‫the.co.ils » אבטחה‬

‫במה תפתחו את הסטארט-אפ הבא שלכם‬

‫ירון אורנשטיין‬ — Thu, 02 Aug 2007 14:26:29 +0000

אחת ההחלטות הראשונות והחשובות ביותר שעל היזם לקחת בסטרטאפ המפתח Web Application היא: באיזו טכנולוגיה לפתח את השירות. שלוש האפשרויות הנפוצות כיום הן Net, PHP. ו- Java. חשוב לי לציין שאני כותב פוסט זה מנקודת מבטו של היזם הלא טכנולוגי, ולכן לא אצלול לפרטי הפרטים. אם יתעורר עניין, נשמח להביא מישהו אשר יכתוב על תהליך קבלת ההחלטות תוך כדי ניתוח היתרונות והחסרונות של כל טכנולוגיה מנקודת מבטו של האיש הטכני.

כאשר באים לבחור את הטכנולוגיה אשר תוביל אתכם אל עבר הגשמת החלום יש לקחת בחשבון את הנקודות הבאות:

עלות:

נושא העלות הוא בעל חשיבות עליונה והוא בא לידי ביטוי לכל אורך חיי הפיתוח והמוצר. ישנה עלות חומרה ויש עלות תוכנה, עלות פיתוח ועלות התחזוקה. התוכנה היא הנקודה המרכזית והשימוש ב-PHP וב-Java הוא חופשי בעוד השימוש ב- Net. כרוך בתשלום עבור הרשיונות לכלי הפיתוח, השרתים המקומיים ושרתי האירוח המחייבים את מערכת ההפעלה Windows. בקיצור, מדובר בהתחייבות להשקעה קבועה ב-Microsoft. בעוד PHP ו-Java אינם מחוייבים ל-Microsoft הם עדיין יכולים לעבוד על מערכת ההפעלה Windows – המקרה הקלאסי של כל העולם נגד Microsoft.

עלות נוספת היא עלות כח האדם. בעוד בארה"ב קיים היצע גבוה של מפתחי Java ו-PHP ועלותם נמוכה מעלות מפתחי ה-Net., בארץ יש בהם מחסור, אך למרות זאת עלותם של כל סוגי המפתחים זהה.

ביצועים ואבטחה:

בדרך כלל, רמת הביצועים והאבטחה הם פועל יוצא של מיומנות המפתחים. ובכל זאת, כאשר מדובר ב- "n-tier architectures" (ואני לא הולך להסביר מה זה עכשיו) מומחי התעשייה ממליצים על Java. אך שוב, מפתחים מיומנים יכולים לפתח אפליקציות מסוג זה גם בעזרת Net. ו-PHP.

בעיות אבטחה יכולות לצוץ בכל טכנולוגיה וגם פה באה לידי ביטוי מיומנותו של המפתח. ובכל זאת, ההנחה הרווחת היא שכל שירות המבוסס על Windows פחות בטוח.

את המשתמשים לא מעניינת הטכנולוגיה בה פיתחתם את השירות אלא אך ורק הצורה בה הוא מוגש ושהוא יהיה זמין, לכן לביצועים יש חשיבות גבוהה. ביצועי הטכנולוגיה עצמה הם רק אחת מהנקודות החשובות, לרמת הביצועים בה הטכנולוגיה מתקשרת עם טכנולוגיות אחרות כמו מאגרי נתונים ומערכת הקבצים יש חשיבות לא פחותה.

כח אדם:

לכח האדם יש שני פקטורים חשובים, עלות וזמינות. כמו שציינתי לפני כן, עלות העסקתם של כל סוגי המפתחים היא פלוס מינוס זהה אך הזמינות של מפתחי ה-PHP כמעט ולא קיימת בישראל. יש מעט מאוד חברות בארץ המפתחות ב-PHP וגם הן נעזרות לא מעט בשירותי Outsource בהודו או במקומות אחרים. אני חושב שזו הנקודה החשובה ביותר - לא שזה תהליך קל ומהיר לגייס מפתח Net., אך הסיכוי לגייס אחד שכזה הוא גבוה בהרבה מהסיכוי לגייס ממפתח PHP. לפי דעתי עלות טכנולוגיית ה-Net. היכולה להגיע לסכומים של כמה אלפי דולרים בשנה בטלה בשישים אל מול האפשרות להשאר ללא מפתחים זמינים – אך שוב, זו רק דעתי. אני אשמח לשמוע דעות של יזמים אחרים אשר התחבטו עם אותה הדילמה.

מה האחרים עושים:

תמיד חשוב לראות ולבחון מה נהוג אצל החברות האחרות. רוב החברות בישראל אותן אני מכיר בחרו באופציית ה-Net. אך יש לא מעט גם שמפתחות ב-PHP כמו MetaCafe ו-MyHeritage.com. כמובן שאי אפשר מבלי להזכיר את Zend, החברה הישראלית אשר עומדת מאחורי שפת ה-PHP.

ובמה משתמשים השירותים הגדולים בחו"ל ?
PHP – Flickr, Yahoo, Facebook
Net – MySpace.
Python – YouTube

בתרשים משמאל (מעודכן לאוגוסט 2006) אפשר לראות של-PHP יש נתח שוק של 34.26% מסך האתרים באינטרנט בעוד ל- Net. יש 21.4%.

כמובן שמעבר לטכנולוגיה הנבחרת יש עוד הרבה החלטות שיש לקחת בנושא ארכיטקטורת המערכת. לא מעט חברות פתחו, חלקו והציגו בשנתיים האחרונות את הארכיטקטורה עליה מבוססים השירותים שלהם. הצלחתי לרכז כאן מספר לא מבוטל של פרזנטציות, ראיונות וסרטים של החברות המובילות היום בשוק. רוב החומרים הם טכניים והמבינים מבינינו יעשו מזה מטעמים, אך גם המאותגרים טכנולוגית מבינינו יכולים להפיק מזה לא מעט – כמו למשל במקרה של פיתוח תוך כדי הצבת יעדים בכמות המשתמשים על ידי MySpace.

