות לידי ארגוני ממשל ישראלים עם מעט מאוד פיקוח, אם בכלל. כל מה שביקשה המשטרה זה להצטרף למסיבה.
אבל מה בכל זאת שונה וחמור במיוחד כאן? בניגוד למידע שעובר כבר שנים לשב"כ מדי יום, המשטרה מבקשת לא רק לקרוא את המידע, אלא גם לחסום ולשנות אותו. אם נחזור לאנלוגיות הכלא החביבות עלינו, הדבר דומה לתא צפוף בו מוחזקים אסירים רבים, אשר מעוניינים לדעת מה קורה מחוצה לו. ליד החלון יושב אדם אשר מקבל את השאלות של האסירים, מביט בחלון, ועונה עליהן. למשל, אסיר אחר שואל את החלונאי: "מה מזג האוויר בחוץ?", החלונאי משרבב את ראשו מבעד לסורגים, מביט היטב, מחזיר אותו פנימה, ועונה לשואל: "גשום".
המכשיר של המשטרה מחליף את החלונאי שלנו, כך שגם אם מזג האוויר בחוץ יהיה שמשי ובהיר, התשובה שיקבל השואל תתאים לנרטיב אותו מבקשת המשטרה להעביר באותו רגע, בלי קשר לעובדות. אם גשום והמשטרה מבקשת לומר שנעים וחמים, השואל יקבל תשובה "חמים ונעים", ואם שמשי והמשטרה מבקשת שיושבי החדר יחשבו שגשום – החלונאי יענה "עזובת'ך, גשום, אין מה לחפש בחוץ".
שוטר, שוטר, על מי אתה ראוטר?
המנגנון המשטרתי עובד בשתי תצורות, שתיהן חמורות, ואני חייב להודות שאינני מבין איך הדבר נופל במסגרת החוק: התצורה הראשונה היא ניתוב המידע של משתמש בודד, כך שכל האתרים שאליהם ינסה לגלוש ינותבו דרך השרת המשטרתי, כך שפעולותיו ברשת ירשמו, ושהמשטרה תוכל להתערב בתכנים שהוא או היא צורכים. למשל, פרטיותו של אדם המעורב במחאה נגד שחיתות השלטון תיפגע כאשר המשטרה תחשף להרגלי הגלישה שלו, ותחסום מבעדו לגשת לתכנים מסוימים אשר לא נראים ראויים בעיני חבר הכנסת מטעם תנועת הליכוד אשר משמש בתפקיד השר לבטחון פנים הממונה על המשטרה. נשמע בריא!
התצורה השניה אפילו מסוכנת יותר: המשטרה יכולה להתערב בתכנים המוגשים לכל מי שמבקש לגשת ליעד מסוים, בלי קשר לזהותו. למשל, בוקר אחד יתעורר פקיד אפרורי שיחליט שהגיע הזמן לנתב את כל מי שירצה לגשת לתכני הפודקאסט הפופולרי סייברסייבר, אשר חושף את מצבה העגום של הרשת הישראלית, לעמוד שיראה דומה מאוד, אך שתכניו יכתבו על ידי עשרת אלפים קופים מאולפים במרתפי מערך הסייבר, אשר מפיקים תכנים המהללים ומשבחים את עמידות הרשת ואת ביטחון המידע בה.
סיכון נוסף הוא סימון אזרחים המתעניינים בנושא מסוים, נניח השחיתות השלטונית המזעזעת הפושה בכל חלקה טובה (אם עוד נשארו כאלה) בשלטון הישראלי. כל מי שייגש לתכנים כאלה יסומן על ידי השלטונות, ותימנע ממנו גישה למשרות מסוימות, למכרזים מסוימים, לסיווג בטחוני, ובעתיד אפילו לדברים אחרים. דוגמה אחרת יכולה להיות שכל מי שיסומן בהפגנות נגד השחיתות (בין אם יעצר או פשוט יזוהה באמצעי זיהוי פנים בצילומים משם) – תחסם ממנו הגישה לרשתות חברתיות בשעות מסוימות או ביום שלפני הפגנה גדולה. ככה זה עובד בסין, פחות או יותר, ואתם יודעים מה אומרים על מיליארד סינים, נכון? הם לא תוהים. הם מצייתים.
החופש שהרשת מספקת לנו – או, אם נדייק,האשליה של החופש שהרשת מספרת לנו – הוא נדבך חשוב בחיים במדינה חופשית ודמוקרטית. מה שאנחנו שוכחים לפעמים זה שהחופש הזה ניתן לנו בזכות, ושהמדינה יכולה להחליט מחר להושיב ארגון בטחוני על השסתום ולמנוע מאיתנו גישה לתכנים מסוימים, לעוות את המציאות כך שנראה רק את מה שהיא מבקשת שנראה, ולעקוב אחרי הפעילות של כל אחד ואחת מאיתנו בצורה קריפית הדורסת את הפרטיות שלנו, ובעצם עשויה לשנות את הדרך שבה נצרוך את המשאב הזה. המחר הזה כבר איתנו לא מעט שנים, מסתבר.
