Читаем Цифровой журнал «Компьютерра» № 98 полностью

А вот один из сведущих представителей хакерского андеграунда, выступающий под ником pr0f и сведущий в особенностях промышленных систем SCADA, высказал в корне иную точку зрения. По поводу заявления DHS он написал вот что:

В подтверждение своих слов pr0f выложил в Сеть несколько документов, свидетельствующих, что он дистанционно может получить доступ к работе этой системы Хьюстона. Но тут же хакер подчеркивает: «Я не собираюсь выдавать детали этой системы. Никаких повреждений не наносилось ни одному из узлов всей этой техники. Мне просто реально не нравится бессмысленный вандализм. Да и глупо это. Но, с другой стороны, столь же глупо подсоединять к интернету интерфейсы управления техникой SCADA. Подключение посторонних к такому интерфейсу даже и хакингом-то нельзя назвать. Для этого не требуется практически никакого опыта, а операции может воспроизвести даже ребёнок с базовыми знаниями основ Simatic». Речь идёт о системе Siemens, широко распространённой в области SCADA и вызывающей особо много претензий своей небезопасностью у специалистов по защите информации.

Помимо свидетельств некоего анонимного хакера, хотелось бы, конечно, услышать и мнение о проблеме со стороны какого-нибудь авторитетного эксперта, известного среди специалистов. Чтобы получить примерное представление о том, к чему сводится защита современных компьютерных систем промышленного управления, можно процитировать недавнюю запись из блога Ральфа Лангнера, знаменитого специалиста в этой области. Именно Лангнеру в своё время удалось первым разобраться с вредоносной «начинкой» червя Stuxnet.

В последних числах сентября этого года Лангнеру довелось принимать участие в одной из специализированных конференций, где выступал некто Марти Эдвардс — нынешний глава ICS-CERT, организации, которая в составе правительства США отвечает за компьютерную безопасность индустриальных систем управления. Суть доклада этого чиновника сводилась к представлению нового подхода их ведомства к тому, как теперь надо смотреть на уязвимости систем — путём исключения всего, что не выглядит как баг (дефект программы), который может быть исправлен поставщиком продукта.

Иными словами, поясняет Лангнер, отныне вы просто не увидите от ICS-CERT никаких рекомендаций или предупреждений относительно «особенностей» программ, которые потенциально можно использовать для атак. Такой подход, по свидетельству эксперта, самым радикальным образом — примерно на 90 процентов — сокращает число уязвимостей в области промышленных систем управления, поскольку подавляющее большинство тех «моментов» в безопасности, которые индустрия сегодня имеет (называть их «уязвимостями» уже не принято), — это не баги программирования, а конструктивные дефекты системы.

До того как разразились большие неприятности с выявлением вредоносной программы Stuxnet, уязвимостью официально именовали следующее: «Дефект или слабость в конструкции системы, в её реализации, функционировании или управлении, которые можно было бы использовать для нарушения политики безопасности системы».

Теперь, иронизирует Лангнер, всем нам стало жить намного безопаснее, потому что так много проблем вдруг просто взяли и исчезли. Остались только баги программирования. И если до недавнего времени безопасность промышленных систем управления была очень трудным делом, то теперь всё стало легко и просто. Для организации ICS-CERT.

Для всех остальных же, заключает с горечью Лангнер, это по-прежнему остается сложным, потому процессам ваших систем совершенно без разницы, что именно это было — баг или особенность, которую вредоносный код использовал для атаки.

К оглавлению

Опубликовано 06 декабря 2011 года