Скрытые угрозы зарубежного программного обеспечения

Анатолий МалюкЗав. кафедрой защиты информации НИЯУ «МИФИ», к.т.н., профессор, эксперт РСМД

В настоящее время в борьбе за сферы экономического и политического влияния акцент с открытого, в том числе военного, противостояния все заметнее смещается в сторону использования различных форм контроля и управления информационными ресурсами государств. Для достижения этих целей применяются высокоэффективное скрытое проникновение в программное обеспечение государственных информационных и управляющих систем, а также активно навязываемая всеми доступными средствами привязка к иностранным информационным технологиям. В результате информационная инфраструктура государства становится технологически зависимой даже от отдельной фирмы-производителя программного обеспечения.

Информационное воздействие как новый вид оружия

Ни одна организация-разработчик не гарантирует абсолютной надежности создаваемого программного продукта, фактически снимая с себя ответственность за последствия, к которым могут привести дефекты в программах.

Информационное воздействие может рассматриваться как новый вид оружия, которое в определенной степени более эффективно, чем традиционные виды вооружения и военной техники.

Россия обладает значительным военным и экономическим потенциалом и представляет серьезное препятствие для проводимой странами Запада, прежде всего США, политики экономической, культурной и военной экспансии. Поэтому она является объектом наиболее пристального внимания спецслужб иностранных государств, занимающихся вопросами информационного противоборства.

Современное программное обеспечение – очень сложный продукт. При его создании используются специальные программные средства разработки и системное программное обеспечение, объем и сложность которого могут на порядок превышать аналогичные характеристики прикладного программного обеспечения. В связи с этим верификация программного обеспечения представляет практически неразрешимую задачу. Именно поэтому ни одна организация-разработчик не гарантирует абсолютной надежности создаваемого программного продукта, фактически снимая с себя ответственность за последствия, к которым могут привести дефекты в программах.
 


Фото: В 2002 году парламент Голландии
принял решение о том, что все ИТ-системы
в государственном секторе должны
использовать открытые стандарты


Особую сложность представляет обнаружение дефектов, которые могут преднамеренно вноситься на этапе создания программных продуктов. Прогрессирующая в России тенденция импорта зарубежных программных средств и информационных технологий приводит к увеличению возможного импорта программных дефектов. При этом резко возрастает вероятность поражения важнейших информационных систем России информационным оружием уже на этапе их разработки.

Недостатки и отставание в создании информационных технологий, в разработке нормативно-методической базы контроля безопасности программного обеспечения многократно обостряют проблему информационной безопасности России. Поэтому основой безопасных информационных технологий должны стать отечественные системные и инструментальные программные средства (операционные системы, компиляторы, отладчики, кроссассемблеры и т.д.), обеспечивающие эффективную разработку прикладного программного обеспечения.

Свободное программное обеспечения для государственных органов

Согласно идее специальной правительственной программы почти все государственные органы к 2015 году должны перейти на так называемое свободное программное обеспечение (ПО). Подсчитано, что ежегодно госорганы тратят около 15 млрд рублей на покупку лицензий для использования зарубежных компьютерных программ. Эти немалые суммы утекают за рубеж, подпитывая иностранных производителей софта. Логично было бы перенаправить средства на покупку отечественного программного обеспечения и развивать таким образом всю российскую ИТ-индустрию.

Многие страны уже приняли на государственном уровне программу внедрения «открытых» компьютерных программ, прежде всего в своих госорганах. В результате, например, в Нидерландах сейчас около половины всех госучреждений работают на альтернативном программном обеспечении, а в Германии с помощью такого программного обеспечения оказывается треть всех государственных услуг населению.

Обеспечение безопасности программных средств

Проблема информационной безопасности имеет два аспекта: технологический и эксплуатационный.
Технологическая безопасность подразумевает отсутствие в программном обеспечении злоумышленных программных дефектов диверсионного типа.
 


Фото: www.histomil.com
Колонна иракской бронетехники,
уничтоженная во время авиаудара после
блокировки системы ПВО Ирака


Эксплуатационная безопасность характеризует защищенность информации от несанкционированного доступа и несанкционированных действий с ней. При этом очевидно, что одними только мероприятиями по защите информации и информационных систем от несанкционированного доступа нельзя обеспечить ее безопасность. При всей их эффективности они не исключают ситуации, когда защищенные информационные системы содержат в своем составе программное обеспечение, имеющее программные закладки, т.е. специально внесенные дефекты либо блоки, реализующие так называемые недекларированные возможности. Эти блоки могут быть направлены на решение задач, выходящих за рамки данного программного средства (например, сбор персональной информации, данных о выполняемых прикладных программах и т.п.). Более того, программные средства защиты также могут содержать программные закладки.

Анализ вероятных последствий применения программных закладок показывает, что в случае систем управления военного назначения речь может идти о блокировании возможности применения системы оружия определенного класса или информационной системы оборонного характера. В других случаях – о блокировании передачи, утечке или модификации (вплоть до уничтожения) информации в информационно-телекоммуникационных системах государственного управления, утечке или модификации (уничтожении) финансовой или банковской информации, нарушении функционирования экологически опасных производств, в первую очередь связанных с атомной энергетикой. Фактически это означает, что Россия, обладающая мощным оружием сдерживания потенциального агрессора, может оказаться безоружной и будет поставлена на грань экологической или финансовой катастрофы.

Примеры действия программных закладок

Самым ярким примером действия программной закладки является военный конфликт в Персидском заливе. Тогда при проведении операции «Буря в пустыне» система ПВО Ирака оказалась заблокированной по неизвестной причине. Несмотря на отсутствие исчерпывающей информации, высказывалось предположение, что ЭВМ, входящие в состав комплекса технических средств системы ПВО, закупленные Ираком у Франции, содержали специальные управляемые электронные закладки, блокировавшие работу вычислительной системы.

Периодически эксперты обнаруживают недокументированные возможности в ПО для аппаратных комплексов. Например, в информационном бюллетене Computer Emergency Response Team объявлено о существовании программной закладки (backdoor) в операционной системе AOS (Alcatel Operating System) версии 5.1.1, применяемой для управления коммутаторами Alcatel OmniSwitch 7700/7800. Эта закладка запускает telnet-сервис, что позволяет удаленному злоумышленнику неавторизованно управлять коммутатором.

Есть случаи, когда уволенный программист похитил данные через оставленный собой же «черный ход» (backdoor) в программе.

8 октября 2012 г. РИА Новости со ссылкой на Ассошиэйтед Пресс сообщило, что комитет по разведке при Палате представителей США рекомендует частным американским компаниям воздержаться от любых деловых контактов с Huawei и ZTE, а властям США - отказаться от использования продукции этих производителей.

В ноябре прошлого года агентство Bloomberg сообщало о намерении властей США проверить деятельность Huawei и ZTE на наличие в продукции, поставляемой ими на территорию Соединенных Штатов, инструментов для шпионажа в пользу Китая.

Используемые в этих сферах автоматические и автоматизированные системы, от расчетного функционирования которых зависит безопасность России, мы будем называть системами критических приложений. Обеспечение безопасности таких систем требует, в первую очередь, создания и внедрения перспективных автоматических и автоматизированных систем обработки информации. При этом повышение требований к средствам управления в критических сферах, постоянное расширение круга решаемых ими задач приводят к возрастанию удельного веса программного обеспечения в автоматических и автоматизированных системах управления. Это, в свою очередь, повышает требования к безопасности программного обеспечения, а, следовательно, и к безопасности используемых при его разработке и эксплуатации информационных технологий.

Недостатки и отставание в создании информационных технологий, в разработке нормативно-методической базы контроля безопасности программного обеспечения многократно обостряют проблему информационной безопасности России.

Таким образом, ключевым элементом безопасного функционирования рассматриваемых критических сфер является безопасность информационных технологий, используемых при разработке программного обеспечения систем критических приложений.

Под безопасностью информационных технологий понимается их способность к парированию (нейтрализации) или недопущению воздействий внешних и внутренних угроз безопасности информации, таких как:
•    внедрение злоумышленных программных закладок, нарушающих расчетное функционирование систем;
•    несанкционированный доступ к информации с целью ее модификации или уничтожения либо получения лицом, для которого данная информация не предназначена, с помощью специальных программных закладок, которые позволяют нейтрализовать механизмы защиты информации и информационных систем.
С учетом сказанного можно утверждать, что злоумышленные программные дефекты – самая опасная разновидность информационного оружия, а проблема обеспечения технологической безопасности систем критических приложений является наиболее актуальной.

Как исправить положение?
 


Фото: x-technologies.com

Какова должна быть программа действий, направленных на противодействие сложившейся тенденции? Прежде всего, это – стимулирование работ по созданию и внедрению безопасных информационных технологий в процесс производства программного обеспечения систем критических приложений, концентрация усилий научно-исследовательских, образовательных учреждений и организаций, коммерческих структур на проведении соответствующих исследований и инновационной деятельности.

С учетом существующего и предполагаемого экономического состояния общества, а также особенностей рассматриваемой проблемы целесообразно выделить два этапа ее решения.
Цель первого этапа – разработка теории информационной безопасности, основ безопасных информационных технологий, а также разработка и реализация первоочередных мероприятий по повышению информационной безопасности систем критических приложений.

Для достижения этой цели необходимо решить следующие задачи:
•    разработать концепцию обеспечения технологической безопасности программных средств и методологию задания и контроля выполнения требований безопасности;
•    разработать предложения по составу и содержанию нормативной, правовой и законодательной базы обеспечения технологической безопасности программных средств;
•    разработать предложения по структуре системы контроля технологической безопасности программного обеспечения систем критических приложений и организационно-штатным мероприятиям, направленным на их реализацию.

Цель второго этапа – использование отечественного научно-образовательного потенциала для создания полномасштабной системы контроля и обеспечения технологической безопасности программного обеспечения, используемого в системах критических приложений.

Для достижения этой цели необходимо решить следующие задачи:
•    разработать предложения по принятию конкретных законодательных актов, направленных на обеспечение технологической безопасности программного обеспечения;
•    обеспечить создание системы независимых центров контроля безопасности программного обеспечения;
•    организовать подготовку, повышение квалификации и переподготовку кадров по безопасным информационным технологиям и обеспечению контроля безопасности программных средств;
•    разработать систему мероприятий по постоянному совершенствованию безопасных информационных технологий и методологическому обеспечению контроля технологической безопасности программных средств.

Политика создания безопасного программного обеспечения

В основу реализации политики в области создания информационных технологий для систем критических приложений должны быть положены следующие принципы:
•    государственное бюджетное финансирование фундаментально-поисковых, научно-исследовательских и опытно-конструкторских работ по созданию и внедрению безопасных информационных технологий и их элементов на предприятиях-разработчиках программных средств с сохранением государственной собственности на разработанные технологии;
•    долевое финансирование за счет средств государственного бюджета, коммерческих и банковских структур, а также важнейших государственных корпораций научно-исследовательских и опытно-конструкторских работ по созданию и внедрению безопасных информационных технологий в кредитно-финансовую и банковскую сферы, на критически важных объектах промышленной и энергетической инфраструктуры государства;
•    выделение и государственная поддержка научных организаций и наукоемких промышленных предприятий, способных разработать промежуточный вариант безопасных информационных технологий и их элементов, с возможным оформлением их в качестве «ноу-хау» и коммерческим распространением как в России, так и за рубежом;
•    создание и государственная поддержка системы независимых центров контроля безопасности программных средств, не исключающая их коммерческой деятельности.
Итак, использование зарубежного программного обеспечения может представлять серьезную угрозу информационной безопасности России, особенно в случае его применения для систем критических приложений. Существующая система аттестации и сертификации импортных программных продуктов не может дать стопроцентной гарантии отсутствия в них программных закладок.

В этих условиях необходимо усилить внимание государства к работам по созданию отечественного системного программного обеспечения, вплоть до возможного принятия специальной федеральной программы с соответствующим бюджетным финансированием.