יום רביעי, 23 בדצמבר 2015

מדינת ישראל נגד ניר עזרא - השלכות פסיקת בית המשפט העליון על פעילות מנועי חיפוש חוקרים ורובוטים אגרסיביים רע"פ 8617/14 רע"פ 8464/14

רובוט חיפוש עבריין מחשב
מאת אמיתי דן popshark1@


כל מידע "הנכנס" למחשב – בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב מקים את הדרישה ההתנהגותית בעבירה

במהלך יום שלישי האחרון (‏ג' בטבת התשע"ו (‏15.12.2015), בית המשפט העליון עסק באופן תקדימי בערעור משפטי בנושא חדירה לחומר מחשב, מטרת מאמר זה הנה להסביר מדוע החברות שמפעילות מנועי חיפוש אוטומטיים וסורקים מסוגים שונים, הופכות עכשיו לעברייניות בכל הקשור לפעילותן בתחומי השיפוט בישראל, בדיוק כמונו חוקרי אבטחת המידע שכעת לא נמהר לדווח על פרצות שמסכנות את האזרחים.

אין סיבה לרובוט יהיה מותר משהו שלי כחוקר אסור, וזה מה שבית המשפט בעצם קבע בלי לשים לב.  הוא גם סייג ואמר על הדרך שלכבות מזגנים ומוצרי חשמל בעלי מחשב, זה בסדר וזוטי דברים ושכח שכאלא יש גם בבתים חכמים, אבל אסור לפרוץ למטוסים.

סעיף 4 לחוק המחשבים:
"החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים; לעניין זה, "חדירה לחומר מחשב" – חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, תשל"ט-1979".


פסק הדין מרתק ומחכים, מביא הקשרים מהמשפט העברי (שרון אהרוני-גולדנברג "האקר כהלכה? חדירה למחשב בראי המשפט העברי" מאזני משפט ח' 237 (תשע"ג)) אבל לדעתי טעו שם, בצורה שתפגע בעתיד עולם אבטחת המידע בישראל, בין היתר נפגעים שם מנועי חיפוש.

מאחר שהנושא כבר סוקר בעיתון הארץ, רוטר פורטל Law.co.il ואתר החדשות News1, אני ממליץ להתחיל שם ולחזור לפה אחרי שקראתם את ההתייחסויות עד כה, ובעדיפות לקריאה מקדימה של פסק הדין.

עיקר הטעות למיטב הבנתי היא, שבית המשפט החליט לפרש את המונח חדירה לחומר מחשב באופן רחב, וללא חובה בעקיפת חסימה בדרך ליעד, ז"א לא משנה איך נכנסת כל עוד אין לך אישור אתה עבריין, גם אם נעזרת במחשב אדם או מכונה. הוא הוסיף ואמר, שאם תהיה עקיפה של מחסום בדרך, העונש יהיה חמור יותר. לכן, נוצר מצב שבו קל מאוד לגלוש למקומות בעייתיים כנגד הוראות פסק הדין.

י. "אם כן כיצד מפרשים "חדירה" למחשב? ניתן לפרש "חדירה" במובן של השגת שליטה; קרי, כל פעולה של שליטה במחשב והפעלתו מקיימת את מונח החדירה. פרשנות חלופית – "מילולית" – מרחיבה אף יותר. לפי פרשנות זו, כל ממשק בין מחשבים (דוגמת שליחת דוא"ל) מקיים את דרישת החדירה, שכן המחשב השולח מחדיר מידע למחשב המקבל. כאמור, נראה כי דעת הרוב בספרות תומכת בגישה זו."
(המשנה לנשיאה א. רובינשטיין)


טו. "סקרנו את עמדת המלומדים ואת עמדת המשפט המשוה ואף עמדנו בקצרה על יחסו של המשפט העברי לסוגיה; ועתה – להכרעה לענייננו. דומני שיש לקבל את הדעה הרווחת בקרב המלומדים, לפיה יש לפרש את המונח "חדירה" פרשנות מרחיבה. פרשנות נאמנה לתכלית החוק, ובמיוחד במבט צופה פני עתיד, מחייבת הגדרה כללית ל"חדירה", כך שכל מידע "הנכנס" למחשב – בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב – מקים את הדרישה ההתנהגותית בעבירה. דומה שהדבר תואם גם את השכל הישר, המבקש לטעמי לצמצם "דרכי מילוט". אם נעניק למונח "חדירה" פרשנות הקשורה לטכנולוגיה ספציפית שהנמצאת היום לנגד עינינו, ניאלץ להשתתף בעל כורחנו במשחק מתמיד של "חתול ועכבר", וכידוע הטכנולוגיה דהאידנא בטבעה מהירה עשרות מונים מן החוק. באשר לפרשנות המונח "שלא כדין" דומה, כי הפרשנות הראויה למונח היא שימוש במחשב בהיעדר הסכמת בעליו. ודוק, עקיפת מכשול טכנולוגי בהחלט עשויה להיות בעלת משמעות לעניין קיומה של הסכמה לשימוש במחשב.
(המשנה לנשיאה א. רובינשטיין)


