Србија отвореног кода

Србија отвореног кода

Озбиљна одлука

У децембру 2010 године Владамир Путин, тада премијер Русије, потписао је “план о транзицији федералних извршних тела и агенција на слободан софтвер” (plan for the transition of federal executive bodies and agencies to free software) којим се предвиђа напуштање власничког (proprietary) софтвера и прелазак на слободан софтвер у свим јавним институцијама у Русији до краја 2014 године. Руска влада је одлучила да оснује центар за подршку, као и складиште (repository) за софтвер отвореног кода који ће користити органи власти.

Руски политички аналитичар Evgeny Morozov (Евге́ний Моро́зов) је у интервјуу за Wall Street Journal рекао да, иако ће овај потез донети уштеду која се мери милијардама долара на лиценцама, мотиви за овакву одлуку нису строго економски. Највероватнији разлог за тај потез је растућа брига да ће Руска зависност од власничког софтвера страних произвођача имати разоран утицај на националну безбедност Русије. Мало је вероватно да ће софтвер отвореног кода имати у себи скривене механизме за компромитовање система који га користи (back door) што код власничког софтвера никако није редак случај. Morozov је такође нагласио да Русија, као и Иран, који планира свој оперативни систем заснован на софтверу отвореног кода, и Кина која показује све веће интересовање у том правцу и чији се “China Mobile” који је у државном власништву прикључио Linux фондацији, на овај начин жели да се заштити од могућих намерно креираних рупа у системима и искоришћавања истих од стране САД.

Руско Министарство за информационе технологије и комуникације је припремило план за прелазак на слободан софтвер још 2009 године, а у Руским школама је прелазак почео исте године. Уз то 2010 године је почео рад на припреми посебне дистрибуције Linuxa, најпознатијег слободног оперативног система, специјално креиране за руске органе власти (извор http://www.h-online.com).

Укратко, Русија и Кина не верују произвођачима софтвера са запада, и сматрају коришћење софтвера затвореног кода у својим државним институцијама безбедносном претњом.

Зашто софтвер отвореног кода?

Пре него што уђемо у детаљнију анализу овакве одлуке објаснићемо шта је то “слободан” а шта “власнички” софтвер.

Власнички софтвер је лиценциран и власништво је искључиво држаоца ауторских права. Корисницима оваквог софтвера власник права даје лиценцу за коришћење софтвера под одређеним условима, док су други начини коришћења, као што је модификација, даља дистрибуција, као и обрнути инжењеринг забрањени (дефиниција са Wikipedie). Власнички софтвер може бити бесплатан, чак неке лиценце могу дозвољати његову редистрибуцију под одређеним условима. Али најважнија одлика власничког софтвера у смислу безбедности неговог коришћења у државним институцијама је то што у највећем броју случајева изворни код тог софтвера није доступан кориснику. У једној реченици, софтвер је за свог корисника “црна кутија”, он ради оно што треба, али нико не може знати шта је још у стању да уради.

Тако коришћење софтвера затвореног кода доводи до основане забринутости о могућности постојања случајно или намерно креираних безбедносних рупа, које појединци могу искористити за компромитовање система који га користе. То можда и није претерано забрињавајући фактор када су кућни корисници у питању, али уколико се такав софтвер налази, рецимо, на рачунарима у државној администрацији или обавештајним службама једне државе онда сигурно постоји разлог за забринутост.

Замислимо само пример email клијента који има безбедносну рупу преко које је могуће остварити неауторизован приступ садржају поштанског сандучета корисника рачунара. Уколико је кућни корисник у питању, ситуација није драматична, али ако тај рачунар припада неком члану обавештајне службе, или високом државном званичнику ситуација постаје озбиљна.

