[פורסם בגליון ה25 של Digital Whisper]
0. הקדמה, הבעיות בעבודה עם תחום אבטחת מידע: אנשים העובדים בתחום אבטחת המידע, לעיתים רבות מדי, מוצאים עצמם בשאלות משפטיות קשות במיוחד כמו האם מותר להם לבצע בדיקות אבטחה (pentest) של אתרים פלונים או האם מותר להם לפנות ולבדוק אבטחה על ידי שימוש במידע שהשיגו בדרך לא דרך. אלא, שבטרם עונים לשאלות הקשות באמת, יש שאלות קלות יותר שחוקרי אבטחה לא נוטים לבדוק והן משמעותיות יותר כיוון שהן מטילות אחריות פלילית על מי שעובר עליהן.
ההאקר בעבודתו עוסק בפעולות רבות, אך אנו לא נתייחס לכולן אלא רק נבדוק שני מקרי שטח רלוונטיים: הראשון הוא של הנדסה חברתית, כאשר איש האבטחה נשכר על מנת לדלות לפרטים או לבדוק את מידת האבטחה של ארגון מסוים. המקרה השני הוא המקרה בו איש האבטחה מייצר לעצמו זהויות פיקטיביות על מנת לדלות מידע מאחרים או לבדוק את האבטחה.
המקרה הראשון קשור לענייני חוקרים פרטיים; חוק חוקרים פרטיים ושירותי שמירה בישראל אוסר על אדם לבצע חקירות עבור אחר ללא רישוי; המקרה השני קשור להגדרות עבירת ההתחזות בחוק העונשין. במאמר זה אדון בהוראות החוק ובשאלה כיצד ניתן לבצע חקירות אבטחת מידע מבלי לעבור על הוראות החוק.
במאמר קצר זה אסקור את החקיקה על ביצוע חקירות עבור אחר ואת הבעיות בה, ואתמקד בנושאים הקשורים לאנשי אבטחת המידע. אבל: חשוב לזכור שהתחום רגיש במיוחד ושלא מומלץ לעבוד בנושא מבלי לקבל ייעוץ ספציפי. אני מציע שכל אדם שמגדיר עצמו "חוקר אבטחת מידע" ומספק שירותי חקירות לאחרים יעצור לרגע ויתייעץ עם עורך דין לפני שהוא ממשיך.
1. חוק חוקרים פרטיים: הבה נתחיל עם הוראות חוק חוקרים פרטיים ושירותי שמירה; החוק, בגדול, קובע כי חוקר פרטי הוא "מי שעוסק בהשגת ידיעות על הזולת או באיסופן, לצרכי אחרים ודרך שירות לכל, ושלא לצרכי מחקר מדעי, סקר דעת קהל או פרסום ברבים או לצורך מסירת ידיעות לבעל רישיון לפי חוק שירות נתוני אשראי, התשס"ב-2002"; כלומר, כל אדם שמטרתו איסוף ידיעות על הזולת לצרכי אחר הוא חוקר פרטי (בכפוף לחריגים). בתי המשפט לא ממש פרשו את ההגדרה ולא נכנסו לעומק השאלה, אבל ההגדרה שלה היא רחבה מדי ומסוכנת, ועשויה לחול על כל מיני מצבים שאנשי אבטחת מידע עוסקים בהם מיום ליום.
לצורך העניין, נקח לדוגמא מצב בו נמצא מחשב עם סוס טרויאני; בעל המחשב מעוניין לדעת מיהו האדם אשר פרץ למחשב והחדיר את אותו סוס טרויאני. לצורך כך הוא פונה לאיש אבטחת מידע (ולא לחוקר פרטי) אשר מבצע ניתוח של המידע והתקשורת מהמחשב החוצה. במצב כזה, הוא "משיג ידיעה על הזולת". עכשיו, ברור לנו שלא לכל חוקר פרטי יש את הידיעה או היכולת להשיג את המידע הזה כיוון שאין לו הכשרה פורנזית, ומנגד לאיש אבטחת המידע (בדרך כלל) אין רשיון חוקר פרטי (והיו מקרים בהם כבר הוגש כתב אישום נגד מי שאסף ידיעות על אחר בלי לקבל רשיון חוקר פרטי).
מנגד, כאשר אדם מגיע ומבקש לבדוק את מערכותיו שלו עצמו, אז לא מדובר, ככל הנראה, באיסוף ידיעות על הזולת, ולכן יכול אדם לומר שאין מדובר בחקירה פרטית. כלומר, Pentest, לכשעצמו, יכול שיהיה דווקא לגיטימי ולא לדרוש רישוי. אלא, שבמהלך אותה בדיקה, נבדקים כל מיני גורמים אנושיים בשרשרת: אותם גורמים הם "זולת" כהגדרתה בחוק ולכן חייבים לקבל גם התייחסות.
אוקי, אז הבנו את הבעיה של חקירות פרטיות, אבל מה קורה כאשר אנחנו צריכים לספק מידע עסקי? האם כאשר נשכר אדם כדי לזהות מי מחזיק אתר אינטרנט מעוול או לזהות גולש אנונימי על סמך מידע שהגולש השאיר ברקע, הוא מבצע פעולה אסורה? חוק הגנת הפרטיות אוסר על "בילוש או התחקות אחר אדם העשויות להטרידו"; איסוף של פרטים על אדם ללא פניה אליו אכן לא אמורה "להטרידו", אבל אם התוצאה של אותה פעולה היא תוצאה מטרידה, אז יכול להיות שהפעילות עצמה גם מטרידה. בעניין זה, ובצורה אחרת לגמרי, בית המשפט העליון פסק כי חוקרי משטרה צבאית ששפכו מי מלח לגרונו של אדם על מנת שיקיא סמים היא הטרדה אחרת (ד"נ 9/83 ועקנין נ' בית הדין הצבאי לערעורים).
שני חריגים מהותיים קיימים בחוק חוקרים פרטיים שיכולים לאפשר את עבודת חוקר אבטחת המידע: הראשונה היא מחקר אקדמי והשניה היא עבודה עבור עצמו. כלומר, לאדם מותר לבצע חקירות עבור עצמו (איסוף מידע על הזולת). כלומר: אם חדרו למחשב שלך או לאתר שלך, מותר לך לבצע עבור עצמך חקירה ולאסוף את המידע. זה לא אומר שמותר לחדור לחומרי מחשב או לפרוץ הגנות (וראו, לעניין זה, את סעיף 4 לחוק המחשבים), אלא שמותר לאסוף מידע על אחרים, לחקור ולשאול (שוב, חשוב להסתכל על המשך המאמר לגבי מה מותר ומה אסור לחקור).
הכיוון השני הוא מחקר מדעי. כאן, החוק מאפשר לך איסוף מידע על הזולת במסגרת מחקר מדעי. החוק עצמו לא מגדיר מהו מחקר מדעי; אבל סביר להניח שעבודת מחקר שהוזמנה על ידי אדם וכוללת מידע הנוגע לו אישית לא תכלל בהגדרה. לעומת זאת, עבודת מחקר שבודקת באלו מדינות שרתים רבים יותר נפרצים או מיהן הקבוצות המשמעותיות הפועלות בתחום החדירה למחשבים ישראלים. מחקר מדעי יכול גם לכלול מתודות כלליות יותר, כמו "מהן התוכנות בעלות פרצות האבטחה הרבות יותר", אך בכל מקרה לא שאלה כמו "מי העומדים מאחורי מתקפת הוירוסים מיום כך וכך נגד רשת המחשבים של פלוני".
כלומר, על מנת להכנס לחריג המחקר המדעי, ראוי שהמחקר יוגדר בצורה כללית שתאפשר את מכירתו לציבור הכללי, ולא כעבודה בהזמנה עבור אדם ספציפי.
2. התחזות: החוק אוסר על מספר מקרי התחזות, החל מהתחזות לאחר (סעיף 441 לחוק העונשין), דרך התחזות לבעלי מרות או סמכות כלשהיא (סעיף 283, התחזות לעובד ציבור, לדוגמא). ככלל, סעיף החוק עצמו הוא כזה: "המתייצג בכזב כאדם אחר, חי או מת, בכוונה להונות, דינו – מאסר שלוש שנים; התייצג כאדם הזכאי על פי צוואה או על פי דין לנכס פלוני והוא עושה זאת כדי להשיג את הנכס או את החזקתו, דינו – מאסר חמש שנים"; כלומר, יש שני תנאים לעבירת ההתחזות: הראשונה היא כי ההתחזות היא לאדם אחר, והשניה היא כי כוונת ההתחזות היא להונות. את יסוד הכוונה קשה יותר להוכיח, אך כלל האצבע צריך להיות כזה: אין בעיה לייצר לעצמך דמות פיקטיבית (אך לא כזור שפועלת בשליחותו של אחר), אבל אסור בתכלית האיסור להתחזות לאדם בשם שקיים או להתחזות לאדם העובד בגוף מסוים או ארגון עם סמכות כלשהיא.
בתי המשפט לא התלהבו, בלשון המעטה, ממקרים בהם חוקרים פרטיים יצרו סיפורי כיסוי שנועדו רק להלהיב את הנחקר כדי לגרום לו לשתף פעולה. לדוגמא, בתא (חד') 2293/08 מייס אלרים אבו שקרה בע"מ נ' יניר תקשורת בע"מ פסל בית המשפט דו"ח חקירה אשר נוצר לאחר שהחוקר הבטיח לנחקרת הזדמנות עיסקית לשיתוף פעולה בתחום הביגוד, ההנעלה ושמלות-כלה. כלומר, גם סיפור הכיסוי חייב להיות כזה אשר אינו מטעה פוגע. לגבי חוקרים פרטיים יש כללים ספציפיים (שכנראה לא חלים על חוקרי אבטחת מידע שאינם חוקרים פרטיים) אבל חשוב לזכרם: "חוקר פרטי לא יציג את עצמו בין במילים ובין בהתנהגות כשוטר, כפקח או כעובד ציבורי אחר כמשמעותו בחוק לתיקו דיני העונשין (עובדי הציבור) תשי"ז , חוקר פרטי לא יציג עצמו כבעל מקצוע הטעון רשיון על פי חוק, אלא אם היה לו אותה שעה רשיון כאמור. חוקר פרטי לא יתחזה כשליחו של אדם פלוני או כמי שפועל מטעמו" (תקנות חוקרים פרטיים ושירותי שמירה (אתיקה מקצועית)).
אלא, שהגדרת ההתחזות היא מעט חמקמקה. לאחרונה ניתן פסק דין בשאלת ההתחזות (תפ (ת"א) 3445/07 מדינת ישראל נ' רות לייטנר) בו זוכתה נאשמת מעבירת התחזות לאחר שהתחזתה לרופאת שיניים. בית המשפט זיכה את הנאשמת מעבירת התחזות לאחר ופסק כי "נראה כי לשם הרשעה בעבירה של התחזות לאחר, נדרש כי ההתחזות תהא לאדם קיים"; כלומר, לשיטת בית המשפט אין בעיה להתחזות לאדם שאינו קיים (כל עוד הוא אינו בר-סמכות בדין) ולייצר לעצמך זהויות רבות (וראו גם עפ 71377/06 טלי יחזקאל נ' מדינת ישראל).
אז מה אפשר לומר שמותר מבחינת הנדסה חברתית? אם נצא מנקודת הנחה שלחוקר אבטחת המידע אין רשיון חוקר פרטי אך הוא מנסה, לדוגמא, לחקור מי חדר למחשב שלו, אז מותר לו לאסוף את המידע האישי ועל סמך זה לבנות סיפור כיסוי אמין שלא יכיל מידע על גורמים קיימים (כלומר, הוא לא חבר בקבוצה קיימת או עובד עבור אדם קיים) אך יהיה מותר לו להשתמש בשם בדוי. הדבר מגביל ביותר, אך זהו החוק. אסור לאדם להציג עצמו כאילו הוא עובד בחברה קיימת אם אינו כזה, אסור לו לומר כי הוא חלק מארגון האקרים עולמי או אסור לו לומר כי הוא עובד בשליחות של אדם מסוים שמעוניין לקנות זהויות.