כמו שאתם רואים, בית המשפט פסק שכל מידע המגיע למחשב כלשהו, בין אם מחשב יצר אותו (כולל תוכנה , א"ד), ובין אם נוצר כתוצאה של המשתמש (ז"א בן אדם , א"ד) יוצר פעולה בלתי חוקית, כל עוד לא הייתה הסכמה של הבעלים. למיטב הבנתי ובעקבות מחקר שמתנהל על ידי בתקופה האחרונה,הפרשנות הנרחבת של בית המשפט העליון,גורמת עכשיו לכך לבעיות שלא נצפו על ידו.

בית המשפט בפסיקתו, גורם לכך שלא רק חוקרי אבטחה, חוקרים אקדמיים או גולשים, גם מנועי החיפוש  שבהם רובינו משתמשים ביום יום נכנסים כרגע תחת החוק, וכל שנותר הוא להוכיח שמנוע חיפוש כלשהו אגר נתונים בתאריך כלשהו באופן שיהווה חדירה ללא הסכמה למערכת כלשהי או למאגר נתונים אחר, וזאת בדרך לתביעה משפטית נגד המפעילה שלו הפועלים בשטח ווירטואלי או פיזי, הכפוף לחוקי מדינת ישראל.

זה לא משנה יותר אם הגדרתי לרובוטי החיפוש מה לעשות, כל עוד לא אישרתי להם להיכנס הם עבריינים עכשיו וזה שהשארתי את המחשב פתוח איננו מתיר להם להיכנס.

"טו. איני רואה סיבה מדוע יגן החוק על ראובן, שסיסמה נדרשת לשם שימוש במחשבו, אך לא על שמעון אשר לא השכיל להתקין במחשבו הגנה מסוג זה. בית ללא מנעול אינו הפקר – וכך הדין גם במחשב; והדברים נכונים במיוחד נוכח תכלית החוק (ראו פסקה י"א מעלה). מובן כי מקרים שבהם נעשה הדבר באופן תמים ללא כוונה פלילית, כפי שיתכן שיארע בסביבות עבודה, לא ייכללו בגדר האמור, בראש וראשונה כיון שבעל המחשב ש"נחדר" לא יראה זאת כחדירה שלא כדין ולא יתלונן – ונשוב לכך."

ישנם כיום מנועי חיפוש רבים שסורקים את רשת האינטרנט, החל מאתרי אינטרנט ועד לגישה למערכות בקרה רגישות, או למזגנים ביתיים. גם מנועי חיפוש רגילים (Yahoo,Bing,Google,Yandex) סורקים את הרשת ולא פעם מוצאים מוצרים ואתרים שונים שמחוברים אליה, אשר גישה אליהם הפכה להיות כיום בלתי חוקית מאחר שבעליהם לא אישר גישה אליהם, או שפשוט לא חסם את הבקר לכניסה מבחוץ בעזרת סיסמה.

במקביל, מפותחים גם מנועי חיפוש אחרים שמיועדים לחיפוש של מוצרים רגישים, כמו משאבות ראוטרים, בקרים תעשייתיים, ממשקי שליטה ובקרה ועוד. הידוע בהם נקרא Shodan אבל יש לו מתחרה סינית בשם ZoomEye. חוקרי אבטחה והאקרים, או גורמים אחרים יכולים בעזרתם של מנועים אלו להתחבר לאותם מכשירים שמופו על ידי המערכת, שאף העתיקה מהם נתונים.

