19 Января, 2014

Углярка против ElcomSoft

Алексей Комаров

В середине декабря на портале госзакупок НПО «Специальная техника и связь» МВД России опубликовало открытый конкурс ( заказ № 0373100088713000096 ) с длинным (как обычно) и странным (ну что за «Углярка»?) названием: «Создание аппаратно-программного комплекса для решения криптографических задач в рамках судебной компьютерной экспертизы», шифр «Удешевление (Углярка)». ОКР.»

Согласно Техническому заданию ( см. Раздел III ) из конкурсной документации, госконтракт подразумевал создание к 15 ноября 2015 года аппаратно-программного комплекса (АПК) «для расширения возможностей, повышения качества и сокращения сроков производства компьютерных экспертиз и исследований, связанных с обеспечением доступа к зашифрованной компьютерной информации». Сейчас разберёмся, что скрывается за этим нагромождением слов.

По описанию своих функциональных возможностей заказываемый НПО «Специальная техника и связь» комплекс очень похож на продукты компании ElcomSoft, предназначенные для восстановления паролей к зашифрованным файлам и системным ресурсам. Прилагаемый к техзаданию (ТЗ) требуемый список поддерживаемых форматов файлов и типов приложений структурирован несколько странно, содержит повторы и, скорее всего, был сформирован из описания набора программ ElcomSoft Password Recovery Bundle с примесью списка форматов приложения Encryption Analyzer или какого-то похожего.

Список форматов довольно внушительный (более 200 строк, поэтому полностью тут его не привожу, можно посмотреть в ТЗ) и демонстрирует всю серьёзность намерений. Вот, например, к каким документам, приложениям и системам хотели бы получать доступ компьютерные эксперты МВД России:

  • Microsoft Office (Word, Excel, PowerPoint, Project, Access, Outlook, Backup, OneNote), OpenDocument (OpenOffice, StarOffice etc), Apple iWork
  • Системные пароли Microsoft Windows, UNIX, Remote Desktop Connections, пароли беспроводных сетей, хеши MD5
  • Mac OS / FileVault / Keychain / User / Hash, Apple Disk Image
  • Резервные копии iPhone/iPod/iPad/BlackBerry
  • BestCrypt, TrueCrypt, PGP и Open-Key
  • TheBat!, Mozilla FireFox, Thunderbird, Google Chrome Website, Safari, MS Internet Explorer, ICQ
  • MS Project, MS SQL, Microsoft Money
  • Oracle, Intuit Quicken, Adobe Acrobat, Lotus Notes
  • ACT!, FileMaker Pro, MYOB, Norton Backup, Schedule+, WordPerfect
  • Peachtree, Paradox Database, Quattro, QuickBooks
  • RAR, WinZip, ZIP Archive, 7-Zip

С таким арсеналом и приличной вычислительной мощностью можно смело изымать любую компьютерную технику — крайне мало секретов на ней не будет раскрыто даже без содействия со стороны владельца, особенно если он беспечен.

Кстати, по поводу мощности. Аппаратная часть АПК под условным названием Углярка должна была представлять собой:

  • Сервер управления не хуже 2 x Xeon E5-2670/ 32 Гб/ 2 x 200 Гб SSD RAID;
  • «Вычислитель» № 1 типа Super Micro 4U 7047GR-TPRF;
  • «Вычислитель» № 2 на базе персональной ЭВМ х86 (Intel Core i5 LGA1155, ОП 4×240 pin DDR Slots up to 32 GB, USB 3.0), с устанавливаемой платой ПЛИС с поддержкой OpenCL.

Никаких аппаратных ускорителей или сверхмощных видеокарт, только плата ПЛИС, хотя и с поддержкой OpenCL.

Из других требований к АПК: максимальное число пользователей — не менее 500, продолжительность гарантийного обслуживания — не менее двух лет.

Начальная максимальная цена контракта не много не мало — 20 000 000 руб. Для обоснования данной цифры, как это принято, было проведено «исследование рынка» и получены данные от трёх независимых организаций, которые по «случайному» совпадению при усреднении дали ровное красивое число:

20000000

Не занимался никогда заказными разработками программного обеспечения, но цена обладания всеми правами (согласно ТЗ все исходные коды также передаются заказчику) на такой инструмент вроде бы представляется вполне адекватной. Особенно на фоне покупок на бюджетные деньги топовых иномарок и аренды вертолётов. С другой стороны, на рынке уже существует готовое решение и было бы интересно сравнить стоимость Углярки с ним.

Справедливости ради нужно отметить, что, конечно, есть в техзадании нюансы, отличающие заказную разработку от продукта ElcomSoft. Например, требуется поддержка в web-интерфейсе оператора SSL и TLS со схемами шифрования, включающими ГОСТ. Впрочем, с точки зрения основного предназначения, такие мелочи представляются незначительными, тем более, что «в процессе выполнения ОКР отдельные пункты настоящего ТЗ могут быть изменены или уточнены».

Начнём считать.

  • Цена программного обеспечения ElcomSoft Password Recovery Bundle Business Edition как раз с поддержкой 500 клиентов составляет чуть меньше полумиллиона рублей — 449 995 руб .
  • Стоимость сервера управления примерно равна 270 000 руб .
  • Вычислитель №1 стоит порядка 70 000 руб .
  • Что подразумевается под Вычислителем №2 точно я не понял, но пусть он стоит даже 100 000 руб. за счёт какой-то особенной требуемой платы ПЛИС.
  • Стоимость Encryption Analyzer я бы всё же не стал учитывать, так как только очень уж экзотические форматы есть у него и нет у продукта ElcomSoft (MYOB, FileMaker Pro — вы знали о таких?).
  • Потребуется ещё три операционные системы Windows. Заложим на них и ещё упоминаемый в ТЗ антивирус суммарно 30 тыс. руб .

Просуммировав, получаем цену одного уже готового комплекса, почти соответствующего техзаданию, около 920 тыс. руб. Гарантийное обслуживание нужно в течение двух лет, так что придётся ещё доплатить 40% за программное обеспечение ElcomSoft (такой процент указан у них на сайте) и, допустим, 30% за аппаратное. Учтём ещё 30% за расширенную поддержку Windows и антивируса (на такой важный АПК не жалко). Итоговая стоимость получается в районе 1 млн. 240 тыс. руб.

APK-ElcomSoft

Несложно посчитать, что за двадцать миллионов рублей можно купить 16 готовых (это без скидок) к использованию комплексов на базе ElcomSoft, практически полностью соответствующих техзаданию и сразу начать их использовать.

В случае с Угляркой за ту же сумму к ноябрю 2015 года должен был бы быть готов только один аппаратно-программный комплекс, зато были бы предоставлены исходные коды, что позволило бы тиражировать Углярку в нужном количестве, приобретая только оборудование (цена каждого нового комплекса составила бы с учётом гарантии на два года чуть больше 600 тыс. руб.

С одной стороны, иметь в распоряжении исходные коды — это отлично, но с другой — стоимость Углярки в пересчёте на одну штуку стала бы меньше стоимости АПК на базе ElcomSoft только начиная с 32 комплекса. Есть ли у МВД реальная потребность в таком количестве комплексов, с учётом, что каждый из них рассчитан на 500 пользователей?

Кстати, я пишу про этот ПАК в сослагательном наклонении так как конкурс не состоялся по причине предоставления заявки только от одного участника — ООО НТЦ Вулкан. Причина отказа других не ясна.

Есть у меня также некоторое предположение, что разработанный по заказу ФКУ НПО «СТиС» МВД России АПК Углярка был бы далеко не бесплатен для структур МВД, как и остальные их разработки , так что на потенциальную экономию бюджетных средств вообще надеяться сложно.

Пока разбирался в этом заинтересовавшем меня конкурсе, задумался — а как сейчас осуществляется компьютерная экспертиза? Ведь наверняка шифрованные ноутбуки и запароленные архивы всплывают при расследованиях то тут, то там. Закупают-таки (мне, правда, с ходу ни одной такой закупки найти не удалось, а предполагать пиратское использование того же ElcomSoft не хочется) ПО для подбора паролей? Заказывают работы на стороне и эти услуги крайне дороги? С этим связано «Удешевление» в названии конкурса?

Возможно, конечно, что в техзадании я что-то упустил и не включил в условный АПК ElcomSoft пары компонентов. Пусть так. Пусть даже я сильно ошибся и Углярка начала бы окупаться не с 32, а с 22 экземпляра, но хоть кто-то делал более глубокий, чем в этом посте, анализ экономической обоснованности такой разработки? Не думаю.

В общем, не хватает нашей системе госзакупок прозрачности в части их экономической целесообразности. Часто в конкурсной документации вообще отсутствует обоснование или оно слишком уж формально. А жаль. Я бы с интересом почитал, как чиновники, например, обосновывают необходимость закупать именно iPad Air с защитной плёнкой LuxCase и чёрным кожанным чехлом Iridium .

В случае же с Угляркой в качестве основания для создания этого АПК приведён вот такой список:

  • Проект плана научного обеспечения деятельности органов внутренних дел и внутренних войск МВД России на 2014 год.
  • Тактико-технические требования на ОКР.
  • Решение научно-практической секции ЭКЦ МВД России. Протокол от 04.04.2013 № 3.

Выглядит солидно, но этих документов нет в свободном доступе на сайте МВД и потому их содержание для меня покрыто завесой тайны, равно как и все остальные вопросы, связанные с этой попыткой потратить двадцать миллионов рублей на АПК Углярка.

Быть может, у вас есть какие-то идеи или соображения?

или введите имя

CAPTCHA
22 Января, 2014
какие могут быть соображения? везде откаты и только. Закупают у какого-то ООО этот ПАК, ООО же закупает у ElcomSoft то, что нужно, возможно еще дополняет чем-то еще (скажем, у другого ООО), подписывают договор, готово! формально - ООО является для МВД поставщиком, а для ElcomSoft посредником (или партнером даже, как договорятся), сумма контракта 20 млн. А реально - пару млн на все расходы, еще 1 - откат чиновнику, который составил так любезно "нужное" техзадание (под которое сможет пройти только заранее оговоренное), еще сколько-то для Elcomsoft - остальное - прибыль ООО. Исходных кодов конечно никто не получит, но то же ООО получит внеочередное право на "тиражирование" ПАК, конечно, каждый новый экземпляр будет стоит денег (новый контракт, еще в сколько-то раз завышенный). Это примерная схема. Но давайте отойдем от ElcomSoft (хотя пробовал, софт хороший). Ведь вполне некая ООО может взять уже готовый проект опен-сурс, доработать до нужных требований, и продать за 20 лямов. Лицензия GPL это не запрещает, разве что только обязывает передавать исходники - но тут и по условиям это должно быть. Так что - сценариев может быть много. Все вышенаписанное IMHO.
0 |
  • Поделиться
  • Ссылка
22 Января, 2014
>>>очень уж экзотические форматы есть у него и нет у продукта ElcomSoft (MYOB, FileMaker Pro — вы знали о таких?). FileMaker Pro - очень популярная СУБД в США и достаточно известная в России.
0 |
  • Поделиться
  • Ссылка