עוד תשובות מיורם אורן

במשך הדיאלוג ביני ובין יורם אורן, יועץ משרד הפנים בנושא התעודות החכמות. אתם מוזמנים להוסיף שאלות ואפנה אותן אליו.

החלק הקודם פורסם כאן, קחו רק לתשומת הלב את האזהרה שפירסמתי.

בתשובה לשאלותי לגבי האמון הפגוע של משרד הפנים (דליפת מרשם האוכלוסין, פנקס הבוחרים ועוד מאגרים) והעובדה שאין להם איש במ"מ קבוע:

לגבי ממונה במ"מ במשה"פ – נכון שאין מינוי רשמי אבל זה לא אומר שאין עבודה בנושא, ואפילו עבודה אינטנסיבית. בכמה שנים האחרונות שאני מכיר את המשרד הוא עשה קפיצת מדרגה רצינית, בסיוע צמוד של רא"מ ועם אנשים מאד מקצועיים שעוסקים בזה. אני מתאר לעצמי שיהיה מי שיקפוץ ויגיד שמרשם האוכלוסין בכל זאת דלף משם אבל זה שוב משהו לא נכון. מרשם האוכלוסין מכיל הרבה פרטים נוספים שלא דלפו, והדליפה הייתה מלקוחות של המרשם שמקבלים אותו על פי חוק. אני הראשון שישמח אם יצמצמו אליו את הגישה בחוק.

בראיון אמר לי ביהם שהשב"כ והמוסד עצמם לא משתמשים בביומטריה כי אינם סומכים עליה, יורם אורן טוען שהוא יודע מידע אישי את ההפך. הצעתי שזו הסיבה שחייבים לקיים דיבייט גלוי ולפרסם עובדות.

בנושא ההסכמה על עובדות – זו הגדרה מעניינת להשערות/הנחות/המצאות/מחשבות. לגבי הצורך בדיאלוג/דיבייט – בהחלט מוסכם, אם יהיה מי שיעשה את זה מצד משה"פ באופן שוטף.

אז מתי יפורסמו ההליכים, החומרות ושאר מרכיבי המערכת? אחרי שיוזמנו ויותקנו?

למה מסמכים אינם מפורסמים? יש המון סיבות אבל אציין רק אחת כחומר למחשבה. זה שאתה מתעניין ורוצה לדעת מתוך מעורבות אזרחית זה מאד יפה וראוי להערכה, אבל יש הרבה (בעצם הרבה יותר) שירצו לדעת מתוך מניעים מסחריים. כבר הדפנו כמה ניסיונות כאלו. לתת למישהו יתרון זה בעייתי מאד מבחינת חוק המכרזים. גם פרסום לכולם זה בעייתי וגורר הרבה תגובות שאינן ענייניות ונועדו רק להפגין כמה המגיב חכם וכמה המפרסמים טיפשים. מעטים באמת מתייחסים בצורה עניינית, נטולת אינטרס מסחרי. השמירה על פרופיל נמוך ואפילו על "ערפל" מכוון עד לשלבי המכרזים המעשיים מנעה עד כה הרבה ניסיונות של גורמים עסקיים להשפיע על מהלך העניינים. זה כל הזמן הליכה בין הטיפות אבל זה מאד מוכיח את עצמו. כיום גורמים עסקיים שונים רק מנחשים מה תהיינה הדרישות שלנו בכל מיני דברים ואפילו משחררים בלוני ניסוי בתקשורת כדי לנסות ולדלות מידע שיועיל להם. לצערי העיתונאים של היום מתמסרים ברצון לדברים כאלו אבל זה מה שיש. בשורה התחתונה – שמירת הפרופיל הנמוך היא הכרח בל יגונה.

