«Лаборатория Касперского» пишет собственную операционную систему для промышленности. Посвящённую этому статью сегодня опубликовал в собственном блоге Nota Bene Евгений Касперский. Большая часть материала, однако, посвящена не столько самой разработке, сколько причинам, побудившим «Лабораторию» заняться таким проектом.
Первые сведения об этой разработке появились ещё в июле, когда журналисты CNews обнаружили на «кадровом» сайте HeadHunter вакансии «Лаборатории Касперского»: искали аналитика требований в новом проекте и старшего разработчика систем обеспечения безопасности АСУ ТП/SCADA со знанием системы реального времени QNX и опытом программирования для СУБД.
«Мы работаем… над защищённой операционной системой, предназначенной именно для критически важных информационных систем (Industrial Control Systems, ICS)», — написал в своём блоге Касперский и далее рассуждает о том, что индустриальные системы подчас оказываются чуть ли не более беззащитными, поскольку главный приоритет — непрерывность производства:
— К чему это приводит? К тому, что чаще всего софт на работающем объекте обновляется только после тщательной проверки, а иногда и не обновляется вовсе, оставаясь неизменным десятки лет. Обновление ПО может быть и прямо запрещено политикой безопасности на конкретном предприятии. Но даже если возможность обновить софт и залатать дыры есть, это не всегда помогает. Дело в том, что производители такого специализированного ПО мало заинтересованы в постоянных исследованиях исходного кода и латании дыр. Как показывает практика, на этом обычно стараются сэкономить, выпуская «заплатки», только если в Сети уже обнаружен и действует некий эксплойт.
Не исключены также варианты, когда какие-либо промышленные контроллеры уже выведены из строя, но при этом операторы не получают достоверной информации об этом, поскольку атакующие (вручную или с помощью нужных скриптов) выводят на компьютеры операторов заведомо ложную информацию. Так было, к слову сказать, со Stuxnet.
В свою очередь, используемые сейчас методы защиты Касперский считает неэффективными. Реально используются только два метода: изоляция критически важных объектов от интернета (и/или внешнего мира) и секретность. Изоляция надёжна лишь настолько, насколько компетентен и осмотрителен оператор управляющего ПК. Секретность же работает сама против себя: в то время как разработчики ставят гриф «секретно» на характеристики своих систем, в Сети давно уже можно найти список уязвимостей в большинстве популярных систем SCADA. И даже создан специальный поисковик SHODAN, позволяющий искать подключённые к интернету уязвимые промышленные системы.
Евгений Касперский отмечает, что идеальный, но едва ли реализуемый вариант — это переписать весь «промышленный» софт с учётом всех известных уязвимостей, наработок в области техники безопасности и так далее. Понятно, что подобное развитие событий — заведомая утопия.
— Но есть вполне реализуемая альтернатива, – пишет Касперский, — защищённая операционная система, на которой как раз и будут «крутиться» ICS-системы, которую можно встроить в существующую инфраструктуру, контролирующую «здоровье» существующих систем и гарантирующую получение достоверной информации.
Система, которую делают в «Лаборатории», будет узкоспециализированной, предполагающей решение конкретных задач и не предполагающей в принципе выполнять какую-либо «незаявленную функциональность». «Этот момент – самый важный: невозможность выполнения стороннего кода, взлома системы или программ в нашем проекте – это вещь доказываемая и проверяемая», — подчёркивает Евгений Касперский, приводя ссылку на другой документ, где описываются требования к будущей системе.
А требования следующие:
- ОС не может быть основана на каком-то уже существующем программном коде, поэтому должна быть написана с нуля.
- В целях гарантии безопасности она не должна содержать ошибок и уязвимостей в ядре, контролирующем остальные модули системы. Как следствие, ядро должно быть верифицировано средствами, не допускающими существования уязвимостей и кода двойного назначения.
- По той же причине ядро должно содержать критический минимум кода, а значит, максимальное возможное количество кода, включая драйверы, должно контролироваться ядром и исполняться с низким уровнем привилегий.
- Наконец, в такой среде должна присутствовать мощная и надёжная система защиты, поддерживающая различные модели безопасности.
— Разработка по-настоящему безопасной среды – проект сложный, практически невыполнимый без активной работы с потенциальными заказчиками. Множество деталей этого проекта мы сейчас не можем раскрыть как раз по причине такого сотрудничества, — заканчивает свой материал Касперский, обещая, однако, рассказать некоторые дополнительные подробности, как только для этого появится возможность.