לא לשמור מידע, שלא יגישו בקשות.

השבוע הוציא היועץ המשפטי לממשלה חוות דעת חדשה ומעניינת. לפי חוות הדעת הנוגעת לבקשות חופש מידע הנוגעות לתכתובות של עובדי מדינה מאמץ היועץ את העמדה של בית הדין הארצי לעבודה בנושא טלי איסקוב (עע 90/08 טלי איסקוב ענבר נ' הממונה על חוק עבודת נשים) וקובע כי בעצם למבקש מידע אין זכות לגשת למידע המצוי בתיבות …

בעיות אבטחה כרוניות: הטרשת שלא מפסיקה להפרץ.

0. בשנת 2008 גיליתי פרצת אבטחה קטנה בפייסבוק בטעות לגמרי.  הפרצה היתה כזו שאפשרה להשתלט על חשבון של אדם מסוים; איך היא עבדה? ובכן, כאשר היית מחובר לאפליקציה שרצה דרך פייסבוק (השתמשה במערכת הלוגין של פייסבוק), כל לחיצה על קישור מתוך אותה אפליקציה היתה מעבירה לאתר אליו גלשת את הReferer שלך, בעצם אומר לאתר אליו …

איך לא לעמוד בGDPR?

תקנות הגנת הפרטיות (אבטחת מידע) והוראות הרגולציה הכלליות על פרטיות (GDPR) באירופה נכנסו שתיהן לתוקף בחודש האחרון, וכמו כל רגולציה חדשה הן לוו בפאניקה, שהביאה איתה כמה הונאות, נוכלויות ובעיות אחרות. בטקסט הקצר שלנו נדבר על מה לא לעשות כדי לעמוד בתקנות ובGDPR, ואיך אנשים אחרים יכולים לנצל בורות, חולשה ופאניקה כדי לקדם את האינטרס …

פתרון בעיית ההתפקדות הכפולה תוך שמירה על פרטיות

0. בשבועות האחרונים עולה שאלת איסור ההתפקדות הכפולה בעקבות הנסיונות לפעול כנגד קבוצת הלחץ "הליכודניקים החדשים". הכלל הוא ברור: חוק המפלגות קובע שהתפקדות מותרת אך למפלגה אחת לאדם, וכי התפקדות ליותר ממפלגה אחת היא עבירה פלילית. מנגד, הצלבת מאגרי המתפקדים של המפלגות היא פגיעה בפרטיות: היא משתמשת במידע שלא למטרה לשמה הוא נמסר, תוך שהיא …

תיקון 6 לחוק האזנת סתר: כיצד צו האזנה יכול להגן על הבטחון של כולנו?

הצעת חוק האזנת סתר (תיקון מספר 6 – האזנה לאיתור או מניעה של דליפת מידע בטחוני) שאושרה אמש בכנסת היא הצעה טובה וחשובה שמקדמת את ישראל לתחום של הגנה על מידע אישי. ההצעה קובעת, בבסיסה, כי שר הבטחון רשאי לתת צו לתקופה מוגבלת, להאזנה לשיחות טלפון, תקשורת מחשבים או תקשורת אלקטרונית אחרת, של עובד של מערכת …

תקנות אבטחת מידע הרגו את הbug bounty, ומה צריך לעשות?

לפני כשבועיים אישרה ועדת החוקה את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. התקנות באות להסדיר מהי רמת האבטחה הסבירה לצורך ניהול מאגרי מידע המחזיקים מידע אישי לפי חוק הגנת הפרטיות. חשוב לזכור: לא כל מסד נתונים הוא מאגר מידע. ההבדל בין השניים הוא שמאגר מידע הוא קובץ דיגיטלי (לא חתיכת נייר) שמחזיק "נתונים על אישיותו …

ויש גם API. למה דליפה היא לא העניין.

[השבוע הגשתי בשם התנועה לזכויות דיגיטליות ואחרים, ביחד עם עו"ד גלית לובצקי עתירה נגד המאגר הביומטרי; הטקסט הזה הוא לא חלק מהעתירה אלא בתרמחשבות]. כאשר מתכננים מערכת מידע אחד הדברים שברורים הוא השימושים החוקיים במערכת. מתכננים מה המערכת אמורה לעשות, ולא רק מה המערכת יכולה לעשות. לדוגמא, אם אני מקים מערכת נוכחות למקום העבודה שמשתמשת …

כופרות: תעשיה, פשע מאורגן או חלטורה?

כופרות הן השם החזק בתחום אבטחת המידע בשנה האחרונה. בעצם, עד היום לא תמיד היה מודל עסקי לוירוסים. החל משנות ה80 המוקדמות אנשים תהו למה לפתח וירוסים. בעצם, למעט מספר מצומצם של וירוסים ששימשו ארגוני מודיעין להשבתת תשתיות קריטיות של מדינות אויב על פי מקורות זרים, הרי שאין באמת הצדקה כלכלית לפיתוח של וירוסים. בעבר, …

מדינת ישראל נ' לוריא: הרשעה על סמך שמות קבצים

אם מקריאת הכרעת הדין של יורי לוריא (תפ 42667-02-15 מדינת ישראל נ' יורי לוריא) לא תהיה לכם בחילה, אז יש לכם לב קשה משלי. יורי לוריא הורשע באחזקת חומרי תועבה (קרי: צילומים וסרטי עירום של קטינים). הכרעת הדין עצמה לא חוסכת מתיאורים, כשמספרים מהם סוגי הקבצים שלוריא החזיק על המחשב שלו, שמות קבצים שכוללים תיאורים …

על השימוש בראיות שהושגו תוך פריצה למחשבים.

0. במערכת המשפט שלנו יש כלל חשוב, והוא שצריך ראיות כדי להוכיח תביעה. לא מספיקות השערות או תיאוריות יפות אלא צריך אשכרה להביא ראיות. ראיות יכולות להיות עדות ראיה (הגם שיש לא מעט מחקרים שמעידים על חוסר אמינות), יכולות להיות מסמכים (הגם שיש לא מעט דרכים לזייף אותם) ויכולות להיות ראיות חומריות: קבצי מחשב, לוגים …