שאלתי גם לגבי key-loggers:

קי לוגרים זה בעיה שאיננה ייחודית לשימוש בכרטיס חכם אלא לשימוש במחשב בכלל. במקרה של כרטיס חכם יש כמה גישות לכך. הגישה הקלאסית אומרת שיש להשתמש בקורא עם PIN PAD המאפשר להזין את ה-PIN ישירות לכרטיס בלי שהוא יעבור את המחשב. יש קוראים כאלו ויש כאלה אפילו עם הסמכה לפי CC. החיסרון הוא במחיר היקר בהרבה ובכך שצריך לבדוק אם אי אפשר לטעון להם קושחה זדונית, כך שהבעיה פשוט עברה למקום אחר.
הגישה השנייה היא לייצר תהליך אינטראקטיבי שבו המשתמש בכרטיס מקבל משוב בצורת CAPTCHA. משוב ×–×” כולל פרטים על מה שהוא חתם יחד עם בקשה להקיש משהו (ספרה/אות בודדת למשהו פשוט וצירוף אם זו פעולה כבדה שהרבה כסף בצידה). בצורה כזו גם אם המחשב נגוע או שהותקן בו קי לוגר חומרתי שלא ניתן לגילוי אז מה שהתוקף יכול לעשות ×–×” רק לשלוח את ×–×” למזלום בכפר בניגריה שמתפרנס מלפתור קפצ'ות למחייתו. ×–×” ברוב המקרים מחיר בלתי נסבל מבחינת התוקף, מה גם שהמזלום צריך לדעת עברית (security by obscurity במיטבו…). ×–×” לא פיתרון מלא אבל ×–×” משהו שכן מאפשר לחיות עם ×–×” כסיכון מחושב. אם מישהו השיג את ×”-PIN שלך הוא עדיין צריך את הכרטיס שאצלך בארנק או לחכות שתבצע איתו משהו על המחשב הנגוע, כדי להלביש על ×–×” עוד משהו. יש גם את ההיבט המשפטי, ואם נעשתה פעולה בלי ידיעתך ×–×” הופך לנושא של דיני ראיות. כאמור ×–×” לא ייחודי לכרטיס אלא רלבנטי לכל פעולה ממוחשבת וגם לא ממוחשבת שאינך שולט בכל התהליך.

וחזרה לשאלת השאלות – פרופסור ביהם טוען בצדק שתעודות ביומטריות הן אולי רע הכרחי, אבל עדיפות עליהן תעודות חכמות פשוטות יותר עם ×”×’× ×” על הפלאסטיק מפני נסיון להחלפת התמונה המודפסת. הדפסת התמונה שם משמעה שיש מאגר תמונות מופחתות.

למה ביומטריה ולא רק כרטיס חכם? נדמה לי שדשנו בזה לא מעט. אם זה קל יחסית לקבל תעודה לגמרי אמיתית בהרכשה כפולה אז כרטיס שאיננו בר זיוף לא עונה לצורך ואפילו מחריף את המצב. האמירה שניתן לבטל כרטיס מניחה שנעשה בו שימוש רק מול מערכות מחשוב. במציאות המון שימושים של התיעוד מתבססים על הצגתו בלבד וכאן רשימת תעודות מבוטלות לא עוזרת.
אנחנו משאירים עקבות אלקטרוניים בכל מקום, אלא אם נחזור הרבה שנים אחורה ונוותר על הרבה דברים שהם חלק מהיום-יום שלנו. נשאלת השאלה מה עדיף – צבר הולך וגדל של מידע עלינו ללא פיקוח וללא רגולציה בשיטת המערב הפרוע או משהו מצומצם, מוגדר ו"רזה" מבחינת מה שהוא מספק, עם רגולציה מחמירה ועם פיקוח.

אני לא מסכים איתו כמובן. אדם שתעודתו מבוטלת "מרחוק" ע"י מתחזה יקבל הודעה הביתה בצורת גלויה שתודיע לו שביום, מקום ושעה כך וכך התייצב אדם וביטל את התעודה הקודמת שלו, ואם זה לא נכון אז שייתור מיד קשר עם המשרד.

לשאלת השימוש הלא-אלקטרוני בתעודה שיקשה על גילוי תעודות מבוטלות אני יכול רק להגיד – אז מה התועלת שבביומטריה לעזאזל? אף אחד לא יעצור אדם עם תעודה מזויפת ממילא. אני עדיין בדיעה שאין הצדקה כלכלית ובטיחותית להוסיף ביומטריה לתעודות כשהסכנה שמנגד כל כך גדולה.

כל הביצים בענן אחד (והראש בחול)

למי שתהה למה ההתנגדות שלנו מלשים את הנתונים של המון אנשים במקום אחד וללא הצפנה, באה חברה מצ'וקמקת בשם RockYou ועשתה לאנשים בית ספר. ביום כזה אני עוד יותר שמח שאין לי פייסבוק ולא אפליקציות (לטס פייס איט, רוגלות), אני שמח שאני משתדל לתת סיסמאות שונות לכל אתר, ואני שמח במיוחד שאני לא נרשם לשום אתרי לווין של טוויטר שכל אחד ואחד מהם מתעקש לדעת את הסיסמא שלך בטוויטר. לי אישית זה ברור שאחד מהם יום אחד יברח עם המון חשבונות וסיסמאות (עד היום ראינו רק את האסון האישי של אורלי ואולי עוד כמה מקרים קטנים, אבל יום אחד גם זה יקרה).

כיון שגוגל הם גוגל ואני לא רואה תחרות רצינית מספיק מאף אחד אחר כרגע (לא ZOHO ולא מיקרוסופט), אני מתחיל ללטוש את ×¢×™× ×™ לכיוון EyeOS, צריך באמת לבדוק עד כמה העברית שלה מתקתקת כמו שצריך, אולי אני צריך להתחיל לנסות אותה על השרת שלי…

מזל טוב למשפחות שטרית וישי, נולד חוק שרירי ויפה במשקל 6 מליון רשומות

קמתי בבוקר אחרי שחגגתי בחתונה של גיא עד אחת בבוקר (אפילו רקדתי קצת, ויש צילומים באיכות ביומטרית שיעידו). בדרך לשירותים ניערתי את העכבר כדי לגלות למעלה משלושים מיילים לא קרואים והצצה מהירה הבהירה את החדשות הלא מפתיעות, אשר יגורתי בא לנו. אם תרצו לעקוב אחרי מחאות שעוד יאורגנו (מעבר להגעה למצעד ביום שישי הקרוב, 11:00 בכיכר רבין עד 14:00 במוזיאון ארץ ישראל), ויש לכם בוקפייס, אתם מוזמנים להצטרף לדף התמיכה הזה כדי לקבל עדכונים. למי שכמוני אין לו בוקפייס, אני מתאר לי שהודעות יעברו באתר no2bio, בבלוג הזה ובעוד מקומות.

שמעתי שהיה שמח במליאה, במיוחד הקרב הצפוי בין מיקי איתן לבין מאיר "האח הגדול" שטרית. למישהו יש את זה מוקלט?
שימו טוב לב לשמות הנעדרים! בטחוניסטים שמבינים מה נכון, ו/או רכיכות שהעדיפו לשמור על התחת שלהם בעתיד הפוליטי ובחרו לא להיות באולם להצבעה, כולל ביבי כופה המשמעת הקואליציונית והכפופים המיידיים: ביבי, לבני, ברק, ליברמן, בוגי, מופז. מי שכחתי? מוזר לגלות שרובי רבלין העיז להימנע, ולאור כמות הנעדרים מרגיז לגלות שדווקא מיקי איתן נשאר והצביע כמו ילד טוב.

סיפרו לי שלא היתה מילה בעיתונות המודפסת ועוד לא הלכתי לקרוא את האייטמים בעיתונים המקוונים, אבל אני שומע שזה בהחלט סוחף טוקבקים "כמו ידיעה על גלעד שליט" (לדברי מישהו). אני לא אתיימר ללכת לחפש ולסכם כי כבר יעשו את זה בלעדי. אני מבין שיש גם הרבה דיבורים בנושא בתוך הגן הסגור של בוקפייס כי הבוקר סליידשר שלחו אלי ההודעה הבאה במייל (על מצגת שפירסמתי פה אתמול, רק שלצערי איננו יודעים מי יצר אותה):

"למה לא מאגר ביומטרי" is being talked about on Facebook more than any other document on SlideShare right now. So we've put it on the homepage of SlideShare.net (in the "Hot on Facebook" section).

Well done, you!

– SlideShare Team

וול דאן אינדיד, הייתי מעדיף מדיום רייר. לא, הייתי מעדיף שהווטרינר יפסול את הפרה כולה, או שהמשגיח בבית המטבחיים יפסול את כשרות השחיטה, אבל נעזוב בצד את המטאפורות המקאבריות.

אני צריך לעשות קצת סידור מחשבות.

המשך בשעות הקרובות.

