גיליון מספר 8 שנה VII - יום חמישי, 22 בפברואר 2007

 

«-לגיליון קודם 2007 לגיליון הבא-»

צ'יף תמיד לשירותכם מאז 1986
    


"האמת היא שאם ניקח לנו מעט זמן ללמוד כמה עקרונות בסיסיים וקצת מהשפה הטכנית, לרכוש את המחשב הנכון ולגרום לו לעבוד באופן תקין הם לא דברים מסובכים יותר מאשר לבנות כור גרעיני מרכיבים של שעוני יד בחדר חשוך ובאמצעות השיניים בלבד.
אז, בואו נתחיל!"

דייב בארי (כתב אמריקני, חתן פרס פוליצר בשנת 1988)

 

 

החל מחודש זה הוכרזה רשמית BOS 2007:
גרסת BOS העדכנית הינה BOSv 2.2.2
▪ לקוחות בהסכם שירות הזכאים לעדכון הקישו כאן לקבלת העדכון.
▪ לאלו שעדיין אינם לקוחות, לבקשת גרסת הדגמה הקישו כאן.

 
 

"סינית"


שכננו מרחובות הוא בחור אחראי, פיקח, בר דעת ומיומן במקצועות ה-IT. ולמרות זאת, אין דרך לפתות אותו להצטרף ל- car pool (איך אומרים את זה בעברית, אבשלום?) כדי להגיע לכנסי התוכנה והחומרה הרבים המתקיימים במהלך השנה בתל אביב. למה?
תשובותיו: "כל מה שמדברים על גבי הבמות נשמע לי כמו סינית". "גם אם מטרת המרצים בכנסי ההיי-טק היא בסופו של דבר למכור לנו את מוצריהם, הם משתמשים במילים מסובכות וסיסמאות שעוטפות כל נושא ותיק ולעוס בהילה -לדעתם- של יוקרה". "מה שנאמר בשעה אקדמית אחת, אפשר היה לקרוא בשלושה עמודים ברשת, ולפעמים גם להכניס לשלושה משפטים. נסו ותראו".
ניסינו בהזדמנויות אחדות, ונאלצנו להכיר בצדקתו. ולגבי הפירוש המעורפל של המילים, החלטנו לנסות ולהסביר מספר מונחים ב"סינית"... עבורו, וגם עבור עצמנו. להלן.

● וירטואליזציה
חשבנו להתחיל בסדר הא'-ב', אבל הוירטואליזציה קפצה לראש מפאת חשיבותה ונפיצותה בכל המעגלים הטכנולוגיים מהם היינו חלק בשנה שעברה. אומרים שגם בשנה

הזו היא לא תרד מן הכותרות.
אפילו לפני שנות ה-60 כבר דיברו על וירטואליזציה במחשוב. המכנה המשותף של כל טכנולוגיות הוירטואליזציה הוא ליצור ממשק חיצוני המסתיר את הפרטים הטכניים, או אימפלמנטציות עליהן הוא נשען, במטרה לפשט את הניהול וההפעלה, או לאפשר גישה מרוכזת למערכות מבוזרות, או לשלב משאבים הנמצאים במיקום פיזי שונה.
יש עדיין הרבה מקום לשיפור שיעור השימוש בשרתים, תוך כדי הגברת השליטה ושיפור ניהול משאבי המידע. הוירטואליזציה של השרתים יכולה לאפשר כאן צעד גדול קדימה גם באבטחה. כרגיל, קודקוד התעשייה נמצא היום כבר גבוה מעל הרמה של

"Virtualization is a technique for hiding the physical characteristics of computing resources from the way in which other systems, applications, or end users interact with those resources. This includes making a single physical resource (such as a server, an operating system, an application, or storage device) appear to function as multiple logical resources; or it can include making multiple physical resources (such as storage devices or servers) appear as a single logical resource"

הלקוחות. צפוי כי עדיין יהיו מלחמות רבות על השליטה בשוק,  ובינתיים חלק הארי של הלקוחות והארגונים יכנסו בהדרגה לעולם הזה.

Hyper Visor
זהו אמצעי של וירטואליזציה המתקשר ישירות עם המעבד, ללא החלפת פניות עם מערכת הפעלה הבאה להתערב באמצע. הערך המוסף של עקיפת מערכת ההפעלה בא לידי ביטוי בכך שלתוכנת הוירטואליזציה תהיה 'דריסת רגל' קטנה יותר, עם דרישות צנועות יותר של משאבי חומרה (זיכרון ונפח אחסון). וכן, במידה ושרת ייפול, הוא לא בהכרח יגרור אחריו את כל המכונות הוירטואליות כפי המצב של תוכנה "וירטואלית" הקשורה למערכת ההפעלה.

Xen (מבטאים "זֶן")

זהו מוצר קוד פתוח, המאפשר הרצה של יותר ממערכת הפעלה אחת בו זמנית, עם ליבה קטנה מאוד המנהלת את המעבר בין מערכת הפעלה אחת לאחרת, ואת הגישה למכונה.
השכבה הרזה הזו היא Hyper Visor, מעין שכבת חומרה מופשטת המאפשרת להריץ מערכות הפעלה רבות על גבי מכונה וירטואלית. Xen מכבידה על יישום טיפוסי בכ-3% בלבד בזמן הביצוע.

● מיטונומיה.
בהזדמנויות שונות שמענו את המילה בשימוש שגוי. מה זה? בקיצור ולעניין: "חלק המייצג שלם גדול ממנו".

● קונסולידציה.
הסבר מלא במאמר "Storage consolidation מציאה גדולה?"

● לינוקס desktop
על זה לא מדברים יותר מדי מעל במות הכנסים, אבל שמות כמו Ubuntu ו- Ehad מתחילים לרכך את דעות הסקפטיים שניבאו שהקוד הפתוח מעולם לא יוכל למוצרי מיקרוסופט. הם פשוטים להתקנה ולשימוש. הם המועדפים בפרויקטים חברתיים מפני שהם לא עולים כסף, כך שעוד יתכן דור שלם שיגדל על לינוקס ויהפוך לאגוז קשה לפיצוח בעבור מערכות הפעלה מסחריות. שילובים כמו Linux, OpenOffice, Firefox  ו- Thunderbird מסוגלים לספק את הצרכים של הארגון הממוצע, אם זה לא יתעקש להשתמש במותגים שרצים רק על ווינדווס.

● SaaS
Software as a Service הינו מודל בו חברות אינן משלמות בעבור בעלות על התוכנה בה הן משתמשות, אלא בעבור השימוש בתוכנה בלבד. עקרונית, על פי שיטה זו ספק התוכנה הינו אחראי לזמינות, תחזוקה, הרחבה, התאוששות מאסון ועוד.
כבר היום קיימים יישומי CRM ושל הנהלת חשבונות המיישמים את העיקרון. הפיתוי בעבור המשתמש הוא גדול
זהו קונספט נהדר ("וגם הקומוניזם היה רעיון נהדר", אמר סאשה), אך יהיה עלינו לבדוק את הצרכים ואת האופי של כל ארגון, וגם המוכנות האישית והארגונית לתלות המוחלטת המצפה לנו מרגע אימוץ השיטה.
 

● VoIP
לא מזמן נבאה חברת אנליסטים שתוך שלוש שנים בשלושה רבעים מתחנות העבודה הארגוניות  יהיה Voice over Internet Protocol  - VoIP. זה אולי נשמע מדי אופטימי, אבל כבר היום השוק בשל, ומה שמתחיל לקבל תאוצה זהו פיתוח היישומים לפלטפורמות אלו.
כבר השבוע התבשרנו שמצפה לבזק תחרות בנושא זה, בתמיכת מדיניות הממשלה.
פרוטוקול VoIP הופך את הקול לאות דיגיטאלי העובר באינטרנט. אם צלצלת למספר טלפון רגיל, האות הופך לאות טלפוני רגיל לפני שמגיע ליעדו. באמצעותו

ניתן לבצע שיחה הישר מהמחשב, עם טלפון מיוחד, או טלפון רגיל מחובר למתאם מיוחד. הנקודות החמות של רשתות אלחוטיות דרכן ניתן להתחבר לאינטרנט באזורים ציבוריים גם תאפשרנה להשתמש בשירות הטלפון VoIP בצורה אלחוטית. אחד החסרונות של טלפונים אלו הינה שהם לא עובדים במהלך הפסקות חשמל, דבר שגם קורה היום בטלפונים רגילים ברשתות עם מרכזיה חשמלית.

● Alignment.
במונח, שפירושו "יישור" משתמשים בתחום מערכות המידע בכוונה ל"הערכות", התאמת מערך ניהול המידע למטרות העסקיות של הארגון. ארגונים קמו, נבנו והשתנו בהתאם למטרותיהם, בעוד מערכות מידע נבנו על פי תבניות סטנדרטיות או מצב היכולת הטכנולוגית בעת בנייתן. בעבר דרשה התאמת הטכנולוגיה לצרכים העסקיים הארגוניים להמציא מחדש את כל מבנה המערכת (מאמר בנושא). בשנים האחרונות הצמצומים בתקציב מחלקות מערכות המידע מאלצות את מנהליהן לחשוב בצורה מציאותית יותר, שמובילה אותם לחפש דרכים לתמוך בעסק במקום להמציא אותו מחדש. משפט מעודד אומר: "גם אם תפקידך הוא רק לשמור את האורות דולקים, אתה יכול עדיין להיות מנהיג IT חדשני".

● אבטחה וביטחון
עד כה נעשתה תמיד הפרדה בין אבטחת המידע (באחריות מנהל הרשת, מנהל אבטחת מידע וכו') לאבטחה הפיזית של נכסי הארגון (באחריות הקב"ט או חברת השמירה). לשני הענפים עתיד משותף ומשולב. האנשים והציוד המיועדים לאבטחה פיזית הולכים ומשתדרגים לרמת העולם הדיגיטאלי: מצלמות האבטחה מתחברות לתוכנת זיהוי ביומטרי, והמידע שנרכש (שעת כניסה ויציאה, סרטים במצלמות האבטחה, וכו') נשמר על גבי דיסקים קשיחים או קלטות. למערכות המידע שמור תפקיד חשוב בהיענות לדרישות החקיקה, וצפוי כי גם האבטחה הפיזית תכנס בקרוב תחת פיקוד הסמנכ"ל  לענייני מידע, או תפקיד מקביל. במקומות רבים התופעה עשויה לצור מאבקים עקובי דם, ועוד נשמע על כך בעתיד.

● בלוגים פנימיים
כל הזמן שומעים על עולם ההשקעות החרד לכך שה-Web 2.0 תהיה הבועה האינטרנטית הבאה. בו זמנית, מהפכה שקטה מתרחשת מאחורי חומות האש הארגוניות, שם משתמשים, בארגונים המובילים, בכל הכלים של המדיה החברתית (בלוגים, Wikis למיניהן, וידיאו מקוון ועוד)  בכדי לשפר את שיתוף הפעולה התוך ארגוני. המשתמשים מתאהבים בקלות ונעימות התקשורת באמצעות הכלים המתקדמים הללו. וכמו כל דבר אחר שאנשים אוהבים, חייבים בקרה ורסן... פן יצאו מכלל שליטה.
 

