על ספקנות בעת מלחמה

ההלך עירום.

אני מדבר על הלך הרוח, ספציפית על הסכמת הרוב ברחובות ש"צריך למחוק\לשטח\לכבוש את עזה". אי אפשר להסתיר יותר את הדעות הגזעניות האלו בשכבת טיח. אני מדבר על הציוץ הזה של תומר וינר ועל המשפט "ניסים ואטורי מחרב את ההסברה שלנו". בפוסט הקודם אמרתי ששתי המילים הכי מוכרות בעברית היום הן "שלום" ו"הסברה" ולא בקונוטציה החיובית. ענתה בצדק טליה: "ההסברה בבירור לא עובדת. אולי כדאי שננסה שלום."

הסברה זו מילה שמזמן הבאישה, ×›×™ במקור משמעותה "לא מבינים אותנו נכון אז בואו נבהיר את עמדתנו", אבל ואטורי מבהיר היטב את עמדת רוב הקואליציה. אם "ההסברה" מספרת סיפור אחר שהוא לא העמדה המייצגת – אזי הסיפור ×”×–×” הוא דעת מיעוט במקרה הטוב, תודעה שקרית במקרה הרע. כשאמריקני או צרפתי אומר Hasbara הוא מדבר על פרופגנדה מהסוג הרע, ×–×” הפך לשם גנאי ומשמעותו היא פשוט לשקר. העולם לא מאמין לביבי שפניו להסכם קבע עם הפלסטינים כבר שנים, עכשיו כבר לא מאמינים גם לצה"ל.

ולמי הישראלים בוחרים להאמין? בסקר של ד"ר גל יעבץ יוצא שרק 4% מהמשיבים טוענים שביבי הכי אמין. לצערנו רק 10% אומרים שהם הכי מאמינים לכתבים ואילו ב74% שלמים, זוכה לא טיקטוק ולא קושמרו אלא דובר צה"ל בעצמו, תא"ל הגרי.

לי כספקן זה מציק. אני משתדל לגוון את דיאטת המידע שלי. לסמוך מעט על זה ומעט על זה כדי לבנות תמונה אבל אני יוצא מכמה הנחות יסוד:

  • ביבי לא אמין ×›×™ הוא נתפס ביותר מדי סתירות ושקרים, ובכלל התנהגותו גם מאז השבת השחורה מערערת אמון.
  • דוברים מטעם (כולל צה"ל) לא אמינים בעיני ×›×™ תפקידם הוא מראש פרופגנדה, ודובר צה"ל בוודאות מדווח לנו מידע מסונן ומנוסח באופן מגמתי כדי לבלבל אויבים, לחזק את מורל החיילים ועוד רשימת אינטרסים שקודמים לאמת.
  • כתבים ישראליים כרגע מרגישים שגם אם חודשים הפעילו עליהם לחץ מהשלטונות יש להם המון גיבוי מהציבור לעשות את העבודה ההוגנת ביותר שהם יכולים, בלי לחסוך ביקורת מהממשלה ואפילו הצבא כשצריך. עדיין, הם יישארו ממלכתיים, לא ידברו נגד כיבוש, הפצצת אזרחים ושאר מרעין בישין.
  • כתבים של רשתות ערביות, אירופיות או ערוצי יוטיוב כגון דמוקרטיווי, JNS, TYT, Novara, ודומיהם יכולים להצרך אבל עם גרעין מלח ענקי שכן בחלקם נאמנותם לעקרונות על פני אמת אוביקטיבית בולטת. אפשר להכניס לדיאטת המידע אם חסר כיסוי לנושא אצל מקור יותר אמין אבל כדאי להשלים צפיה משני צידי הסקלה כדי לנסות לבטל את ההטיות.
  • ארגונים עם הטיות חזקות יותר או פחות: ארגוני או"ם השונים (שאינם בכיס החמאס כמו UNRWA), אמנסטי, בצלם – לקחת נתונים אם אין מקור אחר ולתת פחות משקל לפרשנות בהתאם לנושא.
  • הרבה נתונים יישארו חסרים ×›×™ לצבא או לחמאס או לפלסטינים עדיף שהנתונים האמתיים או הבלתי מבוססים לא ידווחו בזמן הקרבות.
  • יש גורמים שממש כדאי להקשיב להם, אנשים חכמים שרואים ויודעים להציג זווית ראייה רחבה יותר, ולא לדחוף דעה אישית על נושאים בהם הם לא מומחים או שאין להם מידע. אלו לרוב לא האנשים לקבל מהם את החדשות הרציפות כמובן, אלא לראות ראיונות שלהם, כמו סלאבוי ×–'×™×–'ק, יובל נוח הררי, המומחים של INSS, תום פרידמן, איאן ברמר וכדומה.
  • בתחתית הרשימה אנשים שאין מה להקשיב להם אלא אם רוצים להתעצבן: פוקס ניוז, פירס מורגן, ערוץ 14, ×’'ו רוגן, טאקר קרלסון וכל מי שאתם עוד מניחים שנכנס לרשימת ההזויים הזו.

עד כמה שאוהבים לרדת בימינו על CNN בארצות הברית, הם מצליחים לתת תמונת מצב די מאוזנת יחסית, יותר ממה שמתיימרים BBC ואחרים להראות. הישראלים גילו פתאום את ג'ייק טאפר, שטורח להציג תמונה אוהדת ישראל (טוב נו, יהודי ואמריקני) למרות שאינו חוסך ביקורת מביבי וימינה לו. אני לא צופה אדוק של הרשת אז אני לא יודע לומר עדיין עד כמה נקודת המבט שלו ביקורתית או סלחנית לפלסטינים. אבל הנה איך שהוא מעביר נקודת מבט שלא חוסכת ספקנות מהסרטונים של דובר צה"ל ונכנסת ללא רחמים בסמוטריץ' ובן-גביר על ליבוי והתגרות.

מהצד השני, הנה ערוץ נובארה מדיה השמאלי שמתקיף את ישראל יום יום ללא רחם ולא מזמין כמעט אף פעם דעה נגדית לשולחן, אלא אם זה פופוליסט שקל להם לפרק את טיעוניו, אני לא נותן להרבה מהסרטונים שלהם משקל רב מדי אבל צופה מדי פעם כי יש והם מאירים על נקודות עיוורות של דיווחים אחרים. הנה הם נכנסים בסרטון שפותח את הקטע של טאפר למעלה ביתר פירוט (הפעם לשם שינוי הBBC עשה עבורם את חצי העבודה).

שאלות פתוחות

לאור ההנחות שפירטתי למעלה אפשר לנסות לבנות תמונת מצב, ועדיין יהיו חוסרים. אני למשל אשמח לדעת יותר לגבי השאלות הבאות, למרות שאני מניח שיש סיבות שהתשובות האלו פוגעות באסטרטגיה של צה"ל איכשהו, אבל יום אחד אני ממש אשמח לגלות.