- שתי מצגות המתארות את הארכיטקטורה של Flickr ואת אופן השימוש ב-PHP: מצגת 1, מצגת 2

- וידאו בו מתאר Cuong Do Cuong שהיה חלק בצוות התכנון המקורי של YouTube, את הדרך מהשלבים הראשונים עד כמות המשתמשים היום: וידאו

- מאמר המתאר את כל תהליך הפיתוח והתיכנון של MySpace: מאמר

- סדרת כתבות וראיונות מ-oreilly על הדרך בה משתמשים השירותים המובילים במאגרי הנתונים: Second Life, Flickr, Craigslist, Findory and Amazon, Bloglines and Memeorandum

‫Google, Microsoft and Yahoo DNS records hacked‬

‫Yaron Orenstein‬ — Fri, 08 Jun 2007 20:58:25 +0000

Two days ago, while looking for information regarding the owner of a certain domain, I decided to check who is the owner of the Google.com domain. Using one of the websites providing the Whois service I discovered that the DNS was hacked by a Russian group called www.web-hack.com.
This hacking group has modified some of Google's records and added information to the end of each specified Google domain.

For example, they modified the main Google.com domain to:
GOOGLE.COM.HAS.LESS.FREE.PORN.IN.ITS.SEARCH.ENGINE.THAN.SECZY.COM
GOOGLE.COM.ZZZZZ.GET.LAID.AT.WWW.SWINGINGCOMMUNITY.COM

Intrigued by these findings I tried the Whois for Microsoft.com and incredibly, this domain’s DNS have also been abducted by the same hacking group, though this one contains some cleverer modifications, such as:
MICROSOFT.COM.WILL.LIVE.FOREVER.BECOUSE.UNIXSUCKS.COM
MICROSOFT.COM.SHOULD.GIVE.UP.BECAUSE.LINUXISGOD.COM

and if that's not enough, Yahoo.com has suffered the same fate:

Two days later, this data is still available to those checking the Whois for these domains. None of the affected companies' IT departments has fixed it.

Sharon Vardi, a security and IT expert, explains: “What happened is that some hackers managed to "poison" the DNS registration information for some companies. This causes the updated information to replicate to all DNS servers worldwide without any ability to control the infection until the data is deleted and replicated again. Such hacking is called DNS poisoning or spam. It is basically harmless and causes no real damage except the messages placed in the DNS records.”

This raises two questions:
1. How come a Russian hacking group manages to hack the DNS records of the three largest Internet companies in the world?
2. While not fatal, why none of these companies has managed to trace and fix it for two days (so far) ?

the.co.ils is the leading Israeli Web2.0 blog, covering and analyzing Internet trends from various aspects, with a focus on the Israeli Web2.0 scene. We are planning on launching our English version soon, so please feel free to add our English RSS feed and be there when it happens.

‫מאמר אורח – Black hAt Marketing – Digg‬

‫מאמר אורח‬ — Thu, 07 Dec 2006 12:31:01 +0000

Black hAt Marketing – כתבה שנייה בסדרה – כיצד לעשות כסף מ-DIGG ודומיו.

במאמר הקודם ראינו הדגמה כיצד BLACK HATS מנצלים את תופעת הרשתות החברתיות ומסוגלים להרוויח כסף על גבם של משתמשים תמימים באתרים כגון MYSPACE. הפעם אתמקד בתחום בולט נוסף והוא ה-SOCIAL BOOKMARKING וכיצד חברינו ה- BLACK HATS עושים מזה כסף….

אתרי SOCIAL BOOKMARKING הם תופעה בולטת בעידן ה- WEB 2.0: כל גולש יכול להעלות לינק לתוכן מסוים (שלו או של מישהו אחר) שהוא מוצא כרלוונטי עבור גולשים אחרים (זה יכול להיות מאמר, בלוג, ידיעה חדשותית, אתר אינטרנט וכו…) וכיום יש אתרים רבים המאפשרים לו לנהל לינקים ("מועדפים") ולשתף אותם עם גולשים אחרים. כמעט ואין אתר תוכן שאין לו אפליקציה המאפשרת לגולשים לבצע סינדיקציה בצורה זו לתכנים שלו.

אחד הנציגים הבולטים של תחום זה הוא אתר DIGG הפופולארי שרובכם בוודאי שמעתם עליו. גם פה יכולים גולשים לשתף גולשים אחרים בתכנים מרחבי הרשת, כאשר אלמנט נוסף הוא אלמנט הדירוג (DIGG IT). בשיטה זו יכולים גולשים להצביע עבור תוכן מסוים, כך שהוא עולה במדד הפופולאריות. משמעות הפופולאריות היא הופעה בעמוד הבית של האתר, דבר המבטיח חשיפה אדירה הטומנת בחובה תנועה לא מבוטלת לאתר בו מופיע התוכן המקורי בעלויות כמעט אפסיות.

כך החל תהליך טבעי של DIGG SPAM ומספר עצום של תכנים שונים ומגוונים החלו למצוא את דרכם אל האתר בצורה זו או אחרת, כמעט ללא שליטה ובקרה. כל בלוגר, בעל אתר או יחצ"ן ברשת ראה לנכון להעמיס את DIGG בתכנים ולקוות לקבל דירוג גבוה. חלקם אפילו ביקשו מחברים וקרובים לעזור בדירוג או הסתמכו על הכלים שנתן האתר. היו כאלה שאף המליצו על שירות אופטימיזציה ל-DIGG (בדיוק כמו SEO). שירות זה ניתח את המילים והכותרות הפופולאריות ביותר באתר מאז שעלה לאוויר והעניק אינדיקציה כיצד לכתוב את הכותרת הרלוונטית ביותר (למשל שילוב המילים TOP 10 בכותרת זכה לדירוג הגבוה ביותר והופיע בממוצע לפחות פעם אחת ביום בעמוד הבית).

Digg בצעד טבעי הכניסו אלמנט של זיהוי ויזואלי לתהליך העלאת התכנים בניסיון למנוע את המבול ואף יצאו למלחמת חורמה ב-BLACK HATS תוך שהם סוגרים חשבונות משתמשים החשודים ב-SPAM, אפילו במחיר של פגיעה בגולשים חפים מפשע.

אז מה עשו ידידינו הנמרצים? הם הבינו ששם המשחק הוא דירוג ולא בזבזו רגע אחד והציעו שירותי דירוג בתשלום לכל מי שרצה לקדם את התכנים שלו ב-DIGG תוך שהם משלמים חלק מההכנסות לכל הגולשים שהצביעו עבור תכנים אלה, כנגד זה ל-DIGG לא היה ממש מה לעשות.

בנוסף צמצמו ה-BLACK HATS באופן ניכר את כמות התכנים שהם העלו ובמקביל החלו לפתוח אלפי חשבונות פיקטיביים באתר ולהצביע באופן אוטומטי עבור התכנים של עצמם תוך שהם מסתתרים מאחורי שרתי Anonymous proxies (מבלי להיכנס לתהליך הטכני, הרעיון היה למנוע מ-DIGG לאתר את מקור הרשע). מי שהתקשה לפתח טכנולוגיות הצבעה אוטומטיות (VOTE BOTS) הצטרף לטרנד ה"גאוני" של קהילות בעלות ייעוד אחד ועיקרי – להצביע אחד עבור השני ב-DIGG ולא משנה מהו התוכן.

אז בעוד שמנהלי האתר החלו לשבת על פיתוח פילטרים כדי למנוע גם את זה, לטשו ידידינו את עיניהם לעבר הגולשים הפופולאריים באתר. הסתבר שיותר מ-50 אחוז מהתכנים הפופולאריים שמופיעים בעמוד הבית של DIGG נשלחו ע"י אותם 100 גולשים כל הזמן (מה שבכלל מעלה תהיות לגביי האובייקטיביות של האתר, שהרי יש הרבה יותר גולשים שמעלים תכנים שלא מגיעים לעמוד הבית, אבל זה כבר דיון אחר).

עכשיו נסו לנחש אתם, כמה מהם קיבלו כסף כדי לקדם תוכן זה או אחר וכמה מהם באמת מעלים תכנים "אובייקטיבים"?…….

הכותב הינו יזם ויועץ בתחום האינטרנט

ינאי הנגבי
yannayh@gmail.com

‫מאמר אורח – Black hAt Marketing‬

‫מאמר אורח‬ — Mon, 20 Nov 2006 22:08:56 +0000

כבר זמן רב שאנו מתכננים להכניס לאתר תכנים של כותבים אורחים והנה הסנונית הראשונה, פרי מקלדתו של ינאי הנגבי. מאמרי האורחים ירחיבו את הנושאים אותם אנו מכסים ויאירו פינות מוכרות פחות של עולם הדוט קום. נשמח לקבל ולפרסם מאמרים איכותיים נוספים בגבולות הגיזרה של הבלוג.

שוק החברות ויזמות האינטרנט גועש ורועש. אינספור רעיונות עוברים מפה לאוזן וכמעט כולם מרגישים שהנה אוטוטו הם הולכים להרביץ את "המכה”. אבל במקביל למוחות הנהדרים שמסתובבים פה, ולכישרונות השיווקיים העולים שלנו, מסתובבים ברשת אנשי צללים העושים כמויות עצומות של כסף מהאינטרנט. אתם אולי לא שמעתם עליהם, והם לא ממש מוזכרים בבלוגים שרובכם קוראים בשקידה, אבל בעוד שרבים מכם רואים מדברים WEB 2.0 וחושבים על מודלים עסקיים, מצליחים טיפוסים אפלים למיניהם לפתח שיטות פשוטות ומתוחכמות כאחד כדי לעשות כסף … הרבה כסף.

את העולם הנסתר והמרתק הזה מובילים מה שאנו נוטים לכנות BLACK HATS ולא, אני לא מתכוון לאותם ספאמרים שמכבדים אתכם במנות גדושות של מיילים מרתקים על הגדלת איבר זה או אחר בגופכם. מבלי להיכנס לניתוח מדוקדק של התופעה ותתי הזרמים השולטים בה, נאמר ש- BLACK HATS נתפסים לרוב כאותם האקרים מרושעים שאנו נוטים לשמוע עליהם רבות בהקשר של פריצות לאתרים וגניבת פרטי כרטיסי אשראי באינטרנט.

ה- BLACK HAT MARKETING אינו עוסק בהשגת רשימת מיילים או כתובת מסנג'ר והפצצתן במסרים שיווקיים. התחכום המאפיין את ידידינו מגיע קודם כל מהבנת הצרכים של הגולשים, ואז ניצולם בצורה זדונית. כן, קראתם נכון: הבנת צרכי הגולשים, אבל בניגוד למומחי ממשק למיניהם ויועצי BRAND, החבר'ה האלה יורדים למכנה המשותף הנמוך ביותר ומוצאים פטנטים שהופכים את החיים של הגולשים לקלים יותר ואת הכיסים שלהם לתפוחים יותר.

חוקי או לא, הנה הדגמה פשוטה: MYSPACE היא אחת מהרשתות החברתיות הפופולאריות ביותר בעולם, עם מיליוני גולשים רשומים. אחד הפרמטרים החשובים ב-MYSPACE הוא רשימת החברים. ככל שיש לך יותר, אתה מן הסתם פופולארי יותר ולכך יש משמעות שיווקית חשובה ביותר, מכיוון שהגישה לחברים היא מהירה ורובם נוטים לקרוא את ההודעות אחד של השני. משתמש ממוצע משקיע זמן רב בשיפוץ ושיפור העמוד האישי כמו גם בנבירה אחרי משתמשים אחרים והצטרפות לקבוצות בעלות מכנה משותף זה או אחר.
מספיק מבט חטוף בדירוג הגולשים הפופולאריים ביותר כדי להבין עד כמה רבים מהם משוועים להכרה והערכה. זה לא משנה מה ה- Day Job שלהם, ב-MYSPACE הם יכולים לזכות לתהילה השמורה רק לכוכבי רוק.

