Dead man switch: הדרך להילחם בצווי ה-NSA

גם אם אי אפשר לספר שקיבלתם צווים לחשיפת פרטי משתמשים, אפשר לעשות את ההיפך ולהכריז שעדיין לא קיבלתם צווים. עד שהמצב משתנה

קורי דוקטורוב, גרדיאן
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
קורי דוקטורוב, גרדיאן

ככל שאנחנו לומדים יותר על היקף תוכניות הריגול של הסוכנות לביטחון לאומי של ארה”ב (NSA) ומרכז התקשורת הממשלתי של בריטניה (GCHQ) אחר הציבור הכללי, הן נראות לנו מפחידות יותר. הסיפורים האחרונים על החבלה המכוונת בטכנולוגיות אבטחה והצפנה ברשת הם סיומו של התהליך שהחל ב–8 באוגוסט כש–Lavabit, ספק האימייל המוצפן שבו השתמש אדוארד סנודן נסגר פתאום לאחר שמייסדו, לדאר לויסון, רמז שקיבל הוראה לחבל בחשאי במערכת שלו כדי לפגוע בפרטיות של המשתמשים בה.

אין זה משנה אם אתם בטוחים שהמרגלים “הטובים” של ארה”ב ובריטניה לא ינצלו לרעה את הסמכויות שלהם (על אף שה–NSA מודה כעת שניצלה אותן לרעה באופן שגרתי). מגוחך להניח ש”הדלתות האחוריות” שאן-אס-אי התקינה בחשאי בטכנולוגיות הנפוצות ינוצלו אך ורק על ידיה. יש הרבה מאוד פושעים, גורמים זרים ונוכלים שמקדישים את זמנם לחיטוט סבלני בכל מערכות האבטחה בעולם ושומרות על עושרו ועל ביטחונו (כלומר, על עושרכם וביטחונכם), ואין ספק שימצאו את כל הכלים החשאיים שאן-אס-אי הגניבה למערכות ההפעלה, לאפליקציות ולשירותים שלכם וינצלו אותם.

אחד האמצעים החשובים נגד הפולשנות של אן-אס-אי הוא שקיפות. תוכנות עם רישיון פתוח או חופשי יכולות להיבדק באופן עצמאי, והרבה יותר קשה להסתיר בהן “דלתות אחוריות סודיות”. אך מה עם השירותים שבהם אנחנו משתמשים - ספקי תעודות (Certificate Authority), אתרי אימייל ושרתי ענן וכל שאר המחשבים והרשתות הרחוקים שבהם אנחנו מפקידים את הנתונים הרגישים שלנו?

בסופו של דבר, אלה אמינים כמו האנשים שמנהלים אותם וכמו שראינו במקרה של Lavabit, אפילו המפעילים האמינים ביותר עלולים לקבל פקודות חשאיות לבגוד בכם, ומאיימים עליהם בעונשים קשים אם הם ידברו.

זו איננה בעיה חדשה. ב–2004 התקוממו הספרנים בארה”ב נגד דרישות האף-בי-איי לפשפש בהרגלי הקריאה של לקוחותיהם, ולהשתמש במידע לגילוי כוונות לבצע פיגועי טרור, ומהוראות האף-בי-איי לא לספר ללקוחותיהם כשהמשטרה באה לרחרח.

ג’סמין ווסט, ספרנית רדיקלית, העלתה רעיון מבריק: היא תלתה על אחד מקירות הספריה שלה שלט, בו נאמר “האף-בי-איי לא היה כאן - שימו לב מתי השלט הזה יוסר”. לדבריה, אם החוק אוסר עליה לספר לאנשים שהאף-בי-איי היה אצלה, מותר לה לספר לאנשים שהאף-בי-איי לא היה אצלה.

נזכרתי בכך בשבוע שעבר כשהתקשרה אלי ניקו סל, אחת ממארגני ועידת Defcon (שמייסדה, ג’ף מוס, הודיע לאן-אס-אי שאין היא רצויה השנה). ניקו רצתה שאשמש יועץ לחברה שלה, המספקת פלטפורמה למסרים מוצפנים. שאלתי אותה מה היא תעשה במקרה שתקבל צו לפגוע בבטיחות התוכנה שלה.

היא הסבירה שהחברה שלה התחייבה לפרסם דו”חות שקיפות קבועים, בדומה לאלה שבהם משתמשות חברות כמו גוגל, אך בהבדל חשוב אחד: בדו”חות של גוגל לא נאמר דבר על צווים סודיים שהחברה מקבלת מממשלות, משום שזה מנוגד לחוק. סל לא קיבלה עדיין פקודות סודיות, לכן היא יכולה לציין בכל דו”ח שקיפות שהחברה שלה לא קיבלה הוראות סודיות מסוכנויות ריגול ולבקש מלקוחותיה לשים לב כשהמסר הזה ייעלם. כשתקבל פקודה מאן-אס-אי, היא תוכל להזהיר כך את לקוחותיה.

דבריה נתנו לי רעיון לשירות כללי יותר: “מתג איש מת”  (Dead Man Switch) שיכול לסייע במלחמה על האבטחה. השירות הזה יאפשר לכם להודיע על צווים שקיבלתם אפילו מבלי שתצטרכו לעשות זאת באופן אקטיווי. ליצור לינק  באמצעות בקשה שהוא ישלח לכם מסר, לצרף למסר את המפתח הציבורי שלכם ולהעלות לאותו לינק.

מרגע שנרשמתם, אתם יכולים לומר ל”מתג איש מת” באיזו תדירות - בשעות - אתם מתכננים להודיע לו שלא קיבלתם צו חשאי. לאחר מכן, השירות יושב שם, שולח לכם בשקט מספר רנדומלי בהתאם לתקופה שביקשתם, ואתם חותמים ושולחים בחזרה עם מסר “עדיין אין צווים סודיים”. אם אתם מחמיצים עדכון, הוא מודיע על כך בפיד RSS. פורמט RSS מאפשר להציג עדכונים וחדשות במנותק מהעיצוב וכך אפשר לשלב אותו באתרים שונים ובתוכנות ייעודיות שונות, כמו למשל גוגל Reader עליו השלום או Feedly.

מתג איש מת מאפשר הרבה יישומים מעניינים. עיתונאים מחפשי שערוריות יוכלו להירשם בו ולחפש שמות של שירותים חשובים שפספסו את תאריך העדכון על כך שלא קיבלו צו. מתכנתי מחשבים יוכלו לספק תוכנות שיתבוננו בתוך היסטוריית הגלישה שלכם, להשוות אותה לכתובות שנרשמו בשירות ולהזהיר אתכם אם הביקור שלכם מופיע באתרים העלולים להיות בסכנה.

אף אחד עוד לא בדק את הגישה הזאת בבית משפט, ואני לא יכול לומר אם שופט יוכל להבדיל בין “אי חשיפת צו סודי” לבין “אי ציון היעדר צו סודי”, אבל בתורת המשפט האמריקאית, אילוץ מישהו לומר שקר כרוך בדרך כלל בפגיעה בחוקה יותר מאשר שתיקה כפויה על האמת.

אן-אס-אי בחרה במילים “בול ראן” ו”מנאסאס” כשמות צופן של תוכניות הפגיעה באבטחה. אלה שמות של קרבות קשים במלחמת האזרחים האמריקאי, שבהם הציבור הוכרז לאויב המדינה. התוכנית הבריטית המקבילה קיבלה את הכינוי “אדג’היל”, עוד קרב ממלחמת אזרחים שבה אזרחים הפכו לאויבי ממשלתם. מסתבר שתוכנות המעקב מראות בבירור מגמה מבהילה מצד המדינה לראות כל אדם רגיל כאויב שלה.

העולם שלנו עשוי ממחשבים. המכוניות והבתים שלנו הם מחשבים, שלתוכם אנחנו מכניסים את גופנו. מכשירי השמיעה והדפיברילטורים הם מחשבים שאנחנו מחדירים לתוך גופנו. החבלה המכוונת במחשבים מוכיחה אדישות פושעת לביטחון האישי והכלכלי וליושרה האינטלקטואלית של כל אדם חי. אם החוק מעוות עד כדי כך שאיננו יכולים לומר לאנשים מתי ביטחונם נפגע, עלינו לגלות דרך חוקית אחרת להזהיר אותם מפני שירותים שאינם מתאימים למטרתם.

>> לחצו לקריאת כל החשיפות של אדוארד סנודן

ה-NSA ניצחה את ההצפנות של האינטרנט | ה-NSA ריגלה אחרי אל-ג'זירה | פייסבוק חושפת: ארה"ב ביקשה מידע על יותר מ-20 אלף חשבונות |מסמכים מסווגים: ארה"ב צותתה למטה האו"ם בניו יורק | 150 אלף הודעות דוא"ל של אמריקאים נוטרו באופן בלתי חוקתי | תוכנית המעקבים אוספת כל כך הרבה מידע, שאין איפה לאחסן אותו | מיקרוסופט סייעה באופן פעיל ל-NSA לעקוף את מערכות ההצפנה שלה | ארה"ב ריגלה אחר שגרירויות ונציגויות של 38 מדינות בתחומה | שרשרת הריגול הממוחשב של המודיעין האמריקאי נחשפת | אדוארד סנודן: ארה"ב אספה מידע מחברות סלולר בסין | אלפי חברות מחליפות מידע עם סוכנויות הביטחון של ארה"ב | לידתה של הדלפה

משרדי הסוכנות לביטחון לאומי (NSA) בארה"בצילום: אי–פי

תגיות:

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