Привет всем!
Сегодня поговорим о будущем. О мрачном будущем массированных кибератак на атомные электростанции, системы управления энергоснабжением и транспортом, финансовые и телекоммуникационные системы и в целом то, что мы называем критически важными объектами. Если проще – о сценарии, показанном в четвертом «Крепком Орешке», когда атака на объекты инфраструктуры повергает в хаос чуть ли не всю страну.
Увы, решить проблему уязвимости промышленных систем методами Джона Макклейна не получится. Но мы работаем и над технологиями, а конкретно – над защищенной операционной системой, предназначенной именно для критически важных информационных систем (Industrial Control Systems, ICS). Слухов об этом проекте в сети появилось достаточно и поэтому мы решили немного приоткрыть завесу тайны и рассказать, что же на самом деле происходит.
Но сначала – немного о том, как мы докатились до такой жизни, и зачем собственно нужна такая «ось»?
Беззащитность индустриальных систем
У промышленных информационных систем и обычных, скажем, офисных компьютерных сетей, несмотря на их кажущееся сходство, совершенно разные приоритеты в плане безопасности и функционирования. В обычных компаниях важнее всего конфиденциальность информации. Например, если на корпоративном файловом сервере обнаружили троян, проще отключить зараженную систему от сети и потом уже разбираться с проблемой. В промышленной информационной системе так сделать не получится, так как здесь самый высокий приоритет имеет сохранение работоспособности. На заводе любой ценой, и в первую очередь, обеспечивается непрерывность производства, а уж после этого думают о защите.
К чему это приводит? К тому, что чаще всего софт на работающем объекте обновляется только после тщательной проверки, а иногда и не обновляется вовсе, оставаясь неизменным десятки лет. Обновление ПО может быть и прямо запрещено политикой безопасности на конкретном предприятии. Но даже если возможность обновить софт и залатать дыры есть, это не всегда помогает. Дело в том, что производители такого специализированного ПО мало заинтересованы в постоянных исследованиях исходного кода и латании дыр. Как показывает практика, на этом обычно стараются сэкономить, выпуская «заплатки», только если в сети уже обнаружен и действует некий эксплойт. Если честно, это высказывание верно не только для специализированного, но и для обычного ПО, но сегодня мы говорим именно о промышленном софте.
Дальше проблема заключается вот в чем: уязвимость управляющего ПО, программируемых контроллеров, промышленных сетей связи приводит к тому, что у оператора условной промышленной системы на самом деле нет средств получения заведомо правдивой информации о её работе! Теоретически возможна ситуация, когда, допустим, атакуется система распределения электроэнергии, в результате чего где-то на отдалённом объекте происходит авария. Контролёр или оператор об этом даже не подозревают: атакующие выводят на их компьютеры заведомо ложную информацию.
Показательные примеры
Звучит знакомо? Ничего удивительного - за примерами далеко ходить не надо. Оригинальный способ, который, по сути, был самым настоящим киберсаботажем и заключался в прямой атаке на систему SCADA, случился в 2000 году в Австралии. Работник контрактной компании, работавший над системой контроля очистительной системы Maroochy Shire Council в ходе 46(!) атак делал так, что насосы не работали вообще или работали не так, как надо. Никто не мог понять, что происходит - коммуникация внутри системы была нарушена. Только спустя месяцы компании и властям удалось разобраться, что произошло. Оказывается парень очень хотел получить работу в очистительной компании, а в результате затопил нечистотами огромную территорию штата Квинсленд.
На самом деле таких примеров достаточно – просто большинство из них остаются за рамками статей в СМИ. Пострадавшие компании вполне резонно стараются не придавать дела огласке. О многих инцидентах не догадываются даже они сами. Вот недавно в промышленных роутерах RuggedCom была обнаружена «дыра», которая позволяла простому пользователю запросто повысить свои привилегии до администратора и получить контроль над устройством. Кто, когда, как и где ей смог воспользоваться – можно только догадываться. Для саморазвития ещё рекомендую почитать про успешные атаки на ICS здесь, здесь и здесь.