  1. כמה אזרחים וכמה חמסניקים מתו בידי צה"ל? היו המון דיבורים על "תגובה סבירה ביחסיותה" אז חשוב לדעת אם מתו 3 אזרחים על כל חייל חמס או שלושה חמסניקים לכל אזרח.
  2. הפצצנו זרחן לבן או לא? ואם כן למה? אם יש רשימה סגורה למצבים שמותר להשתמש בחומר הזה למה היא סודית?
  3. האם יש מישהו בצה"ל מעריך שבאמת רוב או אפילו חצי מהחטופים יחזרו בחיים?
  4. לפני הכניסה לבית החולים, צה"ל טען שהוא מקיף את שיפא, לא יורה פנימה, מתעד יציאת מחבלים מהמתחם וחזרתם פנימה, משאיר את החזית המזרחית פנויה לכניסה ויציאה של צוות ומטופלים, ונמצא בקשר עם ההנהלה. באותו זמן מי שקרא את הטוויטר של "רופאים ללא גבולות" ואחרים התרשם שבית החולים מופגז, חדרי ניתוח יצאו מכלל פעולה, שנותרו 7 מנתחים בחיים מתוך כ־50 וכל מי שמתקרב לחלון חוטף כדור. לאיזה צד יותר קרובה האמת?
  5. מה התוכניות לדרום הרצועה, איפה שמעריכים שרוב החטופים מוחזקים? האם גם אותה ישטחו?
  6. מי אמור לשקם את כל הבניינים והתשתיות ההרוסות ועל חשבון מי? ישראל אפילו לא בונה מספיק נדל"ן בר השגה לאזרחים, מה אם יפול עלינו הנטל לממן את הפיצויים לבניה מחדש?

וזו רק רשימה חלקית מהשבוע האחרון. יש פרטים מעורפלים, יש אמיתות ברורות שיתפוררו בהמשך. למשל בשבוע הראשון אמרו שרצחו 40 תינוקות בכפר עזה, שערפו לרובם את הראש, המספרים המזעזעים האלו צוטטו על ידי ביידן ואנשיו, ואני כמובן לא אחד שרץ לחפש סרטוני סנאף בטלגראם. אבל הציק לי אז בדקתי. יש עמוד לזכר הנופלים בהארץ, יש טבלה אצל טמקא, איפה התינוקות? מיינתי את הטבלה לפי גילאים, יש רק תינוקת אחת מתחת גיל שנה, סה"כ שמונה מתחת גיל 10 ומהם 1 נהרג מקסאם ואחת מדום לב. אז 6 פעוטות ותינוקות אם נמתח את זה, לא 40 תינוקות. למסקנה דומה הגיעה הכותבת של סנופס.

ראש טבלת הנרצחים של טמקא כשממיינים לפי הגיל

ולמה חשוב אם זה נכון או לא? אחד כי על סיפורי הזוועה האלו גייסנו תמיכה בין לאומית, וכשאחד מתפורר מתחילים לחשוד באחרים. למה לספר שקרים כשהאמת מספיק גרועה? עכשיו מוצדק לגמרי להטיל ספק כשחודש אחרי אנחנו מתלוננים שהיו מקרי אונס ואף ארגון נשים לא מוקיע, כי צעקנו זאב זאב יותר מדי פעמים. עכשיו כל המהלך המלחמתי והמדיני חוטפים ביקורת, חופרים לנו בדבריו של דובר צה"ל, לא מקבלים את בקשותינו להסיר לבתי החולים את סטטוס ההגנה כי לא מאמינים לנו יותר (מלבד האמריקאים והגרמנים אולי) שיש מתחתם בסיסי מחבלים.

חשיבה ביקורתית

חשיבה ביקורתית או חשיבה חדה זה לא סתם להטיל ספק בהכל, זה לבנות תמונת אמת כמו שבונים תזה מדעית, מחפשים איפה יש סתירות לא סגורות בקצוות, כדי שכל התמונה תתחבר. לצערי לא מלמדים את זה בבתי ספר ברוב העולם. בחודש האחרון יוצאים המון צעירים אמריקניים ובריטיים להפגנות בעד הפלסטינים אבל חוזרים על ססמאות "מהים עד הנהר" שמשמעותן רצח עם או לפחות טיהור אתני. השלב הבא היה גילוי המניפסט "מכתב אל אמריקה" של בין לאדן, מה שכמה טיקטוקריות קראו לו "האמת שהסתירו ממני" ותיארו משבר קיומי ומיטוט כל יסודות האמונה שלהן. נו באמת. האם כל כך קל להשפיע על צעירים? אין שום אתוס מאחד מלבד שחור ולבן, עבדים ומשעבדים, כובש ונכבש? אין מצבים יותר מורכבים ועובדות היסטוריות? אז מצד אחד כן, די קל להשפיע, ואפשר לראות ישראלים ויהודים בארה"ב מתחמשים להגנה, עסקים חוטפים חרמות ואלימות נגד סטודנטים, ומצד שני אני עדיין מתקשה מאוד להאמין שכל כך הרבה משתכנעים פתאום מבין לאדן. כששרשרת המשפיעניות טוענות למשבר קיומי, זה כמעט נשמע כמו תסריט כתוב. אולי זה מבצע "דגל שקרי" להנדסת תודעה? האם מישהו שמע על התפתחויות בנושא מאז אותן 48 שעות שבהן הסיפור התפוצץ בחדשות? הגארדיין אמרו שהיתה קפיצה בגישות למסמך, אבל אחרי שהעיתונאי יָאשַר עָלִי פרסם את היסטריית הטיקטוק היתה קפיצה פי חמישה. מה מאז? נרגע? נעלם? החמיר? שקט. עברו להזדעזע ממשהו חדש.

האמריקנים כבר כמה שנים טוענים שטיקטוק משחקת באלגוריתמים שלה, אולי זו ממשלת סין עצמה שמשחקת שם בחשיפה למסרים? אלו לא חדשות, הנדסת תודעה מכוונת היא שיטה ישנה. הנה ראיון בן 40 שנה עם מומחה סובייטי שערק למערב שמתאר איך רוסיה עושה את זה למערב (תודה לגיא ששלח):

למי שמעוניין בראיון המלא (80 דקות) ×”× ×” עותק. אבל קחו עם גוש מלח ×›×™ יש הטוענים שיורי בזמנוף ×–×™×™×£ את הקשר שלו והידע שלו על שיטות ×”Ö¾KGB. הוא לא המציא משהו שלא כתוב אצל סון דזה ב"אמנות המלחמה". אז שוב חזרתי לשאלות של למי להאמין…

אבל האם ×–×” בכל זאת לא בלתי סביר? הררי מחקרים שמראים שאלגוריתמים של יוטיוב ופייסבוק מכניסים אנשים ל"מחילות ארנב אידאולוגיות" ויוצרות חדרי תהודה אידאולוגיים שממסכים שיח רב צדדי ומקצינים דעות – כל אלו בכיוון הנכון, והמערכות שמנסות להלחם בזה לא מספיק יעילות, והמעט שהיו בטוויטר נתלשו ונזרקו על ידי מאסק. אבל האם אצל טיקטוק ×–×” קורה בכוונה? האם התחרות של סרטי תמיכה בפלסטינים/חמאס/ישראל מוכרעים על ידי איכות הסרטים ותגבור התעבורה על ידי פעילים או שמא ממשלת סין עם יד על המאזניים? אם ×–×” המצב אז למה בכלל לנסות להלחם על נרטיבים (לא על אמת אפילו) בפלטפורמה שמקדמת רק צד אחד במקרה הטוב, או מעדיפה לקדם בלבול, פערים וסכסוך בין שני הצדדים כדי לקדם בכלל את האינטרסים של איזה צד שלישי?

זהו, אני חושב שגירדתי את פני השטח. מידע אמין זה מצרך קשה להשגה ביומיום, וקשה שבעתיים בזמן מלחמה. שמרו על שיח הגיוני ואל תתפסו להגזמות, ובעיקר השתדלו לגבש עמדה על בסיס רעיונות בני קיימא ולא לפי העמדה של סלבריטי או ידיעת חדשות אחת או שתיים. חייבים גם משהו קבוע בחיים, אז צאו מאתרי החדשות ונסו לקיים כמה ריטואלים בריאים אחרים, עדיף עם עוד אנשים.

