אבטחת המידע על המפה

אבטחת מידע

הזדעזעו אמות הסיפים. ריגול תעשייתי ממוחשב מתוצרת כחול לבן, כאן בארצנו הקטנטונת!?. לא פעם אמרנו, כי זה רק עניין של זמן עד אשר פרשה שכזו תתפוצץ במדינת ישראל, אך אף אחד לא ציפה לסדר הגודל. הרי בתחום הריגול התעשייתי, אין חדש תחת השמש, העקרונות ברורים ומוכרים. כך גם הוותק העומד מאחורי מעקב ושליטה ממוחשבים ומזה זמן רב קיימת הטכנולוגיה המאפשרת חדירה למחשב ושליטה מוחלטת בו. מן הפרסומים בתקשורת, נכון ליום כתיבת מאמר זה, מתברר כי משטרת ישראל ניהלה חקירה חשאית ומסועפת בגין עבירות מחשב ואחרות אשר בוצעו לכאורה על-ידי רשימה מכובדת של חשודים. התוצאה, עד כה נעצרו 11 חוקרים פרטיים בעלי שם ומספר לא מבוטל של מנהלים בכירים מן החברות הגדולות והמכובדות בישראל. מתברר גם כי החשודים עשו שימוש בתוכנת ריגול (בלעז SpyWare ובשפת העברים רוגלה) אשר נכתבה על-ידי ישראלי השוהה בחול.

אז מהי בעצם תוכנת ריגול? בקליפת אגוז מדובר בתוכנת ביצוע שמטרתה לנטר וליירט אחר פעילות מסוימת במחשב בו התוכנה הותקנה ולהעביר מידע זה לשולחה ו/או לבצע פעולות שונות, באופן עצמאי או מונחה. ניתן למצוא הגדרות נוספות לתוכנות הריגול, כגון זו בויקפדיה, אך בכל אותן הגדרות המוטיב החשאי בהתקנתה ופעילותה של הרוגלה שזור כחוט השני. מתברר כי הרוגלה הושתלה/הותקנה במחשבי הנעקבים באמצעות משלוח דואר אלקטרוני או באמצעות תקליטור פרסומי תוך שימוש בתחבולה עתיקת יומין השמורה לחברי מסדר הסוס הטרויאני. אם בסוס טרויאני ממוחשב עסקינן, הכוונה לתוכנה המתקינה עצמה במחשב באמצעי תחבולה, באופן דומה לתחבולה המיתולוגית בה הונח מחוץ לשערי העיר טרויה, סוס עץ אשר הכיל בבטנו החלולה לוחמים יווניים ואלה הוכנסו אל תוך העיר טרויה ופתחו באישון לילה את שעריה לצבא היווני, תחבולה שגרמה לנפילתה של העיר ובמקרה שלנו לנפילתו בשבי של המחשב. על כך נאמר, היזהר מיווני הנושא מתנות.

מתברר גם כי לרוגלה הצנועה אשר הותקנה על מחשבי הנעקבים, מספר תכונות מעניינות. לאחר התקנתה החשאית במחשב, פועלת הרוגלה באופן אוטומטי, חשאי ועצמאי לניטור פעילות המחשב ויירוט מידע ממוחשב. אם אין מספיק בכך, הרוגלה אפשרה לשולחיה ליצור קשר עימה ובאמצעותה לשלוט על המחשב בו היא מותקנת וזאת, כאמור, באופן חשאי ומבלי שבעלי המחשב או המשתמש במחשב, חס וחלילה, ידעו על כך. חדירה ושליטה במערכות ממוחשבות היו בקיים עוד מימי ינקות מכונות החישוב הראשונות. כבר בתקופת מלחמת העולם השנייה היה צורך לתפוס ולחדור לנבכי פעולתו של מחשב ההצפנה האימתני הידוע בכינוי אניגמה אשר שימש בידי הכוחות הנאצים למשלוח וקבלת הודעות מוצפנות. בעלות הברית עשו שימוש בשליטתם באניגמה בכדי לפענח את הודעות הפיקוד הגרמני שיורטו על-ידי יחידות המודיעין השונות כל זאת מבלי שהנאצים ידעו על כך. כך גם מורים דפי ההיסטוריה ככל שנוגע לריגול תעשייתי וניכר כי מדובר גם במקרה זה במלחמה, מלחמה מסוג אחר, מן הסוג המסחרי. ריגול תעשייתי, הידוע גם כאיסוף מודיעין עסקי (יש הגורסים כי קיים הבדל בין השניים), הפך לעניין של מה בכך ואף מקובל אצל מתחרים מסחריים.

