האם להאמין לאפל?

בשבועות האחרונים היו לאפל שוב שתי פאשלות אדירות בנוגע לפרטיות. האחת שהיתה יותר מפורסמת אבל פחות מעניינת היא שמאות מליוני לקוחות של iThings גילו פתאום אלבום של U2 במאגר המוזיקה שלהם ולא יכלו להסיר אותו (אלא בעזרת אתר מיוחד שלבסוף נפתח לענין). השניה והיותר מפחידה היתה כשאפל התחילה לסגור ללא רחמים חשבונות אחסון ענן (ולהבנתי גם סנכרון אנשי קשר וגישה לחנות היישומונים?) שהעלו את תמונות העירום הגנובות של קייט אפטון, ג'ניפר לורנס ושאר הסלבריטאיות – שמראש נגנבו מחשבונות iCloud פרוצים בעצמן. שיטות פעולה דרקוניות מילא, אבל זה אומר שכל קובץ שאתם מכניסים לתא שלכם נסרק ונבדק, לא רק שמו וגודלו אלא תוכנו המדויק.

כדי לפזר סוכר על הגללים (סליחה, זה לא אני המצאתי, זה ביטוי אמריקני) הכריזה אפל על כך שמהיום בעצם הם שמים את הפרטיות מעל הכל. מיסד EFF ג'ון גילמור מפרט למה לא להאמין להם (מצאתי דרך בוינגבוינג), ואני מתרגם:

> > > לאפל אין דרך לפתוח את ההצפנה של המידע ב־iMessage ו־FaceTime בזמן השידור ברשת בין מכשירים. בניגוד ליישומי העברת הודעות של חברות אחרות אפל איננה סורקת את התקשורת שלכם, ולא נוכל לספק שירותי האזנה לרשויות הבטחון גם אם נקבל צו שכזה. (מתוך הצהרת הפרטיות החדשה)

ולמה אנחנו מאמינים להם?

  • כי אנחנו יכולים לקרוא את קוד התוכנה ותיאורי הפרוטוקולים בעצמינו, ולאבחן כמה הם בטוחים?
  • כי Apple חברה גדולה וחברות גדולות לא משקרות?
  • כי הם ממשו את זה בתוכנה בינארית קניינית והצפנה קניינית היא תמיד חזקה יותר ממה שהחברה טוענת שהיא?
  • כי הם לא יכולים לעדכן בעתיד בסוד את התוכנה במכשיר שלך בצורה שתבטל את כל ההבטחות שנתנו לך, באופן אישי רק לטלפון מטרה מסוים או לקבוצה שלמה?
  • כי לעולם לא תסכים לעדכן את התוכנה מרצונך, לעולם, לא משנה כמה ינדנדו לך שיש עדכונים?
  • כי הגרסא הראשונה הזו של תוכנת ההצפנה שלהם לגמרי נקיה מבאגים כך שלעולם לא תצטרך לשדרג אותה כדי לשמור על הפרטיות?
  • כי אם עדכונים עתידיים דווקא יכניסו באגים באבטחה והפרטיות, נוכל בקלות להבדיל בינם לבין כאלו שיפתרו בעיות מסוגים אלו?
  • כי אם הם ישנו את דעתם ויחליטו לדלל את מדיניות הפרטיות שלהם בשביל נוחיותם או בגלל לחץ ממשלתי סודי, הם בוודאי יודיעו לנו?
  • כי הם עבדו קשה כל השנים למנוע ממך לשדרג את התוכנה שרצה על המכשירים שלהם כדי שאתה תוכל לבחור ולשלוט במכשיר במקומם?
  • כי בירוקרטיית הייצוא של ארה"ב לעולם לא תנסה למנוע מאפל מכירה של הצפנה קניינית לשוק הפתוח שמעבר לגבולות המדינה?
  • כי מדינות שלא נתנו לבלאקברי למכור טלפונים במתקשרים בצורה מאובטחת לשרתים הארגוניים שלך, בוודאי יתנו לאפל למכור כל מכשיר בעל אבטחה גבוהה שבא לה?
  • כי אנחנו מעריצים שרופים של החברה והם לעולם לא יכולים לטעות?
  • כי הם רוצים לעזור לטרוריסטים לנצח?
  • כי ה־NSA עצבנו אותם פעם אחת ולכן הם לצד הקהל הרחב נגד ה־NSA?
  • כי תמיד עדיף לשים האזנות לאנשים אחרי ששכנעת אותם שהם מאובטחים לגמרי, כדי שישפכו את הסודות הכי כמוסים שלהם?

יש עוד איזו סיבה, אני לא מצליח לחשוב עליה כרגע…
ג'ון.

למען השלמות, אני אוסיף שגם אנדרואיד כפי שהוא מגיע מסוגר מיצרנים כמו סאמסונג ואל-ג'י, חולים באותה המחלה. כדי להיות בשליטה אמיתית ומלאה על המכשיר שלכם, צריך לעשות ניתוחי כריתת תוכנה כואבים ולהשתמש בהם באופן זהיר. אין מה לעשות.

Have you written to the FCC today?

Just posted this on Dear FCC:

Dear FCC,

I'm Ira Abramov and I live in Ramat Gan, Israel.
Net neutrality, the principle that Internet service providers (ISPs) treat all data that travels over their networks equally, is important to me because without it My freedoms of expression, usage and being informed are hurt.
A pay-­to-play Internet worries me because new, innovative services that can’t afford expensive fees for better service will be less likely to succeed.
My entire professional and activist life is based on the ability to learn through the net, communicate with and activate people through it. It's the real land of equal opportunities that can't be matched today by political and pricey educational systems. It's like taxing pedestrians for walking certain streets, reading the signs and walking to stores. It is an unfair and unjust tampering with an important public resource.

Sincerely,
Ira Abramov

Feel free to post your own plea!

מה מטריד אותי היום

ראשית, אני חייב התנצלות לבאי ההרצאה שלי באייקון, הבטחתי פוסט עם ספרים ואתרים מומלצים, אני אעלה אחד מחר אני מקווה.

שנית, ברוכים הבאים כל הקוראים החדשים. לפעמים יש לי גם פוסט חיובי, הפוסט הזה פחות. מתנצל. אבל כמו שאמרה לי קוראת חדשה אחת "אני קוראת אצלך כל פוסט ומתעצבנת מחדש, זה פשוט נפלא, מעצבנים אותך כל הדברים הנכונים!" (לא ציטוט מדויק, זה בערך מהזכרון).

אז כמה מהדברים מהמייל והטוויטר שכואבים לי השבוע בחדשות:

מצד שני, דברים ששימחו אותי:

להתראות בבוקר.

תרומות תמורת משחקים!

יוצרי שישה משחקים עצמאיים (לא מחברות הענק) יצאו במבצע בשיתוף ה-EFF וקרן הצדקה "משחק ילדים" – לבתי חולים לילדים: שלמו כמה שבא לכם וקבלו את ששת המשחקים, אפילו $2 תמורת חבילה שנמכרת לחוד תמורת בערך $100. אין DRM, והמשחקים רצים כולם על לינוקס, חלונות ומאק (חלק פשוט כי הם רצים בפלאש, אבל לא נהיה קטנוניים). בינתיים נאספו כ-1.2 מליון דולר, וגם אני שם כמה עשרות על זה, מתנת יומולדת שווה לזוגתי :)

הכסף מתחלק איך שבוחרים בין המפתחים ובין התרומה לארגונים (31% נתרם עד עכשיו לעמותות), וארבעה מתוך ששת המשחקים (השווים מאוד!) אפילו שחררו את הקוד. נשארו עוד יומיים וקצת למבצע, רוצו!

בכל מקרה, תמיד רציתי לשחק "עולם הגוו" ועכשיו יש לי, מומלץ :-)

"אבל מה אם אני אזרח שומר חוק?"

אני מתנצל על הפוסט מוקדם יותר היום, ערן ורד עשה עבודה משובחת, אבל פרסמתי את הסרט לפני ששמתי לב שהוא עדיין פרטי. עם הצופים הסליחה, והנה הגרסא הסופית לגמרי של הסרט. (מילות מפתח כי אמרו לי שקשה למצוא את הפוסט: רישיון נהיגה, ביומטרי, משרד התחבורה)

ולענייננו.

אני שומע שוב ושוב את הטיעון הזה בעד המאגר. "אני אזרח שומר חוק אז אין לי ממה לפחד". אזרחים תמימים יקרים, אתם שכחתם פשוט שאתם כבר עכשיו בחברת מעקב. מפרסמים בארה"ב אוספים תיק עובדות התנהגויות על אנשים ואני מניח שבארץ נתחיל לראות דברים דומים. אם אתם קצת פעילים ברשת, כותבים בתפוז, מגיבים בYנט וכולי, איפשהוא כל המידע הזה נאסף ויום אחד אולי גם מוצלב (אם זה לא קורה כבר היום). היום כדי לפרסם לכם דברים יותר ממוקדים, מחר אולי כדי לחפש דפוסי התנהגות "מעניינים" למשטרה או כל גורם שיתחיל ללטוש עיניים לכל המידע הטעים הזה. הוספת עוד מאגרים ועוד מידע מצליב לא ישפר את המצב, זה רק יחזק את יכולת העוקבים לעקוב אחריכם, בתחילה כל מי שיש לו גישה חוקית למאגר ויום אחד אולי גם אנשים שלא היו אמורים להיות ברשימה.

הדמוקרטיה בישראל לא מובנת מאליה"אבל כאן יש לנו דמוקרטיה", "אנחנו סומכים על המדינה" – אומרים לי מכרים. מאשימים אותי בפחדנות או בהפצת קנוניות. אבל ראו מה רומז אהרון ברק בכתבה משמאל. מדינה כמו ישראל עוברת בימינו התקפה מאסיבית של פרטיות נדיפה ויותר בולטת המלחמה בחופש הביטוי, ומי אנחנו, אזובי קיר, שנסמוך על הדמוקרטיה כאשר ארה"ב עושה שטויות דומות לאזרחיה השכם והערב (במיוחד בעשור האחרון), בניגוד לחוקה הקדושה שלהם? לנו אין חוקה, אין גם חוק הגנה על חופש הביטוי, אנחנו מרבים לעבור על סעיפי אמנת זכויות האדם הבינלאומית שאנחנו חתומים עליה ולאחרונה גם קיבלנו הוכחה בולטת שישראל חושבת שביטחון המדינה מצדדיק פגיעה שרירותית בבטחון אישי של אזרחים. בארה"ב דנים עכשיו לאט לאט בשאלות של טביעות אצבע במקומות תעסוקה, דבר מאוד נפוץ בארץ, וכמובן הסיפור האחרון של ביה"ס המרגל בבתים. אני עדיין מחכה שהם יתעוררו למה שה-EFF מנסה להתריע כבר שנים, אולי זה יאיץ את המודעות בארץ. עד אז אזרחי ישראל ימשיכו להיות מסנוורים ממילים כמו "מדיניות בטחונית" ו"מלחמת אין-ברירה" ויסכימו לכל דרישה מגוחכת של השלטון.

"למה שירצו לחפש אותי?" – כי יש בזה כוח וכסף. חברות ביטוח רוצות לדעת מה קנית בסופר כדי להרים לך את הפרמייה אם אתה מעשן או אכל שמן מדי. בקליפורניה סופרים לך כמה שקי זבל זרקת וקונסים אותך אם זרקת יותר מהרגיל. באירלנד כבר הגיע דור של פחי זבל עם צ'יפ שמרגל אחריך וסופר כמה זבל זרקת. האם זה הפתרון לבעיות הסביבה? ברור שלא. לגלגל את הבעיות הסביבות על רגשות האשם של האזרחים במקום להקים רגולציה נגד אריזה בעייתית של מוצרים, זה בדיוק אותו המצב שבו מגלגלים את מכבש המאגר הביומטרי על גב האזרחים במקום שהמשטרה ובתי המשפט יפעלו כראוי.

"שטרית אמר שהמאגר יהיה מאובטח ברמה 11", אבל מתעלמים מהנזקים שחוללה כבר דליפת ה"אגרון" ושהמדינה עושה ניסויים ומשחקים במאגרים של עובדים זרים ופלסטינים, ולא ממש תחלוק איתנו את המסקנות, אבל אפשר לדמיין מה תהיה היכולת העתידית של הטכנולוגיות האלו.

אז מה מרגיע אותי?

  • כרגע עוד לא חובה להכנס למאגר, מלבד זה של משרד התחבורה (אני אתעלם כרגע מהמאגר הביומטרי בבקו"ם).
  • כרגע הטכנולוגיה לא מספיק נפוצה וחזקה או אפילו זולה לזיהוי אקראי ברחוב (אז יש לנו כמה שנים עד אז).
  • הרבה יותר קל לאמת מי הוא אדם מול המצלמה מול כרטיס זהות, הרבה יותר קשה (בינתיים) לזהות אנשים ברחוב, זו אמת מתמטית פשוטה שלא קשורה לכמה תוזל הטכנולוגיה.
  • יש סיכוי שהמאגר יפרץ, ינוצל לרעה, ידלוף, או שמשהו דומה יקרה במדינה זרה וישראל אולי תשכיל להשמיד אותו לפני שהאסון יהיה ממש גדול.

נמשיך לקוות.

ישנות משרד התחבורה

ישנות יען כי אינן חדשות. נציב תלונות הציבור במשרד התחבורה סגר עלי את הקייס (קראו הלאה לראות איך אני דורש מהם לפתוח חזרה).

אבל ראשית הפסקת אנטי-פרסומות: אל תצטרפו לפייסבוק כי הם ישלחו הודעות אישיות שלכם לאנשים הלא נכונים. בראד טמפלטון מה-EFF הסביר לתלמידי SU לפני כמה שעות למה מחשוב ענן זה דבר שראוי להזהר ממנו – לידיעת החוואים בנגב!

שנית, בשיחה עם בחור הונג-קונגי שפגשתי אתמול, גיליתי להפתעתי שיש להם תעודות זהות ביומטריות עם קוראי אצבע מפוזרים בכל העיר/מדינה בבנקים וכל מני מקומות, וגם המשטרה משתמשת במסד הנתונים לצרכי מז"פ. צריך לחפור יותר בחדשות מ-HK ולראות אם הדבר בינתיים הועיל או הזיק לתושבים שם, ואם יש להם בעית גניבת זהויות.

אבל לנוכח כל הבעיות והסכנות, בשירותתי ממשלה ובשוק הפרטי, הגורמים האחראיים תמיד אוהבים לנופף במטפחת מושכת תשומת לב או לצעוק "תראו ציפור!", והאנשים מאמינים, ולצערנו גם הכתבים מאמינים, ואז אין יותר כלבים שישמרו על הדמוקרטיה ועל הפרטיות, דבר מעיק מאוד כשאנשים מתחילים לתהות מתי לגוגל יהיה את הכוח להרוג אותם.

תגובות ראשוניות מהמשק הישראלי: הפרות שלנו מפליצות פחות! ואני שואל, מה זה קשור?

אה, כן. נזכרתי. פורים. צריכים להשתכר עד דלא ידע, ואחרי זה להגיד "לא ידענו". אתם יודעים, פעם גם קוקאין נחשבה לתרופה מצוינת…

Cocain for the kids!

פורים שמח. במיוחד אחרי שגיליתי שלמשפחה הצ'יליאנית שלי שלום. הם לא היו בסנטיאגו בזמן הרעש (שמסיים עכשיו לחצות את האוקיאנוס השקט!), וכנראה הם אפילו יצאו בזול מנזק לרכוש.

וחזרה לנושא המרכזי להיום, המכתב שקיבלתי ממשרד התחבורה:

נשלח 15 לפברואר

הנדון: תלונתך בגין חובה להצטלם למאגר הביומטרי לצורך חידוש רשיון הנהיגה

1. במכתבך מיום 19/1/2010 הלנת על החובה להצטלם למאגר הביומטרי לצורך חידוש רשיון הנהיגה.

2. נבקש להביא לידיעתך, כי היות שטרם אושרו החוק והתקנות בנושא, הצילום לרשיונות הנהיגה הנו צילום סטנדארטי. בשלב זה אין מדובר בצילום ביומטרי, והמאגר עצמו אינו משמש לצורך זיהוי ביומטרי.
נציין, כי אם תאושר השיטה הביומטרית, קיימת במשרד התחבורה התשתית להתאמת הצילומים לשיטה זו.

3. מבדיקתינו עולה, כי בתאריך 20/1/2010 הצטלמת וכי בתאריך 28/1/2010 הופק לך רשיון זמני עד לתאריך 28/7/2010.

4. לנוכח האמור לעיל, אנו מסיימים את הטיפול בתלונתך.

בכבוד רב,
אורית קרופ, מנהלת המחלקה.

ותשובתי להלן (עודכן לגרסא הסופית שנשלחה):

הנדון: הבהרות בנוגע לתלונה 42007

לאורית קרופ וצוות משרדה חג שמח,

1. התאכזבתי לקרוא כי אתם מושכים את ידיכם מטיפול בבעיה המטרידה אותי ועוד רבים בישראל, ומסכנת את בטחונם האישי של כלל מחזיקי רשיון הנהיגה בארץ.

2. במכתבכם האחרון מיום 15/2/2010 ציינתם שטרם אושרו חוקים ותקנות בנושא המאגר הביומטרי שאתם מנהלים, והרי זו תלונתי בדיוק, על כך שמנוהל פה מאגר ביומטרי ללא גיבוי בחוק או בתקנות. מבדיקותי עולה כי המאגר קיים בערך 3-4 שנים, אבל באתרי משרד התחבורה ומשרד המשפטים לא הצלחתי למצוא כל תזכיר חוק, תקנה או אסמכתא אחרת שמתירה למשרד הרישוי לאגור מאגר של תמונות הנהגים, לא כל שכן באיכות ביומטרית. אף על פי כן ברור לי כי אכן כך הדבר וזאת מהטעמים הבאים:

א. באתר ראש הממשלה, בידיעון "ביומטריה בתנופה" מחודש אוגוסט 2007, ציין בבירור עוזי ברלינסקי ז"ל:

רישיונות נהיגה ביומטריים

"משרד התחבורה החל במבצע להחלפת רישיונות הנהיגה בישראל לרישיונות חדשים, המותאמים לתקינה האירופית. צילום הנהגים מתבצע בשיטה ביומטרית חדשנית, על פי תקני הצוות הביומטרי הבינמשרדי, המאפשרת זיהוי מוחלט של האדם המופיע בצילום, גם לאחר שנים רבות."

ב. מידע זהה מופיע במפורש גם באתר משרד בטחון הפנים.

ג. והנה גם באתרכם מצוין באופן מפורש: "מדובר בצילום של יותר מ- 3.3 מליון נהגים הרשומים כיום במחשבי משרד התחבורה. צילום הנהגים מתבצע בשיטה חדשנית המאפשרת זיהוי מוחלט של האדם המופיע בצילום, גם לאחר שנים רבות ולאחר שמראה פניו השתנה בשל שינויים פיזיולוגיים או חיצוניים שחלו במראה הנהג."

ד. מספר עדויות שקראתי באינטרנט בחודשים האחרונים מספרות כי הניגשים להבחן למבחני התיאוריה ולקורסים לנהיגה מונעת מתבקשים להבדק ע"י עמדה עם מצלמה של חברת טלדור כדי לוודא את זהותם מול המאגר.

ה. לפני כשנתיים חש משרד התחבורה להציג הצעת חוק המסדירה את המאגר (חוברת 266, עמ' 4), הצעה שנפלה במליאה. אם המאגר חוקי, הרי שלא היה צריך להציע חוק. אם הוצע חוק ונפל, הרי חזקה שהמאגר אינו חוקי בעליל כעת!

ו. בניגוד אפילו להצעת החוק שנפלה, המאגר הנ"ל נחלק עם גורמים אחרים, לפחות משרד הפנים ובוודאי גופים נוספים. הדבר מטריד מאוד.

מכל האמור לעיל ומראיות נוספות שאספתי במחקר אינטרנטי פשוט, ברור לי שיש במשרד התחבורה נסיון ברור להתחמק מהאחריות לבעיה. לאחר התייעצות עם מומחים וקריאת תזכירים של המועצה לפרטיות ומשרד המשפטים, אני סבור שהמאגר הזה מסכן את בטחוני האישי ואת בטחונם של שאר מחזיקי הרשיונות בצורה שבה הוא מוגן. שלחתי שאילתא מפורטת בנידון לגב' קילשטוק ולצערי כל שאלותי (14 במספר) זכו להתעלמות בוטה במכתב תשובה שהגיע אלי באיחור (כחודש וחצי לאחר בקשתי) ולא הכיל שום פרט מידע חדש. מידע שאמור להבנתי להופיע ממילא בדו"ח חופש המידע השנתי או באתר המשרד.

3. לשאלת הצילום – אכן נאלצתי לבסוף להצטלם במורת רוח למאגר, שאם לא כן הייתי מאבד את יכולת הנהיגה וההשתכרות, שהיא זכות יסוד כמו זכותי לפרטיות, אבל מובן שפגיעתה יותר מיידית. הייתי רוצה שממשלתי תעשה מאמצים לשמור על כל זכויותי ולא לפגוע בהן, במיוחד כל עוד הן בספר החוקים.

4. לאור האמור לעיל אבקש שתאותו לתת לבעיה המוצגת כאן מעט יותר משקל ובדיקה קצת יותר מעמיקה.

בברכה,
עירא אברמוב.

העתקים:

  • התנועה לזכויות דיגיטליות
  • עו"ד אבנר פינצ'וק, האגודה לזכויות האזרח
  • המועצה הציבורית להגנת הפרטיות במשרד המשפטים
  • הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים
  • האינטרנט