לא כל כך נעים להיות ח"כ בבידוד: על יעד הסייבר החדש.

איכוני השב"כ חזרו. החל מסוף השבוע האחרון שלח משרד הבריאות לעשרות אלפי אנשים מסרונים המחייבים אותם לנעול עצמם בבית ומכילים פרט מידע אחד ("הייתם בקרבת חולה קורונה מאומת ביום/שעה") והסתיר את יתר הפרטים. נסיונות לערער על האמור במסרון דורשים שעות של סבלנות ברזל; אבל, היי, זה לא שיש לכם משהו אחר לעשות כשאתם בבידוד.

המסרונים, כפי שאפשר לראות, מכילים מעט מאוד פרטים, והם נשלחים בצורה חצי-אנונימית, מHEALTHGOV:

 

אלא, שבתיאוריה לגמרי, כל אדם יכול לשלוח מסרונים אלו. כיצד? ובכן, כאן יש באג במערכת שליחת ההודעות. כל שירות הודעות קיים היום מאפשר לך לבחור את "שם" השולח, כלומר השדה הטכני שבו מופיעים פרטי השולח. בגלל שמערכות ה-SMS אינן מאפשרות אימות; אכן, משרד התקשורת החל בשימוע בנושא זה, אבל התיקון, שיכנס לתוקף רק בחודש אוקטובר 2020, מדבר על מספרים מזויפים, ולא על שדות אלפאנומריים. כלומר, אי אפשר להתחזות למספר טלפון קיים, אבל לשם קיים? בהחלט שאפשר.

כלומר, מחר יכול לבוא אקטיביסט יצירתי ולשלוח מסרונים פיקטיביים למאה עשרים חברי הכנסת, לתקוע אותם בבידוד על סמך מסרון מזויף, לגרום להם להמתין כאחד העם במוקד הטלפוני, לייאש אותם. אולי, הדבר הזה ילמד אותם שאפשר אחרת. אפשר גם לא לעבוד עם איכונים שהיעילות שלהם מוטלת בספק. (וזה לא שלא היו דברים קודם)

מערכת השב"כ מיועדת לתפיסה של טרוריסטים; מערכת שנועדה לאפס סובלנות. מערכת שלאורך השנים אולי הצליחה לעצור פיגועים; אבל לא מיועדת לפעילות של עבודה מול נגיף. עבודה מול נגיף דורשת ידע מקצועי של אפידימולוגים, לא מערכת שתפסה מחבלים. המערכת דורשת להבין איך מחלות מופצות, ולא רק לבדוק מגע. המערכת של השב"כ, ככל הנראה, לא מצליחה לעמוד על ההבדל בין שכנים שגרים קיר אל קיר לבין אנשים שבאו במגע קרוב. היא לא מצליחה לעמוד על ההבדל בין לעמוד בפקק לצד אדם מסוים לבין לשבת עמו במסעדה.

חוסר הרגישות, תרתי משמע, של מערכת מודיעין הוא אחת הסיבות מדוע צריך לעצור את האיכונים. אבל גם הפוטנציאל הרב לנזק. דיברתי למעלה על האקטיביסט המרושע שירצה לבצע מעשה פלילי ולהפחיד "רק" מאה עשרים חברי כנסת. אבל מה יקרה אם ישלחו מסרונים המוניים לכלל המנויים בישראל? אירוע סייבר כזה הוא משהו הרבה יותר מסוכן. מדוע? מצד אחד, הוא שולח את כל תושבי ישראל, מיד, לבידוד. הוא יוצר עומס שלא יאמן על המערכות, והוא גם לא מאפשר להפריד אות ורעש. אם נוציא הודעה שאומרת "כל המסרונים שנשלחו היו מזויפים" אז כל התושבים שקיבלו מסרונים אמיתיים יצאו לחגוג ברחוב ועשויים להדביק אחרים. אם ננסה להבדיל בין המסרונים, אנחנו נהיה חייבים לגלות את שיטות העבודה, וככה לפגוע במערכת ולאפשר לעבריין שוב לייצר את זה.

זה נס דיגיטלי שמדינה עוינת או ארגון טרור לא עשה את מה שאני כותב כאן. מדוע? כי זה כל כך קל; מרגע שחשפנו תשתית קריטית שיכולה לעצור מדינה לפרצת אבטחה כזו, שהדרך בה מכניסים אנשים לבידוד היא SMS, אנחנו מסכנים את כל האזרחים שלנו.

4 תגובות ל-“לא כל כך נעים להיות ח"כ בבידוד: על יעד הסייבר החדש.

  1. סוגיה חשובה כמובן. רק אתה כותב על " חוסר הרגישות" של מערכת המודיעין בקשר לאיכונים. עם כל הכבוד, היפוכם של הדברים הוא נכון. בעוד שדרגים פוליטיים ואחרים ביקשו ומבקשים להיעזר ב- " כלי " מה שנקרא של השב"כ ( מערכת האיכונים) ראשי השב"כ עצמם, דחו בקשות שוב ושוב להשתמש במערכת הזאת לצרכים אחרים מחוץ לגדרי המלחמה בטרור. אתה עצמך הפנית למאמר של רונן ברגמן, שמתאר אכן הדברים נכונה. שומרי הסף במקרה הזה, זה הדרג הצבאי מודיעיני בכלל. אינספור פרשיות מתוארות שם, פרשת הרפז, מעגל התקיפה באיראן ( יודעי הסוד) וכדומה, בכל המקרים השב"כ דחה הבקשות להשתמש במערכת האיכונים( חוץ מחריג שניים). מצטט למשל:

    בסופו של דבר, ההמלצה של כהן ליועמ"ש באותה תקופה, יהודה ויינשטיין, הייתה שלא לאשר את הבקשה של המבקר לשימוש ב"כלי". "היו כמה מקרים בתקופתי שבהם ביקשו גורמים שונים את היכולות המיוחדות הללו של השב"כ", אומר ויינשטיין השבוע. "אלא שהשב"כ תמיד נעמד על רגליים אחוריות, וסירב בכל תוקף להסיט אותן לטובת עניין שלא נוגע לייעודים שלו".

    ובכלל, מצטט איש שב"כ בכיר לשעבר, כך:

    "רק במדינה מטורפת כמו ישראל אנשי קהילת המודיעין ומערכת הביטחון הם שנלחמים למען דמוקרטיה, שקיפות ופיקוח על השלטון"

    אז, עם כל הכבוד…..

    תודה

  2. רק תוספת, המאמר אליו הפנה יונתן, של רונן ברגמן וגם של: עידו שברצטוך.

  3. רק אציין, שככל הנראה ישנם עשרות אלפי תושבים, שאין ברשותם מכשיר טלפון שמסוגל לקבל מסרוני טקסט לטלפון, כך שהודעה לאזרחים באמצעות מסרונים איננה כלי יעיל, גם אם יתקנו את הפירצת האבטחה שציינת.

  4. נוב: זו בעיה שקל לפתור. למשל על ידי שימוש בפוש שמאפשר קבלת אישור קריאה ואז להתקשר ולנסות להשיג את מי שלא קרא.
    אני מקווה שהם לא שוקלים לבקש בסמס לאשר על ידי לחיצה על לינק, מה שיאפשר כר פורה לפישינג. למרות שאין שום דבר שמונע מאותו האקר להכניס קישור זדוני להודעות כאלו, ואז הוא גם דולה פרטים אישיים וגם יכול להשתיל קוד זדוני בטלפונים של הנמענים.
    כמה טמטום, במקום לגייס אנשים למערכת אפידמיולוגית מתפקדת, מסתמכים *רק* על טכנולוגיה (עתיקה).

לא ניתן להגיב