לאחרונה פרסמתי מאמר שסקר פיתוחים אקדמיים, בעולם מנועי החיפוש. מאמר זה הראה כיצד שתי אוניברסיטאות יצרו בחודשיים האחרונים (University of Michigan and Northeastern University-China) מנועי חיפוש מתחרים, ששניהם מיועדים לאיתור חולשות אבטחה ככה שגם באקדמיה היום ממפים עם מנועי חיפוש מכשירים חשופי רשת, ושואבים מהם מידע מקטלגים ומפרסמים.


"Censys is a search engine that allows computer scientists to ask questions about the devices and networks that compose the Internet. Driven by Internet-wide scanning, Censys lets researchers find specific hosts and create aggregate reports on how devices, websites, and certificates are configured and deployed"

מנוע החיפוש האקדמאי Censys, סורק את רשת האינטרנט, ומאפשר לחוקרים להבין כיצד מכשירים אתרים ותעודות (אבטחה) הוגדרו והותקנו. הבדיקות הללו הינן בדיקות שמתאפשרות עקב סריקה, שכיום מוגדרת כחדירה בלתי חוקית על ידי בית המשפט.



צריך להבין, שהעובדה שתוכנת מחשב היא זו שמבצעת את פעולת החדירה ולא אדם, איננה מסירה אחריות מהשולח (הבעלים שלה).

בנוסף לאמור, להבנתי הייתה כאן טעות שיפוטית נוספת. בית המשפט העליון הבין שמזגן ממחושב המכובה על ידי מישהו אחר, הינו החריג שבו לא יהיה מקום לדון את הפורץ לדין.

שימו לב לניגודיות הבאה,סעיף ו בפסק הדין הנו השלב של ההקדמה לפסק הדין ואיננו מחייב אלא מביא את הדעה האישית, אבל בפסיקה בסעיף י”ז - מכשירים חשמליים כמו מזגן המופעלים דרך מחשב זה משהו שאפשר לכבות לפי התקדים החדש, ובעצם לקבל הגנה אם מכבים אותו, והדבר מובא באופן חד משמעי.

ו. "פיתוחים טכנולוגיים דוגמת מחשוב לביש, מכוניות אוטונומיות וארנקים סלולריים – והברכה השורה בצידם – יתקשו מאוד להשתלב במרקם החיים האנושי כל עוד השימוש בהם אינו זוכה להגנה משפטית כדבעי ואין צורך להכביר מלים; לשון אחר, לפני שהמכונית האוטונומית תעלה על הכביש, יהיה עלינו לאסדר בצורה טובה יותר את הטיפול בפצחנים המסוגלים להשתלט עליה בלחיצת כפתור, במישור הטכנולוגי וגם במישור המשפטי. הוא הדין לארנק הנייד, והדמיון עשוי להפליג, אך ככל שיפליג – לא יפליג דיו."
 

יז. בתרחיש השביעי אדם מכבה מכשיר חשמלי המופעל באמצעות מחשב – דוגמת מזגן – ללא רשות.. דבר זה גורם לכך שבתים חכמים רבים המכילים מכשירים חכמים לא יזכו להגנת החוק כנגד האקרים, או מכונות, וזאת בניגוד לחדירה למנוע של מחשב או מכונית אוטונומית.” “ברי, כי אדם המכבה מזגן ללא קבלת רשות, או צעיר ה"מסתנן" לפורום אינטרנטי סגור כעניין היתולי לא יקימו את יסודות העבירה; אך לא כן אדם המשבית את מערכת מיזוג האויר במטוס, או אדם ה"מסתנן" להתכתבויות פנימיות של בכירי משרד הביטחון. אומר שוב, מקרים מסוג זה מחייבים שימוש בשכל ישר תוך תשומת לב לתכלית החוק ולהיגיון שבבסיסו.)

יש הרבה חכמה בכך שרגולוציה פרואקטיבית, יכולה להביא להגנה טובה על מערכות. אבל האבסרוד כאן עצום. בית המשפט לא מבין שחברות שמפקירות ביודעין או במחדל את המשתמשים, כולל חברות המפתחות רכבים אוטנומיים כדבריו, מאכסנות מאגרים רגישים בטחונית לא יוכלו עכשיו לקבל התרעות מקדימות אותן התרעות שבגוף בריא מאפשרות לגוף להבריא את עצמו.

האנליסטית קרן אלעזרי חוקרת רבות את הנושא של ההשלכות החיוביות של ההאקרים על מערכת האינטרנט, והרצאתה Hackers: the Internet's immune system היא בדיוק מה שהיה חסר כאן לבית המשפט, כדי להבין את חומרת המצב שאליו הוא מכניס את מה שמחובר לאינטרנט בישראל.