Давайте подумаем, кому ещё кроме шантажиста-работника доступны исходные коды управляющего ПО, контроллеров, операционной системы и всего прочего? Правильно, «компетентным органам», иными словами – государственным структурам. Именно тем, которые одним своим отделом сертифицируют ПО для работы в критически важных системах, а другим – разрабатывают (с относительно недавних пор) кибероружие для атаки систем противника. Примеры: Stuxnet и последовавшие за ним Duqu, Flame и Gauss – проекты настолько сложные, что возможны только при технической и финансовой поддержке очень мощных субъектов. И не важно, кто кому угрожает в настоящий момент, важно то, что такие кибервооружения разрабатываются и применяются. Пусть не всеми странами и не против всех, но будучи открытым этот «ящик Пандоры» уже не закроешь: вооружаться для атаки на ключевые объекты противника рано или поздно станут все. Самая большая угроза исходит не от обычной кибершпаны и даже не от организованного кибер-криминала, а от создателей кибероружия.
Защита сейчас: увы, неэффективная
Вооружаясь, компании и государства не забывают и о защите. Причем защищаться, в принципе, они начали уже давно, вопрос в том, как они это делают? Реально используемых методов – два. Первое – изоляция критически важных объектов: отключение их от Интернета или физическая изоляция от внешнего мира каким-то другим способом. Однако, как показывает практика, если оператор на объекте захочет в ночную смену посмотреть на управляющем ПК фильмы с зараженной флэшки – его ничто не остановит (у нас есть работающие способы блокирования таких попыток, но сейчас не об этом). Второе – секретность. Коллективные и масштабные попытки закрыть все и вся. Разработчики ICS-систем держат в тайне исходные коды, владельцы заводов и объектов инфраструктуры ставят гриф «секретно» на характеристики информационных систем, типы используемого ПО и прочее. Увы, забывая при этом, что информация об уязвимостях в большинстве популярных систем SCADA есть в открытом доступе в сети. Копаем глубже: уже несколько лет существует открытый поисковик SHODAN, заточенный в том числе и на поиск уязвимых промышленных систем (в том числе SCADA-систем), чьи хозяева додумались подключить их к Интернету.
Параллельно специалисты компаний держат на вооружении и традиционные методы защиты заведомо уязвимого софта и операционной системы: и в том, и в другом случае безопасность можно повысить путём контроля как над программами, так и над действиями операторов. Но стопроцентную гарантию защищённости такие методы не обеспечивают, опять же в силу заведомой дырявости того, что предполагается контролировать. А в случае с критически важными узлами гарантия должна быть. Вопрос – на что именно?
Защита как она должна быть
Конечно, было бы идеально взять и переписать весь «промышленный» софт. С учётом наработанных техник безопасной разработки и новых реалий кибер-атак. Увы, это долгий титанический труд, сопряжённый с огромными вложениями в тестирование и отладку, которые всё равно не гарантируют достаточно устойчивую работу системы.
Но есть вполне реализуемая альтернатива - защищённая операционная система, на которой как раз и будут «крутиться» ICS-системы, которую можно встроить в существующую инфраструктуру, контролирующую «здоровье» существующих систем и гарантирующую получение достоверной информации.
Сначала отвечу на самый очевидный вопрос: как у нас получится создать защищённую ОСь, если это не получилось ни у Microsoft, ни у Apple, ни у опенсорсного комьюнити? Все просто. Во-первых, наша система – узкоспециализированная, она разрабатывается для решения конкретной задачи, и не предназначена для игры в Half-Life, редактирования видео или общения в соцсетях. Во-вторых, мы работаем над методом написания ПО, которое в принципе (by design) не будет способно выполнять незаявленную в нем функциональность. Этот момент – самый важный: невозможность выполнения стороннего кода, взлома системы или программ в нашем проекте – это вещь доказываемая и проверяемая.
Подробнее о системе, требованиях к ней и предпосылках к ее разработке вы можете прочитать в здесь. Я же в заключение хочу предвосхитить множество вопросов от коллег, партнёров, СМИ и просто заинтересованных людей. Разработка по-настоящему безопасной среды – проект сложный, практически невыполнимый без активной работы с потенциальными заказчиками. Множество деталей этого проекта мы сейчас не можем раскрыть как раз по причине такого сотрудничества. О чём-то не хотим рассказывать, чтобы технологии не перехватили конкуренты. А кое-что останется в закрытом доступе только для заказчиков навсегда по соображениям защиты от кибер-терроризма. Но как только возможность появится – мы расскажем что сможем о проекте подробнее.
На связи!
