2 בדצמבר2018
למה חסימת תכנים ברשת היא לא רק מיותרת - אלא גם מסוכנת
חסימת תכנים ברמת ספק האינטרנט היא בעייתית משלל בחינות. פרט לעובדה שהיא לא עובדת הן מהבחינה הטכנית והן מהבחינה החינוכית, כפי שגילה מחקר גדול שנערך באוניברסיטת אוקספורד ושהראה שבני נוער צורכים את אותה כמות תכנים מיניים בין אם מותקן בביתם מסנן תכנים ובין אם לאו, ישנם עוד כמה אספקטים שכדאי לשים עליהם את הדעת לפני שמחייבים בחוק התקנה של מסננים כאלה.
ניסיון דומה שנערך באנגליה כשל באופן מרהיב כשהסתבר שהוא חוסם כ-20% מכלל האתרים הפופולרים ברשת, בהם אתרים פוליטיים, בלוגים, ואחרים, ושהחשאיות בה התנהלו החסימות הפכו את הניסיון להבין מה לא בסדר במערכת הזו לכמעט בלתי אפשרי. אחוז הטעויות של המערכת בזיהוי תכנים “אסורים” היה כזה שהפך אותה ללעג ולקלס, אותה, את ספקי הרשת שהשתמשו בה, ואת הפוליטיקאים שהכניסו את החובה להפעילה לחוק.
היבט אחד שאיש לא שם עליו את הדעת הוא מי מגדיר מהי פורנוגרפיה? אתם באמת רוצים לאפשר לזרם דתי שולי לקבוע בשבילכם מה מותר ומה אסור לכם לראות? האם מדובר רק בעירום מלא? עירום חלקי? כמה חלקי? האם פסלים עירומים נכללים בקטגוריה? ואם כן, האם יחסמו כל המוזיאונים המציגים אותם? ואם לא - האם עירום דומם הוא פסול? האם תמונה של אישה לבושה בבגד עם מחשוף עמוק תהווה תוכן אסור? ואם כן, כמה עמוק? האם תמונה של אישה מניקה נכללת בקטגוריית הדברים האסורים? ואשה שזה עתה סיימה להניק ומחזיקה את עוללה? האם תיאור גרפי של יחסי מין יחסם? ואם כן, מה דין החסימה במידה והמשתתפים בו לבושים? אלה שאלות שבני אדם מתקשים לענות עליהן, כפי שהוצג בפרק המצוין של רדיולאב שדן במדיניות סינון התכנים של פייסבוק, ושמראה כמה מגוחכת, לעיתים, ההתעסקות הפוריטנית הזו במה מותר ומה אסור להציג בפלטפורמה. הציפיה שמערכת טכנולוגית תוכל לעשות מה שבני אדם אינטיליגנטים לא מסוגלים לעשות היא מטופשת במקרה הטוב, ודמגוגית במקרה הסביר יותר.
מכיוון שמספר האתרים ברשת (מספר הדומיינים) יגיע עוד מעט לשני מיליארד, לא סביר שחברי הכנסת המכובדים (או כל אדם אחר) יעברו אחד אחד ויחליטו מי מהם לגיטימי ומי לא, הם יזדקקו למערכת אוטומטית שתעשה זאת עבורם. המערכות האלה עובדות בדרך כלל על זיהוי מילות מפתח בעמודים הנטענים וחסימתם. אבל מה דין הנשיא המנוח ג’ורג’ בוש? שהרי “בוש” הוא גם סלנג לשיער ערווה. ומה בדבר מתכונים המכילים “ריבת חלב”? ודורס הלילה המכונף “כוס”? ויש עוד אינספור דוגמאות. פילטרים חדשים עובדים על זיהוי תמונות אוטומטי, שגם הוא מכיל אחוז טעויות גבוה, אבל אנחנו מגיעים לאותה בעיה.
“אתר אינטרנט”, דומיין, הוא הדבר שנחסם. אז מה אם יש לי אתר ובו מיליון דפי מידע, ודף אחד עם תוכן פורנוגרפי? על פי ההצעה, כל האתר שלי יחסם. לצורך ההסבר בואו ניקח רגע ספר פופולרי שמכיל אלף עמודים, ובכמה עמודים בודדים יש תיאורים של אקטים מיניים. על פי השיטה הזו - כל הספר יחסם. אוננות (בראשית, פרק ל”ח, פסוקים ז’-י’)? זנות (יהושע, פרק ו’, פסוקים ט”ז-י”ז)? אונס וביתור גופות (שופטים יט)? על פי הדרישה לסינון תכנים גם התנ”ך לא יהיה זמין לתושבי ישראל.
