האם מותר לייצא חולשות תוכנה מישראל? החוק הישראלי מאפשר זאת

האם מותר לייצא חולשות תוכנה מישראל? החוק הישראלי מאפשר זאת

bigstockphoto.com

זה אולי ישמע לכם מוזר, אבל בחינה של החקיקה בישראל לגבי ייצוא מוצרי סייבר אינה מונעת ייצוא של חולשות יום-אפס ( Zero Day vulnerabilities). מי שיעבור על הנוסח של הסדר ואסנאר לייצוא טכנולוגיה דו שימושית (שאומץ כחוק רשמי בישראל) לא ימצא התייחסות לחולשות. גם בחקיקה הישראלית בנוסף לואסנאר אין התייחסות מפורשת לחולשות.

בין חולשה לפריצה

כדי להבין את מהות הטענה נתחיל בקצת מונחים טכניים. חולשה היא כשל בקוד תוכנה. חולשת יום אפס היא כשל בתוכנה שאינו ידוע לאף אחד פרט למי שמצא את הכשל. על בסיס החולשה בקוד, ניתן לבנות כלי פריצה למערכת ממוחשבת (exploit). כלי הפריצה משתמש בחולשה כדי להתקין קוד שיאפשר לתוקף המערכת להשתלט עליה או לעשות בה דברים שהמשתמש המקורי לא אישר אותם, וללא ידיעתו.

בעוד חולשה היא קטע קוד שאינו מזיק בפני עצמו, כלי פריצה הוא כבר מוצר או שירות שמנצל מערכת תוכנה. זו הסיבה שהפיקוח על הייצוא בעולם מתייחס לכלי פריצה או כלי חדירה, ולא לחולשות. חולשות יכולות גם לעשות טוב אם החוקר שמצא אותן משתף את המידע עם יצרן התוכנה שמוציא תיקון ומונע ניצול עתידי של החולשה.

כלי הפריצה כאשר הוא מצליח, יודע לנצל את החולשה כדי להתקין קוד משלו לביצוע מניפולציה על מחשב (או כלי תקשורת) ביעד. כלי הפריצה יכול לאפשר לתוקף שליטה מרחוק במערכת הקרבן, אפשרות להזלגת מידע, שינוי מידע, מחיקת מידע ופעולות נוספות. תלוי ביכולות המסוימות של כל כלי.

המטרה: מניעת ניצול תשתית המשתמש

הסדר ואסנאר הוא הסדר בינלאומי שמגדיר מוצרי תוכנה, חומרה וטכנולוגיות שכל מדינה שחברה בהסדר מחויבת לפקח על הייצוא שלהם כיוון שנחשבים דו שימושיים - כלומר, ניתן להשתמש בהם גם לצרכים אזרחיים וגם לצרכים ביטחוניים. ב-2013 הכניסו לואסנאר התייחסות לסייבר התקפי. מדינת ישראל מאמצת את הסדר ואסנאר כחקיקה ישראלית באופן אוטומטי ומי שאחראי על אכיפתו הוא משרד הביטחון ומשרד הכלכלה באמצעות אפ"י.

הסדר ואסנאר הגדיר בקטגוריה 4 מהי "תוכנת חדירה" [Intrusion software].

""תוכנה" שתוכננה במיוחד או שונתה כדי למנוע איתור של "כלי ניטור", או כדי להביס "אמצעי הגנה מגנים", של מחשב או של התקן רשת, וביצוע כל אחד מאלה: א. הפקת נתונים או מידע, ממחשב או ממכשיר רשת, או משינויים בנתוני מערכת או משתמש; או ב. שינוי נתיב הביצוע הסטנדרטי של תכנית או תהליך על מנת לאפשר ביצוע הוראות שניתנו מבחוץ".

אי אפשר למנוע ייצוא חולשה

הרקע שלא כתוב סביב הכנסת שינויים אלו להסדר ואסנאר הגיע בלחץ אירופאי מתוך מטרה לפקח על חברות כמו האקינג טים ופין פישר שמכרו כלי תקיפה. איטליה וגרמניה רצו פיקוח יותר הדוק עליהן, אז שכנעו את חברי הסדר ואסנאר להכניס שינויים שיאפשרו זאת, עם כמה שפחות פגיעה בייצוא מוצרים טכנולוגיים ממדינות אלו. לא סתם גם הניסיון של מטה הסייבר ואפ"י להעביר חקיקה מחמירה בנושא כשל.

צריך לזכור כי החולשה היא קטע מהקוד המקורי של התוכנה. היא שם מהתחלה. מהיום שבו כתבו את הקוד. פשוט אף אחד לא גילה אותה. מי שכתב את הקוד, לא יודע שבתנאים מסוימים הוא כושל. החוקר שמצא את החולשה, לא שינה כלום בקוד המקורי של התוכנה.

לכן, עולה השאלה האם מניעת ייצוא חולשה היא מניעת ייצוא התוכנה עצמה? הרי אם חוקר אמריקאי מצא חולשה בוורד, מה ההבדל בין ייצוא החולשה לייצוא של וורד? האם משרד ההגנה האמריקאי או משרד המסחר ימנעו ממיקרוסופט למכור מוצר עם חולשה עד לתיקונה? מה ההבדל בייצוא מוצר עם חולשה לבין ייצוא החולשה? זה אותו דבר. ולפעמים, לוקח לחברה חודשים לתקן את החולשה. מכאן, שהגבלת ייצוא חולשות היא הליך בעייתי מאד מבחינה מעשית.

אם נבחן את החקיקה הקיימת, נגלה כי למעשה, גם הפיקוח על חולשות המשולבות במוצרים מפוקחים מאתגרת. מדוע? מכיוון שהקוד, ה-IP, של התוכנה הוא של היצרן והגורם המפקח לא יכול לחייב אף אחד לחשוף IP. כלומר, את הקוד מקור של כלי התקיפה.

הפיקוח על המוצר דורש מהיצואנים לא לשלב חולשות יום-אפס אלא אם חושפים אותן בהליך סיווג המוצר טרם הייצוא. אם המוצר כולל חולשות ידועות, הן צריכות להיות כאלו שמופיעות באתרי אינטרנט ידועים המסקרים את התחום. במידה ומדובר בחולשות יום אפס, היצרן לא חייב לחשוף את הקוד של החולשה (כי זה IP שלו) אלא הוא מחויב להגיד בהליך סיווג המוצר מה החולשה עושה.

אבל לחולשה של קוד יש מחזור חיים קצר מאד. הערכות מדברות על מספר ימים עד חודש מהרגע שנעשה בה שימוש. זה הזמן שלוקח לשוק להבין שיש כאן חולשה חדשה ולפתח הגנות. יש החרגות להערכה זו במקרים של חולשות בידי מדינות שמשתמשות בהן בתחומים מאד ממוקדים. אז, חולשה יכולה להחזיק גם כמה שנים. אבל אלו מקרים נדירים מאד. כמה התקפות סטוקסנט היו בעולם לעומת תקיפות כופר?  אז אם לחולשה יש מחזור חיים כל כך קצר, תאורטית היצרן צריך להגיע שוב ושוב לפיקוח כדי לאשר כל חולשה חדשה עבור כלי התקיפה שלו.

אם לסכם, אין בחקיקה הישראלית, כולל בואסנאר, התייחסות לחולשות. משפטית, מי שמוצא חולשה יכול למכור למי שהוא רוצה בעולם בלי להצהיר על כך. כל עוד הוא לא פיתח תוכנת חדירה / כלי תקיפה שמבוסס על החולשות האלו. ורק לסבר את האוזן, ערך חולשה יכול לנוע מעשרות אלפי דולרים ועד מליוני דולרים לפלטפורמות כמו מערכת ההפעלה העדכנית של אפל.

תגובת משרד הביטחון

"מדינת ישראל מפקחת על הסייבר בהתאם למפוקח ברשימת הפיקוח של הדו''ש של משטר ואנסנאר. חולשות כשלעצמן אינן מפוקחות ברשימות הפיקוח, אלא אם פותחו במיוחד לשימוש צבאי ואז הן נופלות בגדר 'ידע בטחוני'".

(הערה על תגובת משרד הביטחון. חולשות לא מפותחות, אלא מוצאים אותן. חולשה היא כשל מובנה בקוד קיים. ולכן לא ברורה הכוונה בחלק השני של התגובה. בקשתי הבהרות ממשרד הביטחון, טרם התקבלה תשובה).

אולי יעניין אותך גם