Об уязвимости систем безопасности МО, ФСБ, ФСИН, АЭС, метро и федеральных автодорог

Aug 04, 2015 22:00



Все помнят историю, как один видеоролик послужил детонатором серии международных скандалов.
Хакеры уже взломали ракетную установку (в учебных целях ), систему ПВО и нефтяную компанию, а хакеры, порабощенные американскими спецслужбами, отключили интернет в Сирии и покопались в Иранской атомной программе.

По данным исследования, даже школьник даже неопытный хакер может взломать 8 из 10 крупных компаний. Под катом список еще не созданных, но потенциально уязвимых проектов для Министерства Обороны, ФСБ, ФСИН, АЭС, метрополитена и федеральных автодорог.

Короче, качаем Shodan и тренируемся тестировать госсистемы на прочность (в учебных целях, естественно, и заблаговременно уведомив необходимых лиц).

Системы, обеспечивающие безопасность критической инфраструктуры (например, категорированные объекты ТЭК, транспорта и стадионы), а так же объекты специального назначения силовых ведомств, не должны использовать системное ПО иностранной разработки с закрытым кодом.

Основные проблемы с иностранным закрытым ПО:

1. Наличие недокументированных возможностей (НДВ). Правительство США имеет специальные средства для доступа.

Какие ваши доказательства?
1.1. Невозможность глубокой проверки и государственной сертификации решения на отсутствие недокументированных возможностей и защиты от несанкционированного доступа к информации.

немного про требования к уровню контроля, уровни секретности и нормативы
2. Зависимость от иностранного поставщика
2.1. Возможность ограничения поставки из-за санкций

пример
2.2. Дополнительные значительные затраты помимо первоначального приобретения лицензий на ПО на обновление и сервис, а так же из-за скачка курса доллара.
2.3. Изменение условий использования в одностороннем порядке, например, скачивание обновлений без ведома пользователя.

Пример
3. Дыры

неужели вы используете JAVA в системах безопасности?
Некоторые ведомства, такие как МО, МВД, ФСИН и т.п. декларируют, что их системы не имеют прямого выхода в Интернет. При этом возникает угроза появление новых уязвимостей при обновлении системного ПО или установки драйвера принтера. Стоит так же иметь ввиду человеческий фактор: часто пользователи втихаря от начальства устанавливают игры и USB-модемы для доступа в Интернет.

Знакомый моего знакомого подсказал, что «в США есть директива о категорическом запрете на использование ПО в государственных органах (особенно Госдепе), которое разработано за пределами стран-членов НАТО.» Из-за этого у знакомого сорвался крупный контракт.
Понятное дело, что пока динозавру отгрызли хвост, сигнал по реликтовой нервной системе идет долго, но, возможно, пора бы ввести симметричный ответ.

Что мы имеем в реальности?

Уязвимости корпоративной инфраструктуры

Статистика уязвимостей корпоративных информационных систем (2013 год). Positive Technologies

Промышленные системы управления

Всего в рамках исследования выявлена 691 уязвимость в компонентах АСУ ТП. Заметен резкий рост после 2009 года: за три следующих года (2010-2012) число обнаруженных уязвимостей АСУ ТП выросло в 20 раз (c 9 до 192). После этого среднегодовое количество выявляемых уязвимостей стабилизировалось (181 в 2014 году).
Исследование: уязвимости промышленных систем управления в 2014 году
Красноярскому краю (закупка №0319100023215000049 ). Используется Windows.
Стоимость 1 363 119 рублей.

Поставка аппаратуры для систем видеонаблюдения для нужд федерального казенного учреждения «Исправительная колония № 1 Управления Федеральной службы исполнения наказаний по Костромской области». (Закупка №0341100008615000244). Используется Windows.
Стоимость 374 081 рублей.



Выполнение комплекса работ (разработка рабочей документации, строительно-монтажные работы, пуско-наладочные работы) по внедрению системы видеонаблюдения для Смоленской АЭС. Используется иностранное ПО «CMS» и Используется Windows.


Модернизация системы видеонаблюдения на Малой спортивной арене для нужд АО «Лужники» (закупка № 31502412367). Используется Windows и система видеонаблюдения компании Milestone, Дания.
Стоимость 12 000 000 рублей.


Выполнение строительно-монтажных и пуско-наладочных работ по оснащению системой единой цифровой радиосвязи объектов транспортной инфраструктуры и постов управления транспортной безопасностью Линии 1, Линии 2 и электродепо «Северное» ГУП «Петербургский метрополитен» в рамках реализации Комплексной программы обеспечения безопасности населения на транспорте для нужд Санкт-Петербурга (закупка №0172200002514000087). Используется Windows.
Стоимость 197 106 801 рублей.



Выполнение работ по устройству инженерно-технических систем обеспечения транспортной безопасности наиболее уязвимых объектах транспортной инфраструктуры на автомобильной дороге М-29 «Кавказ» (закупка №0318100043415000069). Используется Windows.
Стоимость 139 164 194 рублей.



Открытый конкурс на право заключения Договора на выполнение работ по устройству инженерно-технических систем обеспечения безопасности на наиболее уязвимых объектах транспортной инфраструктуры на автомобильной дороге Государственной компании «Автодор» М-4 «Дон» - от Москвы через Воронеж, Ростов-на-Дону, Краснодар до Новороссийска «Мост через реку Дон км 1061+569 (левый, правый)» (№31502313606). Используется Windows.

Сравнительная таблица систем безопасности отечественной разработки

Товарный знак

Разработчик

Серверная ОС

Клиентская ОС

Веб-интерфейс

Ссылки на ПО / источник

AxxonNext
ITV
Windows
Windows
JAVA
источник

Domination
Випакс
Linux
Windows
HTML
источник

Macroscop
Macroscop
Windows
Windows
HTML
источник

Orwell 2k
«ЭЛВИС-НеоТек
(РОСНАНО)»
Windows
Windows
нет
источник

SecurOS
ISS
Windows
Windows
JAVA
источник

TRASSIR
DSSL
Linux
Windows, MacOS
нет
источник

Интеллект
ITV
Windows
Windows
JAVA
источник

Синергет
Стилсофт
Windows
Windows
нет
источник

Смотритель
Синезис
Linux
Linux, Windows
HTML
источник

ТОБОЛ-ТВ
«Элерон
(Росатом)»
JAVA
JAVA
нет
источник

(.........................)

инфовойна, компьютеры, софт, безопасность

Previous post Next post
Up