Guvernul României nu acceptă software GPL

[tavy]

Din caietul de sarcini al licitației publice pentru achiziția sistemului IT de evidență a cazierului judiciar, de la Ministerul Administrației și Internelor (ROCRIS) - paragraful 3.2.1 :
http://www.e-achizitii.com/view_anunt.php?id_anunt=387979
http://www.e-achizitii.com/download_document.php?id_document=610611&id_anunt=387979&id_anunt_atribuit=0

Versiunea tuturor produselor software din ofertă trebuie sa nu fie pusă la dispoziție de producător sub licență ,,free software license" – GPL sau similar.

Oare sursele programelor folosite de stat pentru prelucrarea datelor populației nu ar trebui să intre în categoria informațiilor de interes public și nu ar trebui să intre sub incidența legii nr. 544/2001 privind liberul acces la informatiile de interes public?

[Scientia]

Probabil că această condiţie se referă la faptul că furnizorul softului nu poate lua un produs free, pe care să-l ajusteze la nevoile poliţiei, iar pentru eventualele bug-uri să dea vina pe programatorul ori programatorii anonimi.

Sursa programelor folosite de stat nu stă la stat. De ce ar sta? Or fi şi excepţii, dar de ce ar sta la stat? Iar dacă ar sta, de ce să fie accesibile oricui? Statul este şi armata, şi SRI-ul, care folosesc diverse echipamente controlate de computere. Cum ar fi ca sursa să fie publică? Un pic cam periculos, nu?

::M.

[tavy]

Probabil că această condiţie se referă la faptul că furnizorul softului nu poate lua un produs free, pe care să-l ajusteze la nevoile poliţiei, iar pentru eventualele bug-uri să dea vina pe programatorul ori programatorii anonimi.

În cazul acesta era suficient să specifice că furnizorul își asumă răspunderea pentru softul furnizat, poate nici nu era necesară această specificare. Dacă furnizorul vine cu o soluție bazată pe Oracle și soluția dă rateuri va putea da vina pe programatorii de la Oracle? La fel, dacă soluția software se bazează pe Postgresql nu este cazul să dai vina pe programatorii de la Postgresql pentru că soluția nu funcționează în parametrii.

Sursa programelor folosite de stat nu stă la stat. De ce ar sta? Or fi şi excepţii, dar de ce ar sta la stat? Iar dacă ar sta, de ce să fie accesibile oricui? Statul este şi armata, şi SRI-ul, care folosesc diverse echipamente controlate de computere. Cum ar fi ca sursa să fie publică? Un pic cam periculos, nu?

De ce ar fi periculos? Nu cer acces la informația care este prelucrată, vreau doar să știu cum este prelucrată informația. Spre exemplu, în cazul softului folosit la alegeri, mi se pare firesc să pot verifica dacă softul respectiv nu este făcut să fure voturi. Sau în cazul softului folosit pentru evidența cazierelor judiciare, poate vreau să mă asigur că softul respectiv nu poate fi ,,păcălit" pentru anumite persoane.
Oricum metoda ,,securitate prin obscuritate" s-a dovedit în nenumărate rânduri că oferă doar o iluzie de securitate și că în realitate nu face altceva decât să ascundă o serie de probleme, chiar de securitate, ale produsului care până la urmă ies la iveală, în general, după ce au produs deja pagube.
În cazul softului cu surse deschise problemele sunt găsite mult mai ușor și în general sunt găsite mai întâi de persoane bine intenționate și care le reclamă putând fi astfel reparate înainte de a fi exploatate de persoane rău intenționate.

[AlexandruLazar]

Dacă te încălzește cu ceva, competența celor care aplică legile asta este la fel ca a celor care au elaborat-o. Sunt în uz câteva programe care altfel sunt sub licență BSD.

[Scientia]

Acum - eu nu ştiu de ce a apărut această condiţie. Nu am lucrat la respectivul caiet de sarcini. Mă gândeam că ce am spus anterior ar putea fi o explicaţie.

În privinţa programelor sursă, producătorii de software, după cum cred că ştii, au două variante: ori nu-l dau (de exemplu, Microsoft), ori îl dau pe foarte, foarte mulţi bani. Statul, prin oricare instituţie a lui, nu este interesat de codul sursă, că nu are cu cine să-l modifice, în esenţă. De ce să-l cumpere? Ca să aibă un CD în plus în evidenţă?

Vrei tu să verifici softul alegerilor? Sigur, îţi poţi stabili ca scop aşa ceva, dar la ce ar folosi, la scară mare vorbind? O astfel de verificare trebuie să se facă în mod oficial, de către o instituţie a statului, nu de către fiecare cetăţean. În principiu, sunt de acord cu tine, anumite softuri pot fi făcute publice, ca cel folosit la alegeri, de ce nu? Softurile sensibile - în schimb - le-aş ţine departe de public, care nu înseamnă doar tineri curioşi, ci şi diverse alte persoane interesate în mod direct de aflarea unor informaţii sensibile. Tu spui că nu eşti interesat de fluxul de date, ci doar de sursă, dar codul sursă oferă multe informaţii utile unui eventual atacator, nu?

::M.

[tavy]

În privinţa programelor sursă, producătorii de software, după cum cred că ştii, au două variante: ori nu-l dau (de exemplu, Microsoft), ori îl dau pe foarte, foarte mulţi bani. Statul, prin oricare instituţie a lui, nu este interesat de codul sursă, că nu are cu cine să-l modifice, în esenţă. De ce să-l cumpere? Ca să aibă un CD în plus în evidenţă?

Din câte știu Microsoft oferă codul sursă al Windows guvernelor și altor clienți importanți, altfel nici nu văd cum ar putea fi folosit Windows în domenii sensibile cum ar fi armata sau serviciile secrete.

Vrei tu să verifici softul alegerilor? Sigur, îţi poţi stabili ca scop aşa ceva, dar la ce ar folosi, la scară mare vorbind? O astfel de verificare trebuie să se facă în mod oficial, de către o instituţie a statului, nu de către fiecare cetăţean. În principiu, sunt de acord cu tine, anumite softuri pot fi făcute publice, ca cel folosit la alegeri, de ce nu? Softurile sensibile - în schimb - le-aş ţine departe de public, care nu înseamnă doar tineri curioşi, ci şi diverse alte persoane interesate în mod direct de aflarea unor informaţii sensibile. Tu spui că nu eşti interesat de fluxul de date, ci doar de sursă, dar codul sursă oferă multe informaţii utile unui eventual atacator, nu?

Este exact punctul de vedere care încercam să-l combat, ,,securitatea prin obscuritate" nu numai că nu aduce un plus de securitate ci chiar duce la scăderea securității atât prin falsul sentiment de confort cu privire la securitate cât și din cauza faptului că eventualele probleme de securitate nu vor fi ușor de găsit de persoane bine intenționate. Este drept că există o dispută cu privire la ,,avantajele" securității prin obscuritate dar marea majoritate a programatorilor buni cu care am avut de-a face sau ale căror articole le-am citit sunt împotriva securității prin obscuritate. Un punct de plecare pentru documentarea cu privire la securitatea prin obscuritate ar fi http://en.wikipedia.org/wiki/Security_through_obscurity.

Tu spui că nu eşti interesat de fluxul de date, ci doar de sursă, dar codul sursă oferă multe informaţii utile unui eventual atacator, nu?

Deși codul sursă al Windows și al majorității programelor care rulează pe Windows nu este accesibil publicului, spre deosebire de GNU/Linux, Windows este de multe ori o țintă mult mai ușoară pentru atacatori decât GNU/Linux.

[AlexandruLazar]

În privinţa programelor sursă, producătorii de software, după cum cred că ştii, au două variante: ori nu-l dau (de exemplu, Microsoft), ori îl dau pe foarte, foarte mulţi bani. Statul, prin oricare instituţie a lui, nu este interesat de codul sursă, că nu are cu cine să-l modifice, în esenţă. De ce să-l cumpere? Ca să aibă un CD în plus în evidenţă?

Dimpotrivă, statul român ar trebui să fie primul care este interesat să aibă codul sursă, în special în administrație. E o problemă de transparență, și e în primul rând o garanție a faptului că programul nu face mai mult (în sensul malițios) decât ar trebui să facă.

Tu spui că nu eşti interesat de fluxul de date, ci doar de sursă, dar codul sursă oferă multe informaţii utile unui eventual atacator, nu?

Asta e principala idee a susținătorilor securității prin obscuritate, dar care a dat greș în mod repetat, ultima lecție în această privință fiind cei de la Apple. Codul sursă oferă multe informații utile unui eventual atacator dar, întrucât codul este liber disponibil, eventualele probleme de securitate sunt rezolvate într-un timp de ordinul minutelor, și de regulă sunt întâi descoperite și imediat rezolvate de analiști de securitate sau programatori interesați. Prin contrast, găurile de securitate din programele closed source sunt descoperite întâi de autorii de programe malițioase și întâi exploatate, iar update-urile au obiceiul de a veni la Sfântu-Așteaptă.

Pe de altă parte, dacă îți pui problema a cât de greu se găsesc breșele de securitate, din proprie experiență îți pot spune că nedisponibilitatea codului sursă este o problemă mult mai mică decât pare la prima vedere. Cele care rezultă, de exemplu, din nerespectarea specificațiilor unui protocol sau implementarea defectuoasă a unei scheme de securitate, le poți testa efectiv prin verificare directă și captură a pachetelor. De regulă procesul de descoperire este unul inductiv -- la modul că iei la mână un standard, te uiți la părțile cu potențial "sensibil" și le testezi -- sau alteori efectiv le descoperi din întâmplare. Altfel, găsirea breșelor numai pe baza surselor printr-un audit de securitate, o comunitate Open Source poate fi infinit mai eficientă. Uită-te, de exemplu, la OpenBSD, care în ultimii 15 ani a avut două sau trei breșe majore și au fost reparate practic în aceeași zi, comparativ cu OS X care are două duzini unele nereparate de pe vremea lui OS X 10.3.

În fine, problemele nu țin numai de securitate. Înainte, când lucram la Politehnica, am avut ocazia de a face pe pielea mea o astfel de comparație; majoritatea colegilor mei foloseau Matlab (care are o licență draconică și costă cât să hrănești un sat din Africa vreo câteva luni). Eu nici nu îl știam prea bine, nici n-am avut motive să-l învăț fiindcă am putut folosi Python (și, pentru problemele sensibile dpdv al performanței, împreună cu C. folosind Swig). Cred că mai bine de jumătate din timpul petrecut de colegii mei era petrecut săpând prin documentația (foarte proastă) a celor de la Mathworks pentru a înțelege ce se întâmplă de fapt cu codul lor, iar în ultimă instanță am obținut rezultate mai bune decât ale lor, folosind instrumente care n-au costat niciun sfanț.

[Scientia]

Nu ştiam că Microsoft dă codul sursă guvernelor. Am auzit numai că au negociat cu China acest aspect. Ştii tu exemple de ţări care au codul sursă? Dar eu spuneam că guvernul român nu are ce să facă cu el. Cine l-ar gestiona? Care super-institut de cercetare IT guvernamental?

În principiu, sunt de acord cu punctele voastre de vedere, numai că mi se pare că vorbim despre lucruri diferite; de aia pot fi de acord cu voi, dar menţinându-mi punctele de vedere.

Şi despre ce comunitate open source vorbim noi în cazul softurilor dedicate pentru echipamente speciale, ca de exemplu sistemul de comandă-control într-o armată, oricare ar fi ea ori sistemul intern de comunicare între agenţi să spunem ai CIA? Este, cred, o naivitate să crezi că s-ar constitui grupuri de programatori oneşti care să susţină aşa ceva din pasiune.

Deci, continui să cred că deşi poate fi ţinut un discurs emoţionat pe tema disponibilităţii publice a softurilor folosite de instituţii ale statului, nu este o abordare practică, din raţiuni de securitate.

::M.

[tavy]

Nu ştiam că Microsoft dă codul sursă guvernelor. Am auzit numai că au negociat cu China acest aspect. Ştii tu exemple de ţări care au codul sursă? Dar eu spuneam că guvernul român nu are ce să facă cu el. Cine l-ar gestiona? Care super-institut de cercetare IT guvernamental?

http://www.microsoft.com/romania/comunicate/comunicat.aspx?c=271

Ministerul Comunicațiilor și Societății Informaționale și Microsoft au reînnoit Government Security Program, un program ce oferă guvernelor naționale acces controlat la cod sursă, informații tehnice referitoare la platformele Windows, Windows Server, Windows Embedded CE și Microsoft Office. Government Security Program a fost semnat pentru prima dată în 2003 și reînnoirea acestui parteneriat confirmă deschiderea Microsoft și a autorităților române pe tema colaborării între experți în securitate ai celor două părți.

Şi despre ce comunitate open source vorbim noi în cazul softurilor dedicate pentru echipamente speciale, ca de exemplu sistemul de comandă-control într-o armată, oricare ar fi ea ori sistemul intern de comunicare între agenţi să spunem ai CIA? Este, cred, o naivitate să crezi că s-ar constitui grupuri de programatori oneşti care să susţină aşa ceva din pasiune.

Să ne înțelegem, nu pretind să se publice sursele tuturor programelor folosite, deși nu consider că ar fi rău acest lucru, pretind publicarea surselor acelor programe care prelucrează date ce mă pot privi personal și mai ales pretind ca guvernul să nu folosească în anumite situații softuri la care nu are acces la codul sursă chiar dacă nu este public.
Nu mi se pare naiv să consider foarte probabil ca sursele programelor folosite de guvern să fie studiate în universități sau că vor fi studenți care vor încerca să facă proiecte cu audituri de securitate a diverselor platforme software folosite în administrația publică.
Pe de altă parte, programatorii sunt o ,,specie" destul curioasă și se vor găsi destui voluntari care pentru faimă să încerce să semnaleze eventuale găuri de securitate în softul guvernamental.

[AlexandruLazar]

Nu ştiam că Microsoft dă codul sursă guvernelor. Am auzit numai că au negociat cu China acest aspect. Ştii tu exemple de ţări care au codul sursă? Dar eu spuneam că guvernul român nu are ce să facă cu el. Cine l-ar gestiona? Care super-institut de cercetare IT guvernamental?

Microsoft nu dă codul sursă numai guvernelor, ci oricărui partener interesat în cadrul programului Shared Source. Costă ceva bani și în principiu trebuie să îndeplinești niște criterii (ca număr de angajați și venituri, în primul rând, astfel încât să fie profitabil), dar altfel poți obține ușor acces.

Şi despre ce comunitate open source vorbim noi în cazul softurilor dedicate pentru echipamente speciale, ca de exemplu sistemul de comandă-control într-o armată, oricare ar fi ea ori sistemul intern de comunicare între agenţi să spunem ai CIA? Este, cred, o naivitate să crezi că s-ar constitui grupuri de programatori oneşti care să susţină aşa ceva din pasiune.

În primul rând, crezi greșit. În al doilea rând, chiar și așa, autoritățile guvernamentale nu înseamnă numai instituții ca CIA. Înseamnă la fel de bine și instituții ca birourile Ministerului Agriculturii, care n-au nevoie de baze de date Oracle. Iar instituții de stat sunt, de exemplu, și școlile publice.

[Scientia]

Ca să finalizăm această discuţie, am stabilit că Microsoft dă acces la codul său sursă guvernelor şi altor entităţi. Nu am înţeles dacă dă efectiv tot codul sursă al unui sistem de operare, să zicem Windows 7 ori acces la unele dintre componentele sistemului. Dacă multe entităţi statale şi nu numai ar fi avut acces la tot codul sursă, mă tem că ar fi fost disponibil şi pe Internet până acum. Dar este numai o părere.

De acord că o parte a softului folosit de guvern ar putea, bine-mersi, studiat de oricine. De ce nu? Deşi, dacă ne referim la subiectul nostru, care ar fi fiorul? E vorba despre o banală aplicaţie în care se vor introduce nişte date despre fiecare. O bază de date. Dar dacă unii cred că e incitant, atunci este.

Dar ca să ne întoarcem la întrebarea iniţială, nu cred că face obiectul legii 544 codul sursă al unei aplicaţii, eventual numele aplicaţiei ar putea fi cerut. Şi cum nu cred că Poliţia va lua codul sursă, că nu are ce face cu el - şi dacă ar vrea să-l facă public, nu ar avea ce.
::M.

[tavy]

Ca să finalizăm această discuţie, am stabilit că Microsoft dă acces la codul său sursă guvernelor şi altor entităţi. Nu am înţeles dacă dă efectiv tot codul sursă al unui sistem de operare, să zicem Windows 7 ori acces la unele dintre componentele sistemului. Dacă multe entităţi statale şi nu numai ar fi avut acces la tot codul sursă, mă tem că ar fi fost disponibil şi pe Internet până acum. Dar este numai o părere.

Este vorba de ,,acces controlat", îți dai seama că codul nu este accesibil oricărui angajat, cine are acces la cod este probabil foarte bine verificat și probabil semnează o mulțime de NDA-uri înainte de a avea acces la cod. Mergând după aceeași logică și unii angajați Microsoft au acces la codul Windows și cu toate acestea codul nu este disponibil pe Internet.

De acord că o parte a softului folosit de guvern ar putea, bine-mersi, studiat de oricine. De ce nu? Deşi, dacă ne referim la subiectul nostru, care ar fi fiorul? E vorba despre o banală aplicaţie în care se vor introduce nişte date despre fiecare. O bază de date. Dar dacă unii cred că e incitant, atunci este.

O bază de date la care, dacă ar avea acces privilegiat entități care nu ar trebui să aibă acces ar apărea oarece probleme. Din acest motiv statul nu ar trebui să folosească pentru prelucrarea datelor de acest gen aplicații la care nu are acces la codul sursă.

Dar ca să ne întoarcem la întrebarea iniţială, nu cred că face obiectul legii 544 codul sursă al unei aplicaţii, eventual numele aplicaţiei ar putea fi cerut. Şi cum nu cred că Poliţia va lua codul sursă, că nu are ce face cu el - şi dacă ar vrea să-l facă public, nu ar avea ce.

Și ce să fac eu cu numele aplicației? Ideea este că poliția nu ar trebui să folosească aplicații fără a avea acces la codul sursă din motivele enumerate până acum. Și dacă statul are acces la codul sursă al unei aplicații software plătită din banii mei nu văd de ce nu aș avea și eu acces la acel cod sursă. De ce nu mi se oferă posibilitatea să mă conving că aplicația respectivă nu face și altceva decât ceea ce ar trebui să facă și eu să mă asigur astfel că datele mele personale sunt în siguranță? De ce aș avea eu încredere într-un furnizor de software pentru guvern atâta timp cât până și acasă evit folosirea de software la care nu am acces la codul sursă, motiv pentru care nu folosesc programe de genul ,,yahoo messenger" sau ,,skype"?

În cazul concret al ,,sistemului IT de evidență a cazierului judiciar" cum ar fi dacă furnizorul aplicației și-ar lăsa o portiță prin care să poată modifica caziere? Și de ce nu ar face asta atâta timp cât practic nu poate fi prins că a lăsat intenționat acea portiță? Doar s-ar putea scoate bani buni din asta, mult mai mult decât încasează pe aplicație.

Tot spui că statul nu ar avea ce face cu codul sursă pentru că nu ar avea specialiști care să-l studieze, părerea mea că statul ar trebui să aibă astfel de specialiști, eventual un serviciu specializat
în cadrul SRI care să se ocupe cu auditul de securitate al aplicaților folosite de stat. Sau poate chiar există astfel de specialiști, altfel de ce ar fi cerut acces la codul sursă Windows, lăsând la o parte că foarte probabil acest acces a fost condiție de acceptare în NATO?

[Scientia]

De acord că statul ar trebui să aibă specialişti care să poată verifica şi, eventual, modifica, în funcţie de necesităţi cod sursă. Numai că nu are. Asta-i viaţa. Nu plăteşti, nu ai programatori de valoare. Ministerul Comunicatiilor si Societatii Informationale are 100 de angajaţi. Dacă te uiţi de câte trebuie să se ocupe, rămâi mut de uimire. E drept, mai are nişte instituţii în subordine, dar oricum e cam nimic pentru ce cred eu că ar trebuie să fie acest minister astăzi.
Statul român nu mai poate atrage funcţionari de valoare, pentru că nu are bază legală de funcţionare care să pună în valoare meseriile care implică o pregătire specială, cum este programarea. Un casier este considerat numai un pic sub un programator. Cică să se ocupe domeniul privat de cercetare.

Prin contractele de achiziţii, apropo de eventuale porţiţe ale aplicaţiilor achiziţionate, se cam trec - ori ar trebui - condiţii referitoare la "puritatea" aplicaţiei. Pe de altă parte, cele mai multe sisteme informatice ale statului sunt izolate de reţeaua Internet, deci e cam greu să accesezi/modifici softul, tu, ca firmă furnizoare. Eventual pe timpul activităţilor de mentenanţă, dacă există aşa ceva.

Chestia cu "plătit din banii" mei e bună pentru o emisiune tv, dar în niciun caz nu stau lucrurile aşa. Să fim serioşi. Nu sunt banii tăi şi nici ai mei. Au fost până au plecat către stat sub formă de taxe şi impozite. E plăcut să faci aprecierea asta, dar este una înşelătoare. E al tău ceva de care poţi beneficia. Sigur, putem teoretiza mult pe acest subiect, dar este inutil. Funcţionarii statului, în mod controlat, dar nu de către noi, fac ce cred ei că trebuie cu bugetul de care dispun; bugetul lor.

[pault80]

...este o tema de dezbatere interesanta, fiecare parte are argumentele ei, dar subiectul nu este accesibil multora. in tot cazul publicul larg abia acum se obisnuieste cu tehnologia. sa ne gandim ca multi abia acum au aflat ce este un certificat digital de exemplu.

[AlexandruLazar]

Asta n-are nicio relevanta, cei care iau deciziile in acest sens nu fac (sau nu ar trebui sa faca) parte din "publicul larg" care abia a inceput sa se obisnuiasca cu tehnologia.