משונאי אשמר בעצמי.

העולם הוירטואלי מלא בסכנות. רוב האנשים חושבים על הוירוסים, הרוגלות והספאם בתור האיומים המרכזיים. בעוד שאילו אכן איומים, אילו איומים מצד אנשים שלא מעוניינים בטובתי. מכיוון שאילו אנשים שלא מעוניינים בטובתם של עוד המון אנשים, האיומים האילו הם לא אישיים, ויחסית קל להתמודד איתם. אנטי וירוס (או, כמו במקרה שלי, עבודה על מערכת הפעלה שמחוץ לטווח הסכנה), Firewall וכו’, ביחד עם עבודה זהירה ושקולה מצליחים לשמור את המחשב שלך נקי מהתקפות. יש מחיר לשלם, אבל כל אחד יכול להחליט אם הוא מעוניין או לא לשלם אותו.

אבל יש עוד סוג של סכנות. אילו הם סוחרי הזהויות הבדויות, מוכרי כתובות הדוא”ל, ארגוני ענק שמסוגלים להצליב את הכתובת שלכם עם מה קניתם בחנות הספרים המקוונת עם לאילו אתרים אתם נוהגים לגלוש, ולמכור את המידע עליכם למי שרוצה לדעת את מצבכם הפיננסי. אילו הם האיומים על צנעת הפרט שלכם.

חלק מהדברים קל לעצור. אם הדפדפן שלי מדווח לי על נסיונות של אתרים נלווים לשים לי cookie על המחשב, ומאפשר לי לחסום את האתר, אני קצת יותר בטוח.

חלק מהדברים יותר קשה לעצור, אבל הן עדיין תלויים רק בי. שימוש מושכל בשמות מתחם מאפשר לתת כתובות מייל שונות לארגונים שונים, ובכך גם לדעת מי העביר למי, וגם להקטין את היכולת של הארגונים לעשות הצלבה. אילו פתרונות שפחות פתוחים בפני מי שאינו יודע איך להריץ שרת שמות מתחם משלו, למרות שיש ספקי פתרונות שנותנים דברים דומים. אני יודע שחלק מקוראי הבלוג שלי משתמשים בדברים כאילו, אז אני אתן להם להמליץ אם הם מעוניינים.

אבל יש גם נקודה אחת שאותה, מסתבר, אי אפשר לעצור. קיים ניצול לרעה של הרשת שפשוט אין איך לעצור אותו. זהו ניצול לרעה על ידי חברים ומשפחה.

אני אתן שתי דוגמאות שקרו, שתיהן, בשבוע האחרון.
1. אני מחזיק רשימת תפוצה של חברים. היא נועדה בעיקר כדי לספר לאנשים על מסיבות מתוכננות ומפגשים, כמו גם כדי לארגן טיולים וכדומה. מידי פעם, אבל, מישהו מתעלם/לא חושב/לא מתחשב בבקשה שלא לשלוח מכתבי שרשרת. עד כמה שלא נבקש, תמיד יש מישהו שחושב שהבדיחה הזו מצחיקה במיוחד, התמונות האילו חמודות במיוחד, או שהמטרה הזו מצדיקה התעלמות, שולח דברים לרשימה.

2. היום בבוקר קיבלתי הזמנה ל-messenger של יאהו. מישהו ממשפחתי לא השקיע את המחשבה שאם הוא רוצה שאני אשתמש ביאהו, הוא צריך לשלוח לי דואר. במקום זה, הוא לקח את כתובת הדואר שלי, שאני נתתי לו, ונתן אותה ליאהו, כדי שהם ישלחו לי את הדואר שמזמין אותי.

לכאורה, שני הדברים הם דברים קטנים. הבעיה עם הדברים האילו היא שהדברים הקטנים האילו מייצרים חורים לדברים גדולים יותר. איך אני יכול לבוא בטענות ליאהו על חריגה מכללי הפרטיות שלהם, אם לא היתה לי הזדמנות להחליט אם אני רוצה או לא רוצה לתת להם את הפרטים שלי מלכתכילה? למה בני משפחתי חושבים לאני אשמח יותר לקבל הזמנה מיאהו מאשר מהם? הם באמת חושבים שאני יותר אוהב את יאהו?

הדברים האילו מראים על חוסר מחשבה. הבעיה האמיתית היא, שחוסר המחשבה הזו באה אחרי בקשות מפורשות מצדי שלא לעשות דברים כאילו. זה לא שאני מבקש מחברי להבין את השלכות מעשיהם בלא שיהיו להם את הכלים. כל הדברים הנ”ל הם דברים שהסברתי, הן לאילו ששלחו אלי את האזהרות (חסרות הבסיס, אבל זה בכלל לא רלוונטי) על תחנת דלק שמוכרת דלק מהול, והן לבני משפחתי שנתנו, בלי להשקיע שניה של מחשבה, את כתובת האימייל שלי למישהו שאני ממש מעדיף שלא תהיה לו אותה. לא מדובר פה בבורות. מדובר פה בחוסר תשומת לב פושעת במקרה הטוב, ובחוסר איכפתיות במקרה הרע.

וכאן הבעיה האמיתית. אם יש מישהו שחורג ממה שאני רואה כהתנהגות הולמת, אני מנסה להתרחק ממנו. מצד שני, ועד כמה שאני לפעמים פנאט, אין לי כוונה לנתק קשרים, לא עם חברי ולא עם משפחתי, בגלל דברים כאילו. כל מה שנשאר לי זה להתעצבן, ולבקש שוב.

שמור אותי אלי מאוהבי. אני לא יודע איך להשמר מהם בעצמי.

שחר

חברה, ממש כיף לי שאתם מתגעגעים לבלוג שלי. אני גם ממש מתנצל על ההעדרות.

לינגנו מעבירה הילוך עם שירותי הגיבוי לעסקים קטנים שלנו, וזה גוזל כמות נכבדה של זמני. כתוצאה מכך, תדירות העדכונים פה נפגעת. עמכם הסליחה.

וזה לא שלא היה על מה לכתוב. הפרלמנט האירופאי הראה חוסר כל התחשבות במטרות שלשמן קיימים חוקים, בכל עסק שמפתח תוכנה שגודלו מתחת ל-5000 אנשים (וכתוצאה מכך – תוכנה חופשית), ובוועדות שלו עצמו. רציתי לכתוב על כך, וייתכן שעוד אגיע לזה.

יש הרבה על מה לכתוב. הזמן, הזמן קצר.

השידורים הרגילים יחזרו אליכם במהרה בימינו, אמן.

סלה

שחר

“טיב טעם” שלחו לי ספאם.

חבל, דווקא נהניתי לקנות שם עד עכשיו.

שחר

כותרת: For professionals ONLY!
גוף: פרסומת לויאגרה.

עכשיו השאלה. כאשר הם אומרים שהמייל נועד למקצוענים בלבד, לאילו מקצוענים הם מכוונים?

שחר

נ.ב.
אני יודע. אני יודע. הכוונה היא בסה”כ לעקוף את מסנני הספאם.

ש.

אני חוזר עכשיו מביתה של שושנה פורבס, שם היא היתה נדיבה מספיק כדי לתת לי להתעסק קשות עם לנסות להריץ את rsyncrypto על ה-Mac שלה.

לכל מי שלא יודע, קיימות שתי שיטות מרכזיות לייצוג מספרים בזכרון. Little endian, שבעולם ה-32 ביט ומעלה קיים כמעט אך ורק אצל אינטל, ו-Big endian של כל השאר. כאשר כותבים תוכנות שאמורות לשלוח נתונים על רשת או בקבצים, צריך לוודא שקבצים שנוצרו ע”י מכונות מסוג אחד מסוגלים להקרא ע”י מכונות מהסוג השני. בגלל זה אני מנסה לשים את ידי כבר כמה זמן על מכונה שאיננה של אינטל. עקב סיבות מסיבות שונות חוות הקומפילציה של Sourceforge אינה מתאימה לצרכי כרגע.

ובכן, דו”ח הרצה של rsyncrypto על Mac OS X ועל Ubuntu Linux for Power PC. על לינוקס, המצב כמעט בסדר. אפשר לפענח קבצים קטנים שהוצפנו על מכונות אינטל, והמפתח הסימטרי נשמר אותו הדבר. קבצים גדולים לא עובדים.

