הפנטגון ישלם להאקרים שימצאו אצלו פירצות אבטחה • בריטניה בוחנת חוקי ריגול מקומי חדשים » האחראי על האינטרנט
שרת הפנים של בריטניה, תריזה מיי, סירבה לומר לאילו אתרי אינטרנט היא גולשת. בקשת חופש מידע שהגיש העיתון המקוון אינדיפנדנט למשרד הפנים הבריטי, לקבל את היסטוריית הגלישה של השרה, נענתה בדצמבר שעבר בשלילה – המשרד טען כי מדובר בבקשה “קנטרנית”.
האינדי לא סתם ביקש לחטט בדפדפן של מיי, אלא כתגובה אקטיביסטית לחוק סמכויות החקירה (Investigatory Powers Bill) שהעלתה. לפי החוק הזה, ספקיות אינטרנט בבריטניה יחוייבו לשמור את היסטוריית הגלישה של לקוחותיהם לאתרים (אך לא לעמודים ספציפיים באתרים) למשך שנה, והמשטרה ושירותי הבטחון השונים יוכלו לחטט בהיסטוריה הזאת ללא צו. “היו כמה שהגדירו את הכוח הזה כגישה של רשויות האכיפה להיסטוריות הגלישה המלאות של אנשים. אני רוצה להבהיר: זה פשוט לא נכון”, אמרה השרה מיי בנאום בפרלמנט הבריטי. “‘רשומת חיבור אינטרנט’ היא רשומה של שירות תקשורת שאדם השתמש בו, לא של כל דף אינטרנט שהוא ניגש אליו. אם מישהו השתמש באתר רשת חברתית, רשומת חיבור אינטרנט תראה רק שהוא התחבר לאתר הזה, לא את העמודים הספציפיים שהוא גלש בהם או האנשים שאיתם הוא תיקשר או מה הוא אמר. זו פשוט המקבילה המודרנית לפירוט שיחות טלפון”. פירוטי שיחות טלפון, מציין האינדי, שוחררו בעבר תחת חוק חופש המידע. אם רשומות חיבור אינטרנט מקבילות להן, מדוע השרה מסתירה את שלה?
הן פירוט שירות והן פירוט גלישה מכילים מידע פרטי על אדם, שלמדינה לא צריכה להיות גישה חופשית אליו. למשל, אם התקשר למספר/גלש לאתר לתמיכה בחולי איידס ולא רוצה שאיש ידע שהוא חולה במחלה, או לחברת כוח אדם והוא לא רוצה שידעו שהוא מחפש/מובטל, או לשירות הכרויות והוא לא רוצה שידעו שהוא מחפש, או למפלגה ולא רוצה שידעו שהוא תומך בה, או לכנסיית הסיינטולוגיה והוא לא רוצה שידעו שהוא תחקירן שמנסה לחדור לשורותיה כדי לבצע תחקיר.
הממשל הבריטי נדרש לעדכן את חוקי המעקב והריגול הפנים-ארציים (כלפי אזרחים ותושבים), שנחקקו לפני כעשור וחצי, בגלל ההתפתחויות הטכנולוגיות והשימוש שטרוריסטים ופושעים עושים בהן וכתוצאה מהחשיפות של מדליף מסמכי NSA אדוארד סנואודן, והוא נדרש לעשות זאת לפני סוף השנה, אז יפוג חוק DRIPA, שחוקק בחופזה ב-2014 כדי לעקוף פסיקה של בית הדין האירופי לצדק ולהמשיך ולחייב את ספקיות התקשורת לשמור מידע על משתמשים.
השבוע הממשלה הבריטית הגישה את ההצעה מחדש לפרלמנט בגירסה מתוקנת, אחרי שספגה ביקורת רבה, בין השאר מצד גופי זכויות אזרח, מענקיות הטכנולוגיה גוגל, אפל ופייסבוק ושלוש ועדות פרלמנטריות. מלבד איסוף מידע על גלישה ושיחות טלפון, החוקים עוסקים גם בהרשאות פריצה (האקינג) של רשויות למכשירים של אזרחים, מחויבותן של ספקיות להסיר מחסומי הצפנה ויירוט מידע בהול במצבי חירום מידיים עם צו רטרואקטיבי.
