Простите меня за этот заголовок, коллеги, я — специально, иначе просто не могу. Неделю назад я написал колонку про побочные эффекты от бездумного использования TOR на предприятии, упомянув заодно, что неприятности можно поиметь и от свободного программного обеспечения вообще (см. «Детское порно, экстремизм и прочие прелести…»). И совершенно неожиданно получил невероятную волну откликов, в массе своей критических («полнейший м.дак», «кретин», «продажный журналюга», «тролль» и т.п. и т.д.). Что ж, по крайней мере с тем, что TOR может ударить по компании, никто не спорит. А вот об обратной стороне свободного софта — точнее, о специфике его применения в России — явно стоит поговорить особо.
Прежде всего позвольте заметить, что я сам активный пользователь и убеждённый сторонник open source. Всё цифровое железо в моём доме управляется Linux, а работа, исследования, развлечения, всё, практически всё, завязано на свободный софт. Но лучше того, на протяжении большей части нулевых я держал магазин свободного программного обеспечения, какое-то время бывший одним из крупнейших не только в России, но и на постсоветском пространстве. Магазин «получился» случайно (я не собирался торговать, а всего лишь, наткнувшись на один из первых «живых» линукс-дистрибутивов, делал популяризаторский проект), и так же незапланированно я его закрыл.
Нет, я не разуверился в open source, и совесть моя была чиста: у меня был ИП, я скрупулёзно платил налоги, жертвовал свободным проектам. Но в какой-то момент буквально стал просыпаться ночами от подсознательного беспокойства. Цепочка событий в России и за рубежом подтолкнула к выводу, что мой магазин существует только до тех пор, пока на него не обратят внимание правоохранительные органы. После чего в лучшем случае я потеряю бизнес, а в худшем свободу. С тех пор, если я правильно понимаю, в лучшую сторону ничего принципиально не изменилось, поэтому давайте пройдёмся по списку опасных моментов.
Проблема первая — самая смешная, но и самая безнадёжная — связана с лицензиями. Поскольку разработка свободного ПО ведётся и координируется энтузиастами, хозяина у него — в виде конкретного человека или компании — как бы нет. О, конечно, есть коллектив авторов, действующих в рамках документа под названием GNU General Public License и ему подобных (в них оговариваются права и обязанности людей, получивших копию программы). Однако в случае проверки «лицензионной чистоты софта, используемого на российском предприятии», GPL, как показала практика, лицензией не считается (подробнее о прецедентах и правовых аспектах см. публикации 2007 года в Компьютерре Ильи Шпанькова и Павла Протасова).
И даже копии GPL, распечатанные и заверенные нотариусом, которые линуксоиды бросились делать аккурат в те годы, вряд ли помогут. Потому что, во-первых, в состав каждого дистрибутива Linux входят программы, распространяемые под десятками лицензий (часто, по незнанию пользователя, и под несвободными), и, во-вторых, проверяющим нужна не абстрактная декларация прав, а разрешение на использование конкретной программы, выданное правообладателем.
Откуда пользователь, скажем, Debian GNU/Linux возьмёт такое разрешение? Вот он, тупик: доказывать, что копия свободной программы лицензионно чиста, пользователь обязан, а уголовное дело в России может быть заведено и без заявления потерпевшей стороны (т.е. разработчиков Debian, якобы, обкраденных пользователем).
Проблема вторая — цифровые средства защиты авторских прав (DRM). Тут самым крупным камнем преткновения мне видится DRM-механизм CSS, применяемый для ограничения доступа к DVD-дискам. Эту защиту ввели в употребление во второй половине 90-х годов, но и сегодня она очень популярна. У нас в Екатеринбурге, например, каждый третий DVD-диск с видео, лежащий на прилавке (оценка моя), защищён CSS. В MS Windows и Mac OS X трудностей с воспроизведением таких дисков нет: пользователь просто не замечает, что программа-плеер или операционная система имеют секретный ключик для расшифровки CSS-контента. А вот в чистой Linux-системе (без проприетарных добавок; скажем, в Debian) такой диск проиграть не получится: авторам свободных программ ключ CSS никто не давал.
Что ж, линуксоиды придумали альтернативный механизм. Они написали программу, которая «на лету» взламывает защиту CSS, и упаковали её в библиотеку libdvdcss, которой пользуются все популярные свободные плееры (Mplayer, VLC и другие).
Поскольку в США и Европе действуют законы, прямо запрещающие обход DRM, libdvdcss чаще всего не поставляется с дистрибутивом (таковы Debian, Ubuntu, Fedora), а устанавливается самим пользователем из Сети, уже после инсталляции системы. Впрочем, авторы не всех дистрибутивов так щепетильны: в составе популярных Linux Mint, PCLinuxOS и многих других libdvdcss имеется. Рискну предположить, что так или иначе libdvdcss установлена на подавляющем большинстве Linux-машин. Её используют, потому что вариантов нет.
Многие полагают, что Россия была и остаётся территорией, на которой обход DRM законом не регулируется. Увы, это ошибка. До 2011 года такие действия подпадали под статьи 146 (незаконное использование объектов авторского права) и 272 УК РФ («Неправомерный (нарушающий установленный порядок) доступ к … информации… наказывается штрафом в размере до двухсот тысяч рублей …. либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет и т.д.»).
А с конца прошлого года, после принятия поправок к УК, они прямо оговариваются в статье 273: «Создание, распространение или использование компьютерных программ … заведомо предназначенных для … нейтрализации средств защиты компьютерной информации … наказываются ограничением свободы на срок до четырех лет и т.д.».
Проблема третья — сомнительная законность программного обеспечения для аудита защищённости систем и сетей. Речь о сканерах/кракерах/мониторах Nmap, Metasploit, Wireshark, w3af, Ettercap, Kismet, Hydra, AirCrack и многих, многих других, включённых в состав Linux-дистрибутивов, а зачастую и устанавливаемых на жёсткий диск по умолчанию вместе с другими программами для администрирования. Формально эти инструменты необходимы сисадмину для нормализации работы ИТ-инфраструктуры, а также для того, чтобы идти на шаг впереди взломщиков, заранее обнаруживая и закрывая «дыры» в корпоративном периметре. Ложка дёгтя: все эти программы замечательно вписываются в ту же статью 273 УК («использование компьютерных программ … заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации»).
Да, можно понадеяться на словечко «заведомо», а также предположить, что просто иметь такие программы на компьютере, а тем более в шкафу, на компакт-диске с дистрибутивом, ещё не значит ими «пользоваться». Но готовы ли вы поставить на это благополучие своего бизнеса? Уверены, что наличие AirCrack и Metasploit на вашем диске не будет приравнено правоохранительными органами и судом к хранению коллекции вирусов? Уверены, что ссылка на «заведомо» подействует — при фактическом отсутствии бумажки от правообладателя (см. выше, про лицензии)?
Наконец, четвёртая и последняя проблема, связана с криптографией. Уже в стандартной комплектации Linux оснащена фантастически мощными криптоинструментами: тут и GPG, и SSH, и встроенные средства шифрования файловых систем, трафика. На расшифровку используемых этими программами шифралгоритмов «в лоб», подбором пароля, потребуется время, сопоставимое с временем жизни Вселенной. У правоохранительных органов его конечно же нет.
Вот почему в России средства защиты информации, применяемые в том числе и частными лицами, должны быть в должном порядке сертифицированы (см., в частности, статью 13.12 КоАП РФ). О том, что у свободных программ таких сертификатов нет, вы можете догадаться и сами (государственными сертификатами обладают производные криптоинструменты, основанные на свободных, разработанные отечественными производителями — но, пользуясь полностью свободным дистрибутивом, вы таких программ, естественно, не имеете). Так что будьте готовы, что и этот аспект однажды может всплыть.
Давайте подведём итог. Главная проблема свободного софта — в его кажущейся ничейности, в отсутствии, грубо говоря, человека, готового по первому требованию предоставить письменное доказательство намерений, условий, прав. И пока российское законодательство не признает свободное ПО как самостоятельный класс, проблема будет существовать. Да, возможно, до суда дело и не дойдёт — но в качестве аргумента при обыске, изъятии, разбирательстве, каждый из четырёх вышеперечисленных моментов может и будет использоваться. Ситуация усугубляется ещё и тем, что российское право до сих пор игнорирует понятие прецедента, а потому оправдательные решения судов по предыдущим делам для вас большого значения не имеют.
Кто виноват? Я не стал бы возлагать вину на кого-то в отдельности. Законодатели, суды и полиция нерасторопны и часто небеспристрастны, зато приверженцы свободного софта неуступчивы. Сообщество open source не терпит компромиссов, не выносит попыток навязать ему чужую волю. Вспомните пример с CSS: я заплатил за лицензионный диск, так по какому праву мне запрещают воспроизвести его на моей Linux-машине?
То же самое радикальное, либеральное, анархическое «имею право!» прослеживается и в позиции по криптографии (какого чёрта я должен пользоваться искусственно ослабленной сертифицированной защитой?), и в позиции по security-аудиту. Это фундаментальное, культурное расхождение, характерное, кстати, не только для хакерского сообщества, но и, к примеру, для науки: представьте, что общество запретило бы физикам исследовать радиоактивность после того, как проявились первые её отрицательные свойства!
Попирая некоторые социальные нормы, сообщество open source движется вперёд быстрее. Но не забывайте, что оно преследует свои цели, а вы и ваш и бизнес — свои. Так что пусть идиоты кричат «мудак»! Они, полагаю, ничем не рискуют. Думайте за себя.
P.S. В статье использованы иллюстрации Kalamita, Andy Melton, кадр из к/ф «Матрица».
P.P.S Буду признателен за аргументированные доводы «за» и «против». Пожалуйста, воздержитесь от брани.