על המשקיעים הסודיים של יאהו והפינגים לספרינט

למי שתהה איך יאהו עוד חיה, מסתבר שממשלת ארה"ב משלמת טוב על מידע פרטי על אנשים ובמיוחד מרשתות חברתיות. למעשה בגלל כל מיני ברדקים שמאחורי הקלעים שם, ה-EFF מריץ תביעות עכשיו לפרסום המידע הזה ע"י ממשלת ארה"ב.

כמה גרוע המצב שם? רק בשביל סדרי גודל וסיבור האוזן, לפני כחודש התרעמנו פה איך הועברו מהמשטרה 9000 בקשות מידע תחת חוק נתוני תקשורת, אבל לפני יומיים נחשף שהמפעילה הסלולארית "ספרינט" לבדה קיבלה לא פחות משמונה מליון בקשות למיקומי GPS של לקוחות (לא ברור אם זה מאה בקשות איכון ללקוח על 80K לקוחות או איך זה מתחלק, אבל זה מאוד מרשים, תודו). שיהיה ברור, זה לא כולל את הבקשות לרשימות שיחות, להאזנות, וכמובן לא כולל את הפניות שקיבלו המתחרות AT&T ואחרות.

עשו אחד ועוד אחד (או מליונים ועוד מליונים) וזה אומר, אני מתאר לי, שהסיכוי מאוד גבוה שלביון האמריקני, ואולי לישראלי, יש היסטוריה נאה של "מפת שוטטות" די מפורטת של פלח נאה ממחזיקי הטלפונים הסלולאריים. מה שיותר מדאיג, נראה שניתן בהחלט להניח שיש להם גם את המאגרים הביומטריים של פייס.קום, האנשים שחושבים שפרטיות זה מצחיק.

את ×–×” אני רק מציין כתשובה לכל האנשים שאומרים לי שאין בזה כלום, ושאת סוכניות הביון מענינים דגים גדולים יותר ממה שמקושקש לכם על ×”"קיר" בפייסשמוק. אז ×›×›×” – תקשורת ואחסון ×–×” זול, כריית מידע ×–×” זול. אם יחליטו שההתנהגות המקוונת שלכם מקפיצה להם את העין כחשודה, ואתם עלולים למצוא את עצמכם במעצר בגלל שסטטיסטית, איזה AI מטומטם החליט באינטואיציה ההיוריסטית שלו שאתם ראויים למעצר בגלל איפה שאתם מסתובבים, אם אתם מסתובבים שם בצורה חשודה, או איך ששפת הגוף שלכם נראית לו. במורד הדרך גם לפושעים יהיו כלים דומים לחפש אנשים שלפי שפת הגוף ברור להם שהם טרף קל. ברוכים הבאים למאה ×”-21…

עוד מחשבות על בלוגיות חופשיות בישראל

אחרי הפוסט הקודם על הזעזועים ברשימות, וקריאה חוזרת של התגובות להודעת הצוות על פיזור המשתמשים, או דיונים שהתפתחו מסביב כמו האחד הזה אצל רוני, ובהתחשב בעובדה שמחסור בתקציב ו/או כוח אדם פורר את "שקוף" ומעמיד בסימן שאלה את עתידה של בלוגלי, לא נותר לי אלא להצטער שחופש הביטוי באמת חשוב רק לבני המעמד הבינוני והמעוך בישראל. אנשים שקרועים בין הצורך לתחזק את הפלטפורמות והשופרות החשובים האלו ובין הצורך פשוט להתפרנס.

החוקים בארץ לא מעודדים עוסקים עצמאיים לצערי. את ×–×” אני יודע ממצוקה אישית. אין זכויות בביטוח לאומי (למרות שאני משלם להם אחוזים יותר גבוהים מאשר שכיר), אין יותר מדי גב לגביית חובות, אי אפשר להקים בקלות "תיבת תרומות" כמו פרויקטים פרטיים קטנים ברשת בלי שמס הכנסה יבוא יום אחד וינקנק אותך. לאתרים כמו בלוגלי וכמו רשימות לא נותר אלא למכור את האתר (ולקוות שהקונה לא יבגוד במשתמשים), או לקחת כסף מהמשתמשים על פיצ'רים מיוחדים שיסבסדו שכירת תחזוקה לכולם, או להכניס פרסומות… וגם אז לא ברור שכמות העבודה מצדיקה את ×–×” בשוק הישראלי הקטן, ×–×” לא שמדובר במאות אלפי המשתמשים של wordpress.com ומצד שני, הבלוגיות האלו בחו"ל כל כך גדולות, שלא ממש משתלם להן להשקיע בהתגמשות לטובת משתמשים בשפות משונות שכותבות הפוך. לכן בארץ קיימות רק בלוגיות של מתנדבים, בלוגיות ממוסחרות (יש שיאמרו "עד זרא") שמתנות ומגבילות תכנים או חונקות בפרסומות, או בלוגיות מפסידות שמשמשות לציד צרכנים מסוג כלשהוא.

הסיבות לכך שקמו הבלוגיות החופשיות בניהול מתנדבים, היו אכזבה ממשהו. הפלטפורמות האחרות היו בעיקר המוניות מדי או ממושטרות מדי. מהתרשמתי התדמית הרווחת היא ש"רשימות" מנסה לרכז קהל יוצרים והוגים איכותיים (וכבר קראו להם אליטיסטיים לא פעם), ושבלוגלי בא לתת מענה להגנה על אנונימיות וחופש הדיבור (וקצת אולי גם חופש מפקאצות ותופעות אחרות). הפחד שלי שאם אחד מהם מתפרק (ורשימות פחות או יותר באמת מתפרק) אז ילך משהו חשוב לאיבוד. יהיו אנשים שהאכזבה או היאוש יגרמו להם לוותר על הכתיבה מהסוג הזה, תכנים מעניינים אולי לא יועברו למקום אחר ויאבדו, אנשים שיעברו לבלוג אחר יאבדו את הראנקינג בגוגל ובעיקר את הלינקים הנכנסים וזה יכול לדלל את מספר המבקרים שיגלו את הבלוג שלהם, אולי ממש ישתיק את זרם התגובות והפעילות.

יש גם את ענין האופי של הבלוג שמושפע מסביבתו וסוג הקהל. פעם קצת זלזלתי בזה, אבל היום ברור לי לגמרי, שיש אנשים שלא יגיעו לבלוג שלך אם אתה לא חלק מבלוגיה. בלי שיש לי סטטיסטיקות על כמות ואופי התגובות הממוצעת שמקבל בלוג בקפה דה-מרקר או רשימות בניגוד לבלוגים עצמאיים, אני מתרשם שיש אנשים שזה משפיע להם על הדחף לכתוב ועל אופי התכנים, לטוב ולרע. בקיצור, יש סיבות להכריז על שמורות טבע, ויש סיבה להכריז כאן, לדעתי, על שמורות תוכן, או שמורות קהילה, תלוי איך תרצו להסתכל על זה.

איכשהוא בארה"ב לערכים יש עדיין מקום על המפה. ארגונים ועמותות שמאפשרות חופש דיבור ושיח דמוקרטי, מצליחים לגייס תרומות נאות במליוני דולרים (אני יכול לחשוב למשל על קרן ויקימדיה וקרן אור השמש בתור שתיים שקופצות לי אוטומטית לראש). חלק מהמימון הגדול מגיע גם מגורמים מסחריים ולא תמורת פרסום בולט או משהו (כמובן שאם יש לך סטאטוס מתאים בארץ, תרומות כאלו היו אפילו משתלמות מבחינת מסים). האם אין אף מממן שיקח ויאמץ את בלוגלי ורשימות בלי לדרוש להרוויח ישירות? אין לי מושג לאילו ספונסורים פנו עד היום מפעילי רשימות, אבל הנה רעיונות:

* איגוד האינטרנט – אני יודע שכרגע ענין איגוד האינטרנט נמצא בנקודה רגישה אצל רבים, אבל אני רואה את ×–×” בדיוק בתור אחד התפקידים של הגוף ×”×–×”: לדאוג שחופש הדיבור והשימוש באינטרנט בארץ ישמר, ואני אישית הייתי שמח לראות אותם תורמים את הברזל, ההוסטינג ואולי שעות האדם כדי לדאוג שבלוגלי ו"רשימות" יוכלו להשאר מעל המים ולשגשג גם בעיתות משבר. זו גם תשובתי לכל מי שביקר את עתודות המזומנים של האיגוד או את מחירי הדומיינים. ×–×” המחיר של יצירת גוף עמיד לזעזועים מסחריים שיוכל להחזיק פרויקטים חברתיים חשובים שאסור להם להעלם בגלל שהשוק איטי בשנה מסוימת או שמתנדבים נאלצים לחפש הכנסה פתאום.

