הפרוקסי שיאיר את רמת גן

בשנת 1981, ערב הבחירות הודיע יעקב מרידור, מועמד ברשימת הליכוד, כי המציא תהליך כימי שעשוי לטפל בבעיות האנרגיה של מדינת ישראל. לאחר שנה שהמצאתו עמדה במחשכים, ולאחר דיון ציבורי סוער, התגלה כי לא רק שהמצאתו כלל לא היתה אלא כי שותפו לדרך היה נוכל. כך גם היה לפני כשנה, כאשר מספר אנשי עסקים ישראלים דיווחי כי פיתחו מדבקת פלא המאפשרת זיהוי מוקדם של התקפי לב. לאחר תהיות לגבי ההשקעה המסתורית בחברה, התגלה כי מספר נוכלים עומדים מאחורי המדבקה, וכי הכל היה נסיון לעקוץ משקיעים פוטנציאליים. שתי הפרשות התפוגגו בלי שהובן כלל מי עמד מאחוריהן, הכל נשכח, והכסף הזניח שהושקע ירד לטמיון אך לא נעלם.

לפעמים, כוונות טובות, יחסי ציבור ומימון נרחב לא מספיקים. עבודה קשה, סיזיפית, מהותית, נדרשת על מנת להביא לתוצאות. קל מאוד להסתכל על המוביל בשוק, שעושה משהו לא נכון אבל נהנה מהצלחה כבירה, לומר מה צריך להשתנות אצלו, ולכתוב תריסר שורות קוד שאמורות להחליף את מאות השרתים שלו. כמובן שאותן תריסר שורות קוד תעבודנה כל עוד הן רצות רק על המחשב שלך: כשעוברים לפרויקט גדול יותר, בהיקף קולוסאלי, כנראה שהכשלון שלך כך הוא בלתי נמנע.

שני כשלונות כאלה ראינו בשבוע האחרון, וחבל שכך. הראשון היה של Haystack, שירות שהתיימר לעקוף את הצנזורה האיראנית על ידי הסוואת התקשורת בערימת שחת והתחברות לשרתים עלומים; לדברי עמוד הFAQ של השירות, הפלטפורמה שנבחרה לא היתה בקוד פתוח "למרות שאנו מקווים שנוכל לשחרר את Haystack תחת רשיון חופשי, גילוי קוד המקור שלו כעת עשוי רק לסייע לשלטונות לחסום אותו" והבהרה כי השימוש כאן הוא לא באבטחה באמצעות עמימות.

אלא שטענותיהם של מפתחי Haystack התגלו כשגויות למחצה, אם לא על גבול השקריות. אנשי אבטחה בחנו את התוכנה ומצאו כי היא לא מסייעת במיוחד, אלא עשויה לסכן את המשתמשים בה, עד כדי כך שלא רק שהתוכנה לא עקפה את מגבלות הצנזורה באיראן אלא שהסכנה היתה כה מהותית שאנשי האבטחה מסרבים לגלותה בטענה כי גילוי הפרצה עצמה עשוי לסכן אנשים (טאוטולוגיה בגרוש). עד כאן הכל טוב ויפה, אלמלא שוכחים כי Haystack ניסתה להחליף שירותים ותיקים שעבדו ואיפשרו את המעקף באיראן, שאמנם לא היו מושלמים. Opera Unite היתה אמורה להתחיל עם פתרון בעיית הצנזורה באיראן וכך גם TOR. למזלנו, לHaystack לא היו יותר ממספר מצומצם של משתמשים, כך שלא נגרם נזק אמיתי.

פרויקט Diaspora היה עוד פרויקט יומרני כמו Haystack. לפני כחצי שנה דובר על יצירת רשת חברתית מבוזרת שתאפשר פרטיות מוגברת ויכולת ניוד, תוך הסתמכות על כלים מבוססי קוד פתוח. לאחר יחסי ציבור יומרניים למדי, גייס הפרויקט מהציבור הכללי סכום של כ-200,000$ ובשבוע שעבר שחרר את קוד המקור שלו לציבור לבדיקה. מומחי אבטחה רבים מצאו כי התוכנה במצבה כעת אינה ראויה למאכל אדם ומסכנת את הפרטיות עד כדי כך שניתן לבצע כמעט כל פעולה ללא הסכמת המשתמש. כלומר, התוכנה שנולדה כפתרון לבעיית הפרטיות יצרה בעיות גדולות יותר.

חשוב להבין שהתקלות הן מקריות, נקודתיות וכנראה ניתנות לטיפול בשני המקרים. הן גם לא אומרות שאנחנו צריכים להפסיק להשתמש בשירותים חדשניים וחתרניים אלא דווקא לחשוב יותר לכיוון החדשנות, בצורה זהירה יותר. פרצות האבטחה בפרויקט Diaspora לא היו מתגלות אלמלא היה הקוד גלוי לכל הציבור, וככל הנראה קיימות פרצות דומות בשירותי Facebook, המתחרה. לא עברה שנה מאז שגילינו ששירות קטן שהתווסף לFacebook איפשר לחברים לדעת בדיוק עם מי משוחח החבר, ואף לחטוף את שיחותיו, ולפני חודש התגלתה בעיה נוספת. כלומר, לא צריך לשכוח כי הפתרונות טובים, אבל צריכים עוד עבודה.

מנגד, צריך לזכור כי הן Haystack והן Diaspora מחזיקות בכספים של הציבור בצורה כזו או אחרת, וחייבים בשקיפות, בנאמנות ובהתמדה שיש לכל אדם אחר, כי הכסף שהופקד בידיהן נועד למטרות טובות, וחזקה שכך יעשה.

4 תגובות ל-“הפרוקסי שיאיר את רמת גן

  1. שתי אנקדוטות מעניינות, בייחוד על דיאספורה שתמיד נשמעה לי מבטיחה (כמו שציינת, לא נראה ש-haystack מבטיחה מה שפתרונות אחרים, פתוחים וחופשיים יותר, כבר מקיימים).

    עם זאת, לא הבנתי בדיוק מה הקשר לנורה שתאיר את כל רמת-גן? איפה הסיפור של הנוכל שרימה את המשקיע התמים מדי בעל הרצון הטוב? בשני הסיפורים הללו חסר אותו הסקס-אפיל.

  2. שגיא,
    לא בטוח שגם בסיפור של רמת גן היה נוכל; מה שכן בטוח הוא ששני הפרויקטים קיבלו מימון מהציבור, ושניהם היו הייפ של יחסי ציבור. בHaystack השקיעה הממשלה האמריקאית לא מעט כסף, ובDiaspora הציבור (כמה אלפי אנשים) השקיעו.

    יש חובת נאמנות כלפיהם, לפחות לדעתי.

  3. אין לי מושג מה הייסטאק ניסה לעשות שTOR לא עשה, אבל לדיאספורה יש עוד הרבה הרבה קילומטראז' כרגע זה רק שלד (ואולי קצת רעוע), ולטענת והגנתם הם אמרו "קוד בספטמבר וגרסת אלפא ציבורית באוקטובר", אז מה שרואים עכשיו זה טרום אלפה שלא ראוי לחרוץ עליו את הדין. אמנם זה עצוב שהילדים האלו אספו $200K ולא יודעים לכתוב קוד מאובטח, אבל אם יש לפרוטוקולים שם את הרעיון הנכון וזה יתפוס (יותר מאידנטי.קה אני מקווה), אני מניח שקהילת המתכנתים כבר תפתור את הבעיות לפני שהקהל הרחב ישחיז שיניו על המוצר.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *