08.04.2008

Свободное ПО - новый российский фетиш

Мининформсвязи опубликовало концепцию развития свободного ПО, одной из целей которой является укрепление национальной и, в частности, информационной безопасности. Произойдет это за счет обязательного предоставления исходных кодов программ. А теперь несколько комментариев к этому интересному решению.

Во-первых, такой ход повлечет за собой активное использование такого ПО в госструктурах, которые захотят не платить за софт (возможно за поддержку) или платить гораздо меньше, чем стоит коммерческий "закрытый" софт. И это нормальное желание сэкономить ;-)

Во-вторых, на российской рынке активизируются западные поставщики Linux (Redhat, Mandriva, IBM и т.д.), а российские станут выходить в новый для себя сегмент. Собственно такой прецедент уже есть - Информзащита объявила о разработке в своих недрах защищенных операционных систем с семейством продуктов TVLinux XP.

В-третьих, и самое главное, хотелось бы опровергнуть тезис о большей защищенности софта с открытым кодом. Дело ведь не в наличие исходников или их отсутствии. Дело в умении следовать SDLC и наличию у программистов навыков "безопасного" программирования. Если этого нет, то наличие исходных кодов - скорее снизит информационную безопасность, чем повысит ее. Потому что исходники будут доступны всем и те дыры, которые там есть, обнаружить злоумышленнику будет гораздо проще, чем в софте производителя, скрывающего свой код от посторонних.

Также надо заметить, что те, кто хочет сертифицировать свою продукцию по высоким классам и сегодня вынуждены предоставлять свои исходники сертификационным лабораториям. Только круг лиц, имеющих к ним доступ, невелик, в отличие от open source.

Что же касается рядовых потребителей, то они все равно не в состоянии ни проанализировать исходный код серьезных приложений, которые могут насчитывать сотни тысяч и даже десятки миллионов строк кода, ни переработать их, добавив нужный функционал. Иными словами, наличие исходного кода не дает потребителю ничего, кроме мнимой уверенности в защищенности продукта на его основе. К тому же желание проверить соответствие самостоятельно скомпилированной программы с тем, что предоставил производитель, повлечет за собой необходимость наличия соответствующих специалистов, а также компиляторов и иного софта для выполнения такой сверки. Многие ли компании могут похвастаться тем, что могут выполнить такую задачу? А многим ли это надо? Все-таки, это не профильная задача бизнеса.

Подытоживая, можно сделать вывод о том, что данная концепция Мининформсвязи направлена на продвжиение идеи применения свободного ПО в госструктурах и ВПК, но никак не отражает реалий современного бизнеса. И на информационную безопасность эта концепция также никак не влияет (в современных условиях). Опять, как это уже часто бывало, родился документ, в основу которого легла здравая идея, но который нельзя или очень трудно выполнить на практике.

Хотели как лучше, а получилось, как всегда...

39 коммент.:

arkanoid комментирует...

Эээ, ну опять двадцать пять за рыбу деньги. Уже много раз обсуждалось. У Opensource софта есть недостатки, но есть и преимущества, и игнорировать их было бы недальновидно. И в критичных для безопасности приложений я бы его рекомендовал куда более настойчиво, если бы он обеспечивал всю необходимую функциональность. Кроме того, он полностью свободен еще и от политических моментов "подсадки на вендорскую иглу".

Alex Ott комментирует...

насчет проверки кода - опен соурс позволит проверять не только критические приложения как делается сейчас, но и все остальные - это тоже немаловажный аспект

Алексей Лукацкий комментирует...

arkanoid'у: Кроме того, он полностью свободен еще и от политических моментов "подсадки на вендорскую иглу"

Если речь идет о freeware, то это неинтересно госструктурам ;-) Если речь идет об open-source, то у него также может быть производитель. А значит игла возможна ;-)

e1am0 комментирует...

почти 10 лет назад в МО РФ мы тёрли эту тему, я тока в НИИ перешёл когда. Я конечно понимаю, что с точки зрения бизнеса, который ПО или железку производит, надо бы её впарить и подороже. Но кто сказал, что у вендора всё хорошо с безопасным программированием и тестированием продуктов? А если мы имеем опенсорс продукт, который развивается не 10, а 20-30 лет, как всякие юниксы, да ещё если в него смотрят глаза тысяч заинтересованных высококвалифицированных пользователей-разработчиков?
Это как с алгоритмами криптографической защиты - закрытый алгоритм априори будет хуже, потому что степень доверия к нему не достигнет отметки степени доверия открытым алгоритмам, у которых секретным элементом является только ключ шифрования. В итоге для некоторых опенсорс продуктов мы имеем запредельную степень анализа, которую вряд ли сможет в одиночку позволить себе коммерческий вендор.

ЗЫ. Я признаю, что и у микрософта и у ибэма и у СА есть прикольные продукты. Я не вкурил ажиотаж вокруг кисок, видимо это что-то историческое. Я даже перестал не любить линукс )))

Алексей Лукацкий комментирует...

alex ott: "Позволит"... но кто это будет делать? Надо разделять теорию и практику. У нас (в России) нет ресурсов на инспекцию даже критических приложений, не говоря уже про всех остальных.

Если мы говорим про национальную безопасность, то тут важно не просто провести инспекцию, но и выдать бумажку. А число квалифицированных сертификационных лабораторий ограничено. А провести аудит кода самостоятельно... задача непосильная 99,99(9)% специалистов.

Алексей Лукацкий комментирует...

Ильмару: А если мы имеем опенсорс продукт, который развивается не 10, а 20-30 лет, как всякие юниксы, да ещё если в него смотрят глаза тысяч заинтересованных высококвалифицированных пользователей-разработчиков?

Такой продукт НИКОГДА не поставят в госструктуры или критические инфраструктуры. Т.к. ответственности никто не несет. Если что, то предъявить иск не у кому. Поэтому у любого продукта должен быть "ответственный"!!!

Вспомни Nessus. Хороший open source и даже сертифицированный. Но где он? И сколько его продали? И сколько продали того же X-Spider (закрытый коммерческий продукт, коды которого были открыты для сертификации даже в МО).

arkanoid комментирует...

Если мы говорим не только о бумажках, но и о реальном уровне безопасности, то сторонний аудит бывает не менее ценен, чем свой собственный. Как правило, я бы сказал - более.

О бумажках - такой простой аспект: вот, условия аттестации АС требуют сертификатов на используемые компоненты: операционные системы, то-се. При этом учитывается собственно домен сертификации задания по безопасности? Да-да? Кто-нибудь вообще задумывался о том, ЧТО именно сертифицировано той самой сертифицированной Windows XP? Да хотя бы читали это самое ЗБ хотя бы пять процентов людей, которые занимаются аттестацией своих систем? Да чорта с два! То есть они вообще не в курсе, не знают, и не очень-то хотят знать, что именно гарантирует им эта бумажка - им она нужна, чтобы получить другую бумажку.

Другое дело, что несмотря на все издержки, я рассматриваю роль ФСТЭК (не ФСБ!), как резко положительную. Если людей не гнать в светлое завтра железной рукой, хрен они вообще почешутся. Но даже если гонят из-под палки, может, стоит задуматься - зачем гонят? Не только ведь, чтобы бюджеты попилить.

arkanoid комментирует...

to Алексей Лукацкий

Иск? Ответственный? Хахахаха!
Нет, ну право же, смешно такое слышать от человека, который имеет немалый практический опыт.

Это действительно проблема ответственности, но не в том смысле, что есть кому отвечать, а в том, что на вендора можно безопасно перевести стрелки. Отвечать он все равно не будет, просто есть дурная традиция, что за opensource отвечает тот, по чьей инициативе он был использован, а тут можно отмазаться "ну если ДАЖЕ {cisco|microsoft|ibm|emc|хренвстуле|чортвступе}
обосрались, то что взять с нас, простых смертных".

Это проблема не ответственности, а ложного авторитета.

Алексей Лукацкий комментирует...

arkanoid'у: Сторонний аудит будет более ценен только в одном случае - если у нас разовьется институт независимых аудиторов, мнение которых будет признаваться! Этого нет и предпосылок к этому тоже. И врядли когда появится, т.к. аудитор должен отвечать за свою оценку, как минимум репутацией. А этого у нас нет ;-(

arkanoid комментирует...

..про ЗБ: наивные чукотские юноши думают, что что записано на диск с WinXP, то и сертифицировано. А это, насколько я знаю, далеко не так.

Алексей Лукацкий комментирует...

arkanoid'у: Когда у продукта есть "ответственный", то на него можно влиять - вносить нужные доработки, снижать стоимость обновления или поддержки, заставлять сертифицировать, вывозить заказчика заграницу и т.д. А у свободного ПО без владельца этого всего нет. Так кому он интересен?

Алексей Лукацкий комментирует...

про WinXP... конечно не так. Но даже если вы возьмете два диска с одной и той же версией Cisco Security Agent и совпадающими хэшами, но одни с голограммкой, а второй нет, то это будут разные продукты - один доверенный, а второй нет ;-( Парадокс ;-)

arkanoid комментирует...

to Алексей Лукацкий: а сейчас официальные аудиторы у нас отвечают хотя бы своей репутацией? Памятуя известные истории с той же XP и НДВ, да и не только ;-)

Алексей Лукацкий комментирует...

...про аудиторов... не отвечают, но они у нас типа приближенные или "государевы", а значит как бы и не при делах. А вот как только они станут независимыми и будут отвечать за свои слова, то тут вопрос репутации встанет на первое место.

arkanoid комментирует...

Вот тут мы как раз пришли к одному интересному аспекту: ценность Opensource продукта для бизнеса - это одно, а когда речь идет о государственной политике - совершенно другое. Какой смысл прикармливать коммерческую компанию, давая ей в руки все козыри для нечистой игры, если можно вложиться в общественное достояние (GPL license) или владеть результатом (BSD license)? Бизнес часто слишком заморочен на оперативных расходах, да это обычно и оправдано, учитывая короткий жизненный цикл информационных систем, а вот государство может позволить себе дальний прицел.

Алексей Лукацкий комментирует...

Так ценность неочевидна в обоих случаях. Как только мне нужна определенная гарантия, то проприетарная и открытая система находятся примерно в одинаковом положении, т.к. что проверить закрытую, что открытую систему, одинаково реально или нереально ;-)

Бизнесу нужны не только гарантии, но и снижение OpEx/CapEx. И вот если с CapEx действительно у open source есть преимущества, то с OpEx не все так очевидно ;-( Именно потому, что сообщество программистов open source не всегда может себе позволить вкладывать столько ресурсов в исследования, сколько коммерческие вендоры. А это в свою очередь позволяет вендорам патентовать такие вещи, которые выводят коммерческие системы на шаг-другой вперед решений open-source (в большинстве случаев).

К сожалению, большинство OS-проектов либо закрывалось, либо уступало по характеристикам коммерческим корпоративным продуктам, либо их разработчики уходили в бизнес ;-)

По крайней мере в безопасности именно так дело и обстоит.

arkanoid комментирует...

Как показывает практика зарубежных коллег, государство, в отличие от бизнес-заказчика, может активно влиять на ситуацию. И в случае с Opensource у него рычагов воздействия больше. Про OpEx я и говорил - для бизнеса этот параметр слишком часто является определяющим, а для государства его влияние может быть меньше по целому комплексу очевидных причин.

Коммерческие проекты вообще более краткосрочны, чем государственные - если мы не берем во внимание некоторые флуктуации.

Алексей Лукацкий комментирует...

Так вот с OpEx у open-source не так все хорошо, как у коммерческих продуктов. Не такое удобное и не с таким количеством фишечек, полезность которых понимаешь именно при корпоративном применении.

ЗЫ. Речь идет о 99% применений. Когда есть классный специалист, готовый быстро написать скриптик, то вопрос снимается ;-)

e1am0 комментирует...

пишу слово МСВС. оно просто известно в широких кругах. Другие слова писать не буду, но в личной беседе могу порассказывать, пока не забыл как страшный сон, про некоторые аспекты внутренней кухни госструктур и их отношение. и какие были столкновения. таже шла борьба закрытый вис открытый. к сожалению не готов поддерживать дискуссию про приложения, мне как-то не повезло по жизни до них добраться )))

arkanoid комментирует...

Мне было бы очень интересно послушать про МСВС.

Хороший проект, но что-то я слышал, у них с финансированием проблемы :-(

e1am0 комментирует...

рассказываю про МСВС )))
берём каких-то полуграмотных студентов, которые возбуждаются от слова Linux. С их помощью лабаем нечто, представляющее из себя ОС с ограниченным набором средств разработки (ИДЕ, СУБД) и офис какой-то. Для финансирования используем связи-контакты-откаты, обычный лоббистский ресурс короче. Всё это барахло пытаемся теми же способами сертифицировать и втюхать в войска. Ещё естественно привлекались некоторые институты для каких-то смутных работ, но результат этих работ тоже остался для меня смутен.

Это относится к ситуации 10-5 летней давности. После скоропостижной кончины тов.Соломатина дела там пошатнулись, но не рухнули мнгновенно. Возможно и сейчас здравствуют.

arkanoid комментирует...

Мнээ.. А как насчет единственной живой реализации MAC и модели Белла-Лападулы в современной (не CDE!) графической среде X11? По-моему так не хрен собачий.

e1am0 комментирует...

как сейчас - я не знаю. но сомневаюсь! потому что пробовал реализовать. И даже сертифицировал. Но не сетевой и всё равно не правильно. )))
Реализация БЛМ в принципе вещь нетривиальная, а уж для иксов так совсем тяжёлая. Я в НИИ как раз БЛМ под юниксом и пошёл делать, а уже потом всё приплюсовалось. Так что рекомендую отказаться от фантазий увидеть отечественную реализацию мандата в юниксах под иксами - она никому не нужна. Не буду показывать пальцем на определённые органы, но там много чего было под виндой (документы делали). Я свою поделку делал не для информационных систем, а вот мсвс пытались туда сунуть. топтать клаву я правда устал уже, 23 апреля собираюсь на http://www.interop.ru/, если будешь там, можем пересечься

Алексей Лукацкий комментирует...

Лучше поехали все на InfoSecurity Europe ;-)

arkanoid комментирует...

to e1am0: очевидцы утверждают, что она вполне живая. Надо бы украсть посмотреть.

Вообще говоря мне давно нравится подзабытая ныне идея CMW. И не только мне - ФСТЭК у себя как раз это использует (Documentum+Sunray+TSol8 CDE, утверждают, что им все это бодро поженили). Вообще говоря такое решение не грех взять за образец.

to Алексей Лукацкий: не успею загранпаспорт сделать :-(

e1am0 комментирует...

2 Лёха: я бы с удовольствием покатался, но не имею финансовой возможности. да и хожу я по этим всем местам, шоп окончательно не закиснуть, быть хоть чуть в курсе новомодных трендов.

2 арканоид: я в своё время изучал тсол, кстати, подсистема аудита во фре много оттуда взяла. я скептически отношусь к cmw по простой причине - к сожалению видимо за всё время своей работы я не встретил людей, которым это было нужно до зарезу. Я блм реализовал, мне сказали спасибо, но он нам нужен только для сертификации шоб 1Б в итоге было. абзац. если в мсвс реализован cmw - я готов снять шляпу, но не думаю, что это делали они сами. В мсвс 3.0 точно нет. Может в оливии, они как раз там чета с ней вроде мутили, когда я уходил.

arkanoid комментирует...

До зарезу - вряд ли, но по-моему это один из немногих способов сделать безопасность удобной для пользователя, хотя заморочка при внедрении огого ;-) Я понимаю, что всем лень, но красиво же!

e1am0 комментирует...

я как раз повёлся на красоту. пробовал проводит беседы с замом НИИ по безопасности на тему работы 1 отдела. Пытался понять, как этот бумажный документооборот можно вложить в машину. Можно, но очень сложно. Там столько проблем встаёт, например при согласовании меток в сети. У меня была реализована поддержка меток в пакетах всеми способами. Так вот как-то пакеты ушли наружу. Киска у провайдера офигела от опций ИП и прислала всё обратно. я смеялся...

arkanoid комментирует...

Честно сказать, за то время, как у меня дома одним из основных десктопов стоял HP-UX 11i, я так и не сподобился поставить на него и настроить MAC и CMW для CDE, хотя бы чтобы просто поиграться ;-)

e1am0 комментирует...

думаю это было бы интересно чисто в ознакомительских целях. типа там с интерфейсом как дела, какие ограничения возникают и т.д. А вот как оно внутре сделато... там же метки надо поднимать на уровень приложения и на нём же обрабатывать. Для этого хачить Хсервер и Хбиблиотеку. ну и наверное утилитки, шоп у них на ровном месте крышу не сносило. )))
Ещё конечно интересна интероперабили промеж разных кмв - от хп, ибм, сан и тд.

arkanoid комментирует...

Они, конечно, уже похачены. Интероперабельность как минимум по сети должна быть на уровне IPSO, естественно - BSO/ESO (для кого все это в первую очередь и делалось). Sol10, конечно, умеет CIPSO, да говорят, и в Linux скоро будет нормальная поддержка (без гуя-то вроде как уже все нормально).

e1am0 комментирует...

c SO одна проблема -- расшифровка полей. Я поэтому сделал CIPSO и забил. Ну и IPSec потом сделал.
Однако всё равно считаю наши государственные структуры незрелыми, т.е. не готовыми для внедрения всей этой красоты. (((

arkanoid комментирует...

Согласен, но решение должно быть. Если будут хотя бы пилотные внедрения, это уже прекрасно.

Busurman комментирует...

Г-н Лукацкий в очередной раз перепутал платформу и место рекламы западных вендоров. Ему д.б. известны факты декриптования информации шведского правительства со стороны АНБ. Также он должен знать о том, что игла вендоров - это в т.ч. отсутствие собственных разработчиков ПО. Также он должен знать об инйдийских кодерах. И при всём при этом он рекламирует западных вендоров. почему ?

* А у свободного ПО без владельца этого всего нет. Так кому он интересен?

г-н Лукацкий, какая программа при установке называется "свободное ПО" ?
:)

* Если речь идет о freeware, то это неинтересно госструктурам ;-)

С каких пор ? Документ можете предъявить ?

Busurman комментирует...

http://www.nixp.ru/cgi-bin/forum/YaBB.pl?board=news;action=display;num=1204288416
В интервью обозревателям Consumer Eroski, Алексей Пажитнов, в числе прочего, прокомментировал свои позиции по отношению к ПО с открытым кодом. По мнению Пажитного, свободные программные продукты уничтожат рынок, поскольку рост их популярности негативно сказывается на финансовом положении коммерческих компаний, способствующих инновациям в отрасли. Кроме того, Пажитнов назвал несовершенной бизнес-модель распространения ПО open source, предполагающую получение прибыли за счет предоставления технической поддержки. Не разделяет создатель "Тетриса" и позиции Ричарда Столлмэна, основателя движения свободного программного обеспечения, проекта GNU, Фонда свободных программ и Лиги за свободу программирования.
В целом, подытоживает Пажитнов, для рынка было бы лучше, если бы свободное программное обеспечение никогда не существовало.

На секлабе по этому поводу занимательный флейм развернулся. Вот интересная цитатка:
Цитата:Развитие науки несколько сот лет назад сильно подорвало позиции церкви. Наука уничтожила лидерство католицизма, поскольку рост ее популярности негативно сказывается на финансовом положении кардиналов, способствовавших инновациям в мировоззрении. В целом, для мира было бы лучше, если бы науки никогда не существовало.

Алексей Лукацкий комментирует...

busurman'у: Г-н Лукацкий в очередной раз перепутал платформу и место рекламы западных вендоров.

Это МОЙ блог. Поэтому я пишу то, что хочу и считаю нужным.

г-н Лукацкий, какая программа при установке называется "свободное ПО" ?

В концепции, ссылка на которую я дал в заметке, есть толкование термина. Повторять его я не вижу смысла.

С каких пор ? Документ можете предъявить?

Шутить изволите? Есть распространенная "практика" приобретения ПО в госструктурах. Свободное ПО в нее не вписывается.

В целом, подытоживает Пажитнов, для рынка было бы лучше, если бы свободное программное обеспечение никогда не существовало.

И он прав, что характерно. Без коммерческой подпитки не было бы серьезных исследований, на которых держится весь ИТ-мир.

для мира было бы лучше, если бы науки никогда не существовало

Точно. Не было бы науки, мы бы не засрали планету так, как это происходит сейчас.

arkanoid комментирует...

Прикажут - впишется ;-)

кстати, я хочу сейчас поэкспериментировать с фрагментарным внедрением свободного ПО в госструктурах, есть мысли о некоторых пилотных проектах. Посмотрим, что получится.

Алексей Лукацкий комментирует...

На уровне энтузиазма может и получится

Oleg комментирует...

Как раз в тему: http://www.itblogs.ru/blogs/elashkin/archive/2008/04/10/26902.aspx#comments