התערובת הנפיצה של פרצות טכנולוגיות וזלזול
תקופת החגים מסיטה את תשומת ליבנו מנושאים מקצועיים מעניינים, שבתנאים רגילים יכולים היו לעמוד במוקד. כך, כמעט ונגוזה הידיעה המקצועית המרעישה על יועץ אבטחה שבדי, שפרסם רשימה של סיסמאות כניסה לחשבונות דוא"ל בכמאה שגרירויות וגופים ציבוריים. רוב הכתובות ברשימה הן של מוסדות במדינות אסיה, דוגמת אוזבקיסטן, הודו, הונג-קונג, סין יפן ועוד, אולם גם לארה"ב ורוסיה יש ייצוג ברשימה.
הסיסמאות שפורסמו אפשרו לכל גולש להיכנס לחשבונות האמורים ולצפות במסמכים שונים ומשונים, לפחות עד שהמפתחות שונו על ידי בעלי החשבונות. בשל החלטתי שלא לקחת חלק פעיל בחדירה הקבוצתית, אני נסמך על עדותם של עיתונאים הודיים שהשתתפו בחגיגה. נצפו, בין היתר, דוחו"ת שסיכמו פגישות עם אנשי ממשל בכירים, מספרי טלפון, פרטים אודות דרכונים שנגנבו ועוד.
המומחה האמיץ, דן אגרסטד שמו, טוען כי מדובר בחלק מרשימה ארוכה פי עשרה של כתובות אותן פיצח. לפחות אחת הכתובות שייכת לעובד בחברה עסקית שמחזורה 10 מיליארד דולרים. לדבריו, פרסום הרשימה בא להתריע על הבעיה. מאידך, נמנע החושף מלמסור פרטים אודות הפרצה, כדי למנוע כניסתם של עבריינים מבעד לדלתות שנפתחו לרווחה. מבין השיטין ניתן ללמוד כי מדובר ביישום שהחברה המוכרת אותו הבהירה מפורשות איך יש להפעילו. מסתבר שלא כולם פועלים בדרך זו. בראיון לאחד העיתונים אמר המומחה השבדי, כי הוא משוכנע שהוא לא הראשון שהשיג כתובות מסוג זה, אולם הוא הראשון שמפרסמן בגלוי.
העיון ברשימת הקודים שנחשפו מעוררת לדעתי סוגיה נוספת. הוכחה טובה לתופעה המוכרת של אי התייחסות לסוגיות האבטחה של מערכות ממוחשבות ואי הבנה מוחלטת בהן. שגרירויות איראן, למשל, בחרו בדרך כלל בסיסמאות פשוטות עד גיחוך: שם המדינה בה הן שוכנות (למשל: "טוניסיה") כסיסמה לשגרירות במדינה זו. שגרירות הודו באחת המדינות הסתפקה בסיסמה "1234", בעוד שהמפלגה הליברלית של הונג-קונג בחרה בשם קצת ארוך יותר: "12345678".
הסיפור הנשכח מעורר שתי נקודות למחשבה. הראשונה קשורה להתלבטות הישנה והמוכרת: האם היה צריך מגלה הפרצות לחשוף הסיפור בפומבי? יש אנשים שקפצו מיד וגינו דרכו של המקצוען הסקנדינבי. אם כוונתו אכן חיובית, מדוע היה עליו לפעול בדרך שעלולה להזיק? אני אישית תומך בגישתו של אגרסטד, שמסר אף את פרטיו תוך מודעות לסיכוי שיסתבך עם רשויות. הנזק הממשי של הפרסום לנמענים יכול להיות שולי בלבד. "אין לי זמן להתקשר לכל העולם ולספר להם דברים שהם לא יבינו או לא ירצו להקשיב להם", צוטט החושף. הוא מעיד על עצמו כמי שמודע לחשיבות הסודיות אבל הגיע למסקנה שהחשיפה הנה הדרך היחידה להביא לתיקון המצב. לדעתי, כאמור, הוא צודק מאוד. הניסיון מלמד בבירור שללא הדים רועמים, הסיכוי לפתרונות בהווה ובעתיד הנם פחותים בהרבה.
אם בשגרירות ההתחברות למאגר המידע האינטרנטי תלויה בקוד שמורכב מסדרת ארבע הספרות הראשונות, כל מילה של פרשנות כבר מיותרת. פרצות טכנולוגיות יתקיימו תמיד הואיל ואנחנו חיים בענף שמתפתח בקצב מטורף. אם לפרצות הללו מוסיפים יחס של זלזול וחוסר רצינות, מתקבלת תערובת נפיצה במיוחד. רק שילוב של חינוך, ניהול אחראי, אכיפה ובקרה יכולים לתת מענה סביר. אחרת, מערך המיחשוב נקוב כמסננת.