Још један проблем код коришћења власничког софтвера је немогућност његове модификације. Уколико се рупа у систему и пронађе, корисник није у могућности да је сам благовремено “закрпи” јер нема приступ изворном коду и детаљима имплементације софтвера. Корисник је у том случају принуђен да чека “закрпу” од стране произвођача софтвера, што се показало као погубно у пракси, јер се на поправку неких рупа у власничком софтверу чека и по 10 година!

Такве безбедносне рупе користе малициозни програми да компромитују систем из разних разлога. Свеж пример, и пример који је дефинитивно показао да постоји рат у информациној сфери у ком учествују моћне обавештајне службе великих сила је појава вируса названих Stuxnet и Duqu, као и вируса Flame. Наиме Stuxnet је први откривени вирус који је створен да нападне инфраструктуру електрана или електричних мрежа. Када инфицира одређени рачунар он не чини никакву штету осим ако не утврди да је на њега повезан специфични SCADA систем компаније Siemens који се користи за контролу и надзор индустријских процеса у које спада и контрола изузетно компликованих процеса везаних за функционисање нуклеарних електрана. Stuxnet је пронађен на рачунарима у иранским нуклеарним погонима и сумња се да је главни разлог кашњења са почетком рада нуклеарне електране у Бушеру, и први је званичан пример сајбер рата (из СК 11/2010). Aleksander Gostev, стручњак за безбедност компаније Kaspersky изјавио је да су открили снажан доказ да су Stuxnet/Duqu и Flame сајбер оружја која су повезана, и да су тимови који су учествовали у њиховом развоју сарађивали бар једном у раној фази развоја ових оружја.

Још један од проблема коришћења власничког софтвера као званичне платформе у једној држави је такозвани “vendor lock-in”, који се односи на питање компатибилности различитих система, и корисника чини зависником од производа једне софтверске компаније. Коришћење власничког софтвера који за собом често повлачи затворене формате датотека значи да сви ваши сарадници морају имати софтвер истог произвођача, што води у монопол. Власнички софтвер често дефинише своје стандарде који су везани искључиво за произвођача, што значи да ако, узмимо баналан пример, неко користи одређени процесор текста за уређивање докумената, и такав документ пошаље колеги на дораду, и овај други мора имати исти процесор текста или производ исте софтверске куће да би могао да настави рад на документу. Управо овакве ситуације на крају доводе до монополског положаја једне софтверске куће у одређеној области и потпуне зависности корисника од њених производа.
Са друге стране имамо “слободан” софтвер или софтвер отвореног кода, који је најчешће и бесплатан, и у чијој изради не учествује једна компанија већ цела заједница корисника и модификатора софтвера. Код оваквог софтвера корисник има увид у детаље имплементације, и функционисање таквог софтвера је крајње транспарентно. Укратко, нема “црне кутије” која магично реагује на команде, већ је имплементација функционалности доступна крајњем кориснику. Корисник зна све о раду и способностима софтвера. Уз то лиценце уз које долази софтвер отвореног кода најчешће дозвољавају промену и редистрибуцију. Управо је то основ на ком се креирају, на пример, Linux дистрибуције.

Оваква филозофија дозвољава корисницима са посебним потребама и захтевима, каква је државна администрација или безбедносни систем једне државе, да узимајући слободан софтвер као основу креирају своју сопствену платформу чија је потпуна функционалност позната, и која нема скривених детаља имплементације, што би уколико би такав задатак требало спровести “од нуле”, било практично немогуће.

Предности оваквог начина организације информационог система у институцијама једне државе су бројне.

За почетак ту је финансијски момент, јер лиценце за власнички софтвер коштају пуно, врло су рестриктивне и често постоје различите верзије истог софтвера које ограничавају скалабилност система који је на њему заснован и у себи крију трошкове који се појављују тек у току експлоатације. Такве ситуације су узрок поменутог “vendor lock-in” проблема, јер када треба проширити ресурсе система корисник је ограничен на производе компаније на чијој платформи је засновао систем. Код софтвера отвореног кода таквих проблема нема јер је пуна функционалност производа увек доступна кориснику.

Следећа предност је апсолутна транспарентност функционисања система. Ако постоји проблем – знате где да га тражите и што је најважније можете сами да га отклоните. Ово није предност ако се ради о кућним корисницима, али у случају државе, тим стручњака који се стара о софтверу ће без већих потешкоћа отклонити све уочене проблеме и прилагодити систем корисницима.

Следећа ставка је безбедност којом смо и почели ову расправу. Софтвер отвореног кода пишу људи, и сигурно је да у системима заснованим на таквом софтверу постоје сигурносни пропусти. Међутим они по правилу нису намерни јер у изради софтвера не учествује једна “интересна група” или једна компанија која може сарађивати са владом своје државе и имати разне циљеве, већ заједница људи различитих политичких или религијских убеђења а најчешће и различитих националности. Уз то такви пропусти се веома брзо проналазе и поправљају од стране заједнице јер је код јавно доступан. Чак и ако се деси да постоји пропуст који заједница није решила тим стручњака који је на располагању једној држави и који је задужен за одржавање информационог система државног апарата може тај задатак да преузме на себе и брзо реагује. Код софтвера затвореног кода таква ситација је немогућа. Морате чекати да произвођач поправи своју грешку што у осетљивим системима може бити погубно.

Једина мана софтвера отвореног кода је што је често слабо документован, и уз то има стрмију криву учења у односу на власнички софтвер. Укратко, кориснику је теже да се привикне на тај софтвер јер је он често обликован по потребама и очекивањима стручњака.

Шта је са Србијом?

Циљ целе наше досадашње расправе је увод у указивање на још једну погрешну одлуку политичке елите у Србији – заснивање државних информационих система на власничком софтверу.

На жалост, као и када је у питању већина значајних тема и у овој сфери главну реч воде стране компаније.

Србија је своје информационе системе засновала углавном на власничком софтверу, а питање лиценци је најблаже речено у сивој зони. Софтвер који се користи у државним институцијама је софтвер затвореног кода, неретко су то чак “пиратске” верзије софтвера које на већ постојећу забринутост о безбедности и рањивост на општепознате рупе какве користе Stuxnet, Duqu, Flame и слична сајбер оружја, додају нове проблеме јер су такве копије углавном сумњивог порекла, и дела хакера који често у разбијању заштита остављају back door за себе, што безбедност државних система доводи под још већи знак питања.

Наравно, као и све велике одлуке у Србији и ова је прошла без јавне расправе. Неко у државној администрацији је тако одлучио и без расправе или консултација са стручњацима донео политичку одлуку, највероватније из личне користи, лобирајући за интересе страних компанија.

Уз то, што је просто невероватно, Пореска управа државе Србије селективно врши контролу легалности софтвера инсталираног на рачунарима правних лица (наjчешће малих и средњих предузећа), контролишући само легалност примерака софтвера одређених, наравно страних, компанија, док истовремено држава у својим институцијама неретко користи нелегалне копије тих истих производа! На тај начин је једна државна служба дирекно стављена у службу заштите интереса групе страних компанија. Како се ово зове у правној терминологији можете и сами да закључите.

Избор у сфери информационих технологија је једноставан. Или заснивате државни информациони систем на власничком софтверу и плаћате скупе лиценце и консултације у имплементацији страним компанијама, при том наслеђујући све већ поменуте проблеме и ризике по безбедност које софтвер затвореног кода носи са собом, или градите свој систем на софтверу отвореног кода и новац који би трошили на лиценце трошите на усавршавање и обуку кадрова у својој земљи који ће радити на одржавању и прилагођавању софтвера специфичним потребама државног апарата, при чему добијате безбеднији систем који је у потпуности под вашом контролом.

Као и много пута до сада, кад год су политичари у Србији могли да бирају између интереса страних компанија и домаћих фирми – изабрали су странце.

 

Марко Ружић
Повереништво Двери у Тополи