סופה של הצפרדע הכחולה
מאת העורך | 3 תגובות
בראיון ל- Wired מודיע ערן רשף, מנכ"ל Blue Security, על הפסקתם של שירותי האנטי ספאם של החברה. נעשים מאמצים לשנות את ייעוד החברה ולהשתמש בתשתיות הטכנולוגיות והאנושיות שבה לכיוון הנבחר החדש. ציינתי בפוסט הקודם בנושא שעוד מוקדם לחזות כיצד תסתיים הסאגה, אך לא ידעתי כמה מהר תסתיים…
זו היתה אמורה להיות שעתה הגדולה של Blue Security. המלחמה שניהלה עד אז בהצלחה לא מבוטלת, כשהיא "משכנעת" שישה מעשרת הספאמרים הגדולים להניח למשתמשיה, הגיעה לשיאה. כעת, המהלומה שהנחיתו הספאמרים על רשת הבלוגים של Six Apart בה התארחה הייתה אמורה להניע את משתמשי האינטרנט ורשויות החוק להתגייס מאחוריה ולסיים פעם אחת ולתמיד את חוצפת הספאמרים.
למרבה ההפתעה, משתמשי האינטרנט קמו על Blue Security והאשימו אותה באחריות לנפילה, רשויות החוק לא הצליחו או לא רצו למנוע את מתקפות הספאמרים, והשירות עצמו לא הצליח להתמודד עם מתקפות אלה והיה מושבת בחלקו או במלואו בשבועיים האחרונים.
יש לי תחושה שישנם רבדים סמויים בסיפור הזה וכי גורמים בעלי השפעה פועלים בו מאחורי הקלעים, אך כבר אפשר לסכם כי לעולם אתה יודע כיצד מלחמה מתחילה אך אינך יודע כיצד היא מסתיימת ולפני שאתה יוצא למלחמה שכזו כדאי שתדאג כי:
-
דעת הקהל העולמית מאחוריך
-
יש לך את האמצעים לנהל קרב בלימה ומתקפת נגד
-
יש ברשותך אמצעים להפעיל את צבא המילואים שלך
-
אינך מסתמך על נשק יום הדין
ל- Blue Security היתה דעת קהל בעייתית ואף עויינת, ההגנה על האתר לא החזיקה מעמד והחברה לא הצליחה לשתק את הגורמים שהתקיפו אותה. כשהגיע הרגע המכריע נכשלה החברה בהשמשת חצי מליון המשתמשים שלה שהיו שמחים להטות שכם במאבק והדרך היחידה שלה לשתק את המתקפה היתה להשתמש באותן טקטיקות האקרים שהופנו נגדה ולעבור על החוק. לחברה, בנגוד לספאמר, אין את הפריווילגיה של פעילות מחוץ לחוק.
החוכמה שבדיעבד היא הקטנה שבתבונות, אך מישהו היה צריך לחשוב על זה לפני שיצא למלחמה מול גופים המרוויחים מליונים מספאם. לפי מידע שקיבלנו, הספאמר PharmaMaster שהתקיף את Blue Security מגלגל מחזור של יותר משלושה מליון דולר בחודש והוציא סכומי עתק על המתקפה. הכסף הושקע בפיתוחו והפצתו של וירוס ייעודי ל- Blue Security וזאת על ידי האקרים מהטובים בעולם.
מול שילוב כזה של עזות מצח, משאבים ויכולת "מקצועית" ובמגבלות החוק הקיים לא היה להם סיכוי. אך מדוע לצאת לקרב בו אין לך סיכוי לנצח?
ועכשיו, למישהו יש רעיון לתוכנת אנטי ספאם שדרכיה דרכי נועם וכל נתיבותיה שלום?
ובכן התלבטתי רבות אם יש או אין צורך להגיב ובתור מקורב לעניין חשבתי שאני יכול להוסיף מספר דברי טעם לכתבה: ראשית אני מנצל במה זו בכדי להחמיא למקימי האתר ולכותביו ולשבח את טעמם האובייקטיבי מחד אך חקרני מאידך באופיים של כלל הכתבות באתר לרבות הנוכחית.