סטטוסים משנות התשעים
עד כאן הבשורות הרעות, ואסור להקל ראש בעניין הזה. אבל מכיוון שאנחנו חיים בקולחוז טכנולוגי, בואו ננסה להפריד בין מה שהמשטרה *מבקשת* לעשות, לבין מה שהיא *יכולה* לעשות עם המערכת הזו.
הרבה קרה בעולם מאז ישבו המוחות העצומים במשטרת ישראל ותכננו מערכת ניטור והתערבות במידע מסוג זה. דרך היישום של הניטור מתבססת על DNS, קרי, כל מי ש*מבקש* לגלוש לאתר מסוים, יועבר דרך שרתי המשטרה (עוד על מה זה DNS אפשר לקרוא כאן). אבל איך יודעים מי מבקש? מי ששואל את ספקית הרשת שלו לספק לו את כתובת ה-IP של שרת היעד. אז הדבר הראשון שיש לעשות זה להחליף את שרת ה-DNS בו אתם משתמשים למשהו אחר. ידידינו החביב רן בר-זיק כתב מדריך מצוין לעשות בדיוק את זה, ואם בטעות ובמקרה אתם עדיין משתמשים בשרת ה-DNS של ספקית הרשת שלכם, לכו ושנו זאת עכשיו. אנחנו נחכה.
חזרתם? טכנולוגיה חדשה (יחסית) שתמנע את התועלת במערכת החדשה נקראת DNSSEC, שכפי ששמה רומז, היא פשוט מערכת DNS מאובטח ומוצפן, מה שלא יאפשר לספקיות (או לכל מי שעומד בדרך) לדעת לאן אנחנו גולשים. האימוץ שלה ברחבי העולם עולה מדי שנה, ובעוד זמן לא רב בכלל היא תחליף את הטכנולוגיה המיושנת העומדת בבסיס מערכת הריגול המשטרתית הישראלית.
טכנולוגיה נוספת היא HTTP/2, שבניגוד לקודמתה מאפשרת להצפין לא רק את התוכן של התקשורת (כמו היום עם שימוש ב-HTTPS), אלא גם את ה-headers הכוללים את שם שרת היעד. נכון לדצמבר 2020, האימוץ של הטכנולוגיה הזו עומד על כמעט חצי (49.7%) מכלל האתרים ברשת, והנתון הזה רק עולה מדי חודש.
אבל גם אם אנחנו לא סומכים על הטכנולוגיות האלה (מכיוון שהן בשליטת היעדים שאליהם אנחנו פונים, ולא בשליטתנו), אפשר ומומלץ להשתמש ב-VPN. כתבתי בעבר על מה זה VPN, ובניגוד להרבה דברים אחרים, זה כן משהו שהייתי שוקל לשלם עליו, וזה מה שאני עושה. על ידי שימוש ב-VPN למשטרה, לפושעים, ולגופים אחרים, יהיה קשה משמעותית לנטר את פעולותינו ברשת. לא בלתי אפשרי, אבל יקר משמעותית. עוד חשוב לציין ש-VPN הוא לא פתרון אנונימיות, וחשוב להבין מה הוא מספק ומה הוא לא מספק לפני שהולכים לחטוף איזו תנומה על זרי הדפנה. צריך גם להיזהר מספקי VPN שמוסרים, מוכרים או דולפים את המידע שלנו לכל מיני גופים מפוקפקים כמו משטרת ישראל.
לסיכום, משטרת ישראל מכריחה את ספקי הרשת הישראלים להתקין מערכת שפוגעת בנו, באזרחים, ועושה את זה במחשכים. את השאלות החוקיות של הפעלת המערכת אשאיר למשפטנים ממני, אבל את תחושת חוסר הנוחות – כולנו מרגישים. בצד הנעים יותר – המערכת הזו מיושנת, עם יעילות מאוד מוטלת בספק, וניתן לעקוף אותה בקלות ותוך דקות ספורות.
כמה עולה לנו מערכת מטופשת ומיותרת כל כך? מי האדם בעל ההבנה הטכנית הלקויה אשר הציע אותה, ומי האדם בעל ההבנה הטכנית הלקויה עוד יותר אשר אימץ אותה כסטנדרט במדינת היהודים? נמשיך לעקוב. כי באמת רטוב בחוץ, אבל אל תאמינו לחלונאי שאומר לכם שזה גשם.
נעם רותם הוא חוקר סייבראבטחה. הוא מגיש יחד עם עידו קינן את סייברסייבר, פודקאסט פופולרי על האקרים ומאפים
