Прошло совсем немного времени после скандального успеха BolgenOS, как вся Россия уже говорит о новой национальной разработке — инновационном антивирусе Бабушкина. Богата русская земля на таланты, да что-то толку от этого мало. Всё это конечно очень весело, однако попробуем взглянуть на ситуацию с другой стороны. В чём же причина возникновения таких феноменов? Смысл поста, на самом деле, не связан напрямую с этими комичными ситуациями, однако обо всём по порядку.
История номер один
Действующее лицо — Денис Попов. Не будем рассматривать это происшествие слишком подробно и опишем лишь основной ход событий:
— Школьник увлекся информационными технологиями
— Когда его уровень знаний повысился, он либо в учебных целях, либо просто для себя сделал свою сборку Ubuntu, не внёся в дистрибутив практически никаких изменений
— О совершённом событии узнало школьное сообщество; Попов получил поддержку своего учителя информатики
— Каким-то неведомым образом у кого-то возникла идея рассказать всей России про «невероятные» достижения «юного гения»; в свет выходит репортаж, который вызывает волну негодований
— Под давлением общественного мнения на телеканале появляется опровержительный ролик
Здесь необходимо отметить следующие моменты:
— Сам Попов не сделал ничего криминального – сама философия Linux располагает к тому, чтобы каждый специалист смог сделать свою уникальную сборку, взяв за основу любой существующий дистрибутив
— Комичность ситуации, в основном, вызвана полной деквалификацией всех причастных к производству репортажа людей и тех, кто допустил материал к эфиру
История номер два
Теперь более подробно про инновационный антивирус Бабушкина. Тут всё намного интереснее. Основной ход событий:
— Школьник увлёкся информационными технологиями
— Школьник написал прототип антивируса на Visual Basic, с использованием bat файлов в качестве ядра антивируса
— Школьник получил грант в размере 400к рублей на своё «изобретение», возможно даже получил на него патент
— Началось платное распространение антивируса
— В свет выходит репортаж про сие творение, что конечно же не может не вызвать волну негодований
Очень обращает внимание на себя следующее:
— Разработанное ПО хоть и может формально назваться антивирусом, однако совершенно ясно, что программа не обеспечивает должного уровня защиты
— Предпринимательские черты разработчика это конечно хорошо, но, вот, продавать заведомо некачественный продукт – это уже совсем другое дело
— Что это за конкурс молодых таланов, где гранты получают такие работы? На что тратятся мои деньги как налогоплательщика? Разве в России нет более инновационных проектов? Тут возможно всего два ответа – либо, действительно, ничего лучшего не нашлось, либо, скажем так, результаты конкурса были не очень объективны. Одно другого не лучше
— Разве возможна установка непроверенного ПО в государственные учреждения?
— Каким образом антивирус смог превзойти конкурентов в результате тестирования? Кто, вообще, проводил это тестирование? Как на результатах тестировия появилась печать МФТИ?
— Нет ли связи между успехом продукта и должностью отца разработчика?
— Как обычно поражает уровень профессионализма тех, кто снимал репортаж и допустил его к эфиру. А эпизод про маркер и архиватор – просто шедевр русского кинематографа
Основная особенность этой истории заключается в коммерческой составляющей, а так же в преднамеренном обмане потребителей.
Внимание: тут происходит переломный момент
История номер три
Я знаю, что эта история уже неоднократно рассматривалась, но всё же… Просто оцените масштаб и почувствуйте разницу — после этого говорить о всяких BolgenOS не имеет смысла.
Существует в России широко известная в своих кругах компания «Эшелон», знаменитая в области ИТ своими календариками. На самом же деле фирма занимается информационной безопасностью, в частности серцифицированием ПО, проведением аудита ИБ и т.д. и т.п. Тут я пока не буду описывать всякую деятельность компании в области «бумажной» безопасности, просто откроем сайт и посмотрим на продукты, разработанные компанией. Не будем обращать внимание на откровенный шлак и перейдём к самому интересному продукту. Итак, встречаем очередную инновационную ОС от российских разработчиков – «СканерВС»:
Несколько секунд любуемся на красивых девушек, эффективно отвлекающих внимание от сути, и переходим, наконец, к описанию продукта. Вот краткий список его возможностей:
Определение топологии и инвентаризация ресурсов сети
С помощью Сканера-ВС можно производить инвентаризацию ресурсов сети, контролировать появление сетевых сервисов.
Поиск уязвимостей
Сканер-ВС позволяет сканировать сетевые сервисы на известные уязвимости.
Локальный и сетевой аудит стойкости паролей
Сканер-ВС содержит мощные средства локального аудита паролей для операционных систем семейства Windows (NT, 2000, 2003, 2008, XP, Vista, 7) и Linux (МСВС, Linux XP, Astra Linux и др.).
Сканер-ВС поддерживает возможность подбора паролей по более чем 20-ти сетевым протоколам (HTTP, SMTP, POP, FTP, SSH и др).
Поиск остаточной информации на жестком диске
В Сканер-ВС включено средство для поиска остаточной информации на жестких дисках и других носителях вне зависимости от файловой структуры.
Перехват и анализ сетевого трафика
Сканер-ВС позволяет перехватить всю передаваемую информацию между любыми узлами коммутируемой сети (с помощью технологии ARP-спуфинга) и выполнить ее анализ, в том числе извлечь переданные пароли. Возможен перехват шифрованного трафика (HTTPS) с помощью подмены сертификата.
Аудит ПО и аппаратной конфигурации
С помощью Сканера-ВС можно получить информацию об аппаратной конфигурации системы и установленном программном обеспечении, а также перечень USB-устройств, подключавшихся к компьютеру.
Контроль целостности
Сканер-ВС позволяет рассчитывать контрольные суммы по алгоритмам CRC32, ГОСТ Р 34.11-94, MD5.
Аудит WI-FI сетей
Модуль анализа защищенности беспроводных (WI-FI) сетей позволяет проводить аудит парольной защиты WI-FI сетей.
Модуль гарантированной очистки информации
Модуль гарантированной очистки информации на носителях производит многократное затирание файлов по определенному алгоритму, что приводит к невозможности восстановления информации.
Особо комично выглядит сравнение сканера со своими аналогами:
Не мне говорить Вам, что «СканерВС» почти более чем полностью представляет собой сборку Linux c немного переделанным интерфейсом и очередными инновационными обоями. Я не вижу смысла скачивать демо дистрибутив, чтобы ещё раз убедиться в этом. Я не буду так же разбирать разные технические детали или высмеивать продукт отечественного производителя. Всё это Вы можете сделать и сами. Тут дело не совсем в этом:
— Каким образом этот продукт прошёл сертификацию и продается, внимание, за полтора миллиона рублей? Про GPL никто не слышал?
(Как же сложно соблюдать нормы литературного языка)
Я, конечно, понимаю, что «Эшелон» кроме того, что переделал интерфейс, ещё и разработал несколько утилит на основе продуктов с открытым исходным кодом или даже в самом лучшем раскладе разработал некоторую часть прикладного ПО полностью самостоятельно. Но GPL есть GPL — тут уж никуда не деться. И, несмотря на своё, скажем так, сомнительное качество, продукт всё равно продаётся за полтора миллиона рублей. Причём совершенно ясно, что в мире открытого ПО существуют аналоги качества, если не лучшего, но и ничуть не худшего чем «СканерВС». Тут никакие Поповы и Бабушкины даже рядом не стоят. Какая обстановка в стране – такие и подростки.
И это, конечно, не единичные случаи. Много ли Вы знаете отечественных производителей, выпускающих качественное ПО? По пальцам пересчитать можно. Бизнес есть бизнес, прибыль это главное, но вот качество продукта… Конечно, в производстве ПО издавна сложилась своя специфика производства, и на это можно иногда закрыть глаза. Но когда качество опускается ниже ТАКОГО уровня – это уже перебор. И если, в общем и целом, в области производства ПО всё ещё относительно нормально, то в области ИБ (а особенно в области, связанной с государственным сектором) всё становиться ещё более печальным…
Закон вынуждает государственные учреждения использовать только сертифицированное ПО. Или, например, существуют всякие там законы о персональных данных и т.д., подразумевающие обработку любых ПД только на проверенных средствах. А кто будет всё сертифицировать как не компания «Эшелон». Да и ещё разрабатывать продукты, заведомо не имеющих аналогов в области сертифицированного ПО. Разве такое может быть возможно в рамках закона? Это практически тоже самое, что если бы ВАЗ сертифицировал автомобили на пригодность к использованию на территории РФ. Рассмотрим так же и другие услуги и продукты компании. Хотя нет — я не буду высказывать своё мнение об этом: итак всё ясно. Прокомментирую лишь одну услугу по сертификации ПО – по имеющимся у меня данным или даже просто с объективной точки зрения все это отнюдь не кажется особо качественным и надёжным. А ведь такое сертифицированное ПО потом будет обрабатывать наши с вами данные.
Как уже говорилось, изложенное выше — далеко не единичные случаи. Вспомним государственный заказ на создание патриотических игр или ещё много чего. Проблема заключается не сколько в самой предметной области, а в положении вещей в стране в целом (можно даже провести некую аналогию с российский футболом). Я не хочу жить в стране, где законы созданы не для людей и где свобода голоса всё больше и больше ограничивается под предлогом борьбы с пиратством. Где среднее образование становиться платным, а студентов заставляют на летних каникулах идти служить в армию. Где бюрократия процветает на всех уровнях, и даже такая область как информационная безопасность давно превратилась в «бумажный» бизнес по эксплуатированию законодательства в корыстных целях. Я хочу смотреть новости и не опасаться, что очередная отечественная разработка окажется ложью или плагиатом. Я надеюсь, что в России всё-таки есть нормальные и качественные продукты. А «BolgenOS» и «Иммунитет» – это конечно очень смешно, но одновременно и грустно.
Автор: Promix17