תשובה לטוקבקיסט שלא עשה שעורי בית

התחלתי לענות למגיב אצלי בבלוג, אבל זה התנפח למימדים שמצדיקים עוד פוסט. אז הנה התשובה שלי לירייה-מן-המותן של צבי גלברד מאתמול:

חוק מעולה, יצמצם עבריינות, זיופים, ויצמצם אנרכיה.
די להפחדות די לשקרים די להסתה די לתעמולה של החתרנים השמאלנים וכל ה"מומחים" מטעם שיש להם ידע חלקי. אנו מכירים הרבה כאלה…..חלקם מתוסכלים שלא מצאו ג'וב יותר טוב בחיים.
לידיעתכם: יש מלא מאגרי מידע הכוללים יותר אינפורמציה עלינו מאשר במאגר הביומטרי: בנקים, קופ"ח, ולאקדמאים שבינינו- באונברסיטאות.
לקבל ויזה לארה"ב נותנים פעמיים טביעות אצבעות!!! מדוע לממשלת ארה"ב מותר לעשות מאגר ביומטרי של אזרחי ישראל ולממשלת ישראל אסור ?
המאגר הביומטרי יהיה מוגן יותר מכל הנ"ל. בנוסף: לא כל האנשים במשטרה ובזרועות הבטחון מטומטמים כל הזמן. אני מחכה לראות את המטומטמים שינסו לפרוץ למאגר וייכנסו לכלא……

צבי, הבטחתי לך תשובה בערב ובסוף יצא לי לילה. אני אנסה לענות בכ"ז, ואם אחת הנקודות נראית לך רעועה, רק תבקש ואני אנסה לגבות אותה במראי מקום (אבל לא ב4 בבוקר). אני גם מתנצל אם בגלל השעה הניסוח יצא ארכני או לא ברור, אני עייף מכדי לערוך את זה מחדש עכשיו. לענייננו:

"חוק מעולה" – זה כל כך כללי שאין לי מושג מאיפה לענות על זה. בחוק היו המון חורים, בעקבות פניות דורון אופק, קלינגר, פינצ'וק ואחרים התגלו המון חורים בתכנון (חפש גם "קן עקרבים" בבלוג של דורון אופק) והרבה תוקנו, למרות שהרבה נשארו ופורטו בבלוגים שלי+קלינגר+אופק+פינצ'וק+אחרים. חוק "מעולה" הוא לא.

תראה, אני עוסק בתחום של ניהול רשתות, והדרך שבה מגינים על מערכת הוא ראשית לשבת ולהחליט על מה צריך להגן ומפני מי (פרטי אשראי מפורץ חיצוני? יכולות בתוך המערכת ממשתמש חוקי?) ומתוך זה לבחור את הכלים והמתודולוגיות, שימלאו את המטרות החשובות האלו, מבלי לפגוע ביכולות המשתמשים החוקיים הקבועים לקבל שירות טוב ויעיל, וכמובן מבלי שיזרקו תכופות מהמערכת כחשודים בגלל רגישות יתר של המערכת.

הבעיה לדעתי מתחילה בזה ששטרית צייר מראש את המאגר כמטרת החוק (והוא מופיע כמטרה בנוסח ההצעה!), במקום להגדיר את המטרה האמיתית (בטחון? מניעת זיופים? לא ברור) ולהבין שהמאגר הוא רק כלי אחד מרבים, ויש לשאול את המומחים מהו הכלי הנכון להשגת המטרה בלי ליצור בעיות וסכנות חדשות. יש חלופות, יותר זולות ולא מסוכנות, הן לא נבחנו. שטרית כבר העביר כספים ל-HP (שקיבלה פטור ממכרז), ופיזר רמזים שהאחראית לצד הכרטיסים תהיה חברת און-טראק (OTI), שוב לפני שהתפרסם מכרז. על בעיות מטרידות אחרות בתהליך החקיקה תוכל לקרוא פה. אבל חזרה לעיקר – כאמור מאגר מרכזי איננו הפתרון היחידי, והוא יותר מסוכן לאזרח התמים מאשר לפושע, במיוחד כשידלוף אבל גם לפני כן. את זה פירטתי במקומות אחרים. לא מעולה בכלל.

"יצמצם עבריינות" – איך בדיוק? האם הוא יהפוך אזרחים תמימים לחסיני כדורים ודקירות סכין? האם הוא יחנך עבריינים שכדאי להתיישר ולפתח קריירה חוקית? כל הסטטיסטיקה על ערי מעקב (ולונדון בראשן) הראו שכל האמצעים הטכנולוגיים לא מונעים פשעים ולרוב לא עוזרים לפתור אותם. אז הסבר בבקשה את טענתך.

יצמצם זיופים: נהפוך הוא. אם פקידי הממשלה יחלו להסתמך יותר מדי על אמצעים טכנולוגיים, הזיופים יהיו יותר קלים. דוגמא: עשרות אלפי אנשים עוברים כל יום בשכת העבודה בלי שפקיד יזרוק אליהם מבט כי סומכים בעיוורון על סורקי טביעות האצבע בקצה השני של האולם. עו"ד אפי פוקס הדגים לכתבים איך בכמה עשרות שקלים העתיק את טביעת אצבעו בקלות ואחיו הזדהה בהצלחה בשמו במחשבי לשכת התעסוקה עם אצבעון לאטקס. בהמשך הזיופים האלו ישמשו לגניבות זהות יותר בעיתיות, אני בטוח שהפושעים כבר ימצאו דרכים משעשעות להעביר לנו את בעלות הרכב או הבית או חשבון הבנק, כשמשרד הפנים יחליט יום אחד שמה שטוב בשביל קבלת קהל אצלו יתאים גם לרשויות אחרות. אגב, הבעיה הזו קיימת גם בתעודות ביומטריות ללא מאגר מרכזי, המאגר המרכזי לא משנה את המצב לכאן או לכאן.