אין ספק כי עם הולדת האינטרנט, הריגול והמעקב נהנים מפריחה מחודשת ולו רק לאור הקלות הרבה בהחדרת כלי המעקב למערכות המחשב ולאור המידע הרב האגור בהם כיום. אם בעבר נחשפנו לחדירות בלתי מורשות למערכות מחשבים אשר בוצעו על-ידי צעירים שרצו לבחון את כוחם המנטאלי והאינטלקטואלי אל מול יצרני התוכנות ומנהלי מערכות המחשבים. כיום, יותר ויותר מקרים חדשים צצים אשר מורים על המטרה האמיתית – בצע כסף. גם במקום העבודה הממוחשב, הטכנולוגיה שאפשרה לעובד ערוצי תקשורת נוספים שלא היו ברשותו לפני כן, בד בבד מאפשרת לגורמים אחרים לחדור לתחום פרטיותו ובפועל לנטר וליירט כל מעבר מידע אם מקורו בעובד ואם מקורו מגורם שלישי.

אלה העוקבים אחר תחום אבטחת המידע, מודעים לכך שבכל שנה כמות הדיווחים על מקרי החדירה למחשבים בארגון גדלה בעשרות מונים. גם דיווחים אלה מהווים קצה הקרחון, שכן עלינו לזכור כי באומדנים המפורסמים נלקחים בחשבון רק המקרים המדווחים, בעוד שארגונים רבים אינם מדווחים על מקרי פריצה אל תוך מערכותיהם בכדי שעניין אבטחת המידע ומידת חשיפת מערכותיהם הממוחשבות, לא יעלה לתודעת בעלי המניות וגורמים אחרים.

הריגול האלקטרוני ולאחר מכן הדיגיטלי, החל כמו שרוב הטכנולוגיות מתחילות, למטרות צבאיות. אחת מן הדוגמאות הקלאסיות לריגול שכזה, נחשפה בשנים האחרונות לאחר ששנים רבות הסתובבו להן שמועות, תהיות וסברות. קיומה של האשלון (Echelon) הפך לנחלת הכלל. האשלון ידועה כ“מכונה“ המיועדת לניטור, יירוט, קליטה ואיסוף אוטומטי וחשאי של מידע המועבר באמצעים שונים, תוך מיון תוכן המידע על-פי מילות מפתח קבועות. הטכנולוגיה מאחורי האשלון מופעלת על-ידי השירות החשאי בחמש מדינות הכוללות את ארצות הברית, בריטניה, קנדה, אוסטרליה וניו-זילנד. יש הטוענים כי האשלון המקורית נבנתה והופעלה עוד בשנת 1971. אולם השימוש כיום בתכונותיה התרחבו וכוללות גישה לעולם הקיברנטי בד בבד עם העולם הפיסי. על-פי דיווחים שונים, המערכת מסוגלת לקלוט ולעבד סוגים שונים של מעברי מידע, בין היתר, שיחות טלפון קווי ונייד, תקשורת המנוהלת באמצעות גלי מיקרו, סיבים-אופטיים, דואר אלקטרוני, תוכנות שונות באינטרנט, שידורי לווין וכיו“ב. המערכת, אשר מסוגלת לאסוף מידע ממיליארדי התקשרויות שכאלה בפרק זמן של 24 שעות, מבצעת סינון באמצעות תוכנות המבוססות על בינה מלאכותית. לאחר שהמידע זוקק באמצעות פרמטרים המוגדרים מראש, מנותב המידע המצומצם לגפים השונים בשירות החשאי של כל אחת מחמש המשתתפות.

הריגול הדיגיטלי תפס תאוצה ולקראת סוף המילניום השני, החלו להיחשף, אחת אחרי השנייה, חברות גדולות ומכובדות אשר ריגלו ועקבו בחשאי אחר גולשים ברשת. כך, לפתע התברר לעולם כי חברת RealNetworks “ריגלה“ אחרי מאזינים ברשת באמצעות קוד ייחודי הטבוע בכל אחד מהתוכנות שפיתחה. התוכנות ניתנות לרכישה ו/או הורדה בחינם מהאינטרנט ונועדו למטרות שונות בכל הנוגע לשמיעה, צפייה והורדה של קבצי קול ווידאו. כל משתמש אשר שמע או הקליט מוסיקה ברשת, שלח מבלי משים אותות למערכת ניטור של החברה שבה נאגרו דפוסי השמיעה והקלטה של המשתמש. הבעיה שצצה בעניין זה, לא נבעה מכך שהחברה עקבה אחר מעשי גולשים ברשת והשתמשה במידע זה. אלא בכך שהחברה לא הבהירה את מדיניותה זו בשלבים שלפני הורדת ו/או רכישת התוכנה וכן לא הבהירה את מדיניותה האמיתית, למשתמשים שנכנסו לאתר שלה במגמה להשתמש בתוכנות שהיא פיתחה. מיד לאחר שמקרה זה נחשף, תיקנה החברה את דרכיה ופרסמה הבהרה מתאימה בעניין.

גם סוגיית עוגיות המחשב (Cookies) עלתה על המדוכה ובגינה הוגשו תביעות בסכומי ענק, כגון זו שנפתחה בבית-משפט בטקסס נגד Yahoo וחברה אחרת שבבעלותה – Broadcast.com, במסגרתה נטען לנזק כספי הנאמד ביותר מ- 50 מיליארד דולר. בנוסף עלתה הטענה כי השימוש בעוגיות מחשב המושתלות במחשבו של הגולש, כמוהו כמעקב בלתי מורשה. לא חלף זמן רב והתוודענו לסוג חדש של מעקב אחר הגולשים שאינו באמצעות עוגיות. המעקב נערך באמצעות יישום גרפי פשוט אך קשה לאיתור וניטרול. המדובר בטכנולוגיה חדשה-ישנה הידועה גם בכינוי Web Bug. היישום מורכב מגרפיקה שרוכבת על דפי אתר באינטרנט, בדואר אלקטרוני או בכל מקום בו התוכן מוצג באמצעות HTML. ה-Web Bug אינו ניתן לזיהוי בעין מאחר וכל גודלו נמדד בפיקסל (Pixel) יחיד ומטרתו להוות מעין משואה (Beacon) או נצנץ (בעגה הצבאית) המשדרת ללא הפסקה איתות המלווה במידע לגבי הגולש בתחומו.

כיום תוכנות הריגול מתוחכמות יותר ובעלות תכונות המאפשרות ניטור ויירוט מידע, אקטיבי ופסיבי, בד בבד עם מתן שליטה מלאה במערכות בהן מותקנת התוכנה. הקלות הבלתי נסבלת שבה ניתן לשתול תוכנת ריגול במערכות מחשב על שלל ההשלכות הנובעות מכך, גרמה לחברינו האמריקנים לעסוק בעניין זה ברצינות רבה. הבעיה המרכזית שעמדה ועדיין עומדת בפני הרגולטורים בארהב נעוצה בצורך למצוא הגדרה ראויה לרוגלה. על הגדרה זו להכיל את כל האספקטים המאפיינים תוכנת ריגול באופן מספק מחד ומאידך לצמצם את הפגיעה בזכות קיומן של טכנולוגיות נוספות כגון תוכנות פרסום (AdWares) ותוכנות לניטור ויירוט מידע כדין. במסגרת יום עיון של המועצה הפדראלית לסחר בארהב (FTC) התכנסו באפריל, 2004, העוסקים בדבר וניסו למצוא פתרון לבעיית תוכנות הריגול. ראשית ניסו להגדיר מהי תוכנת ריגול והגיעו למסקנה כי software that aids in gathering information about a person or organization without their knowledge and that may send such information to another entity without the consumer`s consent, or that asserts control over a computer without the consumer`s knowledge.. בחלוף הזמן, התברר למגינת ליבם של התומכים בהגדרה זו, כי היא אינה מספקת.