Сегодня поговорим о будущем. О мрачном будущем массированных кибератак на атомные электростанции, системы управления энергоснабжением и транспортом, финансовые и телекоммуникационные системы и в целом то, что мы называем критически важными объектами. Если проще – о сценарии, показанном в четвертом «Крепком Орешке», когда атака на объекты инфраструктуры повергает в хаос чуть ли не всю страну.
Увы, решить проблему уязвимости промышленных систем методами Джона Макклейна не получится. Но мы работаем и над технологиями, а конкретно – над защищенной операционной системой, предназначенной именно для критически важных информационных систем (Industrial Control Systems, ICS). Слухов об этом проекте в сети появилось достаточно и поэтому мы решили немного приоткрыть завесу тайны и рассказать, что же на самом деле происходит.
Но сначала – немного о том, как мы докатились до такой жизни, и зачем собственно нужна такая «ось»?
Беззащитность индустриальных систем
У промышленных информационных систем и обычных, скажем, офисных компьютерных сетей, несмотря на их кажущееся сходство, совершенно разные приоритеты в плане безопасности и функционирования. В обычных компаниях важнее всего конфиденциальность информации. Например, если на корпоративном файловом сервере обнаружили троян, проще отключить зараженную систему от сети и потом уже разбираться с проблемой. В промышленной информационной системе так сделать не получится, так как здесь самый высокий приоритет имеет сохранение работоспособности. На заводе любой ценой, и в первую очередь, обеспечивается непрерывность производства, а уж после этого думают о защите.
К чему это приводит? К тому, что чаще всего софт на работающем объекте обновляется только после тщательной проверки, а иногда и не обновляется вовсе, оставаясь неизменным десятки лет. Обновление ПО может быть и прямо запрещено политикой безопасности на конкретном предприятии. Но даже если возможность обновить софт и залатать дыры есть, это не всегда помогает. Дело в том, что производители такого специализированного ПО мало заинтересованы в постоянных исследованиях исходного кода и латании дыр. Как показывает практика, на этом обычно стараются сэкономить, выпуская «заплатки», только если в сети уже обнаружен и действует некий эксплойт. Если честно, это высказывание верно не только для специализированного, но и для обычного ПО, но сегодня мы говорим именно о промышленном софте.
Дальше проблема заключается вот в чем: уязвимость управляющего ПО, программируемых контроллеров, промышленных сетей связи приводит к тому, что у оператора условной промышленной системы на самом деле нет средств получения заведомо правдивой информации о её работе! Теоретически возможна ситуация, когда, допустим, атакуется система распределения электроэнергии, в результате чего где-то на отдалённом объекте происходит авария. Контролёр или оператор об этом даже не подозревают: атакующие выводят на их компьютеры заведомо ложную информацию.
Показательные примеры
Звучит знакомо? Ничего удивительного - за примерами далеко ходить не надо. Оригинальный способ, который, по сути, был самым настоящим киберсаботажем и заключался в прямой атаке на систему SCADA, случился в 2000 году в Австралии. Работник контрактной компании, работавший над системой контроля очистительной системы Maroochy Shire Council в ходе 46(!) атак делал так, что насосы не работали вообще или работали не так, как надо. Никто не мог понять, что происходит - коммуникация внутри системы была нарушена. Только спустя месяцы компании и властям удалось разобраться, что произошло. Оказывается парень очень хотел получить работу в очистительной компании, а в результате затопил нечистотами огромную территорию штата Квинсленд.
На самом деле таких примеров достаточно – просто большинство из них остаются за рамками статей в СМИ. Пострадавшие компании вполне резонно стараются не придавать дела огласке. О многих инцидентах не догадываются даже они сами. Вот недавно в промышленных роутерах RuggedCom была обнаружена «дыра», которая позволяла простому пользователю запросто повысить свои привилегии до администратора и получить контроль над устройством. Кто, когда, как и где ей смог воспользоваться – можно только догадываться. Для саморазвития ещё рекомендую почитать про успешные атаки на ICS здесь, здесь и здесь.
Давайте подумаем, кому ещё кроме шантажиста-работника доступны исходные коды управляющего ПО, контроллеров, операционной системы и всего прочего? Правильно, «компетентным органам», иными словами – государственным структурам. Именно тем, которые одним своим отделом сертифицируют ПО для работы в критически важных системах, а другим – разрабатывают (с относительно недавних пор) кибероружие для атаки систем противника. Примеры: Stuxnet и последовавшие за ним Duqu, Flame и Gauss – проекты настолько сложные, что возможны только при технической и финансовой поддержке очень мощных субъектов. И не важно, кто кому угрожает в настоящий момент, важно то, что такие кибервооружения разрабатываются и применяются. Пусть не всеми странами и не против всех, но будучи открытым этот «ящик Пандоры» уже не закроешь: вооружаться для атаки на ключевые объекты противника рано или поздно станут все. Самая большая угроза исходит не от обычной кибершпаны и даже не от организованного кибер-криминала, а от создателей кибероружия.
