כמה מילים על התקיפה המתוכננת ביום ראשון

אחת למספר שבועות, ארגון "אנונימוס" מוצא לו מטרה חדשה להתקיף. הסיבות שונות מתקיפה לתקיפה. חלק מהסיבות נראות לאנשים מסויימים מוצדקות. אישית אינני חושב ששום התקפה יכולה להיות מוצדקת. התקפות על אתרים כמובן שלא משנות מאומה מבחינת שינוי מדיניות של המותקף, אבל לך תסביר את זה לכמה אלפי משועממים.

ביום ראשון הקרוב (7/4) מתוכננת התקפה (שלמען האמת כבר החלה, כפי שניתן לראות כאן) על אתרים ישראלים. בפוסט זה אנסה לתת כמה שיותר מידע וטיפים בנידון.

בניגוד למה שרבים חושבים, התקפה של אנונימוס אינה רק התקפה מסוג DDoS אלא גם נסיונות פריצה או השחתה של אתרים. את החלק של DDoS בארץ סופגים ספקי האינטרנט הישראליים (שכבר החלו להיערך לכך מלפני שבועיים), וסביר להניח שאחד הדברים הראשונים שהם (הספקים) יעשו בחלק מהמקרים הוא חסימת התקשורת מחו"ל לישראל לשרתים מסויימים, כך שאם השרת (בין אם פיזי או וירטואלי) מותקף, ואתה מתארח אצל ספק קטן, אתה צריך להודיע לספק והוא יבקש מהספק הראשי (נטויז'ן/סלקום, 012/אורנג', 014/בזק-בינלאומי) לחסום זמנית תקשורת מחו"ל. לא נעים שגולשים מחו"ל לא יצליחו לגלוש לחלק מהאתרים, אבל אין הרבה ברירות.

הסוג השני של ההתקפה הוא כפי שציינתי, הם נסיונות פריצה או השחתה של אתרים. בחלק מהמקרים ינסו לתקוף אתר ספציפי, ובחלק מהמקרים סביר להניח שינסו לתקוף את השרת עצמו כך שאם יצליחו, כמעט כל האתרים באותו שרת יינזקו. 

רשימות של אתרים וכתובות IP המיועדים להיות מותקפים פורסמו באתרים כמו Pastebin ואחרים, אך כפי שציינתי לעיל, רשימה זו אינה רשימה מוחלטת, כלומר אם האתר שלך יושב על שרת שמארח אתר אחר שכן פורסם ברשימה, האתר שלך יהיה חשוף לנסיונות פריצה.

מה בוני אתרים ומתחזקי אתרים ושרתים יכולים לעשות? מספר דברים:

  1. גיבוי – צרו גיבוי מיידי ואל תסמכו על שרות הגיבוי של הספק שאתם נמצאים אצלו. ביום ההתקפה סביר להניח שידי הספק תהיינה מלאות (כבר יצא לי לשוחח עם כמה ספקים שהם אדישים לחלוטין למה שיקרה ביום א') ושחזור יכול לקחת זמן. "הפתעה" נוספת שיכולה לקרות היא גילוי שהספק מעוניין בתשלום עבור שחזור. לכן אני ממליץ להיכנס לפאנל ניהול של החשבון שלכם, ליצור גיבוי ולהוריד אותו אליכם כך שתוכלו לשחזר ביום א' אם יפרץ האתר/שרת שלכם.
  2. מעבר על הרשאות: אתרים שרצים על לינוקס, מומלץ להיכנס למנהל קבצים ולבדוק שההרשאות הן המינימום ההכרחי: 644 לקבצים, 755 לתיקיות (אפשר 701 לתיקיה אם אתם משתמשים ב-SuExec ודומיו). לא להשאיר תיקיות עם הרשאות כתיבה/קריאה/הרצה לכל העולם ואחותו (הרשאות 777). 
  3. עדכונים: עדכון גירסת האפליקציה/תוספים/עיצובים – ודאו כי יש ברשותכם גירסה אחרונה.
  4. עברו על ה-DB שלכם ווודאו כי אין משתמש בשם admin או User ID שהוא 1. כמו כן, הסתכלו ב-MD5 של הסיסמאות, ואם אותו מספר חוזר בכל המשתמשים, אז כנראה בעבר פרצו ל-DB שלכם, שנו את הסיסמאות. 
  5. בעלי שרתי VPS/שרתים פיזיים – התקינו חומת אש (בלינוקס: CSF מומלץ) פנימית, והגדירו אלו מדינות יהיו חסומות (רמז: השכנים שלנו ועוד כמה מדינות "חובבות" ישראל), כך תקטינו את הסיכוי שיפרצו אליכם.

הכי חשוב: להצטייד בסבלנות. אם האתר שלכם מותקף (ולא חשוב איזה סוג התקפה) הלקוחות יתקשרו עצבניים. אל תיקחו את זה אישית, הסבירו שמדובר בהתקפה כוללת.

לאחר יום א', מומלץ שוב לבדוק את ה-DB והקבצים לראות שלא החדירו לכם קבצים חדשים או לא שינו לכם את ה-DB.

טיפים להגנה על וורדפרס

וורדפרס היא אחת המערכות הכי פופולריות בעולם להקמת אתרים קטנים ובינוניים. כמעט כל בונה אתרים משתמש בה בהזדמנות כזו או אחרת לפני שהוא מתנסה במערכות אחרות. אחרי הכל, היא מאוד קלה לשימוש, לא מצריכה כל כך ידע טכני בכתיבת קוד (למעט כמובן המקרים אם אתה רוצה לשנות קוד בתוכנה/עיצוב/תוסף), ואפשר להרים איתה אתר שנראה טוב תוך דקות ספורות, ולאחר מכן להוסיף תוספים שונים, עיצובים, דפים, גרפיקה, תוכן וכו'.

מכיוון שוורדפרס מאוד פופולרית, היא גם מאוד פופולרית בנסיונות פריצה. כל יום מנסים לפרוץ לאלפי אתרים מבוססים וורדפרס. לא צריך להיות גאון כדי לפרוץ לוורדפרס, יש סקריפטים רבים שעושים זאת.

רבים נוטים לחשוב כי אם הם יתקינו את הגירסה האחרונה של וורדפרס, גירסה אחרונה של תוספים ועיצוב, הם יהיו מוגנים.

הלוואי וזה היה כך, אך צר לי לבעס אתכם/ן. זה לא מספיק.

וורדפרס, כעקרון, מותקן כמעט ללא הגנות, הנה חלק מהבעיות שלו:

  • המשתמש הראשי תמיד נקרא admin והוא עם user ID מספר 1, מה שמאוד מקל על סקריפטים לעשות SQL Injection ולשנות את סיסמת ה-Admin ו/או את כתובת המייל ואז אם הפורץ עושה שחזור סיסמא, מייל יגיע אליו ומשם הדרך קצרה מאוד להשתלטות על האתר שלכם, להפוך אותו לספאמר (דפים נסתרים וכו'), לשנות תכנים וכו'.
  • התיקיות עצמן הן Hard coded, תמיד התוכן/תוספים/עיצובים ישבו ב-wp-content, ושוב – סקריפטים משתמשים בזה כדי לפרוץ.
  • הרשאות קבצים פתוחות מדי. שוב, זה אחלה דבר לסקריפטים. מומלץ להסתכל בקישור הזה כדי לראות מה ההמלצות מבחינת הרשאות מומלצות.
  • קבצים חיוניים שאמורים לא להיראות – נראים גם נראים, כמו wp-config.php ועוד. נכון, הם לא מציגים שום דבר שמראים אותם בדפדפן, אבל גם במקרה זה סקריפטים יודעים להשתמש במידע.
  • גירסת הוורדפרס מוצגת, מה שמקל על סקריפטים לדעת היכן נקודות החולשה של האתר
  • המערכת אינה חוסמת נסיונות התחברות שגוים מרובים ל-wp-admin, מה שמאפשר לסקריפטים לרוץ חופשי ולנחש סיסמאות. נכון, זה אולי לא נשמע מזיק (אם כתבת סיסמא חזקה), אבל ראיתי לא מעט מקרים שדווקא עם זה חדרו לאתרים
  • סיסמאות מוגדרות הן חלשות ו-וורדפרס לא יודעת לאסור סיסמאות חלשות.

אלו, על קצה המזלג, בעיות שיש לוורדפרס.

לשמחת כולם, יש פתרון שיכול למנוע את רוב הבעיות שהצגתי והוא נקרא Better WP Security. זהו תוסף שיכול לתקן פאקים רבים של וורדפרס ולתת הגנה כלשהי. יחד עם זאת, התוסף הזה הוא לא פתרון של "שגר ושכח". יש בו מספר אופציות שאם תפעילו, האתר שלכם פשוט לא יעלה או יסגור אתכם בחוץ, לכן אם אתם רוצים להתקין אותו, צרו גיבוי של המערכת, וקראו מה כל אופציה עושה ותחליטו אם להפעיל אותה או לא. לדוגמא: אם יש לכם אתר קיים והחלטתם להפעיל את ההמלצה לשנות את ה-wp-content, תראו שכל האתר שלכם נשבר, כי התוסף לא משנה בתוך ה-DB את החלק של הכתובת לשם תיקיה חדשה. השינוי הזה לדוגמא מאוד מומלץ שמקימים אתר חדש.

עוד תוסף שכדאי לתת עליו את הדעת ה-BPS Security. התוסף הזה נותן חלק מפונקציות שלא קיים בתוסף לעיל, אבל גם לו יש כל מיני Issues, במיוחד אם יש לכם תוסף כמו WP Super Cache (תצטרכו ליצור את ה-Rules מחדש ב-יhtaccess ולפעמים תצטרכו לשנות דברים ידנית בקובץ הנ"ל).

עניין נוסף: במקרים רבים כשיש Defacement, אנשים פונים לספק, הוא משחזר ורבים חושבים שכך נגמר העניין. אז זהו, שלא. בחלק לא קטן מהמקרים ה-DB (ספציפית טבלת המשתמשים) במקרים רבים שונה ושחזור לדוגמא של מערכות WHM/CPANEL לא משחזר DB, כך שאם הפורץ שינה את אחת הסיסמאות או הוסיף את עצמו, אתם תמצאו שאתרכם יפרץ שוב, לעיתים לאחר כמה שעות. לכן, מומלץ לבדוק את טבלת ה-DB לאחר שחזור ולראות איזה משתמשים יש, והאם סיסמתם לא שונתה (יש סקריפטים שמשנים באופן גורף את כל הסיסמאות לדברים כמו admin123).

