26 марта 2013

Плагиат в отечественных продуктах ИБ - где грань?

Пока вход в Интернет по паспорту не стал реальностью и есть ещё возможности для анонимного комментирования, читатели блога продолжают раскрывать неизвестные подробности о рассматриваемых мной продуктах.

Так, например, некто Фыва сообщает, что: "Altell neo - это модифицированная vyatta" и уточняет: "Естественно, они злостно нарушают лицензию". Комментарий приведён к моему посту Who is Mr. ALTELL?, посвящённому продукту одноимённой компании. Оставим за рамками отношения между работодателем и сотрудниками, но сам сценарий использования стороннего готового продукта (исходный код которого доступен для свободного скачивания) с последующей сертификация во ФСТЭК представляется вполне реалистичным. В конце концов, для одного из своих проектов Микротест сертифицировал именно Vyatta. Присвоение чужих наработок также могло бы объяснить и удивившую меня скорость появления новых продуктов.

С другой стороны, сам ALTELL NEO вживую мне не встречался и оценить его схожесть с Vyatta не берусь. Опять-таки, локализация, техподдержка, наконец, сертификация - это то, что стоит денег и в продаже open-source по такой схеме нет ничего злостного. Нарушение GPL (если таковое, конечно, здесь имеется) в российских юридических реалиях - тоже вопрос всё ещё дискуссионный, хоть и с давней историей.

В конце концов, горячо любимая мною компания НПО Эшелон два года спустя после начала обсуждения на Хабре их поделия Сканер ВС более-менее обосновала легальность данного продукта у себя в блоге, со свойственной им, правда, аргументацией ad hominem.

Создание собственных ИБ-продуктов на базе open-source в России распространено ничуть не меньше, чем в мире. Например, АПКШ Континент базируется на FreeBSD и вендор особо этого не скрывает. Вот только не совсем понятно, выполняется ли на практике требование лицензии The FreeBSD Project:
Copyright 1992-2013 The FreeBSD Project. All rights reserved. […] должно оставаться указанное выше уведомление об авторском праве, этот список условий и последующий отказ от гарантий.
Можно также вспомнить канувший в лету другой продукт (купленный в своё время Информзащитой) - Linux XP (трансформировашийся, как я понимаю, теперь в семейство решений от Компании РОСА), который до конца так и не оправился от ранее объявленного бойкота со стороны linux-сообщества за нарушение GPL (хотя позднее вменяемые в вину создателям недостатки и были устранены).

Стоит признать, тем не менее, что умышленное или по недосмотру нарушение GPL и/или BSD лицензий всё равно у нас в стране вряд ли может привести к серьёзным сложностям со сбытом, особенно если рассматривать сертифицированные продукты. А вот использование этих формальных нарушений в качестве инструмента конкурентной борьбы при столкновении конфликтующих лоббистских интересов, на мой взгляд, вполне даже реалистично.

Нужно, правда, согласиться, что процесс доказательства плагиата и незаконного использования чужого исходного кода не так прост, тогда как клонирование аппаратных решений - вещь более наглядная и очевидная.

Переходя от программных заимствований к аппаратным, можно вспомнить "ДжаКарту" (JaCarta),  которая по слухам является клоном IDProtect Key LASER компании Athena и совершенно шедевральный, по моему скромному мнению, сертифицированный как межсетевой экран коммутатор RSOS6850:

В целом же, жаль, конечно, что искажённая в кривом зеркале сертификации российская ИБ-действительность, накладывает свои отпечатки в восприятии реальности и от отечественных поставщиков решений по безопасности никто даже и не ждёт кристальной честности. Так мы скоро, глядишь, и до своих СПАРТАН 300 и INTEGRAL докатимся.

UPD. 26.03.2013 Простое сопоставление скриншотов из документации Altell (в ней Vyatta не упоминается) и описания Vyatta на Википедии:


Изображение http://sobaka.com.ua/c/olds/sobaka/1218103376_20080807011555297_12.jpg