"די לתעמולה של החתרנים השמאלנים" – יש לא מעט מתנגדים גם בימין, כמו שראינו לפני שעות ספורות. חברי סיעות ישראל ביתינו והליכוד עוד יגרמו לחוק ליפול, ובוודאי שלנערי הגבעות וקיצוניים אחרים יש גם כן אינטרס שלא יזוהו פרצופיהם בהתקלויות מול הצבא והמשטרה, שלא נאמר המשטרה הפלסטינית. אנשים בשולי החוק רוצים להשאר אנונימיים בגלל מה שהם עושים במודע, ואילו אנשים שומרי חוק במרכז המפה לא רוצים שיהיו יותר אמצעים להפליל אותם בגלל טעויות תוכנה וסטטיסטיקה במקרה הטוב, או בגלל משטרה שחותכת פינות כדי להשוויץ בסגירת תיקים במקרה הרע. חפש בגוגל את השם Brandon Mayfield לדוגמא אחת מפורסמת מבין רבות. משטרת ישראל כבר נתפסה לא פעם עושה את זה, המערכות הנוספות האלו רק יקלו עליה לעשות את הטעויות האלו יותר ויותר, וענין הציבור בבעיה ילך ויחלש עד שהדיעה הציבורית תהפוך ל"טוב נו, אז נשברו כמה בייצים, העיקר שיש חביתה". זו לא דמוקרטיה, ולא אכפת לי מאיזה צד אתה של המפה, זה חייב להטריד אותך.

עוד דוגמא – אם בריטית שהיתה מטרה למעקב ממושך ללא סיבה מוצלחת. אנחנו רואים יותר ויותר שההשפעה העיקרית של המערכות האלו היא בזבוז כספי ציבור, וערעור הבטחון האישי של האזרח. אתה רוצה לראות עוד אנשים מתדרדרים לדיכאון או אולי לסמים ואלכוהול? רק תן להם את ההרגשה שעוקבים אחריהם כל הזמן והם כבר יתחילו לעשות שטויות ו/או לפגוע בעצמם או באחרים מהלחץ. חברה יציבה ורגועה? ההפך הגמור. האם זהו החזון הציוני? האם זה תואם מוסר יהודי? האם זו התנהלות דמוקרטית בעיניך? הפושעים ילמדו את המערכות ויגלו איך לעקוף אותן, ורק לנצל יותר בקלות את הציבור המפוחד והחשדן. חוסן חברתי, מורל לאומי ואמון בממשל ובקהילה זה לא יחזק, אני מבטיח לך. רק יפורר וימעך.

"כל ה'מומחים מטעם' שיש להם ידע חלקי" – ה'מומחים מטעם' שעד היום הזהירו או הביעו התנגדות נחרצת: שרים, משפטנים, הסנגוריה הציבורית, לשכת עורכי הדין, לפחות שופט אחד (בועז אוקון), היועמ"ש, רשות החקיקה הטכנולוגית במשרד המשפטים, רשות ההגנה על הפרטיות במשרד המשפטים, מומחי אבטחה, מחשבים והצפנה בעלי שם עולמי (ביהם, שנאייר ואחרים), מומחים ויועצים מרשויות הגנת פרטיות במדינות אירופאיות שונות, ארה"ב וקנדה, ואלו רק אלו שאני זוכר בשעה מאוחרת זו.

מומחים ובעלי ענין שהודו שהמאגר לא נחוץ בשביל תעודות מוצלחות וקשות לזיוף: חמי פקר מהמל"ל, מספר אנשי משטרה (בפרוטוקולי הועדה איפשהוא) ואפילו שטרית עצמו.

"יש מלא מאגרי מידע הכוללים יותר אינפורמציה עלינו" – נכון, וגם זה מטריד. כשהם זולגים הם אכן פוגעים בנו מאוד, אבל הם זולגים פחות מאשר אלו של משרד הפנים, נושא שמבקר המדינה הקדיש לו הרבה תשומת לב בדו"ח האחרון במיוחד. מצד שני, הם לא סוג המידע שמאפשר לזהות אותנו מרחוק ברחוב למעקב מזוהה קל ואוטומטי, הם לרוב לא מסוג המידע שמאפשר לגנוב לנו את הזהות, לפחות לא יותר מפעם-פעמיים, לפני שהדליפה תתגלה ויוחלפו סיסמאות והליכים. אבל אפשר להחליף סיסמאות, מספרי אשראי ואולי אפילו מספר זהות. פרצופים ואצבעות זה יותר קשה.

בארה"ב, הNSA מקליט מליוני שיחות טלפון ביום, מצליב עם פעולות בנקים ואשראי, מיקום סלולארי ולך תדע מה. הם מחפשים חריגות מהרגלים קבועים – רווק ממוצא ערבי שפתאום קונה קבוע יותר אוכל בסופר? פרופסור שנוסע הרבה לחו"ל נוסע פתאום באוטו יקר יותר מרמת משכורתו? המערכת שולפת חשודים לבדיקה אבל הם טוענים שיש להם 99% דיוק. יופי! זה אומר שאם יש טרוריסט אחד למליון, המערכת מציעה עדיין 10,000 חשודים תמימים מכל מליון, שרשויות הבטחון עכשיו עוקבות אחריהם בזכוכית מגדלת. אבל אתה יודע איפה ישבו חוטפי המטוסים של 9/11? בלאנגלי! בצד השני של האוטוסטראדה מה-NSA וה-CIA! הם אכלו באותם דיינרים ומילאו באותן תחנות דלק עם הסוכנים שחיפשו אנשים כמותם. זו הסטטיסטיקה המהוללת שגם אח"כ חטפה אנשים לשנים של חקירות ועינויים במקומות כמו גיטמו ואבו גרייב. זה מה שקורה כשאתה מסתמך על אלקטרוניקה ותוכנות במקום על עבודת בילוש. אני לא צריך משטרה כזו, ושוב – אם זה חוק משטרתי, למה הוא מיוזמת משרד הפנים?