Защита сейчас: увы, неэффективная
Вооружаясь, компании и государства не забывают и о защите. Причем защищаться, в принципе, они начали уже давно, вопрос в том, как они это делают? Реально используемых методов – два. Первое – изоляция критически важных объектов: отключение их от Интернета или физическая изоляция от внешнего мира каким-то другим способом. Однако, как показывает практика, если оператор на объекте захочет в ночную смену посмотреть на управляющем ПК фильмы с зараженной флэшки – его ничто не остановит (у нас есть работающие способы блокирования таких попыток, но сейчас не об этом). Второе – секретность. Коллективные и масштабные попытки закрыть все и вся. Разработчики ICS-систем держат в тайне исходные коды, владельцы заводов и объектов инфраструктуры ставят гриф «секретно» на характеристики информационных систем, типы используемого ПО и прочее. Увы, забывая при этом, что информация об уязвимостях в большинстве популярных систем SCADA есть в открытом доступе в сети. Копаем глубже: уже несколько лет существует открытый поисковик SHODAN, заточенный в том числе и на поиск уязвимых промышленных систем (в том числе SCADA-систем), чьи хозяева додумались подключить их к Интернету.
Параллельно специалисты компаний держат на вооружении и традиционные методы защиты заведомо уязвимого софта и операционной системы: и в том, и в другом случае безопасность можно повысить путём контроля как над программами, так и над действиями операторов. Но стопроцентную гарантию защищённости такие методы не обеспечивают, опять же в силу заведомой дырявости того, что предполагается контролировать. А в случае с критически важными узлами гарантия должна быть. Вопрос – на что именно?
Защита как она должна быть
Конечно, было бы идеально взять и переписать весь «промышленный» софт. С учётом наработанных техник безопасной разработки и новых реалий кибер-атак. Увы, это долгий титанический труд, сопряжённый с огромными вложениями в тестирование и отладку, которые всё равно не гарантируют достаточно устойчивую работу системы.
Но есть вполне реализуемая альтернатива - защищённая операционная система, на которой как раз и будут «крутиться» ICS-системы, которую можно встроить в существующую инфраструктуру, контролирующую «здоровье» существующих систем и гарантирующую получение достоверной информации.
Сначала отвечу на самый очевидный вопрос: как у нас получится создать защищённую ОСь, если это не получилось ни у Microsoft, ни у Apple, ни у опенсорсного комьюнити? Все просто. Во-первых, наша система – узкоспециализированная, она разрабатывается для решения конкретной задачи, и не предназначена для игры в Half-Life, редактирования видео или общения в соцсетях. Во-вторых, мы работаем над методом написания ПО, которое в принципе (by design) не будет способно выполнять незаявленную в нем функциональность. Этот момент – самый важный: невозможность выполнения стороннего кода, взлома системы или программ в нашем проекте – это вещь доказываемая и проверяемая.
Подробнее о системе, требованиях к ней и предпосылках к ее разработке вы можете прочитать в здесь. Я же в заключение хочу предвосхитить множество вопросов от коллег, партнёров, СМИ и просто заинтересованных людей. Разработка по-настоящему безопасной среды – проект сложный, практически невыполнимый без активной работы с потенциальными заказчиками. Множество деталей этого проекта мы сейчас не можем раскрыть как раз по причине такого сотрудничества. О чём-то не хотим рассказывать, чтобы технологии не перехватили конкуренты. А кое-что останется в закрытом доступе только для заказчиков навсегда по соображениям защиты от кибер-терроризма. Но как только возможность появится – мы расскажем что сможем о проекте подробнее.
На связи!
2012-10-16 07:25 (UTC)
у нас ещё была секретарша которая разослала всем заражённую картинку.
Всё это конечно хорошо. Но кто будет писать ПО под ось?
Для того что бы ось получила более менее массовое распространение для неё должно существовать ПО или сроки и цена написания ПО не кусались.
2012-10-16 07:41 (UTC)
2012-10-16 08:13 (UTC)
Вообщем OpenBSD.
извините, что врываюсь в вашу уютненькую
2012-10-16 08:25 (UTC)
12:14:09: да гон какой то
12:14:17: какой нах сеть
12:14:33: все контролеры в нормальном производстве живут в отдельной сети
12:14:50: без выхода в инет
12:15:21: а для опроса уровня сигналов отыт один порт
12:15:51: открыт
12:16:52: у кого управляющий компьютер подсоеденён в домен с выходм в инет - ну я не знаю?
12:17:17: а то что диспетчера отчёты не смогут отпралять ну - от этого производство не встанет
12:18:52: и к чему этот скрин с манифестом функций ваще не понятно
12:18:53: :-)
12:19:11: подпизьдюха
12:19:42: я че-т тоже думаю, что это маркетинговый п****ь
Edited at 2012-10-16 08:26 (UTC)
Re: извините, что врываюсь в вашу уютненькую
2012-10-16 08:53 (UTC)
2012-10-16 09:26 (UTC)
2012-10-16 13:22 (UTC)
Edited at 2012-10-16 13:23 (UTC)
2012-10-18 08:41 (UTC)
Re: Смешные высказывания Касперского
2012-10-18 08:40 (UTC)
Похоже, что Вы вообще ничего не поняли... Попробуйте перечитать пост еще раз. И поймите - если на условной станции водоснабжения условные насосы дадут такое давление, что порвут условные трубы - переключаться на резервные модули системы будет уже немного слишком поздно.
2012-10-17 02:19 (UTC)
Мне на работе поставили Вин7 и установили ваш антивирус EndPoint Security 8.1.0.831. После этого машина у меня запускалась через раз, ибо при старте "Каспер" вешал все процессы. Потом поставили патч, который вроде бы это всё исправляет, но... время от времени, во время работы комп всё-равно вешается "Каспером" намертво и помогает только перезагрузка.
Я не тролль ЕСЭТ, мне нравится ваша компания и вы как предприниматель и иноватор, но почему ваша продукция тормозит?
2012-10-18 08:36 (UTC)
2012-10-18 07:29 (UTC)
2012-10-18 08:34 (UTC)
2012-10-18 08:18 (UTC)
"Пром-системы для чайников": http://www.anti-malware.ru/forum/index.php?s=&showtopic=24087&view=findpost&p=162369
Ситуация и плохие сценарии в медицине: http://www.bbc.com/news/technology-19979936
Еще сценарии: http://spb.rbc.ru/topnews/18/10/2012/674904.shtml
2012-11-15 15:10 (UTC)
"Дело в том, что любая современная АСУТП по сути представляет собой некий набор контроллеров, которые связаны в единую сеть (причем не важно - будет это беспроводная сеть любого типа, RS-485, Ethernet ...) и каких-то управляющих центров (это может быть сервер, промышленный микрокомпьютер - что угодно). Контроллеры собирают информацию, опрашивая многочисленные датчики, и передают ее на управляющие сервера. Там все это обрабатывается, записывается в БД, анализируется, и принимаются решения о том, что делать. Эти решения доводятся до контроллеров, и они их исполняют".
Люди вообще не понимают что такое АСУТП и как она функционирует.
2012-10-18 09:41 (UTC)
Одно то, что Вы (господин Касперский) опубликовали в свободном доступе инофрмацию о разработке защищенной оси, может заинетересовать определенные круги, для того чтобы встроить тот или иной вариант уязвимости еще на этапе разработки. Если предположить, что эта ОС получит распространение в embedded systems это может быть лакомым кусочком для хакеров государстванного уровня. Т.е упоминание о разработке ОС это уже уязвимость.
2012-10-19 10:08 (UTC)
З.Ы. Сам бегал через периметр с ноутбуком.
2015-10-12 13:44 (UTC)
В связи с этим вопрос: на каком "железе" эта ОС будет работать? Что там будет "можно"?
Re: открытое обращение к Евгению Касперскому
2016-11-15 17:26 (UTC)
Мировой прогресс в виде Windows 10 это вы конечно обозвали.
Ваше право пользоваться продуктами качественными не нарушают а как раз защищают. У пользователя должен быть выбор какой антивирус устанавливать. Европа вас не ущемляет? А они первые потребовали внести изменения в дистрибутив windows для выбора браузера.
Но вы похоже бот, вам оно не надо.
2018-01-09 01:22 (UTC)