מאחל לכולנו לשמור על בריאות ושפיות, לזמנים טובים יותר.

האמונה בטכנולוגיה – המלכודת שהפילה את הגדולים ביותר

נראה שהפתגם הידוע כי "לאחור תמיד רואים 6/6" פועל יותר ויותר בולט עם השנים כשחברות, תוכניות ממשלתיות ושאר מיזמים שעובדים עליהם אנשים "שהיו צריכים לדעת יותר טוב". אני לא יודע אם מישהו בדק אבל מנקודת המבט שלי אני רואה שהמון פעמים אחת מנקודות הכשל (כמעט אף פעם זו לא רק אחת) הן הנחות מופלגות על יכולות ויציבות מערכות טכנולוגיות עד כדי היבריס.

מערכת בדיקת הדרכונים הישנה (ביומטריה של כלי דם בכף היד) לא עצרה אנשים מלברוח לחו"ל עם פתקון אישור שהנפיק להם חבר. המערכת החדשה נעקפה גם היא מספר לא ידוע של פעמים (מקרה אפי נווה היה היחידי שנחשף בגלל המעורבים). פתרונות טכנולוגיים לבעיות האקלים שלא נבדקים עד הסוף ומסתבר שמזיקים יותר ממועילים. בורסות וחברות קריפטו אחרות שנשדדות במליונים ועשרות מליונים בגלל טעויות בחוזה את'ריום או בעיות תוכנה אחרות. מכונת איסוף המידע האדירה והבלתי חוקית על NSA לא הצליחה לעלות על פיגועים או לעצור את סנודן מלברוח. בשלב כלשהו, כך צפיתי פעם פעם בפוסטים פה בבלוג, גם ישראל תסתמך יותר מדי על תעודות הזהות הביומטריות או הדרכונים ואנשים שירצו לעבור גבול או לגנוב זהות כבר ימצאו וקטור התקפה אחר על המערכת, מתישהו כששומרי הסף שסומכים עליה יעצמו עיניים כי הם סומכים עליה מדי. עם כל הכבוד לטכנולוגיות, לפעמים נדרשים לעבודת רגליים או סתם שומר שמשווה את התמונה לפנים בעיניים ומפעיל את השכל. מכוניות עצמוניות עדיין זקוקות לנהג מאחורי ההגה. ואני לא רוצה לדעת כמה זמן מרגע שרובוטים יתחילו להחליף מטפלים סיעודיים יתחילו לעלות מקרי המוות מתקלות טכניות גם שם.

ואז הגיע ה7 באוקטובר, שעוד לא ברור איך נקרא לו בעתיד. חמאס התכונן למתקפה שנים, שידר אפילו את האימונים שלו בטלוויזיה ברוב חוצפה, איומים של שדרני טלוויזיה ומרואייניהם ש"בשבוע הבא היהודים האלו עוד יראו איזה מכה תבוא עליהם", הזהרות של הביון המצרי, יריות רקטות מתוזמנות אל הים, וזה רק בשבוע שלפני. ישראל המשיכה להעריך שחמאס לא מספיק חזק או מתוחכם, שהגדר מספיק מתוחכמת, ושאר הנחות מוזרות. ימים ספורים לפני ההתקפה צה"ל פינה טנקים וסדירניקים מהאזור, שלח אותם הביתה לחג או לאיו"ש. נשארו מעט טנקיסטיות, מצבה מצומצמת ביותר של טייסת המסוקים הדרומית שרובה היתה בחופשה, וזהו. גם זה רק בשבוע שלפני. אבל זה לא התחיל באותו השבוע. צה"ל מדלדל כוחות מזה זמן. מזמרים את מוטו "הצבא הקטן והחכם" ולכן נשארו רק שתי טייסות מסוקים בכל צה"ל, ומקיף עזה פורז. לא טנקים, לא נגמש"ים, לא נשק נורמלי לכיתות הכוננות, לא אימונים לרבש"צים, הפקרות זו לא מילה. בגידה ממש. זה לא בגלל שסמכו יותר מדי על הטכנולוגיה בלבד אבל זה היה מרכיב לא קטן. סמכו על חמאס משום מה שיהפוך מארגון טרור לארגון מדיני, ביבי אולי חשב שאפשר להחזיק את העם הפלסטיני מאוזן על סף תקווה לעצמאות ולזרוק את המחיר לאחרי המבול. לא ברור מה הוא עשה, אבל זה עלה בשנים של סבל ושנים של איבוד תדמיתנו הבינלאומית. קראו לנו אפרטהייד וזה נתון לויכוח אם זו המילה המדוייקת אבל זה בזוי אפילו יותר מאפרטהייד בעיני רבים, ותראו באיזו קלות אנשים יצאו להפגין נגדינו. אלו שחשבו שמראות הזוועה מזוייפים ואנחנו קוזאק נגזל, ואלו שחשבו שם אמיתיים ושמגיע לנו.

לספור את כמות האשמים במצב זה קשה, מדובר באלפי אנשים וזה רק בצד שלנו, אני לא נכנס אפילו לכמה אנשים כולל החמאס וכמה כסף זר ועזרה מבצעית-טקטית-ביצועית-לוגיסטית הוא קיבל מאירן, רוסיה ואחרים. אבל באיזה אורך שלא תהיה הרשימה של האשמים אצלנו, בראשה הרי נמצא ביבי, הוא בנה את הקונספציות שלו, לא יודע עם מי התייעץ, לא יודע אם היה Red Team, לא ברור אפילו אם יש מודל איומים ברור ומתעדכן. מה שבטוח, רוח המפקד הזו גרמה לשאננות. התעלמו מהערכות, מאזהרות של גורמי ביון זרים, מבעיות ברמת הציוד הלקוי של התצפיתניות, ממחסור בכוח אדם וציוד בשטח, מחוסר בתוכניות מגירה לחדירת חמאס, אם ברמת האוגדה, החטיבה, הפיקוד או הצבא. כמובן על כל צה"ל ירדה שמיכה כבדה של נאוליברליזם, קיצוץ, הקטנה, חיתוך פינות ושיטת ה"סמוך" הישראלית. אמ"ן אולי קיבל בוסט כי אנחנו מדינת הסטארטאפ, באר שבע עיר הסייבר, פנינו למיחשוב הקוונטי והבינה המלאכותית, ועל הכל מנצח ביבי, שיש לו קונספציה עצמית של "פרוטקטור אוף איזראל" אבל כבר לא בספרי ההיסטוריה, רק אצלו בראש.

אז לא רק הטכנולוגיה, אבל זה מרכיב מביך בגודלו במחדל הגדול בתולדות המדינה.

עוד פרויקט שלא אגיע אליו: עוזר חכם ובית חכם

האם אתם רוצים מערכת כזו? התשובה מורכבת.

כן, זה נחמד לשבת בעצלנות על הספה ולהגיד "הי גוגל, תדליק לי דוד", או אפילו להדליק אוטומטית את הדוד ברגע שיצאתי מהעבודה ע"י נתינת קואורדינטות של המשרד ליישומון IFTTT ולתת לו להקשיב לGPS.

לא, זה לא נחמד שכל מילה שנאמרת בבית מוקלטת ונשלחת לשרתים של גוגל או אמאזון (אלקסה) או מוקרוסופט (קורטנה) וכולי. זה גם לא חכם להשקיע בציוד שמייקר את החיים בבית והופך אותך תלוי ביצרן או משהו. למשל זו הסיבה שלא אקנה נורת פיליפס HUE בעשרות דולרים כי כשהיא נשרפת אני צריך למעשה לקנות נורה ומחשב קטן. אני מעדיף לחבר ממסרי SONOFF ולשלוט בהם בעצמי. כמו כן, אני לא אחבר בקרוב את מנעול הדלת למערכת ממוחשבת. אני לא ממליץ לסמוך עליה בנקודות אבטחה, אבל אפשר להסתפק במגע בנקודות הנוחיות.

אני לוקח רגע ומפרק מערכת ממוצעת כדי לסבר את האוזן למי שלא מכיר את הטכנולוגיה שמאחורה. בגדול יש כאן כמה רכיבי תוכנה תפורים ביחד כדי לגרום לקסם לקרות:

  1. יש מיקרופון והמחשב שמאזין לו, מנסה לבטל רעשי רקע ולהתמקד במה שעלול להיות דיבור.
  2. אח"×› תוכנה אחרת שבודקת אם ×–×” אכן דיבור ומתרגמת אותו לטקסט. ×–×” אולי הרכיב ×”×›×™ מתוחכם במערכת ונחמד שיש אופציה או שתיים ברישיון חופשי (אבל כרגע אני די בטוח שזה עובד רק באנגלית, ולא יעבוד בעברית בקרוב. מקווה שלא תהיה בעיה עם זיהוי מבטא לא ילידי 🙂
  3. אחרי שיש לנו טקסט אפשר לפענח ממנו את הפקודה גם אם לא נאמרה בצורה תקנית אחת. כלומר "התראה עוד שעה" או "בבקשה כוון לי תזכורת בעוד שעה מעכשיו, תודה" הם שני משפטים שונים למדי אבל המחשב צריך לזהות את שניהם. הרכיב הזה והרכיב הקודם הם הרכיבים שקורים בענן של גוגל או אמאזון או מיקרוסופט שאותם אני רוצה להביא אל תוך הבית.
  4. בשלב הזה אפשר להפעיל מיני תוכנות וסקריפטים (מייקרופט למשל קוראים לזה "כשרונות" והקהילה פיתחה כבר כ-140 כאלו), כאן מגיעה ההתממשקות עם MQTT ורכיבי חומרת Sonoff השונים, או גישה לרשת כדי לדבר עם חשבון הגוגל שלכן כדי לבדוק איש קשר או לדחוף ארוע ליומן, וכיוצא באלו.
  5. לבסוף לאשר או להחזיר משוב למשתמש בצורת רכיב אחר שהופך תשובת טקסט לדיבור, מסנטזים כאלו יש הרבה בשוק – ×”×™×” לי אפילו על אפפל ][ עם 64K זכרון, לצערי האיכות התפתחה מעט מאוד מאז בתוכנה פתוחה. מקווה שישתפר בעתיד.

התכוונתי (וויתרתי בגלל סיבות) לשחק עם עוזרים חכמים פתוחים. נתקלתי באינדיגוגו של מייקרופט (גיבוי עסקי לא יכול להזיק). כמו כן גיליתי שיש פרויקט בשם Jasper שכבר לא זז שנה ועוד אחת מליסה, כנראה גם אחרים.

מה דרוש? כרגע סבלנות וחוש טכני. כמו שלא לכולם מתאים לפרמט את האנדרואיד ולהתקין LineageOS, או ללמוד לקנפג קודי, וכולי. זה פרויקט לסקרנים, עקשנים, שאין להם בעיה לבנות ולהלחים כמה דברים לבד. הנה המידע שאספתי והפרמטרים שהייתי בוחר להתחיל איתם אם הייתי הולך על הפרויקט.

  • יש ארגז כלים נאה (וחופשי! ופתוח!) ללינוקס, ×–×” אומר שזה יכול לרוץ על התחנה הביתית שלי (שהיא גם שרת המדיה) או על מכשיר שיבנה סביב Raspberry Pi וישב עם מיקרופונים בסלון, מטבח, חדר שינה וכיוצא באלו. בצד המנשק האנושי יש את מייקרופט וכלים אחרים, בצד השליטה על Sonoff ורכיבים אחרים של בית חכם יש את Home Assistant, שיודע לעבוד גם עם גוגל הום, אלקסה ודומיהם.
  • עוד לא ברור לי אם הרספי מספיק חזק לנתח דיבור או שהוא צריך להיות מגובה במחשב חזק יותר או שרות מקוון. המטרה שלי בפרויקט היא כמובן לא להוציא פיפס מהבית לשרתים של אחרים, אז אני מתמקד ביכולות שנשארות על הרספי והמחשב הביתי.
  • אני אשמח אם המערכת תדע לזהות קולות שונים של בני הבית ולתת לכל אחד את התזכורות והתשובות שרלוונטיות אליו.
  • מלבד שליפת תשובות מהרשת ולענות על שעה ומזג אוויר, רצוי לבדוק התממשקות לבית חכם. השם הפופולארי בתחום הוא Sonoff, ששולט על כיבוי והדלקה של קווי חשמל 220V, 10A או 16A. יש מכשירים עם דימר, חיישן חום ולחות או הרחבות אחרות. יש התקנים ששולחים IR כדי לשלוט על טלוויזיה או מזגן וכולי.
  • למה Sonoff? הם זולים, זמינים בעלי אקספרס ובכל מקום, ויש להם כמה וכמה קושחות פתוחות ברשת. כשקונים אותם מקבלים אותם עם קושחה שמכוונת לדבר עם שרתי החברה, שזה כמובן BIG nono בסיסי בשבילי, אבל עם קצת מאמץ צורבים קושחה חלופית ותופסים פיקוד.
  • יש פרויקט הפצת עדכוני קושחה לכל הבית החכם בעזרת כלי בשם Resin, אם אתם עוסקים באוטומציה לעננים, אומרים לי שזו המקבילה לPuppet או Chef לעולם ×”Ö¾IOT.
  • כדי לדבר עם כל ההתקנים האלו, קיים תקן MQTT, שזה מעין שרת תורים מפושט. הפיקוד משאיר להתקן הודעה בתיבת הדואר וההתקן בא לאסוף. שרת MQTT שכזה יכול לרוץ מקומית (למשל בשרת Home-Assistant על הרספי) או ברשת למי שרוצה לעשות את כל ×–×” בממשק על Google Home בלי להתקין סייען פתוח.

קריאה לעומק של תשובות מייקרופט לתומכי הקיקסטארטר ושל תנאי הפרטיות שלהם שכנעה אותי שהם לא עומדים בדרישות הפרטיות שלי בתצורה הנוכחית שלהם. בגדול הם "מתכננים" גרסא מקומית של רכיב ה־STT (דיבור לטקסט) שתרוץ על מחשב לינוקס או חלונות אבל זה עוד לא שם, ובתלות ברכיב שיבחרו, יכול להיות שזה ידרוש GPU חזק כדי לבצע את הניתוח בצורה מהירה ככל הניתן. מנתח ה־STT הנוכחי שלהם לא מספיק טוב והחדש שיכנס בסוף החודש צריך הרבה יותר כוח מחשוב. אז  כדאי לחכות. בעתיד זו תהיה אפליקציה או תמונת Docker מוכנה שנוכל להריץ על שרת PC כעזר לרספברי בלי להסתמך על שרתי החברה.

כאמור, בפוסט המקורי כתבתי שאני בודק את המערכת לביתי אבל הוטל ווטו משפחתי. אני עדיין אנסה לראות איך זה להתקין עוזר AI שכזה על הלאפטופ או הדסקטופ, ואוסיף דיווחים כשיהיו.

כפתור פראנויה לכל כיס

YubiKey 4 keychain and YubiKey 4 Nano

אמ;לק: סקירת מוצר שיוסיף לכם שכבת הגנה על חשבונות מקוונים וגם על המחשב האישי. זו תהיה כתבה ראשונה בסדרת פוסטים על אבטחת מידע בסיסית לישראלי המצוי, למרות שהפוסט הספציפי הזה אולי לא מיועד ממש לכולם כי הוא עוסק בחומרה יעודית שעולה בסביבות $50 (כולל משלוח) ולא תוכנה זמינה וזולה/חינם.

יותר מחצי שנה לא כתבתי פוסט, למעשה כמעט 8 חודשים אני חושב. המון חדשות חולפות בקצב מסחרר ואי אפשר להתעמק בכלום, וגם החלפת מקום עבודה מוריד מהזמן הפנוי לכתיבה של יותר מציוצים בטוויטר. אם אתם לא עוקבים, חוק הזיהוי הביומטרי עבר והחל מיוני כולם חייבים לתת טביעות אצבע ופנים. מי שישלם כופר מיוחד יוכל להשאר מחוץ למאגר (אם אתם באמת מאמינים שלא ישמרו לכם את תביעת האצבע אחרי שיכתבו אותה לשבב בתעודה), אבל יצטרך לעשות את זה פעמיים בעשור במקום פעם אחת. ההמשך עכשיו יכול להיות אחד משלושה עיקריים: או שהפניה שלנו לבג"צ תצליח והמאגר יבוטל מתישהו ב-2018, או שיהיה מהפך בחירות וקואליציה חדשה תחליט למחוק את השרץ, או שהגזרה תשאר, ועד 2022 (2027 למי שרץ להחליף תיעוד במאי) כל הישראלים שישארו פה יאלצו להשתדרק למאגר. בינתיים כבר היו דליפות בהודו וסיפורים מסוכנים אחרים, אז נחיה ונראה. על עדכונים של פאדיחות הבית הלבן אני גם לא ארחיב, אתם בטח צופים כמוני בסטיבן קולבר ביוטיוב.

היום אני רוצה לספר לכם על הצעצוע החדש שלי, יוביקי 4. כל מי שמכיר אותי, יודע שככל שנכנסתי בשנים האחרונות לתחום הזכויות הדיגיטליות, אני יותר ויותר מתעניין בתחומי הצפנה, זיהוי והזדהות, סיסמאות חזקות וכדומה. זה רק אספקט קטן מהעולם הזה, וכמובן לא משנה כמה חזקה הסיסמא שלכם לפיכסבוק אתם עדיין צריכים להיות אחראים למה שאתם מפרסמים שם. בכל מקרה כדאי גם שלא יגנבו לכם את החשבון עצמו, ולכן אני ממליץ תמיד:

  • סיסמאות ארוכות וקשות, ושונות לכל אתר.
  • כמה ארוכות וקשות? כאלו שבחיים לא תזכרו, בשביל ×–×” יש מנהלי סיסמאות. על ×–×” כנראה פוסט נפרד בעתיד.
  • אם השירות מציע אימות כפול, הפעילו אותו תמיד! יוצא דופן – אימות באמצעות סמס, ×–×” כנראה חלש ובעייתי מדי, ומאלץ אתכם לתת לשירות את מספר הטלפון שלכם, אז לשיקולכם. חפשו בהגדרות המשתמש שלכם, יש אלפי אתרים שתומכים.
  • כדאי להחליף סיסמאות פעם בשנה, אבל אפילו אני לא עד כדי כך קדוש. החליפו כשיוצא לכם.
  • אפשר לסנכרן סיסמאות ושאר מידע בין דפדפנים באמצעות Chrome Sync או Firefox Sync/Weave אבל לבחור במקרים כאלו סיסמת הצפנה ארוכה וקשה, אפילו 64 תווים, שתשמר כמובן מוצפנת במנהל הסיסמאות שלכם.

כמה מילים על אימות כפול, או אימות בשני פקטורים: אחד הדברים הראשונים שמוגדרים בפרוטוקול זיהוי (ולא משנה אם אנחנו מדברים על סיסמא לאתר או כשאתם מתיישבים מול הפקיד בבנק) הוא הגדרת שיטת הזיהוי, כששיטות אימות הזיהוי מתחלקות ל3 קטגוריות כלליות: מי אתה, מה אתה יודע, ומה יש לך.

מי אתה – ×–×” לרוב זיהוי ביומטרי, הבעיות איתו שאת חלק מהמדידות הביומטריות יקר למדוד או קל לזייף, ובמיוחד ×–×” לא שונה מול כל גורם, ולכן אם היכולת להתאמת במקום אחד דלפה, הרי שהיא טובה לאחרים שסומכים על אותה השיטה. ×–×” שווה ערך לסיסמא לא חזקה, שכתובה בצורה לא מוצפנת בכל מיני מקומות שאתה מסתובב בהם, שניתן לזייף ואי אפשר להחליף. רעיון גרוע. הצעתי היא שאם ספק השירות נותן בחירה, אל תסתפקו לעולם בזיהוי ביומטרי כאמצעי זיהוי ראשי. לא מול משרד הפנים או רשויות המס, לא טביעת האצבע לפתיחת הטלפון, לא להפעיל חתימה אלקטרונית במחשב, לא טביעה קולית מול השירות הטלפוני של הבנק, כל אחת מהשיטות האלו כבר הוכחה כקלה לזיוף.

משהו שאתה יודע – זו לרוב סיסמא, ובמקרים הפחות מוצלחים: תאריך יום הולדת, קוד סודי מגב כרטיס האשראי, תאריך ההוצאה של תעודת הזהות האחרונה שלך, מספר תעודת הזהות, שם הנעורים של אימא, שם ×—×™×” או מורה או בי"ס ראשון וכיוצא באלו דברים שקל לגלות עליכם ×¢"×™ בילוש או כיוס.

משהו שיש לך – תעודה בלתי ניתנת לזיוף, אם ×¢"×™ שימוש בשיטות ייצור סודיות וייחודיות ואם ×¢"×™ חתימה דיגיטלית, או אולי מפתח כלשהו שלא ניתן לשכפל. כשאני אומר מפתח עולה לכם אולי בראש מפתח פלדלת או ייל, אבל את אלו כבר שכפלו ×›×™ הופיעו בטעות בתמונה. הסיפור ×”×›×™ מצחיק ×”×™×” כשסוכני TSA הצטלמו ברוב היבריס עם צרור המפתחות שלהם שפותח כל מנעול מזוודות בשוק, ואנשים מיהרו להעתיק את המבנה מהתמונות, וכמזה שנתיים אפשר להוריד את כל המפתחות מגיטהאב להדפסה בתלתפסת ביתית. לא, אני מתכוון למפתחות הצפנה פיזיים, כלומר מעין התקן USB עם מעבד קטן וזכרון שאי אפשר לקרוא, וניסיון למעקף פיזי של ההגנות אמור להרוס אותו ללא שוב. כאלו יש מספר מוצרים בשוק ואחד היצרנים הבולטים הוא Yubico. אני סוקר את המוצר שלהם כאן ×›×™ אחרי שלמדתי את הנושא ברשת הגעתי למסקנה שזה אחד משניים-שלושה ×”×›×™ מעניינים, מגוונים ונגישים, ואין לי שום קשר איתם מעבר לזה (וכמובן לא קיבלתי מהם מוצר או טובות), ולכן קניתי אותו. יש להם אפילו יבואן רשמי בארץ אבל אחרי שקיבלתי מהם ספאם, העדפתי לשלם את המחיר המלא של הזמנה מחו"ל (אמזון או הריסלר ×”×–×”). שווה להציץ, לפעמים יש להם סייל 50% ×”× ×—×” ליום-יומיים.