בארהב, יוטה הייתה המדינה הראשונה שחוקקה חוק ספציפי נגד תוכנות ריגול ובתחילת שנת 2005, קונן הברברי (ארנולד שוורצנגר) חתם על החוק נגד תוכנות ריגול במדינת קליפורניה. ברמה הפדראלית בארהב, בית הנבחרים והקונגרס, כל אחד בתורו, העלה הצעות חוק שונות אשר אמורות לטפל בבעיית תוכנות הריגול, אך אלה לא הפכו לחוק בפועל. זאת בעיקר לאור העדר ההסכמה על ההגדרה והדרך לטיפול בתופעה מבלי לגרום לפגיעה בטכנולוגיה ובפעילות החיובית של תוכנות הריגול. למרות שבשנת 2004, עברה הצעת חוק אחת את מפתן בית הנבחרים, אך לא קיבלה את אישור הסנאט. השנה, 2005, חברי בית הנבחרים אישרו שתי הצעות חוק אשר לכל אחת מהן גישה שונה לפתרון הבעיה (H.R.29 ו-H.R. 744 ). כמו כן, לאחרונה (אפריל, 2005) נקטה מדינת ניו-יורק בהליכי תביעה נגד חברת Intermix Media, הממוקמת בעיר לוס אנג`לס, לאחר חקירה שארכה למעלה מחצי שנה ומממצאיה התברר כי החברה התקינה כ-3.7 מליון תוכנות ריגול על מחשבי גולשים במדינת ניו-יורק בלבד וזאת מבלי לקבל את אישורם לכך.

משום שהפעילות העבריינית בעת שימוש ברוגלות אינה מוגבלת למדינה מסוימת, הטיפול בבעיה הופך לקשה עוד יותר. יתרה מכך, כיצד ניתן לאבחן בין מקרים בהם החדירה ואיסוף המידע מתבצעים באופן בלתי חוקי לבין זה החוקי? כגון: שתילת עוגייה בדפדפן המקלה על כניסה חוזרת לאתר. למרות שבמדינות רבות כבר קיימת חקיקה פלילית העוסקת בסוגיות של הגנת הפרטיות וחדירה בלתי מורשית, עדיין קיימים הבדלים רבים ומהותיים בגישה בין מדינה אחת לשנייה. בעוד שלפי הגישה המרחיבה, כל חדירה תהווה עבירה, הרי שלפי הגישה המצמצמת אין די בחדירה על מנת שתוגדר עבירה אלא יש להצמיד לחדירה אספקט נוסף, כגון: התערבות במנגנוני אבטחת המידע או במטרה לחדירה כגון השגת מידע מסוים ו/או כל הגדרה אחרת המבחינה בין חדירה ומעקב “סתם“ לבין חדירה המהווה עבירה פלילית. לדוגמא: סריקה (Port Scanning) אינה מהווה עבירה על-פי הגישה המצומצמת אך ניתן להגיש כתב אישום ואף להרשיע בבית משפט הנוקט בגישה המורחבת. כך בישראל בת.פ. 003047/03 מדינת ישראל נ` מזרחי אבי, בבית משפט השלום בירושלים, זוכה נאשם אשר הפעיל תוכנת סריקה על אתר האינטרנט של ה“מוסד“. בית המשפט מצא כי בדיקת אבטחת המידע של אתר איננה אסורה לכשעצמה ותלויה בנסיבות ועצם בדיקתו של אתר אינה מהווה חדירה לאתר.

הפתרון לבעיית ההתאמה המשפטית, נמצא במסגרת חקיקת מטרייה בינלאומית. כיום הפתרון לכך נמצא במסגרת האמנה הבינלאומית לפשיעה קיברנטית (The Convention on Cyber-Crime) ושם ניתן למצוא התייחסות ברורה לסוגיית תוכנות הריגול והמעקב הבלתי חוקי. אמנה זו נבעה מן הצורך ליצור אחידות בינלאומית ומנגנון שיאפשר שיתוף פעולה בינלאומי מהיר ויעיל דיו בכדי להילחם בפשיעה בעידן המקוון. באמצעות האמנה מתקיימת הרמוניה בין החוק המקומי על שלל סוגי העברות, החטאים והפשעים המוכרים בתחומו לבין הפשיעה הקיברנטית וזאת באמצעות הקמת מעין “מתאמים“ אשר יחברו בין השניים. כך יהיה לגורמים השונים שיעסקו בחקירה, אכיפה והגשת כתבי אישום את הסמכויות, הכוח המשפטי וכלי הפרוצדורה המתאימים בכדי לעשות מלאכתם נאמנה.

ובארצנו, מה ניתן לעשות במקרה בו יתברר לנו כי יחידות ומערכות המחשבים שלנו נחשפו לפעילות ריגול? ראשית יש להכין רשימה של כל אלה אשר מעורבים באופן ישיר ועקיף בפעילות הריגול, כגון: יצרן התוכנה, משווקי התוכנה, אלה שעשו שימוש בתוכנה, אלה שהזמינו את השימוש בתוכנה ואלה שעשו שימוש במידע שנוטר וייורט באמצעות התוכנה. לאחר שהרשימה הוכנה ניתן לנקוט נגד כל אחד מהם, בהליכים פליליים ואזרחיים אשר בחלקם תומצתו לרשימה המקוצרת הבאה.

