כשלוש שנים לאחר שמשרד הביטחון בחר במכוניות מתוצרת סין ככלי רכב צמודים לקצינים בצבא הוחלט במערכת הביטחון לאסוף ולהחזיר אותן אל חברת הליסינג שממנה הן חכורות.
החלטה זאת מדגישה חשש שקיים כרגע במערכת הביטחון מפני סכנה לנזקים מודיעיניים ואחרים לביטחון ישראל. בעתיד אולי נדע, ואולי לא, אם מאז חודש מרץ 2023 ועד היום נגרם נזק בגלל כלי הרכב האלה, והאם חלילה נפגעו מאז בני אדם או אתרים תוך שימוש במידע כזה.

מעצם ההחלטה להחזיר את כלי הרכב אפשר לקבוע שמדובר במחדל חמור של האחראים לרכש רכב לצה"ל ואולי אפילו ל"7 באוקטובר" שלהם. מן האנשים שמקבלים משכורת כדי לבחור את כלי הרכב שבהם נוהגים ונוסעים קציני צה"ל (ובכלל זה לרכש של שירותי רכב) נדרשת רמת מקצועיות והבנה בתחום הרכב בכלל, ובפרט בכל מה שקשור ליכולות ולביצועים של כלי הרכב. צריך לצפות שהם יבינו ויכירו את האמצעים הטכניים ואת המערכות השונות שמותקנים בכלי הרכב, בדגש על פוטנציאל הנזק שלהם. בסוף היום אלה האנשים שבחרו לקבל כלי רכב מתוצרת סין ביודעם שייסעו בהם קצינים בכירים, ושחלקם גם יחנה בתוך בסיסי צה"ל ובמקומות רגישים אחרים.

צריך לומר דבר פשוט וברור: לנו אין אפשרות להוכיח קשר בין הימצאות כלי הרכב הסינים בבסיסי צה"ל ובידי קצינים בכירים בצבא לבין כל סוג של איסוף מידע שאולי בוצע בפועל באמצעותם. מה שידוע, ועל בסיסו נטענת הטענה שלנו למחדל של מערכת הביטחון, זה שגורמים בתוך ומחוץ לצה"ל התריעו בשנים האחרונות שוב ושוב שכלי הרכב האלה יוצרים לכל הפחות סיכון אפשרי לריגול ולפגיעה באבטחת מידע.

גם אנחנו פרסמנו בעשור האחרון מידע ברור שכמותו צריך היה להיות מונח בפני האחראים לרכש במערכת הביטחון, וכפי שכולנו למדנו ב-7 באוקטובר – כאשר קיימת אצל מישהו יכולת לגרום לך נזק – תמיד קיים סיכון שהוא יעשה בה שימוש. למרות זאת, בשלהי שנת 2022 בחרו אנשי הרכב של מערכת הביטחון וצה"ל בכלי רכב סינים כחלק ממכרז כלי הרכב שמוצמדים לבעלי תפקידים בצבא, וקרוב ל-600 כלי רכב מדגם טיגו 8 פרו של צ'רי נמסרו לקצינים בכירים החל מחודש מרץ 2023.

נשוב ונדגיש: אין טענה שהדגם הספציפי שנבחר לשרת את צה"ל שימש או יכול היה לשמש – בידיעה או בחוסר ידיעה – לביצוע ריגול לפני או אחרי שהושבתו בו מערכות ספציפיות.
הטענה היא שבמבחן התוצאה הוחלט לסלק אותם מהצבא, ולכן – שאלה שחייבת להיבדק היא איך צה"ל הגיע מלכתחילה למצב שבו הם הוכנסו לשורותיו.

עובדה מטרידה שחורגת הרחק מעבר לצה"ל ומערכת הביטחון וחייבת להטריד כל אזרח ישראלי, היא שקיימת אפשרות טכנית מעשית לבצע ריגול באמצעות כלי רכב בכלל, ובפרט באמצעות כלי רכב מתוצרת סין. אנחנו, ורבים אחרים, כותבים על כך כבר מזה יותר מעשור.

לי זה לא יקרה?

כפי שפרסמנו כאן במספר הזדמנויות, בשנים האחרונות הולך ומתגבר חשש מפני שימוש ביכולות הטכנולוגיות המתקדמות של כלי רכב מקושרים (connected vehicle) לצורך איסוף מידע אישי, כמו גם מידע אודות הסביבה שבה נעים כלי הרכב. כלי רכב מודרנים מצוידים במערך מורכב של חיישנים ואמצעי איסוף, במערכת תקשורת מהירה, ובקשר קבוע (או מזדמן) עם חוות השרתים של יצרניות הרכב. זה אומר שלפחות באופן פוטנציאלי – מידע שנאסף בקריה בתל-אביב או בבסיס חיל אוויר בדרום הארץ עלול להגיע לידיים לא נכונות. בכלי רכב מודרנים יש מערך מצלמות חיצוניות ופנימיות, מיקרופונים, רכיבי מיקום (GPS) ומערכות וגלאים שונים לזיהוי הסביבה – מכ"מ, לייזר ותוכנות ראיה ממוחשבת ועוד. מערך זה משמש בעיקר עבור מגוון רחב של מערכות סיוע לנהיגה (ADAS) – החל מבלימה אוטונומית ושמירת נתיב וכלה בזיהוי עייפות נהג והסחות דעת, וכן עבור מערכות נוחות כמו הפעלה קולית.

"החוליה החלשה" היא שכל הטוב הזה מחובר באופן קבוע לאינטרנט באמצעות מודולי IoT שהם רכיבי חומרה שכוללים מודם תקשורת, בקר, ממשק תקשורת, רכיב SIM או eSIM, ולעתים גם GPS. אלה ארוזים בחבילה אחת עם תוכנה בסיסית שכוללת לרוב גם אפשרויות הצפנה ואבטחה.

מודול IoT מאפשר לכל מערכת אלקטרונית לשלוח ולקבל נתונים באמצעות האינטרנט לאחר שהוא יוצר קישור נתונים מול שרת/ענן. המודול שולח באופן קבוע נתוני מיקום (כאשר משולב בו רכיב GPS) ומבצע עדכוני קושחה מרחוק (FOTA), רישום לוגים, ניטור בריאות הקו ועוד. מודולי IoT ברכב (שנקראים לעיתים TCU/T-Box) מדווחים – בדרך כלל ליצרנית הרכב – נתוני טלמטריה של הרכב עצמו (נתוני ניהול מנוע, טמפרטורות, מהירויות, לחצי שמן וכיוצ"ב) ומבצעים עדכוני תוכנה (OTA) ועדכונים לאפליקציות שונות. חלק מן המודולים מספקים גם תקשורת Hotspot לשימוש הנהג והנוסעים ודרכה עובר מידע אישי כמו שיחות קוליות, קבצי תמונות ווידאו, והודעות טקסט.

מבחינת היתכנות טכנית – מודול IoT מסוגל להעביר באופן קבוע ורצוף את כל המידע שנוצר על ידי כל החיישנים של הרכב – כלומר גם את כל המידע החזותי והקולי לגבי סביבת המכונית וגם את כל מה שמתרחש בתוכה. קיים חשד שחלק ממערכות ההפעלה בכלי רכב שונים מורידות מידע מטלפונים סלולריים אפילו כשהם מחוברים לרכב רק לצורך טעינה משקע USB ומבלי "לשקף" את הטלפון.

בכלל, בעלי רכב לא אוהבים לחשוב שכל הטוב הזה עלול לשמש נגדם, ושני הטיעונים הנפוצים ביותר של כל מי שסבורים ש"להם זה לא יקרה" הם ראשית לכל "אין לי מה להסתיר", וגם "מה זה משנה? גם לטלפון החכם שלי יש את כל היכולות האלה וממילא יש "להם" את כל המידע עלי". מדובר בשתי הנחות שגויות ומסוכנות וכדי להמחיש את היכולות של "מכוניות מקושרות" לפגוע בנו – עוד לפני שמכניסים לתמונה את יצרניות הרכב – אפשר לדמיין איך האקר שפורץ לרכב שלנו יכול לנצל אותן לרעה.

קחו, למשל, את המצלמות הפנימיות שנועדו לזיהוי פנים במטרה למנוע הסחות דעת בעת נהיגה ולזיהוי עייפות נהג, ואת המיקרופונים שמשמשים להפעלה קולית. דמיינו האקר שפורץ לרכב שלכם, אוסף את הביומטריה של זיהוי הפנים ואת טביעת הקול הייחודית לכם, ומשתמש בבינה מלאכותית כדי להעתיק את הפרופיל שלכם.

אותו האקר יכול לאסוף מידע מתוך הטלפון הסלולרי שמחובר כרגע לרכב, למשל את פרטי הגישה לחשבון הבנק שלכם, ולרוקן לכם את יתרת העו"ש. האם גם אחרי שמישהו ינטרל את הגנות הזיהוי הביומטרי של חשבון הבנק שלכם תוסיפו לטעון ש"אין לכם מה להסתיר"?

האם בתסריט אחר, של האקר שפועל ממניעי טרור וחושק לרסק את המכונית שלכם לתוך שיירת המכוניות של ראש הממשלה – עדיין תטענו ש"גם לטלפון הסלולרי שלכם יש את אותן יכולות"?

אז נכון, יש הרבה מן המשותף בין החיבור של טלפון חכם לאינטרנט לבין החיבור של מכונית ל"ענן". לא במקרה מתארים מכוניות מודרניות כ"טלפון חכם על גלגלים". אבל למכונית שמקושרת לאינטרנט יש את כל היכולות של הטלפון החכם שמחובר אליה בתוספת יכולות אחרות שאין לטלפון, למשל צילום 360 מעלות של הסביבה באמצעות מערך של מספר רב של מצלמות וחיישנים, אפשרות לצטט לשיחות אינטימיות בין שותפים לעבודה – גם כאלה שנוהגים להטמין את הטלפונים שלהם בכספות וקופסאות לפני שהם נכנסים אל חדרי דיונים בעבודה – ועוד ועוד.

ההבדל בין האקר שרוצה לגנוב זהות כדי לשדוד את חשבון הבנק שלנו, או האקר שרוצה לרסק את המכונית שלנו, לבין יצרנית רכב, הוא שההאקר חייב לבצע פעולת פריצה אקטיבית. לעומת זאת – את כל המידע שהרכב אוסף עלינו ועל כל מה שמתרחש מסביבנו אנחנו מוסרים ליצרניות הרכב "ברשות ובסמכות", ואפילו "על מגש כסף".

האם הרכב הסיני שלי מרגל?

הוושינגטון פוסט, אחר העיתונים החשובים ביותר בעולם, פרסם בשבוע שעבר כתבת תחקיר אודות הכוונה של רשויות הביטחון בארה"ב להמליץ לממשלה לאסור שימוש בנתבי אינטרנט ביתיים נפוצים בטענה לסיכון לביטחון הלאומי. מן התחקיר עולה שנתבים שונים שמותקנים בבתים פרטיים ובמשרדים קטנים, למשל מתוצרת חברת TP-Link, שימשו בשנים האחרונות קבוצות האקרים שנתמכות על ידי ממשלת סין כשערי כניסה מוסווים לביצוע התקפות סייבר נרחבות – כך לטענת גורמי אבטחת סייבר בממשל האמריקני ובמגזר הפרטי ששוחחו עם עורכי התחקיר.

עוד דווח ב'פוסט' שענקית הטכנולוגיה מיקרוסופט מסרה בשנה שעברה שנתבי TP-Link Systems שנפרצו היוו את רוב הרשת החשאית ששימשה תוקפים סינים לפחות משנת 2021 ואילך במטרה לגנוב זהויות לצורך חדירה לאחרים ולגניבת מידע. מיקרוסופט דיווחה שהרשת שימשה מספר קבוצות סיניות במשימות ריגול.

משרד המסחר האמריקני דורש לאסור מכירה בארה"ב של מוצרי TP-Link, וזאת בעקבות הערכת סיכונים שביצעו מיותר משש מחלקות וסוכנויות פדרליות שחקרו לעומק את הנושא והגיעו למסקנה שהקשרים של חברה זאת עם סין הופכים את הראוטרים האלה ל"סיכון לביטחון הלאומי".

בתגובה לתחקיר של הוושינגטון פוסט סירב דובר הבית הלבן להתייחס לאיסור המוצע באופן ספציפי והשיב ש: "אנו מודעים למאמצים הפעילים של ממשלת סין לנצל פרצות אבטחה קריטיות ועובדים עם כל הגורמים הרלוונטיים כדי להעריך את החשיפה ולהפחית את הנזק".

נזכיר גם שבשנה שעברה חסמה שרת המסחר האמריקנית ג'ינה ריימונדו את המכירות בארה"ב של תוכנות אנטי-וירוס של חברת קספרסקי הרוסית, וזאת בטענה שהתוכנות שלה "שתולות" במחשבים וש"רוסיה הראתה שיש לה את היכולת – ואפילו יותר מזה, את הכוונה – לנצל חברות רוסיות כמו קספרסקי כדי לאסוף ולהפוך את המידע האישי של אמריקאים לנשק, וזו הסיבה שאנחנו נאלצים לנקוט בפעולה שאנחנו נוקטים".

בחשיפה נוספת מן השבועות האחרונים התגלה שסין שולטת בכ-64% משוק מודולי ה- IoT העולמי כלומר בשני שליש משערי הכניסה (והיציאה) לאינטרנט.
זאת הנקודה שבה הגיע הזמן שכולנו נתפכח. החוק הסיני כופה על כל החברות שפועלות בסין "לשתף פעולה לפי דרישה" עם רשויות הממשלה ולמסור לידיהן כל מידע שנמצא ברשותן, ובכלל זה גם נתונים שמאוחסנים מחוץ לסין. זה לא אומר שזה נעשה בפועל, אבל זה אומר שאם הממשלה הסינית רוצה לשים יד על המידע הזה היא יכולה, למשל, לבנות מפות או ניתוחים של גורמי השפעה בחברה, נקודות תורפה של מנהיגים ומקבלי החלטות, עמדות פומביות ולא רשמיות של פרטים או ארגונים, זיהוי של אזרחים שנושאים בתפקידים בממשל ובחברות פרטיות, הבנה של תופעות חברתיות ואף השפעה עליהן, וגם מידע אישי כמו מידע רפואי, משפחתי, פיננסי או סוציאלי של בני אדם שבאמצעותו אפשר לסחוט אותם ולגרום להם לעשות דברים.

אירופה לא תציל אותנו

ב־12 בספטמבר השנה נכנס לתוקף באירופה "חוק הנתונים" של האיחוד האירופי והוא מאפשר, תיאורטית, לאנשים פרטיים לדעת איזה מידע נאסף עליהם. החוק מטיל מגבלות שונות על כל מי שאוסף מידע בתחומי האיחוד, אבל לכל חוק יש שיניים רק כאשר קיימת אפשרות מעשית לאכוף אותו, וזה לא המקרה כאן. מפני שגם כאשר יצרנית רכב מתחייבת לעמוד בתנאי הפרטיות שנדרשים באירופה, וגם אם אנחנו לא מאשרים להעביר החוצה מידע כזה או אחר, עדיין קיימת אפשרות טכנית לאסוף מידע ולהעלות אותו "לענן סיני" ללא ידיעתנו ובלי אישור שלנו.

מודול IoT ברכב יכול "לדבר" באופן ישיר מישראל עם שרתים בסין באמצעות ה-SIM הסלולרי: המודול גולש ברשת המקומית אל שירות ענן סיני ומסווה את הפעילות שלו כתנועת מידע רגילה, וזה הרבה יותר קל לביצוע במודול עםeSIM סיני עם IMSI של סין. המשמעות היא שהתעבורה הסלולרית נוחתת בסין ומשם לשרת היעד בלי לעבור בנקודת יציאה באינטרנט הישראלי.

אפשרות אחרת היא הגדרת APN ייעודי שפותח "מנהרת IPsec" אל ה"ענן" הסיני ושואב בבת אחת חבילת נתונים ישירות למנהרה מוצפנת. אפשרות דומה קיימת גם כאשר התקשורת מבוססת על הטלפון החכם של הנהג.
ברמה הטכנית אפשר לחסום חלק מדרכי התקשורת באמצעות הגדרות שונות אבל צריך להניח שרוב בעלי הרכב לא מודעים לסכנות, לא כל שכן לפתרונות הטכניים האפשריים, החל מביטול של פרופיל eSIM זר, דרך חסימת APN פרטי לא מתועד וכלה בהגדרת Firewall Egress כאשר יש שליטה על הראוטר או על דונגל ברכב.

גם לפרנואידים יש אויבים

צריך לומר ביושר שמאחורי חלק מן הדיווחים אודות ריגול סיני וגם מאחורי חלק מן החקירות שמתנהלות בנושא הזה יש אינטרסים כלכליים של מי שנפגעים מן המתחרים מסין, אבל בשנים האחרונות מתגלים עוד ועוד התקני IoT סינים גם במקומות פחות צפויים כמו פאנלים סולריים ומתקני תקשורת.

החששות מפני שימוש לרעה שתעשה ממשלת סין במידע הזה, כמו גם באפשרות להשפיע מרחוק על המערכות שבהן מותקנים ההתקנים האלה – עולים גם מתוך ההצהרות של ממשלת סין עצמה לאורך השנים, ומן השאיפות שלה להטמיע "אלקטרוניקה סינית" בצמתי מידע שונים.