בשולי הדברים, מערכת סינון דומיינים כבר נמצאת בשימוש אצל ספקי הרשת הישראלים כחלק מהחוק המאפשר לבית המשפט להורות להם לחסום תכנים המפרים את זכויות היוצרים של ארגון זיר”ה. כתבתי בעבר על מה זה DNS, אבל מה שכדאי להבין זה שכל מה שצריך כדי לעקוף את החסימה המשוכללת הזו זה פשוט לשאול מישהו אחר. ממש ככה. ידידי רן בר זיק כבר כתב בעבר כמה זה פשוט לעקוף את החסימה הזו, כשבפועל במקום לשאול את ספק האינטרנט מה הכתובת של אתר זה או אחר, כל מה שצריך לעשות זה לשאול את גוגל, למשל, או כל אחד משורה ארוכה של שירותים שלא כפופים לחוק הישראלי ויאפשרו לכל אדם “לעקוף” את החסימה המטופשת הזו. שלא לדבר בכלל על האפשרות להיכנס לכל מנוע חיפוש ופשוט להקליד את המילה “פורנו”. הצעד הבא יהיה לחסום את מנועי החיפוש?
אבל גם אם נשים לרגע בצד את ההשפעות האנטי-דמוקרטיות של מערכת המאפשרת למשטר להחליט לנתינים לאיזה תכנים מותר להם להחשף, ואת המדרון החלקלק שיאפשר להרחיב את סינון התכנים לכזה שיחסום גישה למידע שלא מתאים לנרטיב של השלטון, כמו מניעת המידע על הטבח בכיכר טיין-אן-מן בידי השלטון הסיני, ובואו נדבר על הדבר החשוב ביותר למדינה - הביטחון - ואיך מערכת כזו תאפשר, לכאורה, פגיעה בו.
אז אמרנו שעל מנת לבצע חסימת תכנים, נצטרך תוכנה שתזהה תכנים אסורים ותחסום את כל הדומיין עליו הם יושבים. אבל איך אפשר לזהות תכנים כאלה? רוב התעבורה ברשת היום היא מוצפנת. ספק האינטרנט יודע (בדרך כלל) לאיזה דומיין אנחנו גולשים, אבל לא לאיזה עמוד, והוא לא יודע מה התוכן של העמוד. על מנת שהוא ידע משהו מעבר לשם הדומיין, יש שתי אפשרויות שהוא יכול לבחור מביניהן:
הראשונה, להכריח את כל תושבי המדינה להתקין על כל אחד ואחד מהמכשירים בהם הם משתמשים “רשות אישורים” (Root certificate) ממשלתית, שבפועל תעקוף את כל ההצפנה בתעבורה הישראלית. זה רעיון מסוכן מאוד שבפועל יתן למדינה גישה לכל התעבורה הפרטית ברשת הישראלית, ויביא, בין השאר, לסופה של תעשיית ההייטק הבינלאומית בישראל מכיוון שאף חברה לא תסכים (ולא תוכל) לוותר על הצפנת המידע שלה. אבל מעבר לבעיה התפישתית, לחנך אוכלוסיה שברובה היא לא טכנולוגית לבצע את ההתקנות האלה על כל המכשירים שלהם היא מעבר לבעייתית, ותוביל לחסימת הגלישה לחלקים נרחבים בה. ועוד: ברגע שהתקנה כזו הופכת לדבר שבשגרה, גופים פליליים או אפילו ארגונים מרושעים ממדינות אחרות ישתמשו בזה כדי לשכנע אזרחים ישראלים להתקין גם את רשות האישורים שלהם במקום את זו של הממשלה, ובכך יהפכו את ההצפנה של המידע הישראלי לבדיחה. רק חשבו על קצין משטרה בכיר שנופל קורבן למתקפה כזו במכשיר חדש שרכש, ואת הנזק האפשרי שלה. היום זה לא קורה כי כמה אוויל צריך להיות אדם כדי לחשוב שעקיפה של ההצפנה בה משתמשים 99% ממשתמשי האינטרנט בעולם זה רעיון טוב, וכמה חוסר מחשבה יש להשקיע על מנת להעלות בכלל את ההצעה לסמוך על משתמשים חסרי הכשרה טכנית בלהבין איזו רשות אישורים היא לגיטימית ואיזה לא.
