בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

השב"כ עוקב, אבל זה לא אומר שלכם אין דרך להתגונן מפניו

בלהט משבר הקורונה ישראל שולפת את כלי הריגול שכולם העדיפו לשכוח שהם קיימים, אבל בזכות כמה פעולות פשוטות יחסית גם אתם תוכלו להרגיש שהפרטיות שלכם עדיין בשליטה

135תגובות
נשים באוטובוס משתמות בטלפון ולפטופ
מירב מורן

בתחקיר שפורסם ב-YNET, חשף רונן ברגמן את "הכלי", המערכת של השב"כ שמנטרת את כל מה שאנחנו עושים. למעשה, ברגמן חשף את הסוד הגלוי - כל מה שאנו עושים ברשת ובסלולר נאגר על ידי שירות הבטחון הכללי וזמין לכל חוקר שחבר בו. רק בשל המצב העגום הנוכחי והאקלים הפוליטי, התחקיר החשוב הזה לא פתח מהדורות. במאמר זה ארחיב מעט על ההיבטים הטכניים של המעקב הזה ואתן כלים להתמודד איתו.

מה נאגר?

כאשר המדינה שואבת את המידע הישר מספקיות האינטרנט והסלולר - היא יכולה לדעת חלק עצום מהמידע אבל לא את כולו. הודות לפרוטקולים שונים כמו HTTPS למשל, גם ספק התקשורת לא יכול לדעת הכל. מה בדיוק השב"כ יכול לדעת?

* טלפוניה סלולרית ורגילה: למי התקשרת ומתי התקשרת (אך לא תוכן השיחה). כל התקשורת בסמסים גלויה בפניו ומתי כל לקוח התחבר לאינטרנט, לאיזה שרתים הלקוח התחבר. עם זאת, ברוב המקרים אם החיבור נעשה עם הצפנה, כמו שרוב השירותים עובדים, אי אפשר לדעת מה תוכן התקשורת. השב"כ יכול לדעת שהתחברת לווטסאפ אבל לא מה עשית שם, או שנכנסת לפורנהאב אך לא יודע לאן גלשת.

* איכון מיקום: המיקום המדויק של הטלפון הנייד, אך לא גובהו.

ראש השב"כ נדב ארגמן
מוטי מילרוד

* אינטרנט ביתי: בדיוק לאיזה שרתים כל לקוח התחבר ואת זמן החיבור ונפח החיבור. עם זאת, אם החיבור נעשה עם הצפנה, כלומר עם  HTTPS, אי אפשר לדעת מה נעשה. השב"כ יכול לדעת אם אדם נכנס לאתר "הארץ", אך לא יודע באיזה כתבות הלקוח עיין ואיזה טוקבקים הוא כתב. בנוסף, אפשר לדעת את מספרו הסידורי של המחשב שדרכו נעשה החיבור. כלומר, אם מישהו מבני הבית נכנס לאתר בעיקר דרך המחשב הנייד שלו, אפשר לדעת שהמחשב הנייד הזה התחבר ל"הארץ". 

למה זה מדאיג?

אחת התשובות הנפוצות ביותר לסוגית הפרטיות היא "למה שזה יהיה אכפת לי?", או "אם זה נותן ביטחון, אני מוכן לוותר על הפרטיות". יש כמה השגות לתשובות האלו:

ראשית, כפי שנכתב בכתבה וגם ד"ר תהילה אלטשולר ציינה בטוויטר שלה - אף אחד לא מבטיח שהשימוש יוגבל אך ורק למקרי חירום. גם כיום, מתגלים כל הזמן מקרים של שימוש לא חוקי במידע שלנו על ידי המשטרה, שמחזיקה במאגר מידע משלה. גם בכתבה עצמה צוין ש"בתחילת הדרך היו מקרים של אנשים שעשו שימוש שלא לצורך במידע".

ציוץ תהילה - דלג

איזה שימוש שלא לצורך? ריגול אחרי בן זוג, ידיד של בן או בת זוג או קרוב משפחה, מתחרה עסקי של חבר - כל דבר. המידע לא חייב להיות מפליל או לא חוקי. למשל, הדלפה למעסיק שבתאריך מסוים נכנסתם לאתר alljobs, או שבנסיעה עסקית התעכבתם 10 דקות שלא לצורך בבית קפה. כל חטא פעוט יכול להיות מנוצל נגדכם. גם אם אתם ישרים כסרגל, מידע פרטי עלול להביך אתכם.

גם מידע שנראה לכם טריוויאלי עלול להזיק לאוכלוסיות מסוימות. לדוגמה, אין פסול בכניסה לאתר שמספק מידע על מין, אבל חישבו על אדם בסביבה דתית שיתגלה שנכנס לאתר כזה. אין פסול בכניסה לאתר שמעודד הפסקת עישון, אבל חישבו על אדם שבדיוק ביקש לעשות ביטוח חיים.

גם ההרגשה האישית חשובה. אני אדם שומר חוק ואין לי חיים סודיים, אבל עדיין לא נעים לי שידעו מה אני עושה - הרי כולם יודעים שיש לנו צרכים וזה לא מעשה אסור או לא חוקי, ועדיין אנחנו סוגרים את הדלת כשאנחנו הולכים לשירותים.

האם הכל אבוד?

תגובה נפוצה אחרת היא: "מה זה משנה, גם ככה הרוסים/הסינים/גוגל/פייסבוק יודעים הכל". ובכן, לא. חברות כמו גוגל ופייסבוק נתונות לרגולציה כבדה ביותר, ואדם יכול לבחור אם להשתמש בשירותים שלהן. סוכניות המודיעין של המדינות השונות חזקות אמנם אבל לא כל-יכולות, ועם טכניקות שלעתים יכולות להיות פשוטות וקלות ליישום אפשר לעצור כמעט כל מעקב. וגם אם מידע מסוים ידלוף, כתוצאה מחוסר זהירות פה ושם, עדיין מדובר בשמים וארץ מלהיות עירום לחלוטין מול כל חוקר זוטר.

איך מתמגנים?

* בשיחות: עדיף לבצע שיחות באמצעות תוכנות המסרים המיידיים: ווטסאפ, טלגרם או סיגנל (עדיפות לאחרונה, אך בקרב עמי אני חי וגו'). כאשר אנו מבצעים שיחות כאלה, הגורם שחשוף לנתוני התקשורת שלנו יכול לדעת שהשתמשנו בווטסאפ ושאנחנו מקיימים שיחת ווטסאפ (כיוון שכמות המידע המועבר באפליקציה גדלה), אבל לא יכול לדעת עם מי דיברנו - הבדל גדול מאוד.

* בסמסים: לא לנהל שיחה בסמס עם אף אחד. אימות דו-שלבי מומלץ מאוד לבצע באמצעות אפליקציה יעודית (כמו גוגל אותנטיקייטור ודומותיה). השב"כ, או כל גוף אחר המאזין לסמסים, יכול להשתמש בגישה הזו כדי להשיג גישה לחשבונות שלכם. אני לא חושש שנדב ארגמן יורה לשב"כ לחטט בחשבונותיי, אבל כאמור לכל חוקר זוטר יש את הגישה הזו, אז למה להעמיד אותו בפיתוי? האימות הדו-שלבי נעשה אצלי באמצעות Duo או גוגל אותנטיקייטור. זה גם בטוח יותר.

* באתרים במחשב הנייח: היכן שאפשר, לגלוש עם תור החינמי והכיפי או עם VPN. אני משתמש בגרסה בתשלום של ProtonVPN. השב"כ יודע שהתחברתי לתור או ל-ProtonVPN, אך לא מה עשיתי שם. שימו לב שעדיין אפשר, בתנאים מסוימים, לדעת מה עשיתי. כיוון שיש אלפי משתמשים ב-VPNים השונים, ורובם לא עושים דברים לא חוקיים, אפשר להיות בטוחים למדי. חוקרי אבטחה יגידו לכם, ובצדק, ש-VPN הוא לא כלי טוב לפרטיות, מפני שרובם לא לא מגנים עליכם מפני חברות ה-VPN עצמן.

שימוש ב-VPN עלול לפגוע מעט בביצועי הרשת, אבל הדגש הוא על מעט. כמה מעט? איך שימוש ב-VPN נראה בחיים האמיתיים?

הדגמה של ProtonVPN - האם הוא פוגע במהירות של הרשת? - דלג

* באתרים בטלפון הנייד ובגלישה סלולרית: התקנת VPN בטלפון הנייד היא פשוטה, קלה וגם היא לא פוגמת בהרבה בחווית הגלישה.

* מיילים: במידה שאתם משתמשים בשרת דואר גדול (לדוגמה - ג'ימייל, יאהומייל או וואלה מייל) שמאבטח את עצמו בפרוטוקול HTTPS, אתם יכולים להיות בטוחים. אם יש לכם שרת דואר משל עצמכם, ודאו שאתם מחוברים אליו בפרוטוקול מוצפן.

* התגוננות משירות איכון: כיום, אין דרך להתגונן משירותי איכון המכשיר מלבד להשאיר אותו בבית. ישנם אנשים שטוענים שרכישת סים חד-פעמי יכולה לעזור פה, אך זיכרו שאם אתם עושים את זה צריך גם מכשיר טלפון מולבן שלא נעשה בו שימוש שניתן לקשר אליכם. אם אתם רק מחליפים סים במכשיר שלכם, זו ברכה לבטלה. כרגע כל פקיד זוטר, ובעתיד גם המשטרה, יכול לדעת את מיקומכם המדויק.

* סניטציה של אפליקציות: עד כמה שידוע לי, אין אפליקציה המעבירה את כל הנתונים ישר לשב"כ. עם זאת, כלל אבטחה טוב הוא לעבור על כל האפליקציות המותקנות במכשיר ולהסיר את אלה שאין בהן שימוש ולוודא היטב את ההרשאות של כל השאר. יש להזהר במיוחד מאפליקציות ישראליות.

אני יודע, זה נשמע קיצוני ומוגזם - כמה אפשר לשמור על הפרטיות? הגישה שלי, לפי תורתו של סון טסו, היא כזו - "מי שחזק בהכל, חלש בהכל". אני לא מנסה לנצח בכל החזיתות ולא אכפת לי שהשב"כ יידע שדיברתי עם טיב-טעם בנוגע למשלוח המזון הקרוב. אבל לקוחות? שיחות ייעוץ? עניינים עסקיים? את אלה אני משתדל לנתב לערוצים מאובטחים. אני אפעיל Proton VPN אך לא אנתב את התנועה דרך תור. אני אשתמש באותנטיקציה של חשבונות בסמס בחשבונות שהם לא חשובים לי, אבל בחשבונות החשובים אשתמש באותנטיקציה אחרת. אני בוחר את הקרבות שלי, אבל הקרבות האלה קלים מאי פעם. התקנת VPN היא פשוטה, שיחה באמצעות הסיגנל היא קלה יותר מבעבר והאיכות של השיחות משתפרת מיום ליום.

כל עוד לא יקום בישראל קול זעקה ולא יהיה איסור כולל על השב"כ לאסוף את הנתונים האלו (בתקווה שיתעורר דיון בנושא), לכל חוקר זוטר יהיה מאגר נגיש על אזרחי ישראל. כרגע מדובר על הרחבת הגישה ל"כלי" לכל שוטר במשטרה כדי "להלחם בקורונה". נשגב מבינתי מדוע על מנת להלחם בקורונה כל שוטר בישראל צריך לדעת לאיזה אתרים אני נכנס, אבל באמת כבר הרמתי ידיים. עד שלא תהיה רגולציה ומעורבות של הכנסת בעניין, זו המדיניות שלי בנוגע לפרטיות.

רן בר-זיק הוא מפתח בחברת Verizon Media וכותב אתר internet-israel.com



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו