פשיעה ושיטור ברשת האינטרנט – בין אנרכיה לשליטה ד"ר נמרוד קוזלובסקי ,עו"ד nimrod@internetlaws.co.il שינוי בתפיסת הפשיעה והאיום ברשת ייצוג ההאקר ב"משחקי מלחמה" (שנות ה )80- תפיסת ההאקר הבודד והאיום לבטחון המדינה האיום העכשווי – דוגמת RSAולוקהיד מרטין • • • • • זיהוי חולשה בתשתית האבטחה תקיפה ממוקדת חשיפת כל ארגון מסתמך פשע מאורגן /נתמך מדינה מבצע מודולורי /רב יכולות האיום העכשווי – דוגמת ההתקפה התורכית • התקפת ה"חוליה החלשה" (מאגרי מידע פרטיים לא מוצפנים) • הפצת תוצרי הפגיעה להעצמת הנזק • תקיפה למטרות פוליטיות /גרימת נזק האיום העכשווי -דוגמת גוגל -סין • "שוק להתקפות סייבר" – רכישת מודולים להתקפה • סליקה ,כלי תקיפה ,כלי הסוואה ,חשבונות פרוצים • התקפות Zero Day • המדינה כשחקן התגברות פשיעת הרשת הסטת פשע לרשת (כלכלי ,מידע ,פשעי מוסר) התארגנות לפשע מאורגן /נתמך-מדינה פשיעת רשת כאיום תשתיתי /לאומי תעבורה פרטית ,מוצפנת ,בלתי ניתנת להתחקות, בלתי ניתנת לניטור ,לא נגישה למנועי חיפוש (דוגמת גוגל) פרוטוקול מוצפן -ייחודי ,כתובות פרטיות ,שרת כתובות פרטי ,מוצפן זהויות חסומות לאיתור " -זהויות" מתחלפות, כתובת שרת קצה ,מחיקת זהויות משתמש אמצעי תשלום אנונימיים – לא מקושרים ליישות /חשבון ,ללא תיעוד עסקה תעבורה שאינה ניתנת לניטור – "מסלול" אקראי ,פיזור שרתים בינלאומי ,הצפנת פרטי "מסלול" הסיבות המרכזיות להתרחבות פשיעת המחשבים טכנולוגי • פרוטוקול היסוד של רשת האינטרנט לא מבוסס על תפיסת אבטחה – האבטחה מורכבת כטלאים • "סיבוכיות" בקוד ) (complexityכחולשה מרכזית • נקודת כשל אחידה (לדוגמא חולשת אבטחה בדפדפן) • אוטומציה וזמינות של כלי תקיפה קשיי אכיפה ואיתור • היעדר התחקות אחר מבצע פעולה וקלות ההתחזות )(spoofing • יכולת החשאה והסתרה (הצפנה וסטגנוגרפיה) • צורך בשת"פ בינלאומי בזמן-אמת לאכיפה (מסכל בפועל אכיפה) אבטחת מידע לקויה • בחירה חברתית לשימושיות על פני אבטחה (דוגמת הבחירה בסיסמאות כאמצעי אבטחה) • היעדר רגולציה מספקת או תמריצים לאבטחת מידע (החצנת הנזק) • ניצול פשוט של מערכות "מבוססות אמון" מוגבלות אבטחה (דוגמת פייסבוק) יעדים אטרקטיביים • מעבר פעילות חברתית-כלכלית לרשת ,התמזגות האמצעים ,וחיבוריות גוברת (סלולר וכו)... שינוי בתפיסת השיטור כישלון מודל אכיפת החוק ההרתעתית /ראקטיבית מעבר לאכיפה טכנולוגית שינוי בתפיסת השיטור • הכרה בכשלון תפיסת אכיפת החוק ו(אי) אפקטיביות ההרתעה • מעבר לשיטור פרו-אקטיבי – – – – – איתור תבניות פשיעה זיהוי אנומליה בפעילות מעקב אחר פרופילים מוגדרים "בדיקות חדירות" לאיתור פרצות מלכודות יזומות • "אכיפה" טכנולוגית – חיוב בהטמעת מערכות הגנה • אוטומאטי – מענה ממוחשב לסיכון מזוהה (דוגמת ניטור כרטיסי אשראי) • תשתית מתפתחת של בקרה מתמדת )(surveillance society – ניטור מתמיד והאזנה אוטומטית ל"שיחות" ,מאגרי מידע ,הקשרים חברתיים ,פעילות – מערכות זיהוי ומעקב – מבוססות זיהוי קול ,מבנה פנים ,חתימה סמנטית דוגמת ניטור בזמן אמת (קרניבור) דוגמת ניטור זמן אמת וניתוח במרחב החברתי מציאות של אנרכיה או שיטור מופרז? אנרכיה • פשיעה גוברת באינטרנט • הכרה בכשלון מערכות אבטחת מידע קלאסיות • "הרמת ידיים" בפני מציאות של האקרים? • אובדן אמון ביכולת אכיפה • הסטה של פשע מהסביבה הפיזית לרשת שיטור • • • • • • "האח הגדול" הסטת תקציבים לשיטור דיגיטלי קבוע חקיקה מרחיבה לכוחות התחקות (נתוני תקשורת" ,ניטור" קבוע) זליגת חקיקת חירום וסמכויות כוחות מיוחדים לכל פעולת שיטור "קץ עידן הפרטיות" קריאה לריסון השלטון האתגר החברתי-משפטי • • • • • • החזרת ההרתעה מפני פשיעה אינטרנטית מערך בינ"ל להסדרה והתמודדות עם פשיעת מחשב מיסוד מערך אבטחת מידע ומבנה תמריצי התמגנות ראויים קיבוע ההגנה על הפרטיות וזכויות במידע אישי שימוש בטכנולוגיות יעילות לשיטור ומניעת פשע אך מבלי לוותר על זכויות אדם ואיזונים חוקתיים (פרטיות ,חופש ביטוי ,קניין) )(Police Accountability שינוי מבני /טכנולוגי ברשת לקראת סדר (כנגד פשיעה) ובקרה (על כוחות שיטור)? תודה על ההקשבה! ד"ר נמרוד קוזלובסקי ,עו"ד nimrod@internetlaws.co.il
© Copyright 2024