קטגוריות
משולחן המנמ"ר

במיקרוסופט לא מאמינים בקיצוצים

החברה שבה אני עובד הצטרפה לשיירת החברות המפטרות/מקצצות/מצמצמות. 50% מהחברה נשלחו מעבדות לחרות….
תוצר לואי הוא עשרות פגישות וישיבות צוות שנקבעו על ידי עובדים שפוטרו. פגישות אלו כולל שימוש במשאבים (כגון חדרי ישיבות).
מעיון במסמך עשה ואל תעשה של מיקרוסופט, עולה כי על מנת לבטל פגישה, על יוזם הפגישה לבטל אותה.
אינני יודע מי מכם ליווה תהליך פיטורים (או פוטר בעצמו). אך משום מה המפוטרים אינם נלהבים להתישב ליד המחשב שלהם ולדאוג לכך שחדרי הישיבות יהיו פנויים בחודשים הקרובים…. מעניין למה?

קטגוריות
דעה

מעבדות לחרות

אמר רבי סטיבן איש עבודה:

מה העבדות הזאת לכם לתכנה קלוקלת וחומרה זולה. חרות היא נוצצת.

אמר רבי סטיבן המרקד:

מה העבדות הזאת לכם ליקר ולנוצץ, חרות היא בזול.

אמר רבי ריכרד מאיגנציוס:

מה העבדות הזאת לכם?

אמר מרן יו"ר ד"ר יובל דרור דאדא:

לא עבדי הטכנולוגיה, עבדי היעילות אנחנו1.

את פתח להם, שהרי לא הא בהא טליא. יעילות, טכנולוגיה, כסף ואידאולוגיה לא ירדו יחדיו כרוכים מהשמים. אמר אדוארד הפתן השחור על מנפטות הכותנה:

I am one of these people who are quite happy to wear cotton, but have no idea how it works

צא ולמד שחרות, היא חרות מבורות. דע מאין באת, ולאן אתה הולך, ואז תדע ממי אתה עתיד לקבל את החשבון.

  1. וכיוון שכפר ביעילות הוציא את עצמו מן הכלל []
קטגוריות
משולחן המנמ"ר

פלדלת בחממה

הבוס התקשר. האם הפצנו את תיקון האבטחה האחרון של מיקרוסופט. לא.

למה לא?

יש לנו תכנה שפותחה על ידי צוות פנימי. בכדי לעבוד:

  • היא מתקשרת לבסיס הנתונים עם סיסמת ברירת המחדל של מנהל מערכת.
  • על מנת להפעיל אותה יש להשתמש בשם משתמש ובסיסמה אחידה הידועה לכולם.
  • שרת הקבצים מאפשר קריאה וכתיבה בלתי מוגבלים לכולם, שאם לא כן התכנה משתוללת.

מי צריך וירוסים ורוגלות מבחוץ כשיש מפתחים מבית.

קטגוריות
כללי

מי הזיז את האוכמניה שלי?

לענין שינויים

חברת הזנק הביאה שני מנהלים מחו"ל. אותם מנהלים היו קודם בחברות אמריקאיות1 גדולות, וככאלו, נתננו לבכיריהם מכשיר BlackBerry. לשני כשנתיים התקבל מכשיר זה בארץ ברגשות מעורבים. כיום, חברות הסלולר עושות מאמצים להעלים אותו.

לכאורה כלי פשוט, פונקציונלי העושה את מטלתיו ללא יומרות. עד שאתה יוצא מהמסגרת החמימה והקשיחה. המסגרת של שרת דואר אירגוני, שרת BlackBerry ארגוני, חוזה שרות של ספק סלולרי ללא הגבלת תעבורת נתונים, וסגל Helpdesk בזמינות גבוהה.

המנהלים לא הבינו מדוע אינם יכולים לקבל את אותו שרות כפי שהיו רגילים אליו בחברות הקודמות שלהם. הסברתי להם שהם יכולים, תמורת השקעה של מספר אלפי דולרים בתשתית, ועוד מספר עשרות דולרים לחודש, או לחלופין להתשמש במכשירים אחרים, התומכים בתכנולוגיות ActiveSync או SyncML.

תגובותיהם היו מרתקות. ממצב שבו הם היו בקלילות מטילים משימות על אנשי ה-IT, ללא מחשבה או שיקול דעת, הם נאלצו פתאום לקבל החלטות. לשקול עלות מול תועלת ולבצע הערכת סיכונים על טכנולוגיה. התסכול שלהם היה גדול. אם לא די בכך, הם נאלצו להתמודד עם הגדרות המכשירים מול שרותי הדואר החדשים, לדבר בעצמם מול ספקי השרות, ולגלות איך ניתן בכל מכשיר, ומול כל ספר לבטל את הודעת Sent using blackberry, שהופיע בכל דואר יוצא.

אני כבר מחכה למנהל הבא עם ה-iPhone….

  1. אמריקניות? []
קטגוריות
דעה

קוד פתוח, קוד בטוח?

אילן שביט תוהה האם תכנה פתוחה1 היא בטוחה יותר יותר או מתכנה קניינית.

אני חסיד של תכנות פתוחות. כאשר אני בוחן תכנות פתוחות מול תכנות קנייניות, התכנה הפתוחה תמיד מתחילה עבורי מנקודת יתרון, ועל התכנה הקניינית להציג יתרונות מהותיים על מנת להתחרות. אחד השיקולים הוא אבטחת מידע.

קוד פתוח איננו בטוח יותר מקוד סגור מעצם מהותו. קוד בטוח הוא תוצר של שיטות עבודה ובקרת איכות.  יתר על כן, מרבית המשתמשים קוראים או מהדרים קוד בעצמם, אם משתמשים במוצר הסופי. מרבית כשלי האבטחה אינם מתגלים בתהליך הפיתוח אלא במהלך יישום החושף את התכנה לעולם האמיתי.

לתכנה מבוססת על קוד פתוח יתרון בתחום אבטחת המידע המצבים שתהליך הפיתוח הוא הוא פתוח:

  • קבוצות דיון או רשימות תפוצה גלויות הדנות בתכנה
  • ניהול באגים  גלוי לקהל הרחב
  • גילוי נאות

לשיקול המסחרי יש משקל2, וחברות המתבססות על מודל מסחרי קנייני בלבד סובלות מחסרון. הודאה בכשל בטיחותי לו אין להן פתרון זמין יוצר סיכון כלכלי ומשפטי חמור יותר. חברות אלו נוטות יותר להסתיר פגמים מאשר לחשוף אותם עד למציאת פתרון. תהליך זה מתארך, כאשר התכנה תלויה ברכיבים קנייניים של יצרנים אחרים. לקוד פתוח יתרון משום שאת העזרה למציאת הפתרון ניתן לקבל גם מחוץ למסגרת של צוות הפיתוח המיידי.

מעט מאוד מערכות מידע הן אי של קוד המסוגל לקיים את עצמו. תכנה משתמשת בספריות של מערכת ההפעלה, ברכיבים של תכנה אחרת ומתממשקת מול תכנות אחרות. לעיתים כשל אבטחה הוא חלק מהתוכנה, לעיתים כשל של מערכת תומכת או נלוות, לעיתים היישום הוא הבעיה, ולעיתים קרובות רק האינטראקציה היא זאת החושפת את כשל האבטחה.

באחד הבנקים בישראל ישנה מערכת המבוססת על Windows NT 4.0. לא ניתן לשדרג את המערכת היות ואחת מתת המערכות היא מוצר קנייני של חברה שפשטה את הרגל, ואותה תת מערכת איננה פועלת במערכות מתקדמות יותר3 של Microsoft. המערכת תכתב מחדש מתישהו מול תת מערכת חדשה. אם ברשות הבנק היה קוד המקור אל אותה תת מערכת, אין זאת אומרת שבהכרח היה הבנק מתחזק את הקוד בעצמו, אך ניתן היה אולי למצוא מתחזק אחר.

  1. אני כאן מערבב מעט בין המושגים של קוד פתוח ותכנה חופשית []
  2. ויש לא מעט חברות מסחריות התבססות על קוד פתוח []
  3. דהיינו כאלו שזוכות לעידכוני אבטחה []