הקו בין עוין לרצוי: תוכנות מעקב לסלולרי

0.
אני פריק שליטה; על הטלפון הסלולרי שלי רץ שרת SSH שמאפשר לי להתחבר אליו מרחוק ולשלוט עליו וכן תוכנת WaveSecure של McAfee שמאפשרת לי לא רק למחוק את הטלפון הסלולרי שלי במקרה ויאבד, אלא גם לאתר אותו או להפעיל ולכבות אפשרויות בו. ליתר בטחון, אני מודע גם לתוכנת Plan B שתאפשר לי, אם אאבד את הטלפון, להשתלט עליו מרחוק ולקבל מידע עליו. בשביל להתקין את כל התוכנות האלו הייתי צריך לא מעט אמון בספקי התוכנה (מקאפי, במקרה זה), כיוון שאלה מקבלים מידע רגיש ביותר עליי (כמו המיקום שלי בכל עת) או יכולים לגשת לקבצים הרגישים שלי. סוגים כאלה של הפרת אמון אנו רואים כל הזמן בדברים הקטנים, לדוגמא, כשפייסבוק שמרה מידע מזהה על המשתמשים שלה גם לאחר שאלה התנתקו היא איבדה חלק מהאמון שלי, אבל אני מראש כבר נוקט בצעדים מניעתיים כדי לא לאפשר לה מידע זה.

1.
כל מה שאמרתי כאן טוב ויפה כאשר אנחנו אלה שמתקינים את התוכנות, אבל בעולם הסאבאידיאלי שלנו, לעיתים אנשים אחרים מתקינים את אותן תוכנות שלא בידיעתנו ומשתמשים בהן כנגדנו. לפני כשבועיים נחשפה "רשת" של חוקרים פרטיים שמכרו תוכנות מעקב ללקוחות ואיפשרו לרגל אחרי אנשים באמצעות הטלפונים הסלולריים שלהם; בין היתר, אחד החשודים טען שמשרד ראש הממשלה התעניין בתוכנה. אלא, שאותן תוכנות אינן אלא זהות לכלים הלגיטימיים לגמרי בהם אני משתמש עבור עצמי.

2.
לדוגמא, תוכנת מובייל ספיי שעולה כמאה דולר בשנה, אינה שונה בהרבה מתוכנת WaveSecure בה אני משתמש ובתוכנת DroidVNC. ההבדל הוא שהתוכנות שהוצגו כלא לגיטמיות מראש נמכרו במכירים של אלפי שקלים (נניח, כאן). מנגד, השבוע ראינו שני מקרים בהן תוכנות דומות לגמרי במאפיינים שמשו בדיוק למטרות הפוכות: הראשונה היא איכון שביצעה אם שחשדה שהטלפון הסלולרי של בתה נגנב והביא ללכידת הגנבת והשניה היא תפיסה של גנב טלפונים סלולריים באמצעות צילומו לאחר שלא הצליח לפתוח את קוד הנעילה במכשיר אייפון.

3.
אז מה מבדיל בין התוכנות ה"חוקיות", שמאפשרות את ההתקנה והשימוש לבין אותן תוכנות לא לגיטימיות שמביאות לכך שאותו אדם שיתקין אותן יגמור בכלא? חוק המחשבים לא נותן לנו פתרון כאן. סעיף 6 לחוק, שכותרתו "נגיף מחשב" הוא לקוני: "העורך תוכנה באופן שהוא מסגלה לגרום נזק או שיבוש למחשב או לחומר מחשב בלתי מסויימים, כדי לגרום שלא כדין נזק או שיבוש למחשב או לחומר מחשב, מסויימים או בלתי מסויימים, דינו – מאסר שלוש שנים". חסר בסעיף זה את אלמנט ההסכמה: האם מי שכותב פקודת Format כדי לנקות כוננים קשיחים, שמוחק או משבש חומר מחשב בהסכמת בעלי המחשב, עובר על החוק? ברור שלא.

