סיימנו את שלב הבחינות בדרך למפתח דביאן

בשעה טובה ומוצלחת, סיימנו את שלב הבחינות בדרך ללהיות מפתח דביאן. ניתן לקרוא את הדו”ח של האחראי על הבקשה שלי, כמו גם לקבל את הסטטוס המעודכן של מצבי.

נכנסתי לשלב שבו אני מחכה לאישור של “Front Desk”, תהליך שלוקח כחודשיים. אחריו צריך לאשר את הבקשה “Debian Account Manager”, תהליך שלוקח עוד כחודשיים וחצי – שלושה. במילים אחרות, יש לי עוד חצי שנה עד שאני אהיה מפתח דביאן בפועל אם הכל ילך חלק.

תחי הבירוקרטיה!

שחר

הכלכליות של ספאם

הנה, עוד חברה גדולה מחליטה ללכת בדרך הספאם. הכתבה ב-NRG מספרת על זה שחברת “מפה” שולחת ספאם.

אם לצטט את הציטוט של סמנכ”ל השיווק של החברה: “מדי שנה יוזמת החברה מאות פרויקטים בתחום השיווק הישיר, וזאת במטרה לדלג על פערי התיווך שמגיעים ל-60% ממחיר הספרים. בשיטת שיווק זו שני הצדדים יוצאים נשכרים: הצרכן מקבל את המוצר בהנחה משמעותית ובידי המו”ל נשאר רווח גדול יותר”.

החלטתי להסביר למה ההסבר הנ”ל פשוט אינו נכון. בשיווק באמצעות ספאם יש, בעצם, שלושה צדדים. החברה שמוכרת, הנמענים שמעוניינים במוצר, והנמענים שאינם מעוניינים במוצר. מתוך השלושה האלו, רק שניים יוצאים נשכרים.

בניגוד למה שטוען חיים אזאצ’י, חלק מאותם 60% לא נובעים מפערי התיווך, אלא מעלויות ממש שנחסכות מהחברה. אם הן היו נחסכות וזהו, הייתי אומר “דיינו”. זה לא המצב. העלויות האלו עדיין נמצאות שם, אבל הן מופלות על מקבלי הספאם.

יש שני סוגים של עלויות. הראשונה היא העלות הישירה של משלוח כמויות של דואר. כל משלוח כזה דורש שאילתות מול שרתי DNS, רוחב פס למשלוח ההודעה עצמה, ונפק איכסון כדי לשמור אותה עד שהנמען מוחק אותה. כל הנ”ל הן עלויות שנופלות על ספקי האינטרנט, ואלו מפילים אותן עלינו דרך דמי המנוי. במילים אחרות, אפילו אם הספאם פילטר שלכם מצויין, או שאף ספאמר לא מכיר את הכתובת שלכם, אתם עדיין מממנים את הוזלת העלויות לאותם אנשים שיקנו את הספר של “מפה” בהנחה. אני מקווה שאתם גאים בעצמכם.

העלות השניה היא העלות שאליה מתייחס חיים במאמר. אם לצטט את הציטוט שוב: “הרי ניתן לשאול: האם כל פעילות אחרת של שיווק ישיר לגיטימית? האם סקרים טלפוניים הם פעילות שאינה מטרידה? האם איש מכירות שקופץ עליך בקניון פועל בצורה לגיטימית? האם אינסרט פרסומי שנופל מעיתון מעריב בבוקר מותר? כל מי שאינו אוהב את השיטה הזאת יכול להסיר את עצמו מרשימת התפוצה, וכל השאר מוזמנים ליהנות מהמבצע”.

התשובה נמדדת בכמותיות. אם הייתי מקבל דואר אחד ליום, בהחלט ייתכן שהייתי פוטר אותו כמטרד שהוא המחיר שאני משלם על היותי אזרח משתמש באימייל. למרבה הצער, כמויות הספאם שאני מקבל, כמו גם היחס בין כמות הספאם לכמות הדואר הלגיטימי, הן כאלו שזהו כבר לא המצב.

אם לא ניתן היה לצעוד בקניון ללא מצ’טה מרוב אנשים שקופצים עליך ומנסים למכור לך משהו, הרי שבהחלט היינו חושבים ששיטת המכירות הזו היא חודרנית מידי. אם מרוב עלונים שיש בתיבת הדואר היתה אומרת לכם רשות חברת הדואר שהם מפסיקים להביא לכם דואר הביתה, ושאתם צריכים לבוא אליהם לקחת אותו, הרי ששיטת המכירה הזו היתה הופכת גם היא ללא לגיטימית. זו גם הסיבה שפרסומות בטלויזיה כל כך מעצבנות אותנו, או שלדעתי טלמרקטינג הביתה הוא לא לגיטימי אף הוא. השאלה שאנו צריכים לשאול את עצמינו היא “עד כמה נפגעים כל אלו שלא מעוניינים במוצר משיטת הפרסום”.

במילים אחרות, ספאם הוא לא לגיטימי בגלל שהוא מנצל לרעה את העובדה שאני משלם על האינטרנט שלי, ושאני מעוניין לקרוא דואר אלקטרוני, כדי לדחוף לי פירסומות שאני לא מעוניין בהן, וכל זאת על חשבון הכיס שלי ועל חשבון הזמן שלי. לפחות פרסומות בטלויזיה באמת משלמות על המדיום.

עצוב שחברה גדולה בוחרת במסלול הזה כדי לפרסם, ובזאת נותנת לגיטימציה למסלול. אני, באופן אישי, לא אחליף את אטלס מפות הכבישים שלהם שבו אני משתמש היום בגרסה החדשה שלהם. בואו נקווה ש”כרטא” לא יתחילו גם לשלוח ספאם, כי אז אני לא יודע איך אני אדע לאן לנסוע.

שחר

להיות חנון זה מדבק

לפני כשבועיים החלפנו לחברה שלי (נקרא לה מ’) את גרסת מערכת ההפעלה מדביאן סיד (unstable) לדביאן סארג’ (Stable). התוצר היה שבוע שלם של תלונות על תוכנות ששינו את מיקומן, את הצורה שבה הן עובדות, ושומרי מסך שהיא אהבה שנעלמו לה.

כהערת אגב אני אציין שכל התלונות האלו באו, בסך הכל, במעבר (אמנם אחורה) בין KDE 3.4 ל-KDE 3.2. לאור החוויות של אחותי עם ויסטה (עשר דקות תמימות של לחפש איך מגדירים תצוגה, מעל יום של חיפושים איך מגדירים לראות סיומות קבצים ללא הצלחה), אני ממש לא מבין את מי שמתעקש להשאר עם מיקרוסופט לאורך גרסאות בגלל ש”זה מה שהוא מכיר”.

בחזרה לנושא הסיפור, חברתי הנ”ל, שאינה חנונית (לפחות בכל מה שקשור למחשבים) התלוננה קשות. ישבתי איתה להסביר למה יש הבדל בין הגרסאות, איך באות גרסאות חדשות של דביאן לעולם, ומהו תפקידו של סיד בכל הסיפור. בין ההסברים על הקפאת פיצ’רים, באגים חוסמים ומועדי שיחרור, הסברים שהיא הבינה לחלוטין, היתה רק נקודה אחת שאיתה היא הסתבכה.

הנקודה היתה מי היה Etch ב”צעצוע של סיפור”?

שחר

הצעת שיפור לחוק זכויות היוצרים

דבר ראשון, הרשו לי להסביר למה, לדעתי, בכלל יש צורך בשיפור של חוק זכויות היוצרים.

אוקיי, להסביר הכל יקח יותר מידי זמן. אני אתמקד בנושא שאותו אני מציע לשנות הפעם

חוק זכויות היוצרים, כמו כל שאר חוקי ה”קניין הרוחני”, נועד לעודד יוצרים להעשיר את הידע האנושי הכללי. הנחת היסוד שעומדת בבסיס החוק היא שיוצרים יהססו לשחרר לעולם את יצירותיהם אם הם לא יקבלו תמורה בעבור מאמצם. באופן ספציפי לגבי זכויות יוצרים יש עדויות מסויימות שהדבר לא בהכרח נכון, אבל לא נכניס את הדיון הזה לכאן כרגע.

אפשרות אחת לטפל בבעיה היא על ידי זה שניתן ליוצרים בלעדיות על ההחלטה מה ומי ישתמש ביצירותיהם. כמובן שאלא אם כן נכליל גם את היצירות הנגזרות מהם, לא עשינו כלום. יש שתי בעיות עם החלטה שכזו, אבל אני אתייחס פה רק לאחת מהן: זה נותן תמריץ, אבל זה לא מעשיר את הידע האנושי. יצירה שנשארת בבעלות בלעדית של יוצרהּ מעשירה את היוצר, אבל לא את הידע האנושי.

כדי להתמודד עם הדילמה קבעו כותבי חוק זכויות היוצרים המקורי את האיזון הבא: היוצר מקבל שליטה כמעט מוחלטת על היצירה שלו, אבל השליטה הזו מוגבלת בזמן. לאחר תום תקופת השליטה, עוברת היצירה להיות נחלת הכלל (באנגלית – public domain). הרעיון הוא שליוצר יש תקופה מוגבלת להנות מפירות יצירתו, ובסיומה היצירה ניתנת לכלל הציבור כדי שהידע האנושי אכן יועשר.

בעוד שאם הרעיון הטהור אני מסכים למדי, יש לי בעיות עם המימוש. תקופת ההגנה הוארכה כמות לא סבירה של פעמים במהלך המאה האחרונה (בעיקר בגלל שדיסני לא מעוניינים לתת את מיקי מאוס ואת דונלד דאק לכלל), הסייגים צומצמו, ושאר פגיעות שמפירות את האיזון אליו התכוונו מחוקקי החוק במקור. לא זה נושא פוסט זה.

