בשנת 2001 החלה מדינת ישראל בארגון דיני ההצפנה בצורה ראויה וחוקקה את חוק חתימה אלקטרונית. החוק, למרות היותו מעניין ומאוד פשוט, קובע הסדרים יחסית סבוכים אך בבסיסו אומר כי ניתן להשתמש בתעודות אלקטרוניות (Certificates) על מנת לחתום על מסמכים כך שזהות החותם תהיה מאומתת. המשמעות היא שכאשר מתקבל מסמך אלקטרוני כזה, משקלו כראיה אלקטרונית גבוה במיוחד וניתן להניח שאלא אם הגורם המאשר (כלומר, מי שהנפיק את התעודה) כשל במילוי תפקידו (ודברים כאלה קורים מדי פעם) הרי שמי שכתב את המסמך הוא אכן מי שרשום בתעודה. הדבר דומה לחותמת לייזר או חתימה רשמית, אך בעל אמינות גבוהה במיוחד והיכולת לפרוץ אותו קיימת, אך מבוססת ברובה על טעויות אנוש והיא נדירה, יקרה וצורכת משאבים.
לכן, המדינה החליטה כי כל הגשת מסמך רשמי אליה יבוצע או בכתב או באמצעות מסמכים החתומים בחתימה אלקטרונית. כך, דיווחים למס הכנסה ומע"מ יבוצעו על ידי חתימה אלקטרונית, והמדינה תוכל לזהות כל חשבונית, לקבל מידע יותר מעמיק, אמין וזמין.
אלא שהמדינה, כרגיל, מחליטה שהסטדנרטים הקשים של אבטחת מידע שהיא מטילה על אזרחיה אינם הולמים אותה. כך, לדוגמא, במהלך הדיונים על חוק מסחר אלקטרוני החלה המדינה להתמקח עם יו"ר הועדה שדנה בחוק אז, מיכאל איתן ודרשה לקבל פטורים מפרסום אלקטרוני (פרטיכל מיום 15.07.2008) והעדר חובה שהממשלה תקבל מסמכים החתומים במסמכים אלקטרוניים (פרטיכל מיום 19.05.2008). הסטנדרטים הכפולים של המדינה, בין היתר, היו מה שגרם להעדר תחרות בשוק החתימות האלקטרוניות וחוסר רצון של הציבור להסמך עליהם.
וכאן מגיע חוק ההסדרים לתוקף. בין היתר, במסגרת תיקון לפקודת המסים (גביה) מעוניינת המדינה להיות מסוגלת לשלוח צווי עיקול לבנקים כאשר הם אינם חתומים בחתימה אלקטרונית. על פי הוראת השעה, "עד תום תקופה של שנתיים מיום פרסומו של חוק זה, יראו צו עיקול או צו בהתאם להוראות סעיף 7ב(1) לפקודת הגבייה שנערך באופן אלקטרוני (להלן – צו אלקטרוני), כמסמך אלקטרוני לעניין סעיף 12ב1 לפקודת הגבייה, אף אם אינו חתום בחתימה אלקטרונית מאושרת", כל עוד מתקיימים מספר כללים: "(1) ביחס לכל צו אלקטרוני אפשר לזהות את פקיד הגבייה שנתן אותו; (2) המערכת היא מערכת מהימנה, המעניקה הגנה נאותה מפני חדירה אליה ומפני שיבוש או הפרעה לעבודתה; (3) המערכת עורכת תיעוד אוטומטי בדבר פעילות המשתמשים בה, והתיעוד האמור נשמר באופן מאובטח ובנפרד מהמערכת; (4) ממונה אבטחת המידע של המערכת הכין נוהל להוספה ולהסרה של משתמשים מורשים, כדי למנוע שימוש לרעה במערכת; (5) המערכת מונעת עריכה של שינויים בצו האלקטרוני לאחר שהופק".
שימו לב, רשות המסים תהיה רשאית לשלוח לבנקים הודעות שיאפשרו לעקל את חשבון הבנק שלכם, אם מערכת אבטחת המידע של רשות המסים מהימנה מספיק. אלא, שהבעיה בשליחת הודעות דואר אלקטרוני אינה של רשות המסים, אלא של הקלות בזיוף של הודעות אלקטרוניות ללא שימוש במערכת של רשות המסים כלל וכלל. כלומר, גם אם מערכת המשלוח של רשות המסים תהיה מצוינת, מאובטחת, עמידה לפריצות, עדיין כל מה שצריך זה אידיוט עם לפטופ כדי לעקל לכם את חשבון הבנק. בשביל לשלוח הודעה המכילה את הצו, כלל לא צריך לגשת למערכת של רשות המסים אלא למערכות הבנקאיות.
כאשר מתקבלת הודעת דואר אלקטרוני בשרת שלכם, תוכנת הדואר האלקטרוני קוראת חלק בהודעה הנראה Header ומכיל את הפרטים על אודות זהות השולח, כתובת הIP ממנה נשלחה ההודעה, השרתים בהן עברה ההודעה ועוד. אלא, שבאמצעות כלים פשוטים למדי ניתן לזייף את כותרות הדואר האלקטרוני, לרבות זהות השולח. אכן, ניתן להתגונן ולהבין איך להמנע מרמאויות כאלה, אך הדבר אינו טריויאלי. כל אדם יכול לשלוח הודעת דואר אלקטרוני המתחזה להיות מרשות המסים, ולזייף את רישת ההודעה בצורה טובה דיו.
