Помимо свидетельств некоего анонимного хакера, хотелось бы, конечно, услышать и мнение о проблеме со стороны какого-нибудь авторитетного эксперта, известного среди специалистов. Чтобы получить примерное представление о том, к чему сводится защита современных компьютерных систем промышленного управления, можно процитировать недавнюю запись из блога Ральфа Лангнера, знаменитого специалиста в этой области. Именно Лангнеру в своё время удалось первым разобраться с вредоносной «начинкой» червя Stuxnet.
В последних числах сентября этого года Лангнеру довелось принимать участие в одной из специализированных конференций, где выступал некто Марти Эдвардс — нынешний глава ICS-CERT, организации, которая в составе правительства США отвечает за компьютерную безопасность индустриальных систем управления. Суть доклада этого чиновника сводилась к представлению нового подхода их ведомства к тому, как теперь надо смотреть на уязвимости систем — путём исключения всего, что не выглядит как баг (дефект программы), который может быть исправлен поставщиком продукта.
Иными словами, поясняет Лангнер, отныне вы просто не увидите от ICS-CERT никаких рекомендаций или предупреждений относительно «особенностей» программ, которые потенциально можно использовать для атак. Такой подход, по свидетельству эксперта, самым радикальным образом — примерно на 90 процентов — сокращает число уязвимостей в области промышленных систем управления, поскольку подавляющее большинство тех «моментов» в безопасности, которые индустрия сегодня имеет (называть их «уязвимостями» уже не принято), — это не баги программирования, а конструктивные дефекты системы.
До того как разразились большие неприятности с выявлением вредоносной программы Stuxnet, уязвимостью официально именовали следующее: «Дефект или слабость в конструкции системы, в её реализации, функционировании или управлении, которые можно было бы использовать для нарушения политики безопасности системы».
Теперь, иронизирует Лангнер, всем нам стало жить намного безопаснее, потому что так много проблем вдруг просто взяли и исчезли. Остались только баги программирования. И если до недавнего времени безопасность промышленных систем управления была очень трудным делом, то теперь всё стало легко и просто. Для организации ICS-CERT.
Для всех остальных же, заключает с горечью Лангнер, это по-прежнему остается сложным, потому процессам ваших систем совершенно без разницы, что именно это было — баг или особенность, которую вредоносный код использовал для атаки.
Василий Щепетнёв: Периодическая система Станиславского
Василий Щепетнев
Опубликовано 06 декабря 2011 года
На днях посмотрел два фильма: The Thing from Another World, произведённый в тысяча девятьсот пятьдесят первом году, и The Thing, помеченный этим годом. Классический фильм восемьдесят второго от Карпентера пересматривать не стал — и так помню, равно как и литературную основу, повесть «Who Goes There?», написанную Джоном Кэмпбеллом-младшим ещё в тридцать восьмом году. Как раз тогда завершился знаменитый и сенсационный дрейф станции «Северный полюс», весь мир приветствовал героических советских полярников Кренкеля, Папанина, Фёдорова и Ширшова. У Кэмпбелла дело происходит тоже на научной полярной станции, только не на Северном полюсе, а на Южном, точнее — на Южном магнитном полюсе. И станция, понятно, американская. И если советские учёные в глубинах Ледовитого океана исследовали всякую мелочь вроде рачков, то американцы (а в последнем фильме — норвежцы) находят Большую Инопланетную Монструозию.
Рискну предположить, что повесть Кэмпбелла — это отчасти и сублимация, желание реванша, возможно, бессознательное. Воображаемый ответ реальным достижениям советских полярников. Так сегодня писатели-патриоты, не смиряясь с распадом СССР, пишут книги, в которых наши бравые сержанты-сверхсрочники крушат ненавистных пиндосов в горах, лесах и пустынях бывших советских республик.
Написал Кэмпбелл крепко. Рекомендуется читать вечером, можно в кругу друзей и близких: от этого будет только страшнее, что для жанра редкость.
Но вернусь к фильмам. Старый, пятьдесят первого года, выхолостил идею Кэмпбелла: в нём инопланетянин — просто трудноуничтожаемое существо, питающееся человечиной, и только. Фильм не лишён шарма, но смотришь его как бродвейскую постановку, из которой ясно, что мир — театр, а люди — актёры.