בארה”ב הוחלט לאחרונה לאסור על גופי ממשל לרכוש ציוד מחברות Huawei ו-ZTE. להחלטה קדמה חקירה מקיפה שערכה ועדה בארה”ב, שבמהלכה זומנו ראשי החברות לתשאול בנושאי קניין רוחני, והחשד הכבד שחברות אלו יצתתו (דרך הציוד שימכרו) לאותם גופים שימכרו להם את הציוד – ויעבירו את המידע לסין. ב-CBS במסגרת תוכנית “60 דקות” פרסמו כתבה על הנושא, הנה הכתבה (למי שאינו רואה את הכתבה, מומלץ לבטל זמנית את Adblock, מבטיח שלא יצוצו פרסומות):

אישית אני בהחלט מבין את דאגות הממשל בארה"ב (החלטה דומה התקבלה באוסטרליה לגבי אותן חברות). הסינים ידועים כגונבי מידע סדרתיים בכל נושא אפשרי, וזה הגיע עד להעתקות של מטוסי חמקן מסוגים שונים, טילים, מכוניות ואפילו לנושאות מטוסים. כל מה שאפשר להעתיק בצורה חוקית או לא – הסינים בהחלט יעתיקו, יגנבו, יצתתו וכו'.

בממשל עצמו כמובן לא מסתפקים באיסור על גופים ממשלתיים. חברות הסלולר הגדולות כבר קיבלו רמזים (כפי שאפשר לראות ככתבה לעיל) שימצאו חברות אחרות לרכוש מהן ציוד תקשורת.

את כל זה אני מבין.

משהו אחד אני לא מבין והוא עניין הקוד.

טכנית, רוב המחשבים מיוצרים כיום בסופו של דבר בסין בחברות כמו Foxconn ואחרות. רוב הציוד עצמו גם מיוצר בסין (כמו עדשות למצלמות סלולריות, לוחות, פלסטיקים וכו') וחלק גדול מהצ'יפים שנמצאים במחשבים וטלפונים סלולריים גם מיוצרים בסין.

אם הממשל הסיני היה מעוניין לדחוף בכל הכח מערכות ריגול אחר מידע, כל מה שהם היו צריכים לעשות זה:

• להטמיע קוד "מאזין" בתוך אחד מהדרייברים של יצרן צ'יפים סינים (כמו Realtek ואחרים), את הקוד הזה מכניסים לתוך Image של דיסק קשיח שאמור להיות משוכפל עבור אותם מחשבים.
• "להמליץ" ליצרן הציוד להכניס את הקוד שהממשל הסיני פיתח לתוך חבילת הדרייברים ל-Windows שאותו יצרן מפתח, אך לא באופן ישיר (לדוגמא, כחלק מ-Online update) כך שהדרייבר עצמו יהיה "כשר", אך החלק של ה-Update ידווח "הביתה" במועד מסוים מה קורה ואם צריך להעביר לו עדכון שיתחיל באמת להאזין.
• "להמליץ" ל-Foxconn או יצרני מחשבים אחרים לוודא כי הדרייברים ה"חדשים" יהיו בתוך אותם דיסקים קשיחים.

(סביר להניח שבנקודות לעיל יש מספר כשלים, אבל אני מדבר באופן כללי) ובכך יכול הממשל הסיני להאזין כרצונו למידע שהמשתמש מכניס/מוציא. כמובן שאם יעלו על כך המשתמשים או היצרנים במועד יותר מאוחר, תמיד ניתן יהיה להאשים כמה עובדים זוטרים ולפתר אותם ו"להתנצל". בין כה לחברה שמוכרת את המחשב (HP/DELL וכו') אין ממש לאן לעבור מבחינת יצור זול.

זה נשמע הזוי כל העניין? אולי, אבל הוא היה קיים בעבר לפני כשנה וחצי בצורה מעט שונה: סדרת מחשבים של HP שהחלה להימכר, נמצאה לאחר כחודש נגועה בוירוס, כלומר איך שקנית מחשב ופתחת אותו – היה לך וירוס במחשב. הוירוס לא היה חדש והיצרן התנצל על כך בפני HP, אבל זו דוגמא מעולה לכך שמה שאני מתאר תאורתית יכול בהחלט לקרות.

כשאנחנו מדברים על ZTE ועל Huawei חשוב שנזכור כי 2 החברות לא ממש "צדיקות". חברת Huawei בעבר העתיקה ראוטרים של סיסקו בשלמותם, מהמדריך למשתמש, דרך הקופסא, הצ'יפים והלוח ועד החיבורים, וסיסקו כמובן תבעה אותם על כך. ל-ZTE מצד שני לא חסרים פאקים מכאן עד הודעה חדשה בציודים רבים שהם מייצרים שישנה גישת root עם סיסמא קבועה וגלויה שמאפשרת גישה מרחוק.

אבל במקום לבטל חוזים ופוטנציאל רכישה עם 2 החברות, אפשר לעשות משהו אחר שיועיל ל-2 הצדדים. מה אפשר לעשות? משהו פשוט: אם Huawei מעוניינת למכור ציוד שלה, שתתן את כל קוד המקור (לא רק למערכת הפעלה, אלא גם לחלקי קוד שהם מקבלים מיצרנים אחרים) לגוף עצמאי מוסכם שיעברו על הקוד שורה שורה כדי לוודא שאין שום אפשרות לציוד "להתקשר הביתה" בחזרה ליצרן או לכל מקום אחר. כל עדכון קוד יעבור גם דרך אותו גוף עצמאי לבדיקה והקוד שיותקן במערכת יהיה אך ורק קוד שאושר על ידי הגוף העצמאי הנ"ל.  כך בעצם חוסמים אפשרות שהציוד ישמש לצרכי ריגול סיניים.

מיקרוסופט בעבר נחשדה על ידי מדינות רבות בכך שיש בתוך Windows קוד של NSA ושאר סוכנויות לרגל אחרי המשתמשים ולהעביר את הקוד לגופי הממשל האמריקאיים. מה מיקרוסופט עשתה במקרים אלו? היא שלחה לנציגי הממשלות השונות את קוד המקור של Windows בצורה כזו שמתכנתים יכלו להעיף מבט על הקוד (אך לא להעתיק אותו בשיטת Copy/Paste). אני לא יודע כמה מדינות באמת בדקו את הקוד (גם לישראל הקוד הגיע למשרד האוצר בדואר מאובטח בכמה עשרות תקליטורים), אבל ברגע שמיקרוסופט עשו זאת, כל המתלוננים שתקו.

לעניות דעתי, החלטות כמו זו שהחליט הממשל בארה"ב ובאוסטרליה רק פוגעות בחברות שמעוניינות לרכוש ציוד ולהקים תשתית במחיר זול. את הקוד ניתן לבדוק, ואת החשש (המוצדק לעיתים) ניתן להפיג, ועדיף לעבוד כך מאשר חסימה מוחלטת של יצרן ובכך לגרום למקימי התשתית לשלם הרבה יותר ליצרנים אירופאיים (אריקסון) או אמריקאיים (סיסקו). אישית, קצת הפתיע אותי שישראל, אחת המדינות שיש בה חברות רבות המפתחות צ'יפים לתקשורת – אין בה אפילו חברה אחת שיכולה למכור ציוד לדור רביעי (4G), במיוחד בשוק שאין בו מתחרים רבים ושיכולים לנצל את ה"אמברגו" על הציוד הסיני לטובתם.