"לאקדמאים שבינינו- באונברסיטאות" – אכן! לידידה שלי גנבו ממשרד ההרשמה את מספר הבט"ל האמריקני עם ערימה של טפסי הרשמה של עוד הרבה אחרים, ומאז כבר עשרים שנה נפתחים על שמה עשרות חשבונות בנקים ונערמים חובות בשל גניבות זהות, ולכן היא לא יכולה לקבל בארה"ב אשראי, ביטוחים שונים וצרות נוספות רדפו אותה עד שנאלצה פשוט לעבור מדינה. מאגרי מידע מסוימים הם רגישים ובעייתיים, ואם אין להם שימוש מאוד מוגדר ואפשרות להתגונן מנזקי הדליפה לאחר מעשה, עדיף לחפש פתרון אחר!

"לקבל ויזה לארה"ב נותנים פעמיים טביעות אצבעות" – נכון מאוד, צבי! ואם יהיו לנו דרכונים ביומטריים כמו שדורשת רשות התעופה הבינלאומית (בלי מאגר מרכזי, בלי טביעות אצבע, רק תמונה איכותית מודפסת גם ויזואלית וגם בברקוד דיגיטלי), אז לא נצטרך יותר לבקש ויזה ולא לתת אצבעות. בדוק וחזור להתנצל.

"מדוע לממשלת ארה"ב מותר לעשות מאגר ביומטרי של אזרחי ישראל ולממשלת ישראל אסור ?" – כי אתה אזרח זר שרוצה לבוא לבקר אצלם, אף אחד לא מכריח אותך. בישראל לעומת זאת אסור לך לצאת מהבית בלי תעודת זהות, הקנס הוא אלפי שקלים עד כלא. בנוסף, המאגר של המבקרים שמור היטב במחשבי משטרת הגבולות ואולי מועבר גם ל-FBI, עד כמה שאני יודע עוד לא דווח על מקרים שהנתונים דלפו חופשי לחברות פרטיות, משווקים, חוקרים פרטיים ושאר גורמים. המדינה אמורה להגן עליך מפני זרים עם כוונות לא ידועות, לא לגונן על עצמה מפני האזרחים שלה ע"י שהיא לוקחת מהם חרויות ועוקבת אחריהם תוך סיכון רכושם ובטחונם.

בכל מקרה, ממשלת ארה"ב עושה המון פעולות תמוהות וחמורות נגד אזרחיה, הם הדמוקרטיה עם האחוז הגבוה ביותר (2.5%!) של האוכלוסיה בבתי כלא, רבים מהם מסתברים בדיעבד כחפים מפשע (לפעמים לאחר הוצאה להורג). אני לא רוצה אותם כדוגמא לכלום, אני רוצה שישראל תלמד מהטעויות שלהם ותעשה את הדברים יותר נכון ולא יותר גרוע.

"המאגר הביומטרי יהיה מוגן יותר מכל הנ"ל" – לא מנסיונינו העגום עם מרשם התושבים, רשימות ההוצאה לפועל ועוד הרבה מאגרים. אין לי מושג מאיפה האמון הנדיב הזה, כי כל ההיסטוריה מצביעה על ההפך הגמור.

"לא כל האנשים במשטרה ובזרועות הבטחון מטומטמים כל הזמן" – אבל מספיק שאחד או שניים מהם מטומטם או מושחת חלק מהזמן כדי שיקרו צרות, וקרו מקרים. אבל בכל מקרה המאגר הזה אינו אמור להיות נגיש למשטרה ללא צווים ותהליכים (לשון הצעת החוק) אבל יהיה מפוזר ומועתק במשרד הפנים, משרד הרישוי, משרד העבודה, ולמעשה כל גוף ממשלתי שנותן שירותים לאזרח וצריך לזהות אותו, משמע – כמו מרשם התושבים, יותר מדי ידיים יקבלו גישה ליותר מדי מידע, והחוליה החלשה תדפוק את כולם.

"אני מחכה לראות את המטומטמים שינסו לפרוץ למאגר וייכנסו לכלא" – אני לא אתנחם בזה שמישהו יפשל וישב אפילו 100 שנה בכלא על מכשירי הנשמה, אם לחיזבאללה, חמאס והמאפיה הרוסית יהיו עותקים של המאגר, שיהפכו את כולנו למטרות יותר ממוינות וממוקדות לצרכיהם השונים.

המאגר הזה אסור שיאסף, הוא בפירוש בבחינת פצצת אטום כדי להרוג פיל. אני לא אפחית מחשיבות הבעיות הבטחוניות שלנו, לכן לא אמרתי "פצצת אטום כדי להרוג זבוב", אבל עדיין, הפתרון הזה מסוכן בכמה סדרי גודל מכל הפשיעה והאלימות הנוכחית בארץ, הוא יקר, הוא פסול ע"י כל מי שמבין בתחום.

אם המשטרה רוצה מאגר, שתחוקק אחד, נראה ונדון. משרד הפנים לא צריך לפתור את בעיות הפשע בשביל משרד בטחון הפנים ולא את בעיית הזיופים לביטוח לאומי. ממשלת ישראל לא צריכה להיות הדמוקרטיה הראשונה בעולם שתעשה ניסוי כזה בבני אדם, כי כשלון בניסוי הזה הוא לא הפיך.

אני מקווה שעזרתי לך לחשוב על הבעיה מעוד נקודת מבט. כאמור אם תרצה סימוכין ולינקים אני אחפש לך מחר. עכשיו אני חייב לישון.

כמה עולה הזהות שלך, ולמה שירצו לגנוב אותה?

זוכרים שכתבתי לפני כמה חודשים על לקוח יוקרתי, עשיר, יציב ונחשב שנאלצתי לוותר עליו כי לא רציתי לוותר על הפרטיות? היום גיל שלח לי כתבה על סוף הליך משפטי שהתנהל נגד החברה שהייתה אמורה לעשות עלי בדיקות רקע בשבילם, חברת צ'וייספוינט.

כמו שתיארתי לכם אז, לחברה יש היסטוריה בעייתית ומפוקפקת. ב-2005 הם הועמדו לבירור אחרי מספר מקרים של איבוד פרטים אישיים של קרבנות מועמדים לעבודות שונות. לפי הFTC, בסה"כ נגנבו זהויות של 163,000 איש ומתוכם 800 איש לפחות נפגעו, אז נגזר על החברה לשלם קנס של $10 מליון למדינה ו-$5 מליון פיצויים. החברה גם חויבה להפעיל מערכות איתור התנהגות חשודה על הגישה המקוונת אל השרתים שלהם. החברה משום מה כיבתה את מערכת הניטור (לא ברור למה), סיסמא של לקוח ממשלתי גדול דלפה לאינטרנט וגולשים אקראיים קיבלו גישת שיטוט לפרופילים נוספים של 13,750 מועמדים לעבודה (למשרה ממשלתית כלשהיא, כזכור… לא צוין אם עבודה מסווגת או פקידותית רגילה, אבל עדיין, בלגן). הפעם לא מצוין בכמה מהפרטים נעשה שימוש לרעה שהוכח שהוא תוצאה של הדליפה, אז הפעם "החברה הסכימה לשלם $275,000" לפי לשון הידיעה (כלומר שהיה שלב מיקוח?!) קנס ל-FTC. צ'וייספוינט מנסחים את זה אחרת, בהודעה שלהם לעיתונות הם כותבים שהסכום הוא תרומתם (הצנועה, בלי ספק) לקרן לשיפוי הלקוחות הנפגעים. אני תוהה אם נפגעים עתידיים יראו משהו מהכסף בלי ללכת דרך עו"ד יקר והוכחות בלתי אפשריות.

אז בחשבון מהיר:
– זהות שנגנבה/דלפה ב-2006 שווה קנס של $20.
– אם נניח שזהו המחיר של זהות "דלופה" גם ב-2005, הרי שמתוך $10 מליון נשאר $6.7 מליון או קנס $8450 על כל זהות גנובה שהוכח שהשתמשו בה לרעה ופיצויים לאזרח הגנוב בסך $6,250 מעליבים.

אני תוהה אם ה-FTC באמת מפצה נפגעים בעזרת הכסף. לפי הדוחות באתר גניבות הזהות שלהם, מדובר בסיפור של בין $15 ל-$50 מליארד בשנה (הם מודים שהנתונים שלהם די גרועים כי רוב האנשים לא טורחים לדווח), ובערך $5000 נזקים לאדם בממוצע. אני תוהה אם נזקים מצטברים לאורך שנים שעוד יבואו משוקללים פנימה, או נזקים של פרופיל אשראי מרוסק שפוגע ביכולת לקבל הלוואות ומשכנתאות. האם הפרטיות שלנו עד כדי כך זולה, או שצריך הוכחת נזק כדי לענוש באחראים כמו שצריך? מה אם משתמשים בפרטים שדלפו אחרי ששולם הקנס? האם ישלמו פיצויים רטרואקטיביים מעבר לקרן? האם היה איתם הסכם שתשלום הקנס מגן עליהם מתביעות פרטיות, כמו שנתנו לתעשיית הטבק בזמנו?

לי הסכומים האלו נשמעים קטנים ומעליבים, לא משהו שבאמת פוגע בחברות האלו, מכה קטנה על גב היד. אם ההיסטוריה של צ'וייספוינט מראה על משהו, זה שזה לא עובד, וממש לא אכפת להם אם דלפו פרטים, אלו רק שורות במסד נתונים, לא? ביטים, לא אנשים. מיטצ'ל וווב מסכמים את הרגשתי יפה:

אותה הכתבה בריג'יסטר מזכירה כבדרך אגב עוד חברות שנקנסו לאחרונה. האחת היא חברת "מאניגראם" שעקב הזנחה איפשרה לשרלטנים ועוקצים ניגריים לשתות $44 מליון דולר מקורבנות אמריקניים ועוד $40 מליון מתושבים בשאר העולם, הם שילמו רק $18 בקנסות ופיצויים ל-FTC, אני לא יודע כמה בארצות אחרות, אבל איכשהוא הסכום עדיין לא מסתדר. כמו כן מוזכרת רשת הלבשת ילדים בשם איקוניקס שאספה בניגוד לחוק המפורש את שמם המלא, כתובתם, גילם, מינם, טלפון ודואל של כאלף קטינים. החברה סיכמה על קנס של רבע מליון דולר, או $250 לילד, על פרטים שאפילו לא דלפו החוצה אלא רק נאספו והוחזקו בצורה לא חוקית. נראה שלצ'וייספוינט יש סוללת עורכי דין חדשה וממולחת יותר בהתמקחות מאז 2005, ואייקוניקס התקמצנו. באותה הזדמנות אני תוהה כמה קטינים אפשר למצוא במאגרי המידע של צ'וייספוינט (שמכילים מידע על אולי חצי מליארד בני אדם ברחבי העולם).

שימו לב שהקנסות האלו הם מטעם ה-FTC, רשות המסחר הפדרלית שתפקידה לשמור על הצרכנים, ולהבנתי לא מדובר בחבות פלילית אישית של אף אחד. אני לא אתפלא אם גם אף אחד בצ'וייספוינט לא פוטר מתפקידו בשל כך, החברות האלו משקללות את הקנסות האלו בתוך ההוצאות הכמעט-צפויות של ניהול עסק שכזה… המסקנה שלי היא שמדינת החירות האמריקנית לא ממש מעוניינים לשמור על הצרכנים עד שמאוחר מדי. הם טובים בקנסות אבל לא בהגבלות מראש.

מה המצב בישראל? דו"ח BDI ב-2003 ציין 250 מליון ש"ח בנזקים מגנבות זהות, אבל דוחות נוספים לא מצאתי (עדכנו אותי אם אתם מצליחים). לפי הערכות ה-FTC ב-2005 פגעו גניבות זהות ב8-10 מליון איש, כלומר 3.5-4% מהאוכלוסיה. גם אם נתעלם מהעובדה שמדובר בצורת הפשיעה הכי צומחת, זה אומר כ-250,000 ישראלים אם המצב אצלנו דומה. האם עוד מאגרי מידע זה רעיון טוב, ועוד בידיים של משרד הפנים? אני מקווה שמישהוא מהקוראים יודע להביא מידע יותר מדויק על ישראל בנושא כדי שנתבדה, אבל אין לי כוח להרים טלפונים לדובר המשטרה או BDI או אנא עארף מי אחראי לניטור הענין. ואולי אף אחד לא טורח אפילו? מתאים למדינה שלנו, בה החוקים הנוגעים לדבר הם גבינה שוויצרית וממילא לא אפקטיביים והברדק חוגג. אחד המקומות שקיוויתי למצוא סטטיסטיקה חלקית לפחות הוא אתר עמותת אשנב, אבל שם גיליתי כי בכנס בשנה שעברה הם קדמו אמצעים ביומטריים להקטנת גנבות הזהות. מעניין כמה מידע מאמת נאסף למחקר בנושא, ומהן השיטות שהוזכרו בכנס.

עד שדלפו מאגרים שונים (מרשם התושבים, נתוני בעלי חוב בהוצאה לפועל) אנשים זייפו צ'קים ות"ז ידנית, וזייופים נעשו במאמצים רבים על זהויות ספורות. ניכר שבעידן של נתונים ממוחשבים, היצירתיות התרחבה לגניבות סדרתיות, אולי מתקפות בזק על עשרות או מאות מספרי אשראי במקביל כדי להספיק להעלים מה שיותר עסקאות קטנות מתחת לרד"אר במקום בודדות גדולות ובולטות. מאגרי נתונים נוספים מאפשרים להצליב פרטים, והכי חכמות בהצלבות האלו הן חברות האשראי – הן מפעילות מערכות מחשב יקרות ביותר כדי לזהות פעולות חשודות – קניה לא טיפוסית של לקוח בבית עסק כלשהוא, יותר מדי חיובים בערימת כרטיסי אשראי בבית עסק כלשהוא שבדיקה תוכיח שכולם ישבו בבית קפה כלשהוא חודש לפני וכך עולים על המלצר שהעתיק את המספרים. חברות האשראי מכינות על כל לקוח פרופיל וניתוח לצורך כך, והנתונים האלו גם הם שווים המון כסף, והם מוכרים אותם למשווקים השונים שמפרסמים בצורה ישירה פרסומות בתחתית הדוח החודשי. בתירוץ של "בדיקה לניטור רמאויות" מבקשות חברות האשראי בארה"ב גם את פירוט הקניה ולא רק את הסכום שמספק בית העסק, מענין אם בארץ גם ינסו להשחיל כזה דבר. המון מידע ששווה המון כסף, האם יש פלא שמישהוא מרוויח ממסחר בו? בארה"ב חברות אשראי הן גנבות ברשיון ממש: מותר להן לשנות לך אפילו את הריבית השנתית בלי הודעה מראש, ואפילו רטרואקטיבית(!), אם נראה להן שאתה לקוח "בסיכון" (למשל אם בפירוט ההוצאות שלך עולות פגישות עם פסיכיאטר, או יועץ גירושים, או יותר מדי תיקונים במוסך וכולי).

אז האם מעניין אותם לעצור גניבות או להרוויח מאחוזי העסקאות? לפי דו"ח ה-FTC (המבוסס על סקר טלפוני, אגב…) – למעלה מחצי מהאנשים שניזוקים מגלים עדיין את הגניבה לבד, ולא בגלל התראה של חברות האשראי או גופים אחרים, לכו תדעו כמה לא מגלים גניבות קטנות לאורך זמן כי הם לא בודקים את דוח השימוש בכרטיס. בנוסף, גם רוב (כ75%) אילו שמגלים גניבה לא טורחים להתלונן עליה, אולי מחוסר אמון שהענין יטופל כראוי? ואל תתפלאו שהגענו למצב כזה, כי בישראל המצב יותר גרוע בנושא פניה למשטרה, אני אתייחס לזה בפוסט קרוב.

לבסוף בחזרה לעבריינים: למה שירצו לגנוב את הזהות של מישהו מאיתנו אישית? אולי כדי להוציא דיבה בשמנו (ענין מסוכן ואפילו יקר יותר מגניבת כסף בעיני החוק ברוב המדינות), אולי כדי לרוקן את חשבון הבנק שלנו, או כרטיס האשראי, אולי לפתוח על שמינו חשבון ולקחת הלוואה ענקית ולהעלם, אולי לקבל בשמינו תשלומים מהמדינה כמו החזרי מס וקצבאות (בעזרתה של טביעת האצבע הגנובה, כמובן), אולי להכנס למדינה זרה, אולי דברים יצירתיים אחרים… זו הסיבה שצריך להגן על הפרטים האישיים ולא לחלק אותם בקלילות, זו הסיבה שכדאי שמה שפחות פרטים עליך ישמרו במקום מרכזי כמו מאגר ממשלתי מיותר, כי שמו שציטטתי בעבר, הדרך היחידה למנוע ממאגרי מידע פרטי לדלוף היא להמנע מלאסוף אותם מלכתחילה.

פחד ותיעוב בלאס וגאס, נוסח 2009

Blue and Purple RFID tagמשום מה, האקרים וספקנים אוהבים ועידות בווגאס, בוועידה האחרונה חזר נושא הRFIDים לכותרות1 והפעם לא בגלל ששוב הצליחו לקרוא מרחוק ארפיד בניסוי מיוחד, אלא בגלל שהיה מכשיר שעשה את זה סתם כך מול עיני המבקרים בביתן בתערוכה, רק שכולם עברו לידו בלי להתרגש או לחשוב יותר מדי. כולל אנשי ה-FBI שבאו גם להתארח בפאנל וגם להכיר את הטכנולוגיות האחרונות שמשחקים בהן הפורצים הנוצצים. המצחיק הוא שאין להם בעיה להסתובב בכיס עם RFID או שניים אבל יש להם בעיה עם זה שהם גילו שברגע שהם עברו ליד אותו ביתן, האנטנה הקליטה את המספר הסידורי של הכרטיס וצילמה אותם מצלמת WEBCAM קטנה. אני תוהה כמה פעמים זה כבר קרה להם בלי שהם גילו שזה קרה.

להזכירכם, הדרכון הביומטרי של שטרית יהיה אלחוטי וכך גם תעודת הזהות. הובטח לנו שהארפיד "יכובה" בתעודת הזהות, אבל על מי הם עובדים? הוא אולי לא יתן פרטים ומידע מפורט אבל לזהות את מספרו הסידורי כחלק מה־Handshake ברור שהוא יסגיר. אבל יש לזה פתרון, ד"ר אן קווקיאןכבר הזכרתי בעבר) מנסה להחדיר למערכת באונטריו כרטיסים חכמים שבהם הארפיד לא פועל אם לא לוחצים בנקודה מסוימת, שבלעדיה אין פיסית מגע בין הצ'יפ לאנטנה שלו. השיטה הזו כבר זוכה למימוש אצל יצרנים שונים, אבל לא ברור אם נראה אותה בארץ. כאן אנו עלולים לגלות שהארפיד פועל כל הזמן. אם אתם רוצים לקרוא עוד על הטכנולוגיה, האתר שלה (נציבות הפרטיות הציבורית של אונטריו) עשיר במידע ושקפי הרצאה בנושא הזה ואחרים.

(סרטים מוטמעים בהמשך, לבקשת חל מהקהל אני מבצע קיפול) להמשיך לקרוא פחד ותיעוב בלאס וגאס, נוסח 2009

-------
  1. אני מבטא אותם ארפיד, אתם יכולים לבחור מה שבא לכם[^]

יש לך פארטנר לזכויות היוצרים והפרטיות שלך

(הפוסט של היום מזכיר לי לחפור טיוטא ישנה מהנפטלין אליו דחפתי אותה בזמן "עופרת יצוקה", אני מעדכן אותה טיפה ומשחרר)

זוכרים את הבלגן עם הסכם השימוש בגוגל כרום? בישראל זה קורה כל הזמן ואנשים מתייחסים לזה פחות. אני זוכר את מקרה שביתת הבלוגרים בקפה דה-מארקר על כך שגילו יום אחד כי כל הפוסטים והתמונות שלהם בעצם בבעלות דה-מארקר, ומקרה אחר של תחרות צילומים של מעריב שספגה משוב זועם על כך שבאותיות הקטנות הוכנס שכל המגיש תמונה לתחרות למעשה מעביר למעריב את זכויות היוצרים עליה (לא פחות!). אבל הסכמי הצטרפות כאלו חולפים על עיניהם של רבים ביום-יום, ויש סעיפים מוסתרים יותר או פחות שאנשים מופתעים לגלות. דוגמא שגיליתי לפני כמה חודשים כשהתעצבנתי שחשבון התפוז המוזנח שלי מופיע בפייג'ראנק גבוה בראש החיפוש אחרי שמי על אפי ועל חמתי (לפעמים במקום שני או שלישי אבל עדיין בעמוד הראשי) ואי אפשר לסגור חשבון בתפוז! את זה אני לא חושב שהיה בהסכם, ועכשיו אין לי איך להעיף את הדף המיותר הזה משם.

בינואר נזכרתי לבטל את חיבור האינטרנט של הסלולר שלי. אחרי אכזבה מ6280 שקיבלתי חזרתי ל6230i הישן והטוב, ושכחתי לבטל את חבילת הגלישה. חבר שגר בחו"ל התפלא שאני לא עושה את זה גם בחצות דרך אתר החברה, ואמרתי לו שכאן זה ישראל וצריך לעשות את זה טלפונית. אבל רק כדי להיות בטוח… הלכתי לפתוח יוזר באתר אורנג'. שלב א' כדי לאשר שאני מי שאני נשלח אלי קוד אישור בSMS. הכנסתי. אמרו לי שיופי שאני זה אני ומייד ממשיכים, ושלחו לי עוד אחד כדי לוודא שזה באמת באמת באמת אני. הכנסתי גם אותו. בשלב הזה כבר ביקשו את מספר תעודת הזהות וארבע ספרות אחרונות של הכ"א. לרוב אני שונא לתת מת"ז בלי סיבה, אבל אורנג' הרי כבר יודעים אותו (בשביל חיוב אשראי ובשביל הקו העסקי שלי שמותנה בהצגת העוסק-מורשה שלי, שמספרו כידוע זהה למת"ז). לפני שלחצתי שליחה עיינתי לרגע בהסכם השירות שנח לו בכתב קטנטן למטה. הנה היילייטים:

כמו כן, בכך שאתה מאחסן בשרתים שלנו יצירות עצמיות, אתה נותן לפרטנר ולגופים אחרים זכויות רישיון להעתיק, להפיץ, לשדר, להציג בציבור, לבצע בציבור, לשכפל, לערוך, לתרגם ולשנות את עיצוב היצירות העצמיות שלך; לפרסם את שמך בקשר ליצירות העצמיות שלך; ואתהזכות להעניק רישיון משנה לשימוש בזכויות אלה לכל צד שלישי, הכול ללא תשלום תמלוגים, בכל העולם, ולתמיד.

בקיצור תגידו שאתם מקבלים רק חומרים תחת פובליק דומיין וחלאס, למה לסבך?

פרטנר וספקיה אינם מציגים מצג כלשהו לגבי התאמה, אמינות, זמינות ודייקנות תכני השירותים לכל מטרה שהיא, וכן לגבי היעדר וירוסים או רכיבים מזיקים אחרים בהם.

אז תגידו שאתם מציגים תכנים מכל ספק ספאם ווירוסים שישלם לכם – כי לכסף אין ריח. שוב ניסוח מסובך?

