בנק ישראל מכסת"ח

נכתב ב-15 בדצמבר 2009, 23:35 | על-ידי לירון | קטגוריות: כללי

10

קצת רקע: למי שלא יודע, יש דבר כזה "חשבון מוגבל". לא אכנס לפרטים הטכניים של זה (יש גוגל), אבל בואו רק נגיד שכנראה שלא הייתם רוצים לקבל צ'ק מחשבון בנק מוגבל. לטובת הציבור, אפשר לבדוק על חשבון כלשהו אם הוא מוגבל באתר בנק ישראל.

נוסף על אפשרות החיפוש הזו, בנק ישראל מאפשר להוריד קובץ של כל החשבונות המוגבלים, כנראה בשביל שימושים אוטומטיים שונים, בתוכנות וכו', ושימוש במחשבים שלא מחוברים לאינטרנט. באתר הבנק כתוב "בנק ישראל מנהל מאגר נתונים על חשבונות ולקוחות מוגבלים. בהתבסס על סעיף 14 לחוק שיקים ללא כיסוי, התשמ"א – 1981 מציע הבנק מידע בנושא זה לציבור הרחב."

מה שמעניין הוא שפתאום, לפתע, הדף הזה השתנה בימים האחרונים*. ככה הוא נראה קודם. שמים לב לפסקה המודגשת שהתווספה? מדובר בעול משמעותי על המשתמשים בקובץ. קודם רק היית צריך לדעת שכל בעיה שיש לך או למישהו בגלל הקובץ היא לא בעיה של בנק ישראל, ועכשיו אתה צריך להתחייב להקצות את המשאבים הדרושים כדי להשמיד עותקים ישנים של הקובץ הזה. וואו. לא ניכנס למשמעויות הטכניות של לוודא השמדה של כל עותק של קובץ ממוחשב, רק מספיק לומר שזה גובל בבלתי אפשרי במקרה של שימוש סביר.

הטקסט שהתווסף בדף קבצי המידע

הטקסט שהתווסף בדף קבצי המידע (ללחוץ להגדלה)

לי, לפחות, לא ממש ברור מה המניע מאחורי השינוי. אם מדובר בכסת"ח במובן של הסרת אחריות מבנק ישראל, הרי שזה מיותר לכאורה – לא רק שהחוק פוטר אותם מכל אחריות (לטענתם, בדף הזה – לא בדקתי ואני לא עו"ד), אלא הם גם מציינים את זה בדף עצמו, כדי לוודא שאתה יודע את זה (ולא שזה היה עוזר לך אם אתה לא יודע). האפשרות השניה היא, כמובן, שמדובר בניסיון לשמור על זכויות החייבים (מי שהגבילו לו את חשבון הוא בד"כ מישהו שהפעילו נגדו את ההוצאה לפועל), אולי בהקשר של הרפורמה בהוצאה לפועל, ודרישת המחיקה נועדה למנוע מגוף כלשהו להפלות אדם שהיה פעם חייב אבל הסדיר את ענייניו (כי חברה כלשהי יכולה לאגור את המידע הזה לעוד 10 שנים ואז לסרב לקבל ממני צ'ק כי לפני 10 שנים לא החזרתי חוב, וזה בעייתי מבחינת חופש הקניין וכו').

האפשרות הראשונה לא מאוד מדאיגה, כי היא בעיקר פתטית, קצת כמו הפרסומת ההיא שראו בה אוזן ענקית עם חלוק והיה כתוב למטה ש"המציג אינו רופא". האפשרות השניה, לעומת זאת, מדאיגה אותי מאוד.

ראשית, זה מזכיר לי קצת את ה"רשומון" המפורסם, מאגר מרשם האוכלוסין של ישראל שדלף לרשתות שיתוף הקבצים. הרי גם אותו כנראה הפיצו כקובץ עם כל המידע, והחתימו אנשים שהם לא יעבירו את זה הלאה וכו', והנה זה באימיול. את קובץ החשבונות המוגבלים הרבה יותר קל להפיץ, ולו כי הוא יותר קטן.

שנית, כי זה ידוע שבאופן עקרוני, מה ששמים באינטרנט לעולם לא יימחק ממנה. בטח שלא משהו שהוצב באתר בולט ונסרק כמו אתר בנק ישראל. האם לא נמצא צדיק אחד שאשכרה מבין באבטחת מידע בסדום שהיא בוודאי מחלקת האינטרנט של בנק ישראל (או איך שלא קוראים לזה שם)? בכך, בנק ישראל בעצם לא עומד בדרישות של עצמו, ולמעשה מפיץ עותקים בלי שליטה.

