קטגוריות
דעה

קוד פתוח, קוד בטוח?

אילן שביט תוהה האם תכנה פתוחה ((אני כאן מערבב מעט בין המושגים של קוד פתוח ותכנה חופשית)) היא בטוחה יותר יותר או מתכנה קניינית.

אני חסיד של תכנות פתוחות. כאשר אני בוחן תכנות פתוחות מול תכנות קנייניות, התכנה הפתוחה תמיד מתחילה עבורי מנקודת יתרון, ועל התכנה הקניינית להציג יתרונות מהותיים על מנת להתחרות. אחד השיקולים הוא אבטחת מידע.

קוד פתוח איננו בטוח יותר מקוד סגור מעצם מהותו. קוד בטוח הוא תוצר של שיטות עבודה ובקרת איכות.  יתר על כן, מרבית המשתמשים קוראים או מהדרים קוד בעצמם, אם משתמשים במוצר הסופי. מרבית כשלי האבטחה אינם מתגלים בתהליך הפיתוח אלא במהלך יישום החושף את התכנה לעולם האמיתי.

לתכנה מבוססת על קוד פתוח יתרון בתחום אבטחת המידע המצבים שתהליך הפיתוח הוא הוא פתוח:

  • קבוצות דיון או רשימות תפוצה גלויות הדנות בתכנה
  • ניהול באגים  גלוי לקהל הרחב
  • גילוי נאות

לשיקול המסחרי יש משקל ((ויש לא מעט חברות מסחריות התבססות על קוד פתוח)), וחברות המתבססות על מודל מסחרי קנייני בלבד סובלות מחסרון. הודאה בכשל בטיחותי לו אין להן פתרון זמין יוצר סיכון כלכלי ומשפטי חמור יותר. חברות אלו נוטות יותר להסתיר פגמים מאשר לחשוף אותם עד למציאת פתרון. תהליך זה מתארך, כאשר התכנה תלויה ברכיבים קנייניים של יצרנים אחרים. לקוד פתוח יתרון משום שאת העזרה למציאת הפתרון ניתן לקבל גם מחוץ למסגרת של צוות הפיתוח המיידי.

מעט מאוד מערכות מידע הן אי של קוד המסוגל לקיים את עצמו. תכנה משתמשת בספריות של מערכת ההפעלה, ברכיבים של תכנה אחרת ומתממשקת מול תכנות אחרות. לעיתים כשל אבטחה הוא חלק מהתוכנה, לעיתים כשל של מערכת תומכת או נלוות, לעיתים היישום הוא הבעיה, ולעיתים קרובות רק האינטראקציה היא זאת החושפת את כשל האבטחה.

באחד הבנקים בישראל ישנה מערכת המבוססת על Windows NT 4.0. לא ניתן לשדרג את המערכת היות ואחת מתת המערכות היא מוצר קנייני של חברה שפשטה את הרגל, ואותה תת מערכת איננה פועלת במערכות מתקדמות יותר ((דהיינו כאלו שזוכות לעידכוני אבטחה)) של Microsoft. המערכת תכתב מחדש מתישהו מול תת מערכת חדשה. אם ברשות הבנק היה קוד המקור אל אותה תת מערכת, אין זאת אומרת שבהכרח היה הבנק מתחזק את הקוד בעצמו, אך ניתן היה אולי למצוא מתחזק אחר.

קטגוריות
דעה

הסכנה לא בטכנולוגיה

יהונתן קלינגר מציג השינויים החשאיים שמיקרוסופט ביצעה כחלק מתהליך האוטומטי של Windows כחלק מטענה להמנעות של שימוש ממשלתי בקוד קנייני.
לפי הידוע לי, השינויים האמורים פעלו רק במצב בו לא התבצעו עידכונים אוטומטיים, אך המשתמש בחר לסמן את אפשרות הבדיקה של קיום עדכונים. אני, ואחרים, חושבים שהתגובה חריפה מדי.

מידה ועובדה זו נכונה, השינויים יכולים להיות מהותיים להמשך אפשרות הבדיקה (למנוע מצב של ביצה ותרנגולת, שבו המערכת לא יכולה לבדוק יותר קיום עדכונים כי מערכת העדכון השתנתה).מיקרוסופט מאפשרת (בתנאים מסיימים), לראות (אם כי לא לשנות) קוד. מעט מאוד בחרו לממש אפשרות זאת. יתר על כן, הרתיעה של ארגונים רבים מויסטה נובעת מהתלות של מוצר זה בתקשורת מול מיקרוסופט.

מיקרוסופט סובלת מבעיה של חוסר עמינות הן בצד העסקי, והן בצד הטכנולוגי. אבל שתי בעיות אלו אינן בהכרח תלויות אחת בשניה. וניסיונות לתקן בעיה בצד אחד מובילות לפעמים לבעיה בצד השני. תסבוכת זאת הולכת וגדלה כאשר לא ברור אם מיקרוסופט היא חברת של טכנולוגיה, מוצרי צריכה או בידור.

בחזונו של תומס ווטסון הייתה מכונה של IBM בכל חברה, ו"שלום דרך מסחר". דא עקא, שעם כל מכונת IBM הגיעו אנשי IBM, והמסחר כלל גם מסחר עם גרמניה הנאצית. את IBM הורידו מגדולתה חברות כמו NCR, דיגיטל ומיקרוסופט, לא האגודה לזכויות האזרח.

קוד פתוח איננו התשובה לכל, ואיננה החרב לפתרון כל הקשרים הגורדיים של אבטחת מידע וצנעת הפרט ללא מי שיבחן את הקוד.

קטגוריות
דעה

הסטה לה ויסטה, בוב.

האמרה "Bob's your uncle" מקובלת בעולם האנגלו-סאקסי כמציינת דבר-מה פשוט, טריוויאלי. האם מישהו במחלקת השיווק של מיקרוסופט חשב על כך, אי אז, בשנת 1995, כאשר על העולם הונחת מיקרוסופט בוב. לענין זה, האם באג Y2K, הנחה את מחלקת השווק במתן השם Windows Millennium, או שמה גלגל הענק בלונדון

ראו שני מאמרים על Windows ME, אחד עם יציאתו, שני פחות משנה מאוחר יותר.

והיום, ויסטה.

קטגוריות
דעה

גנב! גנב!

תקלה בשרתי WGA של מיקרוסופט גרמה, ככל הנראה למספר רב של מחשבים לזהות את מערכות ההפעלה שלהם כלא חוקיות. תקלה זה גרמה לתגובות הנעות בין תדהמה לזעם בפורום התמיכה של מיקרוסופט.

עמית, מאוניברסיטה גדולה, סיפר לי לפני מספר שבועות שהתקבלה החלטה באוניברסיטה לא לתמוך ב-Vista, בגלל התלות ב-WGA. החשש היה כי משתמשים שאינם מקשורים לרשת עלולים לגלות את עצמת עם יכולות מופחתות היות והמחשב לא יוכל "להתקשר הביתה". מסתבר שגם ללא נתק תקשרות משתמשים עלולים מואשמים על ידי המחשב שהם כגנבים.

שתי תהיות עולות בדעתי:

  1. האם שרתי WGA עברו ולידציה?
  2. האם יש קשר לתקלה של Skype?

לפני לא כל כך הרבה שנים היו תוכנות רבות שהגיעו עם הגנות מבוססות חומרה (דונגלים או האספים בלשון העם). כיום שיטות אלו כמעט ונעלמו מהעולם. כאב הראש של פתרון תקלות ותמיכה בתת מערכת שאיננה מוסיפה ערך לתוכנה מחד, ומעלה את עלות התוכנה מאידך פתרו אותנו מעונש זה. דווקא מיקרוסופט הייתה מהמקילות בתחום זה. הציניקנים יגידו כי מיקרוסופט העלימה עין מהפירטיות כל עוד רווחיה עלו. יתכן, אם כי אני רואה שינוי גישה אחר. מיקרוסופט הולכת בעקבות אפל ספקיות שרותי הסלולר ליצירת סביבה סגורה.

אפל יצרה סביבה סגורה מסביב לחומרה שלה. שרותי הסלולר יוצרים חבילות. למיקרוסופט הייתה סביבה שהתבססה על, למרבית ההפעתה, על פתיחות. מגוון רחב של יצרני חומרה ותוכנה. יתכן כי כאשר ספקי החומרה מתחילים לפזול לחלופות (דל עם אובונטו, לנובו עם סוסה), וספקי התכנה מתחילים לעבור לשרותים מקוונים ולקוד פתוח בוחרת מיקרוסופט במסלול של סגירות. סביבה סגורה זו גם מתאימה ליצרני תוכן ומדיה. WGA משתלב יפה עם ניהול זכויות דיגיטליות (DRM).

לכאורה מדיניות משונה, אך ללא שינוי מהותי בתפיסת העולם, זאת נראית הדרך היחידה המתאימה למיקרוסופט. העליונות ההנדסית והעיצובית של מוצרי אפל מצד אחר, והעליונות הטכנית והתמחירית של מוצרי הקוד הפתוח לא משאירים למיקרוסופט מסלול אחר שלא יפחיד את בעלי המניות שלה.

קטגוריות
דעה

עברית קשה תוכנה

כתבה ב-Ynet על תביעה נגד מיקרוסופט על סוגית בתמיכה בעברית וכתבה על פיתוח תכנה לשולחן העבודה מול פיתוח לרשת, הביאה אותי להגות שוב בפרסום קודם שלי.

נתקלתי שוב באותו בית תוכנה. בחנתי את התכנה מול המתחרה העיקרי שלה. עלות התכנה של המתחרה היא כמעט פי שתים וחצי. המתחרים מציעים יכולות נוספות ברמה העסקית שהתוכנה הזולה יותר איננה מציעה. ברמה הטכנית, המתחרים סובלים מבעיות דומות: כתיבה לאזורים שאינם מורשים, שימוש לא תקין בפקדים, הודעות שגיאה בלתי קריאות (בגלל תמיכה לקויה ביוניקוד) וכיוצא בזה.

להבדיל, בית תוכנה אנגלי, מולו אני עובד, נתקל בבעיה באתר בארץ. המפתח באנגליה התקין גרסה עברית על Windows על מנת לבחון את הבעיה. מעבר לשעשוע של ניסיון לסייע לגוי לנווט בתפריטים התמוהים ההבדל בגישה היה המהותי. הנחת היסוד של בית התוכנה האנגלי הייתה "אם התכנה נכתבה על פי המפרטים של Microsoft לסביבת Windows והיא איננה פועלת, משמע יש באג בתוכנה". הנחת היסוד של בתי התוכנה הישראלים הייתה אם התכנה נכתבה על פי המפרטים של Microsoft לסביבת Windows והיא איננה פועלת, יש לך בעיה".

ראוי לציין כי כל בתי התכנה האמורים משווקים את התכנות כתוכנות מדף. כמו כן, נתקלתי גם בתכנות מבתי תכנה זרים שסבלו מבעיות דומות. הנקודה המהותית היא שהמחיר של התכנה לא היה אינדיקטור סביר לרמה הטכנית של התוכנה או השרות, כמו גם גודלו של בית התכנה.