4.
הסעיף השני הרלוונטי הוא סעיף 4 לחוק שמדבר על חדירה לחומר מחשב שלא כדין. כאן, אולי יש מעט פסיקה (במיוחד במקרה של תפ 9497/08 מדינת ישראל נ' משה הלוי). בית המשפט מקבל את אלמנט ההסכמה לחדירה. כלומר, ההסכמה להתקנת התוכנה, במודעות למה שאותה תוכנה מסוגלת לעשות, יכולה להכשיר את ההתקנה שלה. כמובן, שלא כך במקרים ספציפיים בהם ההסכמה מושגת בכפיה (נניח, במקרה של יחסי עובד:מעביד, בהם לעובד אין אפשרות אמיתי לסרב, ראו עע 80/09 טלי איסקוב נ' מדינת ישראל).

5.
לפני כחודשיים נתן בית המשפט באוהיו החלטה מעניינת (3:09-cv-84 Clements-Jefferey v. Springfield). אשה אשר רכשה מחשב גנוב תבעה את יצרנית תוכנת הריגול אשר שימשה להחזרת המחשב לבעליו לאחר שאותה חברת תוכנה שמרה תמונות עירום שהאישה העבירה לבן זוגה באותה העת. בית המשפט נתן לתביעה להמשיך, למורת רוחה של יצרנית התוכנה, וזו התפשרה ושילמה לאישה סכום עבור הפגיעה בפרטיותה/

6.
אבל יצרן התוכנה אינו יכול להיות מי שמוודא את הסכמת המתקין, נכון? בדיוק בשביל מקרים כאלה יש את הנושא של ארכיטקטורה לפרטיות ומודעות. אם יצרן התוכנה נתן בהם סימנים, כך שעצם הפעלת התוכנה לא יהיה סמוי מהעין אלא מודע: כך, לדוגמא, התוכנות בהן אני משתמש למעקב אחר הטלפון שלי גלויות לעיני (כיוון שאני המשתמש בטלפון) וכאשר הטלפון מקבל התחברות מרחוק ישנה אינדיקציה לכך. אלא, שאין בכך כדי להבטיח כי ההפך אינו נכון, שכאשר התוכנה תהיה חבויה היא תחשב עוינת. לדעתי, המבחן צריך להיות כזה: חזקה שתוכנה גלויה אינה עוינת ותוכנה חבויה היא עוינת, אך חזקה זו ניתנת לסתירה בקלות, כל שצריך לעשות הוא להראות ראיות.

7.
כלומר, יצרן תוכנת מעקב שרוצה להסתיר את התוכנה בזמן שהיא רצה על הטלפון, צריך לעשות זאת רק לאחר שקיבל וידוא מספק כי בעל הטלפון הוא שרצה את התוכנה וכי הוא נותן הסכמה לאותו מעקב. מנגד, בעל תוכנה שרצה בצורה גלויה, צריך לנקוט באמצעי זהירות פחותים. רק כך נוכל להבטיח היכן עובר הקו בין עוין לרצוי.

2 תגובות ל-“הקו בין עוין לרצוי: תוכנות מעקב לסלולרי

  1. לא ברור לי שהבנתי את הקושי שמצאת בחוק. ככל שאני מבין זאת, שתי התיבות "שלא כדין" מבדילות בין מי שמפרמט ביודעין את המחשב שלו, ובין מי ששותל תכנה אשר תעשה זאת לאחר. אולי תוכל להבהיר מעט יותר?

  2. יוסי,

    זה בדיוק העניין, התיבה "שלא כדין" היא מאוד בעייתית; יש, לדוגמא, פרשנות ש"שלא כדין" (מציע שתקרא את הפוסט הזה). מה לדוגמא קורה עם חריגה מהרשאה? הרשתי לבת הזוג שלי לעבוד על המחשב ולהעתיק אליו קבצים והיא מחקה את המחשב? כל הדברים האלה לא ממש מכוסים בחוק.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *