Ebben az írásban a FUD jelentését, működését fejtem ki, és adok pár egyszerűbb példát is rá. Végül némi útmutatóval szolgálok a FUD elleni harchoz.
Angol rövidítése a „Félelem, bizonytalanság és kétség” (Fear, Uncertainty, Doubt) kifejezésnek1. Először az Amdahl cég alapítója használta, mikor az IBM gépekkel kompatibilis eszközöket kezdett gyártani. Az IBM értékesítői elkezdtek olyan híreket és pletykákat terjeszteni, hogy ha valaki IBM gépéhez Amdahl kiegészítőket vásárol, akkor változatos hibák várják, míg ha tisztán IBM eszközöket használ, övé lesz a kegyelem.
Természetesen ebből egy szó sem igaz, az Amdahl termékek kompatibilisek voltak az IBM eszközökkel, csak monopólium-felár nélkül, azaz jóval olcsóbban. Az IBM nem kívánt árakat csökkenteni, nekilátott hát ennek a lejáratókampánynak. Sajnos sikerrel járt, az Amdahl kimúlt ebből az árnyékvilágból. Bizonyos mértékig a sors igazságosságát jelzi, hogy mikor az IBM elkezdett kötődni a Linuxhoz, és általában a szabad szoftver közösséghez, megkapta a maga kiadós adagját ebből, és igen eredményesen harcol ellene.
Tehát a FUD röviden: a tényekkel laza kapcsolatban lévő állítások, melyek alkalmasak valamilyen termék vagy szolgáltatás iránti bizalom megrendítésére. Azok, akik életüket a bazsarózsa nemesítésének szentelik, ritkán találkoznak ilyesmivel, akik a bánáti bazsarózsához éreznek kötődést, már gyakrabban. A FUD forrása ugyanis rendszerint valamilyen nagy, gazdag, hatalmas szervezet. A bánáti bazsarózsa esetében mondjuk a NATO, a Linux esetében a Microsoft. Szemben a NATO-val, ami egy decens, demokratikus szervezet, ennek megfelelően ritkán folyamodik alantas praktikákhoz (történetesen tudtommal a bánáti bazsarózsa esetében sem tett ilyet), a Microsoft igen gyakran, hiszen őket csakis a profit érdekli.
A FUD működési mechanizmusát legszebben Churchill világította meg:
„A hazugság félig körbeér a világon, mire az igazság fölhúzza a nadrágját.”
Az első és legfontosabb ismérve, hogy nem igaz. A valótlanság bármi lehet – adatok „érdekes” értékelésétől (lásd Redhat és Windows hibák fejezet), a nyílt, tiszta és nyers FUD-ig (lásd Nyomtatópatronokról fejezet). Sajnos, épp a célközönség nem tudja okvetlenül, hogy amit hall, nem igaz. Ezért más jelekre kell figyelnünk.
Bizonytalan forrás: a hír röviden, tömören beszámol mondjuk egy tanulmányról, de az eredetit nem mutatja meg – sehol egy link vagy idézet.
Kevés, bizonytalan adat: nagyvonalú kijelentések, melyek több kérdést vetnek föl, mint amennyit megválaszolnak. „A Windowsban kevesebb a hiba, mint a Redhatban” - milyen hiba? Csak az operációs rendszerben, vagy az alkalmazásokban is? A gyártó által jelentett hibák, vagy független szervezetek által nyilvántartottak? Melyik Windows? Melyik RedHat? És a többi.
Valószínűtlen környezet: egy alapvetően egy témával foglalkozó helyről érkezik egy másik témáról szóló írás. Például a Microsoft Technet újságban jelenik meg Linuxról cikk.
Piszkos múlt: általában a jó FUD-terjesztőket nem egyszer használják föl. Az ilyen forrásokból érkező nyilatkozatokat kezeljük rangjuknak megfelelően – azaz sehogy. Nevezetes példa erre Sting, a prog.hu-n.
A FUD-nak ezer arca van, ezért ennél precízebb meghatározást nehezebb adni. Az aranyszabály az, hogy semmit nem hiszünk el, amíg utána nem jártunk. Keressünk rá a forrásra a Google-lal; nézzük át a hírre vonatkozó fórumokat, ha vannak ilyenek; hallgassunk a józan eszünkre.
Túl sokat nem lehet. Nagy könnyebbség, hogy aránylag kevés jól sikerült FUD van, és ezek bukkannak föl időről időre. Ha már ismerős FUD-dal találkozunk, akkor jelezzük a cikk írójának, hogy tévedett, a legsikerültebb cáfolatot el is küldhetjük neki. Ha javítja a cikket, ő nyert, ha nem, akkor fölkerül a „bizonytalan forrás” listára. Természetesen nem árt, ha minél több módon (kedvenc levelezőlistánkon, fórumunkon, irc csatornánkon, ahol jól érezzük magunkat) terjesztjük ezt a szomorú tényt.
Ha még ismeretlen történetet látunk, akkor sem kell megijedni. A következő fő kutatási irányok állnak előttünk:
Az (esetleges) tények ellenőrzése. Nagyon szép, ha a „tanulmány” szerint valami 100, a valóságban pedig 237.
A forrás ellenőrzése. A legszebb független tanulmányokról hamar ki szokott derülni, hogy ki fizetett értük, ami rögtön meglehetősen korlátozza a szavahihetőségét.
A felmerülő nevek ellenőrzése. Mr. X. Y., akire hivatkoznak, ha elég exhibicionista ilyesmihez a nevét adni, akkor az önéletrajzát is meg lehet találni. Ha sok, a témához fűződő írása van, kezdhetünk gondolkodni. Ha nem...
Ha ezekkel végeztünk, és huncutságra derül fény, ne féljünk ezt nyilvánosságra hozni. A javasolt módszerek egy része a hagyományos erkölcsi érzékű embernek nem tűnik elegánsnak. Elvégre úriember nem személyeskedik, márpedig a harmadik javaslat erre szólít föl. Ezért ha a tényeket ellenőrizni tudjuk, ne menjünk tovább. Vagy igazak, és akkor nem FUD-al van dolgunk, vagy nem igazak, és akkor célnál vagyunk, minden más kutatás csak érdekes háttérinformációt jelenthet.
A régi szép időket idéző, klasszikus tisztaságú FUD. Hányszor hallottuk már, hogy „X termékéhez vásároljon X kiegészítőt/kopóalkatrészt/töltenivalót, hogy sokáig örülhessen X termékének!”? Ez a fajta füllentés minden területen jelentkezik – a még garanciális autók tulajdonosainak is meg kell fizetniük a nemritkán háromszoros árat azért, hogy az autógyártó matricája legyen a pótalkatrész dobozán, és ne az azt ténylegesen gyártó beszállítóé. Az autógyártók ellen az EU vette föl a harcot, a nyomtatógyártókkal szemben pedig számtalan kis gyártó. Majdnem minden olcsó nyomtatóhoz lehet kapni olcsó tintapatront is, ami a gyártóknak azért kellemetlen, mert az olcsó nyomtatón keletkező nyereséget a drága patronokon szerették volna behozni. Ismerős a jelenség? Beetetés, majd a horog bekapása után partra húzás, kibelezés, megsütés, főtt krumplival megevés?
Azt, hogy ez hogy van, a legegyszerűbben úgy ellenőrizhetjük, hogy kedvenc tintasugaras nyomtatónkba vásárolunk utángyártott patront. Boldog és gazdag felhasználók milliói igazolhatják, hogy emiatt semmi baja nem történik dédelgetett kincsüknek, sőt. Oly mértékben nem, hogy mikor már nyilvánvalóvá vált, hogy ezt nem veszi be senki, a gyártók más eszközökhöz nyúltak. A Lexmark beperelte az egyik patrongyártó céget, azzal, hogy megsértették a patronba fektetett szerzői munkájukhoz kapcsolódó szomszédos jogokat, mikor „feltörték” a védelmet2. A bíróság természetesen diszkréten kinevette őket. Az effajta egyszerű félrevezetésnek az ideje már lejárt, de még mindig előfordul, gyakorlásnak remek.
Ez az a mese, ami sokadjára felbukkanva arra késztetett, hogy papírra vessem ezt a pár magvas gondolatot. Természetesen a HUP „hírportálon” jelent meg, természetesen egy bizonyos Anonymous tollából3. A hivatkozott cikk a „linux-beavatott4” oldalra mutat. Egy Linux-rajongó döbbenten jön rá arra, hogy a Redhatban sokkal több a hiba, mint a Windowsban, sőt, míg egy átlag Windows 2003 Server hibát 30 nap alatt javítanak, egy Redhat hibát 71 nap alatt. Ó, milyen borzasztó.
Hát, lássunk pár érdekesebb tényt. Előbb az egyszerűbbeket – magát az igazi forrást sehol sem találjuk. A legtovább az RSA Konferencia oldalán jutunk, de egy fia tény nem kerül elő ott sem. Aztán vegyük elő a két alkotót – Mr. Fordot és Mr. Thompsont. Mr. Ford megtalálható a Floridai Technikai Intézet oldalain5. Vírusokkal és félvezetőkkel foglalkozott korábban. Linuxrajongó, hiszen van egy Linux szervere az alagsorban. Szerintem egy Linux-rajongónak az íróasztalán van Linuxa. Ugyan nem írják, de ha vírusirtásban szakértő, akkor ezt a képzettségét Windowson mélyítette el. Teljesen véletlenszerűen kiválasztottam egyik munkahelyét, bizonyos Command Software System nevű céget. Bizony, Windowsra való vírusirtókat, tűzfalakat, hasonló hasznos apróságokat árulnak. Mellesleg az Év Oktatója volt tavaly.
Dr. Herbert Thomson6 szintén érdekes ember. Ő írta az első olyan „cyber-thrillert” ahol az olvasó együtt „hackolhatott” hőseivel. Még CD melléklet is volt, „hackolható” szoftverekkel7. A szoftvereket természetesen le is lehet tölteni, legalábbis egy részét. Természetesen .exe. A könyv ettől függetlenül remek, az amerikai választások biztonsági problémáival foglalkozik, aktuális, élvezetes, csak nem igazán jelzi a Linux/Redhat hozzáértés szintjét.
A tények ellenőrzésével kicsit nehéz dolgunk van, ugyanis nincsenek tények, csak ez a két szám, amivel nem megyünk sokra. Azt ugyan tudjuk, hogy az egyik játékos a Windows 2003 Server, de a másikról csak annyit, hogy „Redhat”. AS? ES? Desktop? 3-as verzió? 4-es verzió? Lelkiismeretem megnyugtatása érdekében ellátogattam a Redhat hibalistájára, és jó sok javítást megnéztem – csupa januári és februári hibát javítottak.
Mindenesetre az ezt megelőző, „hol van több hiba” jellegű mondolatokra már született egy elegáns, igaz, angol nyelvű felelet8. Az írásban alaposan utánaszámolnak az egyik Microsoft szponzorálta „tanulmány” adatainak. Kiderül, hogy több hiba van a Windows 2003 Serverben, mint a Redhat AS 3-ban, és hogy lényegesen súlyosabbak. Pár alapvető és gyakran ismételt mítosszal is leszámolnak, például hogy a zárt forrású szoftverek biztonságosabbak, mert nem teregetik ki minden titkukat. Ezt egyszerű megcáfolni, elég megszámolni a két platformon a vírusokat, férgeket, trójaiakat.
És természetesen szó van a hibák kijavításának idejéről is, ami most minket közvetlenül érint. Kiderül, hogy miért korlátozza a „tanulmány” a hibakeresést a Windows 2003 Serverre. Ugyanis más verziókban vannak olyan hibák, amelyeket a Microsoft bevallottan nem fog javítani. Ez egy kicsit megdobná az átlagot.
Elegánsan eltekintenek attól is, hogy a hibák súlyosságát is bevonják az értékelésbe. Darab, darab. Így kikerülik az olyan kínos tényeket, hogy egy tetszőleges kód távolról futtatását lehetővé tévő rést a Microsoft 7 hónapig hagyott érlelődni9, miközben alighanem sok apró, az egérkurzor formáját illető hibát villámgyorsan javítottak. Ezzel szemben a Redhat listájából kiválasztott local root exploit10 (amivel root jogokhoz lehet jutni, ha már bent vagyunk a rendszerben, de bejutni nem segít) január 3-án derült ki, csak 18-án jött ki a javításról a bejelentés, de egy december 20-án kiadott csomag már javította ezt a hibát, ami -15 nap. Ennyit a mértékegységek helyes megválasztásáról. Jogos a kérdés, hogy milyen metódussal számolták a „tanulmány” szerzői a 30 és 71 napot, de jó esélyünk van arra, hogy ezt sose tudjuk meg.
Azt hiszem, sikerült kicsit körbejárni a témát. Láthatjuk, hogy a FUD-ot elkerülni nem lehet, megállítani nem lehet. Megsemmisíteni lehet, csak türelem kell hozzá – a „SCO Per” néven ismert FUD – hadjárat második éve tombol (az utóbbi időben inkább csetlik-botlik), és jó egy év kemény munkájába került a Groklaw közösségének, hogy a sajtó jelentős részét meggyőzze arról, hogy ez csak FUD. Feladni sohasem szabad.
És még valamit nem szabad – terjeszteni. Terjesztik mások, lelkesen, pénzért, mi ne tegyük meg nekik ezt a szívességet. Ha valamilyen hírportálra küldenénk be ilyesmit, akár csak azért is, hogy segítsenek ellenőrizni, ne küldjük. Ha magunk nem akarjuk ellenőrizni, küldjük be például a linux-flame levelezőlistára11, ahol némi becsmérlés árán alapos elemzésben részesül minden hír.
És ne felejtsük: attól, hogy paranoiánk van, még nem biztos, hogy nem üldöznek.
1http://www.catb.org/~esr/jargon/html/F/FUD.html
2http://www.groklaw.net/article.php?story=20041028014125252
3http://hup.hu/modules.php?name=News&file=article&sid=8129&mode=nested
4http://www.linuxinsider.com/rsstory/40697.html
5http://www.fit.edu/faculty/profiles/profile.html?value=228
6http://www.oreillynet.com/cs/catalog/view/au/1863?x-t=book.view&CMP=IL7015
7http://www.oreillynet.com/pub/a/oreilly/security/news/2004/09/13/evoting.html
8http://www.theregister.co.uk/security/security_report_windows_vs_linux/
9http://www.eeye.com/html/Research/Advisories/AD20040210.html
10https://rhn.redhat.com/errata/RHSA-2005-043.html
11http://mlf2.linux.rulez.org/mailman/listinfo/linux-flame