כפתור פראנויה לכל כיס

YubiKey 4 keychain and YubiKey 4 Nano

אמ;לק: סקירת מוצר שיוסיף לכם שכבת הגנה על חשבונות מקוונים וגם על המחשב האישי. זו תהיה כתבה ראשונה בסדרת פוסטים על אבטחת מידע בסיסית לישראלי המצוי, למרות שהפוסט הספציפי הזה אולי לא מיועד ממש לכולם כי הוא עוסק בחומרה יעודית שעולה בסביבות $50 (כולל משלוח) ולא תוכנה זמינה וזולה/חינם.

יותר מחצי שנה לא כתבתי פוסט, למעשה כמעט 8 חודשים אני חושב. המון חדשות חולפות בקצב מסחרר ואי אפשר להתעמק בכלום, וגם החלפת מקום עבודה מוריד מהזמן הפנוי לכתיבה של יותר מציוצים בטוויטר. אם אתם לא עוקבים, חוק הזיהוי הביומטרי עבר והחל מיוני כולם חייבים לתת טביעות אצבע ופנים. מי שישלם כופר מיוחד יוכל להשאר מחוץ למאגר (אם אתם באמת מאמינים שלא ישמרו לכם את תביעת האצבע אחרי שיכתבו אותה לשבב בתעודה), אבל יצטרך לעשות את זה פעמיים בעשור במקום פעם אחת. ההמשך עכשיו יכול להיות אחד משלושה עיקריים: או שהפניה שלנו לבג"צ תצליח והמאגר יבוטל מתישהו ב-2018, או שיהיה מהפך בחירות וקואליציה חדשה תחליט למחוק את השרץ, או שהגזרה תשאר, ועד 2022 (2027 למי שרץ להחליף תיעוד במאי) כל הישראלים שישארו פה יאלצו להשתדרק למאגר. בינתיים כבר היו דליפות בהודו וסיפורים מסוכנים אחרים, אז נחיה ונראה. על עדכונים של פאדיחות הבית הלבן אני גם לא ארחיב, אתם בטח צופים כמוני בסטיבן קולבר ביוטיוב.

היום אני רוצה לספר לכם על הצעצוע החדש שלי, יוביקי 4. כל מי שמכיר אותי, יודע שככל שנכנסתי בשנים האחרונות לתחום הזכויות הדיגיטליות, אני יותר ויותר מתעניין בתחומי הצפנה, זיהוי והזדהות, סיסמאות חזקות וכדומה. זה רק אספקט קטן מהעולם הזה, וכמובן לא משנה כמה חזקה הסיסמא שלכם לפיכסבוק אתם עדיין צריכים להיות אחראים למה שאתם מפרסמים שם. בכל מקרה כדאי גם שלא יגנבו לכם את החשבון עצמו, ולכן אני ממליץ תמיד:

  • סיסמאות ארוכות וקשות, ושונות לכל אתר.
  • כמה ארוכות וקשות? כאלו שבחיים לא תזכרו, בשביל זה יש מנהלי סיסמאות. על זה כנראה פוסט נפרד בעתיד.
  • אם השירות מציע אימות כפול, הפעילו אותו תמיד! יוצא דופן – אימות באמצעות סמס, זה כנראה חלש ובעייתי מדי, ומאלץ אתכם לתת לשירות את מספר הטלפון שלכם, אז לשיקולכם. חפשו בהגדרות המשתמש שלכם, יש אלפי אתרים שתומכים.
  • כדאי להחליף סיסמאות פעם בשנה, אבל אפילו אני לא עד כדי כך קדוש. החליפו כשיוצא לכם.
  • אפשר לסנכרן סיסמאות ושאר מידע בין דפדפנים באמצעות Chrome Sync או Firefox Sync/Weave אבל לבחור במקרים כאלו סיסמת הצפנה ארוכה וקשה, אפילו 64 תווים, שתשמר כמובן מוצפנת במנהל הסיסמאות שלכם.

כמה מילים על אימות כפול, או אימות בשני פקטורים: אחד הדברים הראשונים שמוגדרים בפרוטוקול זיהוי (ולא משנה אם אנחנו מדברים על סיסמא לאתר או כשאתם מתיישבים מול הפקיד בבנק) הוא הגדרת שיטת הזיהוי, כששיטות אימות הזיהוי מתחלקות ל3 קטגוריות כלליות: מי אתה, מה אתה יודע, ומה יש לך.