ואחרון, ובהחלט הכי חביב: כי ה"הגנה" שהם שמו על הקובץ מפני הורדה אוטומטית היא לא פחות מעלובה. יש שם תיבת סימון שאמורים לסמן כאישור שקראת והסכמת לדברים. תיבת הסימון הזו אמורה, בין השאר, למנוע מתוכנה אוטומטית להוריד את הקובץ, כי תוכנה לא יכולה "להסכים" לתנאים. בנוסף, ברור שהם מתכוונים שתוכנות אוטומטיות לא יגשו לקובץ, כי כתוב שם "לקבלת כתובת ישירה להורדה אוטומטית של הקבצים, יש לפנות טלפונית אל הגב' חני שני" (אגב, שמעתם על דוא"ל? זה משהו כזה של האינטרנט. די חדש). למרות זאת, ברפרוף מהיר על קוד המקור של הדף (שנגיש לכל מי שקורא את הדף, בהגדרה) הצלחתי להבין איך אפשר לעקוף אותה בקלות באופן אוטומטי.

אני לא אפרט יותר מדי על איך שהקוד בנוי, כי זה באמת מאוד פשוט (ברמה שכל מי שיבין את ההסבר גם יוכל לגלות את זה בעצמו), אבל אפשר רק לומר שאם קודם (לפי הקישור בגרסה הקודמת), כדי להוריד את הקובץ באמצעות wget, כלי פשוט וחופשי שקיים גם ל-Windows, הייתי צריך לכתוב:

wget http://www.bankisrael.gov.il/deptdata/pikuah/mugbal/wfpirsum.zip

עכשיו אני צריך לכתוב:

wget -O wfpirsum.zip http://www.bankisrael.gov.il/blackconf.htm?iagree=2

בשביל אותה התוצאה בדיוק. אפשר גם להקליד את הקישור בשורת הכתובת של הדפדפן ולבחור save, כמובן, אבל זה לא יהיה אוטומטי.

יש לציין שחשבתי שאולי הם "מסמנים" את התוכן של קבצים איכשהו, כך שאפשר יהיה לדעת מי הוריד את הקובץ. הורדתי את הקובץ (בעזרת הקישור שנתתי כאן) משלושה מחשבים שונים, והקבצים זהים לחלוטין. לא מן הנמנע שיש איזה סימון קסום אחר שהם עושים, אבל אני לא מצליח לחשוב על אחד. מה שזה אומר, בעצם, זה שגם אם מחר מישהו מוריד את הקובץ (אפילו לא אוטומטית, עם אישור של התנאים והכל) ומעלה אותו לאתר אחר, או לרשת שיתוף קבצים, אין שום דרך לגלות מי המדליף, ולכן כל ה"איום" שם חסר כל ערך. זה, כמובן, מראה אפילו יותר שהמהלך הזה בוצע בלי לחשוב על המשמעויות האמיתיות שלו, ורק כדי לכסת"ח משהו. כאמור, לא ברור מה, אבל זה עלוב בכל מקרה. הייתי מסתפק, בתור צעד ראשון, בכך שהסקריפט שלהם שבודק שאישרת את התנאים ידרוש שהבקשה תגיע ב-POST ולא יאפשר גם GET (שזה מה שעשיתי פה). זה היה הופך את זה לטיפ טיפ טיפה יותר מסובך, והיה דורש עוד כמה אותיות בשורת הפקודה של wget.

עד כאן מזווית זכויות האדם והאזרח ומהזווית הטכנית. מהזווית הקפיטליסטית, הדבר שהכי מפריע לי הוא שכנראה משלמים למי שבנה את זה יותר מלבונה אתרים מתחיל, שהיה עושה את זה טוב לפחות כמוהו.

* אני יודע שהשינוי קרה בימים האחרונים בגלל התאריך על שני ה-PDFים שהם שמו בתוך wfpirsum.zip, שהוא הקובץ שכל התוכנות שמשתמשות בנתונים האלה מחפשות. ראו בעצמכם, אם בא לכם, זה פשוט לא ממש רלוונטי.

