https://arpokrat.com/he/blog/cybersecurity-privacy/ Recent content in אבטחת סייבר ופרטיות on Arpokrat Hugo -- gohugo.ioheMon, 01 Jun 2026 00:00:00 +0000 https://arpokrat.com/he/blog/utiq-supercookie-telecom-privacy/ Mon, 01 Jun 2026 00:00:00 +0000 https://arpokrat.com/he/blog/utiq-supercookie-telecom-privacy/ <p>סופם המתוכנן של קובצי העוגיות (cookies) של צד שלישי בדפדפני האינטרנט עורר מרוץ חימוש אמיתי בתעשיית הפרסום הממוקד. בעוד שגוגל מנסה לכפות סטנדרטים משלה (כמו ה-Privacy Sandbox), שחקן לא צפוי נוסף החליט לתפוס נתח מהעוגה: <strong>ספק שירותי האינטרנט שלך (ISP)</strong>.</p> <p>כך נולד <strong>Utiq</strong> (שנודע בעבר כפרויקט <em>TrustPid</em>), מיזם משותף שהוקם על ידי ענקיות התקשורת האירופיות. Utiq, הנמכרת לציבור הרחב כפתרון &ldquo;שקוף ומכבד&rdquo;, היא למעשה מה שמומחי אבטחת סייבר חוששים ממנו יותר מכל: &ldquo;supercookie&rdquo; הפועל ברמת הרשת.</p> <h2 id="מה-זה-utiq-ואיך-זה-עובד">מה זה Utiq ואיך זה עובד?</h2> <p>באופן מסורתי, מעקב פרסומי (עוגיות) מנוהל על ידי דפדפן האינטרנט שלך (<a href="https://www.google.com/chrome/">Chrome</a>, <a href="https://www.mozilla.org/firefox/">Firefox</a>, <a href="https://www.apple.com/safari/">Safari</a>). יכולת לחסום אותו באמצעות תוספים (כמו <a href="https://ublockorigin.com/">uBlock Origin</a>) או דפדפן המכוון לפרטיות (כמו <a href="https://brave.com/">Brave</a>).</p> <p><strong>Utiq מעבירה את הבעיה צעד אחד אחורה: לרמת חיבור הרשת שלך.</strong></p> <p>כך נסגרת המלכודת:</p> <ol> <li><strong>יירוט רשת:</strong> כאשר אתה גולש באינטרנט דרך החיבור הסלולרי שלך (4G/5G) או תיבת הסיבים שלך, Utiq משתמשת בכתובת ה-IP שלך ובנתוני מנוי התקשורת שלך כדי לזהות אותך.</li> <li><strong>ההסכמה (הבחירה השקרית):</strong> עם ההגעה לאתר שותף, חלון קופץ (popup) מבקש ממך לאשר את Utiq. עקב העייפות הקשורה לבאנרים של עוגיות (<em>Consent Fatigue</em>), מיליוני משתמשים לוחצים על &ldquo;אשר&rdquo; מבלי לקרוא.</li> <li><strong>ה-&ldquo;Network Signal&rdquo;:</strong> לאחר מתן ההסכמה, Utiq יוצרת קשר ישירות עם מפעיל התקשורת שלך. זה האחרון יוצר אסימון זיהוי ייחודי תחת שם בדוי (אות הרשת) שאותו הוא מעביר למפרסמים.</li> </ol> <p>כעת ניתן לעקוב אחריך מאתר לאתר, לא על ידי קובץ המאוחסן במחשב שלך, אלא על ידי <strong>התשתית עצמה המספקת לך את האינטרנט</strong>.</p> <h2 id="למה-utiq-הוא-סיוט-לפרטיות-opsec">למה Utiq הוא סיוט לפרטיות (OPSEC)</h2> <p>היוזמה מעלה בעיות חמורות לריבונות הדיגיטלית ולסודיות הנתונים שלך:</p> <ul> <li><strong>מעקב במקור:</strong> בניגוד לעוגיות קלאסיות, אינך יכול פשוט &ldquo;לנקות את ההיסטוריה שלך&rdquo; או &ldquo;לרוקן את המטמון&rdquo; כדי להיפטר מ-Utiq. אסימון הזיהוי נוצר על ידי ספק האינטרנט שלך.</li> <li><strong>ריכוז פרופילים:</strong> מפעילי התקשורת כבר יודעים את שמך, כתובתך הפיזית, פרטי הבנק שלך ומיקומך בזמן אמת. על ידי קישור היסטוריית הגלישה שלך באינטרנט דרך Utiq לכך, הם יוצרים פרופיל התנהגותי ברמת דיוק מבהילה.</li> <li><strong>הפגם בפסאודונימיזציה (שימוש בשם בדוי):</strong> Utiq מגנה על עצמה על ידי אי שיתוף שמך בטקסט גלוי, וטוענת שהיא משתמשת באסימונים &ldquo;מוצפנים&rdquo;. עם זאת, בעולם אבטחת הסייבר, הוכח שניתן להפוך פסאודונימיזציה. הצלבת אסימונים אלה עם מאגרי מידע אחרים מאפשרת לזהות מחדש אנשים בקלות.</li> </ul> <h2 id="אילו-מפעילים-משתמשים-ב-utiq">אילו מפעילים משתמשים ב-Utiq?</h2> <p>Utiq הוקמה על ידי ברית של ארבעת המפעילים האירופיים הגדולים ביותר. אם אתה לקוח של אחד מהם (או אחת מחברות הבת הזולות שלהם), החיבור שלך פוטנציאלית כבר &ldquo;תואם&rdquo; למעקב זה.</p> <p>הנה המייסדים וקישורים למדיניות הפרטיות שלהם:</p> <ul> <li><strong><a href="https://www.orange.fr/portail/politique-de-confidentialite">Orange</a></strong> (צרפת, ספרד, פולין וכו')</li> <li><strong><a href="https://www.vodafone.com/privacy-center">Vodafone</a></strong> (גרמניה, ספרד, בריטانيا וכו')</li> <li><strong><a href="https://www.telefonica.com/en/privacy-policy/">Telefónica / O2 / Movistar</a></strong> (ספרד, גרמניה וכו')</li> <li><strong><a href="https://www.telekom.com/en/company/data-privacy-and-security">Deutsche Telekom</a></strong> (גרמניה, מרכז אירופה)</li> </ul> <blockquote> <p><strong>הטיפ של OPSEC:</strong> למרות ש-Utiq מציעה פורטל ניהול הסכמות מרוכז (<a href="https://consenthub.utiq.com/">consenthub.utiq.com</a>) לביטול הגישה, ההגנה הטובה ביותר נשארת טכנולוגית.</p> </blockquote> <h2 id="גישת-ה-zero-trust-להתמודדות-עם-utiq">גישת ה-Zero-Trust להתמודדות עם Utiq</h2> <p>הפילוסופיה של ריבונות דיגיטלית, המונעת על ידי אקוסיסטמות כמו <strong>Arpokrat</strong>, מסתמכת על עיקרון פשוט: לעולם אל תסמוך על תשתית הרשת.</p> <p>כדי לנטרל טכנית מערכות כמו Utiq, הפתרון הוא להסתיר את התעבורה שלך מספק שירותי האינטרנט שלך:</p> <ol> <li><strong>שימוש ב-VPN ריבוני:</strong> על ידי הצפנת התעבורה שלך ברגע שהיא עוזבת את המכשיר שלך, ספק האינטרנט שלך רואה רק זרם נתונים בלתי קריא המופנה לשרת VPN. הוא אינו יכול עוד להזריק או לקרוא אסימוני Utiq.</li> <li><strong>רשת ה-Tor (<a href="https://orbot.app/">Orbot</a>):</strong> ניתוב בצל מונע כל זיהוי מקצה לקצה.</li> <li><strong>הצפנת DNS (DoH/DoT):</strong> מונע מהמפעיל שלך לדעת אילו אתרים אתה מבקש לבקר.</li> </ol> <p>לסיכום, Utiq היא ההוכחה לכך שספקי אינטרנט אינם מסתפקים עוד בהיותם רק &ldquo;צינורות&rdquo;; הם רוצים להפוך למתווכי נתונים (data brokers). יותר מתמיד, הצפנת התעבורה שלך היא כבר לא אופציית אבטחה, אלא הכרח מוחלט כדי לשמר את השתיקה הדיגיטלית שלך.</p> https://arpokrat.com/he/blog/canary-warrant-explained/ Mon, 01 Jun 2026 00:00:00 +0000 https://arpokrat.com/he/blog/canary-warrant-explained/ <p>בעומק מכרות הפחם של המאה ה-19, כורים נשאו עימם כנריות בכלובים. ציפורים קטנות אלו, שהיו רגישות במיוחד לגזים רעילים כמו פחמן חד חמצני, מתו הרבה לפני שהכורים הבחינו בסכנה. הם שימשו כמערכת התרעה מוקדמת אילמת אך יעילה ביותר.</p> <p>בעולם הדיגיטלי המודרני שלנו, הציפור הזו חזרה לחיים בצורה של <strong>&ldquo;Warrant Canary&rdquo;</strong>.</p> <h2 id="מהו-warrant-canary">מהו Warrant Canary?</h2> <p>זוהי הצהרה פומבית, המפורסמת ומתעדכנת באופן קבוע על ידי ספק שירות (אפליקציית הודעות, VPN, אחסון), המאשרת כי עד לאותו תאריך מדויק, הוא לא קיבל שום בקשה חוקית חשאית המאלצת אותו להתפשר על נתוני המשתמשים שלו — כגון <em>National Security Letter (NSL)</em> אמריקאי או צו שהוצא על ידי בית משפט FISA.</p> <p>העדינות — והחומרה — של הכנרית טמונה במה שקורה כשהיא נעלמת.</p> <blockquote> <p>אם שירות שהציג בכל חודש את ההצהרה <em>&ldquo;לא קיבלנו צווים חשאיים&rdquo;</em> מפסיק לפתע לעדכן אותה, המשתמש המושכל מסיק את המובן מאליו: <strong>הכנרית מתה</strong>.</p> </blockquote> <p>החברה הפכה למטרה של צעד מעקב המלווה ב<strong>צו איסור פרסום</strong> (<em>gag order</em>), האוסר עליה מבחינה חוקית לחשוף את קיומה של בקשה זו. מכיוון שהם לא יכולים לומר שהם נפרצו, הם פשוט מפסיקים לומר שהם בטוחים.</p> <h2 id="עידן-המעקב-הבלתי-נראה-ועקיפת-השתיקה">עידן המעקב הבלתי נראה ועקיפת השתיקה</h2> <p>בתקופה שבה חקיקה חוץ-טריטוריאלית כמו ה-<strong>CLOUD Act</strong> ו-<strong>FISA</strong> (חוק מעקב מודיעין חוץ) מאפשרת לממשלת ארה&quot;ב לגשת לנתונים המתארחים על ידי חברות מבלי ליידע את היעדים לעולם, Warrant Canary מהווה אחד המנגנונים הבודדים לעקוף את השתיקה הכפויה הזו.</p> <p>עם חוק ה-CLOUD, המחסום הגיאוגרפי אינו קיים עוד: אם נתונים נמצאים תחת &ldquo;שליטה&rdquo; של חברה אמריקאית, ממשלת ארצות הברית טוענת לזכות לגשת אליהם, גם אם השרתים הללו נמצאים פיזית באירופה. הכנרית הופכת אז לאות האזהרה האחרון לפני שהריבונות הדיגיטלית של המשתמש מוקרבת בשקט.</p> <p>זו הסיבה ששחקנים מרכזיים בתחום ה-<em>Privacy</em> אימצו כלי זה כסטנדרט של שקיפות:</p> <ul> <li><strong><a href="https://proton.me/legal/transparency">Proton</a></strong>: שירות הדוא&quot;ל וההודעות השוויצרי מפרסם דוח שקיפות הכולל Warrant Canary קפדני.</li> <li><strong><a href="https://riseup.net/en/canary">Riseup</a></strong>: קולקטיב התקשורת המאובטחת לפעילים שומר על אחת הכנריות המפורסמות והמנוטרות ביותר ברשת.</li> <li><strong><a href="https://arpokrat.com/he/canary">Arpokrat</a></strong>: האקוסיסטם שלנו מתחזק Warrant Canary פומבי, המעודכן קריפטוגרפית, כדי להבטיח שקיפות מוחלטת לקהילה שלנו.</li> </ul> <h2 id="הניתוח-המשפטי-הזכות-לא-לשקר">הניתוח המשפטי: הזכות לא לשקר</h2> <p>עצם קיומה של הכנרית נשען על אחד מעמודי התווך המרתקים ביותר של המשפט החוקתי: דוקטרינת ה-<em>compelled speech</em> (דיבור כפוי) והתנגשותה עם החיסיון המשפטי.</p> <p>הבסיס המשפטי נשען על עיקרון פשוט: <strong>אם למדינה יש את הכוח לכפות עליך שתיקה (באמצעות צו איסור פרסום), אין לה את הכוח החוקתי לאלץ אותך לשקר.</strong></p> <p>לפי התיקון הראשון לחוקת ארצות הברית (ועקרונות דומים באירופה), הממשלה אינה יכולה לאלץ חברה לפרסם הצהרה שקרית מבחינה עובדתית. לפיכך, כאשר חברה מסירה את הכנרית שלה, היא אינה מפרה את צו השתיקה — מכיוון שהיא אינה מודיעה במפורש שקיבלה צו. היא פשוט מממשת את זכותה הבסיסית להפסיק לצאת בהצהרה שאינה נכונה עוד.</p> <h3 id="ההתנגשות-עם-החוק-האירופי">ההתנגשות עם החוק האירופי</h3> <p>הרלוונטיות של הכנרית מחוזקת כיום על ידי <strong>סעיף 32 של חוק הנתונים (תקנת האיחוד האירופי 2023/2854)</strong>. הוראה זו מחייבת ספקים ליישם אמצעים טכניים ומשפטיים כדי למנוע גישה לנתונים על ידי רשויות של מדינות שלישיות כאשר הדבר סותר את החוק האירופי. מותה של כנרית מסמן מיד התנגשות חוקים זו: הספק כנראה נאלץ לעקוף ערבויות אירופיות כדי לספק צו זר.</p> <h2 id="הגישה-של-arpokrat-ריבונות-כברירת-מחדל">הגישה של Arpokrat: ריבונות כברירת מחדל</h2> <p>באקוסיסטם של <strong>Arpokrat</strong>, הפועל תחת סמכות השיפוט של חוק הגנת הנתונים השוויצרי (FADP - RS 235.1), הכנרית מקבלת מימד חזק עוד יותר. זה חלק מגישה הוליסטית לריבונות דיגיטלית: <em>Zero-Knowledge</em> (אפס ידיעה).</p> <p>הארכיטקטורה מתוכננת כך שהחברה יוצרת <strong>חוסר אפשרות טכנית ומתמטית</strong> לציית לצו. המדינה או סוכנות ביון יכולים להוציא את כל הצווים שהם רוצים, התשובה תישאר זהה: אין מפתחות פרטיים, אין זהויות (Zero-ID), ואין מטא-דאטה מרוכז שניתן למסור.</p> <p>בהקשר זה, הכנרית אינה רק אזהרה מפני פריצה; זו ההוכחה הפומבית הרציפה לכך שהתשתית נותרה בלתי ניתנת לחדירה טכנית ונאמנה לעקרונותיה.</p> <h2 id="סיכום">סיכום</h2> <p>בסופו של דבר, Warrant Canary הוא חלק מה<strong>גמישות המשפטית</strong> המשלימה את הגמישות הקריפטוגרפית הדרושה כדי להתמודד עם אופק האיומים המודרניים (כמו מחשוב פוסט-קוונטי). בתשתית שבה נתונים הם ריבוניים מעיצובם, הכנרית אינה רק ציפור פשוטה במכרה: היא השומר השקט של המבצר הדיגיטלי שלך.</p>