שלוש הסכנות העיקריות שמפניהן חוששים הן ריגול, חבלה וגניבת זהויות. בהקשר של ריגול בכלל לא בטוח אם הסינים מתעניינים במה שקורה בצה"ל יותר מכפי שהם מתעניינים בפיתוחים האחרונים של חברות הי-טק ישראליות, מוסדות מדע וטכנולוגיה, חברות אוטו-טק, ביו-טק וכל חברת סטארט-אפ אחרת. כאמור – האפשרות הטכנית קיימת, וכל אחד צריך להעריך את הסיכון האישי שלו ולחשוב אם נכון מבחינתו שעובדי החברה שלו ייסעו ברכב שעלול להיות מחובר למתעניינים סינים או לא.

סכנת החבלה מומחשת בשנה האחרונה בדרך הטובה ביותר על-ידי רוסיה שמנהלת "מלחמה היברידית" כנגד מדינות שחברות בנאט"ו. הרוסים, כך נטען, מנהלים מבצעי השפעה ומבצעי חבלה באופן שאי אפשר לקשר אותם עד למוסקבה, ובכלל זה מבצעים מתקפות רחפנים, חבלות בכבלי אינטרנט תת ימיים ועוד ועוד – כאשר המטרה היא טרור באמצעות זריעת כאוס.

מי ששולט ברכב שלנו ויכול להשפיע עליו מרחוק יכול לנהל מבצעי חבלה וכאוס מבלי שיהיה אפשר להוכיח שהוא עומד מאחוריהם. למשל, כאשר גורמים בו זמנית ל-100 תאונות דרכים בכל רחבי הארץ אפשר להשבית את המדינה כולה, ואפשר רק לדמיין מה היה קורה בישראל ב-7 באוקטובר אם מישהו היה עוצר את התנועה על כביש 4 ועל כביש 6 ממרכז הארץ דרומה.

האם הרכב הבא שלי לא יהיה סיני?

בחודש אפריל השנה פרסמה ה-DSTL – "מעבדת ההגנה הבריטית" או ה- Defence Science and Technology Laboratory דוח מלחיץ שבו נקבע באופן קטגורי ש"רכבים חשמליים סינים הם מערכות מעקב נידות". הדוח קובע שלכלי הרכב האלה יש יכולת ריגול שאת חלקן אי אפשר להסיר לחלוטין, ובין השאר הם יכולים לצלם ולהקליט את יושבי הרכב ללא ידיעתם.

בעקבות הדוח של DSTL קבע משרד ההגנה הבריטי כללי ביטחון מידע שונים כמו איסור כניסה של כלי רכב סינים אל בסיסי צבא מסווגים ואיסור על חברות מסחריות בתעשיית הביטחון להתחבר לכלי הרכב האלה באמצעות כבלי USB או עם חיבורי בלוטות'.

נחזור ונדגיש: אנחנו לא יודעים אם כלי רכב סינים ביצעו בפועל ריגול או שיש להם כוונה לעשות את זה בעתיד ולדעתנו אין חשיבות לשאלה אם זה נעשה או לא ואם זה ייעשה. השאלה החשובה היא אם הם מסוגלים לעשות את זה, והתשובה חיובית לגמרי. בין אם בחיבור קבוע ובין אם באמצעות הורדת נתונים במהלך טיפולים שגרתיים ברכב – כמעט כל מכונית סינית חדשה שמיוצאת לישראל כוללת כיום אמצעים טכניים לאסוף מידע ולהעברתו אל השרתים של יצרנית הרכב בחו"ל ומשם אל כל מי שיש לו גישה או מעמד מול יצרנית הרכב.

רוב אזרחי ישראל שעושים שימוש במכוניות או במכשירים סינים באמת לא מעניינים את המשטר הסיני, אבל אסור לשכוח שעל אף שהסינים אינם אויבים שלנו (וכדאי שלעולם לא נהפוך אותם לכאלה) – הם גם לא בדיוק ידידים שלנו, והאינטרסים שלהם ושלנו לא חופפים.

לקריאה נוספת:

הפרטיות שלך למכירה: יצרניות רכב מוכרות מידע אישי ואינטימי שלנו למרבה במחיר ואנחנו שותקים כמו כבשים. לא עוד

האם מכוניות סיניות יאספו מידע על אזרחים אמריקנים עבור ממשלת בייג'ינג? לא אם זה תלוי בממשל ביידן

לנהוג בסוס טרויאני: האם המכונית הסינית שלכם מרגלת עבור ממשלת בייג'ינג?