Информационный портал  "TRANSFORMаторы"

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ЭН

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ЭНЕРГЕТИКЕ

Гуров В. В., канд. техн. наук, главный редактор,                   .                 .

журнал «Электрооборудование: эксплуатация и ремонт»


Критически важные, равно как и потенциально опасные объекты национальной инфраструктуры становится главной мишенью для современных киберпреступников. С одной стороны, по мере того, как в промышленности и энергетике происходит тотальная миграция на IP-сети, появляются новые угрозы и увеличиваются риски. С другой стороны, устаревание инфраструктуры неизбежно ведет к повышению степени ее уязвимости.

Вирус win32/Stuxnet стал первым известным компьютерным червем, перехватывающим и модифицирующим информационный поток между программируемыми логическими контроллерами и рабочими станциями SCADA-системы фирмы Siemens. Данный червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и т. п. В Иране в результате атаки Stuxnet ряд установок по обогащению урана вышли из строя вследствие неконтролируемого роста скорости вращения центрифуг. Таким образом, вероятность физического разрушения промышленной инфраструктуры посредством кибератаки становится чрезвычайно значимой.


Выступивший на состоявшейся 19 февраля 2014 г. в Москве Всероссийской конференции «Информационная безопасность в энергетике» заместитель директора Центра информационной безопасности компании R-Style Сергиенко В. А. изложил собравшимся суть проблемы защиты АСУ ТП с точки зрения федерального законодательства в области противодействия терроризму и борьбы с техногенными катастрофами.

Для данной сферы применения докладчик описал основу нормативно-правовой базы, которую составляют:

1. Законодательная база в области классификации и определения требований в области защиты критически важных объектов (КВО) и потенциально опасных объектов инфраструктуры.

1.1.  Решения совместного заседания Совета безопасности Российской Федерации и президиума Государственного совета Российской Федерации.

1.2.  Решения оперативного совещания Совета безопасности Российской Федерации.

1.3.  Основы государственной политики в области обеспечения безопасности населения Российской Федерации и защищенности критически важных и потенциально опасных объектов от угроз техногенного, природного характера и террористических актов.

1.4. Методика отнесения объектов государственной и негосударственной собственности к критически важным объектам для национальной безопасности РФ.

2.    Законодательная база в области обеспечения защищенности средств автоматизации управления технологическими процессами.

2.1. Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации.

3.    Ведомственные документы по направлениям деятельности.

Согласно п. 2.1: «Автоматизированная система управления производственными и технологическими процессами критически важного объекта инфраструктуры Российской Федерации комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса критически важного объекта, нарушение (или прекращение) функционирования которых может нанести вред внешнеполитическим интересам Российской Федерации, стать причиной аварий и катастроф, массовых беспорядков, длительных остановок транспорта, производственных или технологических процессов, дезорганизации работы учреждений, предприятий или организаций, нанесения материального ущерба в крупном размере, смерти или нанесения тяжкого вреда здоровью хотя бы одного человека и (или) иных тяжелых последствий...»

Здесь же читаем: «Обеспечение безопасности автоматизированных систем управления КВО является невозможным без обеспечения безопасности... критической информационной инфраструктуры в целом. Данное положение обусловлено повсеместным внедрением широкого спектра информационных технологий в системы управления производственными и технологическими процессами КВО, глобализацией современных информационно-телекоммуникационных сетей, превращением их в единую мировую информационно-телекоммуникационную сеть с размытыми границами национальных сегментов, существенным увеличением доли распределенных автоматизированных систем управления КВО и все большим использованием информационно-телекоммуникационных сетей и сетей связи общего использования для их информационного обмена».

Каковы же факторы, влияющие на формирование государственной политики в области обеспечения безопасности автоматизированных систем управления КВО? Наряду с интеграцией в единые комплексы АСУ и других информационных систем, постоянным усложнением используемого в них ПО и оборудования имеет место практика осуществления иностранными фирмами технического обслуживания и удаленной настройки АСУ КВО в целом или их составных частей, а также телекоммуникационного оборудования, входящего в состав критической информационной инфраструктуры. Мало того, при создании АСУ КВО вынужденно привлекаются иностранные фирмы-производители и поставщики программно-аппаратных средств обработки, хранения и передачи информации, применяются зарубежные программно-аппаратные решения, создающие предпосылки для возникновения технологической и иной зависимости от иностранных государств.

Решение основных задач государственной политики в области обеспечения безопасности АСУ КВО должно осуществляться по следующим направлениям:

а)  совершенствование нормативно-правовой базы;

б)  государственное регулирование;

в)  промышленная и научно-техническая политика;

г) фундаментальная и прикладная наука, технологии и средства обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры;

д) повышение квалификации кадров в области обеспечения безопасности автоматизированных систем управления КВО.

 СВОБОДА И БЕЗОПАСНОСТЬ

Общеизвестно, что производители оборудования и операторы связи, включая отечественных, используют в качестве платформы для своих продуктов и услуг ОС Linux и другое ПО с «открытыми исходниками» (Open Source Software OSS). При этом они руководствуются как экономическими мотивами, так и соображениями безопасности. На чем же основываются эти мотивы и соображения и насколько они оправданны?

Идея свободы программного обеспечения родилась в начале 1980-х гг., когда в стремлении сохранить за собой конкурентные преимущества производители компьютеров стали отказываться от распространения исходных текстов программ. Тогда среди не желавшего мириться с этим ИТ-сообщества в качестве альтернативы закрытому фирменному ПО возникло несколько инициатив и проектов разработки программных продуктов, в создании, тиражировании и применении которых в принципе мог принять участие любой желающий. С этой целью написанные в рамках этих проектов на разнообразных языках программирования исходные тексты программ делались общедоступными. Например, когда компания AT&T перестала поставлять ОС Unix вместе с ее исходным кодом в некоторые академические институты бесплатно, программисты Университета Беркли (шт. Калифорния) разработали ОС BSD (Berkeley Software Distribution). Опубликованный исходный код BSD сопровождается лицензией на право пользователей модифицировать его и распространять модифицированную версию ОС как с исходником, так и без.

Иначе обстоит дело, когда лицензии на продукты с открытым исходным кодом требуют от разработчиков сотрудничества с сообществом его сторонников. Первой и наиболее известной такой лицензией стала Универсальная общественная лицензия (General Public License GPL) проекта GNU. Аналогично лицензии BSD она разрешает запускать защищаемое ею ПО на пользовательских машинах, копировать и распространять его исходный код; выдается она бесплатно. Однако если корпоративные разработчики внесут изменения в защищаемое GPL ПО, то распространять его модификации разрешается, лишь сопровождая их исходным кодом.

Как видим, СПО это не просто открытый исходный код. Будучи продемонстрированным компьютерному сообществу, исходный код программного продукта не становится свободным, если при этом пользователю не передаются соответствующие права на продукт. При акте передачи СПО передается не только экземпляр программы, но и авторские имущественные права на нее. Сюда входит право на тиражирование, распространение и модификацию. При этом за самим автором программы остаются только неимущественные права, в том числе и право на указание на продукте своего авторства. Таким образом, можно не являться непосредственным автором свободной программы и, тем не менее, стать на законных основаниях владельцем авторских имущественных прав на нее.

Авторские имущественные права могут быть переданы пользователю как безусловно, так и с определенными оговорками. В случае с лицензией BSD осуществляется безусловная передача этих прав. Оставляя на продукте имя автора исходной его версии, новый владелец вправе как угодно модифицировать ПО и выпускать его с любыми другими лицензиями. Таким образом, лицензия BSD практически не является ограничительной. Лицензия GNU GPL, напротив, именно такова. Согласно ее положениям при модификации продукта запрещается изменять лицензию.

С одной стороны, используя свободное ПО, разработчик программного продукта значительно снижает его себестоимость, поскольку ему не нужно писать заново программы, уже написанные другими. С другой стороны, возможность модификации СПО позволяет обеспечить его полноценную поддержку. При этом открытость исходного кода свободной программы служит своего рода гарантией предоставляемого права на ее модификацию.

Отсутствие же исходных текстов либо права на их модифицирование в случае обнаружения недостатков в работе продукта, ставших следствием ошибок программирования, вынуждает

пользователя искать обходной путь, т.е. использовать продукт, так сказать, в «урезанном» виде, чтобы избежать сбоев. При этом возможности исправить программную ошибку у него нет. В то же время, работая с СПО и разобравшись в сути проблемы, он устраняет ее самостоятельно либо прибегая к сторонней помощи и не занимаясь вместо этого поисками «обходного варианта».

И сегодня сообщество сторонников открытых исходных кодов (Open-Source Community) исправляет ошибки, улучшает функциональные возможности ПО, документирует все сделанные в нем изменения и размещает его в Интернете, чтобы пользователи всего мира смогли ознакомиться с ним и приспособить для своих нужд. Если при использовании программного кода возникают проблемы, пользователи знают к кому обращаться с вопросами.     

В то же время, будучи заинтересованными в максимизации прибыли на инвестируемый капитал, производители фирменного ПО, напротив, запрещают модификацию своих продуктов, лимитируют число копий ПО, которые может сделать пользователь, и ограничивают их распространение. Производители ПО с открытым исходным кодом более щедры и позволяют предприятиям и организациям не только копировать свое детище, но и модифицировать и затем распространять его (на условиях соответствующей лицензии).

Несомненно, доступность исходного кода ПО для анализа и аудита способствует повышению его безопасности и снижению вероятности проникновения злоумышленника через оставленные недобросовестным программистом лазейки. Вот лишь один из многочисленных примеров: спустя шесть месяцев после открытия в июле 2000 г. в исходного кода СУБД Inprise сообщество Open Source обнаружило в нем «лазейку», оставленную неизвестным программистом, работавшим в компании Borland еще в 1994 г. И хотя представители фирмы впоследствии утверждали, что автор этой «лазейки» не имел злых намерений, она все-таки предоставляла возможность взлома компьютерной системы.

Но достаточно ли проанализировать исходный код, чтобы быть уверенным в безопасности программного продукта? Вот вопрос, которым следовало бы задаться отечественным производителям телекоммуникационных и других инфраструктурных решений. Чем выше становится роль ПО в современной жизни, тем заманчивее рисуется возможность, модифицировав, использовать его в корыстных интересах отдельных личностей и организаций, обладающих достаточной для этого мощью. Злоумышленники могут даже приобретать целые компании и затем повсюду распространять их «продукцию» по низким ценам, но с заложенной внутри и ждущей своего часа «бомбой». В 2004 г. сообщалось, что оборонное ведомство США подверглось критике со стороны бюджетно-контрольного управления Конгресса за недостаточную оценку риска привлечения иностранных поставщиков к разработке ПО военного назначения, под которым подразумевалась возможность вставки ими в это ПО злонамеренных кодов. В 2003 г. Госсовет Китая, обеспокоенный возможностью иностранного шпионажа, потребовал от всех министерств покупать ПО исключительно национального производства.

Как известно, для преобразования написанного на понимаемом человеком языке программирования исходного кода в набор исполняемых машиной двоичных инструкций используется компилятор. До тех пор пока компилятор, если можно так выразиться, честно выполняет свою задачу, можно считать, что полученный с его помощью исполняемый двоичный код полностью соответствует исходному и не содержит не задаваемый исходником функционал. Лекция одного из отцов-основателей современной ИТ-индустрии Кена Томпсона под названием Reflections on Trusting Trust, прочитанная на церемонии награждения его Тьюринговской премией в 1984 г., и предшествовавший ей десятью годами анализ уязвимостей ОС Multics, выполненный Дивизионом электронных систем ВВС США, «приоткрыли завесу» показав, что компиляторы могут быть модифицированы, благодаря чему становится возможной скрытая установка «троянов» в любые создаваемые с их помощью программные продукты (включая и сами компиляторы!), в чьих исходниках нет и намека на что-либо подобное. Впоследствии с помощью анализа исходного кода ПО обнаружить такую атаку становится невозможно.

В 1980-х гг. в пресловутой AT&T в группе Кена Томпсона был инсталлирован компилятор C++, позволяющий вставлять «лазейку» в генерируемый им исполняемый код. После этого соседней группе предложили скопировать этот компилятор и его исходник, поскольку прежняя копия якобы устарела. Ничего не подозревая, соседи инсталлировали и начали использовать «зараженную» копию, а спустя месяц «троян», как и ожидалось, обнаружился в утилите регистрации в их «обновленной» системе, которая стала отныне открыта любому, знающему «волшебное слово». Впоследствии уже в середине 1990-х гг. Томпсон К., отвечая на высказываемые среди ИТ-сообщества опасения, заявил, что тот модифицированный компилятор никогда не покидал пределов Лабораторий Белла. Что ж, если это правда тем лучше. Но для полного спокойствия этого недостаточно...

Продемонстрированная Томпсоном атака разрушает саму основу аудита безопасности ПО соответствие исполняемого кода исходному. Ряд специалистов, в том числе из таких компаний, как ISS (в составе IBM), отмечают высокую степень ее угрозы, а некоторые из них даже утверждают, что до тех пор, пока она существует, никакая компьютерная система не может считаться безопасной.

Реализация атаки по вышеописанному методу приводит к тому, что все разработанные на сегодняшний день статические и динамические методы оценки безопасности ПО становятся бесполезными. Теоретически возможно непрерывное построчное сравнение поведения запущенной на исполнение программы с тем, что задано ее исходным кодом, но это, во-первых, требует дополнительных вычислительных мощностей, во-вторых, само средство мониторинга также может подвергнуться такой атаке.

Как отмечается в диссертации Дэвида Уилера (Университет Джорджа Мэйсона, 2009 г.), «атака Томпсона» дает злоумышленнику возможность скрыто заражать целые классы компьютерных систем и получать полный контроль над финансовыми, правительственными, военными и бизнесструктурами по всему миру. Злоумышленник сможет похитить значительные финансовые средства, выкрасть или уничтожить информацию чрезвычайной важности и вывести из строя критически важные командные инфраструктуры национального масштаба. Требующая всего-навсего однократного помещения в компилятор совсем небольшого фрагмента кода атака может беспрепятственно распространяться по сети через доверительные механизмы и в конце концов поразить все существующие компьютеры. Ну а там, где на ее пути возникнут препятствия одушевленного или неодушевленного рода, в ход могут пойти различные психотехники, физический взлом, подкуп или шантаж. Мотивов развернуть такую атаку сегодня существует предостаточно вспомним, сколько вирусописателей упражняются в своих навыках из одного только тщеславия, не говоря уж о материальной заинтересованности!

Уилер не скрывает своих опасений в том, что перспектива получения значительных преимуществ в конкурентной, политической борьбе или военном противостоянии с помощью такой атаки при отсутствии известных средств противодействия может подвигнуть целые правительства к тому, что они в конце концов предпримут ее. Масштаб атаки может оказаться таким, что ей не смогут противостоять даже самые крупные и мощные в инженерном и финансовом отношении производители и поставщики ПО.  В диссертации Уилера впервые предложен, как утверждает сам автор, по-настоящему эффективный метод противодействия «атаке на исходный код», именуемый «диверсифицированной двойной компиляцией» (Diverse Double-Compiling DDC). Для его реализации сторона, желающая исключить вероятность наличия «лазейки Томпсона» в своем ПО, должна иметь в распоряжении так называемый доверенный компилятор (Trusted Compiler), желательно созданный ею с нуля, чтобы быть уверенной в отсутствии такой «лазейки» в нем самом.

В частности, в качестве доверенного в названной работе рассматривался компилятор ice фирмы Intel, а в качестве проверяемого компилятор дес, распространяемый по свободной лицензии GNU GPL Выбирая их, автор исходил из предположения, что разработка обоих компиляторов велась независимо практически с нуля (фирма Intel хотя и имела доступ к исходному коду дес, но согласно лицензии GNU GPL не имела права использовать его в своих фирменных закрытых продуктах), следовательно, вероятность наличия «лазейки» в обоих компиляторах, по мнению автора, пренебрежимо мала. Заметим, что выбор доверенного и проверяемого компилятора в рассматриваемом случае не принципиален, и автор к тому же благоразумно отказался обсуждать вопрос, в каком именно из двух названных компиляторов наличие такой «лазейки» наиболее вероятно. Кстати, из истории создания дсс неясно, как и чем была скомпилирована его «нулевая» версия в 1985 г.

Как бы там ни было, согласно Уилеру, если проверяющий располагает доверенным компилятором, пусть самым примитивным, но как минимум пригодным хотя бы для компиляции проверяемого компилятора, тогда, убедившись, что в последнем отсутствует «лазейка Томпсона», он сможет использовать его для компиляции ПО, что называется, в промышленных масштабах.   .

Благо соотечественникам Уилера есть из чего выбирать. У нас в последнее время тоже много говорится о необходимости разработки  и производства передовых, высоконадежных и безопасных отечественных телекоммуникационных решений. Но, принимая во внимание вышесказанное, нельзя не задуматься о том, что для «прорыва в области ИТ» следовало бы для начала оценить собственные возможности и перспективы в плане степени владения средствами разработки безопасного ПО, в частности тем самым доверенным компилятором. Не имея такового, страна навечно останется «следующей в чужом фарватере». Как показал пример Пентагона, чтобы избежать этого, нужна политическая инициатива.

Возвращаемся к теме Borland: оказывается, что относительно недавно был обнаружен вирус Win32.lnduc, заражавший компиляторы языка Pascal. Все программы, скомпилированные таким компилятором, в свою очередь сами становились зараженными, и описанная давным-давно Кеном Томпсоном угроза из академического упражнения превратилась в реальность: был успешно атакован широко используемый в индустрии программирования компилятор.

Полное содержание материала Вы можете найти в первоисточнике
Источник:  Гуров В.В.  Информационная безопасность в энергетике.
Электрооборудование: эксплуатация и ремонт. - 2014, № 10. - С. 37-42.
20.11.2014

Материал размещен на www.transform.ru: 1.12.2014 г.

 

Перейти в форум для обсуждения

  ©  TRANSFORMаторы 2004—2010


Рейтинг@Mail.ru Яндекс.Метрика ??????????? ????