לא מוצפן: על פרקטיקות חקירה והאשמה בהליכים טכנולוגיים.

הידיעה על העלמותו המסתורית של הכונן הקשיח של אמיר מח'ול שהכיל, לכאורה, תוכנות הצפנה ומידע מוצפן אחר לא קיבלה, ככל הנראה את תשומת הלב הראויה לה. לפחות לפי הכתבה שפורסמה בוואלה!, המשטרה איבדה כונן קשיח אחד שלכאורה נזרק לפח על ידי מח'ול וכן הצליחה לשרוף כונן קשיח אחר כאשר בחנה את החומר. זו לא פעם ראשונה שהדבר קורה, המשטרה כבר מחקה פעם אחת בטעות קבצים שהיו יכולים להרשיע פדופיל וגרמה לכך שזה יודה בהסדר טיעון.

בעבר הסברתי את הפרקטיקות הנהוגות בעת חקירה של חומר ממוחשב, היה ברור כי הדבר הראשון שעושים עם כונן קשיח הוא להעתיק אותו בצורה קשיחה וחומרית, ולשמור את המקור כדי לא לפגוע באיכות שלו. כאן, בפרשה של מח'ול, ברור שהפרקטיקה הזו לא התרחשה: הדיסק הגיע למשטרה רק שלושה שבועות לאחר שנעצר מח'ול, די זמן על מנת לאפשר פברוק ראיות או לטעת ספקות בנוגע לאותנטיות החומר. גם לא מפורט האם אותה העתקה בוצעה בנוכחות של עדים כנדרש (בש 1153/02 מדינת ישראל נ' מיכאל אברג'יל). כלומר, נוצרה כאן שגיאה שמאפשרת לטעת ספק סביר האם החומר כלל אותנטי, וכעת אין כלל חומר. מח'ול, שהיה יכול להיות באמת מורשע בריגול אם היה חומר על הדיסק הקשיח שלו, כעת מאבד בכלל את היכולת להוכיח את חפותו.

עוד סוגיה שיש לטעת את הדעת עליה כעת (וארחיב בהקדם) היא סוגיית תוכנות ההצפנה. על פי החשד, חיזבאללה התקין על מחשבו של מח'ול תוכנת הצפנה. בהעדר פירוט לגבי מהי אותה תוכנה, ראוי להבין כי אפילו תוכנה כמו TrueCrypt, אשר לא הותקנה על ידי אנשי חיזבאללה אלא על ידי מח'ול עצמו, עשויה להיות עבירה על פי צו הצופן. לישראל יש רגולציה כבדה בנושא הצפנה, שאף אוסרת על הפצה או שימוש בתוכנות הצפנה. החריג לחוק, בDropBox שמאפשרת אחסון מוצפן או סתם תוכנות הצפנה אחרות, קובע כי כל מי שמשתמש בתוכנות אלה מפר את החוק. אלא שמעולם לא נעשה שימוש בסעיף זה על מנת לאכוף את החוק ולהעניש.

אלא שבמקרה זה, כאשר המשטרה לא תצליח להלביש את מח'ול את האשמה בנושאי הריגול, היא תוכל תמיד לטעון שאף אם לא ריגל, מח'ול עבר על צו הצופן כאשר התקין תוכנת הצפנה כלשהיא על מחשבו. במצב זה, מח'ול יהיה חשוף להאשמות רציניות בלי עילה אמיתית: כל אחד מאיתנו כל יום מצפין מידע באמצעות מאות תוכנות לא מורשות, החל מהדפדפן שלו, שירות המייל שלו והטלפון הסלולרי.

אכן, יכול להיות שמח'ול החזיק מידע מאוד מסווג, פוגעני, חסוי ושלא אמור להחזיק והעביר אותו לאדם אחר. הוא גם יכול להיות הצפין את כל התקשורת; אבל כיוון שמשטרת ישראל טוענת כי לה יש את הסמכות החוקית לאלץ את מסירת הססמאות לא אמורה להיות בעיה כאן. אבל, דומה כי היכולת להלביש את עבירת ההצפנה כאן היא הרבה יותר שיקול של הרשעה קלה (לעומת הרשעה בריגול) מאשר כל דבר אחר, וראוי שהיא תעלם מהעולם.

9 תגובות ל-“לא מוצפן: על פרקטיקות חקירה והאשמה בהליכים טכנולוגיים.

  1. כעיקרון ההגדרה של "אמצעי חפשי" בצו הצופן המתוקן אמורה לפתור את הבעיה הזו. למרבה הצער רשימת האמצעים החפשיים לא ממש כוללת תוכנות חופשיות ומאשרת שימוש גורף בחלונות ואקספלורר לצרכי הצפנה…
    מגוחך? :)

  2. צו הצופן עבר תיקון בשנת 1998 שפותר את המשתמש בהוצאת רשיון אם הוא משתמש באמצעי חופשי.

    רשימת האמצעים החופשיים מעוררת גיכוך, וכלולה בה בין השאר מערכת ההפעלה Windows 7 של חברת Microsoft. כלומר תוכנת Bitlocker שבאה יחד עם גרסאות מסוימות של מערכת ההפעלה כחלק ממנה הינה אמצעי חופשי.

    בנוסף נמצאות ברשימה גרסאות הלינוקס הבאות: RHEL על גבי שרתי HP בלבד, HP Linux (מה זה בכלל?), RHEL 5 ברשומה נפרדת (היצרן מצויין כ-HP).

    — אריק

  3. יאיר ואריק,
    לצערנו הרשימה של אמצעים חופשיים קצת עקומה בהגדרתה. כלומר, RHEL מכילה כל מיני דברים שאני לא יודע מה הם, וגם HP Linux. חלונות היא גם מערכת גדולה, והאם זה מכיל את Bitlocker או לא?

    הרשימה עקומה ומיותרת. כלומר, אין טעם לנהל רשימה אם בכל מקרה אף אחד לא מתייחס אליה.

  4. יהונתן – אפשר להתייחס לזה כך, מצד שני אפשר גם לומר שמשרד הביטחון הופך 30% מגולשי האינטרנט בישראל לעבריינים.
    אני לא יודע אם זה בגיץ או לא, אבל יש לי הרגשה שאפשר לגרום לרשימה הזו להתעדכן בצורה מהותית.

  5. מפורט שם בנפרד בערך כל מכשיר סלולרי. מדהים עד כמה אפשר להיות מגוחכים.

    בקישור שהבאת אני רק רואה שמצוין על איסור של ייבוא, ייצור והפצה של אמצעי הצפנה ללא רישיון. איפה רואים שאסור להשתמש?

  6. סעיף 3א(1) המתוקן (1998) לצו הצופן:

    על אף האמור בסעיף 2(א), לא יידרש רשיון לעיסוק באמצעי הצפנה מסוג כמפורט להלן: רכישה, שימוש, החזקה, העברה ממקום למקום או מיד ליד, הפצה, מכירה, ניהול מו"מ ליצוא או יצוא, של אמצעי חפשי

  7. אה…

    באכרזת הפיקוח על מצרכים ושירותים (עיסוק באמצעי הצפנה), התשל"ה- 1974 מוגדר "עיסוק באמצעי הצפנה" כ:

    "עיסוק בפיתוח, בייצור, בהחזקה, בשימוש, ביבוא, בהובלה, בהעברה ממקום למקום או מיד ליד, בהפצה, במכירה או ברכישה של אמצעי הצפנה, של מפתח הצפנה, או של רשומה המתייחסת להצפנה או טיפול בהם בכל דרך אחרת."

    וזה כולל שימוש.

    צו הפיקוח בסעיף 2א אומר "לא יעסוק אדם באמצעי הצפנה אלא על פי רשיון מאת המנהל ובהתאם לתנאי הרשיון" ומכאן נובע האיסור בשימוש. בסעיף 1 מבהיר הצו שההגדרה של שימוש היא עלפי ההגדרה שבאכרזה.

    — אריק

  8. לא הגיע הזמן לעדכן את הרשימה שם? אני מניח שנוכל להכין רשימה ארוכה של כמה מאות תוכנות חופשיות שמשתמשות בהצפנה, ואם נעביר את כולן לאישור באופן גורף אני מניח שיהיה ברור לכל כי יש צורך לבצע תיקון יסודי יותר בחוק ולהתיר שימוש ברכיבי הצפנה ביתר קלות.

    לפי הרשימה הנוכחית מותר "להצפין" קבצים ב־ZIP ו־ARJ, אבל אסור למשל להשתמש ב־RAR, 7-zip, tar.gz וכו'. גם מבחינת דפדפנים מותר להשתמש באינטרנט אקספלורר או בנטסקייפ בלבד.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *