"לא שונא אותם, אבל גם לא אוהב אותם במיוחד." ככה הייתי מסכם את התחושות שלי כלפי מיקרוסופט. אבל מתקפת ה-FUD הקלה שמתארגנת לה לאחרונה פה באתר ובמקומות אחרים דורשת התייחסות כלשהי לדעתי, במיוחד מאחר ומעולם לא ממש טרחנו להתייחס אליה עד כה. מאמר זה נועד לנסות להציג את הטקטיקות הללו כפי שהן, בין אם הן FUD מאורגן, יוזמה פרטית או אולי סתם צרוף מקרים משעשע.
מטרת ה-FUD (ראשי תיבות של Fear, Uncertainty, Doubt) היא לעורר אי-ודאות, פחד או ספק אודות הלא נודע אצל הקורא התמים, לעיתים האקראי, במידה מספיקה כדי למנוע ממנו למשל לעבור למתחרה (במקרה של עולם התוכנה לפחות), או לגרום לו לפקפק ולחשוב שנית לגבי מעבר כזה (כמובן שחברת מיקרוסופט לא המציאה את הרעיון, אבל היא ללא ספק הביאה אותו לשלמות אם קוראים בתשומת לב את
מסמכי ה-Halloween שאוסף אריק ריימונד באתר ה-OSI).
רקע
כדי לחזק את התחושה שבמיקרוסופט משקיעים לאחרונה המון מחשבה בהערכות מקצועית שתאפשר
להם להתמודד גם ברמה הטכנולוגית עם הקוד הפתוח (שינוי מבורך לשם שינוי)
התבשרנו כי מיקרוסופט הקימה מעבדת לינוקס ברדמונד במטרה לבחון את יתרונות ה-LAMP שיאפשרו לה להציע חלופות מקבילות מבוססות על טכנולוגיה שלה.
באחד הדיונים הסוערים באתר, בתגובות לידיעה שפרסם שחר שמש על
רשמים שלו מכנס "ממשל זמין" בו נכחה "המקור" הסתבר דרך אגב כי יש במיקרוסופט ישראל מינוי חדש האחראי לפעילות תחרותית עם הקוד הפתוח. הבחור הזדהה בדרך כלל "אנונימי - שם אמצעי" והיה די עקבי, כפי שהיה אפשר להתרשם (הוא אהב במיוחד כל דבר שקשור לחברת Sun באיזשהי צורה) עד שעלו עליו כנראה מאחר ולאחר ששמו הוזכר בתגובות הוא נעלם לחלוטין, או לפחות הפסיק להשתמש בכינוי הזה (עדכון: נראה שמאז הוא חזר, ושוב בקשר
לידיעה ש-Sun קשורה אליה איכשהו).
אבל עושה רושם שהוא שוב איתנו, או אולי מחליף שלו? הסגנון ללא ספק שונה. ההתחלה, אם זה אכן המצב, לא הייתה מוצלחת במיוחד (כנראה שגם ל-FUD יש עקומת לימוד). ברוב המקרים הוא היה עסוק בהדבקת הודעות "טרוליות" (בסגנון "
מיקרוסופט תנצח", "
הרוב יודע מה טוב בשבילו", "
אין ללינוקס סיכוי" וכיוצא באלה הכרזות מייגעות) בכל מקום אפשרי בין אם בסקרים, בפורומים או בתגובות למאמרים באתר.
באחד המאמרים נשברתי והחלטתי לחרוג ממנהגי ולהגיב. לאחר שדירגתי אותו כ"מחרחר מלחמה" (לדעתי זה בדיוק מה שהוא ניסה לעשות) הוא כינה אותי "דיקטטור חסר תקנה, עלוב ופחדן נפש" (קצת מוזר אם לוקחים בחשבון שהוא עצמו מסתתר מאחורי האנונימיות, מתחזה לתומך בקוד הפתוח ועסוק בהפצת שקרים, על כל זה בהמשך, ומאחר ולנו אין פתחון פה באתר "של החברה שלו") לא הייתה לנו ברירה מלבד להמתין לו שישוב לזירת הפשע.