3. הסכנות בלעבוד בתחום אבטחת מידע: יש לא מעט סכנות בעבודה בתחום אבטחת מידע מההיבט המשפטי חוק המחשבים אינו חוק קל לאדם שעוסק במחשבים. לדוגמא, סעיף 3 לחוק אוסר על אחסנה של מידע כוזב; מידע כוזב הוא "מידע או פלט שיש בהם כדי להטעות, בהתאם למטרות השימוש בהם". כלומר, די שתזינו בטופס הרשמה לאתר כלשהוא פרט שאינו נכון כדי שלשון החוק היבשה תחייב אתכם בעבירה פלילית (לדוגמא, בת 8852/98 דניאל כהן נ' מדינת ישראל נמחק כתב האישום בעבירות אלה מחמק אי הבנת לשון החוק).
מנגד, בתי המשפט פסקו כי עבירת ה"זיוף" בנוגע לחומרי מחשב לא תתקיים כאשר המידע שמאוחסן מזויף (עפ 148-09-10 פפילומוב נ' מדינת ישראל); באותו המקרה הואשם אדם על כך שהחזיק במחשב שלו מידע שמאפשר זיוף של מסמכים רשמיים. בית המשפט זיכה אותו מעבירת הזיוף ופסק כי "אי-אפשר לצאת מהמדינה ע"י הצגת "דרכון במחשב" למשטרת הגבולות, כשם שאי-אפשר להציג לשוטר תנועה מחשב נייד ולומר כי "הרשיון בפנים". דומה הדבר לכך, שלא ניתן לשלם לפלוני ע"י משלוח שיק לפקודתו בפקסימיליה או בדואר אלקטרוני".
כשזיכה בית המשפט את פפילומוב מעבירת הזיוף, זיכה אותו גם מאחסנת מידע כוזב, באמרו כי "כתב האישום מחזיק אמנם ארבעה אישומים, וכן צורפו תיקי משטרה בעבירות של החזקת נכס החשוד כגנוב – אך עיקר החומרה היה באישומים הראשון והרביעי, קרי בעבירות הזיוף, כאשר מבחינה כמותית העיקר הוא באישום הראשון".
כלומר, זיוף של תמונה באמצעות פוטושופ, לדוגמא, כדי להטעות אחרים, יכולה לחייב אתכם בעבירה על פי חוק המחשבים אם אתם טוענים שתמונה זו היא תמונתכם, אבל היא לא יכולה להיות זיוף על פי חוק העונשין או התחזות.
כרגע אתם אומרים לעצמכם: חבל שהתחלתי לקרוא את המאמר, הרי אם לא הייתי קורא אולי הייתי יכול להמשיך לגלוש באינטרנט בבטחה, לעבוד, להתפרנס ולחיות בבורות משוועת מכך שאני (ועשרות מחברי הטובים) עוד עוברים על החוק. אכן, החוק היבש אינו מטיב עם אנשי אבטחת מידע. אבל, הפסיקה דווקא הולכת לא מעט לכיוונם; החל מתיק בו נקבע כי ביצוע port scanning לאתר המוסד אינו בדיוק עבירה על החוק (עפ 8333/04 מדינת ישראל נ' אבי מזרחי): "המשיב רק עשה פעולה הנקראת port scanning, דהיינו בחן אילו פורטים פתוחים ואילו פורטים סגורים. המדובר הוא בתוכנה ראשונית בלבד, הבודקת כאמור, אילו פורטים פתוחים והאם האתר מאובטח. הא ותו לא. בנוסף, לא הוכח כי המשיב ניסה לפרוץ תוכנה זו או אחרת. לאור האמור, קבע בית המשפט קמא שלא הוכח יסוד נפשי של החפץ לפרוץ לאתר, זולת הרצון לבחון האם האתר מאובטח, ובקביעה זו אין מקום להתערב. על סמך נתונים אלה, קבע בית המשפט כי לא הייתה למשיב מחשבה פלילית – חפץ להשיג את התוצאה של פריצה למחשב" ועד קביעה כי בדיקת אבטחה לאתר בתי המשפט כדי להוכיח קיומה של פרצת אבטחה שמאפשרת איפוס קנסות אינה פריצה (פ 9497/08 מדינת ישראל נ' משה הלוי).
בתי המשפט עשו משהו שרשויות אחרות בישראל נוטות לא לעשות, וזה להפעיל את שיקול הדעת של השופט. אבל, החוק היבש חייב להשתנות והוא רע לכל מי שעוסק בתחום אבטחת המידע.
4. הפתרונות: רשיון חוקר פרטי. יש פתרון אחד שחייב להשקל על ידי מי מכם שעוסקים באבטחת מידע לפרנסה, והוא הצטרפות לקהילת החוקרים הפרטיים בישראל. החוקרים הפרטיים כיום נמצאים בבעיה בכל הנוגע לטכנולוגיה: הם היחידים המורשים לחקור עבור הזולת (למעט המשטרה) גם בנושאים טכנולוגיים, והם זקוקים נואשות לאנשים העוסקים בתחום ומבינים בו. אכן, מדובר בהכשרה ארוכה ומייגעת, שבסופה מבחנים, אבל מבחנים אלה יכולים לספק לכם בסופו של דבר את ההכשרה הרלוונטית והדרושה לצורך עבודה כחוק.
כן, חוק חוקרים פרטיים יאפשר לכם לערוך חקירות עבור אחר אבל לא ממש יתן לכם היתר לפרוץ למחשבים של זרים בשמו או להתקין מערכות מעקב מתוחכמות; החוק וההכשרה נועדו על מנת לתת לכם את הכלים להבדיל בין המותר והאסור: הכלים שאמורים לגרום לכך שתעבדו לפי החוק. לכן, כה חשוב שתקבלו את ההכשרה.
ההכשרה גם תספק לכם את המגע עם העולם הממשי, זה שעוסק בחקירות ממשיות ואת הצרכים של השוק. לעיתים רבות חוקרים פרטיים (בעיקר בתחום הגירושין) נדרשים לחקירות פורנזיות מסובכות (לדוגמא: האם בעלי קורא לי את המייל?) ואינם יודעים מה לעשות. כאן אתם תוכלו לסייע; אבל חשוב שתוכלו לסייע כחוק.
תודה יהונתן,כתבה מעניינת.
אני יכול להבין איך pen testing או vulnerability scanning הם בעצם איסוף מידע על הזולת. אבל מי שעוסק בפורנזיקס נטו, האם הוא באמת עובר על הלשון היבשה של החוק?
בא נגיד שמישהו חושד שהחדירו סוס טרוייני או תוכנת ריגול במחשב שלו, ומביא את המחשב לחברה שעוסק בפורנזיקס דיגיטלי. האם אני צודק שכל עוד החקירה מתמקדת בהאם קיים תוכנה כזאת במחשב, ובאיזה דרך הצליחו להחדיר אותה למחשב (למשל דרך הודעת דוא"ל או פירצה ידועה במערכת ההפעלה) אז החוקר (שאינו חוקר פרטי) פועל במסגרת בחוק? אבל האם כאשר הוא מנסה לגלות מי החדיר את התוכנה הזאת למחשב, איך קוראים לו, איפה הוא נמצא (והרבה פעמים זה אדם מוכר) רק אז הוא עובר על לשון החוק היבשה כי "השיג ידיעות על הזולת"? (וכאן יש שאלת המשך, האם גילוי זהותו של אדם שאחראי למעשה כזה נחשב "השגת ידיעות על זולת", או רק חיפוש פרטים אחרים כמו מקום מגוריו, העסקים שלו, החברים שלו וכו') נחשב "השגת ידיעות על זולת"?)
תודה,
משה