Читаем Компьютерра PDA N72 (13.11.2010-19.11.2010) полностью

Авторы статьи из ESIEA отмечают, что все реально используемые чипы имеют в себе определенные математические ограничения, продиктованные теми стандартами, которые они применяют для кодирования чисел и выполнения операций арифметики с плавающей точкой. Некоторые из этих ограничений достаточно хорошо известны специалистам, другие известны хуже, но самое главное, что все они приводят к тем или иным неточностям в результатах вычислений. А специфика архитектуры конкретного процессора, соответственно, способна порождать своего рода "подпись" из такого рода неточностей.

Поэтому исходная задача, которую поставили перед собой Эрик Филиоль и его коллеги, свелась к тому, чтобы отыскать некий относительно небольшой и универсальный набор вычислений с плавающей точкой, который мог бы уникально идентифицировать любой процессор по его сигнатуре неточностей.

На данном пути исследователям уже удалось достичь вполне определенных результатов. Для этого, в частности, используются такие задачи, как вычисление функции sin(10^10 pi) при варьировании количества цифр в представлении величины числа Пи. Авторы пока что не могут установить конкретные модели процессоров, однако уже вполне способны использовать свою технику для идентификации семейств — таких как AMD, Intel (Dual Core, Atom), Sparc, Digital Alpha, Cell и так далее.

В настоящее время исследователи работают над инструментом, получившим название Proc_Scope (или "процессороскоп"), который будет использовать специфические алгоритмы не только для идентификации типа процессора, но и для определения конкретных моделей чипов. По убеждению исследователей, подобного рода подход — через конструктивные особенности микропроцессоров — позволит обеспечивать намного более коварные, точные и целенаправленные атаки.

Ну а то, что подобного рода компьютерные атаки — это уже дело отнюдь не отдаленного будущего, а реальные события настоящего времени, свидетельствует следующая новость.

Изощренное вредительство червя Stuxnet

В коде вредоносного "боевого червя" Stuxnet (подробности см. здесь и здесь) антивирусным исследователям удалось выявить важные свидетельства, указывающие на то, что эта программа была нацелена на диверсию против ядерных фабрик по обогащению урана. Причем целью программы-диверсанта была не организация аварии, а намного более тонкий саботаж — кратковременное ускорение и замедление работы моторов в центрифугах на протяжении многих недель и месяцев. Подобная работа оборудования катастрофически снижает качество обогащаемого урана.

В обновленной версии так называемого "Досье Stuxnet", которое заведено на эту программу в подразделении Symantec Security Response, отмечается: "Это свидетельствует, что [создатели Stuxnet] хотели закрепиться в системе без обнаружения, оставаться там длительное время и незаметно изменять производственный процесс, однако без срывов его работы".

Червь Stuxnet был обнаружен в Иране в июне 2010 и к настоящему времени заразил свыше 100 000 компьютерных систем по всему миру. Главное отличие этого червя — помимо необычной сложности программы — это целенаправленная атака против конкретной разновидности SCADA-систем промышленного управления, а именно Siemens Simatic WinCC.

Исследователи вируса давно установили, что Stuxnet перехватывает команды, отправляемые SCADA-системой для управления определенными функциями на промышленном объекте, однако вплоть до последнего времени было неясно, какого рода конкретные функции были целью саботажа. Строго говоря, в Symantec и сейчас воздерживаются от непосредственного указания на объект, являвшийся наиболее вероятной целью атаки Stuxnet. Однако вся новая информация достаточно прозрачно указывает на то, что мишенью была фабрика по обогащению урана в Натанзе, тысячи центрифуг которой являются важнейшим элементом ядерной программы Ирана.

Исследователи Symantec подчеркивают, что они ни в коей мере не являются экспертами по компьютерным системам промышленного управления, однако благодаря консультациям и помощи со стороны такого рода специалистов из голландской фирмы Profibus, они сумели-таки восстановить назначение кодов атаки в Stuxnet.

Согласно досье Symantec, целью червя Stuxnet являются специфические драйверы преобразователя частоты — устройства, которое используется для управления скоростью работы механизмов типа электромотора. Червь перехватывает команды, посылаемые таким драйверам от управляющей программы Siemens SCADA, и подменяет их вредительскими командами, сильно изменяющими скорость вращения в сравнении со штатным режимом.

При этом, однако, вредоносная программа портит далеко не любой конвертер частоты. Червь тщательно сканирует аппаратный состав той сети, в которую проник, и начинает работу лишь в том случае, когда в конфигурации имеется по крайней мере 33 конвертера частоты, изготовленных либо иранской фирмой Fararo Paya, либо финской компанией Vacon.