מומחה: האחידות בעולם המיחשוב מסוכנת

דן גיר פוטר לאחר שהציג את רעיון ה'תרבות המונוליתית' השאוב מתחום הביולוגיה. לטענתו, חוסר הגיוון שיצרה מיקרוסופט במיחשוב העולמי עלול לגרום לאסון. מיקרוסופט מוכנה לדון בנושא

דן גיר איבד את עבודתו אך זכה לקהל מאזינים עולמי. המניע לפיטוריו של מומחה האבטחה עורר את הדיון הרציני שנערך בחודשים האחרונים בקרב אנשי מיחשוב ותעשיית המידע. הטיעון שלו, השאול מתחום הביולוגיה, גורס כי מיקרוסופט טיפחה 'תרבות אחידה' (MonoCulture), שמאיימת על אבטחת המידע העולמית.

 

גיר ומומחים נוספים מאמינים כי העובדה שהתוכנות של מיקרוסופט כל כך נפוצות היא שהופכת אותן למסוכנות. לראיה, די בכך שווירוס ינצל פירצה אחת במערכת ההפעלה Windows כדי לזרוע הרס במאות אלפי מחשבים ברחבי העולם. רק בשבוע שעבר הזהירה החברה מפני פרצות אבטחה המוגדרות קריטיות, לאחר שמחשבי הגולשים היו חשופים במשך 200 ימים בטרם תיקנה מיקרוסופט את התקלה.

 

גיר פוטר

 

גיר, 53, בעבר מנהל הטכנולוגיה בחברת אבטחת המידע Stake@, שמיקרוסופט היא בין לקוחותיה הגדולים, פוטר מהחברה בעקבות ויכוח שניהל באמצעות מסמך שפירסם ובו טען כי ה'תרבות האחידה' של המונופול מגבירה את הסכנות באינטרנט. גיר עמד בראש קבוצת מומחי אבטחה, שחיברו דו"ח בשם "אי בטיחות בסייברפייס: עלות המונופול" (CyberInsecurity: The Cost of Monopoly).

 

הדו"ח, שהוצג בשנה שעברה בכנס של האיגוד לתקשורת ומיחשוב (CCIA), ארגון שפועל למען מערכות ורשתות פתוחות, קובע כי הסתמכות הממשל האמריקני ושוק המיחשוב על תוכנות מיקרוסופט מסוכנת לביטחון הלאומי של ארה"ב. המומחים קראו לממשל האמריקני לגוון את התוכנות עליהן הוא מתבסס, ודרשו ממיקרוסופט לשפר את התאימות של תוכנותיה עם יישומים של חברות אחרות ומפתחים.

 

על פי מחברי הדו"ח, הבעיה העיקרית היא התבססות יתר של תאגידים וממשלות ברחבי העולם על מוצרי מיקרוסופט. "תרבות המיחשוב המונוליתית", אמר ברוס שנייר, אחד מחברי הצוות ומומחה אבטחה מוערך בתחומו, "כל עוד רוב המחשבים יפעילו את אותה מערכת הפעלה – הם פגיעים".

 

גיר סבור כי ככל שתשתית המיחשוב העולמית גדלה, הפגיעות למתקפות גדלה עוד יותר. לדבריו, ניסיונותיה של מיקרוסופט לשלב יישומים בתוך מערכת ההפעלה שלה תרמו למורכבות המערכות ולפגיעותן. הידרדרות רמת האבטחה ניכרת לעין, כאשר כל כמעט המחשבים מתבססים על מערכת הפעלה יחידה, אשר נתונה לאותם כשלי אבטחה בכל העולם, קבעו מחברי הדו"ח.

  

"באופן אירוני למדי, הניסיונות של מיקרוסופט למנוע תאימות בין Windows ליישומים אחרים יצרה סביבה שבה תוכנות מיקרוסופט פועלות בתאימות רק עם וירוסים ממוחשבים", ציין גיר. זמן קצר לאחר פרסומו, הדו"ח עורר עניין תקשורתי, והוויכוח עבר גם לפורומים מקוונים ואתרים כמו slashdot.org. 

 

רעיון התרבות המונוליתית

 

בביולוגיה, זנים שלא מתרחשים בהם שינויים גנטיים רבים - המכונים 'תרבויות מונוליתיות' - הם הפגיעים ביותר למגפות הרות אסון. זנים שחולקים פגם אחד קטלני יכולים להיעלם לחלוטין עקב פגיעה של וירוס המנצל את הפגם. גיוון גנטי מגדיל את הסיכויים שלפחות חלק מהזן ישרוד את המתקפה.

 

גיר, בעל דוקטורט בביוסטטיסטיקה מאוניברסיטת הרווארד, מסביר: "כשאני מפקפק במשהו, אני שואל את עצמי, 'איך הטבע עובד?'. זה מה שהוביל אותי לחשוב על סיכונים משותפים, אחר כך על 'תרבות מונוליתית', ולבסוף על מגפה. משום שהרעיון של מגפה אינו שונה מהמצב של האינטרנט היום".

 

אין פתרון הגיוני

 

גיר אינו הראשון שטען כי ההגיון של וירוסים חיים תקף גם כלפי וירוסי מחשב, וכי שליטתה של מיקרוסופט על עולם המחשוב, והאינטרגציה ההדוקה שמשולבת במוצריה - הופכת את עולם המיחשוב לפגיע.

 

"הרעש מסביב לפיטורין של גיר תרם לטיעון מימד נוסף", אמר ברוס שנייר, "הוא פוטר בגלל ש-Stake@ ריצו את האדונים שלהם. אבל התוצאה הישירה הייתה כי העניין רק גבר, בדיוק כפי שקורה כאשר הכנסיה מחרימה סרט מסוים - מיד כולם רוצים לראות אותו".

 

מיקרוסופט, שהכחישה כי הפעילה לחץ על Stake@ כדי לפטר את גיר, מסרה כי ההשוואה בין מחשבים ליצורים חיים נכונה רק עד רמה מסוימת. "ברגע שמתחילים להשוות - נקלעים לתסבוכת", אמר סקוט צ'ארני, אסטרטג אבטחה בכיר במיקרוסופט. לדבריו, 'תרבות מונוליתית'' היא תיאוריה שאינה מציעה שום פתרון הגיוני. שימוש גדול יותר בלינוקס, מערכת ההפעלה המתחרה, עשוי ליצור "תרבות זוגית" (DuoCulture), אבל לא בהכרח תרתיע האקרים מתוחכמים מלתקוף את שתי המערכות גם יחד.

 

מגוון אמיתי, מציין צ'ארני, דורש שימוש באלפי מערכות הפעלה שונות, שיהפכו את השילוב בין מחשבים ורשתות לבלתי אפשרי למעשה. בלי ה'תרבות האחידה' של מיקרוסופט, הוא אומר, מרבית ההתקדמות בתעשיית המידע לא יכלה להתרחש.

 

גם בבית הלבן מודאגים

 

מומחים נוספים, שאינם עובדים במיקרוסופט, מטילים ספק בתיאוריה. יועץ האבטחה, מרקוס ראנום, מדגיש כי איומים רבים על רשתות כלל אינם נוגעים לפגיעות של רעיון ה'תרבות האחידה'. שתילת שלושה זנים של תירס מבטיחה הגנה מפני חלק מהמחלות, הוא מציין, אבל ללא גדר - החיות יאכלו את שלושתם. עם זאת, ראנום טוען שהתאוריה של גיר לא היתה "הופכת לסיפור" אם Stake@ לא היתה נוקטת בצעד טיפשי במיוחד כשפיטרה את דן.

 

תיאוריית התרבות האחידה של המיחשוב ממשיכה להתפשט למרות הביקורת. בשימוע שנערך באוקטובר בתת ועדת הטכנולוגיה של ועדת הרפורמה של הבית הלבן, נשאל סטיבן קופר, מנהל המידע הראשי במחלקת ה-Homeland Security, שאלות לגבי פגיעותו של הממשל האמריקני בעידן ה'תרבות האחידה'. קופר הודה כי זו אכן דאגה מוחשית, וכי המחלקה בוודאי תרחיב את השימוש בלינוקס ו-UNIX כאמצעי זהירות.

 

רעיון ה'תרבות המונוליתית' משפיע גם על הדרך בה המומחים מחפשים פתרונות לבעיות אבטחה. מייק רייטר מאוניברסיטת קרנגי מלון וסטפני פורסט, ביולוגית מאוניברסיטת ניו מקסיקו, שמפיקים לקחים על אבטחת מידע מהתנהגותם של יצורים חיים כבר שנים, קיבלו לאחרונה מלגה בסך 750,000 דולר מהקרן הלאומית למדע, על מנת ללמוד שיטות לגיוון אוטומטי של קוד מחשב.

 

דניאל דובארני ור. סקאר מאוניברסיטת סטוני ברוק בניו יורק מפתחים "מוטציות השפירות", פרויקט שיאפשר לשפר תוכנות, תוך שמירת החלקים הפונקציונליים של הקוד וויתור על חלקים לא פונקציונליים שלעיתים קרובות מהווים מטרה לווירוסים.

 

לא לפרק את מיקרוסופט

 

גיר, שממשיך לייעץ, להרצות ולאחרונה אף החל לעבוד בחברת סטארט אפ, מאמין שהתאוריה שלו מתווה את הדרך לפתרונות אפשריים, דרמטיים בחלקם, שלא תמיד נוסו. הפתרונות הללו כוללים, למשל, הרחקה מהאינטרנט של כל מי שלא עידכנו את תוכנת האנטי וירוס שלהם. 

 

הוא לא מאמין שהתשובה לבעייה היא פירוק מיקרוסופט , למרות שהמסמך שלו פורסם במימון גוף שתמך באופן נלהב בתביעה של הממשל האמריקני נגד המונופול, שניסתה, בשלב ראשון, להביא לפירוק המונופול לכמה חברות קטנות. לדעתו, החברה צריכה לסגת מרעיון האינטגרציה ההדוקה בין מוצריה. מיקרוסופט טוענת בתוקף, כפי שטענה בזמן המשפט, כי האינטגרציה הזו היא הלב של מוצריה.

 

גם צ'ארני אינו מבטל את בחינת תחום אבטחת המידע במבט ביולוגי. "למרות שהמגוון הביולוגי של 'תרבות אחידה' עשוי להיות יותר מורכב ממה שאנשים חשבו, ייתכן שאפשר למצוא באמצעותו כמה מקבילות בין הביולוגיה לעולם המיחשוב", הוא אומר. גיר מכנה תגובות כאלה כהוכחה לכך שהרעיון זוכה לתהודה. "כעת מיקרוסופט מוכנה לדבר על הנושא, בעוד בעבר היא נמנעה מכך", הוא אומר.