מי אתה – זה לרוב זיהוי ביומטרי, הבעיות איתו שאת חלק מהמדידות הביומטריות יקר למדוד או קל לזייף, ובמיוחד זה לא שונה מול כל גורם, ולכן אם היכולת להתאמת במקום אחד דלפה, הרי שהיא טובה לאחרים שסומכים על אותה השיטה. זה שווה ערך לסיסמא לא חזקה, שכתובה בצורה לא מוצפנת בכל מיני מקומות שאתה מסתובב בהם, שניתן לזייף ואי אפשר להחליף. רעיון גרוע. הצעתי היא שאם ספק השירות נותן בחירה, אל תסתפקו לעולם בזיהוי ביומטרי כאמצעי זיהוי ראשי. לא מול משרד הפנים או רשויות המס, לא טביעת האצבע לפתיחת הטלפון, לא להפעיל חתימה אלקטרונית במחשב, לא טביעה קולית מול השירות הטלפוני של הבנק, כל אחת מהשיטות האלו כבר הוכחה כקלה לזיוף.

משהו שאתה יודע – זו לרוב סיסמא, ובמקרים הפחות מוצלחים: תאריך יום הולדת, קוד סודי מגב כרטיס האשראי, תאריך ההוצאה של תעודת הזהות האחרונה שלך, מספר תעודת הזהות, שם הנעורים של אימא, שם חיה או מורה או בי"ס ראשון וכיוצא באלו דברים שקל לגלות עליכם ע"י בילוש או כיוס.

משהו שיש לך – תעודה בלתי ניתנת לזיוף, אם ע"י שימוש בשיטות ייצור סודיות וייחודיות ואם ע"י חתימה דיגיטלית, או אולי מפתח כלשהו שלא ניתן לשכפל. כשאני אומר מפתח עולה לכם אולי בראש מפתח פלדלת או ייל, אבל את אלו כבר שכפלו כי הופיעו בטעות בתמונה. הסיפור הכי מצחיק היה כשסוכני TSA הצטלמו ברוב היבריס עם צרור המפתחות שלהם שפותח כל מנעול מזוודות בשוק, ואנשים מיהרו להעתיק את המבנה מהתמונות, וכמזה שנתיים אפשר להוריד את כל המפתחות מגיטהאב להדפסה בתלתפסת ביתית. לא, אני מתכוון למפתחות הצפנה פיזיים, כלומר מעין התקן USB עם מעבד קטן וזכרון שאי אפשר לקרוא, וניסיון למעקף פיזי של ההגנות אמור להרוס אותו ללא שוב. כאלו יש מספר מוצרים בשוק ואחד היצרנים הבולטים הוא Yubico. אני סוקר את המוצר שלהם כאן כי אחרי שלמדתי את הנושא ברשת הגעתי למסקנה שזה אחד משניים-שלושה הכי מעניינים, מגוונים ונגישים, ואין לי שום קשר איתם מעבר לזה (וכמובן לא קיבלתי מהם מוצר או טובות), ולכן קניתי אותו. יש להם אפילו יבואן רשמי בארץ אבל אחרי שקיבלתי מהם ספאם, העדפתי לשלם את המחיר המלא של הזמנה מחו"ל (אמזון או הריסלר הזה). שווה להציץ, לפעמים יש להם סייל 50% הנחה ליום-יומיים.

אימות כפול, או אימות מרובה, הוא כזה שמשתמש ביותר משיטה אחת מאלו שפירטתי, ובמיוחד עדיף שלפחות משתי קטגוריות שונות. ((אפשר לדון פה פילוסופית אם ה־‏Google Authenticator שלי, שמגובה כל יום וניתן לשחזור במקום אחר הוא באמת משהו שיש לי או שהוא מידע ולכן משהו שאני יודע, אבל לצורך הפשטות, לרוב המוחץ של האוכלוסייה, זה נופל תחת משהו שיש לי.))

המוצר עליו אדבר פה הוא חד פעמי ולא ניתן לגיבוי או העתקה, ולכן הוא בגדר משהו שיש לי. לא אכנס כאן לכל הפרטים הטכניים הקטנים, אבל רשימת הדברים שעושה הכרטיסון הקטן הזה היא מרשימה:

  • מול אתרי ווב יש לי את שירות U2F שמזכיר את יישומון Google Authenticator רק שלא צריך להעתיק שישיות ספרות ולא ניתן להעתיק את הסודות ע"י יישומון זדוני (מצד שני, אי אפשר לגבות, לטוב ולרע…)
  • משמש לפתיחת כספות סיסמאות כמו Keepass או LastPass.
  • הוא יודע לעבוד במוד challenge-response מכמה סוגים, שמאפשרים לי למשל לאבטח את הלפטופ שלי כך שלוגין פשוט (בקונסול, GDM או מנעילת מסך) ללא הכרטיס תיחסם (מודול PAM ששולח לו צ'אלנג' ורואה שהוא מחשב אותו נכון ואז מאשר גם לפי הסיסמא). לחלונות ומאק יש אפשרות דומה.
  • בשיטה אחרת גם פתיחת ההצפנה של הדיסק (root on LUKS) לא תתאפשר בלי שהסיסמא תעבור פיענוח דרך הכרטיס.
  • הוא יודע להצפין ולפתוח מסרים עם מפתח RSA של GPG עד 4069 ביט (2048 בלבד בגרסת Yubikey NEO של ההתקן, לצערי).
  • משמש אמצעי אימות לחיבור SSH, אם ע"י שמירת המפתח הסודי או דרך אימות PGP שעד לאחרונה לא הכרתי אפילו שקיים.
  • הוא יודע לחתום על Docker Images (לא בגרסת NEO) למי שזה מעניין אותו.
  • הוא יודע לייצר קודים חד פעמיים מסוג HOTP (אין לו שעון פנימי, אז אין TOTP בלי תוכנה מסייעת).
  • האתרים שכרגע אני עובד איתם בעזרתו: חשבונות גוגל השונים, גיטהאב, בלוגים מבוססים וורדפרס.
  • אתרים בהם אני לא משתמש אבל תומכים: סיילזפורס, פיכסבוק ודרופבוקס.
  • אתרים שהייתי רוצה לעבוד אתם אבל לא תומכים (בינתיים): פייפאל, בנקים ישראליים, חברות ביטוח ובריאות, אמאזון, טוויטר, ובעצם כל אתר אחר שאני נכנס אליו עם סיסמא.
  • רוב התוכנות והדרייברים פתוחים וברישיון חופשי, אפשר גם לבנות שרת אותנטיקציה משלך לשרתים אחרים ועוד המון אפשרויות לאנשים פרטיים וללקוחות תאגידיים.

שו"ת

זה לא פרנואידי?
למשתמש פרטי כיום, קצת. בעתיד אולי כבר לא. כדאי להתחיל להכיר או להתרגל.

להצפין את הדיסק? זה לא מעמיס את המערכת?
עם LUKS זה מובנה בקרנל, לחלונות ומאק יש משהו דומה, המחיר אחוז או שניים. אני לא ממליץ על ecryptfs שאובונטו מציעה להצפין אתה רק את ספריית הבית, זה פוגע בביצועים הרבה יותר. התחלתי לעשות את זה כשעבדתי בחברות שעסקו במידע רגיש, אצל מעסיקים אחרים הסתכלו עלי כמשוגע ובסוף באו להתייעץ איתי כשהמחשב הראשון נגנב מהמשרד או כשנציגים התחילו לצאת לשטח ולתערוכות ועלה הפחד שיגנבו סודות מקצועיים. אז כאמור לדעתי היום זו חובה שלא עולה הרבה לממש.

אני בונה היום אתר, להשקיע באימות כזה למשתמשים שלי?
גם TOTP-2FA וגם U2F – לדעתי כן, במיוחד אם האתר שומר פרטים אישיים של כרטיסי אשראי, בריאות מטופלים ועוד כיוצא באלו. יש ספריות חופשיות שקל לשלב, ולמערכות כמו וורדפרס, דג'נגו, ג'ומלה, רובי-או-ריילז ואחרות יש כבר מודולים מוכנים לקטיפה מהעץ, אז חבל להתעצל!

למה יוביקי 4 ולא גרסת הנאו?
טעם אישי. היוביקי 4 תומך במפתחות טיפה יותר גדולים, הוא טיפה יותר זול, קוד ה-PGP שלו פתוח בגיטהאב. לרוב האנשים גם הנאו יהיה מצוין, והיתרון הגדול שלו הוא NFC שעובד עם אנדרואידים שיש להם רכיב תקשורת תואם. אם רוצים להשתמש ביוביקי 4 (ללא NFC) על אנדרואיד, אפשר בעזרת כבל OTG, או לטלפונים חדשים, חיבור ישיר USB-C בדקם יוביקי החדש).

יש מתחרים ראויים?
יש כמה. חלקם יתנו U2F בלבד בפחות מ$10-$20, חלקם יקרים מאוד אבל עושים דברים נוספים כמו לשמש כארנק קריפטומטבעות (למשל Trezor ואחרים) ויש גם אופציות "האקריות" פתוחות כגון OnlyKey שמוסיף שכבות הגנה כמו סיסמא, פיצ'רים כמו השמדה עצמית וכדומה. יש מצב שאקנה כזה בעתיד, למרות שהוא נראה פחות עמיד מכנית לשבירה ושפשופים.

התוכנה צרובה ולא ניתנת להחלפה? אז מה אם יתגלה באג אבטחה?
כבר קרה פעם אחת, וכל הלקוחות קיבלו מפתח חדש עם קושחה מעודכנת. זה חלק מהשירות (והמחיר). אי האפשרות לעדכן את הקושחה זה פיצ'ר מתוכנן במכוון, כדי לא לאפשר החלפה לתוכנה שתגלה את המפתחות הסודיים ששמורים על המפתח.

כבר יש לי כזה מהמעסיק
אם המעסיק נתן לכם התקן כזה שישאר שלכם לשימוש אישי גם אחרי שתעזבו – כיף לכם! גוגל, פייסבוק וחברות טכנולוגיה אחרות עושות את זה. השתמשו בזה חופשי גם לחשבונות פרטיים!

אבל זה בעצם כרטיס חכם! יש לי כזה מרשות המסים ובתעודת הזהות החכמה החדשה!
כן ולא. יש על הכרטיסים האלו מעבד מספיק חזק לכל אלו ככל הנראה, ויכולות להזדהות בפרוטוקול כלשהו מול הממשלה יום אחד, אבל לא קושחה פתוחה שמאפשרת את כל הטוב שעליו כתבתי לעיל. אם הייתי שר הפנים, אחרי שהייתי מבטל את המאגר הביומטרי, הייתי מעביר נותן לכל הציבור תעודות חכמות עם היכולות האלו מובנות שישמרו עליהם ביום-יום. לצערי לא נראה לי שזה יקרה בזמן הקרוב.

למה לא כתבת פוסט כבר המון זמן?!
כי הייתי עסוק, וכי אף אחד לא שאל למה לא כתבתי כבר המון זמן, אז אולי מסתפקים בפרסונה הטוויטרית שלי…

אם יש לכן עוד שאלות, שתפו בבקשה בתגובות. אם זה מספיק מעניין לכלל הקהל, אולי אענה פה בגוף הפוסט.

קריפטוכסף

ביטקוין עשה קצת רעש בחודשים האחרונים – בורסות שנפרצות, כסף שנגנב, פוליטיקאים שנלחצים… מצד אחד מדובר רק במספרים ברשת שלא מוכרים ע"י אף ממשלה, ומצד שני גם משהו מרעיש שגורם לבנק ישראל ודירקטוריונים של בנקים להבהל ממנו כמו אבולה ולשבת בלילות להבין מה לעשות איתו ונגדו.

רבות נכתב על זה, אני הייתי מאוד ספקן בהתחלה וחיכיתי שזה יתמוסס בצורה מאכזבת או יתפוצץ לאנשים בפנים. אח"כ חשבתי שזה סתם למשוגעים לעניין שרוצים "לשחק בבורסה" בלי להמר על כסף אמיתי, ובסוף כבר פחדתי להכנס כי מרוב חדשות על גנבות ופריצות אתרים (שלא לדבר על קפיצות ערך ספקולנטיות) זה לא נראה לי בכלל הגיוני לגעת בזה במקל ארוך.

אבל ככל שנוקף הזמן אני רואה שהקריפטוקוינז כאן להשאר, אז כספקן הבנתי שיש להתנסות. שיחקתי עם זה כחודש ואני אחלוק אתכם את דעתי הקטנה על הנושא. כדי ללמוד עוד על הצד הטכני (שאדבר עליו רק מעט) אפשר להתחיל באתר קריפטוביט בעברית, ומשם לכל אחד ממאות אתרים ובלוגים או ערוצי יוטיוב בשביל שפות אחרות.

אז מה הם ביטקוין וקריפטוקוינז בכלל?

מדובר בכמה טכנולוגיות מתמטיות מעניינות מתחום ההצפנה והרשתות המבוזרות שבשלו וחוברו להן יחדיו. היוצר של הקריפטוקוין הראשון והמפורסם ביטקוין נותר אלמוני, אבל מאז שוכללו השיטות ויש כרגע מאות קריפטוקוינים אחרים ברשת, למעשה קל מאוד לייצר לעצמך מטבע, לרוב זה רק חסר פואנטה כי אם אין שוק משתמשים, לא יהיה לזה ערך.

זה נכון לכל סחורה, הרי. היא שווה יותר או פחות לאנשים שונים. גם לכסף הרשמי של המדינה יש ערך רק בדמיון של המשתמשים בו. יתרה על זאת רק כ־5% מכמות הכסף היא שטרות נייר (יותר יקרים מסתם נייר אבל עדיין לא שווים את ערכם הנקוב), ומטבעות, וכל השאר מספרים שהבנקים מריצים על המחשבים שלהם. כל פעם שהבנק מלווה לך או נותן לך קרדיט מעבר ל־0, הוא למעשה יצר כסף, ולמרות שיש גבול לכמה כסף שמותר לבנק לייצר, זה כבר גרם להתמוטטיות בעבר.

אז מה שנותן לקריפטוקוין את ערכו הוא רק האמון של אנשים בבטיחות ההצפנה והשיטה. כדאי להבין אם כן במה מדובר פה. החלק הראשון והפשוט של פרוטוקול ביטקוין הם ה"ארנקים". זה מצחיק לקרוא להם ככה כי הם לא באמת מכילים כסף, הם רק כתובת שאפשר לשלוח אליה כסף. הכתובת הזו היא החלק הציבורי של זוג מתחות פרטי-ציבורי. חשוב להבין את זה שהשליחה היא חד כיוונית, אפשר לשלוח כסף לכל מפתח ציבורי חוקי (ויש מספר עצום של כאלו) ואף אחד לא צריך לשבת בצד השני וללחוץ על אישור קבלה. שלחתם כסף למספר לא נכון? כנראה שהלך הכסף. בגלל השיטה המתמטית, מאוד קשה לייצר מפתח פרטי בצורה מכוונת, כך שהמפתח הציבורי שלו יהיה זהה לזה ששלחתם אליו. אם זה היה אפשרי, כל אדם שהיה מכיר את המפתח הציבורי שלכם כבר היה יכול לגשת לכסף ש"יש בארנק" ולבצע איתו תשלומים. ושוב להבהיר – הארנק לא "מביל כסף", הוא צמד של מפתח סודי וציבורי, וסכום הכסף ש"יש בו" הוא סכום העסקאות שהתבצעו ממנו ואליו לאורך הבלוקצ'יין עד היום. זה אומר שבכל תוכנה או אתר שבהם תעלו את המפתח הפרטי, אפשר לסחור עם הסכומים של אותו הארנק, כי אין הבדל אמיתי.

וכאן אנחנו מגיעים לשאלה של ביצוע העברות הכסף. אם יש לי מפתח PGP ציבורי של מישהו, אני יכול לשלוח הודעה מוצפנת לאדם אחר, אני יכול גם לפרסם ברשת את ההודעה ורק אותו אדם יוכל לקרוא אותה. אני יכול גם לשים את זה בקובץ עם עוד הודעות אחרות וכל אחד יוכל לעבור על כל הקובץ ולקרוא רק את ההודעות המיועדות לו. עכשיו דמיינו שהקובץ הזה לא יושב על שרת אחד אלא ברשת שיתוף קבצים בסגנון ביטטורנט ותתחילו להבין עם מה אנחנו מדברים… החצי השני הוא חתימה דיגיטלית – רק מי שבידו המפתח הסודי יכול להורות על העברה בשם הארנק המדובר, וכל מי שיראה את פקודת ההעברה (כל אלפי מחזיקי הבלוקצ'יין וכוריה) יראה שזה אכן בשם בעל הארנק.

אם כך, ברשת יש קובץ שתופח ותופח (נכון להיום הבלוקצ'יין של ביטקוין הוא כ־25 גיגה והוא גדל כל הזמן) ומכיל את כל פקודות העברות הכספים (וסוגי מידע שונים, על זה בהזדמנות אחרת), הקובץ חתום ע"י המשתמשים עצמם בצורה שאפשר לוודא שהמידע שם אמין, ותהליך החתימה הלא-פשוט הזה מזכה אותך בתשלום (בביטקוינז כמובן). בקיצור יש לנו משאב מוגבל, שאי אפשר לשכפל אותו, אי אפשר להכנס איתו למינוס, מצד שני גם אי אפשר לבטל בו עיסקאות (אין גוף מרכז העברות תשלום שיכול לשלוח יד לארנק מקבל התשלום ולהחזיר משם את הכסף כמו תאגיד אשראי או בנק). מצד שני כל ארנק שמקושר לשמך כבר איננו אנונימי – מי שיסתכל על הבלוקצ'יין רואה את כל הפעולות שביצעת – כמה כסף נכנס ויצא, ממי ואל מי. שקיפות מוחלטת, ואם חיברת את מזהה הארנק לשימך, אז למעשה גם שום פרטיות (לדוגמא, הנה הארנק של התרומות לתנועה לזכויות דיגיטליות). הפעולה היחידה שמצריכה התערבות שלך היא שחרור הודעת העברת תשלום, ומרגע ששיתפת את הפקודה הזו ברשת המבוזרת, אין חזרה. אם עבדו עליך או ששלחת לכתובת שאף אחד לא מחזיק במפתח הסודי שלה – הלך הכסף.

בעיות טכניות עם הרשת הזו – אין גלגול עסקאות לאחור, ניהול ארנק מקומי משמעותו להוריד 25GB של חומר לפני שתוכל להשתתף בעולם המסחר הזה, וארנק בפיקדון אצל צד ג' (למשל אתרים כמו BlockChain או בורסות כגון קראקן) משמעו לסמוך על צד ג' כלשהוא שיחזיק אצלו את המפתח הפרטי שלך בצורה מאובטחת, למשל מוצפן בצורה שרק הדפדפן שלך יפתח אותו בצד הלקוח ולעולם לא יהיה שמור בצד השרת). אחרי כן יש את השאלה של זכירת סיסמאות (לרוב אם שכחת את הסיסמא, הלך הארנק ואיתו הכסף). ואז לבסוף שאלת המחשב הפרוץ – אם אתם משתמשים באתר כמו בלוקצ'יין ממחשב נגוע בוירוסים ורוגלות, צ'כחו מהכסף.

בעיות חוקיות – אלע"ד, אבל מדינות עכשיו יושבות ותוהות מה לעשות. בארה"ב יש מדינות שרוצות שסחר בקריפטוכסף יהיה רק למחזיקי רשיון (הצחיקו אותנו, איך אוכפים את זה?) ושטויות דומות נשמעות ממקומות אחרים. מצד אחד החלפת נכסים דיגיטליים כמוה כבארטר, ולא כל בארטר הוא חוקי בכל מדינה (המדינה רוצה מס הכנסה על הכנסות ומע"ם על עסקאות, כנ"ל מיסי מתנות/ירושות וכולי). בקיצור, שאלות פתוחות, וכאן מדובר בכסף גדול. מה זה גדול? ענק.

בעיות כלכליות – השוק הזה מאוד ספקולטיבי. היום מעט מאוד אתרים מקבלים ביטקוין, ועוד הרבה פחות מקבלים לייטקוין. בדרך יש עוד מטבעות דור שני מתוחכמים כמו נקסט ואחרים שמאפשרים טיפה יותר שליטה במערב הפרוע, שירותי אסקרו והלוואות מתוזמנות וכל מיני פיצ'רים, השאלה אם זה לא הופך את הכלכלה המתפרעת במערב (את דעותי על מחלות הקפיטליזם חפשו בפוסטים אחרים) לעוד פחות בת קיימא ועוד פחות יציבה? זו מערכת ששום יד לא מכוונת אותה מנקודות תכנון ורגולציה מרכזיות, רק שגיונותיהם של ההמונים הבלתי מאורגנים. בקיצור, בלגנים. אני כמי שדוגל בכלכלה בת קיימא, שמאפשרת עתיד חברתי ושפוי מבחינה אקולוגית, לא רואה בזה תופעה טובה, מצד שני אני גם לא חושב שניתן למנוע את התופעה או לשים אותה בזמם באינטרנט החופשי (ושאני רוצה שישאר חופשי). מבינתי זה דיסראפטור מוגזם בכוחו הפוטנציאלי, ולא חסרים הליברטריאנים דה מי קולו ששים לקפוץ על העגלה הזו (ולגנוב את הסוס). אני חבר בעמותות שמקבלות תרומות ביטקוין, אני אפילו פתחתי בבלוג עמוד תרומות בקריפטוקוין, אבל אני לא מתכוון להמיר יותר מדי כסף פיאט מהעו"ש לקריפטו ולנסות לדפוק קופה על ארביטרציות. אם אחזור להיות עצמאי, אני לא חושב שאסכים לקבל ביטקוין כתשלום. אני לא בטוח שארגונים חברתיים כמו הבר קיימא חשבו מספיק על ההשלכות כשהתחילו לקבל תשלום בביטקוין.

לסיכום – אם יש לכם הרבה אומץ ואמונה בצמיחת השוק הזה ואבטחתו, וקצת הבנה באבטחה בסיסית של סביבת העבודה שלכם, התפרעו לכם בשמחה. אם אתם מפחדים מוירוסים, לא מסתובבים עם סמארטפון או לא סומכים על עצמכם עם אבטחה וטכנולוגיה צעירה וקופצנית שכזו, אולי שווה עוד לחכות טיפה. בכל מקרה כרגע היא זמינה ונוחה רק למי שמרופד טכנולוגית ומקוון תמיד, זה לא פתרון לעולם השלישי או לאמא שלי או לרוב האנשים שאני מכיר סביבי. אני מאמין שהבארטרים האלקטרוניים האלו ישארו באיזור אבל לא יחליפו בקרוב את הכסף המסורתי. אל תעבירו לשם את הפנסיה.

תוצרים מעניינים

גם אם זה לא מחליף כסף פיאט, יש לזה שימושים מעניינים. ראשית הקונספט של הבלוקצ'יין שהולך ומתנפח לו במקביל במאות אלפי שרתים ומחשבים ורואה את ההיסטוריה בצורה אמינה ובדיוק בל ימחק, זה לא יעזוב במהירה. אנשים כבר משתמשים בטכנולוגיה כדי לחתום שם קריפטוגראפית על מידע שחשוב בו מימד ההוכחה לבעלות ובזמן, אפשר עם זה לקבוע חזקה על נכסים אינטלקטואליים (למשל קופירייט על יצירה או בעלות על נכס אלקטרוני), ליישם חלפנות מבוזרת בלי צורך באתרי "בורסה", להעביר מסרים ולאור כל אלו, מפתחים גם מטבעות יותר מתוחכמים מעל בלוקצ'יינים, מערכות "טאבו דיגיטלי", שרות שמות (DNS) מבוזר ואפילו טוויטר מבוזר. הרשימה עוד ארוכה.

טלפון מהבנק

התקשרו אלי מהבנק, אומרים לי שהם רואים שאני עובד אצל (כך וכך) כי משם נכנסת כל חודש משכורת, ושואלים אותי מה תפקידי שם.

למה? כי הם "מעדכנים נתונים במחשב".

אבל מה אכפת לכם מה אני עושה שם, אני שואל שוב. נעניתי שבנק ישראל הוריד הוראה לאסוף את הנתונים האלו, אחרת בראשון לאוגוסט מקפיאים תנועות בחשבון. אז מה תפקידי בחברה?

אמרתי שלא עניינם אם אני מהנדס או מנקה רצפה, שזו חוצפה מצד בנק ישראל לדרוש דברים כאלו, שאני מכניס משכורת נאה ולא נכנס למינוס ומעבר לזה זה לא צריך להיות להם אכפת, ואני מבקש שלא יעדכנו את הרישומים שלהם, כי אני מת לראות מה יקרה לחשבון שלי בראשון לאוגוסט. בשלב זה הפקידה נכנסה ממני ללחץ, טענה שאני תוקף אותה (חבל שזה לא מוקלט) והודיעה לי שהיא תעדכן "עובד חברה" וזהו. ביקשתי ממנה שנית שלא תכתוב שם כלום כי אני מרותק לראות מה יקרה בראשון לאוגוסט, אבל היא נדרשה ע"י מנהלת הסניף לנתק ולהפסיק לבזבז זמן על הנודניק.

מה דעתכן?

מושג הכסף הולך להשתנות או להעלם

מתוך התגובות בפוסט הקודם על קיימות, שם כתבתי:

אנחנו חיים בתקופה שצריכים פחות ופחות ידיים לבצע את העבודות שיש לבצע. אני לא חושב שאפשר ברצינות להלחם באבטלה בימינו. זה לא שאפשר להמציא באמת מקומות עבודה או שצריך. המשאבים מנוצלים עד תום, יותר מדי אפילו, מיוצרים מספיק מצרכי יסוד ומזון, אין באמת צורך בידיים עובדות, יש רק צורך של בעלי ההון שאנשים יוכלו לשלם על המוצרים האלו כדי להחזיק את הכלכלה בהנשמה מלאכותית, ויש צורך של האזרחים המובטלים בהנשמה מלאכותית של כסף כדי לקנות לעצמם אוכל, רווחה ובריאות. אם כל כך הרבה דברים הם מלאכותיים, אז למה בעצם להמשיך להחזיק אותם בהנשמה? יותר ויותר מקומות עבודה יוחלפו במכונות, יהיה אוכל לאנשים אבל לא תעסוקה או כסף לקנות אותו, משמע שכל השיטה שמתגמלת בכסף על עבודה צריכה להיות מוחלפת במשהו אחר.

במילים אחרות, קפיטליזם היום מבוסס על נדירות הכסף, אבל כרגע הבעיה היא נדירות מקומות התעסוקה, והבעיה לעולם תחריף כי הטכנולוגיה מתקדמת ומייעלת את הייצור. לכן האבטלה תגדל, וכל עוד מבססים את רווחת הפרט על יכולתו להשתכר, המערכת תתפורר.

במערכת שמתכננת לפי עתיד שכזה, מבינים שמושג הכסף הולך להשתנות או להעלם.

המערכת היום מתגמלת מי שטוב בניהול השקעות, מימון ושיווק, לא את מי שטוב בלהביא רווחה לאנשים, רוחנית/נפשית או פיסית, או לקדם את הידע האנושי. המדען אולי ירוויח טוב, אבל המהנדס יותר ומנהל המפעל שהופך את הפיתוחים שלהם למוצר ירוויח הכי הרבה. המערכת הנוכחית גם מעודדת רווחים מיידיים על פני השקעות לטווח ארוך, יוצאת מהנחה שכל מי שרוצה לעבוד יכול למצוא תעסוקה, ושמשאבי הטבע אינסופיים. אם נגיע למקום שבו ההנחות האלו נמוגות (ולדעתי אנחנו כבר עמוק אחרי ההתנגשות רק שמצליחים לכסות אותה כרגע בבועה אחרי בועה), הרי שאין מנוס מלשנות את כל המערכת הכלכלית. לא לסוציאל דמוקרטיה של מיסוי עשירים וסיבסוד העניים, אלא תפיסה חדשה כלשהיא של חלוקת משאבים, ערך לעבודת כפיים וכולי.

אני גם לא מדבר על חזרה לכלכלת בארטרים ובנקאות בינאישית, אלא ממש מעבר למרכיב יותר גדול של כלכלת מתנות, דגש על חזרה לקהילתיות במקום השגיות עסקית, או אולי לחלופין התמוטטות וכאוס חברתי אם זה לא ישתלב בתרבות והממשל בצורה נכונה.

מה דעתכם?

בנק לאומי ויתר, קולבר הגיע לסיפור ההדבקות דרך הדואר

עדכון אחד משמח: בנק לאומי החליט שכנראה יש מספיק דעות שליליות נגד פרויקט הריאליטי המכוער שלו, והחליט לסגור את הבאסטה.

עומר כביר צייץ:

לאומי מפסיק את פרויקט 2 מיליון סיבות. לאומי כותב: "מצאנו את עצמנו בלבה של ביקורת ציבורית, שפגעה גם בעמותות. מספר עמותות פנו אלינו באומרן כי האווירה שנוצרה מזיקה להן. כתאגיד הקשוב לדיאלוג עם הציבור הגענו למסקנה כי המודל שאימצנו לא השיג את מטרתו. כיוון שכך, החלטנו שטוב נעשה אם בשלב זה נפסיק את הפרויקט" לאומי יחלק את הכסף בכל זאת – כל 139 העמותות שלקחו חלק בפרויקט יקבלו 10 אלף ש' כל אחת; שאר הכסף – למיזמים אחרים.

ובהמשך לפוסט הזה על חיסונים:

לאומי מכה שנית

זוכרים את המבצע המגעיל של לאומי משנה שעברה? הפעם הם מעלים את הסכום המעליב ממליון לשניים. זה מגעיל אותי, את יובל דרור, את חנן כהן ואני מניח שעוד הרבה אחרים. במקומות הראשונים גם בולטת תנועת אם תרצו, למרות שהתחרות לא אמורה לכלול תנועות פוליטיות.

רק שני פוסטים אחורה קראתם לכם לעזור לתנועת "אביב לניצולי שואה" ואני פתאום מקבל מהם בקשות לעשות להם "לייק" כל יום. מצד אחד אני כועס על הבנק שמאלץ אותם לרקד ככה (במיוחד עם ההיסטוריה של בנק לאומי וכספי ניצולים), מצד שני אני עם חנן ולא אוהב שהעמותות מוכנות לרקוד את הריקוד המשפיל הזה שוב, ומצד שלישי מרתיח אותי שאם אשב ואסרב להשתתף, יגיע חצי מליון ש"ח ל"אם תרצו" במקום לאנשים שמגיע להם (בי"ח לילדים או שורדי שואה וכולי). במילים אחרות, יש כאן בעיה מוסרית שאני שונא להיות בה. אני לא יודע להגיד עדיין מה אני עושה, אני רק מבקש שאם אתם מחליטים לשחק את המשחק, ולא משנה אם כדי להריע לאנדרדוג המועדף שלכם או כדי לדחוק למטה את "אם תרצו", אני מקווה שתבחרו עמותה עם מטרות טובות שבאמת מגיעים לה התקציבים האלו, שלא ילכו למשכורות מוגזמות או תנועות פוליטיות.