תגובות (10)

איתן Israel Fedora Linux Mozilla Firefox 3.5.5 כתב ב-16 בדצמבר 2009, 0:02

זה מזעזע בכל כך הרבה רמות. אני רוצה להסיט את תשומת הלב לבעיה שלא ממש שמת עליה דגש – המדינה מפרסמת מידע כלשהו (נקרא לו: האמת).
מחר המדינה מגלה שהיתה לה טעות בנתונים, מפרסמת אמת חדשה, וכל מי שאי-פעם פרסם הלאה את המידע הזה חייב להשמיד עותקים ישנים ולאמץ את האמת החדשה?!
זה לא מסיר כל אפשרות לביקורת ציבורית על בעיות של המדינה?
לא נכתב איזה ספר דיסטופי אחד או שניים על העניין הזה? (1984, 451…)
זליג Germany Windows XP Mozilla Firefox 3.5.5 כתב ב-16 בדצמבר 2009, 0:11

כל הכבוד על הפוסט, אבל אני לא מבין למה האתר של בנק ישראל מעסיק אותך באופן יומיומי. מה חדש בחיים שלך שאני לא יודע? :-)
לירון Israel Windows XP Mozilla Firefox 3.5.5 כתב ב-16 בדצמבר 2009, 2:16

לא הרבה. :) עליתי על העניין הזה במקרה והוא נראה לי ראוי לפוסט. מאז שהתחלתי לעבוד אין לי כוח לכתוב על "החיים" כל כך… או בכלל, האמת. לכן הבלוג שומם…
עידוק Israel Windows XP Mozilla Firefox 3.5.5 כתב ב-16 בדצמבר 2009, 0:50

נניח שאתה מעלה את הקובץ לאתר שלך, ובעדכון הבא בנק ישראל מסיר ממנו את שמו של משה משה, שחשבונו כבר לא מוגבל.

מישהו מקבל צ'ק ממשה משה, ובמקום להוריד את הקובץ הכבד של הבנק, עושה מה שאדם סביר עושה: מגגל את משה משה. הוא מוצא את שמו ברשימת החשבונות המוגבלים שפרסם בנק ישראל, ואשר מופיעה באתר שלך. אותך הוא לא מכיר, הוא לא יודע מה האמינות שלך, אבל בנק ישראל זה גוף אמין. אז הוא אומר למשה משה, "שמע, החשבון שלך מוגבל, אני לוקח ממך כסף רק במזומן".

משה משה תובע את בנק ישראל על הוצאת דיבה ופיצויים על הנזקים שנגרמו לו. בנק ישראל פונה אליך ודורש שתשפה אותו, כי בהורדת הקובץ התחייבת לא להפיצו הלאה, ולמחוק ממנו "כל מידע המצוי בו לגבי כל חשבון ולקוח שהגבלתו הסתיימה, וזאת עד שנה מסיום ההגבלה. לשם כך אני מתחייב לקבל על עצמי כל אחריות לביצוע האמור ולהשקיע על חשבוני את המשאבים הנדרשים לשם כך".

אותו דבר אם חשבונו של משה משה הוגבל, אבל העותק שיש באתר שלך לא עדכני, ומשה משה עדיין לא מופיע בו; במקרה הזה, התובע יהיה זה שהסכים לקבל ממשה משה צ'ק על סמך הרשימה באתר שלך.

מצד שני, רק מי שהוריד את הקובץ במקור "התחייב" לא להפיצו הלאה. אם מישהו כזה שלח לך את הקובץ, אתה לא חתום על שום דבר, ובנק ישראל יכול ככל הנראה לקפוץ לך.
לירון Israel Windows XP Mozilla Firefox 3.5.5 כתב ב-16 בדצמבר 2009, 2:06

קודם כל, אני כן בעד שימצאו דרך לשמור על הפרטיות של החייבים. אפשר וצריך למצוא פתרון, וכזה שלא כולל דרישות דרקוניות ובלתי ניתנות לאכיפה.

מעבר לזה, הקובץ בנוי ככה שאי אפשר ממש לגגל אנשים. אני בטוח שזה לא משהו מכוון, אבל לפחות הקובץ שנתתי כדוגמא הוא פשוט גוש מספרים, וגם בגרסת האקסל שלו, הוא רק מספרי חשבונות ותאריכים (עד כמה שזכור לי).

