על בעיות אבטחה ישנות

בזמן האחרון צצו כמה בעיות אבטחה מוזרות. מה שמוזר בהן זה לא הבעיות עצמן, אלא העובדה שהבעיות הינן בנות מספר שנים, ועדיין תקיפות.

הבעיה הראשונה הינה התקפת Land על חלונות XP. זוהי התקפה בת לפחות חמש שנים, סביר להניח שיותר. התשובה של מיקרוסופט? “זו לא בעיית אבטחה, כי המחשב לא קורס, ואחרי שההתקפה מסתיימת המחשב ממשיך לעבוד כרגיל. תשימו firewall”. מה? איך תריץ שרת אם ה-firewall שלו חוסם את כל הפורטים?

לצורך ההקשר, שליחת packet בודד לכל port פתוח של המכונה יכולה לגרום למכונה להשקיע את כל משאבי המעבד שלה בלשלוח תעבורת רשת לעצמה. תהליכים רגילים לא מצליחים לפעול במהלך כשלושים שניות. ראוי לציין שדבר לא מונע ממני לשלוח חבילה שניה אחרי שלושים שניות. גודל החבילה הוא 40 בתים. אני חושב שכל אחד יכול להבין שלא צריך נפח תקשורת גדול מידי כדי להביא כל חוות שרתים סבירה לידי כניעה מוחלטת.

אבל מה שמעניין פה זה לא התגובה של מיקרוסופט. כבר התרגלנו לזה שמיקרוסופט לוקחת בעיות אבטחה אמיתיות וטוענת שהן כלום. מה שמטריד פה זה שזו בעיה כל כך ותיקה, עד שכבר שכחנו לבדוק אם היא עדיין קיימת.

ולפני שאוהדי הלינוקס מבין קוראי מוציאים את הדגלים, מסתבר שבלינוקס יש בעיות דומות. לא באותה רמה – הפעם מדובר על מישהו שצריך להיות בעל חשבון רשום על המכונה. עדיין, התקפה שאני לראשונה שמעתי עליה ב-1991 (כן, כן, לפני כמעט 14 שנה) עדיין עובדת על רוב ההפצות המודרניות של לינוקס. לא על דביאן.

בניגוד למקרה המיקרוסופטי, לא מדובר פה בבאג בקרנל. מדובר פה בניהול משאבים נכון. אנשי דביאן (גם FreeBSD ו-OpenBSD) כיוונו את המערכות להיות חסינות לבעיה הזו כברירת מחדל. אנשי RedHat, Gentoo ו-Mandrake לא חשבו על ההתקפה הזו כאשר כיוונו את המערכות להתקנה. היא פשוט ישנה מידי.

רק כדי להסביר, fork הינה פקודה שמייצרת תהליך חדש במערכת ע”י שכפול התהליך הנוכחי. fork bomb הינה תוכנית קטנה אשר מייצרת תהליכים בלולאה. למעשה, מדובר בתוכנית הפשוטה הבאה:


#include <sys/types.h>
#include

int main()
{
while(1)
fork();
}



זהו. רק לקמפל ולהריץ כמשתמש פשוט, והרבה מהפצות הלינוקס המודרניות יורדות על בירכיהן. כדי למנוע את ההתקפה, יש להגביל את כמות התהליכים שמשתמשים לא חזקים יכולים להריץ בו זמנית.

אני רק אציין במאמר מוסגר שבעוד שמכונת הדביאן שלי מגבילה אותי ל-4096 תהליכים כאשר אני מתחבר בצורה טקסטואלית, אני לא מוגבל כאשר אני מתחבר בצורה גרפית או דרך SSH. עוד לא בדקתי את היכולת להריץ fork bomb. אני אדווח אחרי שאני אשמור את הנתונים שלי.

צריך להרים פרוייקט של “רשימת קניות” של בדיקות שצריך לעשות על מערכת לפני שמכריזים עליה כשירה לעבודה.

שחר

מיקרוסופט והאיחוד האירופאי

ה-European Commision כועס על מיקרוסופט. לפני זמן מה הם מצאו אותה אשמה בהתנהגות מונופוליסטית דורסנית, ודרשו פתיחה של פרוטוקולי התקשורת.

וכאן, בעצם, הבעיה. מיקרוסופט אומרת שהיא פותחת אותם, אבל בפועל היא בעצם נותנת רשיון שמזכיר קצת קניה של רשיון של SCO. אתה משלם יותר מידי כסף, מקבל קצת דברים טובים, והרבה סכנות משפטיות בהמשך הדרך.

למרבה השמחה, האיחוד האירופאי לא ממש מתלהב מהרעיון. מה שמשמח אותי במיוחד זה ההבנה של הבעיה האמיתית עם מה שמיקרוסופט מציעים. האיחוד מדבר על ארבעה מכשולים עם מדיניות הרישוי הנוכחית של מיקרוסופט:
1. חברות שרצו גישה לתיעוד התקשו לקבל אותה.
2. חברות שרצו לקנות גישה לפרוטוקולים מסויימים נאלצו לשלם על גישה גם לפרוטוקולים שבהם הן לא מעונינות.
3. מפתחים של מוצרי קוד פתוח אשר מתחרים במיקרוסופט לא יכולים לקבל גישה לפרוטוקולים
4. רמת המחירים אינה מוצדקת.

על פי ג’ונתן טוד, דובר הגוף המפקח, מספר 4 הוא המשמעותי ביותר.

לדעתי, מיקרוסופט עומדת להתפשר על 1, 2 ו-4. פשוט, התפשרות על הנקודות האילו עשויה, מבחינתם, להסיר את הגוף האירופאי מהגב שלהם, בלי לייצר תחרות מצד הגוף שהכי מסכן את המונופול שלהם – מוצרי הקוד הפתוח. הם לא עומדים להתפשר על 3 בקלות.

בעתיד הקרוב אנחנו נתחיל לשמוע טיעונים בסגנון של:
“האיחוד האירופאי דורש מאיתנו לוותר על הקניין הרוחני שלנו”
“לא ניתן לגבות כספים…”
וכו. לא צריך לקחת את הטיעונים האילו יותר מידי ברצינות. הבעיה האמיתית של מיקרוסופט עם מספר 3 היא שמספר 3 באמת באמת יעשה צעדים משמעותיים לפתרון אותה ההתנהגות שגרמה למיקרוסופט להמצא אשמה בדין פלילי. במילים אחרות, מיקרוסופט לא עומדת להסכים לפתוח את הפרוטוקולים שלה בפני פרוייקטי קוד פתוח בגלל שזה הצעד הכי חשוב לפתרון הבעיה.

עם כל השמחה שלי על זה שהארגון שאמון על אכיפת הצו מודע לחשיבות של פרוייקטי קוד פתוח, אני קצת בספק אם הם יצליחו לעשות משהו בנידון. למיקרוסופט יש המון מרחב תמרון פה, וסביר להניח שהם ינצלו אותו עד למקסימום שהם יחשבו שהם יכולים. לא סביר לצפות לפתרון מהיר של הבעית שמועלות פה, ובוודאי לא של נקודה מספר שלוש, שבמובנים מסויימים היא הבעיה הכי חשובה.

שחר

הכל בתזמון – עדכוני אבטחה

כדי לנסות לארגן “גילוי אחראי” (Responsible disclosure), הוקם גוף בשם “CERT”. מטרת הגוף היתה לתאם בין חוקר שמעוניין לדווח על בעיית אבטחה, לבין כל הגופים שנועדו לדעת על הבעיה ולתקן אותה. המטרה היתה שהבעיה לא תפורסם עד שיש תיקון. אחת מהביקורות המרכזיות על CERT היא שהוא גוף שחושב יותר מידי על טובת הספקים.

כדי להבין עד כמה הנושא בעייתי, הרי דוגמא שקרתה לי באופן אישי. כשעבדתי בצ’ק פוינט, היתה פניה מצד לקוח שביקש לקבל תיקון אבטחה לבעיה שבאותו זמן היתה בתיקון. הוא היה “מנוי” של אחד הארגונים (אני לא זוכר אם CERT או Security Focus), והוא קיבל התראה מוקדמת על עובדת קיום בעיית האבטחה. הוא פנה אלינו כדי לקבל את הפתרון.

בזמנו הפניה נראתה לי נורא מוזרה. אחרי הכל, אם היה לנו את הפתרון לבעיה, כבר היינו מפרסמים אותו לכל העולם. למה שיהיה לי פתרון לתת ללקוח הספציפי הזה, ולא לתת אותו לשאר האנשים.

מה שנראה לי מוזר בתור ספק, נראה לי מוזר היום שבעתיים כאשר אני צרכן. והנה, מובן או לא, רויטרס מדווח שמיקרוסופט הגיעה להסכם עם גופים במשרד הבטחון האמריקאי שאומר שהם יקבלו עדכוני אבטחת מידע עד חודש מוקדם יותר מאשר הציבור הרחב.

מאוד לא ברור.

או שיש פתרון, או שאין פתרון. אם יש למיקרוסופט פתרון, הרי שבאופן אפקטיבי הם מודיעים לנו, הציבור הרחב, שהם מחזיקים את הפתרון אצלם במשך חודש ימים, רק כדי שמשרד ההגנה האמריקאי יעשה… מה, בעצם? מצד שני, אם הפתרון עוד לא מוכן, הרי שלמה שהפתרון הזה יהיה יותר שימושי למשרד ההגנה האמריקאי מאשר לי או לך?

תיאוריה אחת גורסת שהצעד הזה הוא במסגרת של “Homeland security”. הרעיון הוא שה”אנשים הרעים” מקבלים את הידע איפה נמצאים החורים ע”י הסתכלות על התיקונים. ע”י זה שנותנים את התיקונים למשרד ההגנה האמריקאי קודם, לא מאפשרים לתוקפים לתקוף. יש כמה חורים בטיעון הזה:
1. התוקפים מוציאים את החורים מהעדכונים מכיוון שמשם הכי נוח להוציא אותם כרגע. אם יעשו את זה פחות נוח, הם יוציאו את החורים ממקומות אחרים, בלי שהם באמת ישקיעו יותר מאמץ. דבר זה נכון במיוחד עבור אותם גורמים שרוצים לתקוף דווקא את משרד ההגנה האמריקאי.
2. ע”י זה שמיקרוסופט מעכבת את שיחרור התיקון, היא בעצם מגדילה את החשיפה של כל מערכות העולם להתקפות. משרד ההגנה האמריקאי הוא לא התשתית הקריטית היחידה. בסך הכל, אפילו המטרה שהם באו להשיג נפגעת מצעד שכזה.
3. ע”פ נסיון העבר, הסיכוי שמחלקות הממשל מסוגלות לסגור את כל המחשבים תוך חודש נראה לא סביר. לאור הנ”ל, לא ברור מה זה ישיג.

בסך הכל, צעד רע לכל הנוגעים בדבר.

שחר

שפיות בפסיקה בארץ?

עידו קינן כותב כותב בבלוג שלו על נסיון של מעריב להוציא צו מניעה נגד אתר alljobs.co.il. הנסיון נכשל.

יש כמה נקודות מאוד מעודדות בפסיקה של השופט יהודה זפט. אני נותן שני ציטוטים מעודדים במיוחד:
ייתכן שיש בפעילות המשיבים כדי לגרום לכך שמפרסמים יעדיפו לפרסם את מודעתם אצל המשיבה בשל חשיפה גדולה יותר בפני ציבור מחפשי העבודה ובכך תיפגע הכנסתה בתחום זה, ברם, פגיעה אפשרית זו היא תוצאה של תחרות שהציבור יוצא ממנה נשכר, שאין כל הצדקה למנעה כל עוד אין בידי המבקשת זכות ברת הגנה.

בעברית – הזכות להרוויח כסף ממשהו שהכניס כסף בעבר היא לא זכות שמעניינת את בית המשפט, שאם לא כן לעולם לא היתה חדשנות בשוק. זהו משפט מאוד חשוב.

12. לטענת המבקשת, השקיעה ממון רב בהקמת תשתית לתפעולם של המוספים ואתר האינטרנט, והשימוש שעושים המשיבים במידע הכלול במוספים ובאתר האינטרנט של המבקשת עלול לגרום לכך שקהל הקוראים המעוניין לברר מידע אודות הצעות עבודה יפסיק לרכוש את העיתון ויחדל לגלוש לאתר של המבקשת. בנוסף, ציבור המפרסמים עלול להפסיק לפרסם אצל המבקשת בשל המוניטין שירכוש האתר של המשיבה הכולל אלפי מודעות עבודה המועתקות ממקורות נוספים. עוד טוענת המבקשת, כי אם לא תחדל המבקשת להשתמש במידע המתפרסם במוספים יחדלו המוספים ודומיהם להתקיים, למשיבה לא יהיו מקורות העתקה והאינטרס הציבורי בקיומם של המוספים ייפגע.

איני סבור שהתרחיש אותו מתארת המבקשת הוא התרחיש האפשרי היחיד. סביר להניח שהמבקשת ואחרים הפועלים באותה דרך ישכילו למצוא דרכים להתקיים לצד האתר של המשיבה ודומים לו.


במילים אחרות – התרחיש העגום של אבדן לכל משתמשי האינטרנט אם יאפשרו לאתר להמשיך לפעול הוא תרחיש מגמתי, ורחוק מלהיות התרחיש היחידי. תרחיש יותר סביר זה שתושג נקודת איזון חדשה.

עכשיו רק נותר לשאול “למה הפסיקה בפורמט קנייני?”. לא נורא, Open Office מסתדר עם הקובץ מצויין.

שחר

שמור אותי אלי מאוהבי

משונאי אשמר בעצמי.

העולם הוירטואלי מלא בסכנות. רוב האנשים חושבים על הוירוסים, הרוגלות והספאם בתור האיומים המרכזיים. בעוד שאילו אכן איומים, אילו איומים מצד אנשים שלא מעוניינים בטובתי. מכיוון שאילו אנשים שלא מעוניינים בטובתם של עוד המון אנשים, האיומים האילו הם לא אישיים, ויחסית קל להתמודד איתם. אנטי וירוס (או, כמו במקרה שלי, עבודה על מערכת הפעלה שמחוץ לטווח הסכנה), Firewall וכו’, ביחד עם עבודה זהירה ושקולה מצליחים לשמור את המחשב שלך נקי מהתקפות. יש מחיר לשלם, אבל כל אחד יכול להחליט אם הוא מעוניין או לא לשלם אותו.

אבל יש עוד סוג של סכנות. אילו הם סוחרי הזהויות הבדויות, מוכרי כתובות הדוא”ל, ארגוני ענק שמסוגלים להצליב את הכתובת שלכם עם מה קניתם בחנות הספרים המקוונת עם לאילו אתרים אתם נוהגים לגלוש, ולמכור את המידע עליכם למי שרוצה לדעת את מצבכם הפיננסי. אילו הם האיומים על צנעת הפרט שלכם.

חלק מהדברים קל לעצור. אם הדפדפן שלי מדווח לי על נסיונות של אתרים נלווים לשים לי cookie על המחשב, ומאפשר לי לחסום את האתר, אני קצת יותר בטוח.

חלק מהדברים יותר קשה לעצור, אבל הן עדיין תלויים רק בי. שימוש מושכל בשמות מתחם מאפשר לתת כתובות מייל שונות לארגונים שונים, ובכך גם לדעת מי העביר למי, וגם להקטין את היכולת של הארגונים לעשות הצלבה. אילו פתרונות שפחות פתוחים בפני מי שאינו יודע איך להריץ שרת שמות מתחם משלו, למרות שיש ספקי פתרונות שנותנים דברים דומים. אני יודע שחלק מקוראי הבלוג שלי משתמשים בדברים כאילו, אז אני אתן להם להמליץ אם הם מעוניינים.

אבל יש גם נקודה אחת שאותה, מסתבר, אי אפשר לעצור. קיים ניצול לרעה של הרשת שפשוט אין איך לעצור אותו. זהו ניצול לרעה על ידי חברים ומשפחה.

אני אתן שתי דוגמאות שקרו, שתיהן, בשבוע האחרון.
1. אני מחזיק רשימת תפוצה של חברים. היא נועדה בעיקר כדי לספר לאנשים על מסיבות מתוכננות ומפגשים, כמו גם כדי לארגן טיולים וכדומה. מידי פעם, אבל, מישהו מתעלם/לא חושב/לא מתחשב בבקשה שלא לשלוח מכתבי שרשרת. עד כמה שלא נבקש, תמיד יש מישהו שחושב שהבדיחה הזו מצחיקה במיוחד, התמונות האילו חמודות במיוחד, או שהמטרה הזו מצדיקה התעלמות, שולח דברים לרשימה.

2. היום בבוקר קיבלתי הזמנה ל-messenger של יאהו. מישהו ממשפחתי לא השקיע את המחשבה שאם הוא רוצה שאני אשתמש ביאהו, הוא צריך לשלוח לי דואר. במקום זה, הוא לקח את כתובת הדואר שלי, שאני נתתי לו, ונתן אותה ליאהו, כדי שהם ישלחו לי את הדואר שמזמין אותי.