אגב, אין זה ממש משנה אם כל התגובות שנתייחס אליהן אכן נכתבו על ידי אותו בחור או לא, בין אם הוא אכן עובד מיקרוסופט ישראל או עצמאי. השיטות הן אותן שיטות מוכרות של FUD קלאסי שלעיתים קרובות נדמה כאילו הועתקו כמעט כפי שהן מספר ה-FUD הגדול (מסמכי ה-Halloween הם ללא ספק קריאה רלבנטית לדיון).
אז ככה. לפני מספר ימים הגיעה אלינו ידיעה שנשאה את הכותרת: "
האם לינוקס אכן מאובטחת כפי שאנו רוצים לחשוב?" (שאלה שעלתה לדיון באתר סלאשדוט והתייחסה לסטטיסטיקה אקראית באתר h-Zone). הידיעה נשלחה אלינו על ידי משתמש אנונימי - מפתיע אולי, אבל לא לגמרי בלתי מקובל. לא היה לנו ספק שהידיעה תתפרסם, בין אם היא נשלחה במטרה לעורר פרובוקציה או לא, דיון כמובן לגיטימי (ומן הסתם יגביר את העירנות לנושאי אבטחה) גם אם הכוונות אולי מפוקפקות. דיון פתוח בכל נושא עוזר לאנשים לרכוש ידע ולהבין לעומק את הנושאים איתם הם מתמודדים וללא ספק מכין אותם היטב לדיונים דומים במקומות אחרים, אם בכלל.
הידיעה אכן פורסמה והאנונימי שלנו, לא איחר להגיב. למען האמת הוא היה הראשון שהגיב, כמעט מייד לאחר שהידיעה פורסמה. מה שבא בהמשך היה ללא ספק משעשע. התגובות לכתבה התפתחו לדיון די ארוך (מעל ל- 100 תגובות) ולא פחות משעשע (לפחות מבחינתי). התגובות היו די צפויות ובדיוק בסגנון שציפינו לשמוע. אם אין לכם חשק לקרא את כל השרשור (כאמור מעל למאה תגובות) הנה סיכום קצר מלווה בפרשנות.
<u>
התחזות</u>
לאורך כל הדיון (אגב, גם במקומות אחרים בהם הוא הגיב) היה נסיון להתחזות לתומך או אוהד של הקוד הפתוח,במטרה ליצור תחושת הזדהות ולאפשר לו להציג שאלות "אותנטיות תמימות" אשר לכאורה מגיעות מהירהורי ליבם של משתמשי FOSS. למרות שאפשר היה להבין שזה לא המקרה, שיחקנו את המשחק שלו עד להודעה האחרונה בדיון הזה.
למשל, במספר מקומות הוא השתמש במילים "
אנחנו" או שניסה להפגין ידע שאמור
להפגין בקיאות טכנולוגית שנועדה ל"הרשים" את הקורא התמים ואולי ליצור תחושה שמדובר במישהו שאכן משתמש בתוכנה חופשית
"אם יש למק'קפי גרסה ללינוקס אנחנו בטוח מסודרים" או " """ - כמו
בפייתון (-:"
במקרה זה שתלתי לו שגיאה מכוונת לגבי השימוש בשלוש גרשיים בפייתון באחת התגובות,
הוא אפילו לא עלה על זה.
<u>חצאי אמיתות ושקרים</u>
במהלך דיון זה (ואחרים כפי שהזכרתי לעיל) שולבו הערות כמו:
"חברה של אלפי משתמשים מניו-ג'רסי שבן הדוד שלי עובד בה עברה לאחרונה מלינוקס בחזרה לחלונות"
כמובן ללא שום ביסוס או מראי מקום (גם לאחר שביקשנו) שיעניק מידה מסוימת של אמינות לסיפורים הללו. הוא גם הרבה לספק "תחזיות" שכפי שהוא בעצמו הודה בהמשך, לא היו מבוססות על מידע או מספרים ממשיים. למשל:
"בגלל זה נתתי את התחזית העגומה משהו שלי", או "דבר אחרון אין לי סקרים מקיפים וכו' - אתה צודק אני לא הסמכות לנבא שום דבר נחיה ונראה."
הוא אמר, לאחר שנשאל אם יש לו מידע שעליו התחזית שלו מתבססת, או על הסמכה לבצע תחזיות. אבל לא חסרות דוגמאות נוספות.
למשל, לגבי העדרם של תוכנות "אנטי וירוס" עבור לינוקס (שלמרבה האירוניה, כל מה שהם עושים זה לחפש וירוסים של חלונות דווקא), טענתי כי יש כמה. התגובה הצפויה שלו הייתה שהם לא ב"רמה" של נורטון או מק'פי. אחרי שסיפקתי לו <a
href="http://www.networkassociates.com/us/downloads/evals">קישור להורדה של מוצרים של מק'פי עבור לינוקס/יוניקס הוא נשבר:
"באמת אתה צודק אמרתי את מה שאמרתי בעניין הוירוסים ללא בדיקה. ומסתבר שאתה צודק - אם יש למק'קפי גרסה ללינוקס אנחנו בטוח מסודרים" שוב, שימו לב לשימוש השכיח ב"אנחנו".
בדיון נפרד שהתפתח בהמשך אודות שרתי אינטרנט הוא הרבה לחזור על המנטרה "IIS זה הרוב" וכדומה. למרבה האירוניה בסקר של נטקראפט שהוא עצמו הפנה אליו הנתח של אפאצ'י הוא יותר מפי שניים מאשר של-IIS. מלבד זאת, המגמה, כפי שמבחין אתר נטקראפט היא עליה
בפופלאריות של אפאצ'י וירידה קלה ל-IIS בירידה. עובדה שהוא דרך אגב בחר להתעלם ממנה.
<u>
טיעונים מופרכים, יצירת אשלייה של אמינות</u>
"הענין הוא שבחברה קטנה אבטחת המידע היא לא כזו קריטית"
מעניין אם זה מה שמיקרוסופט ושותפיה אומרים גם ללקוחות שלהם. זלזול ברכוש ומידע של הלקוחות, אי טיפול בגניבת מידע ואדישות לגניבת רוחב פס. מלבד זאת הוא מתייחס לזמן השבתה של המחשב (downtime) כתוצאה יחידה של לפריצה באתר (לפי דעתי, פורץ טוב כלל
לא יוריד את האתר ולא יגרום ל-downtime, הוא יגרום לכולם לחשוב שהכל בסדר) ופעמים רבות נגרם גם ללא קשר לבעיות אבטחה.
כאשר sforbes הביאה דוגמא לגמישות של אפאצ'י ולינוקס בהתייחס לאפשרות לבצע התקנה בספריית הבית וללא צורך בהרשאות ניהול, במקרה שלה ללא שום הכרות קודמת עם אפאצ'י, הוא טען שההתקנה מורכבת ושמנהל רשת פשוט לא יוכל להתמודד עם המשימה. טיעון משעשע למדי אם לוקחים בחשבון שמדובר בפעילות שלא ניתן כלל לבצע בחלונות ללא הרשאות אדמינסטרציה ואתחול השרת.
אחרי שהסתבר שהעדר הגמישות של חלונות עשויה להיות מגבלה (תארו לכם למשל ארגון שרוצה לתת למפתחים אפשרות לעבוד בסביבה מבודדת מותאמת לצרכים שלהם מבלי שיצטרכו לבקש טובות ממנהל המערכת), הוא שינה את הסיגנון והודה שלפעמים יש יתרונות להגבלות שמציבה מערכת ההפעלה. מעניין.
אם כבר זהו טיעון לטובת הגמישות, לא לטובת המוגבלות. הוא למעשה אומר: "אפילו
אם אתה משתמש מנוסה, אין שום סיכוי שתצליח להתקין את IIS בחלונות בצורה שונה מהמוכתב" ומנסה לשכנע אותנו שזה יתרון דווקא. טכניקת ה-FUD הזו מנסה למסך את העובדה
שתכונה מסויימת איננה קיימת במסגרת האופציות שמקנה המערכת אותה מנסה הכותב להעצים. בדרך כלל במקרים שבהם נחשפת התרמית יוצגו "שיקולים" עניינים לסיבה שהם לא קיימים.
כאשר הדיון התייחס להפרדה בין שרת אינטרנט ושרת בסיס הנתונים (במיוחד לעלות הכרוכה בכך) הוא אמר:
"בשביל לשים את שרת ה-SQL על מחשב אחר אתה לא צריך שתי רשיונות של IIS"
הטעיה מכוונת דרך אגב (אם לא פשוט שקר). לא צריך רשיון ל-IIS, מה שאתה משלם עליו זה רשיון עבור חלונות. בכל מקרה תצטרך רישיון נוסף עבור השרת השני בו מותקן בסיס הנתונים (אלא אם מיקרוסופט החלה לחלק רישיונות חופשייים לאחרונה ולא נודע לנו על כך).
כאשר עלה בסופו של דבר נושא המונופול (המתבקש) הוא ענה באוקסימורון מעניין :
"המונופוליות של MS היא לא רק שלה"
והביא דוגמאות למונופולים (לא כולם היו ממש מונופולים) אחרים. לזה עניתי:
"אז מה שאתה אומר שהדרך היחידה של המשתמש הסופי להתגונן ממונופול היא לקפוץ למונופול אחר? יש מוצא ממלכודת העכברים הזו, כי המשתמש הסופי הוא לא עכבר שאפשר לסחוט ממנו כסף על ימין ועל שמאל על משהו שלא נותן את התמורה, מוגבל (לפי דבריך בעצמך), אין לו שום זכויות, ואתה לא יכול לבוא לאף אחד בטענות אם משהו משתבש (ה-EULA המפורסם, שרק הולך ומחמיר מדור לדור)."
<u>
טיעונים לא רלבנטיים</u>
בדיון שנסב על שימוש בשרת, הוא הביא דווקא דוגמאות הקשורות לשולחן העבודה. כאשר הוא נשאל לגבי וירוסים, הוא בחר להביא את הדוגמא של Slapper (תולעת דווקא) שתקפה פרצת אבטחה של SSL בשרתי אפאצ'י. התגובה שלי הייתה שהפרצה תקפה מספר מועט מאוד של מחשבים בהשוואה ל-Slammer שהשתוללה בתקופה המקבילה והפילה חללים רבים כולל השרתים של מיקרוסופט עצמה.
אם הספקתם לשכוח, Slammer הייתה תולעת שתקפה את שרתי בסיס-הנתונים של מיקרוסופט אשר היה סביר להניח שהתפוצה שלהם באינטרנט (מה הם עושים בכלל פתוחים לאינטרנט?) נמוכה מזו של שרתי אפאצ'י (לאפאצ'י יש שוק גדול פי שניים מאשר ל-IIS לפי נטקראפט ודי סביר להניח שיש יותר שרתי אינטרנט ברשת מאשר שרתי בסיסי נתונים).
כדאי להזכיר בנושא זה את מדיניות הגילוי הנאות בנוגע לנקודות תורפה הנהוגה בד"כ בעולם התוכנה החופשית. פרצה שמתגלה מדווחת ומטופלת באופן גלוי במהירות האפשרית מבלי לנסות להעלים את המצב מהמשתמשים.
סיכום
זהו כמובן רק סיכום חלקי של דיון ארוך, מייגע, עתיר שקרים, הטעיות, טיעונים לא תקפים והסחות דעת. אם יש לכם יום יומיים פנויים, אפשר לנסות לקרוא את התגובות בדיון המקורי. התגובה שלי שסגרה בינתיים את הדיון הייתה:
"בלי קשר, היה מהנה לראות אותך מתפתל עם טיעונים לא מדוייקים, שקריים או מטעים בכוונה, משנה דעות באמצע הדיון, מביא דוגמאות שלא קשורות, היה ממש תענוג, ועוד מנסה
לקשור את עצמך איתנו ("יש מק'פי אנחנו מסודרים"). אל תקשור אותי אליך, אני לא מפחיד אף אחד, לא מזלזל בצרכי הלקוחות שלי ובצרכי האבטחה שלהם, לא מבטיח להם הרים וגבעות, כמו שניסית לעשות כאן בדיון, משקר בקשר לעלויות רישוי ועוד. לא יעזרו לך התפתלויות, ואם אתה חושב שזה לא נכון, אתה מוזמן לקרוא ולסכם שוב את הדיון"
אין חכם כבעל נסיון, אל תתנו לאחרים למנוע מכם את ההתנסות בגלל פחד. בפעם הבאה שתתקלו ב-FUD (סביר להניח שזה לא האחרון) אפשר להפנות את הכותב לדיון המקורי, חבל לבזבז עליו את הזמן.
תודה לדיטיגס יהודה וטל על העזרה בהכנת המאמר.