X

אז מדוע חוק סינון אתרים לא יעיל?

במושב הקרוב תעלה מחדש לדיון הצעת חוק לסינון אתרים, ששלושה ח"כים מקדמים במרץ • המתכנת ופעיל הרשת רן בר-זיק מסביר מדוע זה לא יעבוד

רן בר-זיק
, עודכן
0
צילום: // הגנה על הילדים, אבל לא דרך סינון // צילום אילוסטרציה: Getty Images

בימים האחרונים שוב עניין הפורנוגרפיה ברשת עולה למוקד העניין הציבורי כתוצאה משני מהלכים. הראשון הוא הצעת חוק להפעלת שירות סינון תכנים לכל תושבי מדינת ישראל שמקדמים חברי הכנסת מיקי זוהר (הליכוד), שולי מועלם (הבית היהודי) ואיתן כבל, (המחנה הציוני) יו”ר ועדת הכלכלה.

איתן כבל אף הבטיח הבטיח שהחוק יקודם “בדרך המהירה ביותר”. השניה היא מהלך של קבוצת פייסבוק שנקראת “הפורום הדיגיטלי – שומרים על הילדים ברשת” שבאמצעות משלוח המוני של מיילים הצליחה לשכנע את חברת רמי לוי תקשורת לספק שירות סינון תכנים כברירת מחדל לכל המכשירים.

מה הבעיה? שגם החברים בקבוצת ההורים בפייסבוק וגם חברי הכנסת הנכבדים הם חסרי ידע טכני ואינם מבינים כיצד רשת האינטרנט של שנת 2018 עובדת. על מנת להדגים את חוסר התוחלת והתועלת בהפעלת שירות סינון תכנים, אני עומד להדגים מה הוא שווה בסרטון הבא:

בסרטון ניתן לראות איך אני עוקף בפועל את שירות סינון התכנים באמצעות… גוגל. ולא רק שניתן לעקוף אותו. אני מראה איך גם ילד רך בכיתה א’ יכול בטעות להגיע לתכנים לא הולמים עבורו תוך כדי חיפוש בגוגל . זו כמובן הדגמת יכולת קצרה שמוכיחה כי השירות הזה לא באמת מסנן, בדיוק כפי שאפשר להגיע לתוכן פורנוגרפי בהקלדה פשוטה, כך הוא יכול להופיע בפני הילד בפרסומת או באפליקציה ולא יקרה דבר.

חשוב לציין שזהו לא רק גוגל. כל מנועי החיפוש, כמו בינג למשל, וגם אתרים רבים נוספים כמו טוויטר, טאמבלר ואתר שיתוף הווידאו vimeo,  שמכילים תכנים לא הולמים לילדים ולא ניתן לחסום אותם כלל.

איך זה עובד? שירות הסינון חוסם כתובות של אתרים הידועים כאתרים פורנוגרפיים, לפי רשימה מתעדכנת. כמובן, הוא לא חוסם את גוגל, או בינג, או כל מנוע חיפוש אחר. הודות להצפנת החיבור בין הגולש לאתר שהפכה לאחרונה לעניין כמעט מנדטורי (https), מנגנון הסינון גם לא יודע איך ומה אני מחפש, ולא יכול לנטר את המילים שעוברות בחיפוש. כפי שרואים בסרטון, גם מילים תמימות יכולות להביא לתוצאות בעייתיות.

כמובן שבן נוער חדור מוטיבציה יכול בקלות רבה לעקוף גם את ההגנה שמונעת ישירות כניסה לאתר פורנו באמצעות התקנת VPN חינמי לגמרי לכל טלפון. למרות שלמה לו? תראו כמה קל לגשת למיליוני תמונות פורנו וסרטוני פורנו בלי התקנה אחת אפילו. אבל למען הסרת כל ספק – הנה סרטון שבו אני מראה איך עוקפים את החסימה הזו ללא ידע טכני עם התקנה של אפליקציה אחת בלבד.

למה זה קורה? 

האם רמי לוי תקשורת הם רשלנים? בפירוש לא. רמי לוי תקשורת הם לא רשלנים. כפי שהם עצמם מציינים באתר שלהם: “לא ניתן מבחינה טכנית לסנן את [כל תכני הרשת]. לכן חשוב לא להסתמך אך ורק על שירות הסינון”. הפיתרון שלהם ושל רשת פלאפון הוא אחד הפתרונות הטובים ביותר שספקית הרשת יכולה להציע. אין לי תלונות לרמי לוי. אבל למה זה לא עובד? מאוד פשוט: הרשת השתנתה מאז שנת 2005.

כיום הארכיטקטורה של הרשת והדרכים שבהן אנו ניגשים אליה, שוונות מאוד ממה שהיה לפני עשור. יש שני דברים מרכזיים ברשת שהשתנו בעשור האחרון. הראשון הוא המעבר לפרוטוקול https, שמונע האזנה לתנועה שמתרחשת בין האתר לדפדפן שלכם. השני הוא מעבר למחשוב ענן שמונע חסימת שרתים לפי כתובתם, דבר שמונע דה פקטו את החסימות ברמת הספק. כפי שרוסיה למדה כאשר היא ניסתה לחסום את טלגרם - וחסמה את כלל תשתית האינטרנט במדינה.

הפתרון היחיד שמאפשר היום צנזורה הוא חסימת DNS, כאשר DNS הם ראשי תיבות של Domain Name Service, השירות שמפענח את הכתובת המספרית של האתר, כשאתם כותבים בדפדפן Israelhayom.co.il. וגם כאן, מדובר בפתרון מיושן שאינו עובד כאשר המשתמש משנה את כתובת ה-DNS שלו.

לא מעט משתמשים עשו את זה בעקבות החסימות השונות של ארגון זיר”ה שרודף אחרי אתרים המפירים זכויות יוצרים. במשך עשור זיר”ה רודפים אחר אתר סדרות, ועדיין לא הצליחו לסגור אותו ובדרך לימדו לא מעט משתמשים לא להשתמש בשרתי ה-DNS של הספקיות בישראל.

בנוסף, חסימת DNS אינה עובדת עבור אתרים לגיטימיים שעלולים להכיל תכנים פורנוגרפיים (כמו גוגל תמונות), עבור אתרים פורנוגרפיים שלא נכנסו עדיין לרשימה השחורה וכמובן עבור מגוון עצום של שירותים ואפליקציות. שום חסימת DNS מראש לא תמנע את העברת הפורנו בווטסאפ, פרסומות פורנוגרפית/עירום באפליקצית משחקים שהילד משחק בה או סרטון יוטיוב שעדיין לא דיווחו עליו.

חסימות שבעבר היו אפקטיביות כבר לא אפשריות כיום. בעבר היו חברות שניתחו את התמונות שעברו בין האתר למשתמש, אבל כיום כאשר אני גולש באמצעות https, לאף אחד אין יכולת לדעת מה אני עושה. כאמור https הוא פרוטוקול שמונע ציתות והאזנה של צד שלישי לתקשורת שנעשית בין שני הצדדים, קרי הגולש והשרת של האתר שלאיו הוא גולש. בעבר, רק אתרי סליקת כרטיסי אשראי הפעילו https. כיום לרוב האתרים ברשת יש https ממגוון סיבות (גם לאתר הזה). לפיכך ספקית האינטרנט אינה יכולה לבדוק את התמונות כנגד מסנני פורנו.

בעבר היה נהוג לחסום כתובות IP של שרתים בעייתיים. כיום זה גם בלתי אפשרי. בעידן מחשוב הענן, שבו רבים מהאתרים הבעייתיים מתאחסנים בשירותי ענן, השבתה של שירות ענן כזה עלולה להשבית לא מעט שירותים אחרים. כך למשל רוסיה ניסתה להשבית את שרתי טלגרם ובדרך השביתה את כל השירותים במדינה. מדוע? כיוון שטלגרם השתמשו בשירותי אמזון, שעליהם נסמכים לא מעט ארגונים וחברות. חסימה אחת לא מוצלחת כזו עלולה לשתק את כל פעילות תעשיית ההייטק במדינה (שאחראית על יותר ממחצית הייצוא של ישראל).

ישנן דרכים יותר אגרסיביות לצנזורה – אך הן לא מקובלות לחלוטין במדינות דמוקרטיות. שיטות כמו DPI שנהוגות ברוסיה או בטורקיה או אפילו whitelist מלא. בעוד שהשיטות האלו אפקטיביות עבור חלק גדול מהאוכלוסיה, המשמעות שלהן היא אחת: חיסול מוחלט של תעשיית ההייטק ומרכזי הפיתוח הרב לאומיים בארץ שלא יוכלו לקיים תקשורת מאובטחת עם חברת האם שלהם.

מדוע צנזורה ברשת אינה דבר ישים?

זה חשוב, כי בימים אלו ממש חברי הכנסת מיקי זוהר, איתן כבל ושולי מועלם מנסים לדחוף חקיקה שתשרוף שישים מיליון שקל (כן כן) על פתרון סינון תכנים שיופעל לכל תושבי ישראל. כתוספת, האפיון של השירות הזה מכיל בתוכו סיכוני אבטחה משמעותיים ביותר. את החקיקה הזו הם החליטו לקדם אחרי שהתייעצו עם שני גורמים טכניים: מנהל מכירות מאלביט וחברת נטספארק שהמוצר שהם מספקים הכיל חור אבטחה משמעותי ומסוכן (עוד על כך בהמשך). כשאני ומומחים נוספים פירטנו בפניהם את העניין, זכינו להתייחסות נוסח “צייצנים שחושבים שהם יודעים הכל” ו”קשקשנים” (הערת העורך: בשעתו, נקט מאיר שטרית בביטויים דומים כלפי המומחים שהתנגדו למאגר הביומטרי).

חברי הכנסת האלו לא עומדים לבד במערכה וזוכים לתמיכה רחבה מכל סיעות הבית. בין היתר בזכות ארגונים אזרחיים שהמטרה שלהם טובה אך הידע שלהם דל.

החובה שלנו, כמומחי רשת, להתריע בפניהם לפני שישפכו עשרות מיליוני שקלים על פתרונות שלא יכולים לעבוד ולא יעבדו לעולם. אני אחזור על זה שוב: הרשת השתנתה, העולם של 2005 הוא לא העולם של 2018 וחסימות הן לא אפשריות טכנית. מי שרוצה להתווכח? שיסתכל בסרטון. זה לא עניין של ‘פוליטיקה’ או ‘דעות’ אלא של טכנולוגיה וכיום חסימה היא עניין לא ישים טכנית.

אז איך רימון ואחרים עובדים?

מדובר בחברות שמחייבות התקנה של תוכנה על המכשיר. להתקנה הזו עשויות להיות השלכות אבטחתיות חמורות ביותר. כך למשל גיליתי שהתוכנה של נטספארק ניתנת להורדה אך ורק מהשרת שלהם שהיה בנוי על גרסת PHP 5.2.8, שהיא גירסה בת עשור עם 91 חורי אבטחה שונים. כל תוקף עם רמת ידע בסיסית היה יכול לחדור לשרת ולהחליף את התוכנה עם ‘תוספת’ קטנה משלו ובכך לגרום נזק גדול.

פתרונות אחרים כמו זה של רימון מחליפים את תעודות האבטחה של האתרים, ובעצם מסכנים כל מי שישתמש במחשב לגישה למקומות חשובים כמו אתר הבנק שלו, למשל

וכמובן פתרונות כאלו אינם ניתנים לאכיפה ברמת מדינה. אנו לא יכולים להכריח את כל הגולשים להתקין את התוכנות האלו.

אז מה כן אפשר לעשות?

חינוך, חינוך ושוב פעם חינוך. אני אדרש לדעת גדולים ממני. במקרה הזה פוסט נהדר של המפתח יובל כליפא, אדם דתי, שכתב את הדברים הבאים בפוסט המצוין שלו על הנושא:

“יתר על כן, כיום, כהורה בעצמי, אני רואה את תפקידי לא כסָנָן (Filter) אשר אחראי לסנן את התכנים לילדיו, כלומר, לספק להם סביבת מחיה מוגנת ומסוננת, נהפוך הוא, שהרי התוצאה הסופית של גידול ילד בועה ידועה מראש. אני תמיד ראיתי לעצמי חובה לספק לילדיי את הכלים והיכולות להתמודד בעצמם עם איומים אשר הם, לדאבוני, יצטרכו להמשיך ככל הנראה ולעמוד מולם גם לאחר שאני לא אהיה כאן לסנן ולהגן“.

זה גם מה שעשיתי עם ילדי ועדיין עושה. הגנה עבור ילדים רכים, חינוך עבור ילדים בוגרים. אני ממליץ מאוד לכל אלו המעוניינים להגן על ילדים רכים מפורנו להשקיע הרבה יותר בחינוך מאשר בפתרונות טכניים לא ישימים בעליל שרק יעלו כסף ולא יגנו על איש.

השקיעו בחינוך, בהסברה וטפחו סביבה שיוויונית והוגנת לנשים ולגברים. יש הרבה מה לעשות - אבל בפן החינוכי, לא הטכנולוגי.

רן בר-זיק הוא מתכנת ב-OATH

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אינטרנטפרטיות

כדאי להכיר