אז מה עשו כמה מידידינו הזריזים?, פנו לגולשים פופולאריים והציעו להם לספק לחבריהם מוצר זה או אחר, תמורת תשלום כמובן, או לצרף אותם כחברים מן המניין. מי שהיה חזק – סירב, מי שלא, מצא את עצמו מוכר את החשבון שלו תמורת כמה ירוקים וכך תעשייה של סחר בחשבונות MYSPACE הגיחה לעולם…. נכון לכתיבת שורות אלה, חשבון עם 1000 חברים שווה ל-10$. עכשיו נניח שאתם מקימים (בדרכי מרמה) ומוכרים 50 חשבונות עם 100,000 חברים כל אחד…

BLACK HATS MARKETERS הבינו שאם יש גולשים שמסוגלים לפתוח עמוד אישי וליצור רשימות של מאות חברים אין שום סיבה שהם לא יצליחו לעשות זאת בעצמם ואז לדחוף את מוצריהם לעשרות ומאות אלפי לקוחות פוטנציאליים…
אז מצד אחד היו לנו שירותים כביכול חוקיים אבל מולם, כמו פטריות אחרי הגשם, החלו להופיע שירותי ADD FRIENDS קצת פחות חוקיים . שירותים אלה הציעו לכל משתמש MYSPACE טיפוסי ליהנות משירות הוספת חברים אוטומטי, כזה שיהפוך אותם לפופולאריים בין לילה (הבנת צרכי הגולש כבר אמרנו?…) וסיפורי הצלחה מטורפים החלו לרוץ באינטרנט על משתמשים שקיבלו 100,000 חברים חדשים בתוך פחות מ-24 שעות .

אחת השיטות החביבות היא התחזות לחשבון אחר ששולח הודעות מכל מיני בחורות שמנסות כביכול להתחיל איתך. ההודעה שנשלחת כתובה בצורה מצוינת ומפתה כך שרבים וטובים נופלים בפח ומצטרפים לרשימת החברים של הנוכל. אם תפתחו את העמוד ותעשו CTRL+ A תגלו קודים חבויים שמטרתם לעקוף את הפילטר של האתר.
גולת הכותרת היא תופעת ה-WHORE TRAIN. אני צריך חבר , אתה צריך חבר, בוא נהיה חברים. פשוט, קלאסי ובלי יותר מדי גינונים. כל מה שצריך לעשות הוא להירשם לשירות , להציע את עצמך כ-"חבר" אצל גולשים אחרים ובתמורה לקבל אוטומטית "חברים" פיקטיביים לרשימה שלך.

בעוד ש-MYSPACE מנסה ותנסה להילחם בתופעה, פתחו ידידינו בעוד חזית. הפעם הם הציעו לכל גולש סט כלים המאפשר לשפר בצורה יוצאת מן הכלל את הפרופיל הגראפי שלו. חברות Pimp space (סלנג שפירושו שיפור הטמפלט הגראפי של המשתמש באתר) לגיטימיות הציעו עיצובים חדשים ותוספות מרעננות לקוד הבסיסי של MYSPACE וגישה לתוכן אדיר של רקעים ואייקונים לפי מצב רוח ועניין. עד כאן הכל טוב וחוקי. אבל זה לא ממש מנע מכל מיני נשמות טובות פשוט לשאוב לאותן חברות את כל התוכן באתר ולהציע את השירות שלהם לכל דורש ו"בחינם". ברגע שהגולש התקין את הקוד הזדוני בפרופיל שלו הוא נהנה מעיצוב מדליק, אבל לא ממש היה לו ברור איך פתאום נוספו לו כל כך הרבה "חברים" שהציעו לו הצעות שונות ומשונות. עכשיו לך תמחק את כל החברים שלך…

לפני מספר חודשים עלתה תהייה בנוגע למהות של MYSPACE וטענה כי זו נבנתה כפלטפורמת SPAM 2.0 מלכתחילה. הטענה המרכזית הייתה שמקימי האתר בכלל הגיעו מתחום הספאם וכי הניסוי הקטן שהם עשו יצא מכלל פרופורציות. מעניין לראות כיצד החבר'ה למעלה עומדים לטפל בתופעה שצוברת תאוצה ולא ממש עושה טוב עם הבייבי של רופרט מרדוק.

ינאי הנגבי

הכותב הינו יזם אינטרנט ויועץ בתחום האינטרנט
yannayh@gmail.com

‫פרופיל חברה: SecureOL‬

‫ירון אורנשטיין‬ — Sun, 11 Jun 2006 20:59:21 +0000


חברה: SecureOL	שנת הקמה: 2005
כתובת האתר: www.secureol.com	גיוס כספים: מליון דולר מהמדען הראשי ואנג'לים פרטיים
יזמים: זאק דחוביץ וירון מאיר	בשלות השירות: Public

אז מה בדיוק אתם עושים?
מחשבים חד פעמיים. לכל אחד מאיתנו יש משהו שהוא רוצה לעשות על המחשב שלו אבל פוחד. הרצאות ההפחדה למשתמשי המחשב, הוירוסים והספייורים למיניהם גרמו למצב שבו יש פחד בקרב משתמשי מחשבים. כלומר, אנשים משקיעים המון כסף בקניית מחשבים ותוכנות לצרכים שונים: עבודה משרדית, עריכת מוזיקה, צפיה בסרטים או סתם משקולת מהבהבת בחדר אבל פוחדים אפילו להדליק את המחשב. המחשב החד פעמי הוא כמו צלחת חד פעמית, קח, תשתמש, תהנה, כשנמאס לך ממנה זרוק וקח חדשה. במחשב החד פעמי אפשר להתקין כל מה שרוצים וגם לגלוש לכל מיני אתרים שאתה לא רוצה שאיש ידע שביקרת בהם.

איך התגבש הרעיון?
בתחילה הכוון היה נטו אבטחת מידע, לבנות את המחשב הכי מאובטח, לייצר סביבה הגורמת לכל תוכנה לעבוד בנפרד מסביבתו האמיתית של המשתמש ויחד אם זאת נגישה למשמש ואינה מודעת לכך שהיא (התוכנה) מופרדת מסביבתו האמיתית של המשתמש. בסביבה מסוג זה וירוס הוא חסר משמעות – גם כאשר הוא תוקף הוא תוקף מקרה נפרד וחד פעמי של תוכנה אשר יושבת בסביבה מופרדת מסביבתו האמיתית של המשתמש.
פרט לזה שהשוק לא רצה את המוצר, יצרנו לעצמנו תחרות שאי אפשר לנצח בה. השאלה התמידית כמה וירוסים אתם עוצרים נשמעה תמיד כואבת כאשר התשובה היתה הכל ואילו סימנטק עוצרים 100,000. בעיה נוספת היתה להוכיח עד כמה המוצר בטוח, כיום אין גוף שמדרג בטיחות, אין דבר כזה, ואז בלי לשים לב יצרנו בעיה חדשה נוספת, התחרות באנטי וירוס. בתחרות הזאת לנצח אי אפשר, מאות מיליונים מתקינים מוצר שכמעט ולא עושה כלום ומשלמים על זה כסף יחליפו את המוצר ? התשובה היא לא.
מהמוצר המסובך הזה עברנו למוצר פשוט יותר, מוצר לסביבה העסקית שיש לך היכולת להפריד בין העבודה לאינטרנט שכל כך צריך. המודל היה יותר טוב אבל כאשר עובדים עם ארגון צריך לפחות 150 אנשי תמיכה ואנשי ליטוף טכנאים כדי שהמוצר יצליח. מה עוד שמעגל המכירה היה מעל ומעבר לחברת סטארט-אפ צעירה. במקרה הטוב, 3 חודשים להגיע לאינטגרטור רציני, 3 חודשים מיש-מש, 3 חודשים פיילוט ובחינה ו-3 חודשים התקנה באתר, לפחות. המוצר חייב להיות 110% מוגמר, כל תקלה עוצרת לפעמים עבודה של שנה.
בשלב הזה הבנו שיש לנו טכנולוגיה מדהימה אבל בעיה עם הכוון, חברת סטארט-אפ קטנה מירושלים לא יודעת להעניק את השרותים שמעניק ארגון גדול, תמיכה, כוסות עם לוגו, דגלונים וכל מיני פינוקים ללקוח מה כן שמעגל המכירה היה מסובך. נשאנו עיניינו לשוק שלעניות דעתי היינו צריכים להתחיל ממנו. הבית. עלות התקנה ב 10,000 מחשבים שוות ערך לכרטיס טיסה לארה"ב. גם אם המוצר לא מתפקד הכי טוב אצל אחת המשתמשים זה לא הורס את התהליך מכירה ויותר חשוב, הרבה יותר קל לשלם $29.95 לרשיון מאשר 100,000$.
עצרנו וחשבנו, מה מטריד את המשתמש הבייתי, שההגדרה שלו היא:

1. יודע להתחבר לאינטרנט

2. יודע להוריד תוכנות

3. מפוחד לחלוטין מהמחשב כי הבהילו אותו מהמון וירוסים

4. דורש פרטיות. בנוסף, לשווק למשתמש הבייתי מוצר פרטיות או מוצר אבטחה מעמיד אותנו בבעיה של תחרות מול 250 אנטי וירוסים וכ-1000 אנטי ספייוורים עם פיירוול.

צריך היה למצוא טוויסט חדש. אם כולם אומרים "אל תעשה" למה שאנחנו לא נגיד "כן תעשה" כן תתקין תוכנות, כן תתקין COOKIES, כן תתקין את החייכנים וכן תגלוש בכל מיני מקומות בלי פחד – במקום להגיד "לא" אמרנו "למה לא" !
וככה נוצר ה- VELITE – Virtual Environment Lite

כיצד הפך הרעיון למציאות?
גייסנו כסף מהמדען הראשי במסגרת פרוייקט החממות הטכנולוגיות, גייסנו כסף פרטי, גייסנו אנשים מעולים, החלטנו על משכורות של 20% ממה שכל אחד מאיתנו קיבל קודם (דמי כיס) והתישבנו ליצר קונספט ראשוני ועובד. אחרי כמה חודשים זה עבד, אומנם לא הכל אבל זה עבד, לקח לנו זמן, הרבה זמן לייצר מוצר, להחליף ולייצר שוב. בפעם הבאה אני מגייס יותר כסף בשלבים הראשונים

מה מייחד את הרעיון שלכם משאר השירותים/מוצרים הקיימים?
קודם כל מדובר במוצר ראשון שעובד! הוא משלב יכולת וירטואליזציה עם קונספט של שימוש המחשב. לעניות דעתי אף מוצר לא מצהיר "תעשה מה שאתה רוצה" ואף מחשב וירטואלי כמו VMWARE, XEN ו- VIRTUALPC לא עובד בתוך 2 דקות.

מהם האתגרים בניהול מישראל של עסק הפונה לקהל בינלאומי?
הכלל הכי חשוב, קהל בין-לאומי – אל תבנו מוצר בשביל ישראל, אנחנו עם מיוחד שלאו דווקא מייצג את השוק העולמי. לדוגמא, בישראל אבטחת המידע היתה הדבר הכי לוהט, אך כאשר הצגתי את הפתרון בבנק מרכזי בניו יורק כפתרון אבטחה אמרה לי מנהלת התשתיות "אבטחת המידע זה פרט קטן, זה בכלל לא מה שמעניין אותנו" העולם צריך להיות על הכוונת, לא השוק המקומי.
העולם הוא לא ישראלי, הם אוהבים ניירות ברורים, תוכניות עסקיות ברורות, מסמכים גמורים ולא אוהבים חיתוך פינות. בסקיוראואל, עבדנו בעיקר עם דנמרק, אנגליה, צרפת, ארצות הברית והודו. התרבות, השפה והגאוגרפיה שונים. לארגון או לקרן הון סיכון בארה"ב ללא נציגות בישראל אין דרך לבטוח במה שהולך פה. מבחינתם זה כמו לקנות דירה באפגניסטן כשהם רק ראו את הברושור. החשיבה שלהם והתפיסה התרבותית היא קשה, והתלהבות שלנו הישראלים והנמרצות יוצרת אצל חלקם תחושה שאנחנו וולגריים. דנמרק, זו חוויה מיוחדת במינה, המיסוי זהה לישראל , מזג אויר נפלא, שוק קטן אבל עדיין חובה לעבוד איתם. הליכה שגרתית ברחוב תגרום לנקע בצוואר, כל בחורה שניה היא עותק של קלאודיה שיפר, 1.80, גוף מדהים, בלונד ועיניים כחולות, חובה לפתוח שם נציגות – שילוב נדיר של ביזנס ופלז'ר.

מה היעדים העתידיים של העסק?
אנחנו מתמקדים בהגברת המכירות של המוצר והתאמת המוצר למערכת ההפעלה VISTA.

מהן ההמלצות או התובנות שיש לכם עבור יזמים ישראלים אחרים?
יש המון המלצות אבל הנה 4 החשובות ביותר
(1) השותפים והצוות זה הכל, הרעיון הוא משני. אם אין כימיה עם השותפים שלך, אל תתחיל!
(2) לפני שאתה מתחיל לעבוד תשאל את עצמך: 1. איך עושים מהרעיון כסף ? 2. למה אתה יותר טוב מהמתחרים ? 3. למה בדיוק זה מעניין את הלקוח שלך?
(3) תמיד יגידו לך שיש מי שכבר עושה את זה, תזכור – VOIP היה קיים 10 שנים לפני SKYPE
ההמלצה הרביעית:
איש בגד עם אשת איש והולך לבקש מחילה מהכומר. אומר לו הכומר, ספר לי עם מי היית ואתן לך מחילה. האיש מסרב לספר לכומר, הכומר אומר לאיש, תגיד לי זו היתה אולי גברת רובינסון ? עונה לו האיש לא.
שוב מנסה הכומר ושאול, היתה זו אולי גברת לוי ? האיש עונה לו בשלילה. שואל הכומר שוב, היתה זו העובדת החדשה בסופר-מארקט? שוב עונה לו האיש לא. הכומר מתעצבן ומגרש את האיש.
פוגש את האיש חבר ושואל איך היה ? עונה לו "מחילה לא קיבלתי אבל 3 LEADS חדשים יש".
אל תפחדו לשמוע "לא".

המסקנות:

ומה אנחנו אומרים? הרעיון מצויין והמוצר, כפי שניסינו, לא רע בכלל. הבעיה היא בחינוך השוק. המודל של Shareware בו נוקטת החברה אינו בלתי אפשרי אך הוא בעייתי בשל עלות הבאת הלקוח הגבוהה. דוקא במוצר כמו זה, המתאים הן לסביבה הביתית והן לסביבה העסקית, המודל של חלוקה בחינם ללקוחות פרטיים וחיוב רק על התקנות מוסדיות נראה לנו נכון יותר.

‫סופה של הצפרדע הכחולה‬

‫העורך‬ — Wed, 17 May 2006 16:49:12 +0000

בראיון ל- Wired מודיע ערן רשף, מנכ"ל Blue Security, על הפסקתם של שירותי האנטי ספאם של החברה. נעשים מאמצים לשנות את ייעוד החברה ולהשתמש בתשתיות הטכנולוגיות והאנושיות שבה לכיוון הנבחר החדש. ציינתי בפוסט הקודם בנושא שעוד מוקדם לחזות כיצד תסתיים הסאגה, אך לא ידעתי כמה מהר תסתיים…

זו היתה אמורה להיות שעתה הגדולה של Blue Security. המלחמה שניהלה עד אז בהצלחה לא מבוטלת, כשהיא "משכנעת" שישה מעשרת הספאמרים הגדולים להניח למשתמשיה, הגיעה לשיאה. כעת, המהלומה שהנחיתו הספאמרים על רשת הבלוגים של Six Apart בה התארחה הייתה אמורה להניע את משתמשי האינטרנט ורשויות החוק להתגייס מאחוריה ולסיים פעם אחת ולתמיד את חוצפת הספאמרים.

למרבה ההפתעה, משתמשי האינטרנט קמו על Blue Security והאשימו אותה באחריות לנפילה, רשויות החוק לא הצליחו או לא רצו למנוע את מתקפות הספאמרים, והשירות עצמו לא הצליח להתמודד עם מתקפות אלה והיה מושבת בחלקו או במלואו בשבועיים האחרונים.

יש לי תחושה שישנם רבדים סמויים בסיפור הזה וכי גורמים בעלי השפעה פועלים בו מאחורי הקלעים, אך כבר אפשר לסכם כי לעולם אתה יודע כיצד מלחמה מתחילה אך אינך יודע כיצד היא מסתיימת ולפני שאתה יוצא למלחמה שכזו כדאי שתדאג כי:

דעת הקהל העולמית מאחוריך
יש לך את האמצעים לנהל קרב בלימה ומתקפת נגד
יש ברשותך אמצעים להפעיל את צבא המילואים שלך
אינך מסתמך על נשק יום הדין

ל- Blue Security היתה דעת קהל בעייתית ואף עויינת, ההגנה על האתר לא החזיקה מעמד והחברה לא הצליחה לשתק את הגורמים שהתקיפו אותה. כשהגיע הרגע המכריע נכשלה החברה בהשמשת חצי מליון המשתמשים שלה שהיו שמחים להטות שכם במאבק והדרך היחידה שלה לשתק את המתקפה היתה להשתמש באותן טקטיקות האקרים שהופנו נגדה ולעבור על החוק. לחברה, בנגוד לספאמר, אין את הפריווילגיה של פעילות מחוץ לחוק.

החוכמה שבדיעבד היא הקטנה שבתבונות, אך מישהו היה צריך לחשוב על זה לפני שיצא למלחמה מול גופים המרוויחים מליונים מספאם. לפי מידע שקיבלנו, הספאמר PharmaMaster שהתקיף את Blue Security מגלגל מחזור של יותר משלושה מליון דולר בחודש והוציא סכומי עתק על המתקפה. הכסף הושקע בפיתוחו והפצתו של וירוס ייעודי ל- Blue Security וזאת על ידי האקרים מהטובים בעולם.

מול שילוב כזה של עזות מצח, משאבים ויכולת "מקצועית" ובמגבלות החוק הקיים לא היה להם סיכוי. אך מדוע לצאת לקרב בו אין לך סיכוי לנצח?

ועכשיו, למישהו יש רעיון לתוכנת אנטי ספאם שדרכיה דרכי נועם וכל נתיבותיה שלום?

‫מה עובר על Blue Security‬

‫ימי גליק‬ — Sun, 07 May 2006 07:09:05 +0000

עוד מוקדם לחזות כיצד תסתיים הסאגה של Blue Security, אך היא מעלה מספר לא מועט של נושאים הראויים להתייחסות. למי שטרם שמע, להלן התקציר:החברה הישראלית היא מפעילת שירות בשם Do Not Intrude Registry המספק הגנה מפני דואר זבל- Spam. כאשר אתם מקבלים הודעת זבל אתם מדווחים עליה לשירות ואם השולח אינו חדל ממעשיו הרעים קהילת המשתמשים, המונה כמעט חצי מליון איש, מפציצה את השולח באמצעות תוכנת Blue Frog בהודעות ומשבשת את יכולת העבודה שלו.תג המחיר שגובה קהילת Blue Security גורמת לספאמרים שלא להתעסק עם חבריה אך ספאמר זועם החליט לגבות מחיר בחזרה והוא פתח בהתקפה על שרתי האינטרנט של Blue Security. השרתים נפלו וקברניטי החברה חיפשו דרך לחדש את התקשורת עם העולם החיצון. הפתרון לפי הטענה היה להעביר את כתובת ה-DNS של שרת האינטרנט מהכתובת המותקפת לכתובת של הבלוג המאוכסנת על מערכת הבלוגים TypePad מבית Six Apart. ההתקפה עברה גם היא לכתובת החדשה ורשת אתרי Six Apart קרסה, יחד עם קרוב ל- 2 מיליון אתרי הבלוגים שהיא מארחת. The shit has hit the fan ולמרות שבהודעותיה (עדיין) לא תקפה Six Apart את Blue Security הרי שבלוגרים זועמים רבים האשימו את Blue Security באחריות ישירה לאירוע וביקרו את טקטיקת ה-"לוחמת אש באש" שהיא נוקטת. בהסלמה נוספת, שלחו ספאמרים הודעות איום למשתמשי Blue Security. רבותי – הם יודעים איפה למצוא אתכם. הנה ההודעה השניה שקיבלו המשתמשים:

Dear Blue Frog Member,

As a follow-up to our previous emails, and, as promised, we are stepping up in the fight against Blue Security.

The Blue Frog member email database has been compromised, and is currently being distributed worldwide to spammers and to the public. Attached to this email, you will find a zip file of the Blue Frog database, which includes your own personal or business email address(es). If you have not uninstalled Blue Frog yet, we highly suggest you do so now in order to avoid your involvement in this war any further.

Leaving your email address on the Blue Frog list is a risky choice, as we will uphold our promise not only to increase your spam by 20 times the amount you are receiving now, but to continue to make this list publically available as well. Also, as the Blue Frog member database is updated, we will find more creative ways in which to use it, and frequently release it to whomever we wish.

ישנם לא מעט נושאים שמעלה האירוע. הוא מדגים עד כמה עדינה היא רשת האינטרנט וכמה בקלות יכול גורם בודד לשתק חלקים לא מבוטלים ממנה. אני מקווה שישנם אנשים ששנתם מודרת בימים אלה כשהם חושבים מה תא טרור קטן יכול לעשות לאחד מאפיקי המידע והמסחר העיקריים של העולם המערבי. הפגיעות הזו לא יכולה להמשך.

הדבר השני שמבליט האירוע הוא נטייתם של אנשים להאשים את הצד המתגונן אקטיבית. אנשים רוצים שקט תעשייתי ואם המחיר הוא 100 הודעות זבל ביום – הם ישלמו אותו. במלחמה יש נפגעים ורוב האנשים רוצים לנהל את הבלוג שלהם בשלווה בלי שכל מיני חברה מהמזרח התיכון ינהלו את מלחמותיהם בספאם על גבם. ומה בנוגע למשתתפים בשירותי אנטי-ספאם, העלולים למצוא את עצמם תחת מתקפה אישית מצד הספאמרים. האם יהיו המשתמשים מוכנים להמשיך במלחמה כאשר זו תגבה מהם מחיר אישי? האם יתערבו רשויות החוק בחשד להטרדה?

בעיה נוספת היא שיקול הדעת שהוביל להעברת ה- DNS ל- TypePad שהוא, לטוב ולרע, ישראלי להכאיב. לטוב – מדובר בפתרון אד-הוק יצירתי, לרע – הוא מעביר את הבעיה לפתחו של מישהו אחר. עבודה בסביבה גלובאלית מחייבת נקיטה בסגנון מתאים ומי שיזלזל בערכי ההתנהגות המקובלים בעולם עלול לזכות לתביעות ייצוגיות המקובלות בעולם. אנשים, בשביל זה ברא האל הטוב יועצים משפטיים.

האירוע יהרוג או יחשל את Blue Security. תביעה ייצוגית או צונמי של "עליהום" מצד בעלי בלוגים שנפגעו יכולה לחסל את החברה אך במקביל היא רוכשת מליוני תומכים שמזדהים עם מטרותיה ועם האמצעים שהיא נוקטת להשגתם. ידיד שלי טוען ש-"גם פרסומת שלילית היא פרסומת" ותוך שבוע יהיו מעט מאד אנשים בבלוגוספירה ומעבר לה שלא ידעו מי היא Blue Security. תחשבו כמה זה היה עולה בקמפיין באנרים…

נשמח לשמוע מה החבר'ה מ- Blue Security חושבים…

‫תשלומים ברשת – כולם רמאים‬

‫ימי גליק‬ — Fri, 28 Apr 2006 07:53:49 +0000

כשמדברים על בעיית התשלומים ברשת מדברים בדרך כלל על fraud. אך גם אם סטטיסטיקת הרמאויות ממשיכה להדאיג הרי שאבדן ההכנסה והנזקים העקיפים הנובעים מההתמודדות איתה עולים בנזקיהם על הבעיה שבאו לפתור. בתחומים דוט קומיים קלאסיים (תכנים, כלי ניהול מידע, תקשורת, היכרויות וכו') מתקיים ממש אבסורד שכן לשירות אינטרנטי אין בדרך כלל עלות ייצור ליחידה, או שעלות השירות למשתמש שולית ולפיכך אין ברוב המקרים הפסד מרכישה ברמיה של השירות. ההגנה מפני רמיה, לעומת זאת, יכולה לפגוע בכ- 50% ממחזור ההכנסות של השירות. לא סביר בכלל.באופן כללי, ישנן שלוש קטגוריות של בעיות ישירות העומדות בפני עסקים מקוונים בהקשרי התשלום השונים:

דחיה (rejects) – חברת הסליקה מסרבת לחייב את אמצעי התשלום
הבעיה הנפוצה ביותר היא סירוב חברת הסליקה לעבד את התשלום. לסירוב סיבות רבות ומגוונות, החל מהיסטוריה בעייתית של המשלם ופסילה של אמצעי התשלום הספציפי (fraud) דרך סירוב חברת הסליקה לכבד אמצעי תשלום של גופים מסויימים (בנקים, חברות אשראי), וכלה בפסילה גורפת של מדינות שלמות (מי אמר ניגריה?).
בעבודה עם לקוחות בינלאומיים יכול היקף הדחיה להגיע בקלות ל- 20 עד 40 אחוז, בכפוף לסוג המוצר הנמכר וסוג הלקוחות אותו הוא מושך – פחות בתוכנה, יותר באביזרי מין.
דחיית תשלומים אמנם מגינה על המוכרים (כשם שהיא מגינה על הסולק) אך גם פוסלת בדרך כמות עצומה של לקוחות הגונים הנפגעים עד עמקי נשמתם ופונים להשקיע את כספם במקום אחר. במצבים בהם ישנם 30-40 אחוזי דחיה בהחלט ייתכן והעסק מחמיץ 20% של עסקאות אמת מהמחזור המקוון שלו.

החזר (Refunds) – הלקוח פונה לחברה או לסולק לקבלת כספו בחזרה
הטענות נעות בין "לא הזמנתי", "הזמנתי משהו אחר", "לא קיבלתי", "הילד הקלפטומן שלי הזמין את זה" ו-"התחרטתי" כאשר ישנן עוד אי אלו סיבות, אקזוטיות יותר, למשל "אני סובל מסינדרום קניה כפייתית".
להבדיל מדחיית תשלום, ההחזר מתבקש בסיום תהליך המכירה ובשל כך דורש התערבות אנושית של מחלקת התמיכה שתבחן את הנושא ותחליט על הצעדים הדרושים. מעבר לזמן הטיפול הנדרש ישנה גם עלות טיפול מצידו של הסולק ובמקרים רבים נדרש המוכר להשאיר בידו של הסולק את עמלת הסליקה היכולה להגיע גם ל-10% מסכום העסקה.

Chargebacks – הלקוח פונה לבנק לביטול העסקה
חוסר הצלחה לקבל החזר או ויתור מצד המשלם על פניה למוכר או לסולק יכולים להוביל לפניה ישירה של הלקוח לבנק או לחברה המפיקה את אמצעי התשלום בטענה "לא הזמנתי" או "לא קיבלתי" ולהוצאת Chargeback המשנע עבור המוכר תהליך יקר בזמן ובכסף. תהליך זה מתחיל בפניה רשמית של הבנק או חברת האשראי לסולק ודרכו למוכר, עליה יש לענות במכתב רשמי. הסבר בלתי מספק או העדר תגובה – והדרישה לסולק להחזר תשלום גובה ממך את סכום העסקה ועלות טיפול נדיבה.
חריגה מאחוז מסויים של Chargebacks והסולק מבטל איתך את החוזה או קונס אותך בכמה עשרות אלפי דולרים – לבחירתך.

הנזקים הנובעים מבעיות תשלום בשרת הם עצומים וכפי שציינתי בתחילת הפוסט – לא קשה למצוא שירותים אינטרנטיים גלובאליים שאינם מצליחים לסלוק גם חצי מהתשלומים המתקבלים במערכת.

הפתרון היחיד שיאפשר לסולקים להסיר את המחסומים, או לפחות את חלקם, ולאפשר למוכרים להתגונן בפני טענת ה-"זה לא אני" הוא אמצעי זיהוי שיבטיח כי המשתמש באמצעי התשלום הוא אכן בעליו החוקיים. השימוש ב- pin number (המספר שמאחורי כרטיס האשראי) עוזר מעט אך רחוק מלספק. יש למצוא פתרון רדיקאלי בהרבה אך ללא עלויות נלוות כפי שמתחייב ממכשירים ביומטריים.
יש לכם רעיון לסטארט אפ? המוצא הישר יבוא על שכרו.