מעבר למעבר לזה, בהנחה שהאתר שלי לא מתחזה לאתר של בנק ישראל (ז"א, לא phishing בצורה כלשהי), מי שמוריד קובץ "רשמי" של בנק ישראל ממני ואיכשהו מאמין למידע שם, ולא משנה איזה מידע, הוא חסר אחריות. במיוחד בסיטואציה עסקית.

הפואנטה של הפוסט הזה היא לא שלא צריך לשמוא על המידע הזה, אלא שבנק ישראל כביכול שומר עליו, אבל בעצם ממש לא. אני חושב שאבטחה שקרית היא גרועה יותר מאפס אבטחה (ידועה), ממש כמו שעדיף לי לדעת שאין לי מנעול על הדלת (כי אולי אני אשאר ער בלילה לשמור עליה) מאשר לחשוב שיש לי מנעול תקין, כשהוא בעצם פרוץ. לכן חשוב לחשוף דברים כאלה, ועל אחת כמה וכמה כשמדובר במשהו שעד לפני שבוע (או פחות) היה חשוף לגמרי בלאו הכי.
שי ש Israel Windows XP Mozilla Firefox 3.5.5 כתב ב-16 בדצמבר 2009, 11:32

אני חושב שאתה מייחס יותר מידי משמעות לתיבת הסימון – כל המטרה שלה היא להוכיח מבחינה משפטית שאכן הסכמת לתנאים.
לירון Israel Windows XP Mozilla Firefox 3.5.5 כתב ב-16 בדצמבר 2009, 19:46

אני לא חושב שזו תיבת הסימון עצמה, אני חושב שזו הכוונה שלהם כלפיה, כפי שהבנתי אותה גם מזה שהם מצפים ממי שרוצה גישה אוטומטית לפנות טלפונית לקבלת אישור וכתובת.
אורן Israel Debian GNU/Linux Mozilla Firefox 3.5.5 כתב ב-18 בדצמבר 2009, 1:55

סחטיין על החשיפה, אבל, מעבר לכל ההתראות, לא הצלחתי להבין האם זה באמת מידע רגיש שלא ראוי שיהיה זמין באופן חופשי לציבור?

ההצעה של לשנות את זה מ- GET ל- POST או כל הגנה אפילו יותר מתקדמת היא כלל לא רלוונטית, להפך, אני מעדיף שתהיה דיכוטומיה:
א. מידע רגיש: שיהיה תחת אבטחה סופר קפדנית, לא זמין באינטרנט וגם בתוך רשת הארגון יכיל סימונים והגנות נגד הדלפות.
ב. מידע שאינו רגיש: זמין וחופשי לכולם.

כל הגדרות הביניים האלה "אז שיהיה קצת מאובטח" רק מבלבלים אנשים לא טכנולוגיים ומהווים, כפי שאתה אומר, כסת"ח.
לירון Israel Windows XP Mozilla Firefox 3.5.6 כתב ב-18 בדצמבר 2009, 2:51

הבעיה היא שזה מידע שכן צריך שיהיה נגיש לציבור כשהוא רלוונטי, אבל עלולים לעשות בו שימוש לרעה אם מתייחסים אליו כשהוא כבר לא רלוונטי.

לדעתי, זה פשוט צריך להיות עניין של אכיפת חוק: שיהיה כתוב שם בבירור שאסור להשתמש בזה (בצורות כאלה ואחרות) אחרי שפגה ההגבלה, וזהו. אי אפשר להגן על זה טכנולוגית.

ועניין ה-POST נאמר לא בהקשר הזה, אלא כהתייחסות לכך שאם הם כבר החליטו (בטעות לדעתי) שצריך להגן על זה, הם עשו את זה בצורה עלובה, וזה מדאיג, כי זה מראה איך הם יגנו על דברים שבאמת צריך להגן עליהם.
אורן Israel Debian GNU/Linux Mozilla Firefox 3.5.5 כתב ב-18 בדצמבר 2009, 1:58

דרך אגב בנק ישראל ואבטחת מידע, נושא קצת יותר פעוט, אבל הדומיין הישן שלהם שעדיין בבעלותם, bankisrael.net, כבר שנים שלא מצביע על כתובת ה- IP הנכונה.

בעבר הוא הצביע לגמרי במקרה על כתובת ה- IP האמיתית של המעסיק הקודם שלי, וכרגע היא שונתה להצביע על 127.0.0.1. שזה במובן מסויים הרבה יותר גרוע, ומזמין תרגילי פישינג למיניהם.