לצורך העניין, אם יש יצירה שכל כך הרבה זמן אחרי שנוצרה עדיין יש לה ערך כלכלי כל כך חשוב, אני מוכן לקבל, בשלב זה, את הרצון של היוצרים להמשיך ולהנות ממנו. הבעיה היא שבד בבד עם רצונה של דיסני למנוע שימוש חופשי במיקי מאוס נכנסו תחת חוקי זכויות היוצרים רשימה ארוכה מאוד של יצירות שספק עם יוצריהם עדיין מעוניינים לשמור על בלעדיות עליהם, אם בכלל התכוונו שיהיו מוגנים בזכויות יוצרים מלכתכילה. יצירות אלו נשללות מהציבור, בניגוד גמור לכוונת מחוקק החוק המקורי. גם אם תהיו מוכנים לשלם בעבורם, לא סביר שתצליחו לאתר את בעל הזכויות כדי לקנות, או שהוא יהיה מוכן למכור.

תופעה זו אינה היחידה שמטרידה אותי. תופעה נוספת שמטרידה אותי היא של יצירות מוגנות בזכויות יוצרים שהיו זמינות לציבור, אבל עקב שיקולים שונים הפסיקו להיות כאלו. זה כולל ספרים שאינם מודפסים יותר, משחקי מחשב ישנים וכו’. כל הנ”ל היו זמינים לציבור הרחב, ואינם זמינים יותר. בפועל, הידע האנושי שהיה יכול להנות מהם בתשלום, כבר אינו יכול לעשות כן.

עכשיו תשאלו אותי האם אני באמת מתכוון שחברה אשר מוכרת משחק מחשב חדש אינה יכולה למשוך את הישן מהשוק, כדי לא להתחרות בעצמה. התשובה החד משמעית שלי היא “כן, לזה אני מתכוון”. אני אסביר למה אני לא חושב שזו פגיעה חמורה בזכותה של החברה להתפרנס.

עצם המכירה של התוכנה בשוק מנצלת את אותו מונופול מוגבל בזמן שניתן לה, והוא שמאפשר לה לבקש כסף על התוכנה בכלל. ללא אותו מונופול היינו יכולים להעתיק את התוכנה בעצמינו ללא צורך לשלם לה. זה, כשלעצמו, אינו דבר שלילי. אחרי הכל, כל מטרת החוק היא לאפשר לחברה להרוויח על היצירה שהיא יצרה. אלא שאותו רווח בא במטרה אחת – שהתוכנה תעשה, בסופו של דבר, לנחלת הכלל. הרווח לחברה אינו המטרה, אלא האמצעי שבאמצעותו באה התוכנה לעולם. המטרה היא זמינות התוכנה לכלל הציבור.

כל יוצר אשר לוקח יצירה שהיתה זמינה לציבור הרחב לקניה, והופך אותה לאחת שאינה זמינה, בעצם שולל מהציבור את אותו הדבר שהחוק שאפשר לו להרוויח כסף על היצירה בא לספק לציבור – את הזמינות ליצירה.

הצעת השינוי שלי היא זו. יצירה המוגנת בזכויות יוצרים, ושהיתה בעבר זמינה לציבור הרחב להשגה (בין אם בתשלום ובין אם לאו), חייבת להשאר כזו. חוק כזה, דרך אגב, כבר קיים לגבי שירים (לא הביצוע שלהם). יוצר אשר אינו מעוניין להתעסק יותר עם הבירוקרטיה הכרוכה עם מכירה של יצירות ישנות מוזמן לשחרר את יצירתו לנחלת הכלל לפני המועד שנקבע ע”י חוק זכויות היוצרים. מה שהוא לא יוכל לעשות זה למנוע את הפצת היצירה בכלל.

כמה שאלות ותשובות שסביר שיהיו לחלק מהקוראים (או, לפחות אני חושב שיהיו):
– מיקרוסופט לא מוכרת יותר את “חלונות 2000”. האם אתה באמת מתכוון שאפשר יהיה להעתיק חופשי את התוכנה?
או שמיקרוסופט תאפשר לקנות את הגרסאות הישנות של חלונות, או שתשחרר אותן. אני חושב שזה לא הגיוני ולא סביר שלא ניתן יהיה יותר לקנות את התוכנה, לא משנה מה. אחרי הכל, אם מישהו לא יקנה Windows XP בגלל שהוא יכול להעתיק Windows 95 בחינם, על מה מיקרוסופט הוציאו את כספי הפיתוח שלהם כל השנים האלו? ומצד שני, אם מישהו צריך דווקא Windows 95, איזה הגיון יש בלא לתת לו להשתמש בו?