ושנית לעיקרו של עניין. ובכן בקשר למשפט האלמותי "תמיד תדע כיצד מתחילה מלחמה ולעולם לא תדע כיצד תסתיים" הרי שזהו אכן מקרה קלאסי של המיקרה דנן. אולם זו לא הייתה אבן הראשה במלחמה זו. אחת התגליות המרעישות שנולדה ממלחמה זו ובעצם מרגע בו בלו סקיוריטי עלתה לאויר הייתה חשיפת הצביעות העולמית בכל הנוגע לתופעת הספאם ואני אסביר. למתבונן מבחוץ ההפרדה בין ה"רעים" וה"טובים" ברורה מאליה. מיהם הרעים? מפיצי הספאם כמובן. ומיהם הטובים? חוטפי הכמויות האדירות. ומה ניסתר מן העין? שלוש אותיות: ISP. אנחנו כצרכני קצה איננו מחוברים לbackbone של הרשת וכמונו גם הספאמרים - כולם כולם נעזרים בתיווכם הנאה של חברות המספקות שרותי תקשורת קרי ISP. ובכן מסתבר כי ישנו עקרון מובהק (כך התגלה למן התקופה הראשונה) של קריצת עין בכל הנוגע לספאמרים ולחברות הנל. מצד אחד הרשויות מוקיעות את התופעה, מגנות אותה ומנהלות קמפיינים שלמים למיגור התופעה - אולם אלו בסך הכל קמפיינים. שכן ממש כמו בטרור החברות שמספקות תקשורת (ביודעין) נותנות "בית" במלוא מובן המילה - בית ומחסה - לאותם ספאמרים שפועלים תוך שימוש בתשתיותיהם והללו גומלים להם בתשלום נאה (מאוד) בעבור שתיקה רמה על עצם קיומם. בלו סקיוריטי הוכיחה שניתן להכאיב לספאמרים - עובדה. כלומר אם מישהו אכן היה רוצה למגר את התופעה ניתן היה לעשות זאת - אולם ישנו איזשהו קשר א-פורמלי מצד אחד , ומגובה במאזן אימה מצד שני אשר בו יכול הספאמר להמשיך ולנהל את שרתיו ואתריו מאותם מקומות שלכאורה אמורים שלא לתת - לפחות על פי הצהרותיהם - את המחסה לאותם טרוריסטים. ביום בה בלו סקיוריטי הרימה פיילוט לאויר לפני כשנה בחרו חברות הISP "לזרוק" את בלו סקיוריטי מחוותיהם ולא להישיר מבט לעובדה שהם נותנים מחסה לספאמרים ולהצניע את העובדה שהם מרוויחים מהם כסף רב - במקרה הטוב - ובמקרה הפחות טוב - הספאמר "מאפשר" לISP להמשיך את עסקיו מבלי שהוא - פשוט יפיל לו אותו. נישמע כמו "פרוטקשן"? - מאזן אימה כבר אמרתי?
זו הייתה ללא ספק הפתעה ומכה קשה בבטן הרכה של בלו כבר בשלבים המאוד מוקדמים של פעילותה. כשאתה יוצא למלחמה בגיבוי מלא של כל הרשויות, המשטרות, הממשלות וכל מי שמוכן לגבות מלחמה זו בתקשורת ולפתע אתה מגלה שבשטח עצמו לא רק שה"חיילים" הללו לפתע נפקדים , אלה שהם ממש פועלים נגדך וזורקים בפניך את הקלישאה הכל כך אמריקאית : "אז תתבע אותי" - אתה מבין פתאום שרימו אותך. זה לא עצר את בלו ולא ריפה את ידיה - ועל כך אני מסיר בפניה את הכובע. כתחלופה ל"כוח" המימסדי שסרח - החליטה בלו לגייס את דעת הקהל. וגם פה נחלה הצלחה רבה. רבבות של משתמשים הצטרפו לשורותיה מדי יום ושיהיה ברור פה משהו - לא היה קל להיות משתמש של הצפרדע. קהילת המשתמשים של השרות אינה דומה כלל ועיקר למשתמש הטיפוסי של האינטרנט שמאופיין בעיקר בחוסר לויאליות ובהצבעתו ברגליים. טוב לי נשאר לא טוב מסיר. השימוש בצפרדע דרש ממשתמשיה לדווח מדי יום על קבלת הספאם וזו על מנת לספק תחמושת לחברה שכן בעיות לגאליות - חייבו את החברה להחזיר מייל תלונה לספאמר רק בעבור קבלה של מייל ממנו. כלומר אסור היה בתכלית האיסור ל"התקיף" ספאמר בכמות שונה מכמות הספאם שהוא שלח למשתמשים. אחד בעבור אחד. והמשתמשים היו קהילה נאמנה ואיכותית שידעו כי הם שותפים פעילים למלחמה וכי תרומתם אינה בגדר "על הדרך" כי אם עשייה גרידא. ועדיין רבבות הצטרפו לשרות - האם זה לא מרמז על הצלחה כחברה בגיוס אזרחים מן השורה על בסיס מטרה מקודשת אחת? לדעתי כן וכן. נוסיף כי