כמה מילים על הצפנת סיסמאות ב-DB

עדכון לפוסט: התווספו שיטות נוספות מומלצות, תודה למגיבים בטוקבקים.

ביום ה' האחרון נודע כי אתר "תפוז" נפרץ, ובסיס הנתונים שהכיל את פרטי המשתמשים (כמו אימייל, סיסמאות וכו') נפרץ. פריצה זו מצטרפת לשורת פריצות באתרים שונים, ויש אתרים הרבה יותר גדולים שנפרצים ופרטי המשתמשים מופצים לכל עבר (ומי שעושה מזה הכי הרבה הם הספאמרים כמובן, עוד כמה מיליוני רשימות לדחוף להם ויאגרה מזוייפת, ועוד כל מיני שקרים).

הבעיה העיקרית בד"כ של אותם אתרים, זה שאותם מתכנתים באותה חברה, נמצאים תחת אשליה שאם יש את הקופסאות XYZ שנותנים כל מיני סוגים של "חומות אש", אז הם מוגנים ואפשר לשים פס גדול על כל עניין של אבטחת מידע, המלחת סיסמאות וכו'. בד"כ אני קורא לזה במובן הכי פשוט מתכנתים עצלנים.

אבל זה לא קורה רק אצל אתרים גדולים, זה קורה גם באתרים בינוניים וקטנים, כאלו שלא תשמעו עליהם או כאלו שאולי תשתמשו בהם ולא תדעו שהפרטים שלכם חשופים. זוכרים את "הפורץ הסעודי"? (כן, הוא כבר מת), זה שפרץ לאתרים שונים ופירסם מספרי כרטיסי אשראי, מה שהכניס את חברות האשראי בארץ לסרטים ובמיוחד את לקוחותיהם? אז כן, הבעיה גם שם.

והיא קשורה בד"כ לעצלנות נטו או לתחושה של "הכל בסדר" בגלל הבטחות שניתנות ע"י ספקי אחסון שונים ש"הכל מוגן". כמובן שאין חיה כזו

אז לטובת המפתחים שמכירים חלקית את נושא ההמלחה והצפנה, ולטובת אלו שלא מכירים, הנה שיעור מזורז. אני מדבר בפוסט זה על MySQL אבל זה רלוונטי לכל אפליקציית בסיס נתונים.

באופן עקרוני, תוכנת בסיסי נתונים (אני פשוט אקרא לזה DB בפוסט זה) יודעות לאחסן סיסמאות בצורה מוצפנת, אבל ההצפנה עצמה מאוד קלה לפריצה. כך לדוגמא כשמשתמשים בפונקציית Password ב-MySQL כדי להכניס משתתמשים לטבלת משתמשים ב-MySQL כבר עושים את הטעות הראשונה. כפי ש-MySQL כותבים בעצמם, זה לא מיועד לניהול משתמשים עבור האפליקציה שלך, אלא עבור התחברות והתממשקות ל-MySQL. 

כשרוצים להוסיף משתמשים לאפליקציה שלך, צריכים לבצע מספר שלבים:

השלב הראשון לאחר קבלת פרטי המשתמש, הוא "להמליח" את הסיסמא ומומלץ גם את כתובת האימייל. ב"המלחה" הכוונה להוסיף מספר תווים רנדומלי לפני, או אחרי, או באמצע הקלט שקיבלת, כך שאם הסיסמא שהזנתי היא hello123 אז לאחר ההמלחה היא תהיה hello123#O2j!d%425  (כאשר אחרי ה-3 יהיו ג'יבריש של אותיות רנדומליות שהמערכת תחשב מחדש בכל פעם שמישהו נרשם. אפשר לשפר ולהוסיף ג'יבריש בגדלים שונים [אנחנו פה לאמלל את חיי הפורץ או לא?], ואפשר לשים את הג'יבריש לפני הסיסמא האמיתית [כל עוד היא בגודל קבוע, כדי שתוכלו אחר כך לוודא שהסיסמא תקינה] או באמצע, הכל תלוי בכישורי התכנות של המפתח.

עכשיו, לפני שאנחנו מכניסים את הסיסמא עם הג'יבריש, אנחנו נצפין את הסיסמא עם הג'יבריש יחד. יש כל מיני סוגי הצפנות, אני ממליץ ללכת על AES-256 (חובבי PHP – יש כאן דוגמא). בשיטת הצפנה זו, ישנו מפתח שלכם, ואיתו אתם מצפינים. ההצפנה מומלץ שתיעשה דרך האפליקציה שלכם והמפתח שלא ישב בקוד עצמו אלא במקום םאחר מחוץ לתיקיות הקוד עם הרשאות מצומצמות מאוד. מדוע AES-256? כי זו הצפנה חזקה מאוד מצד אחד, ומצד שני היא לא מכבידה על שרת האפליקציות (כל שרת עם מעבד Xeon מסידרה 5XXX או מעבד i5 ומעלה או כל מעבד של AMD מה-3 שנים האחרונות כולל קידוד ופתיחת AES על הסיליקון עצמו)

אחרי שהצפננו על שרת האפליקציה את הסיסמא המומלחת, אז נוכל לכתוב את הפלט לתוך ה-DB. כך גם נעשה בצורה הפוכה כשמשתמש יתחבר למערכת ונוודא שסיסמתו נכונה. 

נקודה חשובה: אם אתם עובדים דרך command line בהתממשקות ל-DB שלכם, תוודא שכשאתם יוצאים, למחוק את קובץ ההיסטוריה. אני מכיר לפחות מקרה אחד שמתכנת הצפין את הכל, אבל שכח שהמפתח שלו היה גם בקובץ היסטוריה ומי שפרץ תפס שהמפתח שם וכל ההצפנה לא ממש עזרה (בגלל זה אני ממליץ לעשות הצפנות רק בקוד שלכם, לא ישירות על ה-DB).

שיטה נוספת היא שיטת ה-Hashing – בשיטה זו אלגוריתם (כמו SHA256) מקבל טקסט כלשהו (כמו סיסמא) והוא פולט מחרוזת שנראית כמו ג'יבריש. הסיסמא עצמה לא נשמרת בשום מקום ולא נכתבת לדיסק הקשיח של השרת. מה שכן נכתב ל-DB הוא הפלט, או כפי שהוא נקרא – ה-Hash. כך כשהמשתמש מנסה להתחבר ומקיש סיסמא, הסיסמא שהוא מקיש גם עוברת את אותו תהליך ואם ה-Hash שנוצר מהסיסמא שהמשתמש זה עתה הקיש שווה ל-Hash שנמצא ב-DB, אז הסיסמא היא נכונה והמשתמש יוכל להיכנס. חשוב לציין – גם כאן ישנם אתרים רבים שמאפשרים לכל מיני פורצים להוריד טבלאות Hash מוכנות, כך שהפורץ יוכל עם GPU חזק וטבלאות – לנסות לפרוץ את ה-DB אחרי שהוא העתיק אותו ולכן חובה להוסיף לאחר הסיסמא ג'יבריש רנדומלי באורך קבוע (נניח 10-20 סימנים שמיוצרים ע"י פונקציית RAND) ולקזז את האורך הזה בקלט הסיסמא שנקלטת מהמשתמש, ואז להריץ פונקציית Hash לפי האלגוריתם שבחרתם. תוכלו לקבל פרטים נוספים ודוגמאות קוד בשפות שונות כאן. שיטה זו היא מעולה לאתרים מסויימים אך ישנם חברות שרוצות דווקא לשמור את הסיסמא עצמה, כך ששיטה זו לא תתאים להן ולכן חשוב לבדוק מה הלקוח רוצה.

אפשרית שלישית נוספת היא לוותר על עניין ההזדהות ה"עצמית" (כלומר שהאתר שלך שיזהה את המשתמש), והישענות על שרתים כמו של גוגל או פייסבוק או טוויטר וחברות אחרות, כך כשהמשתמש ירצה להיכנס, הוא יזין לתוך חלק מיוחד באתר (חלק שלא מגיע מהאתר שלכם אלא מאתר אותה חברה שבחרתם) את שם המשתמש והסיסמא שלו, והאותנטיקציה של אותה חברה תחזיר לכם אישור אם המשתמש והסיסמא נכונים וכן את פרטי המשתמש (שם פרטי, כתובת מייל וכו'). בשיטה הזו אין לכם צורך באחזקת סיסמאות (זולת סיסמאות התחברות ל-DB ולניהול המערכת), אך החסרון העיקרי של שיטה זו הוא שבאתרים רבים אנשים מעוניינים להגיב שלא בשמם/כינוי שלהם אלא להגיב בצורה אנונימית, וכאן אתם צריכים להחליט אם להכריח משתמש להתחבר עם הפייסבוק/טוויטר/גוגל שלו או לתת לו גם אפשרות להירשם דרך המערכת שלכם על מנת להגיב.

חשוב לזכור משהו אחד: רוב הפורצים למערכות אינם מתכנתים עם נסיון עשיר. הם Script kiddies שמשתמשים בסקריפטים מוכנים שהורידו או שהם "שיפצו" פה ושם איזה סקריפט שהורידו. הם ידעו איך להיכנס לשרת ה-DB שלכם ואולי אפילו להיכנס לשרתי אפליקציה שלכם, אבל בחיטוט ולימוד הקוד הם לא מי יודע מה, מה עוד שהם רוצים להתנתק כמה שיותר מהר כדי לא להיתפס. פה בדיוק החלק שאתם יכולים לאמלל אותם בכך שאתם יכולים להצפין קוד פרודקשן, או להצפין / לג'ברש את הקוד שקורא למפתח עצמו ושלל טריקים נוספים שבא לכם, כך שגם אם פורץ יעתיק את ה-DB, הוא לא יוכל לעשות איתו כלום (חוץ מאשר אולי לראות דברים שהוא לא היה אמור לראות מבחינת תוכן).

כל עניין הצפנת סיסמאות, שמות משתמשים וכתובות מייל אינו מורכב כל כך ליישום. הכל תלוי באיזה DB ובאיזו שפה אתם מתכנתים, לפיכך מומלץ להקדיש לכך כמה שעות פעם אחתוליישם הצפנה רצינית בקוד ובמפתחות כדי שאם לכם יפרצו, לא תצטרכו לעמוד מול כל העולם ואחותו עם פדיחה רצינית וצורך לענות לעיתונאים איך אתם כל כך חסרי אחריות. במקרה של תפוז, לדוגמא, המזל הגדול של תפוז זה שרוב המשתמשים הם עם שמות משתמשים בעברית והפורץ לא ידע בכלל מה זה UTF-8, אז אי אפשר להשתמש ברשימות שהופצו כדי להיכנס למערכת של תפוז (אבל אפשר להספים את המשתמשים…)

טיפים להגנה על וורדפרס

וורדפרס היא אחת המערכות הכי פופולריות בעולם להקמת אתרים קטנים ובינוניים. כמעט כל בונה אתרים משתמש בה בהזדמנות כזו או אחרת לפני שהוא מתנסה במערכות אחרות. אחרי הכל, היא מאוד קלה לשימוש, לא מצריכה כל כך ידע טכני בכתיבת קוד (למעט כמובן המקרים אם אתה רוצה לשנות קוד בתוכנה/עיצוב/תוסף), ואפשר להרים איתה אתר שנראה טוב תוך דקות ספורות, ולאחר מכן להוסיף תוספים שונים, עיצובים, דפים, גרפיקה, תוכן וכו'.

מכיוון שוורדפרס מאוד פופולרית, היא גם מאוד פופולרית בנסיונות פריצה. כל יום מנסים לפרוץ לאלפי אתרים מבוססים וורדפרס. לא צריך להיות גאון כדי לפרוץ לוורדפרס, יש סקריפטים רבים שעושים זאת.

רבים נוטים לחשוב כי אם הם יתקינו את הגירסה האחרונה של וורדפרס, גירסה אחרונה של תוספים ועיצוב, הם יהיו מוגנים.

הלוואי וזה היה כך, אך צר לי לבעס אתכם/ן. זה לא מספיק.

וורדפרס, כעקרון, מותקן כמעט ללא הגנות, הנה חלק מהבעיות שלו:

  • המשתמש הראשי תמיד נקרא admin והוא עם user ID מספר 1, מה שמאוד מקל על סקריפטים לעשות SQL Injection ולשנות את סיסמת ה-Admin ו/או את כתובת המייל ואז אם הפורץ עושה שחזור סיסמא, מייל יגיע אליו ומשם הדרך קצרה מאוד להשתלטות על האתר שלכם, להפוך אותו לספאמר (דפים נסתרים וכו'), לשנות תכנים וכו'.
  • התיקיות עצמן הן Hard coded, תמיד התוכן/תוספים/עיצובים ישבו ב-wp-content, ושוב – סקריפטים משתמשים בזה כדי לפרוץ.
  • הרשאות קבצים פתוחות מדי. שוב, זה אחלה דבר לסקריפטים. מומלץ להסתכל בקישור הזה כדי לראות מה ההמלצות מבחינת הרשאות מומלצות.
  • קבצים חיוניים שאמורים לא להיראות – נראים גם נראים, כמו wp-config.php ועוד. נכון, הם לא מציגים שום דבר שמראים אותם בדפדפן, אבל גם במקרה זה סקריפטים יודעים להשתמש במידע.
  • גירסת הוורדפרס מוצגת, מה שמקל על סקריפטים לדעת היכן נקודות החולשה של האתר
  • המערכת אינה חוסמת נסיונות התחברות שגוים מרובים ל-wp-admin, מה שמאפשר לסקריפטים לרוץ חופשי ולנחש סיסמאות. נכון, זה אולי לא נשמע מזיק (אם כתבת סיסמא חזקה), אבל ראיתי לא מעט מקרים שדווקא עם זה חדרו לאתרים
  • סיסמאות מוגדרות הן חלשות ו-וורדפרס לא יודעת לאסור סיסמאות חלשות.

אלו, על קצה המזלג, בעיות שיש לוורדפרס.

לשמחת כולם, יש פתרון שיכול למנוע את רוב הבעיות שהצגתי והוא נקרא Better WP Security. זהו תוסף שיכול לתקן פאקים רבים של וורדפרס ולתת הגנה כלשהי. יחד עם זאת, התוסף הזה הוא לא פתרון של "שגר ושכח". יש בו מספר אופציות שאם תפעילו, האתר שלכם פשוט לא יעלה או יסגור אתכם בחוץ, לכן אם אתם רוצים להתקין אותו, צרו גיבוי של המערכת, וקראו מה כל אופציה עושה ותחליטו אם להפעיל אותה או לא. לדוגמא: אם יש לכם אתר קיים והחלטתם להפעיל את ההמלצה לשנות את ה-wp-content, תראו שכל האתר שלכם נשבר, כי התוסף לא משנה בתוך ה-DB את החלק של הכתובת לשם תיקיה חדשה. השינוי הזה לדוגמא מאוד מומלץ שמקימים אתר חדש.

עוד תוסף שכדאי לתת עליו את הדעת ה-BPS Security. התוסף הזה נותן חלק מפונקציות שלא קיים בתוסף לעיל, אבל גם לו יש כל מיני Issues, במיוחד אם יש לכם תוסף כמו WP Super Cache (תצטרכו ליצור את ה-Rules מחדש ב-יhtaccess ולפעמים תצטרכו לשנות דברים ידנית בקובץ הנ"ל).

עניין נוסף: במקרים רבים כשיש Defacement, אנשים פונים לספק, הוא משחזר ורבים חושבים שכך נגמר העניין. אז זהו, שלא. בחלק לא קטן מהמקרים ה-DB (ספציפית טבלת המשתמשים) במקרים רבים שונה ושחזור לדוגמא של מערכות WHM/CPANEL לא משחזר DB, כך שאם הפורץ שינה את אחת הסיסמאות או הוסיף את עצמו, אתם תמצאו שאתרכם יפרץ שוב, לעיתים לאחר כמה שעות. לכן, מומלץ לבדוק את טבלת ה-DB לאחר שחזור ולראות איזה משתמשים יש, והאם סיסמתם לא שונתה (יש סקריפטים שמשנים באופן גורף את כל הסיסמאות לדברים כמו admin123).

בהצלחה

פריצה לעסק שלך .. עם ראוטר בלבד

לפני מספר ימים שחררה חברת Mandiant וידאו קליפ המראה איך הסינים פורצים לחברות מסחריות גדולות בארה"ב. קחו כמה דקות לצפות בקליפ הבא:

לאנשי אבטחה רציניים, וידאו כזה יכול לגרום להם להחוויר, להתעצבן וכו', אך לרבים מהאנשים דבר כזה לא ממש מזיז להם, וזה כולל גם אנשי סיסטם רבים, כפרילאנסר שמחפש עבודות ושחובב נושאי אבטחה ושאכפת לו, החלטתי לכתוב את הפוסט הזה.

בשביל הפוסט הזה נדמיין לעצמנו שעבדכם הנאמן החליט לעסוק במקצוע לא חוקי אך מניב רווחים גדולים מאוד: סחר במידע גנוב.

תשאלו אנשי סיסטם רבים, מנכל"ים, סמנכל"י IT ועוד, וכולם ישמחו לספר איך הם השקיעו ב"מילה האחרונה" בטכנולוגיה: חומות אש של סיסקו וצ'קפוינט וחברות ידועות אחרות, טכנולוגיות שיודעות לאבחן תקשורת חשודה, נסיונות פריצה מבחוץ ועוד. הם מרגישים מבחינתם מוגנים, אבל ההרגשה הזו היא כפי שאדגים כאן בתאוריה – אשליה. נכון, נסיונות פריצה רבים קורים מבחוץ והמערכות הנ"ל מגינות עליהן, אבל לא רבים חושבים על התמודדות נסיונות פריצה מבפנים.

אז החלטתי לסחור במידע גנוב. איך בדיוק אשיג את המידע הגנוב? להתחיל לנסות לפרוץ מבחוץ לא יתן לי יותר מדי חוץ מאשר כאב ראש רציני ותסכול. צריך לחשוב על דרך אחרת.

מהי הדרך האחרת? הדרך היא דרך .. קיבתם של העובדים. כמו שידוע, רבים מהעובדים יוצאים בשעות הצהרים לאכול ולוקחים איתם מחשבים ניידים. הם מגיעים למסעדות פופלריות, מזמינים לאכול ויושבים לאכול, ובד"כ לאחר 20-30 דקות משלמים וחוזרים למקום עבודתם. המידע הזה מסייע לי, משום שאני יכול לתכנן את הכניסה שלי בדיוק בנקודה הזו שהיא הנקודה החלשה: המחשבים הניידים שלהם.

כל מה שאני צריך לעשות זה להצטייד בראוטר סלולרי עם אות שידור חזק וחיבור לאינטרנט. אחרי שאמצא מהי המסעדה הפופולרית אכנס לשם, אזמין לי משהו לאכול ואפעיל את הנתב שלי. אני אזייף את את שם הראוטר שלי שיהיה כמו המקורי ואת המקורי אני אפיל (לא מסובך להפעיל ראוטר של מסעדה, במיוחד שאף אחד מהעובדים לא יודע לטפל בזה..), כך שכל הגולשים שיש להם WIFI פתוח יראו את הראוטר שלי ויתחברו אליו. כמובן, אין צורך בסיסמא כדי להתחבר ולקבל שרותי גלישה מהראוטר שלי..

מהרגע שבעל המחשב הנייד התחבר ל-WIFI שלי, הוא מקבל כתובת IP ומיד Redirect בדפדפן שלו לדף "הסכם גלישה" שלי. הדף נראה דף תמים עם הסכם שכולם גוללים למטה ולוחצים אישור.. רק שלאישור לוקח 3 שניות להופיע.

כאן הסקריפטים שלי מתחילים לעבוד, לאחר שהקורבן התחבר אליי..

שלב ראשון, נבדוק כמה הבחור (או מנהל ה-IT או הסיסטם) היו חכמים והעיפו לו את התוסף JAVA מהדפדפן. לא העיפו? מגניב, רוגלה מיוחדת שלי תותקן בסתר במחשב שלו (אל דאגה, הסקריפט יודע לזהות אם זה מחשב Windows או מק, יש גירסת רוגלה לכולם). אין לו JAVA? לא נורא, נבדוק על המחשב שלו מגוון פריצות חדשות (Zero-day, למה יש שוק שחור של פריצות כאלו?) עד שאצליח להיכנס. הוא לא ירגיש כלום, לי יש 20-30 דקות עד שהוא ילך.

מהרגע שאני בפנים, החגיגה מתחילה. אם הוא משתמש מק והוא משתמש במפתחות כדי להתחבר למכונות אחרות, אני אעתיק את המפתחות מתיקיית ssh., אעתיק את קובץ ה-known_hosts שלו, אחטט לו קצת בתיקיות מסמכים וכו', אעתיק גם את ה-Contacts שלו, כניסות VPN אוטומטיות ועוד. אני גם אעתיק את ה-MAC ADDRESS שלו כדי שאדע לזהות את המחשב שלו.

הקורבן סיים לאכול והלך? אחלה. ההעתקה הזו היתה החלק הראשון, ה"סיפתח". שהוא יפעיל את המחשב שלו במשרד, האפליקציה שלי תתחיל את החלק השני שלה, החלק היותר מעניין

בחלק היותר מעניין אני נמצא בתוך ה-LAN של העסק. בשלב הראשון אני רואה מה ה-MAPPING שיש, והאפליקציה שלי כבר תדע ליצור Tunnel בין המחשב הנ"ל למחשב שנמצא בעולם. האפליקציה תדע לשלוח לי רשימות קבצים, הודעות מייל ועוד. אני מתחיל לקבל מעין "מפה" של מי עובד ומה תפקידם. אם אני מתעניין בקבצים מסויימים, האפליקציה תדע לשלוח אליי אותם. בחלקים. מדוע בחלקים? כדי לא לגרום לחשדות של כל מיני תוכנות ניטור. במקביל האפליקציה תסרוק מחשבים קרובים וגם אותם היא תפרוץ ותשכפל את עצמה אליהם. עד שבסיסטם יתעוררו, לי יהיו מספיק קבצים ומידע כדי לסחור בו.

חושבים שכל מה שתיארתי כאן הוא דמיוני? תחשבו שוב. כל מה שתיארתי כאן ניתן לביצוע כיום

אז מה ניתן לעשות? ב-2 מילים: להגדיל ראש. להבין שפריצות זה לא רק פורץ משועמם מבחוץ שמנסה לפרוץ את ה-Firewall שלך אלא הרבה מעבר לכך. המחשבים הניידים, הטאבלטים והטלפונים הסלולריים כיום יכולים לשמש כדרך לפרוץ אל העסק שלך, לעשות פילטרינג מורכב יותר למייל שמגיע לא מאנשי הקשר הקבועים כדי למנוע מצבים שמגיעים קבצי מסמכים נגועים שיתנו לחגוג על המסמכים אצלכם, ובקיצור – הפריצות לא יגיעו רק מהאינטרנט, אלא גם מתוך ה-LAN שלך, ואם מישהו לא ידאג לדברים הללו, יהיה מי שינסה להיכנס ולגנוב מסמכים, קוד ודברים אחרים על מנת לסחור בהם ולהעביר אותם למתחרה שלכם או לכל גורם אחר.

דרושים

הנה סיפור: לפני מספר שנים עבדתי בסטארט אפ קטן (שכבר מת לצערי). הייתי העובד השלישי בחברה ויומיים לפני שהגעתי הם קיבלו השקעה נכבדה. הם חיפשו מפתחים עם ידע רציני בכל מיני טכנולוגיות ולקח להם 6 חודשים למצוא אנשים למלא את המשרות. הם לא היו סופר בררנים, אבל מה שהגיע במקרים רבים לא היה מה שהם חיפשו (נו טוב, הם חיפשו רק דרך חברות כח אדם, כמה שצעקתי שיחפשו דרך האינטרנט – לא עזר).

כפי שכתבתי היום, אני מחפש קבוצת משקיעים (או קרן השקעות) להרחיב בצורה ממש גדולה את העסק. אני עדיין לא חושף פרטים כמובן, אבל מדובר בהתרחבות ממש גדולה בכל קנה מידה (ולא, אני לא מחפש להתחרות בספקי האינטרנט המקומיים).

אני מאמין שלמצוא משקיעים יקח זמן, אך אני רוצה להיות מוכן עם רשימת אנשים שפוטנציאלית אני יכול לשכור את שרותיהם, בין כשכירים ובין כפרילאנסרים.

אז על מה אני מדבר? אני קורא לזה “פרויקט X”

פרויקט X (לפחות בחלקו הגלוי) הוא פרויקט ההתרחבות שאני מתכנן. הפרוייקט משתמש בוירטואליזציית KVM ובכלים רבים נוספים (קוד פתוח כולם) לעשות דברים שונים ו.. מופרעים. תאמינו לי שהם כאלו מופרעים, ששום ספק VPS בארץ ובעולם (למיטב ידיעתי) לא ביצע ולא נותן.

בחלק מהמקרים נשתמש בכלי כמו שהוא, בחלק אחר מהמקרים נצטרך “להרביץ” לכלי ולעשות שינויים על מנת להשתמש בכלי/ספריה/אפליקציה וכו’.

להלן רשימת המקצועות שאני מחפש. זה לא אומר שמחר בבוקר אני פונה אליכם ומבקש לשכור אתכם אולם מהרגע שתושג ההשקעה.. צפו לטלפון/אימייל/סקייפ.

  1. מפתחי Kernel: נסיון עם כתיבה/שילוב דרייברים, אופטימיזציה ועוד.
  2. איש סיסטם לינוקס: נסיון מאוד עשיר בלינוקס, נסיון עשיר בכתיבת סקריפטים, הקמת/תחזוקת GIT, SVN, שרותים כמו NFS, iSCSI, הרשאות, ודברים אחרים שסיסטם לינוקס צריכים לעשות.
  3. מומחה KVM: אחד שיש לו נסיון עשיר בפיתוח של וירטואליזציית KVM (עדיפות למפתחים שעבדו בקומרנט), libvirt, VirtIO, virsh ועוד. סביר להניח שנצטרך 2-3 אנשים.
  4. מתכנתים ב-Perl ובפייתון עם נסיון של שנים – לכתיבה של כל המערכת מ-א’ ועד ת’. סביר להניח שנצטרך לפחות 3 אנשים כאלו.
  5. מתכנת PHP עם נסיון גדול מאוד ב-JS (למערכות Front End).
  6. איש QA נודניק שיודע לנדנד על באגים. נסיון והכרה טובה של שפות Python, Perl. יתרון לאחד שמכיר גם PHP.
  7. איש UX לעיצוב ממשקים, נסיון ב-PHP ו-JS – יתרון.
  8. האקר במובן של Cracker – אדם עם נסיון ארוך בפריצות (לא ילד!) וחסימת הפריצות.
  9. אנשי תקשורת עם נסיון עשיר בתקשורת על Linux, הווה אומר לא רק iptables אלא רבדים יותר עמוקים (כולל DPI), הכרות רומנטית עם DDoS, נסיון עם IPv6, נסיון עם Open vSwitch כולל הקוד עצמו ולדעת לבצע שינויים בו. נסיון והגדרות לסיבים, מטרו, ועוד.
  10. מפתח ב-C (או ++C) למציאת פתרונות Storage מסוגים שונים (לא הקופסאות של NetAPP, EMC וכו’), עדיף עם הכרות עמוקה בחומרה, Cache וכו’.
  11. מנהל צוות פיתוח עם נסיון בניהול אנשים.

בהזדמנות זו אני מעוניין להתנצל בפני אנשים שפנו לגבי מהנדסי חומרה בסביבות שאינן X86. ניסיתי לבדוק אפשרות הקמת שרתים מבוססי ARM, אולם לצערי כמות ההשקעה שהנושא מצריך (מבחינת כספים) הופכת את הנושא למשהו ששום משקיע שפוי בארץ לא היה מוכן להשקיע ולכן אני יורד מהנושא.

קורות חיים (בבקשה, PDF או לינקים לגוגל דוקס) לשלוח אל: [email protected] ולציין: פרויקט X.

אשמח אם תוכלו להעביר את הלינק לפוסט הזה הלאה לאנשים שמתעניינים בחיפוש עבודה בעתיד הקרוב.

על Core Boot, Thunderbolt ו..אינטל

הנה משהו שלא רציתי לגלות בקשר לתכנון שרת שאני מבצע: חשבתי להכניס הפתעה מסויימת, אולם לצערי נראה שזה יהיה בעייתי.

הטכנולוגיה שרציתי להכניס לשרת היא Thunderbolt. למי שלא מכיר, זהו פתרון של חיבור סריאלי חיצוני שעליו עובר ממשק PCI Express, ובתרגום לעברית: Thunderbolt הוא ממשק סריאלי המאפשר חיבור ציודים שצורכים המון נתונים בחיבור טורי. מהירות החיבור היא 10 ג’יגהביט וכל ציוד שמחובר הוא בעצם PCI Express רק עם תמיכה לחיבור “חם” (לא צריך להפעיל את המחשב מחדש), ואפשר לחבר ציודים שונים בחיבור טורי: המחשב שלך מתחבר למסך עם Thunderbold ומשם באותו חיבור אפשר לחבר דיסקים קשיחים, או כל ציוד אחר (ש”מדבר” Thunderbolt). חיבור פופולרי ב-מק עם Thunderbolt זו קופסא שמחברים למחשב הנייד ואליה מכניסים כרטיסים גרפיים או כל ציוד אחר.

לאחרונה אינטל החלה להוציא צ’יפים עם Thunderbolt, שזה דבר מעולה, אך אם תחפש דרך גוגל כרטיס PCI Express להוסיף למחשב שלך כדי להשתמש בחיבור הזה, סביר להניח שתעבוד קשה כדי למצוא כרטיס כזה, וגם כשתמצא זה לא יפעל על המחשב שלך עם רוב הציודים (לדוגמא: מוניטור של אפל עם חיבור כזה).

מדוע? כי חסר לך משהו ב-BIOS. חסר טבלאות ACPI, הגדרות ודברים נוספים כדי שכרטיס כזה ירוץ בצורה טובה. ב-BIOS יש תמיכה בכך שאתה מכניס כרטיס גרפי, אבל לא בצורה של חיבור “חם” דרך ממשק Thunderbolt, כלומר גם אם קנית מחשב חדש ואתה מוציא אותו מהניילונים ברגעים אלו, לא תהיה לו תמיכה גם אם תוסיף את הכרטיס.

מישהו צריך לכתוב את התמיכה ל-BIOS, ומי עושה זאת? יצרני ה-BIOS כמו Award וכו’, אולם בשלב זה עדיין אין עדכון מאסיבי לרוב ה-BIOSים שמותקנים במחשבים וגם לא יהיה. מבחינתם, זה יקח זמן וכשזה יצא – זה יצא רק למחשבים חדשים.

מי שמכיר לינוקס טוב, יודע שלינוקס יכול להסתדר כמעט עם כל דבר (כמובן שצריך להגדיר ולעבוד על הלינוקס עצמו), החל מקומודור 64 (לא צוחק) ועד המפלצות System Z של IBM, מערכות HPC ועוד, ולינוקס יודע להסתדר על חלופה ל-BIOS שנקראת CoreBoot, זו תוכנה בקוד פתוח שאפשר להריץ אותה על לינוקס, לבחור פרמטרים שונים ובסופו של דבר יוצא לך קובץ אשר אפשר לצרוב אותו על ה-BIOS שלך כתחליף (זה קצת יותר מסובך מזה ואפשר למצוא את ההוראות שם).

הבעיה עם דברים כמו Thunderbolt ו-CoreBoot, היא שצריך לכתוב תמיכה לכך ב-Core Boot, ולמי יש את התיעוד, הנסיון והידע בכתיבת דברים כאלו? אינטל. מי גוררת רגליים בתמיכה ופיתוח של CoreBoot? ניחשתם נכון.. אינטל.

מבחינת לינוקס עצמו, יש כבר תמיכה בכל ה”מסביב”. יש בלינוקס דבר שנקרא ACPIPHP עוד ממזמן (מ-2001 בערך) שיודע לתמוך בהכנסת ציודים בחיבור חם, אבל צריך להוסיף דברים ב-BIOS ובליבת לינוקס עצמה. ב-ליבה יש לא מעט כאלו שמוכנים כבר היום לבצע את זה, אך כל עוד אין תמיכה לא ב-BIOS ולא ב-Coreboot, הם לא יכולים לעשות מאומה. המצב, אגב, ב-Windows קצת יותר מסובך: ב-Windows צריך להוסיף מערכת שלמה לתמיכה ב-Thunderbolt וגם לוודא שב-BIOS יש את כל מה שצריך (שוב, בעיה בגלל יצרני ה-BIOS), כך שהמשימה שם יותר מסובכת.

מדוע אינטל גוררת רגליים? שאלה מעולה. AMD לדוגמא בהחלט תומכים בצ’יפים שלהם ב-Coreboot וניתן לראות את המהנדסים משתתפים ברשימות התפוצה לעיתים מאוד קרובות.

אז אם נחזור לעניין השרת, המחשבה וה”הפתעה” שרציתי להוסיף לא כל אך אפשרית עד שהיצרנים יתעוררו. קצת מפתיע אותי למצוא שאף יצרן שרתים רציני לא חושב או חשב על הוספת Thunderbolt לשרתים. אני די בטוח שאפשר לחבר הרבה דברים בין השרתים כדי להשתמש ב-10 ג’יגהביט רוחב פס, בין אם Storage רציני, רשת בין השרתים ועוד

ביעוס.

למעוניינים: הפוסט הבא יהיה פוסט יותר מפורט על Coreboot, אולי תרצו לקרוא.

הבהרות בקשר לפוסט "שרתים"

אתמול פרסמתי פוסט על רצוני להימנע מרכישת שרתים מהיצרנים הגדולים ועל הרצון לבנות שרתים בעצמי. בעקבות כמה טוקבקים שנכתבו שם, חשבתי להבהיר כמה דברים הן על "חץ ביז" והן על כיוון העסק ולגבי יצור שרתים:

  • הפוקוס של "חץ ביז" תמיד היה ותמיד יהיה שרתי VPS (שרתים וירטואליים) בארץ או בחו"ל. זה היה וזה יהיה התחום של העסק – למכור שרתי VPS במחיר המשתלם ביותר בישראל ובמחיר תחרותי בחו"ל. אנחנו מתחרים יפה מאוד מול המתחרים מבחינת תמחור וביצועים ואין לנו בעיה לתת מכונה לנסיון ללא תשלום.
  • יצור ומכירת שרתים לא היה ולא יהיה הפוקוס של "חץ ביז". כל מטרת רעיון היצור הוא לחתוך עלויות על מנת להגיע לרווחיות מרגע שהושקע הכסף ברכישת שרת – תוך זמן קצר יותר בהשוואה למצב כיום של רכישת שרת מיצרן ידוע. בנוסף אנו מעוניינים לתת ללקוחות לשכור שרתים יעודיים במחירים תחרותיים מאוד בהשוואה לארץ ולחו"ל.
  • השרתים מיוצרים ומיועדים בראש ובראשונה ללקוחות "חץ ביז" תוך דגש על יציבות מקסימלית. אני לא אומר את זה כטקסט שיווקי – אנו מחוייבים ב-SLA לפתרון תוך 4 שעות במקרה ויש תקלת חומרה, מה שאומר – לנו זה עולה כסף להגיע לראש עין ולהביא חלקים ולהחליף ציוד במסגרת אותו SLA.
  • אין פה כוונה להתחיל לעשות קידום ושיווק שרתים מ"תוצרת" שלנו. היצור מיועד עבורנו לשימוש העסק. יפנה מחר ספק מתחרה או מאן דהוא ויאמר שהוא רוצה 5 ברזלים לרכוש, אהלן וסהלן, זה Nice to have אבל זה לא הפוקוס שלנו.
  • חלק מהקוראים ציין כי בעקבות היצור יש חשש שלקוחות יפגעו כי אין ל"חץ ביז" מספיק נסיון ביצור שרתים. אני יכול להרגיע את החוששים ולאמר כי שום שרת לא יכנס לשימוש ללא בדיקת עומסים רצינית ויהיו מספר אנשים שיבדקו אותו (מחוץ ל"חץ ביז", אנשים שזה התחום והמקצוע שלהם). כפי שציינתי לעיל – לנו זה עולה כסף לטפל בתקלות חומרה, הרבה כסף ולכן האינטרס שלנו הוא להכניס רק שרתים שתוכננו ועמדו בבדיקות קפדניות של עומסים גבוהים. (אני כותב את הדברים ונזכר במשהו: דווקא אחד השרתים הכי יקרים אצלנו Dell R815 שעלה לנו כמעט 50K – נפל שוב ושוב. שרתים שעלו מחצית מכך לא נפלו אפילו פעם אחת!)
  • היו שתהו באימייל עם אלו מעבדים נעבוד. אנחנו מסיימים בשלב זה לעבוד עם המעבדים של אינטל ועוברים לעבוד עם סדרה 62XX של AMD. הסיבה? יחס CPP (ר"ת: Cores Per Processor). ביחס הזה אינטל עדיין רחוקה מ-AMD וגם המעבדים החדשים של אינטל עם 10 ליבות עולים בערך כמו 5-6 מעבדים ממוצעים של AMD.

מקווה שעתה הדברים ברורים יותר סמיילי

שרתים

השבוע היה בתכנון להזמין עבור העסק מספר שרתים נוספים מ-HP להרחבת העסק. בדקנו מחירים, התווכחנו עם משווקים, קיבלנו הצעות מספקים שונים והמחירים כרגיל הראו שהמשווקים פה מרוויחים בכלל לא רע על חשבון עסקים כמו חץ ביז.

אז לפני שאני שם חותמת עסק וחותם על ההזמנה החלטתי קצת לחשוב מחדש על עניין ההזמנה. בכל זאת, מדובר פה בסכום רציני ומכובד..

העפתי שוב מבט במחירים בארה"ב, והחלטתי לבדוק לשם שינוי מחירי חלקים. מה יקרה אם נבנה אצלנו שרתים מחלקים איכותיים לא פחות מהחלקים שהיצרנים כמו HP משתמשים (לא שהם תמיד משתמשים בחלקים מי יודע מה טובים..)

הופתעתי לטובה מהתוצאות.

אצלנו בעסק יש שרתים שונים מבחינת מפרט לכל תחום. לאחסון אתרים יש לנו שרתים מסויימים ו-VPS שרתים אחרים, כי כל אחד מהם צריך דברים שונים. לתחום ה-VPS לדוגמא אנחנו מזמינים שרתים עם 2 מעבדים, 32 ג'יגה זכרון ו-2 דיסקים שיעבדו כ-RAID-1 חומרה. השרת מגיע עם כל הדברים החשובים כמו זכרון ECC, ספקי כח כפולים, ניהול IPMI/LightsOut וכו'.

המחיר שמשווקים מבקשים מאיתנו על מכונה כזו – בין 16 ל-20K שקל, תלוי למי פונים ותלוי בכישורי המ"מ של הרוכש.

כשבדקתי מבחינת חלקים, עלות משלוח וכו', הגעתי למספר מעניין: בפחות ממחצית אני יכול לקנות רכיבים של שרת כזה עם כל מה שתיארתי. מספר נאה, אבל בכל זאת, אתה לא שם שרת על ניילון סטטי ומכניס אותו לחווה, אתה צריך מארז רציני, וכאן אני נעזר בבחור מוכשר שיסייע לי לבנות את המארז.

אוקיי, חסכון מהמחיר הסופי, עכשיו יש הזדמנות לשנות כמה דברים שתמיד חשבתי שכדאי לשנות בשרתים.

אם נפתח שרת סטנדרטי, לא חשוב מאיזה יצרן מכובד, נמצא ערימות של מאווררים שגורמים לשרת להיות יצרן רעש רציני. האם יש צורך בכל אותם מאווררים? בדיקה של מספר פתרונות הבהירה לי שפשוט לא צריך את רובם. מישהו פעם בנה שרת בפורמט הזה ומאז כולם מעתיקים. כך לדוגמא אפשר למצוא פתרון של צלעות קירור ללא איוורור גם למעבדים שלוקחים 140 וואט. הדיסקים עצמם, אם נלך לפי מפרט יצרן, יכולים לקבל איוורור יעיל גם ללא שימוש ב-5 מאווררים, ויש עוד הרבה חלקים שהם שם אבל אפשר לבצע את הדברים בצורה אחרת.

אז התחלתי לתכנן שרת 1U. בתור התחלה אני משתמש בלוח של Supermicro בגודל ATX עם צלעות קירור ללא מאוורר על המעבד. יהיו כמובן מאווררים נוספים שאותם נשים לאחר בדיקות וסימולציית Airflow (הבדיקה הפיזית תתבצע על מכונה שישבו עליה כל החלקים והיא תועמס עד המקסימום). אגב, למי שתוהה – אני מכיר את פרוייקט ה-Open Computing של פייסבוק

וכאן אני מעוניין לשמוע את דעתכם: לו הייתם רוכשים שרת כזה מ"חץ ביז", מה הייתם רוצים או לא רוצים שיהיה בו? הנה מספר דברים שאני חושב לגביהם, ואני פתוח לשמוע ממכם עוד רעיונות:

  1. נורות LED במארז מצדדיו השונים: בתוך חברה בחדר שרתים יש מספיק תאורה. בחוות שרתים לעומת זאת, במקרים רבים דווקא שאתם רוצים להוסיף זכרון, להבריג בורג או דברים כאלו – אין תאורה מספקת (הידיים מסתירות חלק מהתאורה מבחוץ). מספר נורות LED יתנו לכם תאורה מספקת לדברים הללו והחשמל לנורות יהיה עצמאי, כך שגם אם תנתקו את השרת מהחשמל, יש תאורה.
  2. דיסקים בתוך השרת ולא שליפים ישירות – שוב, משהו לא רלוונטי לחברות שיש להם חדר שרתים, אבל רלוונטי שאתה מארח שרת שלך בחוות שרתים זרה ואינך שוכר ארון מלא משלך. כל אחד יכול להיכנס ופשוט לשבור לך את ה-RAID בכך שהוא פשוט גונב לך דיסק. שמעתי על מקרה כזה בארץ וגם על מקרה דומה בחו"ל. בהצעה שלי – תוכל לפתוח את השרת בזמן שהוא פועל, ולהחליף דיסקים, במקום ללחוץ על קליפס קטן ולהוציא את הדיסקים כמו אצל רוב היצרנים.
  3. דיאטה לשרת – כיום שרתים הם באורך מטר ומעלה (יש ויש). בהצעה שלי – הם בערך באורך חצי מטר, כך שאם אתה צריך לטפל בשרת בחווה, אינך צריך להוריד אותו מהמסילות ולא לחסום לאחרים את המעבר (לא כיף להגיע לשרתים לך ולראות שמישהו חוסם את הדרך כי השרת על המסילות כמעט כולו בחוץ ואין אפשרות לזוז והבעלים לא בא להם להוריד אותו מהמסילות כדי לטפל בו).
  4. דיסקים – 3.5" ולא 2.5" (לפחות לא בגירסה הראשונה). הסיבה לכך פשוטה: גודל דיסק. שוב, לא רלוונטי בחברות שיכולות לאפשר לעצמן מבחינה פיננסית RAID-5 ומעלה, מאוד רלוונטי בתחום השכרת שרתים שלקוחות לא רוצים לשלם על RAID-5 אבל כן רוצים 1-3 טרה מקום, גם אם לא יקבלו את שיא הביצועים.
  5. קורא SD CARD: אם המערכת פועלת דרך iSCSI או NFS, אז המערכת המינימלית יכולה לשבת על כרטיס SD. לחלופין, אם יש תקלת רשת, ניתן לעשות Boot  מ-SD Card מבלי להגיע לחווה.
  6. Riser Card – להכנסת כרטיסים (לא כרטיסים גרפיים עם מאווררים) – למקרה שצריכים להכניס כרטיסי רשת אחרים, Infiniband, וכו'.

אלו בינתיים הרעיונות שלי. מה שלכם?

אני מעוניין להבהיר משהו: אין לי שום מחשבה לבוא ולהתחרות ב-HP, DELL, IBM וכו'. העסק צריך שרתים וכעסק חשוב להכניס שרתים חזקים אך במחיר כמה שיותר נמוך כדי להחזיר את ההשקעה, אך מה שיותר חשוב – לתת ללקוחות אפשרות לשכור שרתים חזקים במחירים נמוכים יותר מחו"ל. כמה נמוך? תחשבו על שרת עם 16 ליבות, 16 ג'יגה זכרון, 1 טרה אחסון (2 דיסקים של 500 ב-RAID-1 חומרה), עם IPMI לניהול – בערך ב-200-250 דולר לחודש עם 10 מגהביט רוחב פס סימטרי. לא שווה? סמיילי

עדכון: יש המשך לפוסט כאן

עובר צפונה וחושב על 2.0

משתמשי גוגל+ שעבדכם הנאמן נמצא באחד המעגלים שלהם ראו ממני היום הודעה על כך שאני מחפש דירה בצפון וחלקם תהו מה קרה. מישהו כבר חשב שאני סוגר את העסק בקרוב ושאל מה עם השרת שלו…

אז קודם כל אני מעוניין להצהיר בזאת: העסק לא נסגר, ולא הולך להיסגר (לתשומת לב המת”ל עידן בנטויז’ן – תוריד עוד קצת מחירי כתובות IP!). המעבר לצפון לא רומז על סגירת העסק, אם כבר, זה קשור למשהו קצת אחר..

הסיפור די פשוט: בעוד חודשיים ימלאו שנתיים ל”חץ ביז” (שיט איך הזמן טס!) ועבדכם הנאמן, יחד עם רועי הפרילאנסר ועוד כמה פרילאנסרים שנותנים יעוץ מדי פעם עבדנו על “רשימת קניות”, היכן צריך לרכוש שרתים חדשים (קיבלנו בקשה להזמנה למספר שרתי VPS בסין, רק שקשה למצוא ספק Colo אמין בסין שלא יקח את השרתים), איזה פתרונות אחסון נתונים צריך, רוחב פס להוסיף (אנחנו בניצול של 2.9% ובכל זאת רוצים להוסיף, אם כי עדיין לא מוסיפים, רוצים לשמוע מ-טמרס מחירים שפויים), ועוד דברים נוספים.

אבל משהו אחד מציק לי בחודשיים האחרונים ובגינו החלטתי לנדוד צפונה ולחפש שקט.

מהו אותו משהו? קידמה.

עוד כשהקמתי את העסק, הצהרתי ש”חץ ביז” לא יהיה Me Too. אנחנו לא נהיה עוד עסק שמציע אחסון אתרים, VPS ו-COLO, אלא אנחנו נציע דברים שונים. כך לדוגמא שרות אחסון האתרים שלנו הוא גם הכי זול בארץ ומצד שני נותן הכי הרבה בארץ. צריך SSH? יש. סביבת קומפילציה? קיבלת. Ruby? פייתון? DJango? בילט אין ואם הגרסאות לא מתאימות, אתה יכול לעשות wget ולקמפל. צריך זכרון לאפליקציה? לא נתקמצן איתך על 32 או 64 או 128 מגה זכרון, קח 512 מגה (כן, באחסון משותף). צריך להריץ סקריפטים ב-crontab? דרך הפאנל או דרך פקודת crontab –e. כלומר חוץ מ-root וגישה לדברים שלא שלך –הכל פתוח ללקוח (ובגלל זה אנחנו לא מוכנים לקבל כל אחד).

גם ב-VPS נקטנו דרך שונה: תגיד לנו מה אתה רוצה להריץ ונמליץ לך על חבילות, ובמקרים רבים אנחנו מציעים ללקוחות לקחת דברים קטנים ובינוניים במקום לרוץ על חבילות כמו ה-GOLD שגם עולה לא מעט (בכל זאת, זה חצי שרת פיזי) וברוב המקרים אין צורך בו. (תמיד אפשר לשדרג כלפי מעלה, פעולה של דקות ספורות). אנחנו נותנים את המחיר הכי משתלם בארץ (גם כשמדובר על שרתי VPS בחו”ל) כשמדובר על VPS אמיתי (ולא על וירטואליזציית זבל כמו OpenVZ/Virtuozzo) ואנחנו נותנים יעוץ בחינם גם כשלא לוקחים מאיתנו חבילה כלשהי, כי אנחנו מאמינים שכשלקוח מקבל יעוץ בחינם מבלי לדחוף לו דברים, אולי ירצה בהמשך הדרך דברים שנוכל לספק לו.

אז יש VPS, יש שרותי Colo ויש אחסון משותף שעוקף את המתחרים בסיבוב. (יש גם תמיכה אנושית עד 2 בלילה, אגב)

מה הלאה? כאן המחשבות של עבדכם הנאמן מתרכזות.

תחום ה-VPS כיום נמצא בשיאו, וחברות כמו אמזון ואחרות מציעות שרות ענן די טוב עם מספר שרותים לא קטן שיכול לעבוד עצמאית או בשיתוף מכונות וירטואליות. יש היום כלים יותר חדשים להקים ענן פרטי או ענן ציבורי. דברים כמו Open Stack יחד עם Crowbar של Dell נותנים כלים לא רעים בכלל. תרכוש שרתים, Storage, ציוד תקשורת, רוחב פס (והולכה, אלוהים ישמור כמה זה עולה בארץ) – ואתה בדרך להקים מערכת לתפארת.

אבל הבעיה היא שהדברים האלו עולים כסף, הרבה כסף, ואם יש משהו אחד שאני מאוד שואף אליו – זה לקחת איזמל מנתחים ולחתוך מחירים בפראות.

כמה לחתוך? נאמר כך: כיום אתה צריך לשלם לאמזון 57.6 דולר בלי שהעברת אפילו בייט אחד של נתונים על small instance. אתה יכול לחתוך את המחיר ל-30 דולר (פלוס 69 דולר לשנה) אם תשלם שנה מראש.

תאר לך ש-VPS יעלה לך 10 דולר לחודש, וברזל יעלה לך 20 דולר לחודש! תאר לך שיהיו לך פתרונות מאוד זולים, שעל תעבורה לא תצטרך לשלם 120 דולר על טרהבייט, אלא פחות ממחצית מזה! תאר לך שבשביל שיהיה לך High Availability לא תצטרך לשלם על 2 מכונות + שרות HA אלא על המכונה שלך פלוס עוד קצת (ובכל מקרה זה אפילו לא יהיה קרוב לעלות של 2 מכונות), תאר לך שבשביל CDN שכולל את ישראל, לא תצטרך לשלם אלפי דולרים לחודש, ותאר לך שסינכרון בין מכונות יהיה הרבה יותר יעיל מאיזה rsync איטי בין ישראל לחו”ל בגלל ספקים תאוותנים בארץ. תאר לך שאם אתה רוצה להעביר הרצאה בוידאו ל-100 סטודנטים בארץ, העלות תהיה מאות בודדות של שקלים ולא אלפים, ויש בקנה עוד כמה סיטואציות עם חסכון ניכר מאוד.

כל זה ניתן לעשות כיום, אם לבעל העסק יש חשק להתאבד מבחינה פיננסית, ושום חברה רצינית לא תציע מחירים נמוכים ביותר מ-60% (לדוגמא) אם הם יפסידו פר לקוח.

יש היום המון טכנולוגיות שהן לא רעות לדברים שציינתי לעיל, אבל חברות גדולות אינן משתמשות או מכירות את הטכנולוגיות האלו. אותן טכנולוגיות חסר להן עוד פיתוח, חסר חלקים מסויימים, יש פרוטוקולים חדשים שצריכים מימוש ויכולים לחסוך משמעותית בדברים שונים ועוד ועוד.

כאן מגיע המעבר שלי לצפון. חלק מהטכנולוגיות יכול לתת פתרון זול מאוד לאירוח אתרים לדוגמא, אבל בשביל לגרום לקרנות הון סיכון לבוא ולהביא את הסכומים של ה-7 ספרות (בדולרים) ולרמוז להם
Come here, צריך להראות להם משהו. אב טיפוס, משהו שילהיב אותם בצירוף גרף יפה שמראה צניחה פראית בעלויות ובמחיר ללקוח – ואז יהיה אפשר להשקיע ולהרים חלק מהטכנולוגיות ולהתחיל למכור אותו לציבור.

אבל בשביל להקים אב טיפוס, צריך כסף. גם אם מחר אפנה לכל מיני חממות טכנולוגיות ו/או מדען ראשי, אני צריך להביא כסף שלי מהבית. רווחים של העסק הולכים אל העסק והעלויות שלו ו-”חץ ביז” זה לא חץ בן חמו. איך אפשר לחסוך כספים כדי להקים אב-טיפוס? מתחילים בחסכון בדברים הפשוטים כמו מחיה. מגורים בצפון זולים בערך ב-30-50% ממגורים במרכז, שלא לדבר על מחירי ארנונה. יש גם מקומות ודברים אחרים כדי לעשות כספים – אך העיקר הוא שיש הפרדה בין “חץ ביז” אליי (וכמובן שהעסק ממשיך לעבוד כרגיל). עסק לא צריך לסבול בגלל רעיון, ואם הרעיון נופל, העסק לא נפגע בשום צורה כי זה לא מגיע מהכסף של העסק.

ומדוע אני כותב את כל זה? כי אני מעוניין לקבל קורות חיים של פרילאנסרים. אני לא מחפש להעסיק אותם מחר, אבל אני רוצה שתהיה לי את האפשרות לפנות ולבקש ממר X לכתוב לי אפליקציה/סקריפט או לתכנן PCB אם צריך.

להלן המקצועות שאשמח לקבל את קורות החיים שלהם:

  • אנשים עם נסיון בתכנון/מעקב/יצור PCB.
  • אנשים עם הכרות “אינטימית” (כולל אסמבלר) עם מעבדים “זרים” שאינם X86 כמו Power, MIPS, ARM, ו.. הפתעה.. מעבדי בקרים! הכרות עם מערכות משובצות מאוד פשוטות – יתרון.
  • אנשים עם ידע בתכנון/מעקב/יצור מארז לשרתים בגדלים לא כל כך קונבנציונאליים.
  • מהנדס אלקטרוניקה – בכל הקשור לספקי כח, כבלים בשרתים, כבלים, פיוזים, נגדים וכו’ וכו’.
  • אנשים עם ידע ותכנון של זרימת קירור/אויר בשרתים
  • מתכנתים ברמת “מחלת נפש” ב-Perl וב-Python.
  • מהנדס ממשק משתמש שידע להכין ממשקי Web קלים לשימוש.
  • מפתחים שמכירים טוב (הווה אומר מעולה) JS ו-HTML5.

למעוניינים, אפשר לשלוח קורות חיים לכתובת: [email protected] עם ציון מחיר לשעה.

עדכונים לבלוג

אחרי זמן רב שלא השקעתי בבלוג עצמו (מבחינה טכנית, לא מבחינת פוסטים, אותם אני כותב מחוץ לבלוג ומשתמש בתשתית הפנימית של הבלוג כדי לפרסם) הגיע הזמן קצת להשקיע בו. הגרפים אצלי מראים כניסה של בין 600 ל-1500 יוניקים ביום (בניכוי רובוטים), אז בכל זאת…

אז קודם כל, למי שמתעניין או התעניין בעבר אזו חבילת VPS ממה שהעסק שלי מוכר מריצה את הבלוג הזה, אז מדובר בחבילת ה-VALUE הקטנה עם 1 ג'יגה זכרון, בלי שום תעדוף ושום תוספת מיוחדת. אותה חבילה שנמכרת ללקוחות.

טוקבקים: לצערי בגלל המיקום הגבוה בגוגל שהבלוג תופס, חברות קידום אתרים למיניהן חושבות שזה יהיה רעיון מעולה להפעיל כל מיני אפליקציות וסקריפטים שינסו להכניס קישורים חיצוניים וטקסטים שלהם. צר לי, כל תגובה עוברת אישור ידני ורשימת ה-Blacklist של כתובות ה-IP שממנה מגיעים הסקריפטים מתעדכנת ולכן החל מהיום ניתן להגיב ישירות עם החשבון פייסבוק שלכם (אם יש לכם) וגם תגובה רגילה כבעבר. לצערי אין אפשרות לשלב בין השניים (תגובה פייסבוק לתגובה רגילה מהוורדפרס). על מנת להגיב דרך הוורדפרס, תצטרכו להיכנס לפוסט עצמו (עכשיו הלינקים עובדים).

שימו לב: אם אתם מחליטים להגיב דרך החשבון פייסבוק שלכם ומדובר על נושא רגיש (אהמממ.. אלוהים?), ישנו check box עם V שאם תורידו אותו, התגובה לא תתפרסם בדף פייסבוק שלכם, לכן לפני שאתם לוחצים על מקש Enter, תשקיעו שניה של מחשבה אם אתם רוצים שאחרים יראו את תגובתם בדף פייסבוק שלכם או לא. הייתי שמח גם לאפשר תגובות מגוגל+ אך בינתיים גוגל עדיין לא שחררו API לעשות זאת. בעסה.

לאחרונה כתבתי פוסטים על כמה נושאים שלא קשורים לטכנולוגיה וחלק מהאנשים לא היה להם נוח שזה שם. אני חושב לפתוח בלוג נוסף על הנושא ולכתוב שם כמה דברים. אשמח לשמוע את דעתכם בעניין.

ולבסוף, שאלה לקוראים: אני חושב יותר ויותר על אפשרות לכתוב פה סקירות חומרה או פוסטים בענייני חומרה גם כאשר אין לי את החומרה ביד (אני כמובן אציין זאת). חושבים שזה יכול לתרום ולסייע לכם? מה דעתכם?

זהו, פסח נגמר, חוזרים לשגרה. שבוע טוב לכולם.

BitCoin – יש פה משקיע/יזם רציני?

(הערה קטנה: על מנת שלא אובן נכון, התוכן במאמר הוא הצעה כללית, אין מדובר על כך שאני מחפש להיות מושקע, אינני מחפש לפתוח סטארט-אפ או לחפש תמלוגים על הרעיון. זה רעיון שכל אחד יכול לעשות איתו כרצונו ללא קשר אליי)

אתמול והיום לקחתי קצת זמן כדי ללמוד את המטבע החדש Bitcoin מבחינת ארכיטקטורה, מימוש, העברת כספים וכו'. אני כמובן לא "ספץ" בנושא מכמה שעות השקעה, אבל אני חושב שהבנתי את הבסיס.. ואני חושב שיש כאן מקום לקבוצת מתכנתים להקים משהו רציני.

אז קודם כל, למי שאינו מכיר מהו המטבע האינטרנטי, מומלץ להתחיל לקרוא לגביו כאן.

הסיבה שאני התעניינתי לגבי Bitcoin היא סיבה מסחרית פשוטה: אני מעוניין למכור שרתי VPS (במיוחד שהחל מאתמול יש לנו שרתים במחירים זולים בטירוף – גם מול המתחרים הגדולים – בארה"ב ובאירופה) ולתת אפשרות לשלם עם Bitcoin.

הבעיה המרכזית? הפתרונות המוכרים שיש כיום הם פתרונות ברמת המכונה האישית, כלומר אני יכול להתקין Client כמו Bitcoin-Qt והוא יוצר לי Unique ID שאליו אני יכול לקבל כסף (אני יכול ליצור כמה שאני רוצה משתמשים כאלו), אבל אם מחר נגנב המחשב ממני או שהדיסק הקשיח נדפק ואין לי גיבוי לקובץ wallet.dat – הלך הכסף.

וזה רעיון לא כל כך טוב…

לעניות דעתי, משקיע רציני שמכיר טוב את עולם הטרנסאקציות יכול לעשות עסק לא רע בכלל, ויש כאן הזדמנות לדעתי להקים "Paypal" ל-Bitcoin.

על מה מדובר? די פשוט

כיום קיימת בעיה רצינית להמיר מטבעות לכסף ממשי. יש כמובן כל מיני עסקים קטנים (כמו bitcoil) שמאפשרים להמיר שקלים ל-BTC (זה הקיצור הרשמי של Bitcoin) וההיפך. מה אין? אפשרות להמיר דרך כרטיס אשראי, כלומר אתר שאני יכול להעביר את הכרטיס אשראי שלי ולרכוש לי 100 BTC או לתת 100 BTC ולקבל זיכוי בכרטיס האשראי שלי, או אפשרות לקבל כסף מזומן (ללא העברה בנקאית) במכירת מטבעות BTC.

וכאן בדיוק הרעיון שיכול לקרוץ למשקיע רציני – להקים "בנק" שיעשה את הדברים. כיום יש "בנק" כזה יחיד – MtGox, אבל זה פתרון יחיד, כלומר יש הרבה מקום לתחרות, והאתר שלהם לא ממש בנוי למשתמשים חדשים שלא מבינים ב-BTC, מה גם שהם אינם תומכים במטבעות רבים (אין שקלים ואין עוד כמה מטבעות ידועים), וכמו שציינתי -אין תמיכה בכרטיסי אשראי בצורה ישירה ויש עוד מגבלות רבות.

טכנית, לא מדובר פה בלקחת 3-4 מפתחים, לתת להם ללמוד את Bitcoin ולהתחיל לממש את זה בצורה של Web Service, זה רק חלק מזה. החלק המרכזי כלל אינו קשור לתכנות, אלא קשור למשקיעים עם שם, משקיע מוכר שיש לו קשרים עם בנקים בעולם, כי בסופו של דבר, בשביל שהעסק יפעל, צריך שלאותו עסק יהיה שם מוכר עם גב מוכר, שהעסק יראה אבטחה רצינית ללקוחות מבחינת שמירה על המטבעות שלהם, שיוכל לבצע סליקה והמרת מטבעות, שידע לתמוך ב-IBAN ו-Swift, כרטיסי אשראי וכו'.

אז אם אתה מכיר משקיע "כבד" שיש לו קשרים כאלו, הפנה אליו את הפוסט הזה (לי אין שום קשר לנושא, אני רק זורק את הכפפה, ומי שרוצה – שירוויח). המון פתרונות טכנולוגיים מבריקים יצאו מישראל, אולי יצא עוד פתרון שיכבוש את השוק..