נאנסה כי השתמשה ברב-קו?

0.
דמיינו את המקרה התיאורטי לחלוטין: בחורה יפה עולה לאוטובוס, האוטובוס צפוף, חם, לח, זו תל-אביב הרי. היא מתיישבת, ואין לה הרבה ברירה, אז היא מתיישבת מול בחור לא אטרקטיבי, שנראה קצת סוטה. הוא מנסה לדבר איתה, היא מבהירה שהיא לא מעוניינת. הוא מתקרב טיפה, אבל לא יותר מ20 סנטימטר ממנה. היא יורדת מהאוטובוס שתי תחנות לפני מקום העבודה וחושבת שנצלה. מסתיים יום העבודה, היא עולה על האוטובוס, והוא שם, בדיוק במקום היחיד שנשאר פנוי. "שמרתי אותו עבורך", הוא אומר לה. הוא יורד באותה תחנה כמו שהיא יורדת ומלווה אותה הביתה. למחרת בבוקר, כשהיא יוצאת לעבודה, הוא גם מחכה לה מתחת לבית.

1.
מופרך? לא ממש. יוסי דהן, צעיר בן 17, הראה כיצד ניתן לקרוא בצורה פשוטה מאוד את כל המידע על כרטיס הרב-קו, שמכיל בין היתר את שם המחזיק, את כתובתו, את נסיעותיו האחרונות ועוד. כלומר, לא די בכך שחברות התחבורה הציבורית שומרות את המידע בצורה מפוקפקת במאגר, אלא שגם אז, אמרו עובדי רב-קו כי "אם המנכ"ל יבקש, אני אסמוך עליו שהוא יודע מה הוא מבקש". כלומר, המצב הזה הוא אפשרי לגמרי; משרד התחבורה, המשרד הפוגע ביותר בפרטיות האזרחים שלא כחוק, מתנהל בצורה רשלנית למדי אם הוא מאפשר מערכת כזו.

2.
על פניו, יש כאן הפרה של הוראות חוק הגנת הפרטיות הנוגעות לאחריות מנהלים באבטחת מידע. פרשנות מרחיבה תקבע כי כל כרטיס רב-קו הוא חלק ממאגר הרב-קו (או מאגר מידע לכשעצמו) וככזה יש חובת שמירה עליו. מעבר לכך, הרב-קו הוא כרטיס שמחזיק מידע אישי אודות אדם, ואינו מאובטח כראוי: הוא מאפשר לעקוב ולבלוש אחרי אדם, ולכן משרד התחבורה עשוי לחוב ברשלנות על עיצוב שגוי של מערכת אבטחת המידע. אכן, מצב כזה הוא קלוש, אבל לאותה נפגעת יכולה להיות עילה ברשלנות כנגד מי שבגלל מעשיו וחוסר המקצועיות שלו הביא לכך (והיו מקרים מעולם).

3.
אלא שהרשות עוד עשויה לטעון שהיתה כאן "הסכמה מודעת" כפי שחוק הגנת הפרטיות דורש. "הנוסעים נתנו את הסכמתם לאחסן את המידע, לאחר שנאמרו להם כל הסיכונים", תאמר דוברת משרד שקר-כלשהו מטעם משרד-התחבורה. וובכן, גם הנסיון לקבל רב-קו אנונימי הוא לא ממש נסיון מוצלח, ועוד בעייתי לא פחות כיוון שהוא לא מקנה לנוסעים את ההנחה לה הם זכאים והוא בסך הכל לא שומר את כתובת המגורים שלכם, שמכם ותמונתכם. הוא כן שומר את היסטורית הנסיעות שלכם ומעביר אותה למאגר מרכזי.

4.
חשוב להבין, הרב-קו הוא רק סימפטום של המחלה, אבל הוא מדגים איך עיצוב רשלני של מערכת מביא לשגיאות האלה. שוחחתי ארוכות, אוף-רקורד, עם אנשים שהיו מעורבים, בצורה כזו או אחרת, בפרויקט במשרד התחבורה. אחד-אחד שאלתי אותם מדוע יש צורך לשמור את היסטורית הנסיעה; התשובות נעו מ"כדי שאם הכרטיס יאבד נוכל לשחזר" ועד "למה לא?". אם ההצפנה על הכרטיס היתה טובה מספיק, הרי שלא היה צריך את גיבוי יתרת הכסף במאגר, וגם אם היתה דרישה לאחסן את יתרת הכסף במאגר, הרי שאת היסטורית הנסיעות לבטח לא צריך לשמור.