אתה מסכים באופן מפורש לכך שפרטנר לא תהיה אחראית לגישה ללא הרשאה או לשינוי ללא הרשאה של היצירות העצמיות או הנתונים שלך

"אם יפרצו לנו למערכת או שעובד משועמם שלנו רוצה להשתעשע על המידע שלך בשלוש בבוקר, אין לך מילה"

אנו נהיה רשאים לפנות אליך ולמשתמשים הרשומים שלך מעת לעת בהצעות שיווקיות שונות שלנו ושל צדדים שלישיים, בכפוף להוראות כל דין.

יש לציין שמייד מתחת לזה יש תיבה של אישור קבלת ספאם בדואל וSMS ולא סימנתי אישור, האם ההסכם גובר על זה?

פרטנר שומרת לעצמה את הזכות לחשוף כל מידע אישי אודותיך או אודות השימוש שלך באתר כולל תוכן השימוש, ללא קבלת רשות ממך אם פרטנר מאמינה בתום לב כי פעולה זו חיונית כדי: (1) לציית לדרישות הדין או למלא הליך משפטי; (2) להגן על הזכויות או הקניין של פרטנר או של חברות קשורות אליה; (3) לאכוף את תנאי השימוש; (4) לפעול כדי להגן על האינטרסים של מנוייה או של אחרים.

אהה… סעיף (1) לא מספיק? זה לא קצת יותר מדי סיבות ותירוצים לחלק את המידע שלי?

די, בנקודה זו אני פשוט עושר ולא מתעצבן יותר מהאתר הזה, יש דברים יותר מעצבנים…

מזכר סאמרז

בהקשר לפוסט הקודם, כשגיליתי שלא כל חברי מכירים את הסיפור, ולתרגם את ערך הויקיפדיה אני לא יכול, אז הנה בסגנון חופשי:

לורנס סאמרז הוא הסטראוטיפ הורוד של כל אנטישמי. הוא פרופסור לכלכלה, בן של שני כלכלנים ואחיין של שני זוכי פרס נובל בכלכלה. הוא הפך לפרופסור מן המניין בהרווארד כבר בגיל 28, כיהן בועדת יועצים כלכליים לרייגן, עבר לעבוד בבנק העולמי וטיפס שם במהירות למשרד הכלכלן הראשי, שם כתב את המזכר הבא. ביצעתי תרגום מהיר רק בשביל עיקרי הדברים:

לגבי תעשיות "מלוכלכות": ביננו, הלא תסכימו שהבנק העולמי צריך לעודד מעבר של יותר פסי יצור למדינות הנחשלות בעולם? אני יכול לחשוב על שלוש סיבות:

1. העלויות הנלוות לזיהום ומחלות שבאות איתו נמדדות לפי עלויות שכר, ולכן מן ההגיון הוא להעביר תעשייה מזהמת וקבורת חומרים מסוכנים למדינות עם השכר הכי נמוך. ההגיון הכלכלי של העברת הזיהום למדינות האלו הוא צרוף, ואנחנו צריכים כבר להכיר בזה.

2. עלויות הזיהום הן כנראה לא דבר לינארי, כיון שהזיהום הראשוני הוא דבר לא מורגש מבחינת עלות סביבתית. תמיד חשבתי שמדינות בצפיפות נמוכה כמו אלו שבאפריקה, הן בעלות אוויר בזיהום חסר, כלומר האוויר שלהם היא בניצולת הרבה פחות מוצלחת מאשר לוס אנג'לס או מקסיקו סיטי. חבל רק שיש הרבה זיהום שנוצר מגורמים שאינם ניתנים להעברה לשם, כמו תחבורה וייצור חשמל, וכנ"ל מחירי שינוע הפסולת הגבוהים שמונעים את הרחבת המסחר בפסולת וזיהום אוויר לרווחת העולם.

3. הדרישה לסביבה נקיה מסיבות בריאות ואסתטיקה, נראית שעולה בצמוד לרמות הכנסה. הדאגה מחומרים שגורמים סרטן הפרוסטטה, ידאיגו באופן מובן מאליו רק אנשים במקומות שבהם תוחלת החיים מספיק ארוכה כך שאנשים שורדים מספיק שנים כדי לחלות בסרטן הזה, בניגוד לארצות שבהן חמישית מהילדים מתים לפני גיל 5. ממילא רוב התלונות הן על החלקיקים באוויר שמפריעים לראות (visability). החלקיקים האלו גורמים כנראה למעט מאוד בעיות בריאות אמיתיות. ברור שהמסחר בטובין שמייצגים דאגה לאסתטיקה של הזיהום יכול לשפר את הרווחה. הרי הייצור הוא נייד אבל הצריכה של אוויר יפה אינה ניתנת למסחר.

[…]

— לורנס סאמרז, הכלכלן הראשי של הבנק העולמי, במזכר מפורסם מדצמבר 1991.

במילים פשוטות – עלויות נקיון הסביבה יותר זולות בעולם השלישי, אצלנו כבר מזוהם מדי אז שיעבור קצת אליהם, ואנשים בעולם השלישי ממילא מתים כמו זבובים לפני שהם מגיעים לגילאים שהם יתחילו להיות מושפעים מהזיהום, אז זה לא נוגע להם.

הפרשה התפוצצה ב1994, לארי טען שמדובר בסרקאזם מכוון כדי לגרום לאנשים להתעורר ולחשוב. אבל קשה לשפוט בדיוק, העיתונים וממשלות זרות התייחסו לזה דווקא מאוד בחומרה. הייתם חושבים שלארי מתווסף למיידוף בתור עוד דוגמא שלילית לאדם עם גנים יהודים שאיננו "מענטש", ומאז בוודאי נזרק מכל המדרגות? אבל לא.

מהבנק העולמי הוא עבר להיות סגן שר החוץ של קלינטון, ואז סגן שר האוצר ובסופו של דבר שר האוצר. אחרי שנבחר בוש הוא חזר להארווארד כנשיא היהודי הראשון של האוניברסיטה, אבל ב2005 באה פליטת פה מביכה על שלדעתו נשים אינן מסוגלות לאותן הצלחות אקדמיות כמו גברים.