לאורך כל שנות קיומה של הצפרדע - הקוד שלה - כולו היה פתוח ועודכן באתר עם כל גירסה וזאת בכדי שמי שמעוניין לדעת מה עושה הצפרדע יוכל לראות בעצמו. שקיפות - זו הייתה המנטרה מהיום הראשון. שקיפות למשתמש. אז מה בכל זאת קרה? ובכן "הכוח" הלוחם יצא למשימה של פתיחת צירים שמאוד מוכרת לנו בצבא המקומי שלנו. ובתוקף כך פינה אבנים מן הדרך הראשית אבל אבן אחת הייתה גדולה מדי עבור הכוח ונחש צפע גדול מאוד התחבא תחתיה. במלחמה קשה שנמשכה כחודש תמים הפעיל אותו נחש יכולות התקפה אשר לא נראו מעולם ברשת. זה לא סתם DDOS ועל כך איני רוצה לפרט אולם נסתפק בתגובות רשמיות של מומחים אמריקאים שטענו כי 15 שנה הם בתחום ומעולם לא נתקלו "באש" כזו. לראיה אתרים גדולים כגון Tucows או blogs.com נפלו גם הם באותה מתקפה. ואלו לא חברות סטארטאפ וגם לא דלות אמצעים. במבט מבחוץ ניתן לאמר שבלו סקיוריטי הייתה הצסנה שנחת בכיכר האדומה. ה9/11 של עולם האינטרנט. אלו שבאו והראו שכשיש מספיק רוע ואמביציה ניתן לבצע טרור ברשת והדמיון יכול להתפרע במחשבות על הפוטנציאל הגלום בכך. הרוע ניצח בסופו של דבר - ולמה? כיוון שבלו סקיוריטי לא נועדה להיות מלכ"ר ולמרות השאפתנות הגדולה שלה - מלחמה בסדרי גודל כאלו ללא גיבוי מימסדי (חוקתי אכיף) גדול עליה במספר מידות כנראה. התקווה אם כן שהדיון יהפוך לדיון השעה והארועים יהפכו למסקנות , תורות ואולי אף למעשים כאשר הלחץ הגדול חייב להגיע מלמטה. מהציבור הענק של משתמשי האינטרנט שאין לזלזל בו ובכוחותיו כלל ועיקר - העניין הוא שיש להניע לחץ מלמטה על הרבדים הכי גבוהים - הממסד (או מיקרוסופט לדוגמא) ולא לנסות לפתור את בעיות האמצע בעזרת שאפתנות ולחץ מבוזר בלבד. זהו. כולי תקווה כי הדברים שנכתבו בתגובה זו יהוו תוספת נאה שתאיר כמה מהנקודות הפחות ידועות לציבור הרחב מתוחלת חייה והתנהלותה של בלו סקיוריטי.
כל הכבוד על המאבק עד כה!
אני מקווה שתיצרו עוד מיזמים כאלה בעתיד, אולי מכיוונים שונים ואני אשמח לתמוך בכם ולגייס תמיכה מגולשים נוספים.
חיזקו ואימצו!
הרעיון העיקרי של בלו פרוג היה נכון. הנחת העבודה של הספאמר הוא שנדרש ממנו לטפל רק בפניה של לקוחות פוטניציאליים, ולכן אין לו בעיה שעבוד ביחס של מליון נמענים ללקוח אחד. במליון הוא לא מטפל. אם הוא מגלה שהוא נאלץ לטפל גם במיליון ה"לא-לקוחות" הוא בבעיה שאין לו המשאבים להתמודד אתה.
הבעיה של בלו פרוג היתה single point of failure - היה את מי לתקוף חזרה. סלק את הבעיה הזאת - והפתרון עובד. בגדול הכוח בצד שלנו: אנחנו רבים בהרבה מהספאמרים. מה שאנחנו צריכים זה לפעול בעצמנו, ולא לסמוך על מישהו אחד שייצג אותנו ויחטף את כל האש.
אפילו אם לא כל אחד יטריד את הספאמרים, אלא רק כמה עזרות אלפים מתוך המיליונים, אבל כל אחד בדרך אחרת - אין להם סיכוי לשרוד. זה שומט את הבסיס מהמודל העסקי שלהם - שהוא שמי שלא מעוניין אינו דורש טיפול.
לא בכל ספאם יש דרך פשוטה להטריד את הספאמר, אבל בספאם העברי של השנה האחרונה יש בדרך כלל טופס פניה שאפשר להזין בו ידנית פרטים שנראים אמיתיים וכדי לגלות שלא יש לחייג למספר הטלפון הפיקטיבי שהוזן בהם. בקיצור, מילוי טופס כזה בפרטים פיקטיביים גורם לספאמר לעבוד הרבה מעבר למה שתכנן, וכמה אלפים כאלה מספיקים כדי לנטרל את היתרון של הספאם על דרכי שווק לגיטימיות.
זה עובד גם עם טלמרקטינג: לא מנתקים. מבזבזים למפרסם זמן וכסף. אפשר למשל ללחוץ על הכפתור שמעביר למענה אנושי ולתת למי שעונה להגיע בעצמו למסקנה שהשיחה לא מובילה לשום מקום.