אנחנו לא נתריע, והשערים ישארו פרוצים, כולל שערי הכניסה לקיבוץ שלכם, או היישוב שבו אתם גרים, אגב הם עדיין פרוצים ברובם, כי לא הקשיבו לאותן התרעות שבית המשפט מנסה לחסום, ולא לקחו אחריות על המצב, שנוצר בכלל משיטה פשוטה ויעילה שאיפשרה לפתוח מכשירים על בסיס שיחה מזוהה, משהו שכשל והתפוגג.

אישית, יצא לי להתריע בין היתר על פרצה שגרמה לאלפי מכוניות במדינת ישראל, המחוברות לרשת האינטרנט, להיחשף החוצה. פסק דין כמו זה יגרום לי לחשוב יותר מפעמיים האם לדווח בכלל, ואני בטוח שכמוני גם רבים אחרים שבאופן קבוע מתריעים על פרצות אבטחה של אתרים שמסכנים משתמשי רשת, או בעלי תשתיות קריטיות.

לדעתי בית המשפט פתח תיבת פנדורה, שתגרום לפחות אבטחה. ולמנועי חיפוש רובוטיים שמאפשרים ביקורת ובדיקה להיות בלתי חוקיים, כולל Google להיות בעתיד הלא רחוק מוגבלים חוקית, ואף נקנסים על הפרת פרטיות מעצם תפקודם בסריקת הרשת, למטרות אבטחה ואיתור מכשירים רגישים חשופי רשת, או סריקה שוטפת המביאה גם מכשירים רגישים.


במחקר האחרון שבו אני עוסק בימים אלו, אני מוכיח כיצד רובוטים ומנועי חיפוש פולשים דיגיטלית לבתים חכמים, שומרים את פרטי הגישה ומאפשרים לצפות במה שהתרחש בבית גם בדיעבד. אני יכול להבין למה הפסיקה גם גאונית, למה היא הלכה שנים קדימה,  אבל איך שאני לא מנתח את המצב מנועי החיפוש שאתם משתמשים בהם, ובכלל פעולות רובוטיות אינן חוקיות יותר לפחות עד להודעה חדשה.

אם אתם רוצים להנות קצת, ולקבל רקע נוסף אני ממליץ לצפות בסרט הבא, העוסק ברובוט פושע




מיפוי רובוטי של דפים:







אמיתי דן הנו חוקר אבטחת מידע, הנוהג להתריע על פרצות אבטחה. בעברו פעל בין היתר במסגרת מחקר רב קבוצתי באוניברסיטת תל אביב,  בנושא פרצות אבטחה בתשתיות קריטיות מחקר זה הוזמן על ידי משרד המדע.

יום שבת, 12 בדצמבר 2015

426 Net-Security / ICSfind Another academic tool aim to hunt for ICS&SCADA


ICSfind ( http://icsfind.com/ ) Is A new search engine, which aim to detect exposed ICS (Industrial control system) arrived to the playground, but now it's coming from the academic world China.
Since 2009, we had Shodan (created by JohnMatherly) as an ultimate tool to find critical infrastructure.
This October a new competitor Launched his activity in the west, Censys. Straight from the academic world (University of Michigan and University of Illinois - Urbana Champaign)  lead by ZakirDurumeric and based on ZMap. And now many people are seeing it as the alternative for commercial search engine Shodan, Not anymore a new player arrived, and was there silently since this October.
Yesterday I've found new tool Created in NortheasternUniversity-China, By Professor Yu Yau and his students. The tool called 426Net-Security or ICSfind. 
This  dedicated for ICS/SCADA, I really liked the UI and the simplicity. It's not a perfect tool but I think this is just the beginning. By the way here is no needs for registration, or limitation of uses.
I'm still checking it, and I would like to hear more opinion about it. The tool has only Chinese interface but it's really easy to use.
in my opinion having two new tools in one month, it's the best gift to get for the new year. 
About the change in the academic world, after years of being far away from the field and having academic paper which don't give direct help, or blocked from the public with payment system, or just great tools which never been out of the academic world - those changes makes me really happy.













המצור הדיגיטלי של טינדר על רצועת עזה והאזורים שמעבר לקו הירוק, ומה הקשר לצפון קוריאה?

For my English reader: I've found that Passport  feature which is part of Tinder Plus services , is not supported in Gaza and behind ...