לא בוואקום

הארץ רעשה וכל מהדורות החדשות (גם אלו שהביביסטים אוהבים להגדיר כשמאלניות) כשמזכ"ל האו"ם אנטוניו גוטריש אמר שהתקפת החמאס לא קרתה בוואקום. אני באמת לא מבין למה אנשים מתרגשים. ברור לכל אדם שלא נמצא בוואקום בעצמו, שזו עוד חוליה בשרשרת ארוכה של היסטוריה. כל העם ואחותו גם תופסים את הראש ובוכים על ההתפרצויות האנטישמיות בעולם המערבי, ולמה קוראים לנו קולוניאליסטים, ומה עשינו רע לביורק ואנג'לינה? ואיך רק בונו ופינק לצידנו? הרי פעם כל כך העריצו אותנו ובאו להתנדב בקיבוצים, ופתאום אנחנו צריכים להסביר לעולם שאנטי ציונות זו אנטישמיות ו…

עצרו הכל. אתם באמת תמימים?

לא, אין לי מושג אם גוטריש רומז שאנחנו התגרינו בחמאס. התגרות איננה המילה הנכונה, אנחנו מימנו ועודדנו אותו, ביבי התגאה בטריק הגאוני שלו של משחק באש. הקונספציה ההזויה שלו שאפשר להאכיל את המפלצת, ולהזריק לה סטרואידים, ועדיין לשמור אותה בכלוב – כדי לא לקדם פתרון קבע עם עבאס, לא לאפשר לברגותי להעלות מולו אופוזיציה\ירושה ראויה, או חלילה כל אופק אחר של תקווה. זה לא קרה בוואקום, זה קרה בחישוב קר ומדוקדק ביוזמתו ועידודו של ראש הממשלה הכי כושל שהיה פה אי פעם. חוץ מלשלוח להם יוצאי סיירת מטכ"ל שיאמנו את הנוח'בה אישית, עשינו בשבילם את הכל. הדם גם על הידיים של כולנו שלא הצלחנו להעיף את ביבי מאז שמזוודות הכסף והחומרים הדו-שימושיים התחילו לזרום לרצועה.

אבל הקהל הישראלי עדיין יוצא ללחום ברשת חמוש בנרטיבים נאיביים\מיתממים להפליא של hasbara: אנחנו אנשי שלום, אין כיבוש, אין אפרטהייד, אין גזענות, אין אצלנו ריקוד על הדם, אין טיהור אתני. רצח עם? אנחנו? עוד רגע אני שולף עליך את השואה מנרתיק המותן!

(כן, אם יש שתי מילים בעברית שכל אמריקני מכיר אלו shalom ו־hasbara, אנחנו בוכים למה ההסברה לא עובדת, הנה פוסט שאומר שאי אפשר להסביר בדיבור מעשים שצורחים ומדממים)

ועכשיו לקש ששבר לי את גב הגמל והוליד את הטור הזה: סרטון ביקורת ביוטיוב, אחד ממליון אולי, לא שום דבר בולט. באסם יוסף היה כוכב ענק במצרים ונאלץ לברוח כמו פליט כשעצבן את השלטון טיפה יותר מדי. שני ראיונות איתו אצל פירס מורגן, הטמבל השמרן, הפכו לויראלי בטיוב. או אז שלח לי חבר לינק לסרטון תגובה של אחד רועי יוזביץ', לא הכרתי את השם ולא טרחתי לברר מה הרקע שלו, מהתוכן והכיפה אני מנחש שנוטה ימינה ולא מתנגד לכיבוש. בסרטון ניכר שהאיש גם לא מתנגד לכיבוס. הוא מפרק את "השקרים של באסם", חלקם אכן עיוותי מציאות ועליהם לא התווכחתי, אבל חלק מהתגובות שלו מיתממות והבנתי פתאום שאנשים באמת מאמינים לנרטיב הזה ולא כהצגה, אז התחלתי לענות לו ביוטיוב, בסוף זה פשוט הופך לפוסט. אתם מוזמנים לצפות או רק לקרוא ישר את התגובות, ההקשר ברור מהתגובה שלי.

03:05 אולי לפני 50 שנה כשנולדתי, ציונות באמת הייתה רק "זכות היהודים לאוטואמנציפציה ומדינה משל עצמם". אבל בזכות מפעל ההתנחלויות שהפך בתפיסה העולמית למפעל ההתנכלויות, המילה ציונות נחטפה ומשמעותה היום היא מאוד שונה, היא נתפסת כתורה גזענית שפולשת לטריטוריות פלסטיניות ומממשת טיהור אתני כחלק מהאידאולוגיה. מה שאולי נתפס יותר כציונות דתית או משהו כזה.

אני בא מהציונות שלא מאמינה ביציאה מגבולות 67, כמו, אני מניח, כל הקיבוצניקים הוותיקים ואנשי עוטף עזה, החיים או הנרצחים הטריים. אנחנו נגד הכיבוש, בוודאי ובוודאי נגד יישובים יהודיים בתוך השטח הזה, שמעולם לא סופח לישראל. אני רואה בעובדה שהקמנו שם "עיר" ויישובים תקיעת אצבע מתמשכת בעיני האו"ם, האירופים, האמריקנים וכמובן הפלסטינים. זו גם הסיבה לכך שב־50 השנה האחרונות ישראל הפכה ממושא להערצה על עצמאות לדוגמה והפרחת השממה – לטפילה הגדולה בעיני העולם המערבי, כובשת, מטהרת אתנית, אפרטהייד.

וזה בלי שאזכיר את זה שמעט האנשים שעוד קוראים לסיום הכיבוש הפכו למיעוט מטריד אפילו בתוך המחאה של 11 החודשים האחרונים, והלכו אתם מכות. לי קוראים היום אנטי ציוני כי אני בעד פינוי ההתנחלויות. אם זו הציונות, תקיעת אצבעות בעיני הפלסטינים והציונים הישנים, אז קראו לי פוסט ציוני. אני לא אוהב את זה, אבל אני מקבל שזו המציאות שנכפתה עלי.

להתעלם מכל זה ולהגיד "למה שונאים אותנו פתאום, היהודים מסכנים רק רוצים מדינה!", זה להתעלם מהמזרח הפרוע שקורה ביו"ש, שם באמת יש טיהור אתני זוחל, ולא בכדי קמים ארגונים אלימים מאז שירד אש"ף מארגון טרור לארגון פרוטו-מדינה, כי אנחנו אלימים כלפיהם.

בקיצור, חלאס עם ההיתממות.

06:00 פלורליזם במדינה שלנו נדרך ונרמס פה כבר 25 שנה ובמיוחד בשנה האחרונה, על מה אתה מדבר? אני מכיר אנשים שהיו בהפגנות חוקיות לגמרי באירועים כמו מחאת 2011 או בשנה האחרונה ועדיין נעצרו ונחקרו במשטרה או קיבלו צו לא להופיע חודש להפגנות, או שזיהו אותם במצלמות עם תוכנות ביומטריות בקיץ 2011 וזימנו אותם למשטרה לפני קיץ 2012 כדי לשאול אותם "מה הם מתכננים". היום המצב עוד גרוע בהרבה, כשראש הממשלה ושריו מסיתים שנה נגד אזרחים וגם עכשיו בזמן מלחמה שנולדה ממחדליהם עצמם כשהיו עסוקים בפגיעה קשה בפלורליזם. זו מדינה מאוד חופשית אבל עדיין רחוקה מדמוקרטיה אמתית. להציג את זה ככה בסרטון זה מירוק האמת.

07:20 לצערי כן, אני רואה שמחה בין מתנחלים כשיש פעולות בשטחים נגד פלסטינים, ורק השבוע אנשים רקדו ושמחו עם חנן בן ארי ונרקיס ששרו על מחיקה וכיבוש עזה (הריקה כמובן מאנשים, אלא איך) ויישובה מחדש. או הסרטון הזה של ליאור נרקיס ובטח יש עוד שאני לא רוצה להכיר.

זה כבר לא קומץ נערי גבעות חוגגים תג מחיר בחתונה השנאה, מחיקת עזה משום מה בקונצנזוס, ורואים לכם את זה לאורכה ורוחבה של הרשת. אנשים אפילו לא מתביישים לדבר על המשיחיות של ארץ ישראל השלמה כאילו זה דבר של מה בכך. "שתי גדות יש לירדן, זו שלנו זו גם כן" זה כבר פאסה, עוד מעט ידברו בגלוי על "עד הפרת והחידקל".

פירוש מסורתי, חסר כל ראיות, על גודל ממלכת שלמה. אנשים אשכרה חולמים לחלוש על השטח הזה "שוב".

בשלב הזה, ד"ר יוזביץ' ממשיך לפרק את טיעוניו של באסם וגם כמה אנשי קש ממוחו, וזה פחות מעניין. מה שרציתי להגיד בעצם זה שישראל לא קמה ככובשת וגזענית אבל זו בהחלט לגמרי הנקודה אליה הגענו כי אלו העמדות שנבחרות לכנסת ברוב קולות שוב ושוב כבר עשורים. אל לנו להתלונן שככה אנחנו נתפסים בעולם כי את התדמית הזו הרווחנו בזיעת אפינו, בלי וואקום, ומתוך המדיניות של הממשלות שאנחנו הקמנו, עוד הרבה לפני שמינינו זוג פושעים מורשעי טרור שהוקאו משירות בצה"ל לשליטה באוצר ובמשטרה. בן גביר בשבוע האחרון לא רק חילק כלי נשק ארוכים לכל אחד שיש לו דופק (כולל לפושעים ידועים לפי מה שמתפרסם ברשתות!) אלא גם טרח לשלול את רשיון הנשק של קצינים במילואים ששנים משמשים בכיתות משמר, מה שיאלץ אותם להפקיד את אקדחם האישי במשטרה. אם הממשלה הזו לא תפוזר בהקדם תהיה פה מלחמת אזרחים עם פצועים והרוגים, ואני מזהיר מראש את המשפיענים ברשת, תהיה לכם עוד יותר עבודה והרבה פחות קלה.

נועה תשבי עושה hasbara, צילומסך מיוטיוב

מילה אחרונה בהקשר זה לקוראת נועה תשבי. את יושבת ברשת ובאולפנים וטוענת להגנתנו שאכפת לנו מהפלסטינים, שמגיעה להם מדינה. את עושה את זה בעודך עונדת את ארץ ישראל השלמה על הצוואר, כולל עזה, יהודה ושומרון. זה גורם למסרים שלך להיות סותרים. לדעתי השרשרת הזו עושה לכל המסרים שלך נזק ואני לא מבין למה זה טוב. אי אפשר להתלונן שנים על המסרים הסותרים של ערפאת ועבאס באנגלית מול ערבית, ואז לבוא עם מפת ישראל הזו על הצוואר ולהגיד שאת לא בעד טיהור אתני, זו "משרוקית כלבים" לפי הספר.

מילכוד 972

אני כותב ברשתות החברתיות אבל אני לא מרגיש שיש לי מה לכתוב פה משהו חדש כי הכל שלילי. אני מתקשה לראות אופק וזה לא כי השתלט עלי דכדוך או כי אני בגיל משבר אלא דווקא כי אני מנסה לנתח את הדברים בחשיבה ביקורתית. לפחות ניסיתי. אני הערב קצת שבור מביטול הסבירות, השפיות, האמפתיה וההגיון הבריא. מה יקרה עכשיו? בג"ץ לא נגע עד היום בחוקי יסוד. אבל אם יבטלו את השינוי בחוק, מיליציות הימין יתחילו מלחמת אזרחים קטנה (עוד יומיים תשעה באב, בול בזמן), ואם הם ימנעו מלבטל, תקרוס הכלכלה ויתמוטט הצבא. בין לבין הקואליציה תמשיך לפרום את המציאות העדינה וסביר שתבוא מתקפה מכיוון צפון, ולא ברור איזה צבא חלקי יתגייס. קשה לי לשמור על אופטימיות כבר שנים אבל מאז ינואר המצב מתדרדר ומאיץ. מקארתיזם, פאשיזם, הכל על האש.

ז'בוטינסקי צדק

כיוון שמרכז המריבה מסתמן כהכרעה כוחנית של הסתירות בין המדינה הדמוקרטית לבין המדינה היהודיסטית, אני ממליץ לכם בחום לצפות בסדרת "חילוניות" של מודי וענת. הפרק הראשון במיוחד מדבר על השורשים החילוניים של המדינה. הרוויזיוניסטים לא היו מוכנים לחתום על מגילת העצמאות אם יופיע שם אלוהים, ולכן נכנס "צור ישראל" בתור פשרה. המון פשרות היו שם. לא קמה חוקה אז התפשרו על חוקי יסוד. לא קם פרלמנט אז התפשרו שהאסיפה המכוננת תמלא את מקומו. קם צבא חובה אבל השאירו כפשרה פתח לפטור קטנטן "בינתיים". הכל "סמוך" ופרטאץ'. אפילו הנכבה בוצעה ביעילות מחרידה אבל לא תועדה יותר מדי כדי שזה לא יציק בעין ובכליות, רק נחסל ונכסה ובשבוע הבא נהיה מוסריים ודמוקרטיים כמו שתמיד התכוונו. לא פלא שגם חירות הביטוי לא בחוק, שאפילו החקיקה לא בחוק. 75 שנה ואנחנו עדיין חיים את ה"עוד מעט יסתדר הכל". אז לא, זה לא יסתדר. הרוב הדמוקרטי של הציבור הופך למיעוט. לא מלמדים כבר דמוקרטיה בבתי הספר הממלכתיים 20 שנה, ויותר ויותר ילדים לא לומדים אזרחות כלל.

מנקודת המבט שלי, כשהרצוג מנסה למצוא פשרה בין ביבי ובין גנץ-לפיד אנחנו כבר הפסדנו. זה ימין מול ימין, וזו כבר לא פשרה בין פחות ויותר דמוקרטיה, זו פשרה בין פחות דמוקרטיה (מצב הפשרה המתמשך) לבין אוטוקרטיה (או קלפטו-תיאוקרטיה, או מה שתרצו לקרוא לזה). הסיבה היא שהמצב שהיה לפני הבחירות הרי 74 שנה כבר היה פשרה. הרי לא התחלנו מעולם מדמוקרטיה בתור בסיס אלא מפשרה בין ימין (מדינה יהודיסטית) לשמאל (מדינה חילונית דמוקרטית עם צביון ותרבות ישראליים). כן, הרוויזיוניסטים של אז ייחשבו כמעט לשמאל סוציאליסטי היום (זוכרים את חמשת המ"מים?). אני חושד שז'בוטינסקי היה מוצא היום יותר הסכמה עם מרצ מאשר עם הליכוד.

כל ישראל ערבים בעיקר לעצמם

מחנה המתנגדים, כוח קפלן ושאר הארגונים, מדברים על דמוקרטיה אבל לא עד הסוף. כרגיל את האזרחים הערבים מזמינים במחשבה שניה אבל מבקשים להצניע דגלי פלסטין, אז הם הפסיקו לבוא. בערב אחר יצאו פה גוש ההתנגדות לכיבוש להפגין כמו כל ערב והותקפו פיזית, באלימות, על ידי מפגינים אחרים. לא עקבתי אם התוקפים יטופלו על ידי המשטרה אבל תומכי מחאה כמו עוזי ברעם ביקשו מהמפגינים המותקפים להצניע את המסרים. מאוד פלורליסטי. השבוע המחאה עלתה ברגל לירושלים, ואיך פתחו את יום ראשון על הבוקר? בתפילה בכותל. אני מבין לגמרי את הצורך לעשות ריקליימינג ליהדות השמאל, ולהראות אחדות מול דתיים ומסורתיים שתומכים בדמוקרטיה, ולארגן תפילות ללא הפרדה מגדרית, אבל מצד שני דמוקרטיה זה בשאיפה הפרדת דת ממדינה, ואני לא סגור שזה היה שייך. לכמה אתאיסטים יותר לוחמניים ממני זה נראה כמו אפולוגטיקה במקרה הטוב. המחנה לא משכיל לאחד מסרים ולאחד פלגים, וזה מקטין אותו.

אז על מה כן היינו צריכים להלחם? מדינה דמוקרטית לא מחזיקה עם אחר כבוש. לא כאוטונומיה ולא בכלל. זה פשוט לא מוסרי גם אם היינו כובש נאור, ואנחנו ממש לא. מדינה דמוקרטית לא מזניחה חלשים, זקנים בכלל ושורדי שואה בפרט. מדינה דמוקרטית לא משמידה את מוסדות הרווחה וזורקת אנשים לרחוב. יש כל כך הרבה סיבות בעד אבל במחאה נלחמים בעיקר על הנגד. לא מציגים חזון מוצק ומשכנע לפחות בשליש מהחזון הסדור של הצד השני. זה כשל עצום בעיני.

ועל מה נלחמים הלוחמים?

לצידם של האזרחים הרגילים מפגינים לוחמים. טייסים ולוחמי סייבר אמיצים שאומרים שהם יפסיקו להתנדב למילואים כי פתאום השולחים שלהם עשויים לשלוח אותם למשימות לא מוסריות ונגועות בשיקולי זרים. "נשבר החוזה הקדוש!!" הם זועקים, אבל אחרי שתי דקות שיחה מתבררת אמת יותר אגואיסטית – הם מפחדים לצאת לחו"ל שמא יעצרו. אה… איפה הייתם עד עכשיו? סירבתם פעם לפקודה בלתי חוקית? הפריע לכם משהו בעבודה היומיומית כשתקפתם מטרות עם "לא מעורבים" שנפגעו מסביב? אנשי מודיעין – האזנתם לארגוני הצלה אזרחיים כאלו היו עוד טרוריסטים? אולי סיפרתם לעצמכם שהמדינה תגן, בשיטת ה"סמוך", ויצליחו לעצור תביעות על פשעי מלחמה בעזרת קצת חלקלקות לשון וכמה עסקאות נשק, ועכשיו פתאום אתם מפחדים לקבל זימון להאג?

ההפיכה המשטרית מעבירה אחריות מהמדינה ללוחם, ומתעצמת אחריותו למוסריות של מעשיו. אלא שהטייסים המאיימים בהפסקת שירות אינם מוכנים לקבל עליהם אחריות זו.

יגיל לוי, הארץ

כשטייס אומר שפתאום הוא יצטרך לבדוק את הפקודות הוא אומר שעד היום הוא לא דאג להתכס"תח כשנתנו לו פקודות מפוקפקות. הוא לא מדבר על ערכים, הוא מדבר על זה שפתאום תיפול עליו האחריות ושיקול הדעת שמקודם הוא שמח לטאטא הצידה. אז יש לי חדשות, העתיד כבר כאן, האיחוד האירופי הכריז לפני כמה ימים שישראל ופשעי המלחמה שלה לא יזכו יותר להתעלמות. במילים אחרות אירופה כבר היום לא רואה אותנו כמדינת חוק יותר. אין לנו מערכת משפטית שהם מרגישים שאפשר לסמוך עליה. כל לוחם צה"ל יכול להפוך לנאשם בפוטנציה. מהבחינה הזו, רגע האל-חזור של המילואימניקים המודאגים כבר קרה לפני שבוע. האירופים כבר הסכימו במעשה אם לא במילים ישירות, שאנחנו כבר עכשיו פחות מדמוקרטיה. מבחינתי זו התחלת הסוף. מזל טוב לבן-גביר ולסמוטריץ', הצלחתם.

אז אם מחר ייבחר גנץ? אפשר עוד לתקן?

ראשית אם פתאום תיפול הממשלה ונצא לבחירות וייבחר גנץ, זה עדיין מרכז עם ימין ליברלי מול ימין משתולל שונות. לא תחזור פתאום מדינת הרווחה. לא ייפתרו בעיות האמון עם ארה"ב, לא יחזרו המשקיעים, מוחות לא יפסיקו לברוח (ואני לא מדבר על הייטק, אלא גם אקדמיה ורופאים). יש להניח שלא יצליחו להקים אפילו חוקה צרה, קשה לי לדמיין שהמדינה תעלה פתאום על פסים דמוקרטיים ותנעל שם, ההפיכה המשטרית נדחתה אולי בקדנציה או שתיים אבל היא תשוב, ואם לא ינעלו חוקי יסוד נגדה שדורשים רוב של 80 ח"כים לשנות אותם, אין לנו שום תועלת בדחיה קטנה בלבד.

ולבסוף: גם אין עתיד סביבתי

כשהתחלתי לכתוב את הפוסט לפני שבוע ביום שלישי-שיבוש, בשעה 9:30 בבוקר, הלחות היתה כבר מעל 75%, הטמפרטורה חצתה את ה־30 וברחבי גוש דן אנשים התחילו את פעולות השיבוש כבר בשעה 7:30 ולא מתכוונים להפסיק לפני השקיעה. התחזית לעשרת הימים הקרובים היא 34-35 בתל אביב, ועד 37 בירושלים, וזה בקיץ בסוף מחזור האל-ניניה. ב־3-4 השנים הבאות יפול עלינו אל-ניניו ואני לא רוצה לדמיין אפילו לאיזה חום נגיע בקיץ הבא. ישראל כבר חיה על 90% מים מהתפלה כי גם מי התהום נוהלו פה בשיטת "סמוך", מערכת החשמל שלנו מתוחה עד כדי הפסקות יזומות מדי פעם, אבל אנחנו עדיין מעודדים יהודים לעלות לפה, עדיין מעניקים מענקים ללידות שלישית ורביעית וחמישית, והפלסטינים מצדם עדיין לא ויתרו על זכות השיבה. לישראל נגמר כושר הנשיאה, כבר עברנו את נקודת הקיימות מזמן. אנחנו חייבים לייבא מזון כי אין מספיק שטחים פתוחים באקלים נוח, מים לחקלאות ואוצרות טבע. אנחנו יותר טובים מרוב העולם בשימוש במים מושבים וכל מיני פטנטים אבל עד מתי? לטעמי כבר עכשיו חם וצפוף מדי והמגמה רק תתחזק. עד סוף העשור המדבר ימשיך להתקדם צפונה לפחות קילומטר בשנה לפי מקורות מומחים, והטמפרטורות יכולות להגיע גם ל40 מעלות בגוש דן. החיים פה לא יהפכו ליותר נוחים או שפויים. היום יש ימים שבהם אני לא מעיז לצאת מהמזגן, אבל מעבר לחום מסוים גם מזגן לא מסוגל לקרר. זו כבר לא שאלה של מי יתאפק ולא יעבור מפה, זו שאלה של איך ישרוד בחיים מי שישאר.

התדמית של עולם התכנה החופשית על פרשת דרכים

תוכנה חופשית היא דבר נפלא. אני מאוהב ברעיון כבר כ־28 שנה מאז גרקתי אותו לראשונה. ארגנתי קהילות ואירועים להפצת ידע על ואודות חופש התוכנה, ואי אפשר לזרוק היום אבן באף ענף כלכלי בלי להתקל בתוכנה חופשית רצה איפשהוא על שרת, עמדת חיוב כרטיסים בסופר וכמובן שכל האינטרנט וכל כיס מריצים תוכנות חופשיות למכביר. אין סטארטאפ שמתחיל היום בשוק וממציא לבד את כל הגלגלים, אם זה בתוכנה, ביולוגיה או כל תחום הנדסי, אתה תלוי בתוכנה, אם זה באסטרונומיה או מכונות CNC, תוכנה חופשית היא לפעמים החנות היחידה לשאוב ממנה את הכלים הדרושים למקצוע. מצד אחד אין להתעלם, ומהצד השני אין מנוס מלהשתמש. ההתנחלות הזו בלבבות וברשימות התלות של תוכנות היא חרב פיפיות, ובחודשים האחרונים אנחנו רואים כמה צרות שמאיימות על עתיד הקהילה.

אולי המכה הכי גדולה למוצר תוכנה היא נטישה שתוביל ל"רקבון ביטים". תוכנה שלא מתעדכנת לא מקבלת תכונות חדשות אבל גם לא נסתמות בה פרצות שמתגלות. אם יש לה עדיין משתמשים אז דברים ישברו, ובכל פעם שמשהו בעולם התוכנה החופשית נשבר ומשפיע על production של חברות מסחריות, התדמית נפגעת. לאחרונה אני רואה כמה ארועים שבאו ברצף:

  • חזרתו של RMS להנהלת המוסד לתוכנה החופשית הבאישה את המוסד בעיני רבים, והחלה נטישה מדודה אבל מורגשת של תורמים (אני בינהם) ופרויקטים בולטים, חלקם עמודי תווך של פרויקט GNU.
  • מוצרים כמו טראוויס ו־Docker שפתאום אינם בחינם יותר לפרויקטים רבים של תוכנה חופשית בשל שינוי מדיניול – מצב זה שובר הפצה של תוכנה חופשית קיימת, ועלול לגרום לאותם מוצרים לאבד משתמשים ותדמית. במקרה של טראוויס זה אומר שהרבה פרויקטים של תוכנה חופשית יאלצו לעשות בדיקות שכבר היתה להם אוטומציה בצורה ידנית או להתחיל לשכתב מחדש תהליכים כדי לעבוד מול כלי אחר, או להנטש ולהפוך לעוד גופה ללא עדכונים.
  • מפתחים כמו מארק סקוויירז שהחליטו על "שברו את הכלים ולא משחקים" בצורה שיורה לעצמו ולכל הקהילה ברגל ומערערת מאוד את בטחון המשתמשים. היו עוד לפניו אבל הספריות שלו הן מרכזיות ובולטות.
  • חורים אדירים שהתגלו בשנים האחרונות בכלים מרכזיים ונפוצים, כגון Log4Shell, Heartbleed, Shellshock ואחרים.
  • יש פרויקטים שנטשו או השאירו בבלגן פרויקטים ישנים אצל גיטהאב כשמיקרוסופט קנתה אותה, אבל זה כנראה מיעוט.

תזוזה קטנה ועוד אחת, מתי נענועי הסירה יהפכו אותה? הפחד שלי היא לולאת משוב ענקית שבה פתאום חברות יפחדו להשתמש במוצרים חופשיים או לתרום להם, מה שיגרום לאיבוד רוח מהמפרשים של מפתחים מתנדבים. בנקודות כאלו כדאי לזכור שהמתנדבים לא ממש מקבלים הרבה גב, חלקם אפילו לא יודעים איך לשווק את הפרויקט או לקבל תרומות גם אם ירגישו שנכון להם לבקש. המקרים של מפתחים כמו מארק סקוויירס מדאיגים אותי מאוד: בוקר אחד קם אדם ואומר לעצמו שלא משלמים לו מספיק אז הוא יתקע לכולם מקל בגלגלים (אני אפילו לא יודע אם הייתה דרך למישהו לשלם לו לפני שהתחיל להשתולל). בתגובה לא בלתי מוצדקת נחסמו לו חשבונות אצל גיטהאב ו־pypi. יש לי כמה דברים לומר למפתחים שהחליטו לפרסם קוד ברישיון פתוח – ראשית ציינו בצורה ברורה מה תנאי הרשיון (אי ציון רישיון ברור מטילה עליכם את האחריות אם למשתמשים נדפק משהו, וברירת המחדל איננה "נחלת הכלל"), ושנית היו מוכנים שיהיו לכם הרבה משתמשים מסחריים. אם לא מקובל עליכם, אל תירו לעצמכם ברגל, פצלו את הפרויקט לגרסא פתוחה ואחת סגורה בתשלום או כל דרך אחרת. לדחוף קוד ששובר את הספריה שלכם מבטיח גם נטישה של משתמשים וגם איבוד האמון בכם לעתיד, וכמובן פותח פחת לתביעות משפטיות אם הרישיון שלכם לא מצוין נכון.

ורק כדי להיות ברור: יש המון חדשות טובות בקהילה הזו, הפחד שלי הוא מהתדמית בעיני משתמשים מסחריים, שהפכו לחשובים מאוד בתהליך הפיתוח של כלים קטנים לפעמים. הקרנל של לינוקס ופרוייקטים מסביבו עדיין חיים ותוססים ושיפורים קורים השכם והערב.

ומה הפתרון? אין לי תשובה. גם ככה הרשת שלנו הפכה בעשורים האחרונים לריכוזית מדי. כל הקוד העדכני בגיטהאב. כל הידע הטכני בסטאק אוברפלו. הרשת החופשית שהתאהבתי בה כמעט כבר לא קיימת, כשכל הידע והתקשורת קורים בין הכתלים של 10 חברות (אני נדיב) ולא בעשרות אלפי אתרים מבוזרים. אם מחר גיטהאב משנה תנאי רשיון, או סטאק אוברפלו פושטת רגל זו מכה רצינית מאוד לקהילת המשתמשים. אני למשל מחזיק בבית תלתפסת שכל הידע של קהילת המשתמשים שלה היה בגוגל פלוס, ויום אחד פשוט הוסר בלי יכולת לגבותו כראוי, ורק אחוז קטן ממנו שוחזר אח"כ לאתר עצמאי אחר.

מוזמנים לתת את דעתכם ופתרונותיכם פה בתגובות, רק אל תתחילו למכור לי בלוקצ'יין. דברים ישימים בלבד 🙂

עוד פרויקט שלא אגיע אליו: עוזר חכם ובית חכם

האם אתם רוצים מערכת כזו? התשובה מורכבת.

כן, זה נחמד לשבת בעצלנות על הספה ולהגיד "הי גוגל, תדליק לי דוד", או אפילו להדליק אוטומטית את הדוד ברגע שיצאתי מהעבודה ע"י נתינת קואורדינטות של המשרד ליישומון IFTTT ולתת לו להקשיב לGPS.

לא, זה לא נחמד שכל מילה שנאמרת בבית מוקלטת ונשלחת לשרתים של גוגל או אמאזון (אלקסה) או מוקרוסופט (קורטנה) וכולי. זה גם לא חכם להשקיע בציוד שמייקר את החיים בבית והופך אותך תלוי ביצרן או משהו. למשל זו הסיבה שלא אקנה נורת פיליפס HUE בעשרות דולרים כי כשהיא נשרפת אני צריך למעשה לקנות נורה ומחשב קטן. אני מעדיף לחבר ממסרי SONOFF ולשלוט בהם בעצמי. כמו כן, אני לא אחבר בקרוב את מנעול הדלת למערכת ממוחשבת. אני לא ממליץ לסמוך עליה בנקודות אבטחה, אבל אפשר להסתפק במגע בנקודות הנוחיות.

אני לוקח רגע ומפרק מערכת ממוצעת כדי לסבר את האוזן למי שלא מכיר את הטכנולוגיה שמאחורה. בגדול יש כאן כמה רכיבי תוכנה תפורים ביחד כדי לגרום לקסם לקרות:

  1. יש מיקרופון והמחשב שמאזין לו, מנסה לבטל רעשי רקע ולהתמקד במה שעלול להיות דיבור.
  2. אח"כ תוכנה אחרת שבודקת אם זה אכן דיבור ומתרגמת אותו לטקסט. זה אולי הרכיב הכי מתוחכם במערכת ונחמד שיש אופציה או שתיים ברישיון חופשי (אבל כרגע אני די בטוח שזה עובד רק באנגלית, ולא יעבוד בעברית בקרוב. מקווה שלא תהיה בעיה עם זיהוי מבטא לא ילידי 🙂
  3. אחרי שיש לנו טקסט אפשר לפענח ממנו את הפקודה גם אם לא נאמרה בצורה תקנית אחת. כלומר "התראה עוד שעה" או "בבקשה כוון לי תזכורת בעוד שעה מעכשיו, תודה" הם שני משפטים שונים למדי אבל המחשב צריך לזהות את שניהם. הרכיב הזה והרכיב הקודם הם הרכיבים שקורים בענן של גוגל או אמאזון או מיקרוסופט שאותם אני רוצה להביא אל תוך הבית.
  4. בשלב הזה אפשר להפעיל מיני תוכנות וסקריפטים (מייקרופט למשל קוראים לזה "כשרונות" והקהילה פיתחה כבר כ-140 כאלו), כאן מגיעה ההתממשקות עם MQTT ורכיבי חומרת Sonoff השונים, או גישה לרשת כדי לדבר עם חשבון הגוגל שלכן כדי לבדוק איש קשר או לדחוף ארוע ליומן, וכיוצא באלו.
  5. לבסוף לאשר או להחזיר משוב למשתמש בצורת רכיב אחר שהופך תשובת טקסט לדיבור, מסנטזים כאלו יש הרבה בשוק – היה לי אפילו על אפפל ][ עם 64K זכרון, לצערי האיכות התפתחה מעט מאוד מאז בתוכנה פתוחה. מקווה שישתפר בעתיד.

התכוונתי (וויתרתי בגלל סיבות) לשחק עם עוזרים חכמים פתוחים. נתקלתי באינדיגוגו של מייקרופט (גיבוי עסקי לא יכול להזיק). כמו כן גיליתי שיש פרויקט בשם Jasper שכבר לא זז שנה ועוד אחת מליסה, כנראה גם אחרים.

מה דרוש? כרגע סבלנות וחוש טכני. כמו שלא לכולם מתאים לפרמט את האנדרואיד ולהתקין LineageOS, או ללמוד לקנפג קודי, וכולי. זה פרויקט לסקרנים, עקשנים, שאין להם בעיה לבנות ולהלחים כמה דברים לבד. הנה המידע שאספתי והפרמטרים שהייתי בוחר להתחיל איתם אם הייתי הולך על הפרויקט.

  • יש ארגז כלים נאה (וחופשי! ופתוח!) ללינוקס, זה אומר שזה יכול לרוץ על התחנה הביתית שלי (שהיא גם שרת המדיה) או על מכשיר שיבנה סביב Raspberry Pi וישב עם מיקרופונים בסלון, מטבח, חדר שינה וכיוצא באלו. בצד המנשק האנושי יש את מייקרופט וכלים אחרים, בצד השליטה על Sonoff ורכיבים אחרים של בית חכם יש את Home Assistant, שיודע לעבוד גם עם גוגל הום, אלקסה ודומיהם.
  • עוד לא ברור לי אם הרספי מספיק חזק לנתח דיבור או שהוא צריך להיות מגובה במחשב חזק יותר או שרות מקוון. המטרה שלי בפרויקט היא כמובן לא להוציא פיפס מהבית לשרתים של אחרים, אז אני מתמקד ביכולות שנשארות על הרספי והמחשב הביתי.
  • אני אשמח אם המערכת תדע לזהות קולות שונים של בני הבית ולתת לכל אחד את התזכורות והתשובות שרלוונטיות אליו.
  • מלבד שליפת תשובות מהרשת ולענות על שעה ומזג אוויר, רצוי לבדוק התממשקות לבית חכם. השם הפופולארי בתחום הוא Sonoff, ששולט על כיבוי והדלקה של קווי חשמל 220V, 10A או 16A. יש מכשירים עם דימר, חיישן חום ולחות או הרחבות אחרות. יש התקנים ששולחים IR כדי לשלוט על טלוויזיה או מזגן וכולי.
  • למה Sonoff? הם זולים, זמינים בעלי אקספרס ובכל מקום, ויש להם כמה וכמה קושחות פתוחות ברשת. כשקונים אותם מקבלים אותם עם קושחה שמכוונת לדבר עם שרתי החברה, שזה כמובן BIG nono בסיסי בשבילי, אבל עם קצת מאמץ צורבים קושחה חלופית ותופסים פיקוד.
  • יש פרויקט הפצת עדכוני קושחה לכל הבית החכם בעזרת כלי בשם Resin, אם אתם עוסקים באוטומציה לעננים, אומרים לי שזו המקבילה לPuppet או Chef לעולם ה־IOT.
  • כדי לדבר עם כל ההתקנים האלו, קיים תקן MQTT, שזה מעין שרת תורים מפושט. הפיקוד משאיר להתקן הודעה בתיבת הדואר וההתקן בא לאסוף. שרת MQTT שכזה יכול לרוץ מקומית (למשל בשרת Home-Assistant על הרספי) או ברשת למי שרוצה לעשות את כל זה בממשק על Google Home בלי להתקין סייען פתוח.

קריאה לעומק של תשובות מייקרופט לתומכי הקיקסטארטר ושל תנאי הפרטיות שלהם שכנעה אותי שהם לא עומדים בדרישות הפרטיות שלי בתצורה הנוכחית שלהם. בגדול הם "מתכננים" גרסא מקומית של רכיב ה־STT (דיבור לטקסט) שתרוץ על מחשב לינוקס או חלונות אבל זה עוד לא שם, ובתלות ברכיב שיבחרו, יכול להיות שזה ידרוש GPU חזק כדי לבצע את הניתוח בצורה מהירה ככל הניתן. מנתח ה־STT הנוכחי שלהם לא מספיק טוב והחדש שיכנס בסוף החודש צריך הרבה יותר כוח מחשוב. אז  כדאי לחכות. בעתיד זו תהיה אפליקציה או תמונת Docker מוכנה שנוכל להריץ על שרת PC כעזר לרספברי בלי להסתמך על שרתי החברה.

כאמור, בפוסט המקורי כתבתי שאני בודק את המערכת לביתי אבל הוטל ווטו משפחתי. אני עדיין אנסה לראות איך זה להתקין עוזר AI שכזה על הלאפטופ או הדסקטופ, ואוסיף דיווחים כשיהיו.

קריפטוכסף זו לא השקעה טובה

אמ;לק: לא ממליץ על השקעה בקריפטומטבעות, אבל אני לא כלכלן וגו'.

אני מנסה ב4-5 שנים האחרונות לעקוב אחרי עולם הקריפטוקוינז כדי להבין אם זה טוב או רע למין האנושי. חבר אצלי בעבודה קנה 100 מטבעות לפי מחיר $0.75 ומכר ביום הקפיצה הגדולה ל$1200. כשנפל חזרה ל$600 אמרנו לו כל הכבוד אבל מאז מחיר הביטקוין טיפס לטווחי $4000-$5000. לכאורה זה ימשיך לטפס. ערך המטבע לא יציב בלשון המעטה, אבל ב־8+ שנות קיומו של הבלוקצ'יין הוא טיפס יפה ובהתמדה בממוצע לאורך זמן. נראה שהטכנולוגיה מוכיחה את עצמה כאמינה מספיק כדי לעורר ענין אצל חברות פינטק ובנקים מהעולם השמרני הממוסד.

אז מה הביקורת? ובכן, כל מי שניסה לכרות בבית מטבעות בעצמו גילה שלPC הכי חזק שתוכלו להרכיב אין ממש כוח חישוב מתאים. רוב המטבעות היום עוברים כרייה ע"י כרטיסים ייעודיים מאוד מאוד ספציפיים לסוג המשימה הזה, שלקנות אותם הביתה זה יקר (ואולי תופס מקום ומרעיש), ורבים פשוט שוכרים זמן מיחשוב בחדרי שרתים אי שם במקומות בעולם שבהם החשמל או לפחות הקירור יותר זול, וגם אז לא כולם מצליחים להשאר בעסק – היום קראתי למשל שזירופונד, אולי חוות הכרייה הידועה ביותר בתחום כריית זיקאש, סוגרים את הדלתות אחרי שנה של פעילות כי זה פשוט לא משתלם כלכלית. הם יכולים להסב את הציוד או למכור אותו למשתמשים ביתיים, והם החליטו שהם מעדיפים לצאת מהעסק לגמרי. הרווח השולי זניח מדי.

אם נחשוב על זה, לחתיכות הנייר והמספרים בבנק היה פעם ערך רק כי לממשלה היה זהב לגבות אותו, אח"כ רק כי לממשלה היה כוח פוליטי, ואילו לקריפטומטבעות יש ערך רק כי אלפי אנשים ברחבי העולם מריצים מכונות חישוב חזקות ייעודיות, לא זולות או יעילות מאוד בחשמל, כדי לרוץ כל הזמן על קצה היכולת בפול גז ולהדביק את האינפלציה הטכנולוגית והאנרגטית של ציוד הכרייה.

אם אתם מסתכלים על זה אגואיסטית-קפיטליסטית, אולי זה נתיב השקעה נחמד, אבל לטווח בינוני בלבד. בטווח הרחוק כמות האנרגיה המתבזבזת על תחזוקת הרשת הזו לא שווה את הברדק. גם אם ערך המטבע הוירטואלי הזה עולה, גם המחיר הסביבתי עולה איתו. הציוד הייעודי שמתיישן ונזרק והחשמל שמאכיל את כל הפעולות החשבוניות האלו שלא מייצרות הרבה מלבד "הוכחות עבודה", במירוץ חימוש שלא ייגמר בצורה זולה ואפילו לא ממש משתלם.

כפתור פראנויה לכל כיס

YubiKey 4 keychain and YubiKey 4 Nano

אמ;לק: סקירת מוצר שיוסיף לכם שכבת הגנה על חשבונות מקוונים וגם על המחשב האישי. זו תהיה כתבה ראשונה בסדרת פוסטים על אבטחת מידע בסיסית לישראלי המצוי, למרות שהפוסט הספציפי הזה אולי לא מיועד ממש לכולם כי הוא עוסק בחומרה יעודית שעולה בסביבות $50 (כולל משלוח) ולא תוכנה זמינה וזולה/חינם.

יותר מחצי שנה לא כתבתי פוסט, למעשה כמעט 8 חודשים אני חושב. המון חדשות חולפות בקצב מסחרר ואי אפשר להתעמק בכלום, וגם החלפת מקום עבודה מוריד מהזמן הפנוי לכתיבה של יותר מציוצים בטוויטר. אם אתם לא עוקבים, חוק הזיהוי הביומטרי עבר והחל מיוני כולם חייבים לתת טביעות אצבע ופנים. מי שישלם כופר מיוחד יוכל להשאר מחוץ למאגר (אם אתם באמת מאמינים שלא ישמרו לכם את תביעת האצבע אחרי שיכתבו אותה לשבב בתעודה), אבל יצטרך לעשות את זה פעמיים בעשור במקום פעם אחת. ההמשך עכשיו יכול להיות אחד משלושה עיקריים: או שהפניה שלנו לבג"צ תצליח והמאגר יבוטל מתישהו ב-2018, או שיהיה מהפך בחירות וקואליציה חדשה תחליט למחוק את השרץ, או שהגזרה תשאר, ועד 2022 (2027 למי שרץ להחליף תיעוד במאי) כל הישראלים שישארו פה יאלצו להשתדרק למאגר. בינתיים כבר היו דליפות בהודו וסיפורים מסוכנים אחרים, אז נחיה ונראה. על עדכונים של פאדיחות הבית הלבן אני גם לא ארחיב, אתם בטח צופים כמוני בסטיבן קולבר ביוטיוב.

היום אני רוצה לספר לכם על הצעצוע החדש שלי, יוביקי 4. כל מי שמכיר אותי, יודע שככל שנכנסתי בשנים האחרונות לתחום הזכויות הדיגיטליות, אני יותר ויותר מתעניין בתחומי הצפנה, זיהוי והזדהות, סיסמאות חזקות וכדומה. זה רק אספקט קטן מהעולם הזה, וכמובן לא משנה כמה חזקה הסיסמא שלכם לפיכסבוק אתם עדיין צריכים להיות אחראים למה שאתם מפרסמים שם. בכל מקרה כדאי גם שלא יגנבו לכם את החשבון עצמו, ולכן אני ממליץ תמיד:

  • סיסמאות ארוכות וקשות, ושונות לכל אתר.
  • כמה ארוכות וקשות? כאלו שבחיים לא תזכרו, בשביל זה יש מנהלי סיסמאות. על זה כנראה פוסט נפרד בעתיד.
  • אם השירות מציע אימות כפול, הפעילו אותו תמיד! יוצא דופן – אימות באמצעות סמס, זה כנראה חלש ובעייתי מדי, ומאלץ אתכם לתת לשירות את מספר הטלפון שלכם, אז לשיקולכם. חפשו בהגדרות המשתמש שלכם, יש אלפי אתרים שתומכים.
  • כדאי להחליף סיסמאות פעם בשנה, אבל אפילו אני לא עד כדי כך קדוש. החליפו כשיוצא לכם.
  • אפשר לסנכרן סיסמאות ושאר מידע בין דפדפנים באמצעות Chrome Sync או Firefox Sync/Weave אבל לבחור במקרים כאלו סיסמת הצפנה ארוכה וקשה, אפילו 64 תווים, שתשמר כמובן מוצפנת במנהל הסיסמאות שלכם.

כמה מילים על אימות כפול, או אימות בשני פקטורים: אחד הדברים הראשונים שמוגדרים בפרוטוקול זיהוי (ולא משנה אם אנחנו מדברים על סיסמא לאתר או כשאתם מתיישבים מול הפקיד בבנק) הוא הגדרת שיטת הזיהוי, כששיטות אימות הזיהוי מתחלקות ל3 קטגוריות כלליות: מי אתה, מה אתה יודע, ומה יש לך.

מי אתה – זה לרוב זיהוי ביומטרי, הבעיות איתו שאת חלק מהמדידות הביומטריות יקר למדוד או קל לזייף, ובמיוחד זה לא שונה מול כל גורם, ולכן אם היכולת להתאמת במקום אחד דלפה, הרי שהיא טובה לאחרים שסומכים על אותה השיטה. זה שווה ערך לסיסמא לא חזקה, שכתובה בצורה לא מוצפנת בכל מיני מקומות שאתה מסתובב בהם, שניתן לזייף ואי אפשר להחליף. רעיון גרוע. הצעתי היא שאם ספק השירות נותן בחירה, אל תסתפקו לעולם בזיהוי ביומטרי כאמצעי זיהוי ראשי. לא מול משרד הפנים או רשויות המס, לא טביעת האצבע לפתיחת הטלפון, לא להפעיל חתימה אלקטרונית במחשב, לא טביעה קולית מול השירות הטלפוני של הבנק, כל אחת מהשיטות האלו כבר הוכחה כקלה לזיוף.

משהו שאתה יודע – זו לרוב סיסמא, ובמקרים הפחות מוצלחים: תאריך יום הולדת, קוד סודי מגב כרטיס האשראי, תאריך ההוצאה של תעודת הזהות האחרונה שלך, מספר תעודת הזהות, שם הנעורים של אימא, שם חיה או מורה או בי"ס ראשון וכיוצא באלו דברים שקל לגלות עליכם ע"י בילוש או כיוס.

משהו שיש לך – תעודה בלתי ניתנת לזיוף, אם ע"י שימוש בשיטות ייצור סודיות וייחודיות ואם ע"י חתימה דיגיטלית, או אולי מפתח כלשהו שלא ניתן לשכפל. כשאני אומר מפתח עולה לכם אולי בראש מפתח פלדלת או ייל, אבל את אלו כבר שכפלו כי הופיעו בטעות בתמונה. הסיפור הכי מצחיק היה כשסוכני TSA הצטלמו ברוב היבריס עם צרור המפתחות שלהם שפותח כל מנעול מזוודות בשוק, ואנשים מיהרו להעתיק את המבנה מהתמונות, וכמזה שנתיים אפשר להוריד את כל המפתחות מגיטהאב להדפסה בתלתפסת ביתית. לא, אני מתכוון למפתחות הצפנה פיזיים, כלומר מעין התקן USB עם מעבד קטן וזכרון שאי אפשר לקרוא, וניסיון למעקף פיזי של ההגנות אמור להרוס אותו ללא שוב. כאלו יש מספר מוצרים בשוק ואחד היצרנים הבולטים הוא Yubico. אני סוקר את המוצר שלהם כאן כי אחרי שלמדתי את הנושא ברשת הגעתי למסקנה שזה אחד משניים-שלושה הכי מעניינים, מגוונים ונגישים, ואין לי שום קשר איתם מעבר לזה (וכמובן לא קיבלתי מהם מוצר או טובות), ולכן קניתי אותו. יש להם אפילו יבואן רשמי בארץ אבל אחרי שקיבלתי מהם ספאם, העדפתי לשלם את המחיר המלא של הזמנה מחו"ל (אמזון או הריסלר הזה). שווה להציץ, לפעמים יש להם סייל 50% הנחה ליום-יומיים.

אימות כפול, או אימות מרובה, הוא כזה שמשתמש ביותר משיטה אחת מאלו שפירטתי, ובמיוחד עדיף שלפחות משתי קטגוריות שונות. ((אפשר לדון פה פילוסופית אם ה־‏Google Authenticator שלי, שמגובה כל יום וניתן לשחזור במקום אחר הוא באמת משהו שיש לי או שהוא מידע ולכן משהו שאני יודע, אבל לצורך הפשטות, לרוב המוחץ של האוכלוסייה, זה נופל תחת משהו שיש לי.))

המוצר עליו אדבר פה הוא חד פעמי ולא ניתן לגיבוי או העתקה, ולכן הוא בגדר משהו שיש לי. לא אכנס כאן לכל הפרטים הטכניים הקטנים, אבל רשימת הדברים שעושה הכרטיסון הקטן הזה היא מרשימה:

  • מול אתרי ווב יש לי את שירות U2F שמזכיר את יישומון Google Authenticator רק שלא צריך להעתיק שישיות ספרות ולא ניתן להעתיק את הסודות ע"י יישומון זדוני (מצד שני, אי אפשר לגבות, לטוב ולרע…)
  • משמש לפתיחת כספות סיסמאות כמו Keepass או LastPass.
  • הוא יודע לעבוד במוד challenge-response מכמה סוגים, שמאפשרים לי למשל לאבטח את הלפטופ שלי כך שלוגין פשוט (בקונסול, GDM או מנעילת מסך) ללא הכרטיס תיחסם (מודול PAM ששולח לו צ'אלנג' ורואה שהוא מחשב אותו נכון ואז מאשר גם לפי הסיסמא). לחלונות ומאק יש אפשרות דומה.
  • בשיטה אחרת גם פתיחת ההצפנה של הדיסק (root on LUKS) לא תתאפשר בלי שהסיסמא תעבור פיענוח דרך הכרטיס.
  • הוא יודע להצפין ולפתוח מסרים עם מפתח RSA של GPG עד 4069 ביט (2048 בלבד בגרסת Yubikey NEO של ההתקן, לצערי).
  • משמש אמצעי אימות לחיבור SSH, אם ע"י שמירת המפתח הסודי או דרך אימות PGP שעד לאחרונה לא הכרתי אפילו שקיים.
  • הוא יודע לחתום על Docker Images (לא בגרסת NEO) למי שזה מעניין אותו.
  • הוא יודע לייצר קודים חד פעמיים מסוג HOTP (אין לו שעון פנימי, אז אין TOTP בלי תוכנה מסייעת).
  • האתרים שכרגע אני עובד איתם בעזרתו: חשבונות גוגל השונים, גיטהאב, בלוגים מבוססים וורדפרס.
  • אתרים בהם אני לא משתמש אבל תומכים: סיילזפורס, פיכסבוק ודרופבוקס.
  • אתרים שהייתי רוצה לעבוד אתם אבל לא תומכים (בינתיים): פייפאל, בנקים ישראליים, חברות ביטוח ובריאות, אמאזון, טוויטר, ובעצם כל אתר אחר שאני נכנס אליו עם סיסמא.
  • רוב התוכנות והדרייברים פתוחים וברישיון חופשי, אפשר גם לבנות שרת אותנטיקציה משלך לשרתים אחרים ועוד המון אפשרויות לאנשים פרטיים וללקוחות תאגידיים.

שו"ת

זה לא פרנואידי?
למשתמש פרטי כיום, קצת. בעתיד אולי כבר לא. כדאי להתחיל להכיר או להתרגל.

להצפין את הדיסק? זה לא מעמיס את המערכת?
עם LUKS זה מובנה בקרנל, לחלונות ומאק יש משהו דומה, המחיר אחוז או שניים. אני לא ממליץ על ecryptfs שאובונטו מציעה להצפין אתה רק את ספריית הבית, זה פוגע בביצועים הרבה יותר. התחלתי לעשות את זה כשעבדתי בחברות שעסקו במידע רגיש, אצל מעסיקים אחרים הסתכלו עלי כמשוגע ובסוף באו להתייעץ איתי כשהמחשב הראשון נגנב מהמשרד או כשנציגים התחילו לצאת לשטח ולתערוכות ועלה הפחד שיגנבו סודות מקצועיים. אז כאמור לדעתי היום זו חובה שלא עולה הרבה לממש.

אני בונה היום אתר, להשקיע באימות כזה למשתמשים שלי?
גם TOTP-2FA וגם U2F – לדעתי כן, במיוחד אם האתר שומר פרטים אישיים של כרטיסי אשראי, בריאות מטופלים ועוד כיוצא באלו. יש ספריות חופשיות שקל לשלב, ולמערכות כמו וורדפרס, דג'נגו, ג'ומלה, רובי-או-ריילז ואחרות יש כבר מודולים מוכנים לקטיפה מהעץ, אז חבל להתעצל!

למה יוביקי 4 ולא גרסת הנאו?
טעם אישי. היוביקי 4 תומך במפתחות טיפה יותר גדולים, הוא טיפה יותר זול, קוד ה-PGP שלו פתוח בגיטהאב. לרוב האנשים גם הנאו יהיה מצוין, והיתרון הגדול שלו הוא NFC שעובד עם אנדרואידים שיש להם רכיב תקשורת תואם. אם רוצים להשתמש ביוביקי 4 (ללא NFC) על אנדרואיד, אפשר בעזרת כבל OTG, או לטלפונים חדשים, חיבור ישיר USB-C בדקם יוביקי החדש).

יש מתחרים ראויים?
יש כמה. חלקם יתנו U2F בלבד בפחות מ$10-$20, חלקם יקרים מאוד אבל עושים דברים נוספים כמו לשמש כארנק קריפטומטבעות (למשל Trezor ואחרים) ויש גם אופציות "האקריות" פתוחות כגון OnlyKey שמוסיף שכבות הגנה כמו סיסמא, פיצ'רים כמו השמדה עצמית וכדומה. יש מצב שאקנה כזה בעתיד, למרות שהוא נראה פחות עמיד מכנית לשבירה ושפשופים.

התוכנה צרובה ולא ניתנת להחלפה? אז מה אם יתגלה באג אבטחה?
כבר קרה פעם אחת, וכל הלקוחות קיבלו מפתח חדש עם קושחה מעודכנת. זה חלק מהשירות (והמחיר). אי האפשרות לעדכן את הקושחה זה פיצ'ר מתוכנן במכוון, כדי לא לאפשר החלפה לתוכנה שתגלה את המפתחות הסודיים ששמורים על המפתח.

כבר יש לי כזה מהמעסיק
אם המעסיק נתן לכם התקן כזה שישאר שלכם לשימוש אישי גם אחרי שתעזבו – כיף לכם! גוגל, פייסבוק וחברות טכנולוגיה אחרות עושות את זה. השתמשו בזה חופשי גם לחשבונות פרטיים!

אבל זה בעצם כרטיס חכם! יש לי כזה מרשות המסים ובתעודת הזהות החכמה החדשה!
כן ולא. יש על הכרטיסים האלו מעבד מספיק חזק לכל אלו ככל הנראה, ויכולות להזדהות בפרוטוקול כלשהו מול הממשלה יום אחד, אבל לא קושחה פתוחה שמאפשרת את כל הטוב שעליו כתבתי לעיל. אם הייתי שר הפנים, אחרי שהייתי מבטל את המאגר הביומטרי, הייתי מעביר נותן לכל הציבור תעודות חכמות עם היכולות האלו מובנות שישמרו עליהם ביום-יום. לצערי לא נראה לי שזה יקרה בזמן הקרוב.

למה לא כתבת פוסט כבר המון זמן?!
כי הייתי עסוק, וכי אף אחד לא שאל למה לא כתבתי כבר המון זמן, אז אולי מסתפקים בפרסונה הטוויטרית שלי…

אם יש לכן עוד שאלות, שתפו בבקשה בתגובות. אם זה מספיק מעניין לכלל הקהל, אולי אענה פה בגוף הפוסט.