הפנטגון סוף סוף ישלם להאקרים שמנסים לפרוץ אליו
משרד ההגנה האמריקאי קורא להאקרים למצוא פירצות אבטחה באתריו תמורת תשלום [📂] במסגרת תוכנית Hack the Pentagon. עד כה, רק צוותי סייבראבטחה פנימיים של הפנטגון עסקו באיתור פירצות כאלו.
תוכניות ציד באגים (bug bounties) מקובלות בחברות טכנולוגיה, שמציעות פרסים להאקרים מהציבור הרחב שימצאו אותן וידווחו עליהן לחברה. כך החברה משיגה כוח אדם איכותי בלי להעסיק אותו במשרה מלאה, ומתמרצת את ההאקרים לדווח לה על התקלות, כדי שתוכל לתקנן, במקום להשתמש בהן לרעה או לדווח עליהן לציבור הרחב, שעלול לנצלן לפני שהחברה תספיק להוציא תיקון.
וויירד מדווח שבמאמר שפרסמו הסרנים רוק סטיבנס ומייקל ווייגנד באוקטובר 2015 ב-Cyber Defense Review, הם קראו לצבא ארה”ב להקים תוכנית מרכזית לאיתור פירצות בתוכנות במערכות צבאיות. השניים כתבו בדוח שעובדי משרד ההגנה “מהססים לחשוף נקודות תורפה ידועות במערכות מחשש לפעולת תגמול”.
“אני בטוח שהיוזמה החדשנית הזאת תחזק את ההגנות הדיגיטליות שלנו ובסופו של דבר תגביר את הבטחון הלאומי שלנו”, אמר שר ההגנה אשטון קרטר בהשקת התוכנית. רויטרס מדווחים שבכנס הסייבראבטחה RSA אמר קרטר: “אנחנו לא יכולים פשוט להמשיך לעשות מה שאנחנו עושים. העולם משתנה מהר מדי; המתחרים שלנו משתנים מהר מדי”.
להבדיל מתוכניות ציד באגים אחרות, בתוכנית של הפנטגון ההאקרים יצטרכו להיות אזרחי ארה”ב לעבור בדיקה בטחונית לפני שיורשו להשתתף בה, והיא תוגבל למערכות מיחשוב ספציפיות, כך שהיא לא תנצל את מלוא היתרונות של תוכנית ציד באגים אמיתית.
Hack the Pentagon היא התוכנית הראשונה מסוגה עבור הממשל הפדרלי האמריקאי. אולם מאחורי הקלעים, הממשל הפדרלי הוא משתמש כבד של פירצות כאלו – מהצד השני. כפי שנחשף במסמכי סנואודן [📂], NSA שילמה מיליוני דולרים עבור מידע על פירצות אבטחה “יום אפס”, כלומר כאלו שעדיין לא נודעו לציבור הרחב ולחברות שבמוצריהן ניבעו הפירצות, וזאת במטרה לנצל את הפירצות למטרות ריגול.
תגובות
תגובה אחת לפוסט “הפנטגון ישלם להאקרים שימצאו אצלו פירצות אבטחה • בריטניה בוחנת חוקי ריגול מקומי חדשים » האחראי על האינטרנט”
פרסום תגובה
עליך להתחבר כדי להגיב.
מה זה פה?
רוצה להפיק פודקאסט?
המלצת סייברסייבר (מ)
פרנסה
[…] כשהממשלה הגישה גירסה מתוקנת של הצעת החוק לפרלמנט, הסברתי פה מה הבעיה בשמירת רשומות כאלו: הן עלולות לחשוף מידע פרטי […]