Сетевое издание
Международный студенческий научный вестник
ISSN 2409-529X

1
1 Bashkir State University

Введение

В мае 2014 года компания Symantec – являющаяся пионером в создании антивирусных продуктов – публично признала обреченность антивирусных решений. Согласно Symantec, более 55% угроз невозможно обнаружить с помощью стандартного антивируса [6]. В связи с этим индустрия IT-безопасности начинает поиски новых способов обнаружения вредоносного программного обеспечения.

Целью данного исследования является изучение возможностей технологии, разработанной компанией Power Fingerprinting Cybersecurity, а также тенденций в области развития хакерских атак и развития систем защиты информации. В ходе данного исследования производился анализ и синтез материалов российских и зарубежных Интернет-источников.

Чтобы распознать компьютерный вирус антивирусным программам необходимо заранее задать критерии поиска и распознавания следов активности вредоносной программы на компьютере. Задать такие критерии для обнаружения угрозы, связанной с внедрением в работу аппаратного обеспечения, до недавнего времени было практически невозможно. В 2013 году способ обнаружения подобных угроз был представлен стартап-компанией Power Fingerprinting Cybersecurity, а критерием обнаружения были результаты анализа показателей энергопотребления системы.

Для обнаружения вредоносной программы стартап использует выявление отклонений в показателях потребления электроэнергии, вместо стандартных методов определения вирусной активности (сигнатурное сканирование, эвристический анализ и т.д.). Новый метод обнаружения направлен на выявление кибератак на автоматизированные системы управления технологическими процессами (АСУ ТП) предприятий энергетической и обрабатывающей промышленности. Представленная технология успешно обнаружила вирус Stuxnet в экспериментальной модели локальной вычислительной сети прежде, чем вредоносная программа начала свою активность [3].

Stuxnet – компьютерный червь, поражающий компьютеры на базе операционной системы Microsoft Windows. Stuxnet был обнаружен в июне 2010 года не только на компьютерах домашних пользователей, но и в системах промышленных предприятий, которые управляются автоматизированными производственными процессами.

Stuxnet стал первым компьютерным червем, который способен перехватывать и модифицировать поток данных между программируемыми логическими контроллерами марки SIMATIC S7 и рабочими станциями SCADA-системы SIMATIC WinCC фирмы Siemens. Эта программа может использоваться злоумышленниками для несанкционированного сбора данных и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и пр. Червь использует 4 известные уязвимости системы Microsoft Windows, в том числе уязвимость «нулевого дня», которая распространяется при использовании USB-flash накопителей [4].

В эксперименте, проведенном компанией для демонстрации возможностей собственной разработки, в качестве объекта атаки был использован программируемый логический контроллер (ПЛК) Siemens S7-1200. Показатели потребления энергии снимались с помощью ближнеполевых датчиков, а осциллограмма протекающих процессов выводилась на экран коммерческого осциллоскопа. Весь процесс отслеживался с помощью рабочей станции, на которой было установлено PFP (англ. power fingerprinting – дактилоскопия электрических процессов) анализирующее ПО. Чтобы воссоздать модель АСУ ТП предприятия был использован макет, представляющий из себя резервуар для воды с установленными в нём датчиками, насосом и панелью управления оператора. ПЛК активирует насос, чтобы заполнить резервуар. Когда резервуар наполнен, котроллер отключает насос. Статус процесса отображается на панели управления оператора. Наконец PFP анализирующее программное обеспечение отслеживает показатели потребления электроэнергии, чтобы удостовериться в целостности процесса.

Для атаки было использовано ПО, использующее те же подходы, что и компьютерный червь Stuxnet. Оно модифицирует процессы обработки информации в ПЛК, но таким способом, чтобы оператор ничего не заподозрил. Цель атаки заключалась в переполнении резервуара с водой, что могло привести к потенциальной опасности разлива воды. Это позволяет наглядно представить атаку вредоносной программы на АСУ шлюзами гидроузла, которая может спровоцировать аварийный сброс воды крупного водохранилища.

Во время своей работы Stuxnet отдает команды ПЛК игнорировать показания датчиков о переполнении резервуара и продолжать набор воды, при этом червь скрывает активность насоса и показатель заполненности резервуара от панели оператора. PFP анализирующее ПО сравнивает информацию о частоте электрического тока и его мощности, потребляемыми каждым устройством с базисными показателями на этих устройствах. Базисные показатели измеряются во время выполнения системой санкционированных действий. Любые изменения в показателях потребления энергии могут свидетельствовать о сбое в программном или аппаратном обеспечении или о функционировании вредоносной программы. В случае обнаружения подобных аномалий соответствующее сообщение передается оператору АСУ ТП, который принимает решение о расследовании инцидента.

Отличительной особенностью данного метода является то, что этот метод позволяет также обнаружить скрытое присутствие Stuxnet в системе. Так как червь при невозможности навязать свои условия запуска процесса переходит в «спящее» состояние. В таком состоянии червь демонстрирует поведение, идентичное незараженной системе и вмешивается в процесс, запущенный самой АСУ ТП. Такое поведение крайне сложно распознать, используя традиционные методы обнаружения, так как при этом отсутствуют такие показатели как подозрительный сетевой трафик.

Технология также успешно проявила себя в обнаружении вредоносного ПО в системах на базе управления ОС Android, выявив отклонения показателей потребления энергии, вследствие атаки под названием «RageAgainstTheCage». Вредоносное ПО получает доступ к root-правам управления устройством, обеспечивая себе полный контроль над ним [7].

Система, разработанная Power Fingerprinting Cybersecurity, будет реализовываться в следующей комплектации:

1. Ближнеполевой датчик, позволяющий снять показания протекания электрического тока в диэлектрических и полупроводниковых структурах и получить карту распределения диэлектрической проницаемости для выявления мелких дефектов и неоднородностей [2].

2. Устройство для преобразования аналогового частотного сигнала в цифровой и вывода графика колебаний на экран монитора (осциллоскоп).

3. P2Scan – PFP анализирующее ПО, которое непрерывно анализирует сигнал и сравнивает его с базисными показателями [5].

Ближнеполевой датчик не использует разъёмы устройства для своей работы. Для снятия показаний используется антенна, представляющая из себя петлю коаксиального кабеля. P2Scan не требует установки непосредственно в систему, а функционирует на отдельной рабочей станции. Благодаря этому присутствие подобной технологии в системе невозможно обнаружить при удаленном взломе.

Стартап создан при финансировании научно-исследовательского подразделения американской армии DARPA, а также при участии министерства внутренней безопасности США. По идее авторов, эту технологию планируется внедрить в автоматизированных системах управления, а именно, в программируемых логических контроллерах и других устройствах [1]. Это позволит избежать необходимости приобретать программное и аппаратное обеспечение дополнительно для внедрения данной технологии в систему защиты информации предприятия.

Таким образом, результатом данного исследования является сформировавшееся понятие о концепции технологии обнаружения вредоносных программ на основе анализа показателей потребления электроэнергии, а также о развитии угроз компьютерной безопасности и средств противодействия им.

Заключение

Хакерские атаки на объекты критической инфраструктуры государственного значения могут иметь катастрофические последствия для национальной безопасности. Существующие технологии обеспечения информационной безопасности предприятия основываются на методах устранения известных или выявленных непосредственно в ходе атаки уязвимостей, обеспечении информационной безопасности периферии АСУ (межсетевые экраны, контроль доступа, физическая изоляция компьютеров), анализе сетевого трафика и поиске вирусных сигнатур. Однако с развитием информационных технологий разрабатываются новые способы несанкционированного воздействия на информационные системы, способные обходить названные методы обеспечения информационной безопасности. Именно поэтому открытие PFP технологии является новой ступенью в истории развития систем информационной безопасности.