מחשבות, מחשבים, ושאר דברי בלע

דרך לינמגזין:

הממשלה שלנו התחלקה על השכל.
במסגרת ממשל זמין, הם עושים כל דבר שאפשר כדי לחנך אותנו שאין דבר כזה פרטיות.
ההברקה האחרונה שצצה לה, באתר משרד החקלאות ניתן לאתר בעלי כלבים לפי שם או לפי מספר התג של הכלב.
הפרטים כוללים כתובת, ובהמשך מספר טלפון.
מי שלא יהיה מעוניין, יהיה צריך לפנות למשרד החקלאות, בטח לשלוח איזה פקס או שניים, שלושה מכתבים רשומים ושתי מעטפות אנטרקס כדי שפרטיו יוסתרו.
כמובן, מי שלא יודע על זה, לא ידע גם לבקש שפרטיו יוסתרו.
שוב, הממשלה שלנו עובדת בשיטות נכלוליות של אופט-אאוט.
מי צריך לפרוץ למאגרי מידע? המידע פשוט שם זמין לכל דיכפין.

אנקדוטה מרתקת, תחזיקו חזק:
“האתר” המושקע משתמש בVBSCRIPT.
בצעד מבריק אחד, הממשלה מוכיחה שהיא מצפצפת על הפרטיות שלנו, וגם שהיא מצפצפת על כל מי שלא מריץ את אקספלורר.

בעקבות גל האלימות בחודשים האחרונים, נשמעו קולות שקראו להתקין מצלמות טלוויזיה במעגל סגור (CCTV) במקומות מועדים לפשיעה,  בטענה שניסוי באילת הראה ירידה של 60% עד 80% במעשה הבריונות באותם מקומות.
נניח רגע בלי לבדוק שהטענה נכונה ואכן יש ירידה כזו באלימות באותם מקומות.

גם אם זה נכון, זה לא מוכיח שלאורך זמן הפשע באותם מקומת באמת יקטן, וזה לא מוכיח שסך הפשע בעיר באמת קטן (ואותם חוליגנים לא עברו בפשטות להתפרע במקומות לא מצולמים).

מצלמות במעגל סגור יכולות להיות יעילות רק בשילוב של ניתור אמיתי של מה שהמצלמות תופסות, צריך גם אנשים שיסתכלו באופן פעיל על המצלמות ויבדקו שלא קורה שם שום דבר מעניין, וברגע שקורה משהו יזעיקו כוח שיטור שיגיע למקום במהירות.
הבעיה היא שצריך הרבה מאוד מצלמות כדי לכסות עיר שלמה, מספרים מ2005 עומדים על 200,000 מצלמות בלונדון, מספרים קצת יותר עדכניים עומדים על מעל מליון מצלמות בלונדון.
גידול של מאות אחוזים בתוך כמה שנים, ובשביל מה?

כתבה בגארדיאן מ2008 : הגידול האדיר במצלמות CCTV נכשל בהקטנת הפשיעה, אומרת המשטרה.
בכתבה מוזכר שרק שלושה אחוז מהשדידות ברחוב נפתרו בעזרת CCTV.

כחלק מהנסיון לשפר את היעילות של מערכת הCCTV, המשטרה תתחיל להשתמש במאגר תמונות ובטכנולוגיה למעקב אחרי פושעים ולזיהוי שלהם.
כאן רואים את הקשר אל המאגר הביומטרי.
כשמתחילים להשתמש בטכנולוגיה כדי לפתור על ידי כוח גס בעיות שאין להם פתרון יעיל, יש פיתוי להשתמש בעוד ועוד טכנולוגיה כדי שההשקעה עד כה לא תרד לטמיון.

כתבה יותר עדכנית מהטלגרף מדברת על זה שאחד מ1000 פשעים נפתר באמצעות CCTV.

תחשבו מה זה אומר לצפות בפלט ממליון מצלמות, 24 שעות ביממה, צריך עשרות אם לא מאות אלפי עובדים שיסתכלו כל היום במצלמות.

העלות של מעל מליון מצלמות היא אדירה, עלות האכסון של הנתונים (התצלומים של המצלמות ברכבת התחתית נשמרים כארבעה עשר יום) היא גם גבוהה מאוד, וכנראה הרבה יותר משמעותית מעלות התקנת המצלמות הראשונית.
קצת קשה להבין כמה בדיוק השקיעה ממשלת בריטניה בCCTV בשנים האחרונות.

המספרים שמצאתי נעים לבין 500 מליון פאונד ברחבי המדינה, לבין מילארדי פאונד. (1 פאונד ~= 6 שקלים)
בסכומים האלו אפשר היה להוסיף כמות משמעותית ביותר של שוטרים שיפטרלו באיזורים המועדים לפשע, ובאמת יעלו את תחושת הביטחון של האזרחים.

מה שבטוח, למערכות האלו יש אפקט משמעותי ביותר על הפרטיות של האזרחים.
לדעתי זה רק עניין של זמן עד שנשמע על חוקרים פרטיים שהשיגו גישה למאגר הווידאו הזה כדי להוכיח שבעל בוגד באישתו, או שפוליטיקאי מסויים הלך לזונה.
מצד שני, יכול להיות  שנשמע קודם על זה שפושעים הצליחו לגשת למאגר הוידאו.

במסגרת השחיקה המתמידה בפרטיות ובחופש שלנו בארץ, אולי זה יהיה הדבר הבא כאן.

יש שתי בעיות עם טביעות אצבעות, false negative וfalse positive.

• false negative (שלילי שגוי) : כאשר בהנתן דוגמא של טביעת אצבע, אנחנו לא מוצאים התאמה במאגר למרות שהמאגר מכיל התאמה.
• false positive (חיובי שגוי) : כאשר בהינתן דוגמא של טביעת אצבע, אנחנו מתאימים אותה לטביעת אצבע לא מתאימה במאגר.

אם ניקח שתי טביעות אצבע של אותה אצבע, אחת אחרי השניה – הן לא תהינה זהות, זווית הלחיצה תהיה שונה, עוצמת הלחיצה, שטח הלחיצה וכו.
כדי לזהות טביעת אצבע, לא מחפשים התאמה מושלמת, כי אז אפילו שתי טביעות עוקבות לא יתאימו.
אז מה כן?
מחפשים ממצאים מסויימים, בשתי טביעות האצבע, ומתאימים אותם.

מכיוון שלא כל הממצאים יופיעו בכל טביעה (טביעה חלקית, זווית לחיצה וכו’) וגם אם יופיעו כולם, הם לא יהיו במרחקים שווים אחד מהשני, משתמשים בהתאמה מקורבת, בגבולות threshold מסויים.
התאוריה הרווחת היא שאין שני אנשים עם טביעות אצבע זהות (למרות שאף אחד לא באמת בדק את כל אוכלוסית העולם). גם אם אנחנו מקבלים את התאוריה, היא עדיין לא אומרת שאלגוריתם הבדיקה לא יכריז על שתי טביעות ממקורות שונים כזהות כי הן דומות מספיק.|
יש תיעוד של כמה מקרים של זיהוי חיובי שגוי, שהצליחו לקלקל לכמה אזרחים תמימים את הבוקר, או את השבוע, או את העשור. (וניתן להניח שיש גם כמה טעויות שלא התגלו ודפקו לאנשים את החיים).
אז שגיאות קורות, אבל אולי הן נדירות מאוד?
נניח לשם השעשוע שבהינתן שתי טביעת אצבע מאנשים שונים, הסבירות ששתיהן יזוהו כשיכות לאותו אדם היא אחד למליון, נשמע טוב?
עכשיו, נניח שבונים מאגר ביומטרי של כל אזרחי המדינה (קצת יותר משבע מליון איש נכון לסוף 2008):
עם סבירות של אחד למליון, בהינתן טביעת אצבע, יהיו לה בממוצע שבע התאמות חיוביות שגויות במאגר.

אם המאגר מכיל רק טביעות אצבע של פושעים מוכרים, אז הבעיה הזו הרבה פחות משמעותית, כי רוב האזרחים הם לא פושעים ולכן המאגר קטן בהרבה (אני מנחש שגודלו הוא כמה עשרות אלפים).

פרופסור עדי שמיר, קריפטוגרף חתן פרס נובל זוכה פרס טורינג ואחד משלושת המפתחים של אלגוריתם ההצפנה RSA, הציע לנוון את הקשר בין הזהות שלכם לבין טביעת האצבע שלכם ששמורה במאגר על ידי יצירת התאמה של אחד לK בין הזהות לבין טביעות האצבע.

הצורה הפשוטה ביותר לנוון את הקשר, הוא לחלק בצורה אקראית לחלוטין את כל אזרחי המדינה לקבוצות קטנות יחסית (לצורך הדיון, נניח שגודל כל קבוצה הוא כ-100, אם כי ניתן לבחור במספרים אחרים).
גם אוסף כל טביעות האצבע יחולק לקבוצות תואמות באותו גודל. המאגר הביומטרי יכיל אך ורק את “הקשר הסודי” (שכדי להשיגו יהיה צורך להשתמש במפתחות הצפנה), בין כל קבוצת זהויות בחלק הראשון של מאגר המידע, לכל קבוצת טביעות אצבע בחלק השני של מאגר המידע.

מומלץ לקרוא את כל הכתבה בYNET.

אין ספק שזה שיפור על פני המצב המוצע כיום, אבל האם הוא אכן עונה על הדרישות?

איך נמנע זיוף זהות?

אחת המטרות המרכזיות של הקמת המאגר היא למנוע זיוף של תעודות זהות – כלומר הנפקה של שתי תעודות שונות על אותו מספר זהות וגניבת זהותו של אדם.
במשרד הפנים קוראים לזאת “הרכשה כפולה”. פרופ’ שמיר מתייחס גם לעניין הזה, ומדגים במכתבו איך הצעתו תמנע את הזיוף:

“אם אני ניגש בפעם הראשונה למשרד הפנים, מזדהה כראובן, מקבל תעודת זהות רשמית, וטביעת האצבעות שלי נרשמת באיכות גבוהה במאגר, אך לא בהכרח כטביעת האצבע של ראובן.

נניח שלאחר מכן, אני ניגש פעם נוספת למשרד הפנים, ומבקש לקבל תעודת זהות כשמעון (אני טוען למשל, שעדיין לא קיבלתי תעודת זהות ביומטרית, או מפני שאני טוען שקיבלתי כזו בעבר אך היא אבדה או נגנבה).

בדיקת טביעת האצבעות שלי במאגר הביומטרי, תגלה ברמת וודאות גבוהה שכבר הונפקה לי תעודת זהות בעבר, אך עקב הגנת הפרטיות שאני מציע להוסיף, תצביע רק על כמאה זהויות אקראיות אפשריות שקשורות לאותה טביעת אצבע.

האם זה מספיק?
אם אנחנו מקבלים את הנחת האחד למליון שלי, אז מה שיקרה ברגע שאדם יבוא להפיק תעודת זהות זה הדבר הבא:
הפקיד יבדוק את טביעת האצבע שלו, וגלה שהיא מופיע בכשבע קבוצות שונות, מה שאומר שאולי אותו אדם כבר הפיק תעודת זהות בעבר.
אחרי בדיקה של כ700 איש, הפקיד יכריז שהכל בסדר, ויפיק את תעודת הזהות.
בבן אדם העשירי שבא להפיק תעודת זהות, הפקיד כבר יגיע למסקנה שזה הכל בולשיט, ותמיד המערכת מתלוננת ומבזבזבת לו חצי יום של בדיקות, ופשוט ידלג על הבדיקה.
מאותו רגע כל מי שרוצה להפיק תעודת זהות נוספת יוכל לעשות את זה בלי בעיה.