להגנתו אמר סאמרז (מנחשים?), שמדובר בסרקאזם מכוון כדי לגרום לאנשים להתעורר ולחשוב. אהה… נכון… אבל בסופו של הרבה רעש ציבורי הוא בחר להתפטר ב-2006 מהמשרה ומאז או פרופסור "פשוט" שם, בפקולטה לממשל.

הפליטה בסוף עלתה לו גם במשרת שר האוצר של אובמה, המסכן משרת היום "רק" במשרת ראש המועצה הלאומית לכלכלה. מאז המינוי שלו הוא כבר חטף ביקורות שהוא יותר מדי פרידמן (מילטון), והרים המון גבות כשהתברר לפני כארבעה חודשים שהוא הרוויח כמה מליונים קטנים בחודשים שלפני הבחירות מהחברות בוול סטריט שעל גורלן הוא עכשיו מופקד… מעניין כמה תירוץ הסרקאזם ימשיך לתפוס במקרה זה.

אז הנה דוגמא של פרויקט לקהילה (וסיבה טובה להשרשת דמוקרטיה כערך תרבות) – לקום ולהפוך שולחנות ביחד כדי שדברים כאלו לא יקרו (או יותר נכון יפסיקו לקרות) בישראל. אבל הרי מעטים קמו ונזפו בכנסת הקודמת ששליש ממנה היה תחת חקירות משטרה כלשהן, וכיום אף אחד כמעט לא מוחה בקול רם או מתארגן להפגנה נגד ההפרטות המוגזמות של ביבי. מה עושים כדי לגרום לאנשים להתעורר ולהתחיל לעשות דברים למען עצמם או בעד צדק חברתי באשר הוא? האם האינדיבידואליזם ינצח את ההגיון, עד שיהיה מאוחר מדי?

מערכת הבחירות הכי יקרה שלנו

ד"ר יובל מזכיר שביבי התחייב לחברים שלו, שהוא לא מעלה להם את המיסים. להפך, הוא מוריד יותר ממה שנראה אפשרי. הוא גם יפטר פה מכל השומן העודף ויביא אותנו למשק יעיל.

כי הרי רשות תשתיות אנרגיה ממשלתית זה לא יעיל. הממשלה לא תתן לכם אנרגיה יעילה, נכון? פחם מזהם אבל הוא מאוד זול. שבשבות זה לא יעיל, וממילא אין לנו רוחות רציניות בארץ, אנרגית גלים זה צעצוע עוד פחות יעיל, נשארה בעיקר אנרגיה גרעינית בתור מקור האנגיה הכי פחות מזהם, אבל מסיבות פוליטיות אנחנו לא נבנה פה כורים מטעם המדינה, אבל מה עם גוף פרטי? תחנת אנרגיה אטומית של האחים עופר, זה יכול להיות אחלה! אבל כל האישורים הנוראיים האלו, קרקעות… הגופים הממשלתיים הנודניקיים האלו… נתניהו יודע איך לעקוף את הכל – השוק הפרטי ינצח, לא?

בכלל הרבה יותר נכון להפריט כל מה שזז. חשמל פרטי בקליפורניה נכשל? קליפורניה פושטת רגל? הרי ברור שזה בגלל שיש להם מושל שחקן קולנוע טמבל ולא כלכלן מבריק.

כלכלן מבריק מקצץ בחינוך (שהוא העתיד), לוקח מע"ם על ירקות (לא סופי, ואני מבין שגם נתון לויכוח אם זה רע או טוב), לא מוריד מע"ם של תרופות (כי מה שהעניים ימותו יותר מהר, עדיף לקופת המדינה), מפריט את מקרקעי ישראל (הכנה למכירה לממעיט במחיר), וקק"ל … בינתיים נתחיל לחסוך כסף ע"י מיסים על מוצרי מותרות כמו מים. אנשים לא באמת צריכים את זה, נכון? וממילא העניים הטמבלים לא מבינים בקובים. חלק מזה כבר הזכרתי לפני חודשיים, בטח נמאס לכם כבר לקרוא על זה…

אני אולי הטמבל חסר ההבנה בכלכלה, אבל יש גם איזה ירושלמי אחד בשם סטנלי שמסכים שיש בעיה. לא פלא שבנק ישראל לא מאושר – התקציב של ביבי ל־2009-10 ישאיר אותנו עם גרעון של מיליארדי ש"ח ב־2011-12 ויאלץ העלאה חזרה של המיסים. במילים אחרות, ביבי אולי מחשב שכרגיל ממשלה בישראל לא תחזיק קדנציה, אז הוא יוכל לרוקן עכשיו את הקופה, למכור את ישראל ב95% הנחה (כמו את החברה לישראל בזמנו) לאחים עופר ודומיהם – ושלממשלה הבאה ישאר הגרעון, חוסר השליטה, המחלות והברדק, וכמובן חוסר האפשרות שלא להעלות מיסים חזרה…

אומרים שהוא מבין משהו, הסטנלי הזה. אני עוד זוכר איך הוא ריכך יפה את מכת השוק שספגה אמריקה לכדי גל לא נעים אבל ניתן להתמודדות בשוק הישראלי, בעזרת משחקים חכמים ומושכלים של קניה ומכירה של מט"ח, ובחירה מדויקת של הריבית.

אז מה עושה ביבי שלא מאושר מזה שבנק ישראל לא תומך בו? לוקח לו את יכולת ההחלטה על הריבית ומעביר אותה לועדה שלא ברור לי מי ירכיב. אני תוהה אם גם בנק ישראל יופרט בסוף או יועמד לתחרות חופשית…

אני כמעט כבר מעדיף את מיידוף כשר אוצר, אתם יודעים? טוב, אולי לא את ברני, אבל מה דעתכם על ד"ר דיל-לא-נורמאלי-כולם-ירוויחו-מזה?