* עמותת ניהול שתקבל מימון ותרומות מחברות כמו גוגל ישראל, מיקרוסופט ישראל, משרד התרבות, מי שלא יהיה, אבל העיקר שישאר נאמן לנייטרליות. הבעיה היא למצוא אנשי עסקים ישראליים שיהיו מוכנים לזה וצוות שמוכן להכנס לכאב הראש של הקמה וניהול של עמותה. לא רואה את זה קורה לצערי.

* נדבן כלשהוא שמוכן לממן מכיסו את התחזוקה כדי שחופש הדיבור וכתיבה איכותית בארץ יישמרו.

* חברה כלשהיא שיכולה להתפרנס מפיתוח שירותים ומוצרי תשתית משלימים, וכמו אוטומטטיק לממן את הבלוגיה ללא פרסות ותנאים, בתור פלאטפורמת הניסוי והלמידה שלה, אולי אפילו בשיתוף עם אוטומאטטיק, באותה הצורה שמפתחי דרופל בישראל שמחו לממן ולהקים לו את האתר המקומי הקהילתי החופשי במקביל לזה העולמי. זה טוב לפרויקט התוכנה החופשית, זה טוב ליחסי הציבור וקידום המכירות של הספונסר, זה טוב לנפש המנהלים, זה טוב לקהילה שנהנית מזה ואני באמת ובתמים חושב שזה גם חשוב לשיח הפוליטי והתרבות הישראלית שזה ימשיך להתקיים. אני הייתי מת להיות במקום הזה שאוכל לאמץ ככה פרויקט כזה, אבל אין לי תכנונים להכנס לעסק מהסוג הזה, וגם לא תקציב.

אם מישהו יכול להעלות על דעתו פתרונות, אולי פתרון או מודל שלא חשבו עליו ברשימות או בבלוגלי, אני פותח כאן את הענין לדיון. כמובן אם יש לכם רעיון למישהו שיש לו את האמצעים והאינטרס לאמץ אותם, אולי אפשר לקשר…

הסתיידות עורקים

במין חיבור מטאפורי מוזר, בזמן שאני כותב על איך שחררו לרמן וחברים את הסתימה בצנרת המידע של תל אביב, קפצתי מדי פעם לראות איך קוצ'י, השרברב שלי, מתמודד עם סתימה יצירתית במיוחד בצנרת שיוצאת מכיור המטבח שלי.

אחרי שריקון הסיפון פעם בכמה חודשים הפסיק להיות אפקטיבי, ניסיתי בשבוע שעבר את מזלי עם פומפה, אבל התוצאה היתה שהרסתי את הסיפון שהתחיל לדלוף, והסתימה בכלל בדרך ממנו אל המנ-הול שבחוץ. קוצ'י שלף שטאל-באנד מיוחד (לא דרד'לה כמו של חשמלאים) והתחיל לעשות את המקבילה של צנתור לצנרת שלי. כמות הג'יפה האפורה והמסריחה היתה מרשימה יחסית לאורכו הקצר של הצינור שהוא ניסה לנקות, הוא התפעל בעצמו, אבל אני במיוחד התפעלתי מכמה גושים לבנים שזלגו החוצה, שנראו כמו גלילי גבס או מלט באורך עשרה סנטימטרים שהתייבשו בצורת הצינור. "חומר בניה?" שאלתי אותו, "לא, שומן. מהאוכל. ככה הוא מתייבש". אני מתאר לי שהשומן הזה שכב שם די הרבה זמן כי אני מקפיד לא לשפוך שמנים לכיור, מעבר לקצת שנשטף מהכלים. ידעתי שהוא מזיק למפעלי חימצון והשבת מים, אבל לא היה לי מושג שזה מה שזה עושה גם לצנרת הבייתית. אני חושב שזו היתה גם המחשה יפה של מה עלולה לעשות תזונה מחורבנת לגוף, יותר מכל סרט טלוויזיה שמנסה לשכנע נגד אכילת כולסטרול.

אני אחסוך לכם תמונות, דמיינו לבד 🙂