תגית: תוכנות

ההשמצות והלכלוך נגד Huawei

אתחיל את הפוסט בסיטואציה דמיונית: אתם מחפשים בחברה לאחד התחומים המקצועיים מישהו רציני שמבין לעומק בתחום עם נסיון עשיר. כמובן שתוך זמן קצר אתם תוצפו בקורות חיים (80% מהם לא רלווונטיים, 15% מהם עברו "שיפוץ" להתאים למשרה – אך קל להבחין בתחמנות). בסופו של דבר אתם קובעים עם כמה אנשים ראיונות ואת אחד הראיונות אתם קובעים עם גיל. גיל מצליח להרשים בידע הטכני והמקצועי שלו לתחום הרלוונטי ואתם מוכנים כבר לשלוף חוזה ולהחתים את הבחור, אבל מבחינה בירוקרטית, גיל היקר צריך לעבור צריך לעבור עוד כמה ראיונות עם אנשים אחרים בחברה – כח אדם אולי, מחלקת אבטחת מידע, אולי גם איש בטחון (תלוי בעסק שלכם) וכו'.

בסופו של דבר אתם (אתה, האחראית מכח אדם, אבטחת מידע, בטחון, אולי גם המנמ"ר וכו') מתכנסים לישיבה בה מועלים השמות של אלו שרואיינו. אחד אחד מועלים השמות של המרואיינים וכל נציג מחלקה מעלה את הסייגים או ההמלצות שלו/ה לגבי המרואיין/ת, ואז עולה השם של גיל. לאחראית כח האדם אין שום התנגדות, הוא דווקא בחור נחמד, לך יש רק מילים טובות לאמר על גיל מהתרשמות לגביו מבחינה מקצועית אבל לאיש הבטחון יש מה לאמר – הבחור לא מתאים. יש לו "רקע". הוא נחקר בעבר במשטרה. אוקיי, יש נגדו כתב אישום, שפטו אותו? קיבל כלא או משהו? או שסגרו את התיק אחרי שהתברר שאין כלום? לאיש הבטחון אין תשובות אבל הוא לא רוצה שגיל יעבוד בחברה. אז מחליטים – גיל לא יעבוד בחברה.

רצה הגורל, וחודש אחרי זה אתה משתתף בכנס בתחום המקצועי שלך, אתה מסתכל לבמה ורואה מרצה שמוכר לך מהיכן שהוא. הבחור מתחיל להרצות ולהדגים בדיוק על התחום שלך ובשקופית שמציגה את הבחור נופל לך האסימון: זה אותו גיל, שפסלתם. הוא נהיה אחראי בדיוק על התחום שלך – רק בבנק גדול וידוע בארץ. יכול להיות שאותו בנק השקיע 30 שניות יותר לבדוק את גיל והבין מה שהבין ובכך החליט בכל זאת לקבל אותו? סביר להניח.

נעבור מדוגמא מומצאת – למציאות. האמריקאים החליטו להיטפל לחברות תקשורת סיניות בהאשמות שונות ומשונות. זה התחיל בהאשמות נגד חברת ZTE שמכרה, שוד ושבר – טלפונים סלולריים (בסיסיים) לאיראן! ZTE שברה את האימברגו, הממשל החליט לשלול את האפשרות לחברה לרכוש רכיבים אמריקאיים כך שהחברה תקרוס. זה בסוף לא קרה כי בראש הממשל האמריקאי יושב אדם שחולה על ליטוף אגו, אז ZTE עבדה קשות על ליטוף האגו שלו ובסופו של דבר סוכם שה"חברה המסוכנת" ZTE תשלם סכום של מיליארד דולר ותחליף את כל ההנהלה. האישומים עפו דרך החלון החוצה. אגב, חברה קצת יותר ידועה, אולי שמעתם עליה – סמסונג – עשתה ועושה זאת עד היום (מוכרת ציוד סלולרי לאירן). האם הממשל האמריקאי "נכנס" בה? חס ושלום!

