אין ספק שהנושא מאוד חם בבלוגים (101 בלוגרים כתבו עליו עד כה לפי האתר של שוקי גלילי). רבים הסבירו באריכות, בפשטות ובשלל צורות כמה המאגר הזה יזיק יותר משיועיל, עוד מעצם קיומו ועד להעתקתו ושימוש בתוכן ע”י גורמים פליליים. אני רוצה לתפוס גישה מעט שונה.

אתחיל עם סיפור קצר שהתרחש לפני מס’ שנים. ישבתי עם איש מערכות מידע שעובד בבנק כלשהו לאכול משהו בזמן שהיה להם הפסקת אוכל, והוא התפאר בפניי איך הבנק מתחזק את המערכות שלהם כך שמידע לא יזלוג וכיום זולת מס’ אנשים באותו סניף, אין לאיש אפשרות לדעת פרטים על החשבון (כמו תנועות, מצב חסכונות וכו’). חייכתי. הרי ידוע שמידע של לקוחות בבנקים הם לא דבר שכל כך קשה להשיג ואמרתי לו זאת, אך הוא התווכח וטען שהמערכות סגורות. החלטנו להתערב על סכום צנוע של 50 ש”ח. הוא יתן את שמו המלא והעיר שהוא גר, אני משיג לו דרך צד ג’ את 3 התנועות האחרונות שהוא ביצע בחשבון הבנק שלו מבלי לדעת את מס’ חשבון הבנק שלו או מס’/שם סניף. התנאי הוא: אני לא משתמש בשום מחשב, ואני עושה את הכל מולו בזמן שאנחנו אוכלים, גג חצי שעה המידע אצלו או שאני מפסיד 50 ש”ח.

הרמתי טלפון וביקשתי מאיש מחשבים שעובד בחברת חקירות לדלות את המידע הנ”ל (אותו איש מערכות מידע שעובד בבנק האזין לשיחה ולא השתתף) וביקשתי ממנו מה שאותו איש ואני התערבנו. רבע שעה לאחר מכן אותו איש מחשבים חייג בחזרה עם 3 השורות האחרונות: סכום הויזה החודשי שירד, וכן 2 פעולות משיכה מכספומט שאותו איש מערכות מידע ביצע. הוא היה בהלם.

ח”כ שטרית מנסה עם הועדה שהוא מנהל אותה להעביר בכל הכח את אותו חוק מאגר ביומטרי, כאילו שבלי אותו חוק המדינה מחר קורסת. כשמדברים איתו על כך שמאגר כזה יכול להיפרץ, הוא טוען שזה “בלתי אפשרי” וכי יש בידיו דו”ח “סודי” על כך שזה בלתי פריץ. משום מה אני בטוח שאם הדברים נכונים, מיקרוסופט, אורקל, סאן ועוד מס’ חברות ישמחו לרכוש את ה”פטנט” הזה של מאגר נתונים בלתי פריץ, כי מה לעשות: אין מאגר נתונים בלתי פריץ.

זו בעצם הטעות המרכזית של מר שטרית: או שהוא נותן שיוליכו אותו באף (לאחרונה עלתה השמועה כי השם של חברת אבטחת המידע OTI כחברה ש”לוחשת באוזנו” של שטרית לגבי המאגר הביומטרי), או שהוא פשוט משקר לציבור.

אני אחזור שוב: לא חשוב כמה חומות אש ישימו, לא חשוב כמה מנגנוני אבטחה יוטמעו במערכת עם בסיסי נתונים רגישים, הכשל המרכזי אינו במערכות אלא באלו שמפעילים את המערכות. כל אדם ניתן לשיחוד או “שימון” תלוי בבעיות/צרות שיש לאותו אדם, וכסף, מה לעשות, זה דבר מסנוור.

מבחינה טכנית, שכפול הנתונים אינו דבר מסובך כל כך. (בשביל שלא יהיו לאנשים כל מיני רעיונות איך לעשות זאת אסביר בכלליות) כל מה שצריך לדעת הוא איזה בסיס נתונים מדובר, איזה עדכוני אבטחה מותקנים על השרתים ועל בסיס הנתונים, ומספיק שעדכון אבטחה אחד קריטי של בסיס הנתונים שלא הותקן, כדי להשתמש בפירצה זו ע”י סקריפט שאותו ניתן לשמור על Disk On Key עם נפח אכסון גדול (יש כיום כבר 256 ג’יגה!), ולבקש מאותו איש משוחד להכניס את הדיסק און קי לתחנה שלו או לשרת (משום מה בשרתים במקרים רבים שוכחים לנעול את כניסות ה-USB), ולהריץ את הסקריפט. הסקריפט יכול “להתחבא” וליצור snapshot דחוס בשקט מבלי שאף אחד ירגיש, כולל תמונות ומידע אחר (תלוי בבסיס הנתונים, שיטת אחסון – אם זה בקבצים או ישירות בתוך הבסיס נתונים). הסקריפט יכול למחוק לאחר מכן מהמערכת כל הודעה שנעשתה פעולה מחשידה כולל מההיסטוריה של המשתמש.

לאחר מכן, כשיש את הנתונים לגוף המשחד, כל מה שצריך לעשות זה לבנות דף/תוכנת גישה פשוטה לנתונים, וזהו – יש לנו משהו ביד שאפשר להשתמש בו ולהפליל אחרים. מכאן הדרך קצרה שגורמים פליליים ישתמשו בנתונים כדי להפליל אחרים ומה שיותר חשוב: המידע הפרטי של אזרחי ישראל נמצא בידיים עוינות.

ח”כ שטרית היקר: מאכילים אותך לוקשים ואתה בולע את זה. עירא אברמוב ודורון אופק שמשתתפים בדיונים מכירים את המערכות האלו כמו את כף ידם והאמן לי שאתה יכול לסמוך על מילתם כשהם אומרים מה שהם אומרים על מאגר כזה. עו”ד יהונתן קלינגר בהחלט מבין גם בנושא. הם מומחים, אז אולי תתן להם צ’אנס ותרד מהעץ הזה בבקשה?