על Mac OS X המצב פחות טוב. מסיבה שלא ירדתי לעומקה, נראה שלא ניתן להשתמש ב-bzero כדי לכתוב לקובץ שנפתח Write only. לא ברור בכלל למה. בפירוש יש פה הבדל סמנטיקה בין לינוקס לבין FreeBSD. כשתהיה לי גישה למכונה בלי שאני צריך לשבת למישהו בבית (ועוד להשתמש בעכבר שמאלי על מערכת שאני בקושי מכיר….), אני אבדוק למה.

שחר

זה דווח כבר דיי מזמן בסלאשדוט, אבל עכשיו גם בעברית ב-ynet.

בקצרה – מיקרוסופט לוקחת את עשרים יצרני המחשבים הגדולים ביותר שלה, ואומרת שעותקי XP שנמכרים על ידם לא יוכלו להיות מופעלים דרך האינטרנט.

רקע מהיר: הפעלה פירושה התהליך של קשירת העותק של מערכת ההפעלה שקניתם למחשב ספציפי. אחרי שהקשתם את המספר הסידורי, מיוצר זיהוי של המחשב. מערכת ההפעלה דורשת קוד הפעלה שמתאים לזוג “קוד סידורי” ו”זיהוי מחשב”. הדרך להשיג את קוד ההפעלה הזה הוא על ידי יצירת קשר עם מיקרוסופט. המטרה – למנוע מצב שאותו ה-CD ואותו מפתח משמשים להתקנת כמה מחשבים.

בלי להכנס לשלל הדרכים לעקוף את זה, מה שקרה זה שייצרני המחשבים הגדולים לא היו צריכים להפעיל את המחשבים הספציפיים, אלא קיבלו מנגנון אחר. כתוצאה מכך, היו אלפי מחשבים בחנויות שהמפתח שלהם היה כתוב על המדבקה על המחשב, ומיקרוסופט לא ידעה אם הופעלו כבר או לא. כדי למנוע את הזיוף שקורא כאשר מישהו מעתיק את המספר ממחשבים בחנויות, ומתקין עם זה על מחשב משלו, מיקרוסופט דורשת הזדהות יותר רצינית ממי שמפעיל עותק של חלונות שנקנה מאותם 20 ספקים גדולים, דבר שיכול לקרות רק בטלפון, לא באינטרנט.

דבר ראשון, מה ההשלכות של זה. זה כנראה לא עומד להשפיע על אף אחד בארץ, בתור התחלה, למעט אולי לקוחות של Dell. אנחנו פשוט לא ברדאר של מיקרוסופט.

מצד שני, מי שזה כן עומד להשפיע עליו, לא יוכל:
1. להתקין מחדש את המחשב.
2. לשנות קונפיגורציה מעבר לסף מסויים

בלי שיש לו את חשבוניות הקניה, ומי יודע אילו עוד פרטים. בוודאי שתהיה לו בעיה למכור את המחשב הלאה.

גול עצמי

מה שחשוב להבין פה זה את גודל הגול העצמי. שוק ייצרני המחשבים הינו השוק שבאמצעותו מיקרוסופט מוכרת.

לצורך נקודת ההתייחסות, ב-1998 המכירות, הן של RedHat והן של Suse באירופה של תוכנות מדף היו גדולות מאילו של Windows 98. איך, אתם שואלים? מכיוון שחלונות לא נמכרת מעל המדף. היא נמכרת בתוך מחשבים חדשים. כך היה מאז ומעולם.

והנה, מיקרוסופט שמה רגל דווקא לאותם ספקים שהעלו אותה לגדולה. מילא לאותם ספקים, אלא שדווקא לגדולים ולרווחיים שבספקים. כתוצאה מהמהלך של מיקרוסופט, יש ייתרון ברור לקניית מחשב מספק קטן יותר מאשר מספק גדול. מערכת ההפעלה שקניתם מספק קטן שווה יותר (אפשר להפעיל אותה דרך האינטרנט) מאשר זו שקניתם מספק גדול. אין גבול לאבסורד.

למרבה השמחה, עיוותים מסוג זה נותים להסתדר מעצמם לאחר זמן קצר. או שמיקרוסופט תרד מהרעיון, או שהספקים יירדו מהרעיון של לתת מערכת הפעלה עם המחשב, או שמיקרוסופט (בלחץ הספקים) תתחיל לא לאפשר לאף אחד להפעיל דרך האינטרנט, ואנחנו נרד מהרעיון של להשתמש בחלונות. כך או כך, דברים רעים מסוג זה לא יכולים להמשך לאורך זמן (אני מקווה).

שחר

מה שיותר מפתיע מהקביעה הנ”ל הינה מי שקובע אותה.

המשפט נאמר ע”י לא אחר מאשר דובר מיקרוסופט.

זאת חתיכת פירסומת…

שחר

וללא מאמינים – הנה הקישור ל-ynet.

נכון שראיתם ישר על מה אני מדבר מהכתבה של ynet? מה, לא? אז אני אסביר.

כשאתם רוכשים מוצר, הוא הופך להיות שלכם. אף אחד לא יכול לתבוע אתכם על זה ששברתם את הכסא שלכם, או שפירקתם את מערכת הסטראו שלכם כדי לראות איך היא בנויה. הם שלכם.

גם כאשר יש נהלים שאוכפים חוקים, אילו חלים על שימוש. למשל, מותר לכם לפרק את המכונית שלכם ולהרכיב אותה מחדש בלי בלמים. זוהי מכונית שלכם, ואף אחד לא יכול למנוע מכם לעשות את זה. מה שאסור לכם זה לנהוג במכונית הזו על הכביש אחר כך. זהו הבדל חשוב.

באותו אופן, כאשר אתם קונים יצירות שמוגנות בחוקי זכויות יוצרים, ההגנה חלה על השימוש, ובפרט על ההעתקה. העותק שנמצא אצכם הוא שלכם. אף אחד לא יכול להגיד לכם, למשל, לא להנדס אותו לאחור וללמוד איך הוא בנוי. הוא שלכם.

חברות התוכנה מאוד לא אוהבות את המצב הזה. בגלל זה, הן מנסות לשנות את כללי המשחק. אליבא ד’חברות התוכנה, הן לא מכרו לכם את התוכנה. הן מכרו לכם רשיון לשימוש בתוכנה. הרשיון הזה נמכר במסגרת של חוזה, והוא הטקסט הארוך הזה שמופיע כל פעם שאתם מתקינים משהו על המחשב. מכיוון שלא מדובר במכירה, כן מותר להן להגביל את היכולת שלכם, למשל, לבצע הינדוס לאחור על התוכנה.

כבר כתבתי על זה בעבר כאן וגם כאן.

וזהי בדיוק הנקודה החשובה שמופיעה במאמר של ynet. אני מצטט את דובר מיקרוסופט. “מלבד זאת, רכישת מוצר תוכנה היא רכישת מוצר לכל דבר, וכפי שלא ניתן לקבל כל מוצר אחר במקרה של אובדן או גניבה, כך הדבר גם במקרה זה.“

שמעתם? רכישה לכל דבר. אני חושב שזה יום גדול.

שחר

אזהרה חמורה!

כותב שורות אילו אינו עו”ד, והמאמר אינו עיצה משפטית. השימוש הנכון במאמר זה הינו לקחת אותו אל עורך דינכם ולשאול אותו לדעתו.

משום מה, ההפניה של ynet לחלוטין הרסה את יעד ההפניה הנכון. הגבתי על כתבה ב-YNet (תגובה מס’ 7), שהפנתה לקטע שכתבתי על SHA-1. אלא שהמערכת של ynet אכלה את ה-&, מה שגורם למי שעוקב אחרי הקישור להגיע הנה ולחשוב שאני סוחט כניסות לבלוג.

אז התכוונתי לקשר לקישור שלעיל.

שחר

סמנו ביומנכם את ה-12 באפריל. זהו היום שבו כדאי להדליק את המחשב שלכם מאוד בזהירות. ב-12 באפריל מיקרוסופט עומדת להפוך את ההתקנה של SP2 על המחשבים לברירת המחדל.

למעשה, זהו אחד הניסויים המענינים ביותר, לדעתי, שנעשו בתחום אבטחת המידע בשנים האחרונות.

כאשר באים להתמודד עם איומי אבטחת מידע נהוג לדבר על “חלון החשיפה” (Window of exposure). ז”א, עד כמה אני צפוי לראות התקפות מוצלחות על באג נתון.

בגדול, הגרף של חלון החשיפה נראה כך:


הנקודות המעניינות הן אילו. נקודת הקימור כלפי מעלה היא הנקודה שבה הבאג נהייה נחלת הכלל. נקודת הקימור כלפי מטה היא הנקודה שבה מתחילים להתקין את התיקון, אחרי ששוחרר.

מבחינת ההשפעה על הגרף:
– ככל שהבאג מפורסם יותר מאוחר, הקימור כלפי מעלה מתחיל מאוחר יותר.
– ככל שהתיקון מתפרסם מוקדם יותר, הקימור כלפי מטה מתחיל מוקדם יותר.
– ככל שקצב ההתקנה גדול יותר, כך שיפוע הירידה תלול יותר.

על הסיבה שבגללה, על אף מה שנראה מהגרף, זה לא אומר שכדאי לא לפרסם פגיעויות אם מוצאים אותן אני אדבר בפעם אחרת. בשתי מילים – הגרף מתאר מצב קיים תחת הנחת Full disclosure. אם משנים את הנחת ה-Full disclosure, הגרף משתנה באופן מאוד קיצוני.

מה שכן רלוונטי להפעם זה הנסיון של מיקרוסופט להקטין את החלון באמצעות הגדלת קצב ההתקנה של התחנות. שלא תבינו אותי לא נכון. אני, בעיקרון, בעד שאנשים יתקינו עדכוני אבטחה בצורה מהירה ככל שאפשר. לא שם הבעיה.

הבעיה היא בעיית האמינות.

סטטיסטית, ונגד זה אין מה לעשות, קורה שעדכון תוכנה דופק משהו. כאשר יצא SP2 לראשונה, כחמישה אחוז מהמחשבים שהתקינו אותו לא הצליחו לעשות boot אחר כך. בהיסטוריה של מיקרוסופט היו לא מעט עדכוני אבטחה שפגעו בפונקציונליות. למשל, אם המחשב שלכם מציג את כותרות החלונות בעברית משמאל לימין כאשר החלון מוקטן, זה בגלל עדכון אבטחה מספר MS04-011. אחוזי עדכוני האבטחה שמיקרוסופט דופקת הם לא גבוהים במיוחד. מצד שני, כשיש כל כך הרבה מהם….

ואז עומד מנהל אבטחת מידע מול הודעה כמו זו שיצאה על MS04-011, ומסתכל על ה-known issues. בינהם: המחשב לא עולה, אי אפשר לעשות login, אורקל מפסיק לעבוד, וכן הלאה וכן הלאה.

במצב כזה יש רק פתרון אחד. לא להתקין את העדכון. זה שתולעת Sasser יצאה, שמנצלת את אחד החורים ש-MS04-011 אמור היה לפתור, כאשר עדיין אין פתרון משביע רצון להתקנה של העדכון, לא שיפר את המצב.

וזאת עלינו להבין. פירסום מוקדם של עדכונים מקטין את חלון הסכנה, אבל פרסום של עדכונים לא אמינים מגדיל את חלון הסכנה, הן של הפגיעות הנוכחית והן של כל פגיעות עתידית. ברגע שזכית בשם של ספק שמוציא עדכונים לא אמינים, אנשים יהססו למהר להתקין את מה שאתה מוציא.

מיקרוסופט מנסה להלחם בתופעה. זה בסדר כל עוד העדכונים שלה אמינים. מה יקרה, אבל, בפעם הבאה שייצא עדכון באותה רמת גימור של MS04-011? האם מיקרוסופט תיקח אחריות על אבדן הפריון של 10% ממחשבי העולם שהפסיק לעבוד בבת אחת? רשיון משתמש הקצה שלה טוען שלא.

ובגלל זה ה-12 באפריל הוא תאריך מעניין. אחרי הכל, את המצב של SP2 אנחנו כבר דיי מכירים. אנחנו כבר יודעים שיש תוכנות שמאבדות יכולות אחרי ההתקנה, ויש תוכנות שממש מפסיקות לעבוד. האם מיקרוסופט תפצה אתכם במקרה שאתם, בלי שידעתם, תקבלו תקלה במחשב באותו היום? אל תצפו ליותר מידי.

שחר