– ומה אם מיקרוסופט תגיד “בסדר, אנחנו מאפשרים לקנות MSDos 1, זה עולה 150,000$”?
אני חושב שהבעיה האמיתית עם מוצרים ישנים היא לא מוצרים מהסוג הזה, אלא מוצרים שכבר פשוט לא ניתן להשיג את בעלי זכויות היוצרים שלהם. סיפורים שנכתבו בתחילת המאה ה-20 ופוסמו בקובץ אקראי, למשל, הם משהו שפרוייקט גוטנברג היה שמח להכליל בשורותיו, אבל לא יכול בגלל שלא ניתן לקבל רשות מבעל זכויות לא ידוע, ולא ניתן להשתמש ללא רשות.

מצד שני, אני מסכים שאין הבדל גדול בין לדרוש תשלום של 150,000$ על תוכנה מסוג זה לבין להגיד שלא ניתן לקנות אותה בכלל. אני יכול להגיד שבמקרה של שירים, אותו סעיף שאומר שלא ניתן למשוך יצירה מהציבור גם כולל כמה אמור לקבל היוצר על כל שימוש. כמובן שעם תוכנה הרבה יותר קשה להגיד דבר כזה.

אני חושב שכאן חוקי השוק הם שיקבעו. מונופולים, כמו מיקרוסופט, אמורים להיות בפיקוח, בעוד שלחברה שאינה מונופול קניית גרסה ישנה של התוכנה היא הכנסה בדיוק כמו קניית גרסה חדשה של התוכנה. בקיצור, אני חושב שזו פשרה סבירה.

– איך יודעים עם בעל הזכויות קיים, ואם הוא מוכן למכור היום עותק?
האמת היא שזו אכן בעיה, אבל אני חושב שאפשר למצוא לה פתרון. אפשר, למשל, להכריז שלא תינתן הגנת “מפר תמים” למי שמעתיק יצירה שרשומה במאגר מרוכז שמנוהל ע”י המדינה. זה נותן תמריץ לבעלי הזכויות לרשום את כל התוכנות שלהם שעליהם הם רוצים זכויות, והרישום כולל גם הוראות איך לקנות עותק.

כמובן שכל הנ”ל הוא חלומות בהקיץ. האינטרסים שמניעים את חוקי הקניין הרוחני כל כך חזקים שאין שום סיכוי שדבר כזה יעבור. עדיין, מותר לבן האדם לחלום, לא?

שחר

“כשל אבטחה חמור התגלה בלינוקס”, או שלא כל כך חמור

TheMarker יוצא הבוקר עם הכותרת “כשל אבטחה חמור התגלה בלינוקס”. אני לא בטוח מה עומד להיות הקישור המדוייק, אבל יכול להיות שזה (אתר שנקרא nfc. אני לא יודע אם הוא או הטוש הזוהר הם המקור).

אני חושב שהכותרת של המאמר שעליו מתבססת הטענה הרבה הרבה הרבה יותר סבירה. היא אומרת “חולשה במנגנון המספרים האקראיים של לינוקס”. תיאור מדוייק ולא מתלהם של הבעיה.

הסבר:
אין דבר כזה “אלגוריתם לייצור מספרים אקראיים”. אלגוריתם, מעצם הגדרתו, הוא משהו דטרמיניסטי. אם הזנתם את אותם קלטים, בהגדרה תקבלו את אותם תוצרים. למרבה הצער, לפעמים יש צורך במספרים אקראיים ממש. הצורך הקל ביותר לציון הוא לצורך ייצור מפתחות הצפנה.

מה עושים? משתמשים ב”מקורות אקראיות”. מדידה של מליוניות שניה של תזמוני לחיצה על מקשים, פעילות דיסק, וכו’. הקרנל של לינוקס עושה את זה כל הזמן, ומייצר מאגר של נתונים אקראיים. תוכנית שרצה בלינוקס יכולה לבקש לקבל את המאגר הזה, ולהשתמש בו.

ומה קורה אם המאגר נגמר?

בלינוקס יש שתי אופציות. הראשונה היא לחכות עד שיגיע עוד מידע אקראי. השניה היא להשתמש בפונקציות “כמעט אקראיות” (Pseudo random number generators) כדי לקבל רצף של מספרים.

ההתקפה שמצאו החוקרים מתארת שתי בעיות מרכזיות. הראשונה היא שניתן לדעת על מספר מספרים אחרונים שהמערכת סיפקה מה הם היו. השניה היא שאפשר לתת חיזוי עתידי של מספרים שיינתנו מה הם יהיו. חשוב לציין שבשני המקרים מדובר בשתי הנחות לא פשוטות:
– שלתוקף יש גישה למבנה הפנימי של הליבה.
– שלא נוספו מספרים אקראיים אמיתייים במהלך הניבוי (אחורה או קדימה).

לפני שאני ממשיך בניתוח, חשוב לי להבהיר. חלק גדול מהבעיות שמצאו החוקרים הן בעיות אמיתיות שחשוב (ואפשר, ולא מסובך) לתקן.

עכשיו לכותרת הבומבסטית:
יש בעולם המחשבים שני תחומים שאזורי עבודתם דומים. כתוצאה מכך, לפעמים יש אנשים שטועים לחשוב שמדובר באותו התחום. השגיאה הזו כל כך נפוצה שלפעמים האנשים טועים לחשוב שמדובר באותו התחום, למרות שהם עצמם שייכים לאחד התחומים האלו.