נעבור מכאן לחשודה העיקרית – Huawei שמואשמת ע"י האמריקאים בכך שהנהלתה קשורה לשלטון הסיני ומשכך אסור לרכוש ציוד תקשורת ממנה. לא עזרו ההסברים של Huawei שבקשות ריגול מצד הממשל הסיני פשוט ירסק אותה פיננסית, וגם הצעה מצד Huawei להעביר את הקוד מקור של הציודים לבדיקה של חברה חיצונית ניטרלית – נפלה על אוזניים אטומות. מבחינת האמריקאים הם אשמים והאמריקאים הוציאו החלטות לא רק לגופי ממשלה אלא גם לחברות מסחריות לא לרכוש ציוד תקשורת מסחרי של Huawei.

לאמריקאים זה לא הספיק. הם החלו לפנות לבריטניה, לגוש האירופאי ולשאר מקומות עם בקשות לא לרכוש ציוד תקשורת של Huawei בשיטת המקל והגזר: לא תקשיבו לנו? לא נשתף אתכם במידע מודיעי על פעילויות טרור פוטנציאליות ומידע רגיש אחר שמגיע מסוכנויות ביון אמריקאיות אחרות. אגב, לפחות ממה שידוע לי, האמריקאים מנסים לעשות זאת גם פה בארץ.

מדוע בעצם חברות מתעניינות בציוד של Huawei? הרי גם נוקיה, אריקסון וחברות אחרות מציעות ציוד להקמה ותחזוקה של רשתות 5G. התשובה לכך בדרך כלל קשורה לתנאי תשלום ולגמישות של Huawei.

לבינתיים, מדינה אחר מדינה מחזירות תשובות זהות לאמריקאים: תודה על האזהרה, אבל אנחנו נמשיך לעבוד עם Huawei. סוכנות הביון הבריטית ה-GHCQ לדוגמא, קיבלו את הקוד מקור מ-Huawei ולאחר בחינה של הקוד, הם לא מצאו שום דבר שקשור לזליגת תקשורת לסין, והם פרסמו את המידע לסוכנויות ביון אחרות ובאינטרנט. נוסיף על כך את התמונות שפירסם סנואדן שטכנאי ה-CIA "חוטפים" פיזית ציוד תקשורת שאמור ללקוח, פותחים אותו ומשתילים ציוד להאזנה – ואתם יכולים להבין מדוע האירופאים והאנגלים לא מאמינים בגרוש לאמריקאים.

עכשיו – חשוב לי לציין נקודה חשובה: Huawei היא אינה חברה "צדיקה". לפי מידע שפורסם באתרים שונים, הם גונבים קניין רוחני מכל מי שאפשר – החל מאפל וכלה בחברות טכנולוגיות אחרות, אבל חשוב לציין ש-Huawei הם לא היחידים שעושים זאת. זוכרים את התביעות של אפל נגד סמסונג על העתקות בוטות? איך שמכשירים של סמסונג בזמנו היו פשוט העתק של אייפונים? אז כן, הרבה מאוד חברות נמצאות ב"חגיגת הגניבות" הזו.

בסופו של יום, לא מדובר פה בעניין של אבטחת מידע. מדובר בסופו של יום בכך שלחברות יצרני ציוד תקשורת אמריקאיות יכולות "לשסות" את הקונגרס והסנאט במי שהן רוצות שלא ימכור בשוק האמריקאי ובשווקים האחרים – על ידי מימון לובי ב"תרומות". חבר סנאט יקר, נעביר לך בסיבוב 2 מיליון דולר, תכנס את הוועדה ותגרמו לכך שחברה X לא יוכלו למכור ציוד בארץ ובעולם. אפשר לראות דווקא דוגמא הפוכה אצל חברה אמריקאית: חברת SuperMicro (חברה אמריקאית שמייצרת את הציוד מחשבים שלה בסין) הואשמה ע"י סוכנות הידיעות בלומברג כי יש בציוד שהיא מוכרת ללקוחות הגדולים שלה מיקרו-שבב שמאפשר תקשורת לסין. מבחינה טכנית מדובר בשטות גמורה וחברה חיצונית (כמו גם ספקי הענן הגדולים שהם לקוחות של SuperMicro) בדקו את העניין לעומק ולא נמצא כלום – אבל היי, הכי קל להאשים, גם כשיש אפס הוכחות במציאות.

