Stuxnet и промышленная безопасность

А.В.Фрейдман

1. Введение

2. Что такое Stuxnet?

3. Почему Stuxnet?

4. Хронология событий

4.1. Заражение и распространение

4.2. Кибер-атака на объект

5. Уязвимости SCADA систем и ПЛК

6. Кто виноват?

6.1. Siemens об угрозе Stuxnet

6.2. Конечные пользователи

7. Что делать?

7.1. Замена ПО SCADA системы

7.2. Выключаем Интернет

7.3. Закрываем форточки

8. От чего лечиться?

Ссылки


 

1. Введение

Фантазии голливудских сценаристов о террористическом перехвате компьютерного управления разрушительным оружием, как например, спутника с мощной лазерной пушкой в фильме «Захват 2» (в оригинале 'Under Siege 2: Dark Territory', Стивен Сигал в главной роли) , в некотором роде начинают воплощаться в реальность.

http://bit.ly/aThirH

Stuxnet, самый необычный компьютерный вирус, точнее червь, в настоящее время признан IT-специалистами первым образцом мощных средств нового этапа кибер-войн. Он включает в себя многие функции распространения, маскировки и атаки, которые невозможно создать одиночному разработчику вредоносных программ. Однако, самое неприятное состоит в том, что целевым результатом работы данного компьютерного червя является не просто искажение информации, кража пароля или денежных средств, а реальное физическое воздействие, которое разрушает или выводит из строя дорогостоящее оборудование стратегического назначения. Потенциально такие атаки способны привести к катастрофическим последствиям. Вот характерные цитаты специалистов-вирусологов:

Пытаясь понять, на чем основаны такие заявления, обратимся за разъяснениями к самим борцам с «кибер-заразой». Достаточно подробные документы с анализом новой угрозы представили компании Symantec и ESET [1, 2]. Но только специалисты Symantec смогли до конца разобраться и описать механизм проникновения вредоносного кода на контроллеры и возможный сценарий атаки, которую предприняло это новое «вундер-ваффе». Сокращенный перевод на русский язык этого документа [1], «Анализ кода Stuxnet» представлен здесь [3].

2. Что такое Stuxnet?

Stuxnet представляет собой сложную многокомпонентную потенциально вредоносную компьютерную программу для платформы Win32 с объемом кода основной библиотеки в распакованном виде примерно 1,18 Мбайт [2, с. 38].

Возможности этой программы впечатляют:

Таковы факты. Они подтверждаются анализом кода Stuxnet [1, 2, 3].

3. Почему Stuxnet?

Белорусская компания компьютерной безопасности VirusBlockada, первой обнаружившая данный зловред, дала ему вначале наименование RootkitTmphider (Скрыватель руткита во временном файле). Позже, при анализе кода был обнаружен важный раздел оболочки с именем stub [3, с.3], а файл драйвера загрузки имел название mrxnet.sys [3, с.7]. Видимо, из частей этих слов (начало stub, окончание mrxnet.sys) и получил он свое общепризнанное, но непонятное название, часто ассоциируемое с русским словом «стухнет». По классификации Microsoft эта вредоносная программа вцелом получила наименование Win32/Stuxnet, а ее некоторые компоненты:

4. Хронология событий

Первый вариант Stuxnet был разработан в январе 2009 г., обновленные варианты были созданы в марте-апреле 2010 г., а обнаружен и идентифицирован Stuxnet был только в июне 2010 г.

А вот что происходило до и после этих событий [1, c.17], [2, c.18].

Дата

Событие

20.11.2008

Найден вариант трояна Trojan.Zlob, использующего важную для Stuxnet уязвимость MS Win – уязвимость ярлыков LNK (MS10-046).

Апрель 2009

Журнал Hakin9 описал уязвимость исполнения удаленного кода в сервисе буфера печати.

Июнь 2009

Появление первого варианта Stuxnet, не использующего уязвимости MS10-046.

25.01.2010

Драйвер Stuxnet подписан действующим цифровым сертификатом, принадлежавшим Realtek Semiconductor Corp.

Март 2010

Новый вариант Stuxnet, использующий уязвимость ярлыков MS10-046.

17.06.2010

Virusblokada сообщила об обнаружении компонентов вредоносной программы, идентифицировав их как Trojan-Spy.0485 и Malware-Cryptor.Win32.Inject.gen.