התחומים הם הצפנה (קריפטוגרפיה) ואבטחת מידע.

בן אדם שלא יודע את גבולות הידע שלו עצמו עלול לחשוב שהוא מוסמך לתת אבחנות בעולם השני, והתוצאה היא כותרות מטעות כמו זו של המאמר בטוש הזוהר.

אני, למשל, איש אבטחת מידע. זהו תחום שבו השקעתי בללמוד את הגורמים, התוצאות, נהלי עבודה, האנשים הפועלים, ואני מרשה לעצמי להגדיר את עצמי כ”מומחה” בתחום. למרות שלמדתי קריפטוגרפיה, אני מבין את המושגים הבסיסים, יודע את הצורה, פחות או יותר, שהעולם הזה מתנהג, רחוק היום עד שאני ארשה לעצמי להגדיר את עצמי כמומחה קריפטוגרפיה. פיתוח או ניתוח של אלגוריתמי הצפנה נמצא הרחק מתחום הידע שלי, ואין לי שום יומרות בנידון.

כותבי המאמר, על פי מה שאני יכול לנתח (וכן, קראתי גם את המאמר עצמו, לא רק את הדיווח בעיתון) הם אנשי קריפטוגרפיה. הניתוח שלהם של אלגוריתם המספרים הפסודו אקראיים של לינוקס ראוי להערכה, והחולשות שהם מצאו בו הן אמיתיות, וראוי שיתוקנו. חלקים נרחבים מהניתוחים האנליטיים במאמר היו מעבר לידע שלי בקריפטוגרפיה כדי לעקוב במדוייק. אני גם יכול להבין את החומרה שהם מייחסים לחולשות האלו. מבחינת איש קריפטוגרפיה, אין גרוע (כמעט) ממספרים אקראיים שאינם אקראיים.

אבל בכל מה שקשור לאבטחת מידע, אני חושש שאין לי הרבה הערכה לכותבי המאמר. בכל מקום שהם ניסו, במהלך המאמר, להשליך על העולם האמיתי את החולשות, ולמצוא שימושים פרקטיים שתוקף יכול להשתמש בהם כדי לנסות לתקוף את המערכת, התוצאה היתה בינונית במקרה הטוב.

הסיבה היא שיחידת המספרים האקראיים היא רק רכיב אחד מתוך המכלול שמרכיב את המערכת, גם כשמדובר במערכת שמשתמשת במנגנונים קריפטוגרפיים. אני אתן דוגמאות:
הדוגמא הכי בולטת שאני יכול לחשוב עליה היא הטענה שבהנחה שלא מגיעה אנטרופיה חדשה, התוקף יכול לדעת מה עומדים להיות המספרים האקראיים הבאים שיינתנו. גם אם נתעלם לשניה מהעובדה שאם פרצנו למערכת אנחנו יכולים לדאוג שנדע מה הם, הרי שבעיה זו היא מובנית בצורה שהמערכת מוגדרת, ולא ניתנת לפתרון. כל מי שמשתמש במנגנון שלא חוסם אם אין לו אנטרופיה חייב להיות מודע לה, ועל כן היא לא נחשבת לבעיית אבטחת מידע.

כדי להבהיר למה אני מתכוון, בואו ננסה להפעיל את ההתקפה הזו בסיטואציה אמיתית. rsyncrypto משתמש במנגנון המתואר כדי לייצר מפתח נפרד לכל קובץ שהוא מצפין. בואו נניח שמייד אחרי שסיימתי להצפין את הקבצים שלי תוקף חודר למערכת, ומעוניין לפענח אותם. אבל rsyncrypto שומר גם את מפתחות ההצפנה על הדיסק כשהוא עובד. במילים אחרות, לתוקף יש פשוט גישה למפתחות שהוא צריך.

בואו נניח שמפתחות ההצפנה לא נשמרים (והיו כבר בקשות למוד פעולה כזה של התוכנה, כך שזו לא הנחה מופרכת). כל מה שהתוקף צריך לעשות הוא להפעיל את ההתקפה שמתוארת במאמר כדי להוציא את רשימת המספרים האקראיים האחרונים שהמערכת נתנה, ומהם הוא יודע מה המפתחות שמצפינים את הקבצים. נכון?

לא נכון.

הקבצים נשמרים לדיסק. פעולת השמירה לדיסק מייצרת השהיות שלא ניתנות לחיזוי, כיוון שהן תלויות בגורמים מכניים. ההשהיות האלו משוקללות כמקור למידע אקראי באלגוריתם הייצור של המספרים האקראיים. ההתקפה הניחה שלא נוספים מספרים כאלו. בקיצור, על אף כל ההנחות המקלות לתוקף, הוא לא יכול להפעיל את ההתקפה.

אני מאמין ששיקולים כאלו יעצרו אתכם כמעט בכל נתיב שתבחרו לנסות להפעיל את ההתקפה, כולל רוב ההתקפות שמתוארות במפורש במאמר.

לסיכום:
בעיה שצריך לפתור? כן.
בעית אבטחה חמורה? לא.

שחר

הערה חשובה:
חלק מהציטוטים שראיתי גורמים לזה להשמע כאילו שאני מזלזל בכותבי המאמר או בתוכנו. רציתי להבהיר שאין זה המצב. הכשל הקריפטוגרפי הוא אמיתי וחמור, ואני מלא הערכה לכותבי המאמר על שהצליחו לנווט בסבך האלגוריתמיקה של מנגנון המספרים האקראיים של לינוקס ולמצוא נתיב שמוביל לפרצה.

מה שאמרתי זה שההשלכות הפרקטיות של הפרצה קטנות ממה שכותבי המאמר מנסים לשוות להן, ועל כן היה ראוי ל-TheMarker להשתמש בכותרת פחות סנסציונית.
ש.

חוקי הגבלים עסקיים ומונופולים

בעקבות הדיון שהתפתח עם שחר (ממערכת הבלוגים של מיקרוסופט, אבל לא להתבלבל – מיקרוסופט עדיין לא מעסיקים בני 13.5), רציתי לנסות להבהיר קצת מהם חוקי ההגבלים העסקיים, ולֵמַה הם טובים.

בואו נתחיל מהתיאוריה מאחורי עקרונות השוק החופשי. התיאוריה הולכת כך:
אנחנו נותנים לארגונים המסחריים השונים לעשות מה שהם רוצים בנסיון להרוויח כסף. הרעיון הוא שזה נהייה אינטרס של החברות לדאוג לתועלת הציבור. אם חברה גובה מחירים יותר מידי גבוהים, הציבור יתחיל לקנות מהמתחרים שלה. אם החברה לא דואגת למוצרים איכותיים, הציבור יקנה מהמתחרים שלה. אם חברה לא דואגת לספק מוצר מהסוג שהציבור רוצה, תקום כבר חברה אחרת שכן תספק, והציבור יעבור לקנות ממנה. במילים אחרות, זהו אינטרס של החברה שציבור הלקוחות שלה יהיה מרוצה, כאשר היא כל הזמן פועלת תחת חרב של תחרות מחברות אחרות.

עם כל הכבוד והערכה לשיטה הזו, ישנן שתי תופעות (לפחות) שבהן השיטה נכשלת.

הראשונה, והיא לא באמת קשורה לנושא הבלוג, היא תופעה שאומרת שבשוק משוכלל (שוק שבו כל אחד יכול להפוך לספק בעלות יחסית קטנה) עלות המוצר תשאף לעלות הייצור של המקרה האחרון שלו. במילים אחרות, עלות של מקרר לצרכן תהיה עלות ייצור החלקים וההרכבה, ללא החזר על עלויות הפיתוח. במצב כזה, בעצם, אין לחברה רווחים, ואיכויות הייצור יורדות בהתמדה. זו הסיבה לירידה מתמדת באיכות הייצור של מכונות הכביסה, מכשירי ה-DVD, וכמעט כל מוצר צריכה שתרצו להעלות בדעתכם.

השניה היא שלפעמים נוצא מצב שבו שחקן יחיד מצליח “להשתלט” על השוק. לפעמים זה קורה באמצעות מוצר טוב יותר, לפעמים באמצעות שיווק אגרסיבי, לפעמים בגלל ניצול של מצב שוק ייחודי, ולפעמים בגלל התערבות של גורם חיצוני. כך או כך, נוצר מצב שבו, לכל צורך ועניין, אם אתם רוצים לקנות מוצר X, ברור לכם שאתם חייבים לפנות לחברה Y. גם אם יש חברות אחרות שמייצרות X (או דומה לו), עקב סיבות מסיבות שונות אי אפשר אפילו לשקול לקנות מהם. במצב כזה, אנחנו נקרא ל-Y “מונופול”.

דוגמאות למונופולים ידועים בישראל:
אם אתם רוצים לקנות חשמל, אתם חייבים לקנות אותו מחברת חשמל
אם אתם רוצים לקנות שירותי דיוור, אתם חייבים לקנות אותם מרשות הדואר
אם אתם רוצים לקנות קו טלפון אתם חייבים לקנות אותו מבזק

במצב של מונופול, ההגנות על הצרכנים עקב תחרות נעלמות. אם חברת חשמל תחליט מחר להעלות את התעריפים שלה ב-20%, אנחנו עדיין נצטרך לקנות ממנה את החשמל. פשוט אין שחקנים אחרים.

כדי להלחם בתופעה הזו הוגדרו חוקי ההגבלים העסקיים. החוקים האלו מגדירים שמחברה שהוגדרה כמונופול נשללות זכויות החלטה מסויימות לגבי אותם מוצרים שהחברה מוכרת. למה? כי יש החלטות שחברה שהיא מונופול יכולה להחליט שחברה במצבה שאינה מונופול לעולם לא היתה יכולה לקבל.

איך מגדירים מונופול?
בישראל ההגדרה מאוד פשוטה, ולדעתי מאוד שגויה. בישראל ההגדרה היא “מי שיש לו יותר מ-50% נתח שוק”. כדי לראות עד כמה ההגדרה שגויה, בואו נחשוב על המצב התיאורתי הבא:
נניח שיש לנו שני ייצרנים גדולים של נורות ליבון. נורות ליבון הן דוגמא למוצר שהוא מוצר צריכה סטנדרטי (commodity). אין כל הבדל עקרוני בין נורה אחת לחברתה, ומוצרים כאלו הם, כמעט תמיד, נמכרים תחת כשל השוק הראשון, כלומר ללא רווח למוכרים. לצורך הדוגמא, אבל, לנו יש שתי חברות שמייצרות ומספקות נורות כנ”ל.

ברור לנו שלאחת החברות יהיה נתח שוק גדול יותר. זה, כשלעצמו, לא עושה את החברה מונופול. גם אם לחברה א’ יש 90% נתח שוק, זה לא עושה אותה מונופול. בהחלט ייתכן שיש להם נורות ליבון טובות יותר. המדד האמיתי, לדעתי, צריך להיות על פי חוקי ההגבלים העסקיים בארצות הברית – מדד השליטה.

אם חברה א’ יכולה להעלות את מחיר הנורות, בהנתן הנורות הזולות יותר של חברה ב’, פי שניים תוך פגיעה מינימלית במכירות שלה, כנראה שהיא מונופול. אם היא יכולה להוריד את איכות הנורות, לספק אותן רק בצבעים שהלקוחות לא רוצים (למשל – כל צבע ובלבד שהוא שחור), וכל זאת ללא שמכירותיהם ייפגעו בצורה משמעותית, אזי הם זכאים לתואר המפוקפק “מונופול”.

הנה דוגמאות לחברות שיש להן נתחי שוק גדולים משמעותית מ-50% (והרבה יותר קרובים ל-100%), ועדיין אינן זכאיות, כנראה, לתואר “מונופול”
– לג’ילט יש כ-97% משוק סכיני הגילוח. האם הם מונופול? שישאל את עצמו כל מי שמתגלח מבין קוראי למה הוא לא קונה מוצר אחר?
כל מי שענה “כי אין בחנויות” מחזק את הטענה שמדובר במונופול.
כל מי שענה (כמוני) כי הוא ניסה, והגילוח היה פחות טוב/לא היה יותר זול, מחזק את הטענה שלא מדובר במונופול.

מכיוון שקשה לי למצוא סופר שאין בו, בכלל, סכינים אחרים, אני נוטה לטעון שג’ילט הם לא מונופול בתחום סכיני הגילוח, על אף שהם אכן עם נתח שוק שמגדיר אותם, בקלות, כמונופול על פי החוק הישראלי.

עוד דוגמא:
– סיסקו מספקת מעל 90% מהנתבים שמניעים את התקשורות עתירות המידע שבתשתיות האינטרנט. אם שאלתם את עצמכם איזו חומרה מחברת את ישראל לארצות הברית, התשובה היא, ככל הנראה, סיסקו. האם הם מונופול?

בשני המקרים, למתחרה שרוצה להדיח את המוביל מכסאו יש מחסומים לעבור. המתחרה צריך לייצר חומרה (סכיני גילוח או נתבים), ולתכנן את המערכת. מצד שני, הוא צריך לעבור את מכשול הייצור, אבל הבעיה האמיתית שלו תהיה לייצר מוצר טוב יותר וזול יותר. במילים אחרות, המכשול הראשון שהוא צריך לעבור הוא “איך לייצר מוצר טוב יותר”, ואחרי שיהיה לו אחד ביד, הוא כנראה באמת יתחיל לכרסם במתחרה הגדול.

ולטעמי, הסיבה המרכזית שבגללה שני הנ”ל הם לא מונופולים היא אחת – ממשקים פתוחים. סכיני גילוח צריכים להתאים לעור הפנים. אין לג’ילט שום ייתרון על פני מתחרים אחרים לגבי ההגדרה של “מהוא עור הפנים” או “איך נכון להוריד ממנו את השיער”, חוץ משנים של נסיון (וזה, אחרי הכל, “קניין רוחני” לגיטימי של החברה). באותו האופן, לסיסקו אין ייתרון מיוחד לגבי איך לדבר TCP/IP או BGP-4 על פני מתחרים אחרים. ההגדרות של הפרוטוקולים פומביים וידועים, וכל אחד אחר יכול להתממשק אליהם. יותר מזה, לסיסקו אין שליטה מיוחדת לגבי ההגדרה, ואין לה יכולת מיוחדת לשנות אותה לצרכיה, ובעיקר, לצרכיה המסחריים (בניגוד לצרכיה הטכנולוגיים).

מה שמביא אותנו אל מיקרוסופט. אף אחד לא מופתע, נכון?

למיקרוסופט יש כמה וכמה מונופולים, וכל אחד ואחד מהם נשמר, לא באמצעות מוצר איכותי או זול יותר מאשר של המתחרים, אלא באמצעות ממשק “סודי”, ואחד שנשלט ע”י החברה.
חלונות – מה שמגן על המונופול של חלונות הוא, ללא ספק, בסיס האפליקציות העצום. לינוקס יכול להיות זול, ידידותי, מהיר, בטוח, יציב ואיכותי יותר מחלונות, אבל אם אתה לא יכול להריץ עליו “חשבשבת”, אף רואה חשבון לא ישתמש בו. באותו אופן, אם אתה לא יכול להריץ עליו את Grand Theft Auto (ותסלחו לי אם אני יותר מידי לא מעודכן אלו משחקים “נחשבים” היום), אתה לא תתקין אותו בבית.

להריץ את התוכנות של חלונות על מערכות אחרות זה לא בלתי אפשרי. “כל” מה שצריך לעשות הוא לממש מחדש את הממשק של התוכנות עם המערכת. ההמשק הזה נקרא “Win32”. בעוד שאני יודע שיהיו כאלו שיצביעו לי על MSDN כעל תיעוד שלו, התיעוד שם מספיק לצורך ייצירה של תוכנות מולו, וגם זה בקושי רב. התיעוד שם מאוד חסר ולא מדוייק. מה שיותר גרוע, מיקרוסופט שולטת על הממשק, כך שכל פעם שהם רוצים לזעזע את המערכת, הם יכולים להמציא משהו חדש ולגרום למתחרים לרדוף אחריהם.

אינטרנט אקספלורר – בתיאוריה, דפדפן הוא דפדפן הוא דפדפן. הוא אמור לדבר HTML, שהיא שפה שלא מוגדרת על ידי מיקרוסופט ולא נשלטת על ידה. בהתאם, מיקרוסופט העריכה ש-HTML צריכה למות. זה התחיל מלהרוג את נטסקייפ. זה המשיך בלהציג לעולם את “ActiveX”, מערכת שממומשת באמצעות Win32, ועל כן מחייבת את חלונות, כמו גם “Jscript”, שזה כמעט, אבל לא, Javascript ואת הגרסה המסורסת שלהם של Java. לסיום, ברגע שאינטרנט אקספלורר נשאר לבד, הם הפסיקו את הפתוח שלו, מה שמבטיח שתקנים חדשים של HTML נשארים על הנייר, בגלל שהדפדפן שאחראי למעל 90% (בעבר) מהמשתמשים לא יתמוך בהם.

אופיס – כאן מוקד המונופול הוא פשוט. המבנה של Doc, הקבצים של Word, לא מתועד. מעבד תמלילים אחר יכול להיות פשוט, זול וכו’ מ-Word, אבל אם הוא לא יכול לפתוח 90% מהמסמכים שמסתובבים בעולם, מה הוא שווה? בזמן האחרון מיקרוסופט, חלקית בגלל שהאדמה התחילה לרעוד לה מתחת לרגליים וחלקית בגלל שחוסר התיעוד של Doc הוא גם פנימי, התחילה לדחוף לכיוון של פורמט חדש, שנקרא DocX. הפורמט הזה הוא XML, ומה שיותר חשוב, הוא גם מתועד פומבית. במקביל הם מנסים להלחם, כולל באמצעים לא כשרים, נגד מי שמנסה לאמץ את ODF בתור התקן.

למי שלא יודע, ODF הוא ראשי תיבות של Open Document Format, והוא מגדיר, כמו Doc, איך שומרים מסמכים ב-XML מכווץ ב-Zip. אם התקנים כל כך דומים, למה מיקרוסופט כל כך מתנגדת? בגלל שאם התקן יהיה Odf, מיקרוסופט תאבד את הדבר המרכזי שמגן על המונופול שלה – השליטה על התקן. אם אי אפשר להגדיר “הרחבות לא מתועדות” בתקן, אי אפשר למנוע מהמתחרים לעשות עבודה טובה כמוכם.

עכשיו לחדשות הטובות. האיחוד האירופאי, כמו גם אחרים (למשל, מסצ’וסצץ) הבין בדיוק מה הבעיה. אם מסתכלים על הצרות הנוכחיות של מיקרוסופט באירופה, הן לא סביב התנהגויות כלפי המתחרים. הצרות של מיקרוסופט הן סביב הפרוטוקולים שבהם התוכנות שלהם מדברות עם העולם. האיחוד דורש שמיקרוסופט תתעד את כל הממשקים שלה עם העולם. זה כולל את מערכת הקבצים שלה (“שיתוף הקבצים”, שמכונה גם “Cifs”), את Win32, ועוד. מיקרוסופט, כמובן, מתנגדת.

בתקווה שהתחרות תהיה הוגנת יותר בעתיד

שחר

Bear