לכאורה, שני הדברים הם דברים קטנים. הבעיה עם הדברים האילו היא שהדברים הקטנים האילו מייצרים חורים לדברים גדולים יותר. איך אני יכול לבוא בטענות ליאהו על חריגה מכללי הפרטיות שלהם, אם לא היתה לי הזדמנות להחליט אם אני רוצה או לא רוצה לתת להם את הפרטים שלי מלכתכילה? למה בני משפחתי חושבים לאני אשמח יותר לקבל הזמנה מיאהו מאשר מהם? הם באמת חושבים שאני יותר אוהב את יאהו?

הדברים האילו מראים על חוסר מחשבה. הבעיה האמיתית היא, שחוסר המחשבה הזו באה אחרי בקשות מפורשות מצדי שלא לעשות דברים כאילו. זה לא שאני מבקש מחברי להבין את השלכות מעשיהם בלא שיהיו להם את הכלים. כל הדברים הנ”ל הם דברים שהסברתי, הן לאילו ששלחו אלי את האזהרות (חסרות הבסיס, אבל זה בכלל לא רלוונטי) על תחנת דלק שמוכרת דלק מהול, והן לבני משפחתי שנתנו, בלי להשקיע שניה של מחשבה, את כתובת האימייל שלי למישהו שאני ממש מעדיף שלא תהיה לו אותה. לא מדובר פה בבורות. מדובר פה בחוסר תשומת לב פושעת במקרה הטוב, ובחוסר איכפתיות במקרה הרע.

וכאן הבעיה האמיתית. אם יש מישהו שחורג ממה שאני רואה כהתנהגות הולמת, אני מנסה להתרחק ממנו. מצד שני, ועד כמה שאני לפעמים פנאט, אין לי כוונה לנתק קשרים, לא עם חברי ולא עם משפחתי, בגלל דברים כאילו. כל מה שנשאר לי זה להתעצבן, ולבקש שוב.

שמור אותי אלי מאוהבי. אני לא יודע איך להשמר מהם בעצמי.

שחר

עדכון על העדר העדכונים

חברה, ממש כיף לי שאתם מתגעגעים לבלוג שלי. אני גם ממש מתנצל על ההעדרות.

לינגנו מעבירה הילוך עם שירותי הגיבוי לעסקים קטנים שלנו, וזה גוזל כמות נכבדה של זמני. כתוצאה מכך, תדירות העדכונים פה נפגעת. עמכם הסליחה.

וזה לא שלא היה על מה לכתוב. הפרלמנט האירופאי הראה חוסר כל התחשבות במטרות שלשמן קיימים חוקים, בכל עסק שמפתח תוכנה שגודלו מתחת ל-5000 אנשים (וכתוצאה מכך – תוכנה חופשית), ובוועדות שלו עצמו. רציתי לכתוב על כך, וייתכן שעוד אגיע לזה.

יש הרבה על מה לכתוב. הזמן, הזמן קצר.

השידורים הרגילים יחזרו אליכם במהרה בימינו, אמן.

סלה

שחר

rsyncrypto – דו"ח מצב

אני חוזר עכשיו מביתה של שושנה פורבס, שם היא היתה נדיבה מספיק כדי לתת לי להתעסק קשות עם לנסות להריץ את rsyncrypto על ה-Mac שלה.

לכל מי שלא יודע, קיימות שתי שיטות מרכזיות לייצוג מספרים בזכרון. Little endian, שבעולם ה-32 ביט ומעלה קיים כמעט אך ורק אצל אינטל, ו-Big endian של כל השאר. כאשר כותבים תוכנות שאמורות לשלוח נתונים על רשת או בקבצים, צריך לוודא שקבצים שנוצרו ע”י מכונות מסוג אחד מסוגלים להקרא ע”י מכונות מהסוג השני. בגלל זה אני מנסה לשים את ידי כבר כמה זמן על מכונה שאיננה של אינטל. עקב סיבות מסיבות שונות חוות הקומפילציה של Sourceforge אינה מתאימה לצרכי כרגע.

ובכן, דו”ח הרצה של rsyncrypto על Mac OS X ועל Ubuntu Linux for Power PC. על לינוקס, המצב כמעט בסדר. אפשר לפענח קבצים קטנים שהוצפנו על מכונות אינטל, והמפתח הסימטרי נשמר אותו הדבר. קבצים גדולים לא עובדים.

על Mac OS X המצב פחות טוב. מסיבה שלא ירדתי לעומקה, נראה שלא ניתן להשתמש ב-bzero כדי לכתוב לקובץ שנפתח Write only. לא ברור בכלל למה. בפירוש יש פה הבדל סמנטיקה בין לינוקס לבין FreeBSD. כשתהיה לי גישה למכונה בלי שאני צריך לשבת למישהו בבית (ועוד להשתמש בעכבר שמאלי על מערכת שאני בקושי מכיר….), אני אבדוק למה.

שחר

עוד יריה עצמית ברגל של מיקרוסופט

זה דווח כבר דיי מזמן בסלאשדוט, אבל עכשיו גם בעברית ב-ynet.

בקצרה – מיקרוסופט לוקחת את עשרים יצרני המחשבים הגדולים ביותר שלה, ואומרת שעותקי XP שנמכרים על ידם לא יוכלו להיות מופעלים דרך האינטרנט.

רקע מהיר: הפעלה פירושה התהליך של קשירת העותק של מערכת ההפעלה שקניתם למחשב ספציפי. אחרי שהקשתם את המספר הסידורי, מיוצר זיהוי של המחשב. מערכת ההפעלה דורשת קוד הפעלה שמתאים לזוג “קוד סידורי” ו”זיהוי מחשב”. הדרך להשיג את קוד ההפעלה הזה הוא על ידי יצירת קשר עם מיקרוסופט. המטרה – למנוע מצב שאותו ה-CD ואותו מפתח משמשים להתקנת כמה מחשבים.

בלי להכנס לשלל הדרכים לעקוף את זה, מה שקרה זה שייצרני המחשבים הגדולים לא היו צריכים להפעיל את המחשבים הספציפיים, אלא קיבלו מנגנון אחר. כתוצאה מכך, היו אלפי מחשבים בחנויות שהמפתח שלהם היה כתוב על המדבקה על המחשב, ומיקרוסופט לא ידעה אם הופעלו כבר או לא. כדי למנוע את הזיוף שקורא כאשר מישהו מעתיק את המספר ממחשבים בחנויות, ומתקין עם זה על מחשב משלו, מיקרוסופט דורשת הזדהות יותר רצינית ממי שמפעיל עותק של חלונות שנקנה מאותם 20 ספקים גדולים, דבר שיכול לקרות רק בטלפון, לא באינטרנט.

דבר ראשון, מה ההשלכות של זה. זה כנראה לא עומד להשפיע על אף אחד בארץ, בתור התחלה, למעט אולי לקוחות של Dell. אנחנו פשוט לא ברדאר של מיקרוסופט.

מצד שני, מי שזה כן עומד להשפיע עליו, לא יוכל:
1. להתקין מחדש את המחשב.
2. לשנות קונפיגורציה מעבר לסף מסויים

בלי שיש לו את חשבוניות הקניה, ומי יודע אילו עוד פרטים. בוודאי שתהיה לו בעיה למכור את המחשב הלאה.

גול עצמי

מה שחשוב להבין פה זה את גודל הגול העצמי. שוק ייצרני המחשבים הינו השוק שבאמצעותו מיקרוסופט מוכרת.

לצורך נקודת ההתייחסות, ב-1998 המכירות, הן של RedHat והן של Suse באירופה של תוכנות מדף היו גדולות מאילו של Windows 98. איך, אתם שואלים? מכיוון שחלונות לא נמכרת מעל המדף. היא נמכרת בתוך מחשבים חדשים. כך היה מאז ומעולם.

והנה, מיקרוסופט שמה רגל דווקא לאותם ספקים שהעלו אותה לגדולה. מילא לאותם ספקים, אלא שדווקא לגדולים ולרווחיים שבספקים. כתוצאה מהמהלך של מיקרוסופט, יש ייתרון ברור לקניית מחשב מספק קטן יותר מאשר מספק גדול. מערכת ההפעלה שקניתם מספק קטן שווה יותר (אפשר להפעיל אותה דרך האינטרנט) מאשר זו שקניתם מספק גדול. אין גבול לאבסורד.

למרבה השמחה, עיוותים מסוג זה נותים להסתדר מעצמם לאחר זמן קצר. או שמיקרוסופט תרד מהרעיון, או שהספקים יירדו מהרעיון של לתת מערכת הפעלה עם המחשב, או שמיקרוסופט (בלחץ הספקים) תתחיל לא לאפשר לאף אחד להפעיל דרך האינטרנט, ואנחנו נרד מהרעיון של להשתמש בחלונות. כך או כך, דברים רעים מסוג זה לא יכולים להמשך לאורך זמן (אני מקווה).

שחר

Bear