ועל זה נאמר:
זאב! זאב!

אז, לא – לדעתי זה לא מספיק.

אני חושב ששטרית חופר לנו בור עמוק מאוד עם המאגר הזה, והבור הזה מלא בזאבים.

היום בשבע בערב ברחבת הסינמטק בתל אביב תתקיים עצרת מחאה נגד החוק הביומטרי בחסות מאיר שטרית.
אל תניחו שזה אבוד, את חוק הצנזורה הצלחנו לנטרל.
אל תניחו שמיותר להגיע, אם חשוב לכם למנוע את הקמת המאגר הביומטרי (טביעת אצבע וצילומים ברזולוציה גבוהה של כל אזרחי המדינה) אז תגיעו.
איך אמר בר כוכבא*?
כל אחד הוא אור קטן וכולנו אור איתן.

נתראה שם.

* כן, יתכן שזה לא היה בר כוכבא אלא ש.ל. תנאי/ע. עמירן (אליבה דה גוגל).

אני משתמש באדסנס באתר של פיירסטטס.
היום קיבלתי מגוגל את האימייל הבא:

Hi,

We’re writing to let you know about the upcoming launch of interest-based advertising, which will require you to review and make any necessary changes to your site’s privacy policies. You’ll also see some new options on your Account Settings page.

Interest-based advertising will allow advertisers to show ads based on a user’s previous interactions with them, such as visits to advertiser website and also to reach users based on their interests (e.g. “sports enthusiast”). To develop interest categories, we will recognize the types of web pages users visit throughout the Google content network. As an example, if they visit a number of sports pages, we will add them to the “sports enthusiast” interest category. To learn more about your associated account settings, please visit the AdSense Help Center at http://www.google.com/adsense/support/bin/topic.py?topic=20310.

As a result of this announcement, your privacy policy will now need to reflect the use of interest-based advertising. Please review the information at https://www.google.com/adsense/support/bin/answer.py?answer=100557 to ensure that your site’s privacy policies are up-to-date, and make any necessary changes by April 8, 2009. Because publisher sites and laws vary across countries, we’re unfortunately unable to suggest specific privacy policy language.

For more information about interest-based advertising, you can also visit the Inside AdSense Blog at http://adsense.blogspot.com/2009/03/driving-monetization-with-ads-that.html.

We appreciate your participation and look forward to this upcoming enhancement.

Sincerely,

The Google AdSense Team

אז זה קורה, גוגל מתחילים להצליב מידע שהם אוספים על משתמשים ברחבי הרשת (אני מנחש שבעיקר דרך אתרים שמשתמשים בגוגל אנליטיקס) כדי להגיש להם פרסומות מפולחות אישית בלי תלות באתר שבו הם מבקרים.
זה היה עניין של זמן, ולפחות הם מצהירים שזה מה שהם עושים, דיברתי על זה כאן, כאן ובעוד כמה מקומות.

בחיפוש קצר לא מצאתי דרך לכבות את האופציה הזו בתור מפרסם, מישהו יודע על דרך?
אני כנראה אחפש שרות אחר לפרסומות לאתר אם אני לא אוכל לכבות את האופציה הזו.

למשתמשים באשר הם:
אם אתם לא רוצים שגוגל יאספו עליכם מידע שישמש אחר כך מי יודע למה אז:
1. אל תשתמשו בשרותי גוגל שדורשים אימות, ואם אתם כבר משתמשים – אל תשארו מחוברים (Logged in) אליהם באופן קבוע בדפדפן בו אתם גולשים.
2. כדאי מאוד לחסום את גוגל אנליטיקס, אפשר לעשות את זה על ידי הוספה של www.google-analytics.com ולהפנות את הכתובת אל 127.0.0.1 בקובץ ההוסטים המקומי שלכם (/etc/hosts במערכות יוניקס).
אפשרות נוספת היא שימוש בתוסף פיירפוקס Customize Google שמאפשר מניעת שליחת קוקיז לגוגל אנליטיקס (פחות חזק מחסימה גורפת, אבל עדיף מכלום).

לפני כמה חודשים העלתי את הרעיון של גוגל אנטיליטיקס, תוסף פיירפוקס שימנע מהדפדפן שלכם לספר לגוגל לאן אתם גולשים.
לא יצא לי לפתח את זה, אבל חשבתי לעצמי שזה יכול לחסום גם אתרי ריגול אחרים.
מסתבר שמייקרוסופט ישלבו משהו דומה, באקספלורר 8:
תכונה שתמנע גישה לאתרי גוף שלישי כאשר אתם גולשים כדי למנוע זליגת מידע לאותם אתרים.
השאלה הגדולה היא אם מייקרוסופט תפעיל את כברירת מחדל, ואם כן – איך גוגל יגיבו.
זה לא שאין פתרונות טכניים שיאפשרו לגוגל לאסוף את המידע בכל זאת, אבל לכו תשכנעו מליוני בעלי אתרים להזיז את הישבן ולממש אותם.

נכון לכרגע, פיירסטטס לא מושפע מהחסימה הזו כי הוא לא עובד בצורה שרגישה לה.
מצד שני, הגרסא הבאה של פיירסטטס תתמוך בהקלטת כניסות על ידי ג’אווה סקריפט, ומי שינסה להשתמש בתכונה הזו כדי להקליט כניסות מכמה דומיינים שברשותו עלול לגלות שגוגל אנטיליטיקס של מייקרוסופט גורם לו לבעיות.

אגב:
סביר מאוד שהתכונה הזו תחסום גם את הפרסומות של גוגל (ושל עוד כמה מפרסמים שעובדים בצורה דומה). הולך להיות חם.

דעתי על גוגל אנליטיקס ידועה, בקצרה:
גוגל אוספים מידע עלי ועליך כשאנחנו מסתובבים באינטרנט לתומינו, בכל מני אתרים שלא קשורים לגוגל.
איך? גוגל אנליטיקס, שמותקן בכל כך הרבה אתרים היום – מוסר לגוגל פרטים מפורטים על הגלישה שלך באתר כולל נתונים שמזהים אותך באתר.
סביר מאוד שגוגל יכולים להצליב את הזהות שלך באתר עם הזהות הגוגלית שלך (במילים אחרות – אם יש לך חשבון בגוגל, הם יכולים לדעת שאתה נכנסת לאתר מסויים שמשתמש בגוגל אנליטקס).
אני לא יודע אם גוגל באמת עושים את זה, אבל לדעתי גם אם לא – זה רק עניין של זמן עד שהם יתחילו כי זה יאפשר להם לפרסם בהתאם להיסטורית הגלישה שלך, מה שיכול להגדיל משמעותית את הרווחים שלהם.

עכשיו, לעניין.
מה דעתכם על תוסף פיירפוקס – נניח בשם גוגל אנטיליטיקס (שימו לב למשחק המילים המתוחכם), שיזהיר בצורה לא פולשנית (למשל איקון של מרגל בפינה העליונה של הדף) ברגע שאתם נכנסים לאתר שמריץ את גוגל אנליטיקס, ויאפשר גם לחסום בצורה גורפת את הדיווח של הדפדפן שלכם לגוגל?

 Loading ...

UPNP היא טכנולוגיה שנועדה לפשט את התהליך של הוספת שרתים ונקודות קצה לרשת. אחד השימושים הפופולריים של UPNP הוא לאפשר קידום פורטים אוטומטי.
נניח שיש לכם רשת מקומית קטנה מאחורי NAT (תצורה מאוד נפוצה בימינו, כמעט כל מחשב שמחובר לאינטרנט דרך נתב מהווה בעצם רשת מקומית כזו), ותוכנת שיתוף באחד המחשבים רוצה לאפשר התחברות אליה מבחוץ.
לפני UPNP, התוכנה לא תוכל לעשות את זה בעצמה, ומנהל המערכת (או המשתמש התמים שקנה את הנתב) יצטרך להגדיר את הנתב “ולפתוח פורטים”, או ליתר דיוק – לקדם פורטים מסויימים אל המכונה הספציפית.
היום רוב הנתבים תומכים בUPNP, מה שמאפשר לתוכנת השיתוף למצוא את הנתב, לגלות שהוא תומך בקידום פורטים, ולבקש ממנו בדרכי נועם לקדם למחשב עליו היא רצה חבילות מידע שמגיעות לפורטים מסויימים.
מאוד נוח, הכל פשוט עובד.
הבעיה היא שUPNP לא כולל אימות (כי אחרת המשתמש היה צריך להגדיר שם משתמש וסיסמא בנתב לצרכים האלו, ולתת לתוכנת השיתוף את שם המשתמש והסיסמא, דבר לא נוח בעליל!) ולמעשה מאפשר לכל תוכנה שרצה של מחשב בתוך הרשת לבקש קידום פורטים בלי בקרה מיוחדת ובצורה שקופה ונסתרת מהמשתמש.

הבעיה מתחילה כהמשתמש מריץ תוכנה בלי להבין אפילו שזה מה שהוא עושה.
למשל, אתם גולשים לתומכם באינטרנט, בטוחים שהתוכנה היחידה שאתם מפעילים היא הדפדפן, אתם נכנסים לדף כלשהו שמציג אנימציית פלאש.
הופ, הרצתם תוכנה חיצונית.
לא הפלאש, אלא האנימציה עצמה.
בצורה דומה הפעלה של ישומון ג’אווה היא בעצם הפעלה של תוכנה חיצונית בתוך הרשת שלהם. במקרה של ג’אווה המצב עוד יחסית בסדר כי רק ישומונים חתומים יכולים להתחבר לשרתים אחרים מזה שהם ירדו ממנו (ישומים חתומים הם נדירים למדי כי כדי לחתום יש לרכוש חתימה מסמכות שורש כמו Verisign או Thawte, מה שעולה כמה מאות דולרים לשנה ויאפשר זיהוי של מקור הקוד).
לעניין, פלאש מאפשר התחברות לנתב ובקשה לקידום פורטים, בנוסף UPNP מאפשר בנתבים מסויימים לשנות את שרת הDNS של הנתב, מה שיכול לאפשר תכמון של המשתמש ברמות בלתי נתפסות.

מכיוון שכל נתב שנרכש בשנים האחרונות מתהדר בתמיכה בUPNP שמופעלת בדרך כלל כברירת מחדל, הבעיה די חמורה.
מומחי אבטחה מנסים לשכנע אנשים מזה שנים שנתב NAT הוא לא Firewall, אבל רוב האנשים לא מבחינים בהבדל. מבחינתם אם הם מאחורי נתב הם בטוחים והנתב הוא זה שיספוג את ההתקפות.

אז זהו, שלא.
למעשה, ווקטור ההתקפה הזה מנצל את האמון שאנחנו רוכשים למחשבים בתוך הרשת.
למשל, שרותים מקומים רבים מאפשרים התחברות מהמחשב המקומי בלבד (ובודקים שההתחברות מגיעה מהמחשב המקומי). הפעלת פלאש תמימה (ונסתרת) יכולה לעקוף את ההגנה הזו בקלילות (ואם פלאש עדיין לא תומך בקישוריות UDP/TCP, הוא בטח יתמוך בגרסאות הבאות).

מומלץ לנטרל את התמיכה בUPNP בנתב שלכם.

ההתקפה הודגמה בGnuCitizen.