כלומר, כל עוד הודעות העיקול אינן חתומות אלקטרונית בצורה המצליחה להצביע על כך שרשות המסים היא מי שהפיקה אותן, הרי שהבנקים לא יכולו להפריד בין הודעת עיקול אותנטית להודעה שהוכנה על ידי האקר מיומן, שכעת קיבל דרך מצוינת לסחוט אנשים: הוא שולח הודעות עיקול בשם רשות המסים לבנק, מעקל לאנשים את חשבון הבנק שלהם, ומבקש כסף עבור השחרור.
אפשרות אחרת, שאמורה להדאיג את יובל דיסקין יותר מאייפון וגוגל היא האפשרות לעקל את החשבונות של חלק מהתעשיות הבטחוניות הישראליות בקלות יחסית: כל גורם עוין יוכל לזייף טופס עיקול של רשות המסים, לשלוח ולעקל את חשבון הבנק שלכם. אכן, אל תצפו יותר לרמאויות בסגנון העוקץ הניגרי אלא תחכו לכך שחשבון הבנק שלכם יעוקל.
הטמעת מערכת של חתימות אלקטרוניות בשירותי הממשלה אמורה להיות פשוטה, זמינה ולחסוך מיליוני שקלים בשנה. לעומת זאת, המדינה מעוניינת לתת לעצמה פטור שוב. לא רק שמדובר בעניין פסול, אלא שהמדינה מסכנת את כולנו על ידי קביעת כללי אבטחת מידע לקויים.
יונתן שלום
מספר הערות לנאמר בפוסט:
1. לעניין המשקל של ראיה אלקטרונית – חתימה אלקטרונית על מידע חזקה בהרבה מכל דבר אחר כי היא מקבעת את התוכן חוץ מזה שהיא מבטיחה במידה רבה מאד את המקור של המסמך. קיבוע התוכן הוא בעצם התכונה המעניינת ומה שעושה את החתימה האלקטרונית למשהו חזק יותר.
2. מידע לא חתום, ולא משנה אם זו הודעת עיקול או שערי מט"ח שמפורסמים – זו חובבנות לשמה וטמינת ראש בחול. רק תחשוב מה יכול לקרות אם מישהו משתלט על ערוץ התקשורת של חברה גדולה ומשנה רק נתון אחד קטן: שערי המטבע שתוכנת הנהלת החשבונות מושכת מאתר בנק ישראל.
3. חתימה אלקטרונית איננה פתרון קסם להכל אבל היא בהחלט שלב משמעותי וכלי, שבלעדיו אי אפשר לבנות אבטחה סבירה. אני גם הייתי מרחיק לכת עוד יותר ומחייב משהו כמו הודעות עיקול לא רק בחתימה של איזו מערכת ממוכנת אלא גם בחתימה אישית הנעשית עם קורא כרטיסים עם PINPAD, כך שתוכנה עוינת על מחשב החתימה לא תוכל לחתום ללא ידיעת מישהו אנושי ולא תהיה נגישה לסיסמת החתימה. יש כמה חלופות אחרות אבל זו לטעמי הכי נכונה.
אני מסכים מאד עם הסיכום שלך: נכון וראוי לקדם נושא זה ויפה שעה אחת קודם. הדבר היחידי שאני לא מסכים איתו: הטמעה כזו איננה פשוטה. רק תחשוב כמה אנשים היום באמת מבינים מהי חתימה אלקטרונית ומה היא נותנת, כעשר שנים לאחר החקיקה.
יורם
יהונתן,
אכן התייחסות ספציפית חשובה ל"דואליות" בה המדינה רואה את מעמדה מולנו.
תודה.
יורם (השני)
"במסגרת להיות מסוגלת לשלוח צווי עיקול לבנקים כאשר הם אינם חתומים בחתימה אלקטרונית."
חסר בקוד סגירת גרשיים בסוף url (מה שמתבטא בהעלמות כמה מלים מהמשפט + לינק דפוק).
תוקן.
תודה.
"שבאמצעות כלים פשוטים למדי" – עוד לינק שנדפק (rhef≠href).
יש לציין שהכלים הפשוטים למדי הדרושים נמצאים על כל מחשב אישי שמותקנת עליו מערכת הפעלה (למשל notepad+telnet ובתוספת tor לא נשאר הרבה, אם כי לעבריינים יש חלופות tor משלהם http://www.securityweek.com/structure-crybercrime-organization-hackers-have-supply-chains-too).
ועל הבנקים לא ממש אפשר לסמוך בענייני אבטחה.
לדוגמה כדי להתחבר לחשבון של לקוח בנק לאומי לא ממש צריך את הסיסמה. בנוסף לשם המשתמש (שדה שבדרך כלל הדפדפן שומר ומציג בגלוי) צריך רק נתונים שנהוג למסור בעסקאות (פרטי כרטיס אשראי + ת"ז) ונתונים שמודפסים על שיק (מספר חשבון + ת"ז) ועוד תאריך לידה שאפשר למשל להוריד מהרשת יחד עם מרשם האוכלוסין, או לגלות דרך רשיון הנהיגה המוצג כתעודה מזהה, או בדרכים אחרות. בתמורה הבנק מספק את הסיסמה החסרה, לא לכתובת אימייל השמורה אצלו מראש כמו באתרים הדורשים אבטחה חמורה יותר כמו למשל חשבון webmail, אלה מיד בדפדפן. לפחות הם מבטלים במסגרת ההליך את ההרשאות להעברה לצד ג'.
עופר,
תאריך לידה, כנראה, אפשר גם להשיג בפייסבוק. בכל מקרה, מה שאתה מתאר כאן על בנק לאומי זו שגיאת אבטחה ברמה מאסיבית מדי.