מה שאני אוהב בהצעת החוק לחסימת אתרים של חבר הכנסת כהן מש"ס זו ההזדמנות שהיא מספקת לעיסוק בקצת חומר תיאורטי באבטחת מידע (ראו רשימה קודמת בנושא).
אחת הדרישות של החוק היא לבצע סינון תוכן וכמובן עולה השאלה האם זה בכלל אפשרי. לסינון, כל סינון (כלומר גם של וירוסים, קלטים וכדומה) יש שתי גישות בסיסיות אפשריות. גישה רשימת המורשים (הידועה לרוב כגישת white list) לעומת גישת רשימת הפסולים (הידועה לרוב כגישת black list).
רשימת מורשים מגדירה במפורש מה מותר לעשות. שימוש נפוץ במנגנון זה הנו בכניסה לאתרים בטחוניים, בהם מוגדר כי אין כניסה לאיש, למעט מי שהותר לו (ולכן קיים ברשימת המורשים). רשימת הפסולים מגדירה את מה אסור לעשות. שימוש במנגנון זה נפוץ בכניסה למקומות ציבוריים, בהם כל אחד יכול להכנס ולהכניס עמו כל דבר, למעט נשק למיניו (זה כולל גם מטענים).
בעולם הטכנולוגי אנו ניתקל ברשימת מורשים ורשימת פסולים ביישומים רבים. דוגמא נפוצה היא סינון קלטים המועברים על ידי המשתמש. ברשימת מורשים נגדיר עבור כל שדה קלט מהי תבנית הקלט המורשית. כך לדוגמא בשדה מספר זהות יוכלו המשתמשים להקליד ספרות בלבד. לעומת זאת, ברשימת פסולים אנו נאפשר למשתמשים להזין בשדה מספר זהות כל נתון, למעט נתונים המוכרים לנו כפוגעניים, כדוגמת סוגרים משולשים וכדומה.
השימוש ברשימת מורשים הרבה יותר חזק מבחינה אבטחתית, אך ניתן למימוש אך ורק במקומות בהם הנתונים המסוננים ידועים לנו מראש. שדה קלט של יישום הוא לרוב נתון מסוג זה, כיוון שאנו יודעים למה אנו מצפים בכל אחד משדות הקלט. סינון קבצים המתקבלים בדואר אלקטרוני הוא דוגמא לנתונים מסוננים שאינם ידועים מראש. מאחר וכל סוג של קובץ עשוי להתקבל על ידי המשתמש ולא ניתן לקבוע כי רק קבצים ידועים מראש יועברו (שאחרת מה התועלת בדואר אלקטרוני), אין ברירה אלא לעשות שימוש ברשימת פסולים ולנסות לאתר נתונים פוגעניים בקבצים, אך ככלל להתיר מעבר של כל קובץ. כך לדוגמא עובדים מוצרי antivirus והתוצאה האומללה ידועה.
הצעת החוק דורשת לסנן את כל התכנים המועברים לגולש. שתי השיטות שציינתי גרועות במידה שווה לטובת הפתרון הנדרש. ברשימת מורשים התוכן שיאופשר לנו יהיה כזה שיוכתב מראש על ידי הממשלה. זו שיטה שתעבוד בצורה מאוד יעילה טכנולוגית, ורמת האבטחה שהיא תספק גבוהה מאוד, אך באותה מידה ניתן פשוט לסגור את האינטרנט (ח"כ כהן - הנה רעיון בשבילך). האפשרות השניה היא סינון באמצעות רשימת פסולים (וטכניקות קירוב לזיהוי מה שנראה כמשתייך לרשימת פסולים). הבעיה היא שקשה יהיה להגיע להסכמה בין בני אדם לגבי תכנים ראויים מהם ולכן הסיכוי שמערכות מחשב יצליחו לבצע זאת שואף לאפס. אחת הבעיות המרכזיות היא שבסינון תוכן אנו מתייחסים לכוונות ולמטרות של התוכן ולא רק לתוכן עצמו. כך לדוגמא, תמונת עירום במסמך החוקר עירום ומיניות במאה ה-19 אינו שקול לתמונת עירום בכניסה לאתר פורנו. גם אם שניהם מציגים את אותה רמת חשיפה בדיוק.
על כל אלה יש להוסיף את העובדה שגולשים יכולים לבחור לגלוש דרך מנגנונים שאינם מאפשרים סינון (שרתי Proxy מוצפני SSL, שירות TOR וכדומה). בין אם החוק ראוי או לא, רמת הישימות שלו שואפת לאפס בכל מה שאמור בסינון תוכן, גם אם היה רק ספק אינטרנט אחד בארץ.
בבלוג זה
בכל הבלוגים