אך כך דברים מתנהלים בחלם.

22 thoughts on “נאנסה כי השתמשה ברב-קו?

  1. זה לא עיצוב רשלני. זה פשוט עיצוב שלא מתחשב באבטחת (כל) המידע, אלא רק במניעת שינויים פיננסיים בכרטיס. פרטיות המשתמשים מעולם לא עמדה לנגד עיני מתכנני רב-קו, ולכן הם נכשלו בהגנה עליה בדיוק כמו שאני נכשלתי בטיפוס על האברסט — הם מעולם לא ניסו.

  2. נו באמת, אולי מספיק עם זה? בדיוק כמו בפוסט הדפוק על הבחור שזוכה בלוטו ואז בא אליו איזה עבריין ו"מזכיר" לו שהם קנו את הכרטיס יחד – אין כאן שום קשר לשום מאגר או לפרטים על הכרטיס! המקרה המאוד לא נעים שאתה מתאר יכול לקרות וקורה יום יום גם בלי שום רב-קו. אותו סוטה עוקב אחרי הבחורה למקום העבודה שלה והביתה. מה הפאקינג קשר לכרטיס?

    ולגבי העובדה שהצליחו לפרוץ את ההצפנה של הכרטיס – זה רק מחזק את הטענה שחייבים *מאגר* ביומטרי – כי לא מספיק לשמור את הנתונים הביומטריים על תעודת הזהות החכמה עצמה, כי את זה קל לפרוץ ולשנות. אם הפרטים מופיעים גם על התעודה וגם במאגר מרכזי זה מקשה מאוד על ביצוע זיופים כאלו.

  3. עפרי,
    כנראה שלא הבנת. במערכת של מאגר ביומטרי יש מידע ביומטרי גם במאגר וגם בכרטיס. הסיבה שהמערכת לא בטוחה היא שבראש ובראשונה היא מסתמכת על מידע שנמצא על גוף האדם.

    זה לא כמו "האדם שזכה בלוטו", אלא זה יותר לכיוון הבא: כמו מידע ביומטרי, אפשר לקרוא ממך את המידע המגנטי מבלי שאתה תסכים לכך, לכן יש בכך סכנה אבטחתית.

  4. מידע ביומטרי הוא נדיף ושכפיל.

    זה כמו לקעקע על המצח את המספר לכספומט,
    לא אמצעי הגנה מי יודע מה.

  5. מסכים איתך, אין סיבה שהכרטיס יחזיק את המידע הזה.
    החלום הרטוב שלי – שכמו שאתה יכול לראות פירוט שיחות באתר של המפעיל הסלולרי שלך (ובזמן אמת אם המפעיל שלך הוא גוגל, ג'אג'א או סיפמי), כך תוכל להירשם לרו קו עם כרטיס אנונימי, ולהתחבר לאתר של השירות, ולהוציא עבור עצמך את היסטוריית הנסיעות שלך.
    חברות ישראליות חייבות להתחיל לחשוב כיצד הן יכולות לפתח מערכות מידע שיועילו ללקוחות שלהם בראש ובראשונה, ואז (ורק אז) כיצד הן עצמן יכולות להפיק מהן תועלת.

  6. למיטב הבנתי, הכרטיס מחזיק את פירוט הנסיעות האחרונות לצורך פונקציונלי של המערכת. לכל הפחות, שמירת הנסיעה האחרונה דרושה לצורך ביקורת (המבקר עולה על האוטובוס ובודק בכרטיס שהנוסע שילם על הנסיעה הנוכחית). היה אפשר למצוא פתרון אחר כדי לממש את זה, אבל כאמור – פרטיות פשוט לא נדרשה על ידי מתכנני המערכת.
    למרות זאת, היה אפשר לתכנן מערכת חתימות דיגיטליות שהיתה מקשה על קריאת הכרטיס על ידי לא מורשים, ומקשה מאוד על כתיבה לא מורשה על הכרטיס. כלומר, אם היתה למישהו המוטיבציה לתכנן מערכת כזו.

  7. ר"ש,
    תיאורטית, אפשר היה לשמור רק מפתח או Hash של האוטובוס האחרון וזמן העליה עליו כדי לאמת את זה, אבל זה באמת דורש הרבה יותר מדי (במיוחד כשמקום האחסון על הכרטיס מוגבל).

  8. יהונתן,
    כמו שיוסי דהן אמר בעצמו "מה שיקרה, זה שיהיה אפשר לאתר בזמן אמת כל בן-אדם שמשתמש בכל אוטובוס בעיר. אולי אנשים יחשבו שזו שטות, כי בעידן של סלולר, יכולים לעקוב אחריך בלי בעיה, אבל הדברים אפשריים".

    אתה מחזיק בסלולרי? אז חברת הסלולרי כבר יודעת היכן אתה נמצא, ומי כמוך יודע שהחוק שיתן לרשויות החוק גישה למידע הזה כבר כאן.

    בנוסף, אני אשמח להבין במה שונים הפרטים שעל הרב-קו לפרטים שבטלפון סלולרי. גם בטלפון נשמרות השיחות האחרונות שביצעת, קיבלת, לרבות סמסים ותמונות. מדוע אינך תוקף את חברות הסלולר בכך שהם שומרות מידע עליך במכשיר הסלולרי שלך? בכל מה שקשור לפרטים אישיים (מספר ת.ז. וכתובת) אלה מופיעים באופן גלוי לכל על גבי תעודת הזהות אותה אתה חייב לשאת עליך בכל מקרה.

    אסור לשכוח שבנוסף לחברות הסלולר שיודעות עם מי התקשרת מאיפה ומתי, חברות האשראי יודעות מה קנית היכן ומתי, הספריות יודעות איזה ספרים קראת ומתי, חברות האינטרנט יודעות לאן גלשת ומתי (עד רמה מסויימת), חברות הטיסה יודעות לאן טסת עם מי ומתי, חברות הביטוח יודעות מתי ביטחת עצמך ולצורך מה, הבנקים יודעים אילו כספים קיבלת, מסרת, מאיזה כספומטים הוצאת (איזה סכום של כסף) ומתי, ויש עוד עשרות דוגמאות.

    נראה כי כיום מקובל כי כל חברה המספקת שירותים שומרת לעצמה היסטוריה של השירותים אותם היא סיפקה לך – לא הגיוני שחברה המספק שירותי תחבורה ציבורית תשמור את הנתונים של השירות אותו היא סיפקה לך?

    הרי אם פרטיותך חשובה לך, תמיד ולעד תוכל להשתמש במזומן בלבד, דבר שישמור על אנונימיותך כמעט בכל המקרים לעיל. נכון, זה לא נוח, אבל פרטיות עולה בנוחות.

    כלל לא חשבת על היתרונות האדירים בכך שיש הסטוריית נסיעות. לאחר שאדם תבע את חברת האוטובוסים על כך שהנהג מעלה יותר נוסעים מהמותר יחייב בית המשפט את החברה למסור את נתוני הנסיעה ויראה שאכן זה היה המצב (או שלא). אדם שיתבע את חברת האוטובוסים על כך שאוטובוס מסוים לא הגיע יוכל להראות (בעזרת בית המשפט) שלא היו נוסעים שעלו על האוטובוס בשעה שבה היה צריך להגיע. וכו'.

  9. יהונתן שלום

    אינני מומחה לתחום הזה אבל יש לי בכל זאת מספר הערות:

    1. כמדיניות אכן נכון ורצוי לשמור כמה שפחות מידע בלי קשר למידת רגישותו ולשמור רק את מה שהצורך האמיתי מחייב. בהחלט אפשר היה לעצב את המערכת אחרת.
    2. במערך תחבורה ציבורית יש צורך מובהק לשמור היסטוריית נסיעות כי יש מקרים שאתה מתחיל עם מפעיל אחד וממשיך עם אחר. לפעמים מסלול כזה נותן לך זכויות כלשהן (הנחה, קדימות במקומות ישיבה וכו). מכיוון שלכל מפעיל יש מערכות מידע שונות ולא תואמות אז יש הגיון לשמור מידע בצורה של מכנה משותף נמוך. קשה גם להגביל את זה לשתיים-שלוש תנועות אחרונות כי אתה יכול לממש זכות כזו יום-יומיים אחרי.
    3. המידע איננו מגנטי – התקשורת עם הכרטיס היא תקשורת אלחוטית שמתבססת על שדה אלקטרומגנטי.
    4. כדי לקרוא מידע מהכרטיס אתה צריך להיות במצג מרחבי מאד מסוים של הקורא מול הכרטיס. קריאה מעשרים סנטימטרים מחייבת ציוד שאיננו נכנס לכיס, אולי לתיק גב. גם אז אתה צריך שהאנטנה של הקורא והכרטיס יהיו על מישורים מקבילים למדי. זה לא בלתי אפשרי אבל לא מאד פרקטי במציאות.
    5. קל הרבה יותר להשיג מידע נקודתי על מישהו בצורות אחרות וכאמור הרבה יותר קלות לביצוע. הניסיון בעולם (עם קאליפסו ועם כרטיסים בנקאיים ללא מגע) מראה שאין אירועים כאלה ואף אחד לא מתאמץ להשיג ככה מידע שהוא יכול להשיג בדרכים קלות יותר ובעיקר זולות יותר. במציאות זה פשוט איום די תיאורטי אם כי זה לא נותן למתכננים לגיטימציה לעצב מערכת עם אבטחה די מזעזעת (בהיבטי פרטיות. יתר ההגנות בכרטיסים האלו הן בהחלט ברמה גבוהה מאד).
    6. לרואה השחורות: הוספת מנגנוני אימות לצורך קריאה איננה ריאלית כי אתה חייב טרנזקציות מהירות מאד בתחבורה ציבורית. תסתכל פעם על מקום עמוס באמת כמו המטרו בפאריז שעובד עם כרטיס דומה. יש לך כמה מאות מילישניות להשלים את כל התקשורת עם הכרטיס וזה לא משאיר זמן למנגנוני אימות גם על הקריאה. יש גם בעיה של הפצת מפתחות בין הרבה מפעילים במקרה כזה.

     

  10. ניר,

    חברת הסלולרי כבר יודעת היכן אתה נמצא, ומי כמוך יודע שהחוק שיתן לרשויות החוק גישה למידע הזה כבר כאן

    וובכן, חברת הסלולרי מחזיקה במידע והדבר לא נח לי. מעבר לזה, חברת הסלולרי מחויבת לאבטח את המידע, ואני גם לא מאפשר לאנשים לקחת את המידע הזה לשום מקום.

    ככל שידוע לי, חברות הסלולר היו יכולות למחוק את המידע עלייך גם בתום החיוב החודשי, וכך הם אמורות לעשות.

    בנוסף, אני אשמח להבין במה שונים הפרטים שעל הרב-קו לפרטים שבטלפון סלולרי.

    את הפרטים שעל טלפון סלולרי אי אפשר לקחת ממני באמצעות מגע.

    לא הגיוני שחברה המספק שירותי תחבורה ציבורית תשמור את הנתונים של השירות אותו היא סיפקה לך?

    לא. זה המידע שלי, וזכותי לבחור מה עושים עמו.

    יורם,
    עם כל הכבוד, אתה מומחה גדול ממני ואני מקשיב לך לא מעט.

    במערך תחבורה ציבורית יש צורך מובהק לשמור היסטוריית נסיעות כי יש מקרים שאתה מתחיל עם מפעיל אחד וממשיך עם אחר.

    אכן, ובמצב כזה אפשר לשמור רק את הנסיעה האחרונה, או X נסיעות אחרונות, ולא את כל ההיסטוריה במאגר. אני חושב שאם קניתי כרטיס הלוך ושוב לירושלים, ואז עליתי על קווים בתוך העיר, ניתן לפתור את זה ברמה הטכנולוגית, ולא ברמה של פגיעה בפרטיות.

    כדי לקרוא מידע מהכרטיס אתה צריך להיות במצג מרחבי מאד מסוים של הקורא מול הכרטיס

    אז הוא יצמד אליה, זו בעיה טכנית שתפתר, והיא גם פועל יוצא של תיקון בעיית זמן האותנטיקציה.

    אתה חייב טרנזקציות מהירות מאד בתחבורה ציבורית.

    אכן, אבל אם הכרטיס לא יכול לספק לך את זה, אולי כדי לחשוב על מערכת אחרת.

  11. יהונתן שלום

    אכן במאגר אין צורך ביותר מכמה נסיעות אחורה ואולי אפילו זה מיותר כי זה נועד לגלות ניסיונות הונאה או לקבל כמה תובנות על ניהול טוב יותר של מערך התחבורה. בשביל זה די לשמור מידע מדגמי ולא אישי. בכרטיס יש הסטוריית נסיעות קצרה וזה מספיק לצורך התפעולי.

    השימוש בכרטיס עם ממשק אלחוטי מאפשר אכן לקרוא אותו ממרחק שיכול בתנאי מעבדה להגיע ל-45 סנטימטר, אבל עם אנטנה גדולה והספק גבוה. זה עדיין איום מאד תיאורטי ונותן למי שמנסה אותו מעט מאד, עם סיכוי גבוה שהפעילות שלו תיראה מאד משונה לאחרים.

    כרטיס זה האמצעי היחידי המסחרי שעונה לשלושה תנאים חשובים: מחיר זול, רמת אבטחה גבוהה ותקינה מקיפה. כל פיתרון אחר שקיים היום לא עונה לשלושת התנאים האלו.

    הבעיות כאן הן לא מצד הכרטיס אלא מעיצוב המערכת הלקוי, שאכן היה יכול להיות אחרת.

  12. "את הפרטים שעל טלפון סלולרי אי אפשר לקחת ממני באמצעות מגע."

    אז בעצם זה לא קיומם של הנתונים על הכרטיס שמפריעים לך אלא היכולת של הוצאת הנתונים בקלות מן הכרטיס? זה משהו אחר לגמרי. אם היה ניתן בקלות להגן על הוצאות נתונים כזאת, נניח בעזרת נרתיק, הדבר היה מניח את דעתך?

    "לא. זה המידע שלי, וזכותי לבחור מה עושים עמו."
    בתור מקבל שירות המידע אודות השירות שקיבלת שלך וזכותך להחליט מה תעשה עימו. אך בתור נותן שירות המידע אודות השירות שנתת הוא שלך וזכותך להחליט מה תעשה איתו. כנותן שירות זכותך המלאה לדעת מי עשה שימוש בשירותך, באיזו תדירות, באיזה מחיר, האם הוא לקוח משתלם, האם הוא מנסה לרמות והאם אפשר להציע לו שירותים נוספים.
    אתה רוצה להגיד לי שמבחינה חוקית, המידע אודות שירות הניתן מנותן שירות למקבל שירות שייך, בלעדית, למקבל השירות? האם אתה משמיד את כל המידע אודות הלקוחות שלך ברגע שסיימת לייצג אותם?

  13. ניר,
    1. אתה לא שומר את המידע על הטלפון.

    2. בתור שירות אין לך זכות לשמור מידע מעבר למה שאתה צריך בשביל לתת את השירות.

  14. חבל לתת סיפור מוזר, הבעיה היא ששוב לא חשבו על אבטחת המידע. כל מידע עשוי להצטרף למידע נוסף – מידע בכמות גדולה מספיק יהיה מסה קריטית להרוס את איכות החיים. צריך להגן על כמה שיותר מידע כי איננו יודעים מאיזה מהם יהיה נזק.

    באשר לרב קו – לקחתי מספר כרטיסים לאנונימי ואם אשתמש בהם לזמן קצוב אני מניח שלא יאגר מידע בכמות מזיקה. אגב, מניסיוני מקבלים בפועל את ההנחה גם בכרטיס אנונימי בחברת דן.

Comments are closed.