אימות כפול, או אימות מרובה, הוא כזה שמשתמש ביותר משיטה אחת מאלו שפירטתי, ובמיוחד עדיף שלפחות משתי קטגוריות שונות. ((אפשר לדון פה פילוסופית אם ה־‏Google Authenticator שלי, שמגובה כל יום וניתן לשחזור במקום אחר הוא באמת משהו שיש לי או שהוא מידע ולכן משהו שאני יודע, אבל לצורך הפשטות, לרוב המוחץ של האוכלוסייה, זה נופל תחת משהו שיש לי.))

המוצר עליו אדבר פה הוא חד פעמי ולא ניתן לגיבוי או העתקה, ולכן הוא בגדר משהו שיש לי. לא אכנס כאן לכל הפרטים הטכניים הקטנים, אבל רשימת הדברים שעושה הכרטיסון הקטן הזה היא מרשימה:

  • מול אתרי ווב יש לי את שירות U2F שמזכיר את יישומון Google Authenticator רק שלא צריך להעתיק שישיות ספרות ולא ניתן להעתיק את הסודות ×¢"×™ יישומון זדוני (מצד שני, אי אפשר לגבות, לטוב ולרע…)
  • משמש לפתיחת כספות סיסמאות כמו Keepass או LastPass.
  • הוא יודע לעבוד במוד challenge-response מכמה סוגים, שמאפשרים לי למשל לאבטח את הלפטופ שלי כך שלוגין פשוט (בקונסול, GDM או מנעילת מסך) ללא הכרטיס תיחסם (מודול PAM ששולח לו צ'אלנג' ורואה שהוא מחשב אותו נכון ואז מאשר גם לפי הסיסמא). לחלונות ומאק יש אפשרות דומה.
  • בשיטה אחרת גם פתיחת ההצפנה של הדיסק (root on LUKS) לא תתאפשר בלי שהסיסמא תעבור פיענוח דרך הכרטיס.
  • הוא יודע להצפין ולפתוח מסרים עם מפתח RSA של GPG עד 4069 ביט (2048 בלבד בגרסת Yubikey NEO של ההתקן, לצערי).
  • משמש אמצעי אימות לחיבור SSH, אם ×¢"×™ שמירת המפתח הסודי או דרך אימות PGP שעד לאחרונה לא הכרתי אפילו שקיים.
  • הוא יודע לחתום על Docker Images (לא בגרסת NEO) למי שזה מעניין אותו.
  • הוא יודע לייצר קודים חד פעמיים מסוג HOTP (אין לו שעון פנימי, אז אין TOTP בלי תוכנה מסייעת).
  • האתרים שכרגע אני עובד איתם בעזרתו: חשבונות גוגל השונים, גיטהאב, בלוגים מבוססים וורדפרס.
  • אתרים בהם אני לא משתמש אבל תומכים: סיילזפורס, פיכסבוק ודרופבוקס.
  • אתרים שהייתי רוצה לעבוד אתם אבל לא תומכים (בינתיים): פייפאל, בנקים ישראליים, חברות ביטוח ובריאות, אמאזון, טוויטר, ובעצם כל אתר אחר שאני נכנס אליו עם סיסמא.
  • רוב התוכנות והדרייברים פתוחים וברישיון חופשי, אפשר גם לבנות שרת אותנטיקציה משלך לשרתים אחרים ועוד המון אפשרויות לאנשים פרטיים וללקוחות תאגידיים.

שו"ת

זה לא פרנואידי?
למשתמש פרטי כיום, קצת. בעתיד אולי כבר לא. כדאי להתחיל להכיר או להתרגל.

להצפין את הדיסק? זה לא מעמיס את המערכת?
עם LUKS זה מובנה בקרנל, לחלונות ומאק יש משהו דומה, המחיר אחוז או שניים. אני לא ממליץ על ecryptfs שאובונטו מציעה להצפין אתה רק את ספריית הבית, זה פוגע בביצועים הרבה יותר. התחלתי לעשות את זה כשעבדתי בחברות שעסקו במידע רגיש, אצל מעסיקים אחרים הסתכלו עלי כמשוגע ובסוף באו להתייעץ איתי כשהמחשב הראשון נגנב מהמשרד או כשנציגים התחילו לצאת לשטח ולתערוכות ועלה הפחד שיגנבו סודות מקצועיים. אז כאמור לדעתי היום זו חובה שלא עולה הרבה לממש.

אני בונה היום אתר, להשקיע באימות כזה למשתמשים שלי?
גם TOTP-2FA וגם U2F – לדעתי כן, במיוחד אם האתר שומר פרטים אישיים של כרטיסי אשראי, בריאות מטופלים ועוד כיוצא באלו. יש ספריות חופשיות שקל לשלב, ולמערכות כמו וורדפרס, דג'נגו, ×’'ומלה, רובי-או-ריילז ואחרות יש כבר מודולים מוכנים לקטיפה מהעץ, אז חבל להתעצל!

למה יוביקי 4 ולא גרסת הנאו?
טעם אישי. היוביקי 4 תומך במפתחות טיפה יותר גדולים, הוא טיפה יותר זול, קוד ה-PGP שלו פתוח בגיטהאב. לרוב האנשים גם הנאו יהיה מצוין, והיתרון הגדול שלו הוא NFC שעובד עם אנדרואידים שיש להם רכיב תקשורת תואם. אם רוצים להשתמש ביוביקי 4 (ללא NFC) על אנדרואיד, אפשר בעזרת כבל OTG, או לטלפונים חדשים, חיבור ישיר USB-C בדקם יוביקי החדש).

יש מתחרים ראויים?
יש כמה. חלקם יתנו U2F בלבד בפחות מ$10-$20, חלקם יקרים מאוד אבל עושים דברים נוספים כמו לשמש כארנק קריפטומטבעות (למשל Trezor ואחרים) ויש גם אופציות "האקריות" פתוחות כגון OnlyKey שמוסיף שכבות הגנה כמו סיסמא, פיצ'רים כמו השמדה עצמית וכדומה. יש מצב שאקנה כזה בעתיד, למרות שהוא נראה פחות עמיד מכנית לשבירה ושפשופים.

התוכנה צרובה ולא ניתנת להחלפה? אז מה אם יתגלה באג אבטחה?
כבר קרה פעם אחת, וכל הלקוחות קיבלו מפתח חדש עם קושחה מעודכנת. זה חלק מהשירות (והמחיר). אי האפשרות לעדכן את הקושחה זה פיצ'ר מתוכנן במכוון, כדי לא לאפשר החלפה לתוכנה שתגלה את המפתחות הסודיים ששמורים על המפתח.

כבר יש לי כזה מהמעסיק
אם המעסיק נתן לכם התקן ×›×–×” שישאר שלכם לשימוש אישי גם אחרי שתעזבו – ×›×™×£ לכם! גוגל, פייסבוק וחברות טכנולוגיה אחרות עושות את ×–×”. השתמשו בזה חופשי גם לחשבונות פרטיים!

אבל זה בעצם כרטיס חכם! יש לי כזה מרשות המסים ובתעודת הזהות החכמה החדשה!
כן ולא. יש על הכרטיסים האלו מעבד מספיק חזק לכל אלו ככל הנראה, ויכולות להזדהות בפרוטוקול כלשהו מול הממשלה יום אחד, אבל לא קושחה פתוחה שמאפשרת את כל הטוב שעליו כתבתי לעיל. אם הייתי שר הפנים, אחרי שהייתי מבטל את המאגר הביומטרי, הייתי מעביר נותן לכל הציבור תעודות חכמות עם היכולות האלו מובנות שישמרו עליהם ביום-יום. לצערי לא נראה לי שזה יקרה בזמן הקרוב.

למה לא כתבת פוסט כבר המון זמן?!
×›×™ הייתי עסוק, וכי אף אחד לא שאל למה לא כתבתי כבר המון זמן, אז אולי מסתפקים בפרסונה הטוויטרית שלי…

אם יש לכן עוד שאלות, שתפו בבקשה בתגובות. אם זה מספיק מעניין לכלל הקהל, אולי אענה פה בגוף הפוסט.

דרעי החליט, ואנחנו הולכים לבג"ץ #No2Bio

אחרי 6 שנים של מאבקים, עצומות, חוות דעת ומעקב אחרי פירוק מאגרים בעולם לפני או אחרי שקמו, החליט שר הפנים בכל זאת להודיע (באיחור לפי החוק, אבל למי בממשלה אכפת מהאותיות הקטנות בחוק) שהפיילוט ישאר כאן וירד לחיינו.

סיקור: גיקטיים, הארץ, כלכליסט, וואלה ועוד.

אמ;לק: הכניסה למאגר התמונות תהיה חובה אחרי הראשון לינואר, אין יותר תעודות לא ביומטריות, אבל מי שיידרוש לא להכניס את טביעות אצבעותיו למאגר, מבטיחים לסרוק אותן רק כדי לשמור בשבב של התעודה ומיד למחוק. מצד שני תעודה כזו תצטרך להיות מחודשת כל 5 שנים במקום 10 לתעודה ביומטרית רגילה. זה תזכיר תיקון לחוק ולנו האזרחים יש פחות משבועיים להגיב לו. כרגיל משרד הפנים מריץ את החוק ויישומו בהשתהויות ומחטפים לסירוגין.

תגובת התנועה לזכויות דיגיטליות – מגייסים 60K ש"×— ופונים לבג"×¥. ×”× ×” ההודעה לעיתונות:

הודעה לעיתונות
התנועה לזכויות דיגיטליות מבקשת מהגולשים: עיזרו לנו לעתור לבג"ץ נגד המאגר

בתגובה להכרזת שר הפנים על הפעלת המאגר הביומטרי מבקשים בתנועה לזכויות דיגיטליות לעתור לבג"ץ נגדו. בתנועה קוראים לגולשים להצטרף למאבק

לקמפיין התנועה לזכויות דיגיטליות התגייסו סדרה של אמנים, מובילי דעת קהל ואנשי רוח בהם דנה ברגר, מוטי גילת, ריקי בליך, עדי גילת, יהלי סובול, יריב בש (SpaceIL) ואחרים

הקמפיין זמין בכתובת: https://www.headstart.co.il/project.aspx?id=19914

בעקבות הכרזת שר הפנים מהיום על הפעלת המאגר הביומטרי פונה התנועה לזכויות דיגיטליות לגולשים ומבקשת סיוע על מנת לעתור לבג"ץ כנגד המאגר הביומטרי. בתנועה לזכויות דיגיטליות הסבירו היום את המהלך: "אחרי שש שנים של מאבק, הכריז היום שר הפנים על הפעלת המאגר הביומטרי. בניגוד לכל מדינות העולם המערבי, רק בישראל יאספו טביעות אצבע ותמונות פנים של כלל אזרחי המדינה ויאגרו אותן. בניגוד לדעתם של הממונה על היישומים הביומטריים וראש המטה ללוחמה בטרור, יחשפו אתכם לסיכונים החמורים שבדליפת המאגר. בניגוד לדעתם של 74 ממדעני אבטחת המידע וההצפנה הטובים בישראל, מנסה שר הפנים למכור לכם שהמאגר הזה מאובטח, ושהוא לא ידלוף לעולם. בניגוד לדעתם של 70% מאזרחי ישראל שבשלוש השנים האחרונות מסרבים בעיקשות להיכנס למאגר.

אבל הוא טועה. אחרי שבכל יום אנחנו שומעים על תמונות שנגנבות ומאגרים שנפרצים, לאחר שמאגר עובדי המדינה של הממשל האמריקאי נפרץ ו- למעלה מ- 20 מיליון טביעות אצבע ופרטים אישיים של עובדי המדינה האמריקנים דלפו, לאחר שיאהו, Ebay ו- Target נפרצו אף הם, חבל ששר הפנים לא מבין אף אחד לא חסין. כי אפילו משרד רה"מ אומר ש'אירוע דלף ממאגר ביומטרי עלול לגרום לפגיעה בפרטיות, לפגיעה פיזית ו/או כלכלית ובמקרי קיצון להפללת אנשים חים מפשע, לפגיעה בבטחון המדינה וניהולה התקין'.

אנחנו, בתנועה לזכויות דיגיטליות, לא מוכנים לתת לזה לקרות. לכן אנחנו מבקשים להקים קליניקה, מטה מאבק משפטי למען הפרטיות והביטחון האישי, שיעתור לבג"×¥ נגד המאגר. ×–×” ×™×”×™×” קרב לא פשוט, אבל אנחנו חייבים לנצח…אסור לתת להם להפוך אותנו למדינת האח הגדול, בה כל אחד, כל הזמן, נתון למעקב. עזרו לנו להילחם על כל ×–×”".

יהונתן קלינגר, היועמ"ש לתנועה לזכויות דיגיטליות: "שר הפנים מפקיר את אזרחי ישראל. אנחנו חושבים שאין צורך בטביעות אצבע במאגר, משרד רה"מ קבע שאין תורך בו. אנחנו יודעים שאיחסון טביעות האצבע יפקיר את גורל האזרחים".
לקמפיין התנועה לזכויות דיגיטליות התגייסו סדרה של אמנים, מובילי דעת קהל ואנשי רוח בהם דנה ברגר, מוטי גילת, ריקי בליך, עדי גילת, יהלי סובול, יריב בש (SpaceIL) ואחרים, על מנת לגייס את הסכום הדרוש לעתירה.
לפרטים נוספים: ניר הירשמן 050-6205384

ועכשיו לדעתי האישית – מעניין איך יגיבו על ×–×” בוועדה המייעצת, שהודיעה שתמליץ על ביטול טביעות האצבע והקטנת הרזולוציה של התמונות. התגובות של משרד הפנים הן כמובן שהמאגר מאובטח יותר ממאובטח מפריצות אבל גם אם ×–×” נכון (קשה לדעת), ×–×” לא מכסה שימוש לרעה ×¢"×™ ממשלות עתידיות. תוקף תעודת הנייר הנוכחית שלנו צומצם רטרואקטיבית ל10 שנים (למרות שלא כתוב על התעודות כלום, ×›×™ כשהנפיקו אותן ×”×™×” להן תוקף בלתי מוגבל). תוקף תעודות חכמות ×™×”×™×” 5 שנים, או 10 שנים אם תסכימו להכניס טביעות אצבע למאגר. זו החלטה מוזרה שנשמעת כמו נסיון בוטה "להעניש" את מי שיבחר לא להכנס למאגר או להעשיר את ספק הכרטיסים החכמים שכידוע לכם הצליח למכור למדינה מליוני כרטיסים ומפעל הנפקה שנים לפני שהונפקה אפילו תעודה בודדת. מאגר התמונות לא שונה מאוד מהמאגר הביומטרי הקיים של משרד הרישוי (ומשותף על משרד הפנים ומשרדים אחרים, כמו עם מרמנת וחברות ספקים ממשלתיות אחרות, משרד התחבורה לא מוכן לספר עם מי), רק שהתמונות יצולמו באיכות טיפה יותר מוקפדת מבחינת תאורה, וכנראה משרד הפנים יהיו פחות סלחניים לגבי משקפיים, פיאות, איפורים מוזרים ושאר ירקות שהתירו לי בצילום למאגר הביומטרי של רשיונות ×”× ×”×™×’×”.

