ЛК пишет свою операционную систему? Подтверждаем слухи и опровергаем домыслы!

Previous Entry Поделиться Next Entry
16 октября, 2012
e_kaspersky
Привет всем!

Сегодня поговорим о будущем. О мрачном будущем массированных кибератак на атомные электростанции, системы управления энергоснабжением и транспортом, финансовые и телекоммуникационные системы и в целом то, что мы называем критически важными объектами. Если проще – о сценарии, показанном в четвертом «Крепком Орешке», когда атака на объекты инфраструктуры повергает в хаос чуть ли не всю страну.

Увы, решить проблему уязвимости промышленных систем методами Джона Макклейна не получится. Но мы работаем и над технологиями, а конкретно – над защищенной операционной системой, предназначенной именно для критически важных информационных систем (Industrial Control Systems, ICS). Слухов об этом проекте в сети появилось достаточно и поэтому мы решили немного приоткрыть завесу тайны и рассказать, что же на самом деле происходит.



Но сначала – немного о том, как мы докатились до такой жизни, и зачем собственно нужна такая «ось»?

Беззащитность индустриальных систем

У промышленных информационных систем и обычных, скажем, офисных компьютерных сетей, несмотря на их кажущееся сходство, совершенно разные приоритеты в плане безопасности и функционирования. В обычных компаниях важнее всего конфиденциальность информации. Например, если на корпоративном файловом сервере обнаружили троян, проще отключить зараженную систему от сети и потом уже разбираться с проблемой. В промышленной информационной системе так сделать не получится, так как здесь самый высокий приоритет имеет сохранение работоспособности. На заводе любой ценой, и в первую очередь, обеспечивается непрерывность производства, а уж после этого думают о защите.

К чему это приводит? К тому, что чаще всего софт на работающем объекте обновляется только после тщательной проверки, а иногда и не обновляется вовсе, оставаясь неизменным десятки лет. Обновление ПО может быть и прямо запрещено политикой безопасности на конкретном предприятии. Но даже если возможность обновить софт и залатать дыры есть, это не всегда помогает. Дело в том, что производители такого специализированного ПО мало заинтересованы в постоянных исследованиях исходного кода и латании дыр. Как показывает практика, на этом обычно стараются сэкономить, выпуская «заплатки», только если в сети уже обнаружен и действует некий эксплойт. Если честно, это высказывание верно не только для специализированного, но и для обычного ПО, но сегодня мы говорим именно о промышленном софте.

Дальше проблема заключается вот в чем: уязвимость управляющего ПО, программируемых контроллеров, промышленных сетей связи приводит к тому, что у оператора условной промышленной системы на самом деле нет средств получения заведомо правдивой информации о её работе! Теоретически возможна ситуация, когда, допустим, атакуется система распределения электроэнергии, в результате чего где-то на отдалённом объекте происходит авария. Контролёр или оператор об этом даже не подозревают: атакующие выводят на их компьютеры заведомо ложную информацию.

Показательные примеры

Звучит знакомо? Ничего удивительного - за примерами далеко ходить не надо. Оригинальный способ, который, по сути, был самым настоящим киберсаботажем и заключался в прямой атаке на систему SCADA, случился в 2000 году в Австралии. Работник контрактной компании, работавший над системой контроля очистительной системы Maroochy Shire Council в ходе 46(!) атак делал так, что насосы не работали вообще или работали не так, как надо. Никто не мог понять, что происходит - коммуникация внутри системы была нарушена. Только спустя месяцы компании и властям удалось разобраться, что произошло.  Оказывается парень очень хотел получить работу в очистительной компании, а в результате затопил нечистотами огромную территорию штата Квинсленд.

На самом деле таких примеров достаточно – просто большинство из них остаются за рамками статей в СМИ. Пострадавшие компании вполне резонно стараются не придавать дела огласке. О многих инцидентах не догадываются даже они сами. Вот недавно в промышленных роутерах RuggedCom была обнаружена «дыра», которая позволяла простому пользователю запросто повысить свои привилегии до администратора и получить контроль над устройством. Кто, когда, как и где ей смог воспользоваться – можно только догадываться. Для саморазвития ещё рекомендую почитать про успешные атаки на ICS здесьздесь и здесь.

Давайте подумаем, кому ещё кроме шантажиста-работника доступны исходные коды управляющего ПО, контроллеров, операционной системы и всего прочего? Правильно, «компетентным органам», иными словами – государственным структурам. Именно тем, которые одним своим отделом сертифицируют ПО для работы в критически важных системах, а другим – разрабатывают (с относительно недавних пор) кибероружие для атаки систем противника. Примеры: Stuxnet и последовавшие за ним Duqu, Flame и Gauss – проекты настолько сложные, что возможны только при технической и финансовой поддержке очень мощных субъектов. И не важно, кто кому угрожает в настоящий момент, важно то, что такие кибервооружения разрабатываются и применяются. Пусть не всеми странами и не против всех, но будучи открытым этот «ящик Пандоры» уже не закроешь: вооружаться для атаки на ключевые объекты противника рано или поздно станут все. Самая большая угроза исходит не от обычной кибершпаны и даже не от организованного кибер-криминала, а от создателей кибероружия.

Защита сейчас: увы, неэффективная

Вооружаясь, компании и государства не забывают и о защите. Причем защищаться, в принципе, они начали уже давно, вопрос в том, как они это делают? Реально используемых методов – два. Первое – изоляция критически важных объектов: отключение их от Интернета или физическая изоляция от внешнего мира каким-то другим способом. Однако, как показывает практика, если оператор на объекте захочет в ночную смену посмотреть на управляющем ПК фильмы с зараженной флэшки – его ничто не остановит (у нас есть работающие способы блокирования таких попыток, но сейчас не об этом). Второе – секретность. Коллективные и масштабные попытки закрыть все и вся. Разработчики ICS-систем держат в тайне исходные коды, владельцы заводов и объектов инфраструктуры ставят гриф «секретно» на характеристики информационных систем, типы используемого ПО и прочее. Увы, забывая при этом, что информация об уязвимостях в большинстве популярных систем SCADA есть в открытом доступе в сети. Копаем глубже: уже несколько лет существует открытый поисковик SHODAN, заточенный в том числе и на поиск уязвимых промышленных систем (в том числе SCADA-систем), чьи хозяева додумались подключить их к Интернету.



Параллельно специалисты компаний держат на вооружении и традиционные методы защиты заведомо уязвимого софта и операционной системы: и в том, и в другом случае безопасность можно повысить путём контроля как над программами, так и над действиями операторов. Но стопроцентную гарантию защищённости такие методы не обеспечивают, опять же в силу заведомой дырявости того, что предполагается контролировать. А в случае с критически важными узлами гарантия должна быть. Вопрос – на что именно?

Защита как она должна быть

Конечно, было бы идеально взять и переписать весь «промышленный» софт. С учётом наработанных техник безопасной разработки и новых реалий кибер-атак. Увы, это долгий титанический труд, сопряжённый с огромными вложениями в тестирование и отладку, которые всё равно не гарантируют достаточно устойчивую работу системы.

Но есть вполне реализуемая альтернатива -  защищённая операционная система, на которой как раз и будут «крутиться» ICS-системы, которую можно встроить в существующую инфраструктуру, контролирующую «здоровье» существующих систем и гарантирующую получение достоверной информации.

Сначала отвечу на самый очевидный вопрос: как у нас получится создать защищённую ОСь, если это не получилось ни у Microsoft, ни у Apple, ни у опенсорсного комьюнити? Все просто. Во-первых, наша система – узкоспециализированная, она разрабатывается для решения конкретной задачи, и не предназначена для игры в Half-Life, редактирования видео или общения в соцсетях. Во-вторых, мы работаем над методом написания ПО, которое в принципе (by design) не будет способно выполнять незаявленную в нем функциональность. Этот момент – самый важный: невозможность выполнения стороннего кода, взлома системы или программ в нашем проекте – это вещь доказываемая и проверяемая.