מדובר בסופו של דבר בצביעות: חברות כמו One Plus או שיאומי או Huawei מוכרות מאות מיליוני מכשירים סלולריים כל שנה ומאוד קל להכניס רוגלה במכשירים האלו עוד במפעלים. נו, האמריקאים התריעו על כך או עשו משהו בנידון? כלום.

אז כן, האמריקאים הצליחו לגרום לכך שמבחינת ציוד תקשורת – Huawei לא תצליח למכור כמעט כלום בארה"ב, אבל בשאר העולם – הם בהחלט מוכרים גם מוכרים.

(הערה: לכותב פוסט זה אין מאומה עם חברת Huawei. מעולם לא נתתי שרות לחברה ולא רכשתי ציוד מהחברה).

לסיכום: בין אם אתם בנק, מוסד פיננסי, ביטוחי, או כל חברה אחרת – הסינים (וגורמים אחרים) פוטנציאלית יכולים לפרוץ אליכם. אף אחד אינו מוגן הרמטית נגד הדברים הללו. הדרכים למנוע זאת הן אותן דרכים למנוע זליגת מידע מהחברות: הגדרות של ציוד תקשורת, חומת אש, IPS/IDS, אי כניסת תוכנות זרות לא מורשות ועוד ועוד. גם המכשיר הכי מתוכחם שנעשה בו שינוי על מנת ש"ישדר הביתה" לסין ניתן לחסום אותו דרך ציודים אחרים, כך שלהיכנס לפאניקה בכלל כל מיני פוליטיקאים – אינו דבר מומלץ.

על עלויות תמיכה של מוצרי קוד פתוח

עולם הקוד פתוח כיום נותן מגוון מוצרים הקשורים לתשתיות שונות, Software Defined, וירטואליזציה ועוד, ובמקרים רבים חברות רבות מעוניינות באותם מוצרי פרויקטים בקוד פתוח, ומדוע לא? לבצע Download, להתקין ולעבוד עם זה, בלי עלויות של רשיונות פר שנה, פר שרת, פר חיבור ופר השד-יודע-מה…

להלן מס' דוגמאות של מוצרים:

  • GlusterFS
  • Ceph
  • oVirt
  • OpenStack
  • ManageIQ
  • Kubernetes
  • OpenShift Origin

2 המוצרים הראשונים הם Software Defined Storage, השלישי והרביעי הם מוצרי וירטואליזציה, והמוצר החמישי הוא מוצר לניהול מקיף של תשתיות וירטואליזציה ועוד – מקומית ובענן ו-2 האחרונים הם לניהול קונטיינרים לכל המוצרים הללו נלווית עלות של 0 שקלים כלומר אתה יכול להיכנס לאתרים, להוריד ולהשתמש.

העניין הוא שעם כל הכבוד למוצרים (המעולים לכשעצמם), המחיר הוא יותר מאפס..

כל המוצרים שתיארתי לעיל דורשים ידע והתמחות במוצרים. כמובן אם מדובר בחברה גדולה עם מחלקת IT גדולה (כך שיש מישהו או 2 שיכולים להתמקצע במוצר) אז העלות עצמה היא באמת אפסית, למעט כשיש תקלות או באגים שלא כתובים בתיעוד. מנסיון בתמיכה במוצרים לעיל, אני יכול לאמר שיש לא מעט מקרים שהפתרון היחיד במקרים של תקלות ובאגים זה לפנות ל-Mailing List (או ב-IRC) ולקוות שיש מישהו מהמפתחי מוצר שיכול לסייע, ולפעמים זה יכול לקחת זמן. קרו לי מקרים שקיבלתי פתרון רק לאחר יומיים בערך וקרו לי מקרים על פרויקטים אחרים (שהתקנתי אצלי בבית) שלקח שבוע וחצי עד שקיבלתי תשובה. בשבילי בבית, יומיים או שבועיים לא ממש משנים משהו כי אלו דברים שאני לא מריץ כ"פרודקשן", אבל מה לגבי לקוח שהרים את המערכות האלו ביצור או פרודקשן? זה כבר נהיה מצב לא נעים. יש כמובן אפשרות לפנות לאחת מהחברות שמשחררת את אותו מוצר קוד פתוח כמוצר מסחרי ולרכוש שרות תמיכה חד פעמי פר שעות, אבל אפשרות זו היא לא זולה. כמה לא זולה? זה יכול להסתכם בכמה אלפי דולרים וזה יכול לעלות יותר אם מושיבים מהנדס מאותה יצרנית תוכנה על הבעיה.

לכן, בדרך כלל כשמעוניינים באחד המוצרים הנ"ל לדוגמא, יש לקחת בחשבון שאם אין בחברה ידע מעמיק על המוצר או על מערכת ההפעלה (כמו במקרים שיש רק Windows ב-90% מהתשתית ואין שם אף אחד שמבין לעומק בלינוקס) – יהיה צורך ברכישת בנק שעות תמיכה שנתי על המוצר או על הפתרון ובד"כ מדובר על כמה עשרות אלפי שקלים (בין 15K ל-40K, תלוי במוצר, תלוי אם מדובר רק בתחזוקה או בהקמה, תלוי בכמות שעות ותלוי ממי רוכשים והאם יש באמת ידע לעסק שמציע פתרון או שמדובר בעסק שחותך מחירים ולוקח מישהו מהודו כך שרוב הרווח עובר אליו ולא להודי) כך שאם אין בחברה ידע – המוצר כבר לא ממש "חינם".

מצד שני, לאלו שכן רוצים לרכוש את המוצר המסחרי ומוכנים לשלם את המחיר, מומלץ לחלק את העבודה ל-2 ואת ההקמה/הטמעה להוציא למישהו חיצוני (ולא ליצרן, כמו במקרים של רד-האט, אלא אם בא לכם לשלם כמה מאות דולרים לשעה!) ואת התמיכה אתם תקבלו במסגרת רכישת התוכנה.

נקודה נוספת וחשובה כשניגשים למו"מ לגבי בנק שעות מול מי שיתן לכם שרותי תמיכה/תחזוקה/הטמעה – תוכנות כמו שציינתי לעיל משתנות מהר מאוד, בערך פעמיים בשנה אותם פרויקטים יוצאים בגירסה חדשה, ואם לא קיימת גירסת LTS (כלומר Long Term Support) או שיש פונקציות חדשות שאתם צריכים מהגירסה שיצאה זה עתה, תצטרכו לשקול שדרוג, ובד"כ מומלץ להכניס זאת בחוזה.

לסיכום: בין אם אתם בנק או חברת ביטוח או קופת חולים או אפילו סטארטאפ קטן שרץ על חצי שרת וירטואלי – תוכנות קוד פתוח עוזרות (ויכולות לסייע) המון ויכולות לחסוך המון כספים. יחד עם זאת, תוכנות כמו התוכנות שציינתי לעיל (והם דוגמאות ספורות, יש פרויקטים הרבה יותר מורכבים) מצריכים ידע רציני ונסיון כדי להקים אותם בין ב-PoC/פיילוט או הקמה לטסטים/פרודקשן/יצור. עלויות של יועץ/מטמיע חיצוני הן יותר זולות מרכישת המוצר הרשמי ואין צורך לשלם פר ציוד, אך יכולים להיווצר מצבים שהתמיכה תהיה פחותה במעט בכל הקשור לתקלות הקשורות לבאגים מכיוון שאין SLA מול יצרנית התוכנה עצמה וכדאי לקחת זאת בחשבון.