זו לא סצנה, זה מירוץ חימוש

Posted on 10 בספטמבר 200719 בספטמבר 2007 by יהונתן קלינגר

ממשלת הודו לכאורה מתכננת להתקין קילוגרז (Keyloggers) בבתי הקפה הוירטואלים (אנא דגגו). העיתונאי ההודי עמית ורמה מדווח ש:

"הדבר נעשה, כלפי חוץ לפחות, על מנת להלחם בטרוריזם, וכאן ההשלכות עבורך ועבורי. כאשר אנו גולשים מקפה אינטרנט במומבאי, כל דבר שאנו נקליד אוטומאטית ישמר במאגריהם. ססמאות האימייל שלנו, כל הודעה שנקליד, האתרים בהם אנו מבקרים, התמונות שאנו מורידים: הכל יאוחסן ברשומות המשטרה, ויפוך אותנו, בצורה מעשית, לערומים בעיניהם." (…)

התקנת לוכדי מקשים משמעה לא רק שכל ססמא תשמר, אלא דווקא ששירותים כמו טור יהפכו ללא שימושיים שוב. לזמן קצר נדמה שאנו רק בעוד שלב במירוץ החימוש בין הטרוריזם לממשלה, כשהקרבנות הם תמיד עברי האורח התמימים. בעוד שהקרב נגד טרוריזם מסייע לממשלה ללכת לדרגות נרחבות של פגיעה כמו ציטוט לטלפונים ויירוט הודעות דואר, שמירת כל ססמאות משתמשי האינטרנט ידרוש פגיעה רצינית יותר בפרטיות.

התקנת לוכדי מקשים (ודרישה מבתי קפה להרשם ולקבל רשיון) גורמת לאנונימיות להעלם ממפת המצבים הריאליים שניתן להיות בהם. לככששלב זה יסתיים, האם נשוב להשתמש במקלות ואבנים?

למרות שזה די ברור, הטרוריסטים לא יפחדו מההוראות החדשות. הממשלות לא יכולות להתערב בפעיליות החשאיות של הטרוריסטים; אלה יכולים לעשות הכל עת שהם משתמשים במקלדות וירטואליות, התקנים ניידים להעלאת מערכות הפעלה כדי לעקות את רוגלות המשטרה (ככל שאני מכיר את השטויות האלו, הם עשויים עוד להשתמש בפרוסס בתוך חלונות שניתן לסגור באמצעות Alt-Ctrl-Del) או את הקילוגרים (הפיזיים או הוירטואליים). הבעיה היא עם המשתמש הפשוט בקפה האינטרנט שרק רוצה להוריד שירים מאייטונז או לרכוש את הספר הראשון שלו באמזון. אלה יפחדו מלהשתמש ברשת, הKiller-App הדמוקרטי היחיד.

בעת שבלוגים עשויים להחסם בהודו (כמו גם בישראל) זו לא הפתעה גדולה לגלות שהכוחות שקוראים להשתמש בצנזורה מאסיבית יותר רוצים להשתמש בה כדי להניא אחרים משימוש ברשת באמצעות בושה.

אולי כדאי שמישהו כבר יפרסם איזהשהוא דו"ח על יעילות האמצעים האלו כדי שנוכל להתווכח בצורה משכילה, או האם זה עוד שלב של אבטחה באמצעות חשאיות?

10 thoughts on “זו לא סצנה, זה מירוץ חימוש”

עמרי 10 בספטמבר 2007

עושה רושם שאנחנו חיים בסופה של תקופה שבה פרטיות היא דבר אפשרי ומוסרי.
חזי 10 בספטמבר 2007

הנסיונות של הממשלות להיכנס לנו לאינטרנט הם פאתטיים. במרוץ החימוש הזה לממשלות אין סיכוי לנצח, מכיוון שהטכנולוגיה מתפתחת הרבה יותר מהר מהקצב שבו מערכת בירוקרטית עובדת. כבר היום כשאני ניגש למחשב שאינו שלי אני מחבר כונן נייד ("דיסק און קי") ועובד עם התוכנות שלי ששמורות עליו. כפי שיהונתן רמז אפשר לעשות את זה עם מערכת הפעלה שלמה שרצה על מחשב וירטואלי (כיום זה גורם להאטה מסויימת של הפעולה, אבל בעתיד הקרוב מאד וירטואליזציה של מערכת הפעלה תהיה מהירה כמעט כמו עבודה רגילה). בקרוב לכל אחד יהיה מחשב נייד או טלפון "חכם" משלו, ומי יוכל להכתיב לנו שלא לעבוד עם איזה מערכת הפעלה שאנחנו רוצים? נראה את הממשלה הגיבורה שתנסה להתקין תוכנת מעקב על מחשב עם לינוקס…

יש הרבה תחומים שבהם הפלישה לפרטיות מדאיגה אותי (מצלמות אבטחה בכל מקום, מאגרי מידע לא מאובטחים) אבל בכל מה שנוגע למחשוב אישי נראה לי שיד הממשלות תהיה על התחתונה.
יהונתן 10 בספטמבר 2007

חזי,
אם זה היה בישראל הייתי מסכים איתך, אבל בהודו יש לא מעט בעיות של הנגשה לרשת.
Jehudá 11 בספטמבר 2007

חזי:
בנוגע למחשבים באינטרנט-קפה, גם שימוש במערכת־הפעלה חיצונית לא יעזור להתמודד עם hardware keylogger (נאמר כזה שנמצא במקום שאין לך גישה פיזית אליו). אני בטוח שיש, או שאפשר לפתח בקלות, מקבילה עבור התצוגה, וכך גם שימוש במקלדות וירטואליות לא יועיל.
יהונתן 11 בספטמבר 2007

ג'ודה,
אני לא בטוח לגבי מערכת הפעלה חיצונית. אם הקילוגר לא שומר – אלא שולח (כך גם לגבי הצילומי מסך) את המידע, אז מערכת הפעלה חיצונית תמנע ממנו גישה לכזו.
Jehudá 11 בספטמבר 2007

ג'ון,
אולי לגבי צילומי־המסך זה יותר קשה לשמור את המידע בחומרה, אבל לגבי המקלדת אין בעיה כזו: בסך הכל צריך לשמור עבור כל מקש שהוקלד את הזמן שבו הוא הוקלד ובאיזה מקש מדובר.
אם זה מרוץ־חימוש אפשר להמשיך לשלב הבא, ובו ה־key-/screen-logger לא שומר בתוכו את המידע, אלא יש מעביר אותו (בין אם באמצעות כבל ובין אם באופן אלחוטי) למחשב מרכזי, שמעביר את המידע מצידו למשטר.
Pingback: | הבלוג של יהונתן קלינגר |
רואה שחורות 12 בספטמבר 2007

בעניין יעילות האמצעים, הנה כתבה מהטיימס אוף אינדיה על תושב באנגלור שנעצר בגלל שהעלה לאינטרנט "דברי כפירה" על דמות מההיסטוריה ההודית העתיקה.
לינק
צפריר כהן 15 בספטמבר 2007

המידע שמתקבל מ־keylogger הוא מאוד גלמי. אני מניח שי שדרכים לשבש את האיסוף שלו ע"י שינוי תבנית ההקלדה. לדוגמה: אולי אפילו משהו דבילי כמו הוספת השהיית זמן בין הקלדת תווי הסיסמה.

לדוגמה: אפשר לחשוב על מספר פרוטוקולי הזדהות שבהם הססמה שמוקלדת לא תעזור (או לא תעזור לאחר פרק זמן סביר). לדוגמה: משהו מהסוג של one-time password).
יהונתן 15 בספטמבר 2007

גם אם הייתי מקליד את הססמא כ 1, alt+tab, sdfgvsfdbsdfv , alt+tab, 23123452t3, וכדומה, ניתן היה עדיין להתחקות אחר הססמאות כיוון שאפשר לשחזר את כל המהלך.

ססמא חד פעמית היא בעייתית לא פחות כיוון שצריך גישה כלשהיא למאגר הססמאות, ולכן, עדיין, תהיה את הבעיה הזו.