   
 


















Personal DownTime


נפעמנו לקרוא באחד העיתונים הישראלים שהמושג PDT נטבע על ידי אנליסטים, בעוד אנו יודעים כי מי שהעלה אותו לראשונה וחקר אודותיו היה משופמינו אלדד. אז טרחנו לגזול מזמנו, ולדרוש הסברים לעניין זה ולקשורים אליו. להלן התוצרת.

1. "בואו נבחן את שרשרת העובדות הבאה:

בשיטות הגיבוי הנהוגות דורשות התקנת תוכנה (AGENT) בתחנות העבודה ובשרתים מרוחקים ללא תוכנה זו לא ניתן לבצע גיבוי.

כתוצאה מכך תוכנות גיבוי ארגוניות מורכבות מתוכנת שרת ותוכנת קצה
המותאמת למערכת עליה היא מותקנת.

מכיוון ונדרשות תוכנות שונות למערכות או שרתים שונים
נדרש תמחיר שונה עבור כל תחנה או שרת מרוחק.

תוכנת קצה עולה בין כמה עשרות דולרים לכמה מאות

בארגון ממוצע ישנם סוגים שונים של מערכות הפעלה בתחנות ובשרתים

תהליך תכנון הגיבוי הארגוני הנו מורכב ויקר

תוכנות הקצה גוזלת משאבי מערכת ומשאבי ניהול ובקרה,
על מנהלי המערכת להשקיע זמן רב בהטמעת ותחזוקת המערכת
וגורמים להפחתה ברמת השירות הארגוני.

לבניית תוכנת קצה לכל אפליקציה ולכל מערכת  נדרשים משאבים רבים
ולכן גם ליצרני תוכנות הגיבוי הגדולות והיקרות ביותר
אין פתרון לכל מערכת הפעלה ולכל אפליקציה.

לעתים יש לרכוש תוכנות גיבוי שונות לטיפול במקורות מידע שונים

לימוד ותחזוקת מערכות הגיבוי הנוספות יוצר עומסים נוספים על מנהלי הרשת.

התוצאה המצטברת של כל הגורמים הללו היא שעלות הקמת ותחזוקת
מערך גיבוי ארגוני הנה גבוהה ביותר בכל הרמות – ROI – TCO"

(Total Cost of Ownership: Cost to purchase
and maintain software over time)

אחת ממטרותינו היא לפתור בעיה זו



2.  "נזק מידע מקומי קטן מוגדר כאבדן מסמך או חלק המסמך באופן שמצריך את כתיבת אותו חלק מתחילתו

לכל אדם המשתמש במחשב נגרם נזק מידע מקומי קטן אחת ל 100 יום לערך (בין פעמיים לשלוש לשנה בממוצע) – להלן PDT

התאוששות ממוצעת מנזק מידע קטן גוזלת כ 3 שעות עבודה בממוצע, שעות העבודה הם על חשבון יוצר המידע ו/או הטכנאי שטיפל בפתרונה.

כל עובד המשתמש במחשב מאבד כ 8 שעות עבודה לשנה או כיום עבודה.

העלות השנתית של אבדני המידע הקטנים לכל ארגון הנה בהתאם לנוסחה:

PDTC = S/W

זה מתבסס על כך ש-

S/N = Average yearly salary (משכורת חלקי מספר חודשים)
S/N/W = Average daily salary (משכורת ממוצעת חלקי מספר ימי עבודה בחודש)
S/N/W*N = Total cost of days lost = PDTC
(משכורת יומית ממוצעת מוכפלת במספר ימי השבתה).

וכאשר

PDTC = Personal Down Time Cost
S = Yearly total salaries of employees
N = Total number of employees
W = Yearly working days

עוד אחת ממטרותינו היא לצמצם, ואף לבטל את ה-PDT



3. ההשקעה הכספית במניעת הנזקים צריכה להבנות כפרמיה יחסית לאבדן הוודאי. כלומר "פרמיה" זו צריכה להיות בגובה של חצי PDTC, או S/W/2.
הכינוי "פרמיה" מוביל אותנו להבין כי אין הבדל גדול בין ביטוח נכס מוחשי לבין ביטוח המידע הקיים באופן וירטואלי על מערכות המחשוב של הארגון.
אז בוא ניקח כדוגמה את השיפוי בגין גניבת רכב
 

ביטוח מידע כביטוח רכב

כל מי שמשקיע את מיטב כספו ברכישת רכב ישקיע גם סכום סביר בביטוח מקיף לאותו הרכב. בתמורה לאותו הביטוח יקבל שיפוי בגין כל נזק החל משריטה בצבע ועד גניבת הרכב.
התוצאה הסופית הנה אבסורדית לחלוטין, במידה ונגנב הרכב, תשפה חברת הביטוח את הבעלים בערכו המוסכם של הרכב, בתוך זמן קצר ייקנה רכב חדש והמצב יחזור לקדמותו. אך במידה וארעה שריטה אשר מחיר תיקונה הנו פחות ממחיר ההשתתפות העצמית יאלץ בעל הרכב לתקנה על חשבונו או להפחית את עלות תיקונה בעת מכירת הרכב.
המקרה הגרוע ביותר הנו בעת נזק קטן מתאונה. הרכב יוכנס למוסך לפחחות, ימתין לבדיקת שמאי ולאישור חברת הביטוח, יבוצעו בו התיקונים בפח ותיקוני הצבע וההמתנה ליבוש. חברת הביטוח אמנם שלמה את הנזקים הכספיים אך הלקוח ניזוק באבדן ימי עבודה רבים, באי שימוש ברכבו במשך התיקון ובעגמת נפש.
 

 נזק זעיר נזק קטןנזק גדול
השתתפות עצמיתלא כדאיכדאיכדאי
שיפוי ביטוחילאכן כן
אבדן שעות עבודהמעט הרבהמעט
מעורבות שמאי לא כןלא
מעורבות מוסךלא  כןלא
נזק כספי  יחסית קטןגדולקטן
השבתת הרכב לא כןלא


מטבלה זו עולה בבירור כי הנזק הקטן הנו הכואב ביותר ללקוח, גם במחיר, גם באי שמישות הרכב למשך זמן וגם באבדן שעות עבודה. נתון סטטיסטי הוא שנזקים קטנים הנם רוב הנזקים.
בתחום המחשבים הבעיה זהה.
במידה ונגרם נזק כללי כגניבה או שריפה או תקלת מחשב כללית הגורמת להשבתת המערכת, מקימים מערכת חדשה ומשיבים אותה לקדמותה מהגיבויים בתווך זמן של שעות. לאבדן מידע של מסמך בודד אשר נכתב על ידי אדם בודד בשעה האחרונה אין פתרונות זמינים וזולים. השבת עשרות מסמכים אשר יוצרו על ידי עשרות עובדים במהלך שעות העבודה הנו תהליך ארוך ובעייתי.
 

 מחיקת קובץ בודדמחיקת ספריההשמדת שרת
שחזור מקלטותלא כדאיכדאיכדאי
שיפוי ביטוחילא לא כדאיכן
אבדן שעות עבודהמעט (עובד אחד)הרבה (מספר עובדים)מעט (לכל הארגון)
גרסה עדכנית בקלטתלאחלקיתחלקית
שעות עבודה טכנאילא ניתןהרבה מאדהרבה
עלות השבה100% מזמן הייצורחלקיקטנה יחסית

על פי היגיון תוצאות אלה, ומבחינה כלכלית, לאו דווקא האסון הקטסטרופאלי הוא זה המזיק לנו ביותר.

בצ'יף יצרנו את BOS גם כדי לחסוך את אובדן הזמן והכסף המתמשכים.

למידע נוסף, צרו עמנו קשר.

   
 

 

מזל דגים


המומחים בפנג-שוי (תורת המיקום ההרמוני) טוענים כי דגים הם סגולה של שפע, ומייעצים להחזיק בבית ובעסק אקוואריום נאה. חוות דגי נוי מהשרון מציעה שולחנות לחדר הישיבות, לסלון, או שולחנות אוכל עשויים מאקוואריומים עם דגים חיים. חשבו איזה יופי, אין צורך לאסוף את הפירורים אחרי שהסועדים קמים - פשוט מאכילים איתם את הדגים... אלא שהתענוג עולה בסכומים הנעים בין 11 ל-18 אלף ש"ח.
מי שלא מוכן לכלוא דגים מסכנים בכלוב זכוכית, ומי שלא שש לטרוח בענייני צנרת, סינון ותחזוקה, מוזמן לחפש את השפע והשלווה הפנג-שויים שלו באתר mbayaq.org/efc/cam, שם מצלמות מקוונות מספקות בשידור חי תמונות נהדרות של המתרחש באקווריום של מפרץ מונטריי (Monterrey Bay Aquarium) בקליפורניה.
 

   
 

S.O.S.

הקובץ נעלם ?

לחץ בריבוע ?

לחץ בריבוע !






















































 

Meritocracy
 "שלטון המנוהל על ידי
אנשים שנבחרו בזכות כישוריהם"
(והלוואי על מדינת ישראל!)


































 

D.R.P.  /  B.C.P.

בצ'יף אגף נפרד
המתמחה במיוחד
בפרויקטים בהיבט כוללני
לכל הסקטור המוסדי,
גם לארגון הבינוני
מסורתי או חדשני...
ואף לקטן בארגונים
הדואג לנכסים,
כי המשכיות עסקית, עיקרה
"סוף מעשה במחשבה תחילה!"


















שעה קלה על אבטחה

מרעין בישין, וירוסים והאקרים


תרדמת החורף העמוקה שלי הופרעה בשאלות בכלל לא רעות מקורא מסור.

שאלה: "אני מבין טרוריסט המחבל במפעל ידוע, אך איזו תועלת תצמח לו אם המזיק יהרוס מחשבים שהתקלה בהם אף פעם לא תגיע לעיתונות?
כאן יש הבדל בולט בין האקרים לכותבי וירוסים.
אגב, כמה שעות יש להקדיש לפיתוח וירוס \ תולעת חדש\ה?
הערה: בזמנו היו שטענו כי חברות האנטי-וירוס כותבות וירוסים, אך אני מסתייג מטענה זו. אולי אני נאיבי, אך אין לי סיבה לחשוד כאילו חברת צ'יף, לדוגמה, רק לדוגמה, מעסיקה מישהו שיחבל במחשבי כדי שהיא תזכה בעבודה.
אגב, האם אני נאיבי?"

תשובה:
השאלות הן בדיוק ולעניין:
למה שמישהו ירצה לכתוב וירוס?
כמה זה קשה?
האם יש לכתיבת וירוסים פן מסחרי?

המניע לכתובת וירוס, נחקר לא מעט. השואל העלה חשד (בשאלה האחרונה) שהרקע לעניין הוא כלכלי – ובצדק, יש מניעים כלכליים.

המחלקה לריגול נגדי של ה-FBI מגדירה ארבע סיבות שבגללן אדם הופך למרגל (MICE):
1. כסף. מרגלים רבים קיבלו תשלום נדיב. מבחינה היסטורית הרבה האקרים וכותבי וירוסים ראו את עצמם נעלים מבחינה מוסרית ופעלו מתוך מניעים לא כספיים. בימינו הרבה מאד פעילות של האקרים מונעת ממוטיבים פיננסיים – עבריינים שמוכנים לשלם עשרות אלפי דולרים עבור וירוס ימצאו את מי שיכתוב אותו.

2. אידאולוגיה. ג'ונתן פולארד, למשל, פעל מתוך אידיאולוגיה פרו-ישראלית. הרבה מהפושעים שכותבים וירוסים מונעים מאידיאולוגיה נגד מישהו או בעד משהו: וירוס טלפוניקה משנת 2000 נכתב ע"י קבוצה ספרדית שכעסה מאד על הפער בין המחיר הגבוה לשירות הגרוע של חברת הטלפוניה הספרדית, "טלפוניקה".
יש האקרים מונעי אידיאולוגיה רחבה יותר. בסוף האלף הקודם פעלה קבוצת האקרים שעזרה למשטרה ול-FBI ללכוד פדופילים.

3. סחיטה. איום על חיי מרגל או משפחתו – במלחמת העולם השנייה מתילד קארה, חברה במחתרת הצרפתית, נפלה בשבי הנאצים והסכימה להפוך לסוכנת כפולה כדי להימנע מעינויים. בספרה כתבה שרצתה רק "ארוחה טובה, גבר ולשמוע שוב את הרקוויאם של מוצארט.”
המחקרים (השנויים במחלוקת) שמצביעים על הקשר בין מוזיקה של מוצארט לשיפורים אנליטיים, מתייחסים לזיהוי וזיכרון קצר טווח (15 דקות) תבניות חזותיות – בדיוק זיכרון מהסוג שמרגל טוב צריך להשתמש בו.
תמה דומה הופיע בספר "Stealing The Network: How To Own a Continent”. סדרת הספרים "Stealing The Network” נכתבת ע"י האקרים מפורסמים – כל אחד כותב פרק והפרקים מצטרפים לסיפור שלם. כל פרק מפרט את הכלים והשיטות של אותו האקר. בפרק שנכתב ע"י האקר מפורסם בשם ג'י ביל מסופר איך האקר בשם פליר נסחט ע"י סוכן FBI כדי לסייע ל-FBI במרדף אחרי ארכי-האקר בשם קנות'.

4. אגו. ללא ספק אחד המניעים החשובים ביותר מאז ומעולם בתרבות ההאקרים. כדי לכתוב וירוס או לפרוץ למחשב צריך היה, עד לא מזמן, לתקשר עם הרבה מאד אנשים וללמוד מהם. פירושן של האינטראקציות הבין-אישיות הללו הוא שהייתה לה תמיד "תרבות", “חברה" של האקרים שלומדים ומלמדים. בחברה הזו התקיימו אותן דינאמיקות קבוצתיות שיש בכל חברה, וכשהתפתחה וגדלה היא נשברה להרבה תתי קבוצות. סטאטוס חברתי באותה חברה היה ועודנו מניע חזק.
כבר בסרט (המטופש) “האקרים" משנת 1995 מופיע הקונספט של תחרות בין האקרים. בסרט (הגרוע) התחרות הייתה "מי מציק יותר לקצין המשטרה שרודף אחרינו". נקודות האור היחידות בסרט (האווילי) הן השחקן הראשי ג'וני לי מילר שהמשיך והופיע בסרט "טריינספוטינג" בשנה שלאחר מכן, ושחקנית המשנה – אנג'לינה ג'ולי. אחחחח, אנג'לינה...

בחורצ'יק נבון בשם לאנס ספיצנר התפרסם בשנת 2000 בפרויקט בשם Honeynet. פרויקט זה הדגיש בעולם מושג בשם Honeypot – מלכודת דבש. החוקר מכין "מלכודת דבש", שרת פגיע, ומחכה שהאקר יפרוץ פנימה. כשנפרץ השרת ניתן ללמוד על שיטות החדירה של ההאקר ועל מה שהוא עושה עם השרת לאחר מכן. מר ספיצנר פרסם סידרת מאמרים בשם "דע את האויב" – Know Your Enemy – שאחד ממנה נוגע באופן ישיר למוטיבציה של ההאקרים.
המאמר די טכני, ולא באמת מכיל מידע מנותח על המוטיבציה – אבל הוא כן מכיל פרטים של שיחות בין האקרים שנערכו במשך שבועיים ומהן ניתן ללמוד על רמתם, עיסוקיהם האחרים, הדברים שמטרידים אותם וההיררכיה בינם לבין עצמם.
חברי פרויקט Honeynet פרסמו ספר טוב בשנת 2004 בשם "Know Your Enemy” שמתוכו פרק שלם מוקדש לניתוח נפשו והלך רוחו של ההאקר. בפרק זה הם הוסיפו שתי קטגוריות לאלו של ה-FBI:

5. שעשוע. אין ספק שחלק גדול מההאקרים (וכותבי הוירוסים) עושים את שלהם מתוך תחושת הנאה. לתכנת זה כיף. כשמשהו שכתבת עובד, זה יותר כיף. אולי כשמדברים בחדשות של שמונה בערב על מה שכתבת זה עוד יותר כיף?

6. קבלה על ידי קבוצה חברתית – קבוצות של האקרים פועלות כ"מריטוקרטיה" – קבוצה שבה הסטאטוס נקבע עפ"י יכולות. כשאינדיבידואל חדש מבקש להתקבל למריטוקרטיה הוא צריך להוכיח את היכולת שלו. ברוב המקרים לא מדובר בווירוס שיוצא ל"צריכה ציבורית”, אלא בכתיבת קוד למימוש איזשהו רעיון (זדוני).

חברת האנטי-וירוס קספרסקי מבדילה בין ארבעה סוגי כותבי וירוסים:
● מתחילים וילדים
● קצת פחות מתחילים וקצת פחות ילדים
● כותבי וירוסים מקצועיים
● חוקרים המעוניינים להוכיח ייתכנות של רעיון או מחקר

הסיבות, לפי קספרסקי, הן:
● כדי להשיג דברים במרמה (תוצאות במשחקים, סיסמאות ממשתמשים, קודים לתוכנות קנויות...)
● פשע קיברנטי מאורגן
● רשתות בוטים
● רווח פיננסי
● סחיטה
● תוכנות ריגול

המבנה התיאורטי הכי מקיף להבנת ההאקר נבנה ע"י אחד, טום פארקר בספר "Cyber Adversary Characterization: Auditing the Hacker Mind”. מר פארקר בונה מטריצות ומזהה תכונות ומניעים עפ"י רמה טכנולוגית, השקעה נדרשת בהתכוננות לפריצה, צרכים פיננסיים, צרכים חברתיים, טרוריזם כמטרה, הפחד מתפיסה והאמונה הפנימית ביכולת להצליח (חוללות- בפי פסיכולוגים).

עד כאן ה"למה?”. לגבי ה"כמה זה קשה?” מספיק שאספר על תוכנה שהופיעה אי אז בתחילת שנות התשעים המשעשעות בשם VCL – Virus Creation Laboratory.
תוכנה זו אפשרה לכל משתמש לבחור, כמו בסופרמרקט, את התכונות הרצויות לו בווירוס שלו ולייצר את הווירוס מיד.
למתכנת מתחיל שעוד לא כתב אף פעם וירוס יצטרך יומיים-שלושה כדי לייצר משהו בסיסי. מתכנת טוב יצטרך כמה שעות כדי לשפר משהו קיים כך שאנטי-וירוסים לא ימצאו אותו. מתכנת מוצלח יצטרך פחות משעה כדי להמציא ולחבר ביחד קטעים מתוחכמים מוירוסים שונים ולדאוג שיהיה קשה עד בלתי אפשרי למצוא ולמגר את הווירוס.

האספקט הכלכלי תמיד ליווה את עולם הוירוסים, וכמו צ'ארלי צ'פלין הזגג ששילם לילד על ניפוץ חלונות – כך הואשמו חברות האנטי-וירוס שכתבו וירוסים כדי להצדיק את קיומן. אחת מההודעות של וירוס בשם "צרעת" - “Leprosy” (תת זן מס' 946) היא: "מקאפי כתב את Whale”. ג'ון מקאפי, מייסד חברת מקאפי, הוא מהנדס מוכשר שבהחלט יכול היה לכתוב את הווירוס Whale.
הווירוס Whale (לוויתן) נקרא כך כי הוא היה ענקי (9 קילובייט!) והכיל שלושים (או 64, תלוי איך סופרים) שכבות הצפנה. הוא נועד להיות חמקן וקשה לפענוח ואכן לקח לחברות האנטי וירוס כמה חודשי-אדם להבין איך הוא פועל ואיך לזהות אותו.
יש לציין שמעבר לשמועות, אין הוכחה שחברות האנטי-וירוס כתבו אי-פעם וירוס.

עוד עניין למחשבה הוא ששוק האנטי-וירוסים רווי מזה זמן. רוב האנטי-וירוסים דומים באיכותם, מתעדכנים בתדירות דומה ומאפשרים יכולות דומות. חברות האנטי וירוסים מוכרחות לפרוץ (חד-משמעי!) לשווקים חדשים כדי להמשיך לצמוח והשוק שהכי קורץ להן הוא השוק הסלולארי: מאות מיליוני מחשבים קטנים. הבעיה היא שיש פחות מעשרה וירוסים ידועים למכשירים סלולאריים. לכן כל וירוס סלולארי חדש, או טכניקה לכתיבת וירוס סלולארי, או שמועות על כומר טיבטי שראה בחזונו רוח שלחשה אגדה על מלך מארץ רחוקה שליצן החצר שלו כתב וירוס לטלפון סלולארי – כל אלו מנופחים מיד למימדים גרוטסקיים ע"י חברות האנטי וירוס בתקווה שיגרמו לנו לרכוש אנטי-וירוסים לטלפונים הסלולאריים.

עוד שאלות? (כתבו ליונתן)
שבוע בריא
 

   
 


Vieux Port, Marseilles










































































































השורות של עמית

פראיירים לא מתים


השבוע נתקלתי במוצר מעניין, טלפון אלחוטי מבוסס WI FI אני מחפש כזה בנרות אבל המכשיר שמצאתי לא רק מאכזב אותי במחיר שלו (400 יורו) אלה גם מחייב מנוי לספק שירות כלשהו. במחיר הזה כל אחד יכול לקנות פוקט פי סי עם חיבור אלחוטי, להתקין סקייפ והרי לו טלפון. מה שהביא אותי לשאלה האם כתוב לנו על המצח שאנחנו מטומטמים או שסתם כל החברות חושבות כך. אין לי תשובה מובהקת לכך, אבל בהחלט יש לי חששות לגבי הנושא.
וזה מביא אותי לחברת פרטנר שהעלתה את המחירים לאחר שתי חברותיה כדי לכסות את נזקי ביטול דמי הקישוריות. אז כנראה שאנחנו מטומטמים באמת. איך יתכן שאנחנו מזינים קרטל באופן קבוע? אין ספק שמדובר בקרטל ולא יעזור בית דין (וגם עליו נדבר עוד מעט). מה גורם לנו להמשיך להחזיק במכשירים האלו ששותים לנו את המזומנים ולא חשוב מה המספר או איזו חברה מספקת לנו שירותים, הם תמיד מוצאים את הדרך לדפוק אותנו. ואנחנו...?
שחיים במדינה בה האינטרסים של הציבור הם משניים ואולי אפילו אחורה מכך, אנחנו לא נוקפים אצבע לשנות את המצב. יש לכם סלולארי? תסגרו את החשבון, תקנו כרטיס Prepaid של 100-200 שקלים ונסו לעשות בו כמה שפחות שימוש. ככה אני עובד בצרפת, בה המצב זהה לחלוטין לישראל. גמרתי את התקציב (15 יורו לחודש) ימות העולם אני לא מחדש עד תום התקופה שהקצבתי לעצמי. לא גמרתי את התקציב? אני מזמין את עצמי לכוס קפה בנמל הישן (Vieux Port) על חשבון אורנג' הספק שלי.

באותה נשימה, אני רוצה להתנצל מעומק ליבי על הספק שהטלתי בשר התקשורת שלנו מר אריאל אטיאס, שאמנם אין לו אינטרנט בבית אבל בטלפון הנייח והנייד הוא כנראה משתמש וחש על בשרו כיצד דופקים אותנו הצרכנים.
מר אטיאס עושה כמיטב יכולתו והרבה יותר מכל שר אחר בעבר ובהווה כדי להגן על הצרכנים, אנחנו, וזה ראוי לברכה.
 

לא לעשות גלים


בעקבות פסיקה ש-תסלחו לי על הביטוי- "זימברה" את אחת מחברות הביטוח בארה"ב על שלא שילמה ללקוח, חשבתי מה גורם לבתי המשפט בישראל להיות כל כך נרפים. למה בישראל לא דופקים אף פעם את החזקים ורק לציבור יש בליטות בראש מרוב החבטות.
אד ככה: כנראה שרוב השופטים במדינתנו הם אנשים חלשים, שופט בערכאה נמוכה לא סומך על הערכאה שמעליו וחושש שמא תבוטל פסיקתו, לכן הוא מראש לא טורח. מצד שני החומר האנושי בבתי המשפט (והייתי לפני מספר רב מדי של שופטים לאחרונה) הוא עלוב ומעליב. מבלי להכליל, שופטים לא קוראים את החומר שלהם, לא כותבים את פסקי הדין שלהם אבל מקפידים על קוצו של יוד כשמדובר בפרוצדורות (מה שמספק הרבה מזון לעורכי דין).
אבל הכי חשוב החרדה לקיומה של שלמות המערכת, דהיינו "לא לעשות גלים", לשמר את המצב הקיים מבלי לטלטל את המערכת בפסיקה תקדימית. למה?
נניח ששופט כלשהו יפסוק כנגד בנק כלשהו (או חברת ביטוח או סלולארי או חברת חשמל וכו'...) הרי שמיד לאחר פסיקה זו יבוא מבול תביעות של לקוחות דפוקים אחרים. והמערכת המסכנה (של הבנקים) עלולה להתמוטט חס וחלילה. החשש המיותר הזה (מיותר משום שאם מגיע לבנק מבול של תביעות אז welcome, בני הבלייעל עשו מספיק כסף כדי לשלם מדי פעם).
זו גם הסיבה שרוב התביעות הייצוגיות נדחות, תערובת של עצלות והרצון לא לטלטל את המערכת. הבעיה היא שבקצה המערכת הסרוחה הזו יושב הציבור. ציבור שסובל מעושק מצד כל גוף שיש לו קצת כוח, שעושק אותו בגיבוי מלא של המערכת הפוליטית. והמערכת המשפטית זו האמורה הייתה להיות לצד הצדק, ברוב המקרים לא נמצאת אפילו לצד החוק!
 

מצחיק וקצת פתטי


שלחו לי לינק לסרט אודות מסיבת לינוקס בטכניון. זה היה קצת מוזר וקצת מצחיק ומאוד מאוד פתטי. אוסף של "יורמים" אבל ביוד רבתי, כמה בלונים ומחשבים מסביב... עצוב. אז הלכתי לאתר שלי כדי לבדוק כמה מהמבקרים באמת משתמשים בלינוקס... אז כך :
מתוך יום אקראי עם 3,000 איש: 4 משתמשי לינוקס 6 משתמשי מקינטוש וכל השאר PC עם חלונות. מה אומר ומה אדבר, עתיד וורוד.
 

סנדיסק מפטרת


סנדיסק היא ללא ספק המובילה בתחום זכרונות הפלאש. ואחרי שרכשה את אם-סיסטם הישראלית היא שולטת ללא עוררין בשוק. אלא מה... יש ירידה בביקושים של מוצריה, ושלא יספרו לי שהעניין עונתי, כי המצלמות הדיגיטאליות של היום מצלמות ברזולוציה אסטרונומית וכמעט כל מכשיר נייד דורש זיכרון עצום, שלא לדבר על העובדה שהחברה מבצעת צעדים דרסטיים כמו קיצוץ בשכר המנהלים ופיטורי עובדים.
רק על דבר אחד סנדיסק לא חשבה... להוריד את המחירים. הירידה בביקושים היא ירידה בביקוש למוצרי סנדיסק, יהיו טובים ככל שיהיו, הם עולים כפול (!) ממוצרים זהים טובים לא פחות של חברות אחרות. בצרפת אני קונה כרטיס זיכרון SD של 1 גיגה בייט ב-14 יורו, בעוד שכרטיס דומה של סנדיסק עולה 28 יורו ומעלה.
כאן נכנסת בעיית המיתוג, שהיא מחלה אמריקאית שלא מתאימה לשווקים הטכנולוגיים. סנדיסק לא רוצה להוריד מחירים כי הדבר עלול לפגוע במיתוג של מוצריה. העניין הוא שהמיתוג כבר לא רלוונטי כשהפרש המחירים הוא כל כך משמעותי, וכשסנדיסק תבין את העניין סוף סוף מספר המפוטרים יגיע ל-2,500 ואולי יותר, ומי יודע מה יעלה בגורלה.
 

עצוב למות לבד...


בארה"ב נמצאה גופת אדם שמת מול מכשיר הטלוויזיה שלו. הגופה נמצאה שנה (!)לאחר המוות, שמורה היטב - כנראה עקב לחות גבוהה. מה שמעניין הוא שהטלוויזיה עדיין פעלה.
עצוב שבמקום כלשהו קיימים אנשים שאיש לא יודע שהם חיים ולאיש לא אכפת אם הם מתים. מוזר שחברת החשמל המקומית לא טרחה לנתק את החשמל למרות שלא בוצעו תשלומים. הגופה התגלתה בעצם על יד חברת המים המקומית שהייתה אמורה לתקן את הצנרת. עד כמה יכול אדם להיות לבד, מכשיר טלוויזיה דולק יום ולילה במשך שנה שלמה, הגופה בוודאי מפיצה ריח עז בשלב כלשהו, אבל איש לא טרח לבדוק.
 

גישה חיובית


זה יהיה קצר, כי כולם כבר מיצו השבוע. דו"ח ועדת זיילר הוא עוד מסמר בארון הקבורה של המערכות בישראל. אבל מצד שני אפשר להסתכל על כל הבלגאן הזה אחרת, כמו שכתב טוקבקיסט אופטימי במיוחד באחד העיתונים: “שנת 2007 היא שנת ביעור השחיתות". מה אומר ומה אדבר, הנה אדם עם גישה חיובית...
 

דקה לפני...


● ודקה לפני שאני סוגר את השורות הללו, חברת חשמל מכריזה על עיצומים, למה?
ולמה לא?
הממשלה אישרה את הרפורמות! ממתי לממשלה יש זכות לבצע רפורמות בגוף ממשלתי ? באיזה זכות הם יחייבו חברה השייכת למדינה להתייעל? ממש חוצפה!
מישהו צריך לשים קץ להשתוללות הזאת של "עבד כי ימלוך". הרפורמה צריכה בעיניי לכלול חיסול של וועד העובדים של חברת חשמל, פיטורים מסיביים של כל מי שמתנגד לרפורמות. המנהג הזה של להתנגד להחלטות ממשלה וכנסת על ידי העובדים הפך להיות בלתי נסבל. בדיוק באותה מידה יש צורך להשעות רישיון של כל חברה סלולארית שלא מבצעת את הוראות ניוד המספרים, או לסגור נמל שעובדיו משתלטים על ספינות במחאה על החלטה עסקית של חברה (לקוח), בניגוד להחלטת בית המשפט.

● את הסרט של השבוע אני חושף רק במגזין שלי ולקוראי צ'יף. הפעם הסרט הוא "אמן האשליות" סרט אדיר, מעניין, מרתק ועם פואנטה. http://www.not2pay.com/blog
 

תגובה לשורות של עמית

   
 

 

סרטי אנימציה


עוד בעניין סרטים, הועדה הלאומית הקנדית לקולנוע מציגה לצפייה חופשית אוסף של 50 סרטי אנימציה קלאסיים מעולים, המתפרס על 60 שנות יצירה.  ביניהם גם סרטים קצרים אחדים שהיו מועמדים לאוסקר. תמצאו אותם, מסודרים על פי שם היוצר, בכתובת:  http://www.nfb.ca/animation/objanim/en/films/index.php
ורק תעשו טובה קטנה: אם אתם כרגע במקום העבודה, תתאפקו בבקשה עד ההפסקה, או עד לסוף המשמרת...
 

  
 

הצהרת אחריות
למרות שכל המידע בידיעון זה מובא תוך רצון טוב, אין חברת צ'יף אחראית על שגיאות בגין אי הבנה או הַשְׁמָטָה,
או בגין השימוש העסקי או האישי שיעשה בו. חברת צ'יף אינה אחראית לדבריהם של כותבים-אורחים בידיעון

 
 

נא לא להשיב (reply) על הגיליון נשמח לקבל הערות והארות,
המלצות  ובקשות  או קישורים לאתרים מעניינים לדואל:
eldad@chief.co.il או feli@chief.co.il

  
 
  
 

כל הזכויות שמורות © צ'יף יישומים ישראל בע"מ 1986-2007