במישור הפלילי, חוק העונשין, התשלז – 1977 מאפשר להרשיע בביצוע העבירה ולגזור עונש לא רק על מבצע העבירה אלא גם על זה אשר ניתן ללמוד מפעולתו כי קיים רכיב של ניסיון, שידול, ניסיון לשידול או סיוע, לאותה עבירה, אלא אם כן נקבע אחרת בחוק. במישור האזרחי ניתן לקבל פיצוי גם מאלה אשר בעקיפין אחראים לגרימת הנזק. במסגרת ההליך הפלילי, חוק המחשבים התשנה-1995, מקים סנקציה של 3 שנות מאסר באם יתברר כי (א) מי מן המעורבים בריגול שיבשו את פעולתו התקינה של המחשב או הפריעו את השימוש בו, או (ב) חדרו, מחקו, שינו, שיבשו או הפריעו לתוכנה ו/או מידע ממוחשב, או (ג) שהרוגלה מסוגלת לגרום נזק למחשב או לשבש את פעולתו. תקופת המאסר תגדל ל-5 שנים במידה ויתברר כי פעולת הרוגלה (א) ייצרה מידע שעלול להטעות את המשתמשים בו, או (ב) מטרת הרוגלה לגרום לנזק למחשב או לשבש את פעולתו. באמצעות חוק הגנת הפרטיות התשמא-1981 וחוק האזנת סתר התשלט-1979, עלולים המעורבים בפעילות הריגול להשתכן 5 שנים בכלא, באם יתברר כי מי מהם הטריד, העתיק מידע חסוי, השתמש במידע ללא רשות, הפר חובת סודיות, האזין, הקליט והעתיק ללא הסכמה, מידע שמקורו בתקשורת בין מחשבים, או התקין את הרוגלה או עשה שימוש בה ו/או שימוש במידע שיורט, או גילה את תוכנו לאחר. סביר גם להניח כי חלק מן המידע שנוטר ויורט על-ידי הרוגלה מהווה שימוש שלא כדין ביצירה המוגנת בזכויות יוצרים, עבירה שדינה בין 3 ל-5 שנות מאסר על-פי פקודת זכות יוצרים.

במסגרת ההליך האזרחי לפיצוי כספי ניתן לעשות שימוש בעילות הנמצאות בחוקים הבאים: (א) חוק המחשבים, המגדיר כעוולה נזיקית כל הפרעה, שימוש, גזילה, מחיקה, שינוי ושיבוש של כדין למחשב, תוכנה ומידע ממוחשב (ב) חוק עוולות מסחריות התשנט-1999 במסגרת גזל סוד מסחרי (ג) פקודת זכות יוצרים וחוק זכות יוצרים, 1911, בגין הפרת זכות יוצרים (ד) חוק הגנת הפרטיות בגין מספר רב של עילות, אשר חלקן פורט למעלה (ה) פקודת הנזיקין [נוסח חדש] עילת הגזל, למרות שהשימוש בעילה זו שנוי במחלוקת.

לכן מומלץ מאוד שלא לעקוב או לבצע פעולות שונות באמצעות רוגלות, שלא כדין. במידה ותתפסו, הרפתקה זו עלולה לעלות ממון רב ואף לספק לכם דיור חלופי באחד ממוסדות רשות בתי הסוהר. יחד עם זאת, ברור כי קיים צורך ממשי בביצוע מעקב ופעילות שונה אשר עלולה להתפרש כריגול. לכן מומלץ להקפיד על מספר כללי אצבע, כגון:

לוודא כי קיים הסבר בשפה פשוטה ובמקום בולט לפני מתן אפשרות להורדת הרוגלה למחשב.
לקבל את אישורו של המשתמש הפוטנציאלי לכך שהבין מהי מטרת הרוגלה ובאיזה אופן היא אמורה לפעול.
לוודא כי הרוגלה אכן מבצעת את אשר מפורסם בגינה.
לאפשר את הסרת הרוגלה באופן פשוט ומהיר.
לבדוק האם הרוגלה אינה פוגעת בחוק המקומי או בחקיקה בינלאומית.
במידה ומדובר על מעקב במקום העבודה, לוודא כי העובדים מודעים ומסכימים לכך.

WhatsApp chat
Send this to a friend