בהצלחה

שילוב טאבלטים בתוך חברות

חברות מטבען הן דבר שמרני שזז לאט, יש שיאמרו אפילו מאוד לאט. טרנדים שונים שצצו לפני שנה שנתיים לא נכנסים באופן רשמי לחברות מחר בבוקר אלא אולי עוד שנה, וגם זה לאחר בדיקות כדאיות שונות. אם לדוגמא אתם באים לראות הרצאות על תחומי IT מסורתיים מאנשים שהם סמנכל"ים, מנמ"רים, ראשי IT וכו', סביר להניח שהמציג יעלה לבמה ומולו יהיה המחשב שלו. ברוב הפעמים אתם תראו דגם מחשב שבתמונה משמאל, ה-Thinkpad האלמותי. בחלק קטן מהמקרים תראו מחשבים אחרים כמו Dell או HP או אולי אפילו איזה Macbook של אפל, אבל שוב, זה רק בחלק קטן מהמקרים.

קצת היסטוריה
ב-4 שנים האחרונות חלו 2 שינויים מהותיים בתחום הציודים האישיים שנכנסו ל-Corporate כאשר אחד מהם נכנס בצורה מאסיבית והשני יותר בטיפין. השינוי הראשון שהחל בערך ב-2009 הוא כניסת מכשירי הסלולר (הכוונה מכשיר סלולרי מטעם העבודה, לא מכשיר שהוא רכוש פרטי של העובד) החכמים עם מסך מגע שהחלו להחליף לאט לאט מכשירי טלפון סלולריים פשוטים ובשנתיים האחרונות מכשירי סמארטפון עם מקלדות פיזיות (כדוגמת ה-BlackBerry ומכשירי הנוקיה מסידרה C ו-E). כיום רוב החברות הכניסו או שהם בשלבים מתקדמים של הכנסת סמארטפונים כמו iPhone או סמארטפונים אחרים מבוססי Android וההחלפה הזו חלה גם בחברות ישראליות גדולות מאוד כמו חברת החשמל שתכניס השנה 10,000 מכשירי HTC או צה"ל שמכניס מכשירים מ-2 ה"מחנות". סביר להניח שגם יורוקום תנסה להיכנס חזק בשוק ה-Corporate עם מכשירי ה-Lumia 820,920 אך להם מחכה מאבק לא קטן.

השינוי השני שהחל בשנתיים-שלוש האחרונות הוא כניסתם של מכשירי טאבלט ל-Corporate. החדירה של טאבלטים החלה בד"כ מהדרגים העליונים ואנשי IT מכירים את הסיטואציה: המנכ"ל או אחד הסמנכל"ים רכש טאבלט חדש והוא רוצה שהמכשיר יחובר לתשתית של החברה כדי שהוא יוכל לעיין במיילים, לראות מסמכים וכו', וכיום המצב מגיע לכך שיותר ויותר חברות חושבות לרכוש טאבלטים בכמות גדולה, בין כתחליף ובין כתוספת – לעובדים מסויימים. עד לפני מספר שנים, היו טאבלטים מבוססי Windows בעיקר בחו"ל בסקטור ה-Vertical Market כאשר נציגים שהיו עם רכבים נוסעים ללקוחות, אותו מכשיר היה מריץ אפליקציה מיוחדת שמשרתת את הנציג. עם השנים המכשירים הללו הוחלפו במכשירי Pocket PC שאותם ניתן לראות גם כיום אצל נציגים בארץ של מובילי סחורות, טכנאי בזק ועוד. מיקרוסופט ניסתה יחד עם שותפות החומרה שלה להכניס את הטאבלטים לשוק, אולם השוק לא היה מעוניין בכך ממגוון סיבות: מכשירים כבדים, חיי סוללה קצרים, הכרח להשתמש ב-Stylus, וקושי עבודה עם המכשיר.

עד שאפל הגיעו.

אפל הפכה את הטאבלט למוצר נחשק עם GUI שמותאים לאצבעות, עם חיי סוללה רציניים (10 שעות), ובמשקל קל. אפל ב-2010 וב-2011 כבשו את שוק הטאבלטים, ושוב כולם ראו כיצד אפל מנצחת את מיקרוסופט, כאשר האחרונה נרדמה בשמירה, כמו שקרה לה בעשור האחרון גם עם האייפון.

באוקטובר 2011 גוגל שחררה את אנדרואיד 4.0 (ICS) ומכאן החלה התחרות לאפל. עד אותו תאריך היו טאבלטים עם אנדרואיד גירסאות ישנות יותר (עד אס היתה גירסה 3 היתה בעצם גירסה 2 + שפצורים שנתנו הרגשה שזו מערכת שנועדה לטלפון סלולרי אבל עם מסך יותר גדול, לא משהו ששווה להתלהב ממנו, במיוחד כשהמכשיר הדגל, הלו הוא מוטורולה XOOM עלה בגירסה הבסיסית שלו פי 1.5 מטאבלט של אפל – כ-800 דולר, הוא נחל כשלון חרוץ בשוק), אך מהרגע ששוחררה גירסה 4, יצרניות חומרה החלו לייצר במרץ טאבלטים מבוססי אנדרואיד כאשר כמעט כל יצרן מוכר הוציא מספר טאבלטים לשוק: ACER,ASUS,SAMSUNG,LENOVO,HTC ולאחרונה גם HP ועוד.

מיקרוסופט, כרגיל, הגיעו באיחור לשוק, עם ה-Surface שמבוסס על ARM וה-Surface Pro שמבוסס על אינטל. 2 הטאבלטים מריצים גירסת Windows 8 אולם ה-Surface לא יכול להריץ אפליקציות רגילות שרצות על PC מכיוון שמדובר במעבד על ארכיטקטורה שונה. כיום ה-Surface וטאבלטים אחרים מבוססי Windows 8 על מעבדי ARM קיימים כ-4 חודשים בשוק, אך עד כה הם נוחלים כשלון כה חרוץ, שחברת סמסונג, אחת היצרניות העיקריות של מכשירים כאלו, הודיעה לאחרונה שהיא מפסיקה לשווק אותו באירופה כי לקוחות פשוט לא רוכשים זאת. גרוע מכך, סמנכ"ל בכיר בסמסונג הכריז על Windows 8 כ"Windows Vista". מיקרוסופט מצידה מאשימה את יצרני החומרה במספרים הנמוכים שמכשירי טאבלט ומחשבים ניידים עם Windows 8 נמכרים.

האם טאבלטים יכנסו לשוק ה-Corporate? כן. יש להם יתרונות רבים, אך ראשית יש צורך לענות על מספר שאלות כדי לתכנן הטמעת טאבלטים ב-Corporate, ופוסט זה ינסה לענות על חלק מהשאלות והצרכים.

מהם יתרונות הטאבלט על מחשב נייד?

יתרונות הטאבלט על מחשב נייד הם:

  1. חיי סוללה כפולים בהשוואה לכל מחשב נייד ממוצע
  2. תחזוקה יותר קלה
  3. זמן לימוד קצר כדי להשתמש בטאבלט
  4. יכול להתחבר לתשתית החברה מרחוק
  5. קל משקל
  6. פתרון מתאים לחלק מהעובדים במקום המחשב הנייד שברשותם
  7. קלות התאוששות במידה וטאבלט אבד או נגנב 
  8. ניתן לשליטה מרחוק וניתן למחוק מרחוק מידע במידה והוא אבד או נגנב

מהם החסרונות של טאבלט?

  1. לא ניתן להריץ עליו אפליקציות שרצות על PC (למעט Surface Pro ולגביו אתייחס בהמשך הפוסט)
  2. בחלק מהמקרים לא ניתן להשתמש בפתרון ניהול מרכזי – על הטאבלטים (תלוי בסוג, שוב, אתייחס לכך בהמשך הפוסט)
  3. לא בנוי לעבודות כבדות (תכנות, גרפיקה וכו')
  4. כמות האחסון שניתן לאחסן פיזית על הטאבלט – די קטנה
  5. מערכות הפעלה "צעירות".
  6. יש צורך בתכנון מיוחד על מנת לאפשר לטאבלט להשתמש במשאבים שונים בחברה (הדפסה, השתתפות ברשתות שונות, ניתוב וכו')

תחרות בשוק
כפי שציינתי, כיום בשוק הטאבלטים יש תחרות עזה בשוק וברשותכם אחלק את השוק ל-3 לפי מערכות ההפעלה:

אפל (iOS) עם ה-iPad / iPad-Mini

אפל היו הראשונים בשוק הטאבלטים המודרניים ומערכת ההפעלה שלהם (כיום בגירסה 6.1.2) עובדת בצורה יציבה ומרשימה. 

יתרונות: לטאבלטים של אפל קיים שוק תוסס של תוספי חומרה ואפליקציות. מבחינת כמות אפליקציות, לאפל יש את הכמות הגדולה ביותר של אפליקציות (אם כי בניגוד לאנדרואיד לדוגמא, באפל רוב האפליקציות הן בתשלום) ורוב האפליקציות שקיימות ל-iPad גם רצות בצורה מיטבית על המכשיר, כאשר הן אינן סובלות ממחלת ה"מתיחה" (אפליקציה שנועדה לטלפון והיא "נמתחת" ע"י מערכת ההפעלה, והתוצאה לא נראית טוב). קיימים פתרונות תוכנה שונים לחיבור ל-VPN, ולהסתנכרנות ל-LDAP של החברה. קיימים פתרונות ניהול מרכזי, ומחיקה מרחוק. עקומת הלימוד היא מאוד קטנה ואם מישהו יודע להשתמש באייפון, הוא יודע להשתמש ב-iPad. יש נציגות רשמית בארץ לענייני תמיכה ושרות למכשירים (איידיגיטל).

חסרונות: אפל עובדים בשיטת "My Way or the high way". אינך יכול לשנות תפריטים ולהסיר אפליקציות שהגיעו עם המערכת, ואינך יכול לעשות root למכשיר בצורה רשמית (כדי לעשות קאסטומיזציה שתתאים לחברה). מבחינת אפליקציות, אין אפשרות לשייך אפליקציית צד ג' כדי שיפתחו סוגי מידע שונים (כך לדוגמא אם יש לך פתרון כמו CloudOn לצפיה/עריכה של מסמכי אופיס, לא תוכל לשייך את האפליקציה שתפתח מסמכי אופיס). אין תחרות מצד יצרנים שונים עם אותה מערכת הפעלה.

אנדרואיד (4.1. 4.2)

מערכת ההפעלה אנדרואיד (של גוגל) היא מערכת יציבה שתומכת במגוון גדול של חומרה וקיימים יצרנים רבים של טאבלטים מבוססי אנדרואיד. חברות כמו Asus (עם דגמי ה-Transformer), סמסונג (עם דגמי ה-TAB וה-NOTE 10.1), לנובו, ACER, HP ועוד מייצרים טאבלטים שמתאימים לשווקים שונים ולצרכים שונים כאשר כל חברה לעיתים מבדלת את עצמה (כמו סמסונג ולנובו), ואחרים פשוט מתקינים את מערכת ההפעלה ומוסיפים עליה מספר דברים קטנים, כך שמבחינת ה-Corporate יש מספיק חברות מוכרות שאפשר להוציא מיכרז לטאבלטים+תוספים, לחתום חוזה שרות לציוד ועוד.

יתרונות: מבחינת קאסטומיזציה, מהרגע שפותחים את הנעילה של הטאבלט (אפשר לפתוח ולא לאבד אחריות אם סוגרים זאת במסגרת חוזה רכישה רציני), ניתן לעשות קאסטומיזציה מכאן ועד להודעה חדשה באנדרואיד. ניתן להוסיף ולהסיר אפליקציות, שרותים, לנעול את המכשיר מבחינת התקנת אפליקציות שהחברה לא מרשה, לאפשר הצגה רק של דברים מסויימים. מבחינת חיבוריות, כל האפשרויות של התחברות נמצאות מהרגע הראשון ובד"כ אין צורך בתוכנות צד ג' להתחברות. בנוסף לכך, קיימות מגוון אפליקציות לריכוז וניהול טאבלטים מבוססי אנדרואיד המאפשרות נעילה מרחוק, מחיקה מרחוק, התחברות ל-Active Directory ועוד דברים רבים אחרים שמחלקת IT צריכה.

חסרונות: עדכונים. כשרוכשים את המכשירי NEXUS של גוגל, אתם תקבלו עדכונים מדי פעם. כשרוכשים מכשירים של יצרניות חומרה אחרות, לוקח חודשים עד שמקבלים עדכון. (רשמית זה יכול להוות אולי בעיה וחסרון, אך לאנדרואיד יש קהילה מאוד תוססת וחברים רבים בה משחררים עדכונים, טלאים ותוספות בחינם ואפשר לראות לפי התגובות האם העדכונים עובדים או לא. מעבר לכך, העדכונים הלא רשמיים ממשיכים גם כאשר היצרן כבר לא מייצר/לא נותן אחריות למוצר, וכך מכשיר בן שנתיים אפשר למצוא עבורו ROM שיתן יותר פונקציונאליות למכשיר ממה שהוא נרכש!). חסרון נוסף (שמתייחס ספציפית לישראל) הם שהיבואנים לא מכירים מי-יודע-מה אנדרואיד וכשיש שאלות טכניות על תוכנות/הגדרות, לא תמיד תמצאו מי שיענה (אפשר כמובן לפתור זאת בכך ששוכרים מישהו או חברה שיתן לכם שרות על תוכנה/הגדרות).

מיקרוסופט (Windows RT)

(הערה: אני בכוונה לא מתייחס ל-Windows 8 על X86 עם מכשיר Surface Pro הרגיל הואיל ומדובר במחשב לכל דבר ועניין, כך שאין לו קשר לפוסט זה)

מיקרוסופט שחררה באוקטובר 2012 את Windows RT שהוא Windows 8 גירסת HOME מקומפלת ל-ARM. כיום חלק מהיצרנים מייצרים טאבלטים מבוססי Windows RT, כאשר המגמה כרגע היא שחלק מהחברות "יורדות מהעץ" כדוגמת סמסונג, ו-HP אשר העדיפו כלל לא לייצר טאבלט כזה. 

Windows RT אינו תואם בינארית לשום דבר. מבחינת אפליקציות, לא ניתן להתקין שום אפליקציה במכשיר באופן עצמאי (במסגרת Mastering בחברה עצמה כ-Image מרכזי שיותקן על כל המכשירים) אלא אך ורק דרך החנות של מיקרוסופט. מערכת ההפעלה כוללת חלק מאופיס 2013 (גירסה קצוצת רגליים) ללא Outlook. לא ניתן "לשדך" בין מכשיר כזה לבין Active Directory ללא תשלום תוספת של 100$ לערך וכמות האפליקציות שקיימות לו כרגע היא מגוכחת. רוב האפליקציות הן לא יותר מאשר קישור לאתר מיוחד, כלומר Web Application. לא ניתן להתקין עליו כל כלי עבודה אחר שנמצא בחברה כי אין תאימות בינארית. בנוסף, הטאבלט סובל ממחלת ה"אמצע" – כאשר חלק מה-GUI בנוי לעבודה עם אצבעות וחלק אחר יגרום עצבים למשתמשים, במיוחד כאשר צריך להרחיב חלון במצב Desktop או כאשר יש לשנות הגדרות ואין לאותן הגדרות ממשק מגע נוח. 

Windows RT כפי שהינכם יכולים לנחש עד כה אינו מומלץ לשימוש במסגרת ה-Corporate ולמען האמת מיקרוסופט עשתה הכל על מנת שהוא לא יכנס ל-Corporate וזאת כדי להרוויח מגירסת ה-PRO של הטאבלט וגירסאות ה-PRO למערכת ההפעלה שלהם.

לאלו עובדים בחברה טאבלט יתאים?

טאבלט יכול להתאים בחברה לאנשים שעובדים עם המון מיילים ו-Web, כמו אנשי שיווק שנמצאים רוב הזמן בשטח. חיי הסוללה הארוכים, והמשקל הקל של הטאבלט יכולים להקל משמעותית על איש השיווק. דוגמאות נוספות הם טכנאי שטח (שוב, סוללה ומשקל), כמכשיר נוסף למנהלים, ושאר מקצועות שפחות צריכים להכין תוכן אלא יותר להציג תוכן ולעשות עריכות טקסט קלות, מענה למייל, גישה לקבצים מרחוק ועוד.

האם יש צורך בציוד נוסף?

כן. אם מחליטים לרכוש טאבלטים, מומלץ להוסיף את הדברים הבאים:

  1. מטען נוסף לכל מכשיר (מכירים את הצעקות "למי יש מטען לאייפון?" אז אתם יודעים על מה אני מדבר).
  2. מקלדת נוחה עם תושבת לטאבלט (שלא תהיה עם מקשים צפופים, שהטאבלט לא יעוף כשמחברים את המקלדת, שניתן יהיה להקליד גם כשהטאבלט+המקלדת נמצאים על הברכיים).
  3. חיבור ל-HDMI (חיבור ממיקרו ל-HDMI מלא) על מנת שאפשר לראות את התצוגה על מסך יותר גדול (בעת מצגת וכו'). מומלץ גם לרכוש מספר פלאגים לחיבור HDMI ל-VGA ול-DVI.
  4. כרטיס מיקרו SD (במקרים שלא מדובר על iPad) כך שהתכנים של העובד ישבו שם ולא יגמרו את האחסון הקטן של הטאבלט.
  5. לסגור חבילות DATA עם הספק הסלולרי המועדף על החברה.

האם יש צורך מבחינת ה-IT בהתאמות לתשתית ה-Corporate?

תלוי לאיזה מידע משתמש הטאבלט צריך לגשת. אם לדוגמא רק למייל והחברה נותנת שרותי OWA, אז הגדרה פשוטה בטאבלט תספיק.

אם לעומת זאת יש צורך להשתמש בחלק או רוב או כל השרותים שכל מחשב משתמש (קבצים, LDAP, הדפסה, Active Directory Authentication, Sharepoint, Lync וכו') והטאבלט ינוהל בניהול מרכזי, אז יש צורך בתכנון מקדים של הדברים ועדיף לשכור מישהו חיצוני שיעזור בהטמעה גם בצד הטאבלט וגם בצד ה-IT. מדובר בתהליך מורכב וחשוב להתייעץ ולהחליט לפני שרוכשים את הטאבלטים ובוחרים פלטפורמה של טאבלטים.

לסיכום: בניגוד לכל מיני אנשים שחושבים שטאבלטים הם צעצועים ותו לא, טאבלטים יכולים לסייע במקצועות שונים ולאנשים שונים בחברה, הן מבחינת הוזלת עלויות שונות (הדרכה, תחזוקה, ניהול), והן מבחינת החזרת השקעה (ROI). בטאבלטים מבוססי אנדרואיד אם אפליקציה אינה מגיבה, אפשר מרחוק למחוק את ה-User Data (שיכול "להישאב" לאחר מכן מהשרת) ומיד לחזור לעבודה הרגילה. קל יותר לקרוא טקסטים, מחלקת ה-IT יכולה לעקוב אחרי המכשיר בקלות, וניתן במקרים של גניבה/אבדה להשמיד מרחוק מידע סודי וחשוב. טאבלט שעובר הטמעה ונעילה בצורה נכונה, סביר להניח שגם לא יסבול מוירוסים/תולעים/בוטים ומכיוון שרוב האפליקציות שירוצו בו מבוססי ענן, כמות התקלות תהיה נמוכה.

גילוי נאות: הח"מ נותן כפרילאנסר שרותי יעוץ והטמעה לטאבלטים וסמארטפונים לחברות ועסוקים.

טיפ: להפריד אתרים

הערה: כפרילאנסר (שמחפש עבודה, תמיד. קורות חיים כאן), אני נתקל בכל מיני דברים שאנשים לא מכירים או לא הכירו, ופוסטים כמו הפוסט הנ"ל בא לסייע לאלו שלא מכירים את התחום. אם יש לכם רעיונות לפוסטים חדשים, אשמח לשמוע מכם.

רבים מבוני האתרים ששוכרים שרת VPS (או שרת יעודי) לאחסן אתרים שונים שלהם, מבצעים טעות רצינית כשהם מאחסנים את האתרים. הטעות הזו יכולה לגרום לכך שפורצים משועממים יכולים להשחית חלק או רוב או את כל האתרים באותו שרת מבלי להתאמץ יותר מדי. ההשחתה היא במקרה הטוב, פריצה וגניבת ה-DB ואיפוס סיסמאות הן דבר שאני לא מאחל לאף אחד, אך זה יכול לקרות כשלא משתמשים בכלים הנכונים.

רבים מאותם בוני אתרים אינם מכירים לינוקס בצורה מספקת והן מאחסנים את האתר במיקום ברירת מחדל כמו var/www/html/ (במערכות מבוססות CentOS) או var/www/ בהפצות כמו Debian או Ubuntu. מכיוון ששרת ה-Web (במקרה המדובר לפוסט זה מדובר בשרת Apache) משתמש במשתמש משלו (apache במקרה של CentOS, ו-www-data במקרה של Ubuntu/Debian), בוני אתרים רבים משנים הרשאות של קבצים על מנת שיתאימו ולעיתים הם פותחים יותר מדי הרשאות (כמו הרשאות כתיבה/קריאה/הרצה לכל משתמש), מה שיעשה את חייו של הפורץ קלים מאוד.

באופן עקרוני, שרת Apache יודע לעבד קבצי HTML, JS וקבצי CSS ומספר קבצים המיועדים להגדרות Apache כמו htpasswd, htaccess ועוד. שאר סוגי הקבצים (כמו PHP ושפות אחרות) מצריכים מודולים שיודעים להתממשק עם שרת אפאצ'י והגדרות שכאשר השרת נתקל בקובץ מסוג PHP לדוגמא, המודול של PHP בשרת אפאצ'י ידע לעבד את הקובץ ואת הפלט הוא מעביר לשרת אפאצ'י לשליחה לדפדפן. השיטה הזו היא השיטה הסטנדרטית שמגיעה עם כל הפצת לינוקס והיא עובדת טוב, רק שיש לה בעיה מרכזית אחת והיא: כל הקבצים נגישים לאפאצ'י ואם מישהו מצליח להשתלט על שרת האפאצ'י, הוא יכול לעשות נזקים בכל האתרים עם אותו User גם כשלמשתמש Apache אין הרשאות Shell (הוא יכול להריץ דפי PHP? זה יספיק לפורץ).

הפתרון הטוב ביותר לדברים כאלו היא הפרדת אתרים ומשתמשים, כאשר לכל אתר יש משתמש וקבוצה משלו (אין צורך שהם יהיו תחת קבוצת apache או www-data, תיכף נגיע לזה). במצב רגיל אם ננסה לעשות זאת ונייצר קובץ VirtualHost המורה לשרת אפאצ'י כי אתר X.COM נמצא ב- home/x.com/ סביר להניח שנקבל הודעת Forbidden מהדפדפן ואז נצטרך לשייך את ה-User לקבוצת ה-apache (או www-data), נצטרך לפתוח הרשאות קריאה והרצה לקבוצת Apache בנוסף להרשאות כתיבה/קריאה/הרצה וגם אז תיתקלו בבעיה שאינכם יכולים להעלות קבצים דרך מערכות CMS (כמו ג'ומלה/דרופל/וורדפרס) אלא דרך FTP ולקינוח – עדיין הבעיה הראשית (של פורץ שמשתלט על משתמש apache) לא נפתרת. צריך פתרון לכך.

הפתרון שאכיר לכם הפעם נקרא SuPHP ומה שהאפליקציה הזו עושה די פשוט: את קבצי ה-PHP שלכם האפליקציה הזו תנתב בצורה אחרת, כאשר שאר הקבצים שאפאצ'י יודע באופן טבעי לנהל – הוא (ה-apache) ינהל. כך, כשהמשתמש נכנס לאתר ויש צורך לעבד את דף index.php ה-suphp יפנה את הדף לאפליקציה שנקראת php-cgi שתעבד את הדף תחת המשתמש שיצרתם (לא תחת משתמש apache. השיטה ש-SuPHP עובד היא גם ששיטה שכלים אחרים דומים עובדת (כמו SuEXEC ואחרים)) והפלט יוגש לאפאצ'י לשליחה לדפדפן. כך אם יצרנו משתמש בשם shluk שמאחסן את אתר x.com ומישהו פורץ לאתר x.com – הפורץ יוכל להשחית את אתר x.com אך לא את אתר y.com שיושב באותו שרת תחת שם משתמש אחר.

אז איך מבצעים זאת, די פשוט. ראשית יש להתקין 2 חבילות: mod_suphp וחבילת php-cli (זה תחת CentOS, תחת Ubuntu אפשר לראות כאן. החיים עם CentOS יותר קלים 🙂 )

לאחר ההתקנה נערוך (כ-root כמובן) את קובץ etc/suphp.conf/ (שוב, באובונטו השם קצת שונה והוא etc/suphp/suphp.conf/ ) – להלן דוגמא של קובץ שלי:

[global]
logfile=/var/log/httpd/suphp_log
loglevel=info
webserver_user=apache
docroot=/
env_path=/bin:/usr/bin
umask=0077
min_uid=500
min_gid=500

; Security options
allow_file_group_writeable=false
allow_file_others_writeable=false
allow_directory_group_writeable=false
allow_directory_others_writeable=false

;Check wheter script is within DOCUMENT_ROOT
check_vhost_docroot=true

;Send minor error messages to browser
errors_to_browser=false

[handlers]
;Handler for php-scripts
"x-httpd-php="php:/usr/bin/php-cgi"

;Handler for CGI-scripts
"x-suphp-cgi="execute:!self"

10 השורות הראשונות הן הגדרות כלליות, כמו היכן ה-Log של SuPHP ישב, מה תהיה רמת הדיווח (בתור התחלה השאירו אותו כ-info ואם הכל עובד שנו אותו ל-warn או error), מהו המשתמש שמריץ את שרת האפאצ'י, ההרשאות שצריך שיהיו לקבצי php, מהו המספר המנימלי ל-UserID ו-GroupID (חשוב אם יש לכם מספר משתמשים וחלקן נמצאים בקבוצות משותפות).

החלק השני הוא חלק האבטחה, ולמי אנו מאפשרים כתיבה. ההמלצה? לאף אחד. הסיבה? כי היחידים שאנו צריכים שיהיה להם הרשאות כתיבה זה רק המשתמש והקבוצה אליה הוא משוייך. 

החלק השלישי נועד לחסום אפשרות להריץ קבצי php שלא נמצאים ב-DocumentRoot שהגדרתם.

החלק הרביעי אומר ל-SuPHP האם להציג את השגיאות בדפדפן (יחד עם תוכן האתר) או לא. אם זו מערכת פרודקשן, מומלץ שלא יציג. אם זו מערכת טסטים, יש לשנות את ה-false ל-true

החלק החמישי הוא חלק של ניהול, התכל'ס עצמו. מי יריץ את קבצי ה-php? אפליקציה שנקראת php-cgi שהיא תרוץ תחת המשתמש שנגדיר ולא כמשתמש apache. החלק האחרון הוא מי יריץ את suphp – וכפי שאתם רואים, הוא יריץ את עצמו.

עד כאן החלק של SuPHP עצמו, עכשיו יש צורך להגדיר את ה-VirtualHost של האתר עצמו, להלן דוגמא:

NameVirtualHost *:80

<VirtualHost *:80>
      ServerName x.com
        ServerAdmin [email protected]
        DocumentRoot /home/x/public_html
        ErrorLog /var/log/httpd/x-error.log
        CustomLog /var/log/httpd/x-access.log combined
        LogLevel warn
        suPHP_Engine on
        AddHandler x-httpd-php .php
        suPHP_AddHandler x-httpd-php
     suPHP_UserGroup xcom xcom
</VirtualHost>

השורה הראשונה היא חשובה באופן כללי אם יש לכם מספר אתרים. צריך שהיא תופיע באחד מקבצי ההגדרות VirtualHost של האתרים שלכם (ואגב, טעות נפוצה שהרבה עושים – שהם מכניסים את כל ההגדרות לקובץ httpd.conf – טכנית בשביל זה ב-CentOS יש תיקיה שנקראת conf.d ובה מומלץ לשים כל אתר בקובץ עם סיומת conf נפרד).

החלק הרלוונטי הוא החלק המודגש:

שורה ראשונה – אנחנו מפעילים את המנוע SuPHP

השורה השניה היא אופציונאלית ואפשר להעיף אותה (הרגל מגונה שלי, אבל ג'אסט אין קייס) – היא מציינת שקבצים שמסתיימים ב-php. ינוהלי ע"י SuPHP

שורה שלישית אומרת לאפאצ'י שכל מה שקשור ל-php עצמו – ינוהל על ידי SuPHP

שורה רביעית אומרת מיהו המשתמש וקבוצת המשתמש שהקובץ ירוץ תחתיו

אחרי שסיימנו עם ההגדרות, אפשר להפעיל מחדש את שרת Apache (פקודת service httpd restart). במקרה וזה שרת פרודקשן, מומלץ פשוט לבצע reload מבלי להפסיק את השרת (service httpd reload)

עכשיו נגיע לחלק החשוב והוא התיקיה שבה יאוחסנו הקבצים. בד"כ התיקיה הזו נמצאת תחת המחיצה home. 

ההרשאות שלה צריכות להיות מצומצמות לכתיבה/קריאה/הרצה ע"י המשתמש עצמו והרצה בלבד ע"י אחרים. זה נראה כך:

drwx-----x  4 xcom xcom 4096 Mar  3 20:52 x.com

ה-x האחרון יאפשר לשרת Apache להריץ קבצים, אך לא לכתוב (אין לנו צורך שהוא יכתוב). על מנת לשנות את ההרשאות לתיקיה, יש צורך בפקודה chmod 701 x.com (תחליפו את ה-x.com בשם התיקיה). שאר הקבצים בתוך התיקיה יכולים להיות עם הרשאות קריאה/כתיבה למשתמש, קריאה בשאר (644) והתיקיות עצמן קריאה/כתיבה/הרצה למשתמש, קריאה והרצה לשאר (755). למי שסקרן לגבי ה-701 – מה שזה עושה (בניגוד ל-755) זה חוסם את האפשרות שמשתמש אחר יוכל לראות מה יש בתוך התיקיה של משתמשים אחרים.

כפי שציינתי, SuPHP הוא רק פתרון אחד. יש פתרונות אחרים כמו SuEXEC או FastCGI (כאשר FastCGI הרבה יותר מהיר מ-SuPHP) אך הם עובדים פחות או יותר באותה צורה וגם ההגדרות אינן שונות משמעותית. יחד עם זאת לשיטות אלו ישנו חסרון שצריך לקחת בחשבון והוא פניה בכל דף PHP להרצת תהליך חיצוני (בניגוד ל-DSO, מה ש-PHP עושה במצב ברירת מחדל), ולכן מומלץ לשים פתרון Cache על מנת לפתור בעיה זו.

פריצה לעסק שלך .. עם ראוטר בלבד

לפני מספר ימים שחררה חברת Mandiant וידאו קליפ המראה איך הסינים פורצים לחברות מסחריות גדולות בארה"ב. קחו כמה דקות לצפות בקליפ הבא:

לאנשי אבטחה רציניים, וידאו כזה יכול לגרום להם להחוויר, להתעצבן וכו', אך לרבים מהאנשים דבר כזה לא ממש מזיז להם, וזה כולל גם אנשי סיסטם רבים, כפרילאנסר שמחפש עבודות ושחובב נושאי אבטחה ושאכפת לו, החלטתי לכתוב את הפוסט הזה.

בשביל הפוסט הזה נדמיין לעצמנו שעבדכם הנאמן החליט לעסוק במקצוע לא חוקי אך מניב רווחים גדולים מאוד: סחר במידע גנוב.

תשאלו אנשי סיסטם רבים, מנכל"ים, סמנכל"י IT ועוד, וכולם ישמחו לספר איך הם השקיעו ב"מילה האחרונה" בטכנולוגיה: חומות אש של סיסקו וצ'קפוינט וחברות ידועות אחרות, טכנולוגיות שיודעות לאבחן תקשורת חשודה, נסיונות פריצה מבחוץ ועוד. הם מרגישים מבחינתם מוגנים, אבל ההרגשה הזו היא כפי שאדגים כאן בתאוריה – אשליה. נכון, נסיונות פריצה רבים קורים מבחוץ והמערכות הנ"ל מגינות עליהן, אבל לא רבים חושבים על התמודדות נסיונות פריצה מבפנים.

אז החלטתי לסחור במידע גנוב. איך בדיוק אשיג את המידע הגנוב? להתחיל לנסות לפרוץ מבחוץ לא יתן לי יותר מדי חוץ מאשר כאב ראש רציני ותסכול. צריך לחשוב על דרך אחרת.

מהי הדרך האחרת? הדרך היא דרך .. קיבתם של העובדים. כמו שידוע, רבים מהעובדים יוצאים בשעות הצהרים לאכול ולוקחים איתם מחשבים ניידים. הם מגיעים למסעדות פופלריות, מזמינים לאכול ויושבים לאכול, ובד"כ לאחר 20-30 דקות משלמים וחוזרים למקום עבודתם. המידע הזה מסייע לי, משום שאני יכול לתכנן את הכניסה שלי בדיוק בנקודה הזו שהיא הנקודה החלשה: המחשבים הניידים שלהם.

כל מה שאני צריך לעשות זה להצטייד בראוטר סלולרי עם אות שידור חזק וחיבור לאינטרנט. אחרי שאמצא מהי המסעדה הפופולרית אכנס לשם, אזמין לי משהו לאכול ואפעיל את הנתב שלי. אני אזייף את את שם הראוטר שלי שיהיה כמו המקורי ואת המקורי אני אפיל (לא מסובך להפעיל ראוטר של מסעדה, במיוחד שאף אחד מהעובדים לא יודע לטפל בזה..), כך שכל הגולשים שיש להם WIFI פתוח יראו את הראוטר שלי ויתחברו אליו. כמובן, אין צורך בסיסמא כדי להתחבר ולקבל שרותי גלישה מהראוטר שלי..

מהרגע שבעל המחשב הנייד התחבר ל-WIFI שלי, הוא מקבל כתובת IP ומיד Redirect בדפדפן שלו לדף "הסכם גלישה" שלי. הדף נראה דף תמים עם הסכם שכולם גוללים למטה ולוחצים אישור.. רק שלאישור לוקח 3 שניות להופיע.

כאן הסקריפטים שלי מתחילים לעבוד, לאחר שהקורבן התחבר אליי..

שלב ראשון, נבדוק כמה הבחור (או מנהל ה-IT או הסיסטם) היו חכמים והעיפו לו את התוסף JAVA מהדפדפן. לא העיפו? מגניב, רוגלה מיוחדת שלי תותקן בסתר במחשב שלו (אל דאגה, הסקריפט יודע לזהות אם זה מחשב Windows או מק, יש גירסת רוגלה לכולם). אין לו JAVA? לא נורא, נבדוק על המחשב שלו מגוון פריצות חדשות (Zero-day, למה יש שוק שחור של פריצות כאלו?) עד שאצליח להיכנס. הוא לא ירגיש כלום, לי יש 20-30 דקות עד שהוא ילך.

מהרגע שאני בפנים, החגיגה מתחילה. אם הוא משתמש מק והוא משתמש במפתחות כדי להתחבר למכונות אחרות, אני אעתיק את המפתחות מתיקיית ssh., אעתיק את קובץ ה-known_hosts שלו, אחטט לו קצת בתיקיות מסמכים וכו', אעתיק גם את ה-Contacts שלו, כניסות VPN אוטומטיות ועוד. אני גם אעתיק את ה-MAC ADDRESS שלו כדי שאדע לזהות את המחשב שלו.

הקורבן סיים לאכול והלך? אחלה. ההעתקה הזו היתה החלק הראשון, ה"סיפתח". שהוא יפעיל את המחשב שלו במשרד, האפליקציה שלי תתחיל את החלק השני שלה, החלק היותר מעניין

בחלק היותר מעניין אני נמצא בתוך ה-LAN של העסק. בשלב הראשון אני רואה מה ה-MAPPING שיש, והאפליקציה שלי כבר תדע ליצור Tunnel בין המחשב הנ"ל למחשב שנמצא בעולם. האפליקציה תדע לשלוח לי רשימות קבצים, הודעות מייל ועוד. אני מתחיל לקבל מעין "מפה" של מי עובד ומה תפקידם. אם אני מתעניין בקבצים מסויימים, האפליקציה תדע לשלוח אליי אותם. בחלקים. מדוע בחלקים? כדי לא לגרום לחשדות של כל מיני תוכנות ניטור. במקביל האפליקציה תסרוק מחשבים קרובים וגם אותם היא תפרוץ ותשכפל את עצמה אליהם. עד שבסיסטם יתעוררו, לי יהיו מספיק קבצים ומידע כדי לסחור בו.

חושבים שכל מה שתיארתי כאן הוא דמיוני? תחשבו שוב. כל מה שתיארתי כאן ניתן לביצוע כיום

אז מה ניתן לעשות? ב-2 מילים: להגדיל ראש. להבין שפריצות זה לא רק פורץ משועמם מבחוץ שמנסה לפרוץ את ה-Firewall שלך אלא הרבה מעבר לכך. המחשבים הניידים, הטאבלטים והטלפונים הסלולריים כיום יכולים לשמש כדרך לפרוץ אל העסק שלך, לעשות פילטרינג מורכב יותר למייל שמגיע לא מאנשי הקשר הקבועים כדי למנוע מצבים שמגיעים קבצי מסמכים נגועים שיתנו לחגוג על המסמכים אצלכם, ובקיצור – הפריצות לא יגיעו רק מהאינטרנט, אלא גם מתוך ה-LAN שלך, ואם מישהו לא ידאג לדברים הללו, יהיה מי שינסה להיכנס ולגנוב מסמכים, קוד ודברים אחרים על מנת לסחור בהם ולהעביר אותם למתחרה שלכם או לכל גורם אחר.

דעה: כשהמעסיק צריך להשקיע בעובדים

בימים אלו עבדכם הנאמן עוסק בהקמת LAB בבית למטרות טסטים, ניסויים, פרוייקטים ועוד. המעבדה הזו תכלול:

  • 4 שרתים כפולי מעבדים
  • 2 שרתים עם 4 מעבדים
  • מתג HP PROCURVE (יש למישהו יד שניה במצב תקין?)
  • ולקינוח – Storage של בערך 40 טרהבייט

עדיין נשאר לי להשיג עוד כמה דברים קטנים כמו איזה MINI PC קטן שישמש כ-Firewall, וכמה כרטיסי רשת, אולי גם Infiniband. בינתיים הדבר הכי מוזר והכי קשה להשיג – זה חצי ארון על גלגלים עם עומק של 80 ס"מ (יש 50-60 ס"מ שזה בעייתי) שנסגר מקדימה ואחורה.

רוב הציוד מגיע מהעסק לאחר שמכרתי את הפעילות העסקית הישראלית (יש עדיין פעילות חו"ל שלי, אגב) ונשארו השרתים ושאר הציודים.

לשם מה אני צריך דבר כזה? לא בשביל לפתוח בבית עסק לשרותי VPS, אלא כפרילאנסר אני יכול להציע שרותים ונסיונות שיריצו דברים נסיוניים של הלקוח, וכך אפשר להדגים ללקוח מה קורה בסיטואציה X או Y, אפשר לשחזר תקלות ולראות מה ניתן לעשות ועוד. בקיצור, כפרילאנסר מעבדה כזו נותנת לי יתרון בדברים מסויימים על פני אחרים (אגב, יש עוד כמה פרילאנסרים אחרים שמחזיקים דבר כזה) בשוק הישראלחי התחרותי.

כפרילאנסר, אף אחד לא מממן לי לימודים. אם מחר תצא גירסת לינוקס חדשה (או במקרים של פרילאנסרים אחרים: Windows) או גירסת וירטואליזציה חדשה או פלטפורמות מעניינות חדשות ואני לא אשב ואלמד אותם, אני בעצם אפגע בעצמי בכך שיהיה פער בין הידע שיש ברשותי לידע שלקוחות צריכים, מה שמתורגם לכך שפחות לקוחות ישכרו את שרותיי, כך שאני חייב להישאר עם יד על הדופק ולרכוש את הספרות או התוכנות המתאימות ולהתנסות איתם.

כשכיר – העולם הזה שונה לחלוטין. 

כשכיר, אתה עובד שעות רבות ובמקרים רבים העבודה לא מספקת לך איזה LAB כדי להתנסות וללמוד דברים חדשים. כמובן שיש קורסים שבנויים במיוחד לשכירים כך שהשכיר מגיע למספר ימים למקום מסוים, ובאותו מקום דוחסים חומר לימוד רב כדי שאותו שכיר ילמד את השינויים בין גירסה קודמת לגירסה הנוכחית. אותו שכיר בסופו של דבר ירים לעצמו מערכת וירטואלית ויתנסה עם המערכת החדשה, אולי יקים כמה מערכות וירטואליות כדי לדמות שרת ולקוחות, וכך בעצם הוא ישנן את הקורס וילמד מנסיון זה או אחר את הדברים לעומק.

הבעיה מתחילה בכך שלאחרונה יותר ויותר חברות מכירות בכך שאותם אנשים צריכים את הקורסים והידע, אבל  כשזה מגיע לתשלום עבור הקורס … פה היד נהיית קפוצה, הכיס נסגר ו"אין תקציב" – וזהו אקט קלאסי של יריה ברגל.

חברות שאינן משקיעות בקידום העובדים שלהם, הן חברות שבסופו של דבר תפסדנה את אותם עובדים חרוצים שרוצים להתקדם, לדעת יותר, להתנסות יותר. אותם עובדים שרוצים להתקדם שווים יותר לחברה כי אלו הם העובדים שידעו להכניס טכנולוגיות חדשות שיכולות לסייע לחברה מבחינה טכנולוגית, מבחינת יעילות, מבחינת פתרונות וכו'.

אתן דוגמא פשוטה: קחו מישהו שלמד לפני 8 שנים "בניית אתרים" ב-HTML וקצת CSS ולמד לעבוד ולתאם את האתרים שלו שיעבדו מצוין באקספלורר בלבד (זוכרים את הקורסים הנ"ל?). אחד' כזה שלא השקיע בעצמו בלימוד ג'אווהסקריפט, ספריות JS, גירסאות מתקדמות יותר של CSS, תואמות לדפדפנים כמו כרום ופיירפוקס – יתקשה יותר להשיג עבודה מעמיתו שהשקיע ולמד. אותו דבר קורה בחברות שמעסיקות מפתחים לפיתוח מוצר, שרות וכו'. אם החברה תשקיע בעובדים מבחינת העשרת ידע, הם יחסכו כספים בשלב יותר מאוחר שהם יאמצו טכנולוגיות מתקדמות יותר, ולכן לחברות כאלו שווה להשקיע את אלפי השקלים בקורס בעובד. אפשר כמובן להתנות יציאה לקורס תמורת התחייבות כזו או אחרת מצד העובד, אך כדאי לחברות לזכור שדחיית בקשה של עובד לעבור קורס זה או אחר שיכול לקדם את העובד (ובהמשך את החברה) היא מתכון בדוק לאיבוד מוטיבציה של עובד, וכשעובד מאבד מוטיבציה, הוא גם מאבד את החשק להפעיל "ראש גדול".

 

מעבר לתל אביב וכמה טיפים על תקשורת

סוף סוף בשבוע שעבר עברתי רשמית לגור בתל אביב, ולאחר שמכרתי את הפעילות העסקית הישראלית של העסק, אני מחפש עבודה (כסיסטם לינוקס ו-וירטואליזציה, קורות חיים אפשר להוריד כאן).

מכיוון שהמעבר שלי היה יחסית די לא מתוכנן (כשתכננתי זאת לפני מס’ חודשים זה נפל), עברתי מספר חוויות הקשורות לתקשורת נתונים ורציתי לשתף את הקוראים היקרים בנסיון שלי, ואולי מישהו ישתמש בידע הזה כדי למנוע מעצמו תקלות ובעיות.

הדבר הראשון שעשיתי לאחר שחתמתי חוזה לשכירת הדירה, הוא ליצור קשר עם בזק כדי לקחת קו ADSL, וכאן מתחיל הטיפ הראשון: יש קו ADSL רגיל ויש קו ADSL “קל” (הגירסת עירום – הנציגה לא שמעה עליה), וכאן חשוב שתבדקו מה הצרכים שלכם, לדוגמא: אם אתם שולחים פקסים רבים מהבית (כן, יש עדיין לצערי מקומות רבים שמקבלים רק פקסים, חס ושלום אימיילים), עדיף לכם קו רגיל כי מחירי השיחות ב”קו קל” ממש לא זולים.

אני העדפתי את הפתרון תשתית של בזק מאשר הפתרון של HOT הואיל ובעבר התקלות שהיו לי עם HOT לפני זמן רב נענו בצורה גרועה ורבים חוו בדיוק את אותה חוויה. ב”בזק” לפחות עונים יותר מהר ופותרים, אם כי לא פותרים תמיד נכון (תיכף אפרט).

החלטתם על קו ADSL? מצוין. כמה רוחב הפס שאתם רוצים? למי שחושב על 100 מגהביט, אני ממליץ לרדת מהר מהרעיון בגלל כמה סיבות:

  • ברוב המקומות בארץ, לא תקבלו 100 מגהביט ולא חשוב כמה אתם קרובים למרכזת. לדוגמא – אני נמצא במרחק אוירי של בערך 400 מטר מהמרכזת ובמהירות 100 מגהביט אני מקבל מהתשתית מהירות של 60 מגהביט גג.
  • מחיר ה-100 מגהביט עדיין לא זול ועדיין לא אמין. בזק עדיין משתמשים בזוג אחד של גידים כדי להתחבר (רק בגירסה הבאה יהיו חיבורים של 2 זוגות), כך שאין שום אמינות לחיבור עצמו.

מבחינת מחירי התשתית – בזק עדיין לא זולים. חבילת תשתית 50 מגהביט לדוגמא תעלה לך כ-142 שקל לחודש (לא כולל מע”מ).

אם כבר מדברים על תשתית, אחד החלקים החשובים הוא הראוטר, וכאן צריך לשים לב: בזק נותנים נתבים של Netgear ו-D-Link עם קושחה מיוחדת לבזק. תחליפו לקושחה מהשוק החופשי, הראוטר פשוט יעשה לכם בעיות (אם כי לא ניסיתי להתקין DD-WRT). ספציפית קיבלתי את הראוטר של D-Link בדגם DSL6740U-G2 וזה ראוטר גרוע. איך אני יודע שהוא גרוע? מסתבר שלעיתים קרובות (לפעמים פעם ביומיים, לפעמים פעם בכמה שעות) הראוטר מפיל את החיבור, וכשהוא מנסה להתחבר מחדש, הוא נתקע על סטטוס Connecting ולא חשוב כמה תכבה את הראוטר, תאפס אותו ותדליק – לא יעזור כלום, ויש צורך שב-166 יגדירו מחדש את החיבור שלך (וכדאי לאחר שמגדירים שתבדקו שוב את המהירות, כבר קרה לי שהגדירו אותי מחדש ל-ADSL ולא ל-VDSL כך שבמקום 50 מגה קיבלתי … 5 מגה). אני ממליץ בחום על ה-Netgear גירסת VVG (זה 2 אותיות V).

מבחינת ספקי אינטרנט, ישנה תחרות, ואני מצאתי מחיר דווקא לא רע בכלל באקספון: 35 שקל בין אם אתה מחובר 50 או 100 מגה (כלומר המהירות תלוית תשתית).

עכשיו מגיע קאץ’ שהרבה לא מודעים אליו: זה שיש לך 50 מגהביט בתשתית ובספק, לא אומר שתקבל את זה בביתך, זה יותר תלוי בתשתית שלך בבית. כך לדוגמא, אם אתה משתמש בחיבור WIFI (גם בפרוטוקול N), אתה תקבל מהירות בערך של 20-35 מגהביט, גם אם תהיה 2 ס”מ ליד הראוטר (ניסיתי זאת במספר מחשבים וגם ב-Note-2 שלי). טכנאי בזק שהתקין לי את הקו סיפר לי על כך שבחיבור קוי אצל לקוח הוא קיבל מהירות 50 מגה אבל הלקוח שיש לו Macbook Air קיבל עם ה-WIFI שלו מהירות של 23 מגהביט והלקוח ביטל את החיבור.

מתכנן לחבר את המחשבים בבית דרך החשמל? (PNA או Homeplug), גם כאן צפה להנחתה משמעותית, בכיוון ה-35 מגהביט מקסימום, כך שאם אתה מחפש לקבל מקסימום מהירות בכל הבית, תצטרך לחשוב על חיווט של CAT-5 עם סוויצ’ בבית.

מכיוון שהזמנתי את בזק ולקח להם 3 ימים להגיע, הייתי צריך להיות מחובר בחיבור סלולרי (פה ושם התחברתי ב-WIFI לשכנים להורדות Smile) וכאן ההמלצה החמה שלי לא לבנות על חבילות הטריפל/חבילת גלישה סלולרית. החבילות הללו מוגבלות מאוד מבחינת כמות ההורדה (פרק בסידרה ב-HD שוקל בד”כ 1 ג’יגה ומעלה, מה שאומר שתוך 2-3 הורדות תגמור את החבילה שלך). החבילות הללו מתאימים לגולשים מאוד קלים שפה ושם בודקים מייל ואולי גולשים לכמה אתרים ביום, לא מעבר לכך. בנוסף, חלק מהחברות גובות תעריף גבוה מאוד מהרגע שנגמרה לך החבילה (חלק אחר מהחברות מורידים אותך למהירות גלישה מגוחכת, עוד רגע נוציא מודם אנלוגי!).

אם אתם משפחה וחברים/קרובים/ידידים באים לבקר תכופות, מומלץ להשתמש בתכונות של הראוטר לבנות רשת לאורחים נפרדת עם הגבלות מהירות. כבר יצא לי לחוות ביקור של ידידה טובה עם הבן שלה ולבן היתה תוכנת טורנט בסלולרי שלו ששתתה את הקו כאילו אין מחר. לא לשכוח כמובן להחליף מיד את סיסמת ה-Admin לראוטר וכמובן לקבוע סיסמא ל-WIFI, עדיף WPA2+TKIP – זהו דבר שנתמך ע”י כל מכשיר סלולרי/WIFI מודרני.

זהו, אני שמח לחזור למרכז, ה-מ-ח-י-י-ה Winking smile

על וירוסים ותולעים או: אמא’לה מצלמים אותי

אחת לזמן מה מופצים ברשתות החברתיות ובמיילים הודעות אזהרה על וירוסים ותולעים שונים עם התראה למשתמשים שלא לקבל מייל כזה או קובץ כזה או לבצע פעולה כזו וכזו, ואם הם לא ישמעו להוראות אלו – מרה תהיה אחריתם ומחשביהם האישיים יהפכו למפלצות טורפות דיסקים ונתונים חשובים.

אני מכיר את האזהרות האלו (גם אני מקבל אותם) ואני יכול לעיתים להבין את מי שכתב את האזהרה. מה שאני לא ממש מקבל, זה את השטויות שכותבים בתוך האזהרה, שטויות שמקורם בבורות במחשבים, ושטויות אלו יופצו החוצה בתפוצת נאטו (שתוכפל פי כמה וכמה תוך שעות ספורות עם התחלת שורת הנושא האלמותית :FW).

הנה אחת הדוגמות: אזהרה שפורסמה על וירוס שיודע להפעיל את המצלמה של המחשב מבלי להפעיל את נורת ה-LED כך שהצילום אינו מורגש ע”י המצולם, ואלו שמפעילים את הוירוס יסחטו אחר כך את המשתמש התמים.

מי שכתב את האזהרה הזו הוא אידיוט שלא מבין ב-Windows כלום. מדוע? הבה אסביר. ההסבר קצת טכני, אז מומלץ לעקוב אחר הדברים.

מערכת הפעלה כמו Windows היא מערכת שמורכבת ממספר “חלקים”. לא אכנס לכל החלקים, אך ישנו חלק אחד חשוב והוא החלק של דבר שנקרא “דרייבר” (התרגום בעברית גרוע). הדרייבר הוא בעצם “שדכן” בין הציוד (מצלמה במקרה שלנו) לבין ה-Windows, וכש-Windows צריך לבקש שרותים מהמצלמה, “לדבר” עם המצלמה כדי לקבל ולשלוח הגדרות, אז Windows מעביר את כל ה”דיבור” הזה הלוך ושוב דרך אותו דרייבר “שדכן”.

ישנם אלפי סוגים של מצלמות למחשבים, החל ממצלמות פשוטות שעולות כמה עשרות שקלים ועד מצלמות מורכבות ומסובכות שעולות מאות אלפי שקלים ומסוגלות לבצע דברים מורכבים, ולכל מצלמה יש דרייבר משלה, בחלק מהמקרים הדרייבר הוא אותו דרייבר ויכול לשמש מצלמות רבות.

עד כאן החלק של הדרייבר, עכשיו נגיע לחלק של הוירוס.

אם מחר אלך ואשלם למישהו לכתוב וירוס כמו שתיארתי לעיל, הוא לא יוכל לכתוב משהו שיצלם עם המצלמה שלכם ללא הפעלת ה-LED שבמצלמה. מדוע? כי Windows נותן למפתחים ממשק פיתוח (API) ואותו ממשק פשוט לא מאפשר זאת. הממשק פיתוח מאפשר לכותב האפליקציות להפעיל את המצלמה, להקליט וידאו, הוא מאפשר לשנות בהירות, פוקוס (תלוי במצלמה) ועוד, אבל כשמשהו קורה – אתם תראו את ה-LED במצלמה דולק.

האם אפשר לעקוף את הדלקת ה-LED? טכנית, אפשר לכתוב בוירוס שיכבה את ה-LED ע”י שינוי הדרייבר, אבל גם אז, הטריק יפעל רק בחלק קטן מהמצלמות, כלומר שום וירס לא יכול לכבות LED בכל המצלמות בגלל הדיירברים השונים, הצ’יפים השונים במצלמות ועוד.

במחשבי המק המצב מעט שונה: בגלל שאפל משתמשים במספר קטן של צ’יפים הנמצאים במקים שונים, אפשר לכתוב משהו ש”עוקף” את המערכת ויכול לכבות את ה-LED ותוכנות ריגול שונות במק משתמשות בטריקים הללו, אך יש מגוון רחב של תוכנות שיכול לגלות את אותן וירוסים במק ולנטרל אותן כליל.

לכן – אזהרה כאילו יצלמו אתכם מבלי להפעיל את ה-LED של המצלמה היא אזהרה מופרכת מיסודה שמקורה בחוסר הבנה במערכות הפעלה ובממשק פיתוח תוכנות ל-Windows.

כעקרון, כדי להימנע מוירוסים, תולעים ושאר נזקים, כל מה שצריך זה אנטי וירוס טוב והגיון בסיסי פשוט. אם לדוגמא אתה מתכתב עם מישהי בעברית ופתאום אתה מקבל מייל שהוא כביכול ממנה שכתוב באנגלית עם טקסט כמו check this out עם קובץ מצורף, כדאי לחשוד בכך ולשאול את השולח האם הוא באמת שלח. אם אתה משתמש ב-GMAIL וגוגל אומרים לך שיש חשד שהקובץ הוא וירוס אז אל תנסה להתחכם ולהוריד אותו בכל זאת, אל תנסה לבטל את האנטי וירוס שצורח “וירוס” על אותו קובץ – תוותר, זהו וירוס, מחוק את המייל והקובץ ואל תנסה להריץ.

כשאתה גולש באינטרנט, כדאי שתבחר דפדפן נורמלי כמו גוגל כרום או פיירפוקס. 2 הדפדפנים הנ”ל יודעים להתמודד עם כל מיני חוליים שונים והם מתעדכנים אוטומטית ברקע לגירסה החדשה ביותר ויודעים לחסום סכנות בצורה טובה. אינטרנט אקספלורר, למרות ההמלצות החמות של מיקרוסופט, עדיין קל לעקוף את המנגנונים שלו ולשתול כל מיני חולירות דרכו.

לסיכום: שימוש נכון, מעט הגיון, אנטי וירוס טוב, דפדפן מודרני – יגנו עליכם בצורה טובה נגד רוב הדברים. על שאר הדברים תוכלו לשאול חברים שמבינים בתחום.

ותפסיקו עם המחבואים מהמצלמה Smile

ההחלטה המוזרה לגבי Huawei ו-ZTE

בארה”ב הוחלט לאחרונה לאסור על גופי ממשל לרכוש ציוד מחברות Huawei ו-ZTE. להחלטה קדמה חקירה מקיפה שערכה ועדה בארה”ב, שבמהלכה זומנו ראשי החברות לתשאול בנושאי קניין רוחני, והחשד הכבד שחברות אלו יצתתו (דרך הציוד שימכרו) לאותם גופים שימכרו להם את הציוד – ויעבירו את המידע לסין. ב-CBS במסגרת תוכנית “60 דקות” פרסמו כתבה על הנושא, הנה הכתבה (למי שאינו רואה את הכתבה, מומלץ לבטל זמנית את Adblock, מבטיח שלא יצוצו פרסומות):

אישית אני בהחלט מבין את דאגות הממשל בארה"ב (החלטה דומה התקבלה באוסטרליה לגבי אותן חברות). הסינים ידועים כגונבי מידע סדרתיים בכל נושא אפשרי, וזה הגיע עד להעתקות של מטוסי חמקן מסוגים שונים, טילים, מכוניות ואפילו לנושאות מטוסים. כל מה שאפשר להעתיק בצורה חוקית או לא – הסינים בהחלט יעתיקו, יגנבו, יצתתו וכו'.

בממשל עצמו כמובן לא מסתפקים באיסור על גופים ממשלתיים. חברות הסלולר הגדולות כבר קיבלו רמזים (כפי שאפשר לראות ככתבה לעיל) שימצאו חברות אחרות לרכוש מהן ציוד תקשורת.

את כל זה אני מבין.

משהו אחד אני לא מבין והוא עניין הקוד.

טכנית, רוב המחשבים מיוצרים כיום בסופו של דבר בסין בחברות כמו Foxconn ואחרות. רוב הציוד עצמו גם מיוצר בסין (כמו עדשות למצלמות סלולריות, לוחות, פלסטיקים וכו') וחלק גדול מהצ'יפים שנמצאים במחשבים וטלפונים סלולריים גם מיוצרים בסין.

אם הממשל הסיני היה מעוניין לדחוף בכל הכח מערכות ריגול אחר מידע, כל מה שהם היו צריכים לעשות זה:

  • להטמיע קוד "מאזין" בתוך אחד מהדרייברים של יצרן צ'יפים סינים (כמו Realtek ואחרים), את הקוד הזה מכניסים לתוך Image של דיסק קשיח שאמור להיות משוכפל עבור אותם מחשבים.
  • "להמליץ" ליצרן הציוד להכניס את הקוד שהממשל הסיני פיתח לתוך חבילת הדרייברים ל-Windows שאותו יצרן מפתח, אך לא באופן ישיר (לדוגמא, כחלק מ-Online update) כך שהדרייבר עצמו יהיה "כשר", אך החלק של ה-Update ידווח "הביתה" במועד מסוים מה קורה ואם צריך להעביר לו עדכון שיתחיל באמת להאזין.
  • "להמליץ" ל-Foxconn או יצרני מחשבים אחרים לוודא כי הדרייברים ה"חדשים" יהיו בתוך אותם דיסקים קשיחים.

(סביר להניח שבנקודות לעיל יש מספר כשלים, אבל אני מדבר באופן כללי) ובכך יכול הממשל הסיני להאזין כרצונו למידע שהמשתמש מכניס/מוציא. כמובן שאם יעלו על כך המשתמשים או היצרנים במועד יותר מאוחר, תמיד ניתן יהיה להאשים כמה עובדים זוטרים ולפתר אותם ו"להתנצל". בין כה לחברה שמוכרת את המחשב (HP/DELL וכו') אין ממש לאן לעבור מבחינת יצור זול.

זה נשמע הזוי כל העניין? אולי, אבל הוא היה קיים בעבר לפני כשנה וחצי בצורה מעט שונה: סדרת מחשבים של HP שהחלה להימכר, נמצאה לאחר כחודש נגועה בוירוס, כלומר איך שקנית מחשב ופתחת אותו – היה לך וירוס במחשב. הוירוס לא היה חדש והיצרן התנצל על כך בפני HP, אבל זו דוגמא מעולה לכך שמה שאני מתאר תאורתית יכול בהחלט לקרות.

כשאנחנו מדברים על ZTE ועל Huawei חשוב שנזכור כי 2 החברות לא ממש "צדיקות". חברת Huawei בעבר העתיקה ראוטרים של סיסקו בשלמותם, מהמדריך למשתמש, דרך הקופסא, הצ'יפים והלוח ועד החיבורים, וסיסקו כמובן תבעה אותם על כך. ל-ZTE מצד שני לא חסרים פאקים מכאן עד הודעה חדשה בציודים רבים שהם מייצרים שישנה גישת root עם סיסמא קבועה וגלויה שמאפשרת גישה מרחוק.

אבל במקום לבטל חוזים ופוטנציאל רכישה עם 2 החברות, אפשר לעשות משהו אחר שיועיל ל-2 הצדדים. מה אפשר לעשות? משהו פשוט: אם Huawei מעוניינת למכור ציוד שלה, שתתן את כל קוד המקור (לא רק למערכת הפעלה, אלא גם לחלקי קוד שהם מקבלים מיצרנים אחרים) לגוף עצמאי מוסכם שיעברו על הקוד שורה שורה כדי לוודא שאין שום אפשרות לציוד "להתקשר הביתה" בחזרה ליצרן או לכל מקום אחר. כל עדכון קוד יעבור גם דרך אותו גוף עצמאי לבדיקה והקוד שיותקן במערכת יהיה אך ורק קוד שאושר על ידי הגוף העצמאי הנ"ל.  כך בעצם חוסמים אפשרות שהציוד ישמש לצרכי ריגול סיניים.

מיקרוסופט בעבר נחשדה על ידי מדינות רבות בכך שיש בתוך Windows קוד של NSA ושאר סוכנויות לרגל אחרי המשתמשים ולהעביר את הקוד לגופי הממשל האמריקאיים. מה מיקרוסופט עשתה במקרים אלו? היא שלחה לנציגי הממשלות השונות את קוד המקור של Windows בצורה כזו שמתכנתים יכלו להעיף מבט על הקוד (אך לא להעתיק אותו בשיטת Copy/Paste). אני לא יודע כמה מדינות באמת בדקו את הקוד (גם לישראל הקוד הגיע למשרד האוצר בדואר מאובטח בכמה עשרות תקליטורים), אבל ברגע שמיקרוסופט עשו זאת, כל המתלוננים שתקו.

לעניות דעתי, החלטות כמו זו שהחליט הממשל בארה"ב ובאוסטרליה רק פוגעות בחברות שמעוניינות לרכוש ציוד ולהקים תשתית במחיר זול. את הקוד ניתן לבדוק, ואת החשש (המוצדק לעיתים) ניתן להפיג, ועדיף לעבוד כך מאשר חסימה מוחלטת של יצרן ובכך לגרום למקימי התשתית לשלם הרבה יותר ליצרנים אירופאיים (אריקסון) או אמריקאיים (סיסקו). אישית, קצת הפתיע אותי שישראל, אחת המדינות שיש בה חברות רבות המפתחות צ'יפים לתקשורת – אין בה אפילו חברה אחת שיכולה למכור ציוד לדור רביעי (4G), במיוחד בשוק שאין בו מתחרים רבים ושיכולים לנצל את ה"אמברגו" על הציוד הסיני לטובתם.

על אנדרואיד ופיראטיות

בזמן האחרון שמעתי יותר ויותר תלונות מצד כל מיני חברות שנדהמו מכמות הפיראטיות שיש בשוק האנדרואיד והם החליטו שלא מתאים להם לפתח ולמכור דברים לאנדרואיד.

לי אישית לא כל כך אכפת מאותן חברות, הואיל ואני לא משתמש במשחקים. אני אוהב את אנדרואיד בגלל מה שהוא: פתוח.

תרשו לי להציג בפניכם תמונה:

nook-android4

תכירו את ה-Nook שלי שנראה כך נכון לכתיבת שורות אלו. את ה-Nook רכשתי עם אנדרואיד 2.1 שהיה מאוד מוגבל ומקוצץ כשהגיע מחברת B&N ואחרי כל מיני פיתוחים של פרוייקטים שונים בקוד פתוח, הגיעו למצב שאפשר להריץ על Nook את אנדרואיד 4.0 (זו גירסת Nightly שעדיין לא הכי יציבה בעולם, אבל עובדת לא רע).

וזה הדבר הגדול באנדרואיד – הפתיחות שלו. האפשרות לקחת את גירסת הקוד הפתוח, לשנות ולשפר אותה ולהריץ אותה על מכשיר שבחיים לא יקבל גירסה 4 של אנדרואיד.

אנדרואיד הוא קוד פתוח, אבל האם זה שהוא קוד פתוח היא היא הסיבה לפיראטיות? אינני חושב כך.

הבה ניקח דוגמא מ-2 חברות שונות שמוכרות מוצרים על טאבלטים, טלפונים חכמים ומכשירים אחרים מבוססים אנדרואיד. אמזון ו-Netflix.

לאמזון יש את התוכנה שלהם שנקראת Kindle (גם למכשירי הקריאה שלהם קוראים Kindle אבל עם תוספות שם אחרות לשם בידול). תוכנת ה-Kindle מאפשרת לך להתחבר לאמזון, לרכוש ספרים ולקרוא אותם ישירות על המכשיר שלך שמבוסס אנדרואיד (בנוסף לשאר מכשירים ו-PC).

החברה השניה היא Netflix. התוכנה של Netflix מאפשרת למנויים להפעיל את התוכנה, לבחור סרט ולצפות בו בצורה קלה ופשוטה. כל עוד יש לך חיבור אינטרנט, אין שום בעיה שתצפה.

כמה פיראטיות ממוצרי אותם חברות תמצאו ברשת? בקושי. אמזון לא ממש מוצאת את עצמה צריכה להילחם בפיראטיות כי היא כמעט ולא קיימת, וכנ”ל Netflix. זה לא שאין פיראטיות לסרטים וסדרות, אנשים פשוט מעדיפים או לצפות ישירות (אם אתה תושב ארה”ב או מחובר ב-VPN כמובן!) או להוריד דרך טורנטים.

ב-2 המקרים, המוצרים הנ”ל רצים לעילא על אנדרואיד עם גרסאות מערכת הפעלה ישנות כמו Gingerbread (גירסה 2.3).ב-2 המקרים החברות הנ”ל פיתחו DRM (והסתמכו חלקית על DRM שקיים בגירסה 2.3), ביחד עם תמחור אגרסיבי, אותן חברות הצליחו ומצליחות למכור את מוצריהן עד היום.

שיעור היסטוריה קטן: עבדכם הנאמן עבד על כל מחשב 8 ביט שיצא לשוק. החל מאטארי 400/800/XL/XE, קומודור ויק 20, C64 ו-128 (כן, גם על 4+ שאף אחד לא הבין מדוע קומודור הוציאה אותו), אפל 2, Color Genie, וגם TI 99/4A, ו-Oric, גם ב-BBC וכמובן ZX Spectrum ושאר מחשבים תיכננתי (בין אם ב-Basic או באסמבלר, מה שהיה ניתן להשיג ספרות). המכנה המשותף לכולם? לאף אחד מהם לא היתה חומרת DRM כלשהי, ובכל זאת חברות משחקים פיתחו להם כל מיני הגנות לתוכנות, בין אם בשינוי הגדרות קריאה מטייפ/דיסק, מספרים סידוריים שהיית צריך להכניס ו-1001 שיטות הגנה אחרות. גם במחשבי 16 ביט המצב היה דומה וגם כאן חברות תוכנה ומשחקים מצאו לעצמן דרכים לפתח הגנות, בין אם בכתיבה מיוחדת על דיסקטים מקוריים (סקטורים “חלשים”, טראקים ארוכים, חורי לייזר בדיסקטים ועוד טריקים שלא היה ניתן בתוכנת העתקה להעתיק את הדיסקט ללא חומרה יעודית שעלתה אלפי דולרים) ובין שילוב של כל מיני פלאגים ועוד.

כל שיטות ההגנה פוצחו ונפרצו תוך זמן קצר, אולם היו מספיק אנשים שהצליחו להחזיק את שוק המשחקים חי באותן פלטפורמות עד שנכנסו מחשבים אחרים לשוק.

מי שהכניס לשוק בענק את ההגנות היו יצרניות הקונסולות, החל מנינטנדו, סגה וסוני ועד מיקרוסופט עם ה-XBOX. שם החומרה תוכננה מראש למניעת פיראטיות (לא שזה עזר להם הרבה, אבל שוב, היו מספיק שקנו והחזיקו את כל המעגל חי עד שיצאו קונסולות חדשות וחוזר חלילה).

נחזור לאנדרואיד: כן, ישנו שוק פיראטיות מאוד שוקק חיים, ומשתמשי אנדרואיד רבים מחפשים דווקא את התוכנות החינמיות, ויש הרבה יותר תוכנות חינמיות לאנדרואיד מאשר שיש לכל מכשיר של אפל, ולכן אנשים חושבים פעמיים אם לשלם כסף על תוכנות או לא.

האם בגלל שגוגל שלא עבדה על פתרון טוב לפיראטיות (בניגוד לאפל), כדאי לזרוק מיליוני משתמשים החוצה? התשובה לדעתי היא לא. מה שמפתחים צריכים לעשות זה מה שעשו בשנות ה-80 וה-90, רק בצורה אחרת. אם מתכנת כותב משחק XYZ, מה שהוא צריך לעשות זה למכור בחנות האפליקציות של גוגל – מעין Loader למשחק. אפליקציה קטנה שתרוץ על המכשיר ואז בעצם תיישם DRM. למפתח המשחק יש את כל הפרטים של הקונה, ה-Loader יכול לתקשר עם השרת ולמסור לו את פרטי הרוכש לשם השוואה האם הלקוח אכן רכש. רכש? התוכנה מוריד חלק קריטי של הקוד בצורה מקודדת עם פרטים יחודיים של הלקוח, ורק עם החלק הקריטי הזה התוכנה תתקין את עצמה, תוריד את שאר החלקים ואז תאפשר למשחק לרוץ. למשתמש הדברים שקופים, למפצח החיים לא כל כך יהיו קלים, וכל ה-“DRM” הזה זה רעיון פשוט (שאפשר לפתח בהרבה) כדי להתמודד חלקית עם הפיראטיות. שיווק אגרסיבי, מחירים זולים – וניתן יהיה למכור כמות לא רעה גם למשתמשי אנדרואיד שהכמות שלהם כיום – היא יותר ממשתמשי אפל.

פיראטיות היתה, פיראטיות תישאר איתנו לתמיד. תמיד יהיו אלו
שלא ירצו לשלם, אבל עם הגנה טובה, מחיר זול ושיווק טוב – ניתן יהיה למכור ולהתפרנס בצורה לא רעה. אם אתם רוצים דוגמא רעה לאיך מעודדים פיראטיות, תסתכלו בחנות של נוקיה (שמשנה את שמה כל שני וחמישי), איך תוכנת שעור מעורר פשוטה עולה 5 דולר, ותוכנה שמאפשרת להפוך את הנוקיה לראוטר WIFI קטן עלתה 40 דולר! (כיום היא ירדה ל-9 יורו אחרי שהיא היתה זמן רב 15 יורו למכשירי מגע של נוקיה). במחיר שכזה, פלא שאנשים רצים לחפש עותק פיראטי?