עד כמה מוזרה הדרישה לחידוש תכוף יותר של התעודה אם סירבתם לטביעות אצבע במאגר? ובכן שאלנו בעבר מומחי מז"פ וזיהוי ביומטרי בטכניון, ונאמר לנו שכדי להשאר מהימנה לאורך השנים, יש לחדש מדי פעם את הדגימה הביומטרית כי הגוף משתנה כשהוא מתבגר. ההמלצה היא לא יותר מ10 שנים לטביעת אצבע ולא יותר מ5-7 שנים לתמונת פנים, מכאן ברור שאם המדינה לא יכולה לסמוך על טביעת אצבע שלכם במאגר, הם חייבים לפחות לבנות על תמונת הפנים ואותה יש לרענן תכופות יותר. אז לגבי קונספירצית ה"עונש לסרבנים" אני חושב שלפחות כאן נראה שיש לזה הסבר סביר.

האם יש לבג"ץ הזה סיכוי? בוודאי. אני סומך על שלל הראשים המשפטיים שעובדים עליו עכשיו שלא היו טורחים אלמלא היה לו סיכוי אמיתי.

כמה כסף לשים? כמה ששווה לכם הפרטיות שלכם מפני המדינה והממשלות שבדרך. ×–×” כולל זיהוי במצלמות רחוב או מצלמות שעל ניידות משטרה, או צילום מפגינים, או פתיחת טלפונים הנעולים בחיישן ביומטרי כשתעצרו בהפגנות האלו (עצתי – אל תסמכו על הסורקים בטלפונים האלו, עדיף הצפנת מכשיר ונעילה בסיסמא חזקה, במיוחד לפני שיוצאם להפגנה).

מה תעשה העמותה עם כסף שיתרם מעבר ל60K ש"ח הראשונים? נמשיך לממן את הוצאות הקליניקה המשפטית שלנו (המשפט מול עג"ג נמשך ותיקים נוספים מטופלים), נמשיך לפעול נגד הביומטרי, צנזורת הרשת, פרטיות בעולם המקוון (ראיתם את נילי וקרין שלנו בערוץ 2?), ואם צריך יוגש בג"ץ נוסף. לא חסרות מטרות חשובות לשאוף אליהן לדאבונינו.

הי! כל התמורות הטובות כבר נלקחו! כן, הציפור המשכימה תופסת את התולעת. היתה לנו היענות שהפתיעה אותנו. אנחנו נשמח אם עוד יוצרים ומרצים יתרמו לנו הופעות והרצאות. צרו קשר עם ניר הירשמן, מנהל הקמפיין.

עצות על אתר לקניית ביטקוין, ועל אבטחת מידע ברשת בכלל

חברות ישראליות לא מאוד אוהבות לשמוע על דברים מעצבנים כמו פרטיות הלקוחות שלהם או אבטחת השרתים יותר מדי. כבר היו לי כמה לקוחות בימי כעצמאי שרצו שאני "רק אקים להם שרת ווב עם דטאבייס פשוט, אתר מעריצי כדורגל שיקנו פה דברים ואנחנו נחזיק את הכרטיסים שלהם בשרת לחיוב חודשי". אין לכם מושג כמה השוק הישראלי פרוץ ככה. אני פשוט משתדל לא לשלם יותר בכרטיס אשראי ברשת לכל מיני חברות קיקיוניות אלא אם הן חברות ענק ותיקות או שעובדים עם פייפאל (לא שאני מאושר ממה שהם עושים עם המידע, אבל לפחות זה לא לצרכי ספאם ויש להם היסטוריה מצוינת של אבטחה).

דוגמא שנקרתה בדרכי השבוע, ספאם שלא נתפס ונשאר לי בתיבה. במקרים כאלו אני מייד מציץ בכתובת שאליו הוא נשלח, כי אני מקפיד לחלק רק כתובות חד-פעמיות לאתרים שבהם אני נרשם. כמה "מפתיע" שאכן מצאתי שם את המייל החד-פעמי שנתתי לחברת bitgo.co.il, חברה שלא שכנעה אותי במהיימנותה כשחיפשתי פעם לקנות בארץ ביטקוין, ואני שמח שמעולם לא נתתי להם את כספי. באתר הם מתפארים שהם שם מסיבות אידאולוגיות (כנראה לא מרוויחים מספיק משערי המרה לא נמוכים), תקנון השימוש מבטיח שלא ימכרו בחיים את הפרטים שלי לצד ג' (בזזזזזט!) ולבסוף בעמוד השאלות הם מתגאים שהם משתמשים בתקני האבטחה הכי מחמירים בשוק. ביקור קצר אצל הסורק האוטומטי גילה (נכון להיום, 7-ספט-2016) שלא רק שהם עדיין פתוחים לפרוטוקול SSL3 שנפרץ, יש להם עוד כמה וכמה עדכונים חסרים בקונפיגורציה של שרת החלונות (גיח!) שלהם. כשמילאתי את טופס יצירת הקשר כדי להזהיר אותם לפני שאני מפרסם, עמוד ה-ASP שלהם רק התעופף על אקספשן שלא נתפס. עם איכות כזו של תחזוקת תוכנה ותשתית, שלא לדבר על מכירת פרטי המשתמשים, אין לי אלא להמליץ לציבור לא להשתמש בשירותי החברה הזו (שלא ברור אם עדיין פעילה בכלל, הפוסטים באתר לא עודכנו שנתיים. כל כך קשה לעשות כסף מקריפטוקוינז בצורה לגיטימית?).

אבל ×–×” לא פוסט שנועד להתקיף חברה ספציפית (או את מקימיה, דימה ליאחוביצקי, אלירן צח, מרק סמרגון או אדי ברשצקי, יבדלו לחיים ארוכים, איפה שהם מרוויחים היום את כספם) אלא לתת דוגמא איך להגן לעצמכם על הכיס והפרטיות – אל תתנו יותר מדי פרטים לאף אחד, בדקו היטב אם אתר נראה ×—×™ או מת, ואפשר ללמוד להשתמש בכלי סריקה בסיסיים (כגון ssllabs.com) כדי לוודא שהפרטים שאתם שולחים לפחות נשלחים לשרת שטרחו לעדכן מדי פעם. זו לא בדיקה יסודית, אלא בסיסית ביותר, היא פשוט מרמזת על בעיות אפשריות גדולות יותר. זו אפילו לא עצה על אבטחת מידע, אלא OpSec בסיסי, אבטחה תפעולית אם תרצו (אני לא בטוח איך מתרגמים את ×–×” לעברית).