Подробнее о системе, требованиях к ней и предпосылках к ее разработке вы можете прочитать в здесь. Я же в заключение хочу предвосхитить множество вопросов от коллег, партнёров, СМИ и просто заинтересованных людей. Разработка по-настоящему безопасной среды – проект сложный, практически невыполнимый без активной работы с потенциальными заказчиками. Множество деталей этого проекта мы сейчас не можем раскрыть как раз по причине такого сотрудничества. О чём-то не хотим рассказывать, чтобы технологии не перехватили конкуренты. А кое-что останется в закрытом доступе только для заказчиков навсегда по соображениям защиты от кибер-терроризма. Но как только возможность появится – мы расскажем что сможем о проекте подробнее.

На связи!


Previous Entry Поделиться Next Entry
заражённая флешка с фильмом это классика :)
у нас ещё была секретарша которая разослала всем заражённую картинку.

Всё это конечно хорошо. Но кто будет писать ПО под ось?
Для того что бы ось получила более менее массовое распространение для неё должно существовать ПО или сроки и цена написания ПО не кусались.

ПО такого рода продается пакетом с самой осью, а как правило и с железкой, поэтому при выборе ОС не важен критерий распространенности ОС в мире. Достаточно нескольких success stories и маркетингового крючка вроде "самая безопасная ОС в мире".

поскольку исходые коды данной ОС будут доступны "органам" прежде всего той страны где ЛК базируется, то ценность такой ОС для других стран под вопросом.

Вообщем OpenBSD.

Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.

http://www.opennet.ru/opennews/art.shtml?num=28998

извините, что врываюсь в вашу уютненькую

romulus3

2012-10-16 08:25 (UTC)

Вот вам, так сказать, мнение от станка. :)

12:14:09: да гон какой то
12:14:17: какой нах сеть
12:14:33: все контролеры в нормальном производстве живут в отдельной сети
12:14:50: без выхода в инет
12:15:21: а для опроса уровня сигналов отыт один порт
12:15:51: открыт
12:16:52: у кого управляющий компьютер подсоеденён в домен с выходм в инет - ну я не знаю?
12:17:17: а то что диспетчера отчёты не смогут отпралять ну - от этого производство не встанет
12:18:52: и к чему этот скрин с манифестом функций ваще не понятно
12:18:53: :-)
12:19:11: подпизьдюха
12:19:42: я че-т тоже думаю, что это маркетинговый п****ь


Edited at 2012-10-16 08:26 (UTC)

Re: извините, что врываюсь в вашу уютненькую

shmonchik

2012-10-16 08:53 (UTC)

На иранской атомной станции "контролеры в нормальном производстве жили в отдельной сети" (с). StuxNet. Продолжаем наблюдение ))))

Formal verification вещь конечно хорошая, но всё-таки программистких ошибок писателей ОС никто не отменял. В конце концов, баги встречаются и в микрокоде процессора

Edited at 2012-10-16 13:23 (UTC)

Это верно. Но можно постараться уменьшить вероятность появления таких баг - например, микроядерной архитектурой системы.

(Удалённый комментарий)

Re: Смешные высказывания Касперского

e_kaspersky

2012-10-18 08:40 (UTC)

> все что вы описали легко преодолимо путем переключения на резервные модули ситемы в случае сбоя

Похоже, что Вы вообще ничего не поняли... Попробуйте перечитать пост еще раз. И поймите - если на условной станции водоснабжения условные насосы дадут такое давление, что порвут условные трубы - переключаться на резервные модули системы будет уже немного слишком поздно.

Евгений, заранее извиняюсь за вопрос, но фирменные тормоза от Касперский-Лаб тоже будут в ОС?

Мне на работе поставили Вин7 и установили ваш антивирус EndPoint Security 8.1.0.831. После этого машина у меня запускалась через раз, ибо при старте "Каспер" вешал все процессы. Потом поставили патч, который вроде бы это всё исправляет, но... время от времени, во время работы комп всё-равно вешается "Каспером" намертво и помогает только перезагрузка.

Я не тролль ЕСЭТ, мне нравится ваша компания и вы как предприниматель и иноватор, но почему ваша продукция тормозит?

Ээээ... Вы хотите, чтобы я здесь в комментах оказывал техническую поддержку? 1. Это неправильное место. 2. И это не ко мне - я не умею выяснять кто с кем там в Вас не дружит. 3. Кстати, это может быть не наша проблема - а какого-либо самопального софта, такое тоже бывает.

(Удалённый комментарий)
Есть такое выражение "no patch for human stupidity".Есть ли у вас задумки, как "человеческий фактор" пропатчить?

Учёные работают, ковыряют ДНК, мож что когда-нибудь и придумают, чтобы поправить врождённые ошибки проекта "homo sapiens". Но пока (в обозримом будущем) работать придётся с "human stupidity".

Несколько интересных ссылок на тему промышленных систем (в широком понимании) и плохих сценариев.
"Пром-системы для чайников": http://www.anti-malware.ru/forum/index.php?s=&showtopic=24087&view=findpost&p=162369
Ситуация и плохие сценарии в медицине: http://www.bbc.com/news/technology-19979936
Еще сценарии: http://spb.rbc.ru/topnews/18/10/2012/674904.shtml

О да, комические куплеты, особенно вот это:
"Дело в том, что любая современная АСУТП по сути представляет собой некий набор контроллеров, которые связаны в единую сеть (причем не важно - будет это беспроводная сеть любого типа, RS-485, Ethernet ...) и каких-то управляющих центров (это может быть сервер, промышленный микрокомпьютер - что угодно). Контроллеры собирают информацию, опрашивая многочисленные датчики, и передают ее на управляющие сервера. Там все это обрабатывается, записывается в БД, анализируется, и принимаются решения о том, что делать. Эти решения доводятся до контроллеров, и они их исполняют".

Люди вообще не понимают что такое АСУТП и как она функционирует.

Только комплексный подход к безопасности способен изменить ситуацию с уязвимостью тех или иных систем. Я так-же убежден, что в случае если заинетерсованое лицо изьявит желание поразить тот или иной компоннент системы, то противодействовать этому нет никакой возможности. Те, кто разрабатывали последние "супер трояны" имеют возможности, прежде всего финансовые для того чтобы поразить(в той или иной степени) любой компоннент или систему имеющую ОС.
Одно то, что Вы (господин Касперский) опубликовали в свободном доступе инофрмацию о разработке защищенной оси, может заинетересовать определенные круги, для того чтобы встроить тот или иной вариант уязвимости еще на этапе разработки. Если предположить, что эта ОС получит распространение в embedded systems это может быть лакомым кусочком для хакеров государстванного уровня. Т.е упоминание о разработке ОС это уже уязвимость.


Жесть. Я верю, что такую ОСь можно написать. Но как ее внедрить - я просто не представляю. На предприятии, например, на какой-нибудь ГЭС, которая свою АСУ ТП разрабатывала, согласовывала и внедряла по частям в течение 5 лет: на базе ОСРВ, СКАДА-пакетов, протоколов и методик, которые тестировались и отлаживались в Германии в течение 15-20 лет до этого. Еще $1000000 вложить, все это переписать под новую ОСь и 20 лет ждать, пока все это заработает? И таких предприятий по стране 10000. Абсолютно нереально.

З.Ы. Сам бегал через периметр с ноутбуком.

Вопрос очень актуален, решение востребовано. У нас, в телекоме проблему осознают, хоть и не все. Пусть и не lCS в чистом виде.

В связи с этим вопрос: на каком "железе" эта ОС будет работать? Что там будет "можно"?

(Удалённый комментарий)

Re: открытое обращение к Евгению Касперскому

a_antonenko

2016-11-15 17:26 (UTC)

Достал уже Елескин.
Мировой прогресс в виде Windows 10 это вы конечно обозвали.
Ваше право пользоваться продуктами качественными не нарушают а как раз защищают. У пользователя должен быть выбор какой антивирус устанавливать. Европа вас не ущемляет? А они первые потребовали внести изменения в дистрибутив windows для выбора браузера.
Но вы похоже бот, вам оно не надо.

(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
(Удалённый комментарий)
?

Log in

No account? Create an account