אפשרות שניה היא טכנולוגיה שנקראת “Deep Packet Inspection” (הצעות לתרגום לעברית יתקבלו בברכה, עושה רושם שעוד נצטרך את זה), המאפשרת לספקי האינטרנט לבחון לא רק את המטא-מידע אודות על בקשה (כמו ה-Headers) למשל, אלא גם את המידע עצמו (התוכן) במקרים מסויימים. לא ניכנס לפרטים הטכניים של הסיפור הזה כי זה באמת פחות רלוונטי לפוסט הזה, אבל זה הרבה יותר מורכב ממה שזה נשמע ודורש להניח מספר הנחות יסוד שלא בטוח שהן רלוונטיות כאן. פרט לדרישות כח המחשוב העצומות הנדרשות להפעלה של DPI כזה ברשת של מדינה, הדבר יגרור האטה של קצבי הגלישה בגלל הדרישה לנתח כל חבילה וחבילה הנשלחת מ ו-אל כל בקשה. זה גם חושף את ספקיות הרשת למתקפת DDOS שתנצל את העובדה שכל כך הרבה כח מחשוב נדרש כדי לנתב את המידע פנימה והחוצה מהמדינה - ומתקפה כזו היא בלתי נמנעת. כמו כן, מערכות ה-DPI יהוו מטרה נחשקת למתקפות כי המידע שהן יחזיקו יהיה יקר ערך (תחשבו על פרטי חשבון הבנק שלכם), ועם מצב הגנת הסייבר של מדינת ישראל - אולי מלכתחילה לא שווה לייצר תרנגולת כזו המטילה ביצי זהב אם מראש יודעים שיהיה קשה מאוד לשמור עליה. בשולי הדברים, מי שהפעיל עד היום DPI אלה מדינות חשוכות בלבד, וגם זה בהיקף מוגבל יחסית. אף מדינה דמוקרטית לא עשתה את זה למטרת סינון וניטור תכנים, ולמרות הנרטיב המקובל היום - ראשון זה לא תמיד נכון.
אז אפשר כמובן לוותר על כל העניין של לנטר תעבורה מוצפנת ולנטר רק את הנתח ההולך ומתכווץ של התעבורה הבלתי מוצפנת, אבל נניח שדווקא כן הולכים על אחד משני הפתרונות האלה, וכי ספקיות הרשת יוכלו לנטר את תוכן התעבורה שלנו. הבה ונבחן איך זה הולך לעבוד.
נניח שספק א’ זיהה עמוד באתר מסוים ככזה המכיל תוכן אסור. מכיוון שמיותר לחסום דף יחיד, כל האתר הזה יכנס לרשימה שחורה של אתרים, ומי שינסה לגלוש אליו יקבל שקופית יפה שתגיד לו שהמידע אליו הוא מנסה להגיע הוא מידע אסור, וכי בקשתו נרשמה ברשומות המשטר. אבל מה אם האתר הזה הוא לגיטימי? מה אם באתר העוסק במתכונים לעוגות חרובים יש פורום גולשים, ושם אחד הגולשים העלה תמונה של חתול בפוזה מפתה, והתמונה זוהתה על ידי ספק האינטרנט כתוכן אסור? כל מי שינסה להגיע לאתר מתכוני החרובים יחסם. בהתחשב בכמות האתרים ברשת, הבירוקרטיה שתידרש על מנת להוציא אתר מהרשימה תיקח שבועות במקרה הטוב, ומיליוני ישראלים יחסמו מגישה למתכוני החרובים הנהדרים שלהם.
ועכשיו בואו ניקח את זה צעד קדימה: בחודשים האחרונים התגלו שורה של חולשות באתרים ממשלתיים ואחרים שאיפשרו הזרקה של תכנים (אם באמצעות XSS או באמצעים אחרים). כל מה שצריך לעשות האקר מרושע זה להזריק לאתר משרד החינוך למשל (בו התגלו שלוש חולשות XSS רק בשבוע שעבר) תמונה של חתול בפוזה מפתה, והופ - אין גישה לאתר משרד החינוך. אין ציונים, אין דיווחים, שיתוק. ומה אם הזרקה כזו תתבצע באתר של רכבת ישראל? ואם חייל משועמם ייצור דף מיוחד באתר צה”ל עם תכנים כאלה?
ולא רק האתרים הממשלתיים הם הבעיה כאן. בואו ניקח שתי חנויות למכירת נעליים לזוחלים ברשת. חנות אחת יכולה לגרום לחסימה את החנות המתחרה בקלות יחסית, ואז לשלוח את המתחרים למאורת ארנב עמוקה מאוד של לנסות ולהסיר את החסימה הזו במשך שבועות ארוכים. פעולה פשוטה מאוד יכולה לחסל עסקים שלמים. ניסוי כלים קטן עשתה סלקום כשחסמה את הגישה לכל אפליקציית טלגרם בגלל ערוץ אחד. אני חוזה שהמונח “טרור סינוני” יחדור לחיינו הרבה יותר מהר ממה שהיינו רוצים לצפות.
אבל זה לא הכל, לא זה לא הכל. הבה וניקח תרחיש אחד מני רבים בהם אפשר לנצל מערכת של DPI לזריעת הרס וחורבן, ואני מתנצל מראש כי זה הולך להיות טיפה טכני, ותודתי שלוחה לגיל בהט על ההארה בכיוון הזה. נניח שהמדינה העבירה את חוק הסינון והכריחה את הספקים ליישם מערכת כזו. לצורך הפשטות (וההכי-פחות-מופרכות-טכנית, למרות שזה גם מופרך מסיבות שתכף אסביר) נוצרה לנו בעצם מערכת מרכזית שמנטרת את כל התנועה פנימה והחוצה ברמת ה-DNS בלבד. אז קודם כל, גורם מרושע יכול להשתלט על המערכת המרכזית ולשלוט בגישה של כל המדינה (במקום רק של ספקים יחידים), אבל גם אם בדרך נס כלשהי יכריחו את כל הספקים להטמיע מערכת מאוד יקרה שכזו, גם אם אתם עובדים עם שרת DNS של גוגל, למשל - המדינה עדיין תשלוט בניתוב שלכם כי הפנייה לשרת ה-DNS לא מוצפנת מספיק (עד שכמובן השימוש בהצפנת DNS תהפוך לפופולרית יותר, עניין של שנה-שנתיים גג, ואז גם הפתרון הזה וכל המשאבים שהושקעו בו הולך לפח).
נניח שכל תעבורת הדפדפנים, בדרך נס כלשהי, מוצפנת (מה שיהפוך את הסינון לבדיחה, אבל כבר דיברנו על זה), עדיין נשאר לנו מייל, שחטיפתו הופכת לקלה משמעותית. נניח שלחתי מייל בלתי מוצפן (וכדי לסבר את האוזן - עד לפני מספר חודשים כשדיווחתי למערך הסייבר - גם המייל של משרד ראש הממשלה הישראלי לא היה מוצפן) - הפרוטוקול הולך ושואל “איפה זה סודיביותר.קום”? ושחקן מרושע יכול להגיד “אל תאמין לאלה שאומרים לך שזה במטה המוסד, זה כאן ממש אצלי בפיצוציה מאחורה, סמוך עלי”, וככה כל המיילים שנשלחו ל”סודיביותר.קום” יגיעו לפיצוציה מאחורה.
ומה עם אפליקציות? נניח ששחקן מרושע גילה כי אפליקציה פופולרית, נניח פורטנייט, לא עובדת בצורה מוצפנת. הוא יכול “לחטוף” את כל התנועה מהאפליקציה לשרתים המרושעים שלו, ו”להזריק” בחזרה קוד מרושע שיהפוך את הטלפונים של משתמשי האפליקציה למיקרופונים פתוחים. וכמה חיילים משחקים פורטנייט? לא מעט.
ומה עם זיוף סרטיפיקטים? הרי מדינת ישראל בעצמה עשתה את זה לאירן עם סטוקסנט, ואפילו מיקרוסופט נפלה קורבן לעניין הזה. אז לחשוב שאפילו אם התעבורה כולה מוצפנת היא חפה מסיכונים - זו תמימות מחוסר ידע או מכוונת זדון.
הגנה על אתרים מסתמכת על כך שהתעבורה תגיע ליעד הנכון ושהיעד הנכון יוכל להזדהות ככזה. מערכת הסינון עלולה לחתוך את ההגנה הזו באחוזים גבוהים, מה שיעמיד את המידע של כולנו בסכנה.
ומה עם פשוט ניטור המידע? מה שנקרא בלעז Traffic Analysis? נניח שגורם מרושע נחשף למידע שמאפשר לו לבדוק את דפוסי הגלישה של אנשי המוסד, והוא מזהה שבשבועות האחרונים הגולשים שמקורם במטה המוסד מתעניינים באופן בלתי מוסבר באזור מסויים בעולם, או בארגון מסוים, או רוכשים כרטיסי טיסה באתר מסוים, או מזמינים מלון דרך מערכת מסוימת, אני מקווה שאתם מבינים לאן אני חותר. מירכוז התעבורה לצרכי סינון חושפת שלל פגיעויות שבטוחני שיוזמי החוק לא החלו אפילו לחשוב עליהן.
כאמור, אלה רק כמה מהסיכונים העומדים בפני התקנה של מערכת כזו, ואלה סיכונים שאיש לא מדבר עליהם. למיטב ידיעתי מטה הסייבר במשרד ראש הממשלה לא שותף כלל בדיונים אודות ההשלכות מרחיקות הלכת התקנת של מערכת סינון כמו זו שמקדם חברי הכנסת שולי מועלם ומיקי זוהר, בניגוד לכל היגיון. מעבר לחוסר התועלת הכללי של מערכת מסוג זה במניעת גישה לתכנים אסורים, כפי שהראו שורה של מחקרים בינלאומיים פעם אחר פעם, חברי הכנסת זוהר ומועלם יוצרים בעייה ביטחונית אמיתית שהם כלל לא מודעים אליה, ומסכנים בשעיטתם העיוורת לקידום המערכת הזו את הביטחון של המדינה ואת הביטחון של כולנו.