24.06.2010

Компания Realtek Semiconductor уведомлена о краже ключа ее цифровой подписи.

13.07.2010

Symantec добавляет в свою вирусную базу детектирование Stuxnet как трояна W32.Temphid.

15.07.2010

Выпущено информационное сообщение US-CERT и ICS-CERT о вредоносной программе, имеющей целью управляющие системы Siemens.

16.07.2010

Появляется предупреждающее информационное сообщение Microsoft об уязвимости (2286198) в проводнике (shell) MS Windows, позволяющей осуществить удаленный запуск программы.

Verisign отзывает сертификат Realtek Semiconductor.

17.07.2010

ESET находит еще один драйвер Stuxnet, подписанный сертификатом JMicron Technology.

19.07.2010

Siemens сообщает об изучении информации о вредоносной программе, инфицирующей ее SCADA системы WinCC.

20.07.2010

Symantec осуществляет мониторинг трафика сервера контроля и управления Stuxnet.

22.07.2010

Verisign отзывает сертификат JMicron Technology.

02.08.2010

Microsoft выпускает заплату MS10-046, закрывающую уязвимость ярлыка в проводнике (Windows Shell).

06.08.2010

Symantec выпускает отчет о том, как Stuxnet может внедрять и скрывать код на ПЛК, нанося ущерб промышленным системам управления.

14.09.2010

Microsoft выпускает заплату MS10-061, закрывающую уязвимость буфера печати, идентифицированную компанией Symantec в августе.
Microsoft сообщает о двух других уязвимостях повышения приоритета, идентифицированные компанией Symantec в августе.

29.09.2010

ICS-CERT выпустил информационное сообщение о признаках заражения Stuxnet, особенно опасных при наличии проекта Step 7.

30.09.2010

Symantec выпускает Virus Bulletin с подробным анализом Stuxnet.

Это «внешние» события, которые являются лишь реакцией официальных организаций на деятельность Stuxnet. А как происходило заражение и имело ли место вредоносное воздействие Stuxnet где-либо? Обычно, такие факты жертвами кибер-атак не афишируются. Но, поскольку организаторы атаки хотели убедиться в ее успешности, они предусмотрели передачу данных о «боевом пути» каждого экземпляра Stuxnet, который сможет связаться с одним из серверов контроля и управления. Узнав об этой функции, специалисты Symantec сумели организовать мониторинг потока этих данных и к февралю 2011 г. набрали следующую статистику [1, с. 5-11].

4.1. Заражение и распространение

Всего было собрано 3280 образцов Stuxnet, представляющих три варианта [1, с. 7]. В разделе конфигурационного блока данных Stuxnet имеет записи истории заражения каждого компьютера с метками времени, IP-адресами и т.п. Первоначальное заражение произошло всего в пяти организациях, что можно проследить по имени домена компьютера. Около 12000 заражений можно отследить назад до этих 5 организаций. Три организации заражались по одному разу, одна была заражена дважды, остальные - по три раза.

Таким образом, первоначальное заражение 5 организаций происходило с USB-накопителей в июне и июле 2009 г., а также в марте, апреле и мае 2010 г.

Все эти организации имели представительство в Иране.

Самый короткий срок между временем компиляции и первым заражением составил 12 часов. Самый длинный срок между временем компиляции и первым заражением составил 28 дней. В среднем этот срок составил 19 дней. Распространение затронуло компьютеры с 1800 доменными именами. Подавляющее большинство всех инфицированных систем (58,3%) приходится на Иран. Если же считать лишь компьютеры с установленным ПО от Siemens, то этот процент для Ирана еще выше (67,6%).

4.2. Кибер-атака на объект

Предположительно схема атаки выглядит следующим образом [4]. Stuxnet проник в закрытую сеть иранского ядерного центра в Натанзе (Natanz) через сменный накопитель (типа USB-Flash) и смог инфицировать диспетчерские компьютеры, работающие под управлением SCADA системы WinCC. По крайней мере с одного из таких компьютеров с установленной системой Step 7 произошло несанкционированное перепрограммирование работы контроллеров (ПЛК), которые через частотно-регулирующие приводы (ЧРП) управляют скоростью вращения двигателями центрифуг, осуществляющими обогащение ядерных материалов. Активизация новой программы произошла не сразу, а спустя некоторое время, когда удалось «перепрошить» максимальное количество ПЛК.

Все это время червь Stuxnet осуществлял запись данных в нормальном режиме работы центрифуг. Затем, при активизации новой программы на всех ПЛК, мощные двигатели, следуя командам на резкие изменения скорости вращения, вывели около 1000 центрифуг из строя. Одновременно с «раскачиванием» центрифуг Stuxnet воспроизводил для диспетчеров предварительно записанные нормальные данные о процессе с тем, чтобы диспетчеры подняли тревогу как можно позже, и не смогли остановить работу центрифуг в ручном режиме до их повреждения и/или разрушения. Так была осуществлена «точечная» диверсионная атака на иранский ядерный центр в Натанзе, отодвинувшая сроки получения обогащенного урана для его ядерной программы по некоторым оценкам не менее, чем на два года.

5. Уязвимости SCADA систем и ПЛК

SCADA, сокращение Supervisory Control And Data Acquisition, представляют собой компьютерные системы диспетчерского мониторинга и сбора данных. Они подключаются к различным контроллерам/датчикам и через них осуществляют управление разнообразным оборудованием промышленного или иного назначения. Как видно из названия, SCADA система состоит из двух частей: первая, работая в автоматическом режиме, обеспечивает получение различных данных, поддержание так называемой Базы Данных реального времени в актуальном состоянии, а вторая представляет собой средства визуализации процессов и интерфейс с диспетчером. Диспетчер, то есть специально обученный оператор, должен следить за состоянием и работой всего подключенного оборудования, и в критических ситуациях посредством оперативных команд обеспечивать безаварийность его работы. Достаточно мощные компьютеры SCADA систем постоянно подключены к управляющим контроллерам, так что в случае их заражения, у троянской программы оказывается достаточно времени и иных компьютерных ресурсов для разведки и подготовки атаки на производственный процесс. Конечно, для успешной диверсионной атаки, подобной той, что совершил Stuxnet, необходимо знать конкретную конфигурацию и алгоритмы работы оборудования. Однако, для менее «прицельной» атаки (хотя она может быть и не менее вредоносной), перепрограммирование ПЛК не требуется, а хакерам достаточно узнать лишь самые общие команды, управляющие ПЛК, которые доступны операторам и будут способны остановить оборудование и/или обесточить ключевые агрегаты.

Теперь обратим внимание на уязвимость самих контроллеров (ПЛК). Для ответственных SCADA-приложений часто используют так называемую резервируемую конфигурацию, когда параллельно с основным сервером SCADA ставят второй, резервный компьютер с тем же самым приложением. Эта резервная станция SCADA также подключена к ПЛК, как и основной сервер системы. В нормальном режиме работ диспетчерское управление осуществляется только через основной компьютер, а второй работает «на подхвате», осуществляя лишь визуализацию процесса. В редких случаях аппаратного или программного сбоя основного компьютера управление переходит на резервный компьютер. Таким образом, большую часть времени этот мощный резервный компьютер работает «вхолостую». Часто этот постоянно работающий компьютер, подключенный к контроллерам, используют также в качестве инженерной станции, через которую по мере совершенствования технологического процесса осуществляется программирование, отладка и модернизация ПО контроллеров.

Вот с такого компьютера вредоносная программа вполне может осуществить перепрограммирование ПЛК. И это не теория, а работающий код Stuxnet, испытанный на практике. Очевидно, что следует серьезно опасаться клонов Stuxnet всем, кто эксплуатирует системы Siemens WinCC и Step 7, подключенные к ПЛК S7-315 через шину Profibus. Как писал немецкий специалист по промышленной безопасности Ральф Лангнер, «фактом является то, что самая значительная угроза, которую создал Stuxnet, - это не сам по себе Stuxnet, а возможность того, что методы атаки, использованные Stuxnet, самый заметный из которых – внедрение вредоносной релейной логики в ПЛК, будут скопированы и станут доступными для хакерского инструментария» [6]. Эти слова в марте 2011 подтвердились выпуском эксплойт-пака для SCADA. Компания GLEG выпустила Agora SCADA+ Pack стоимостью около $5000, в анонсе которого заявлено: "Это попытка собрать ВСЕ известные уязвимости, имеющиеся в программах SCADA, в единый пакет эксплойта" [7].

Неделю спустя итальянский специалист по безопасности Луиджи Ауриемма решил бесплатно опубликовать описания «Уязвимости в серверном ПО некоторых SCADA» [8]. Теперь любой может ознакомиться с описаниями 35 уязвимостей следующих 4 систем (в скобках – число уязвимостей):

6. Кто виноват?

Осознав угрозы для промышленной безопасности, возникающие от таких вредоносных программ, как Stuxnet, попробуем разобраться, кто виноват в сложившейся ситуации. Ясно, что вся схема атаки не была бы столь успешной, если бы не та легкость, с которой червь двигался к своей цели через сменные накопители и узлы сети, работающие под управлением различных версий ОС MS Windows.

Казалось бы, очевидно, что более других виновата Microsoft, допускающая выпуск своих операционных систем с таким набором уязвимостей, что их «броня» скорее напоминает дуршлаг. Однако, компания Microsoft никогда не заявляла, что ее основной продукт (ОС) предназначен для промышленных применений. В лицензии конечного пользователя Windows всегда стояла оговорка – поставка “as is” (как есть), без всякой ответственности за возможный ущерб от ее применения. Были заверения, что Microsoft приложит максимум усилий для повышения надежности MS Windows – и эти заверения звучали неоднократно. Но, во-первых, это были лишь ни к чему не обязывающие декларации, т.е. сообщения о намерениях. А во-вторых, Microsoft действительно добилась, что ее операционные системы в отсутствии вредоносных воздействий (умышленных или от неправильно написанного кода) гораздо реже «падают», чем раньше. Увы, троянской программе все-таки достаточно просто привести систему Windows к «синему экрану смерти». Для SCADA систем на базе ОС MS Windows это означает по крайней мере угрозу непрерывности мониторинга технологического процесса.

Значительно больше вины на разработчиках ПО для промышленных управляющих систем, которые, как и разработчики Siemens, выбрали в качестве программной платформы для SCADA ОС MS Windows. Ведь были и есть операционные системы, в том числе и коммерческие, которые более приспособлены для ответственных задач управления промышленным оборудованием.

Однако, действия вендоров средств автоматизации в большей степени определяются коммерческими соображениями, чем заботой о клиенте. Посмотрите, как повела себя компания Siemens, когда стала очевидной угроза Stuxnet для систем WinCC+Step7.

6.1. Siemens об угрозе Stuxnet

Первое сообщение Siemens о черве Stuxnet датируется 19 июля 2010 г. В нем - информация о том, что он распространяется через USB накопители и воздействует на систему визуализации SCADA WinCC. 21 июля 2010, предоставляя первые средства защиты от инфекции, Siemens информирует о том, что Stuxnet определяет наличие на компьютере программ SIMATIC WinCC и PCS 7 фирмы Siemens, а также то, что вредоносная программа может осуществлять связь с определенными web-сайтами/серверами и передавать туда данные о процессах. Но, сообщая о масштабах заражения, Siemens всячески подчеркивает, что «ни в одном из этих случаев заражение не привело к неблагоприятным воздействиям». 21.07.2010 – сообщение о 1-ом инфицированном компьютере с WinCC в Германии. В дальнейшем статистика Siemens выглядит весьма успокаивающе [9].

Количество сообщений о заражении от заказчиков Siemens

Дата

Данные Siemens

23.07.2010

2

26.07.2010

2

28.07.2010

2

29.07.2010

4

02.08.2010

4

03.08.2010

5

13.08.2010

9

24.08.2010

12

07.09.2010

15

01.10.2010

15

21.10.2010

19

12.11.2010

21

28.07.2010

22

11.03.2011

24

Siemens умалчивает, что речь идет лишь о прямых заказчиках, которых у нее немного – это крупнейшие мировые компании. В основном системы автоматизации Siemens продаются и внедряются через многочисленных дистрибьюторов и системных интеграторов.

А вот другие данные о масштабах заражения. В Иране один из министров заявил, что там оказались поражены порядка 30000 компьютеров [4].

По информации Синьхуа, в КНР воздействию вируса оказались подвержены около 1000 предприятий. Общее число заражений индивидуальных компьютеров в Китае превысило 6 млн. Представители китайской антивирусной компании Rising International Software считают, что «После того, как Stuxnet проник в ИТ-системы заводов в Китае, он нанес ущерб национальной безопасности страны» [10]. Согласно исследованию Q1 Labs две трети всех энергетических компаний мира подвергаются риску Stuxnet-подобных атак [11].

Для российских пользователей статистики нет. Но вот что касается российских заказчиков. На своем сайте Siemens информирует о том, как проверить, заражена ли система и как защититься от инфицирования Stuxnet на английском, немецком, китайском, французском, итальянском, испанском, голландском, корейском, португальском и шведском языках. А русскоязычный сайт Siemens (http://iadt.siemens.ru), информирующий о продуктах WinCC и STEP7, до сих пор (15 апреля 2011 г.) на поисковый запрос «Stuxnet» отвечает нулевым результатом.

6.2. Конечные пользователи

Ответственность за безопасность объекта в первую очередь лежит на тех, кто в данный момент является собственником этого объекта, а также на тех, кто осуществляет его эксплуатацию. В связи с новыми угрозами, созданными Stuxnet, им в первую очередь необходимо пересмотреть принятые ранее решения, чтобы снизить риски возможной хакерской атаки. Несмотря на возможную вину Microsoft и/или Siemens в уязвимости систем автоматизации на их основе, или разработчиков конкретного проекта автоматизации, в случае сбоя, простоя или аварии в результате деятельности вредоносной программы ни одного рубля компенсации с этих компаний получить не удастся.

А есть ли о чем беспокоиться? Какова ситуация на российских предприятиях? Как свидетельствуют участвующие в обсуждении новостей о Stuxnet, даже на таких предприятиях, как Новосибирский Завод ХимКонцентратов (входящий в "РосАтом"), в цехах основного производства по производству ТТ (Топливных Таблеток), ТВЭЛ (Тепло-Выделяющих ЭЛементов) и ТВС (Топливно-Выделяющих Сборок) работают SCADA WinСС под Windows. Удивляет беспечность, при которой, например, «на каждом ПК лежит бумажка с табельными номерами и паролями работников и контроллеров, чтобы не беспокоить людей по мелочам». Известно также, что множество АСУТП в энергетике, нефтегазодобывающей промышленности и металлургии работают с использованием контроллеров Siemens и SCADA WinCC.

7. Что делать?

Рекомендации по повышению защищенности промышленных систем от кибер-атак будут зависеть от следующих факторов:

  1. Имеется ли соединение сети АСУТП с Интернет;
  2. Используется ли в системах АСУТП ответственного назначения операционная система MS Windows;
  3. Используется ли в системе автоматизации процесса SCADA WinCC, шина Profibus и ПЛК S7-315.

В последнем случае надо, конечно, срочно выполнить рекомендации, описанные в информационном сообщении Siemens [9]. Но будет ли это достаточно? Ведь закрыв ставшие известными уязвимости MS Windows, и удалив сам вирус из компьютера, Вы не будете защищены от атаки аналогичной программы, использующей другие уязвимости, но использующие блоки кода из Stuxnet для избирательного воздействия на WinCC/S7-315. Ведь в настоящее время для хакеров появилась возможность шантажа владельцев и управляющих предприятий угрозой остановки такого производства или даже аварией, и соблазн сорвать куш велик.

7.1. Замена ПО SCADA системы

Снизить риск от возможной атаки можно, отказавшись от WinCC/S7-315. Если контроллеров достаточно много, и их замена обойдется слишком дорого, можно ограничиться заменой лишь программы SCADA. Существуют коммерческие пакеты SCADA от независимых разработчиков, поддерживающие работу с контроллерами Siemens S7-315. Можно рекомендовать, например, пакет Wizcon Supervisor от компании Elutions. Несмотря на то, что она работает также под Windows, эта замена серьезно затруднит хакерам возможность использовать код Stuxnet, и с помощью заплаток направить его атаку на те же ПЛК, поскольку связь по шине Profibus в Wizcon’е, как внешней системе по отношению к SIMATIC, организована иначе, чем в WinCC.

Теперь рассмотрим другие возможные рекомендации.

7.2. Выключаем Интернет

Все меры защиты должны быть направлены на то, чтобы максимально затруднить вредоносным программам проникновение, разведку и атаку.

В этом отношении наиболее уязвимы те системы, которые имеют подключение к Интернет. В системах АСУТП подключение к Интернет используется для удобства взаимодействия с удаленными подразделениями предприятия (склады, сбытовые подразделения и т.п.). Кроме того, сеть АСУТП часто оказывается подключенной к Интернет опосредованно, через общекорпоративную сеть, поскольку данные АСУТП необходимо регулярно передавать в системы производственного планирования, бухгалтерского учета и финансового менеджмента предприятия. Отсутствие подключения к Интернет часто используется для защиты ответственных участков производства стратегического назначения и снижает риск проникновения вредоносных программ в систему. Но, как показал случай со Stuxnet, не исключает его. Передача данных из Интернет-зоны в АСУТП и обратно через сменные носители должна быть регламентирована, и осуществляться с ответственным тестированием носителя – желательно с помощью средств, работающих в иной ОС (подобных Rescue Disk под ОС Linux от Лаборатории Касперского).

7.3. Закрываем форточки

Другой фактор риска – использование в системе АСУТП компьютеров на базе ОС MS Windows. Большинство программных SCADA продуктов в настоящее время - на этой, весьма уязвимой платформе. Но, к счастью, не все. Рекомендацию – ради безопасности отказаться от MS Windows – предлагают многие блогеры. Например, worm kido пишет: «выход один, … полностью отказаться от мелкософтовской форточки и переходить на другие системы …свои индивидуальные, так как майкрософт это рассадник всевозможных компьютерных тварей.» Столкнувшись с эпидемией Stuxnet, руководство исламской республики Иран заявило, что в качестве меры противодействия будет разработана национальная иранская операционная система – некое подобие Windows [12].
Некоторые российские руководители также иногда заявляют, что нам нужно разработать свою национальную операционную систему. Но они, вероятно, не осознают масштаба проблемы. ОС – это не только ядро (которое может сделать и один студент), а, в основном – аппаратная поддержка. Кроме того, проблема еще и в том, что потратив время и большие средства на подобную разработку (возможно, откаты – истинная цель), им придется столкнуться с необходимостью стимулировать коммерческих разработчиков ПО к портированию своих программ на эту национальную платформу. Но портировать такую систему, как SCADA пакет, весьма непросто. Гораздо быстрее и проще государству было бы купить целиком компанию-разработчика коммерческой операционной системы, для которой уже есть отечественные SCADA пакеты и другие прикладные программы. Например, компанию QNX Software System, разработчика ОС реального времени QNX. ОСРВ QNX Neutrino Certified Plus — это единственная ОС реального времени, соответствующая требованиям стандартов и по функциональной (МЭК 61508), и по информационной безопасности (ИСО/МЭК 15408). Система сертифицирована по уровню SIL3 стандарта МЭК 61508 и по уровню EAL4+ стандарта ИСО/МЭК 15408. [13]. Кроме того, ОС QNX4 имеет сертификат ФСТЭК России по 3 классу защиты от несанкционированного доступа и 2 уровню контроля отсутствия недекларированных возможностей. Это позволяет использовать QNX4 при создании автоматизированных систем, имеющих класс защищённости до 1Б включительно.

Опыт применения ОС QNX в российской промышленности в течение почти 20 лет подтвердил ее высокие характеристики по надежности и устойчивости, обусловленные ее архитектурой с микроядром. Российской компанией Науцилус разработан SCADA пакет Phocus под ОС QNX4 и QNX6 для самой популярной аппаратной платформы ПК x86. Phocus – не единственная SCADA система под QNX на российском рынке, но это единственный отечественный коммерческий SCADA пакет для ОС QNX, который может поставляться с исходными кодами. Контроль над исходными кодами дает дополнительную степень защищенности системы. Именно так поставлялся Phocus для Ангарского электролизного химкомбината, осуществляющего обогащение ядерного топлива (аналогичное предприятие в Иране было целью атаки Stuxnet).

Еще несколько слов о национальной ОС. Приобретение компании-разработчика QNX, было бы неплохим вариантом. Эта ОС очень популярна у российских разработчиков систем реального времени. Кроме того, для множества приложений она может вполне заменить ОС общего назначения. Изначально с 1980 г. канадская фирма QSSL, разработчик QNX, развивалась как частная компания и, имея заказчиков во многих отраслях экономики, была вполне рентабельным предприятием. В 2004 г. эта компания была приобретена производителем автоэлектроники, американским концерном Harman International за 138 млн. долларов США, но сохранила свою самостоятельность в виде автономного подразделения. Тогда то и родилась идея на российские нефтедоллары приобрести «национальную ОС» для большей безопасности. Предложение было направлено в правительство, но отклика не последовало. В апреле 2010 г. канадская компания Research In Motion (RIM) выкупила у компании Harman International подразделение, занимающееся разработкой QNX для разработки планшетного компьютера PlayBook. Стоимость этой сделки не разглашается. Но оценить стоимость QNX Software Systems можно, изучив открытые финансовые показатели публичной компании RIM. Во всяком случае, сейчас, на волне подорожания нефти покупка кодов QNX была бы хорошей сделкой для России.

8. От чего лечиться?

В середине 1990-х после появления операционной системы Windows NT началась массовая миграция SCADA систем на эту платформу, а проекты под другими ОС (UNIX, OS/2, QNX) стали закрываться. Предлагая Windows-SCADA, вендоры обещали избавить инженеров, создающих прикладные системы, от «головной боли» при подключении SCADA к корпоративным системам управления (АСУ), работающими также на MS-Windows. Теперь, когда рынок практически монополизирован Windows-SCADA, прикладные инженеры от этого недомогания практически избавлены. Однако, инженеры, ответственные за эксплуатацию Windows-SCADA, теперь часто рискуют заболеть гораздо более серьезными болезнями. Это могут быть такие болезни психики, как мания преследования, психоз и даже паранойя. Во всяком случае, когда система перестает работать, или стала работать «через раз», а антивирусы ничего поймать не могут, легко впасть в депрессию. Факт состоит в том, что целый год (!) Stuxnet распространялся незамеченным.

Избавиться от постоянного напряжения из-за возможной очередной атаки на Windows-компьютеры, не избавившись от Windows, практически невозможно. Как заметили по этому поводу специалисты ESET, «какие еще уязвимости хранятся в операционных системах Windows, никто не знает.» [2, с.25].


Ссылки

1. Nicolas Falliere, Liam O Murchu, and Eric Chien (Symantec), W32.Stuxnet Dossier, V1.4 (Feb 2011),
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

2. Aleksandr Matrosov, Eugene Rodionov, David Harley, Juraj Malcho (ESET), Stuxnet Under the Microscope, Revision 1.1 (September 2010),
http://eset.ru/.company/.viruslab/analytics/doc/Stuxnet_Under_the_Microscope.pdf

3. Анализ кода Stuxnet, Сокращенный перевод на русский язык W.Stuxnet Dossier, Науцилус,(Март 2011),
http://www.phocus-scada.com/rus/pub/Stuxnet-CodeAnalys-rus.pdf

4. David E. Sanger, Iran Fights Malware Attacking Computers, New York Times, Sept 25, 2010

5. John Markoff and David E. Sanger, In a Computer Worm, a Possible Biblical Clue, New York Times, Sept 29, 2010

6. Ralph Langner, Stuxnet logbook, Oct 1 2010, 1100 hours MESZ,
http://www.langner.com/en/2010/10/01/stuxnet-logbook-oct-1-2010-1100-hours-mesz

7. Agora SCADA+ Pack, GLEG,
http://www.gleg.net/agora_scada.shtml

8. Luigi Auriemma, Vulnerabilities in some SCADA server softwares, 21 Mar 2011,
http://seclists.org/bugtraq/2011/Mar/187

9. Siemens, SIMATIC WinCC / SIMATIC PCS 7: Information about Malware / Viruses / Trojan horses
http://support.automation.siemens.com/WW/view/en/43876783

10. Китай: в стране жертвой Stuxnet стали около 1000 предприятий, cybersecurity.ru, 1.10.2010,
http://www.cybersecurity.ru/crypto/104229.html

11. 2/3 энергетических компаний под угрозой Stuxnet-подобных атак, Xakep, 8.04.2011,
http://www.xakep.ru/post/55343

12. Ответ на Stuxnet: иранский Windows, mignews.com, 29.09.2010,
http://www.mignews.com/news/technology/world/290910_232437_27784.html

13. Компания QNX анонсировала первую ОС реального времени, обеспечивающую соблюдение требований в области функциональной и информационной безопасности, Новости мира QNX, 15.03.2011,
http://www.swd.ru/index.php3?pid=258&nid=894

14. Защищённая операционная система реального времени QNX (изделие КПДА.00002-01),
http://www.kpda.ru/Solutions/KPDA