“Лаборатория Касперского” пишет собственную операционную систему для промышленности. Посвящённую этому статью сегодня опубликовал в собственном блоге Nota Bene Евгений Касперский. Большая часть материала, однако, посвящена не столько самой разработке, сколько причинам, побудившим “Лабораторию” заняться таким проектом.

Первые сведения об этой разработке появились ещё в июле, когда журналисты CNews обнаружили на “кадровом” сайте HeadHunter вакансии “Лаборатории Касперского”: искали аналитика требований в новом проекте и старшего разработчика систем обеспечения безопасности АСУ ТП/SCADA со знанием системы реального времени QNX и опытом программирования для СУБД.

“Мы работаем… над защищённой операционной системой, предназначенной именно для критически важных информационных систем (Industrial Control Systems, ICS)”, – написал в своём блоге Касперский и далее рассуждает о том, что индустриальные системы подчас оказываются чуть ли не более беззащитными, поскольку главный приоритет – непрерывность производства:

– К чему это приводит? К тому, что чаще всего софт на работающем объекте обновляется только после тщательной проверки, а иногда и не обновляется вовсе, оставаясь неизменным десятки лет. Обновление ПО может быть и прямо запрещено политикой безопасности на конкретном предприятии. Но даже если возможность обновить софт и залатать дыры есть, это не всегда помогает. Дело в том, что производители такого специализированного ПО мало заинтересованы в постоянных исследованиях исходного кода и латании дыр. Как показывает практика, на этом обычно стараются сэкономить, выпуская “заплатки”, только если в Сети уже обнаружен и действует некий эксплойт.

Не исключены также варианты, когда какие-либо промышленные контроллеры уже выведены из строя, но при этом операторы не получают достоверной информации об этом, поскольку атакующие (вручную или с помощью нужных скриптов) выводят на компьютеры операторов заведомо ложную информацию. Так было, к слову сказать, со Stuxnet.

В свою очередь, используемые сейчас методы защиты Касперский считает неэффективными. Реально используются только два метода: изоляция критически важных объектов от интернета (и/или внешнего мира) и секретность. Изоляция надёжна лишь настолько, насколько компетентен и осмотрителен оператор управляющего ПК. Секретность же работает сама против себя: в то время как разработчики ставят гриф “секретно” на характеристики своих систем, в Сети давно уже можно найти список уязвимостей в большинстве популярных систем SCADA. И даже создан специальный поисковик SHODAN, позволяющий искать подключённые к интернету уязвимые промышленные системы.

Евгений Касперский отмечает, что идеальный, но едва ли реализуемый вариант – это переписать весь “промышленный” софт с учётом всех известных уязвимостей, наработок в области техники безопасности и так далее. Понятно, что подобное развитие событий – заведомая утопия.

– Но есть вполне реализуемая альтернатива, – пишет Касперский, – защищённая операционная система, на которой как раз и будут “крутиться” ICS-системы, которую можно встроить в существующую инфраструктуру, контролирующую “здоровье” существующих систем и гарантирующую получение достоверной информации.

Система, которую делают в “Лаборатории”, будет узкоспециализированной, предполагающей решение конкретных задач и не предполагающей в принципе выполнять какую-либо “незаявленную функциональность”. “Этот момент – самый важный: невозможность выполнения стороннего кода, взлома системы или программ в нашем проекте – это вещь доказываемая и проверяемая”, – подчёркивает Евгений Касперский, приводя ссылку на другой документ, где описываются требования к будущей системе.

А требования следующие:

  • ОС не может быть основана на каком-то уже существующем программном коде, поэтому должна быть написана с нуля.
  • В целях гарантии безопасности она не должна содержать ошибок и уязвимостей в ядре, контролирующем остальные модули системы. Как следствие, ядро должно быть верифицировано средствами, не допускающими существования уязвимостей и кода двойного назначения.
  • По той же причине ядро должно содержать критический минимум кода, а значит, максимальное возможное количество кода, включая драйверы, должно контролироваться ядром и исполняться с низким уровнем привилегий.
  • Наконец, в такой среде должна присутствовать мощная и надёжная система защиты, поддерживающая различные модели безопасности.

источник

– Разработка по-настоящему безопасной среды – проект сложный, практически невыполнимый без активной работы с потенциальными заказчиками. Множество деталей этого проекта мы сейчас не можем раскрыть как раз по причине такого сотрудничества, – заканчивает свой материал Касперский, обещая, однако, рассказать некоторые дополнительные подробности, как только для этого появится возможность.