Russian
Anti-Virus Firm Plans Secure Operating System to Combat Stuxnet
By Kim ZetterEmail
Author, 10.16.12
Bài được đưa lên
Internet ngày: 16/10/2012
Lời
người dịch: Bạn hãy đọc kỹ bài này và có thể sẽ
nhận ra rằng: khi mà Kaspersky Lab, một hãng an ninh của
Nga muốn làm một hệ điều hành được cắt gọt bớt
chỉ để phục vụ cho mục đích an ninh chống lại các
cuộc tấn công như Stuxnet vào các cơ sở hạ tầng sống
còn - nơi có các hệ thống thu thập dữ liệu và kiểm
soát giám sát SCADA (Supervisory Control And Data Acquisition
systems), thì ngay lập tức nổi lên những phân tích nghi
ngờ rằng nó sẽ không được các công ty nằm ngoài nước
Nga tin cậy vì sợ có thể bên trong đó có cấy các cửa
hậu và sẽ giúp chỉ ra cho chính phủ Nga để tấn công
vào các nước khác. Bạn hãy lấy chính cái logic đó và
hỏi ngược lại, vì sao mọi người lại phải tin vào
một hệ điều hành Windows nguồn đóng của một công ty
Mỹ khi nó hoàn toàn có thể đã, chứ không phải sẽ,
làm một việc tương tự như thế rồi như khi sử dụng
Stuxnet với Iran, với sự trợ giúp của Siemens???
Hãng chống virus của
Nga Kaspersky Lab đã công bố hôm thứ ba rằng hãng có kế
hoạch phát triển một hệ điều hành an ninh để bảo vệ
các hệ thống hạ tầng sống còn khỏi các cuộc tấn
công trực tuyến.
Kaspersky hy vọng phát
triển một hệ điều hành được cắt gọt bớt có khả
năng ít bị tổn thương hơn đối với các cuộc tấn
công từ các chương trình độc hại như Stuxnet - một vũ
khí không gian mạng được phát hiện trong năm 2010, nó
được thiết kế để nhằm vào các hệ thống công
nghiệp kiểm soát chương trình hạt nhân của Iran.
“Ngày nay đang không
tồn tại cả các hệ điều hành lần các phần mềm có
khả năng được áp dụng trong các môi trường công
nghiệp/hạ tầng mà các dữ liệu được sản sỉnh ra
của chúng trong các tiến trình có thể được tin cậy
một cách hoàn toàn”, người sáng lập hãng này, Eugene
Kaspersky viết trên blog của ông. “Và điều này không để
lại cho chúng ta cơ hội nào khác hơn là phải tự chúng
ta bắt đầu phát triển thứ gì đó mới”.
Nhiều ứng dụng hệ
thống kiểm soát công nghiệp - như các hệ thống kiểm
soát phân tán DCS (Distributed Control System) và các hệ thống
thu thập dữ liệu và kiểm soát giám sát SCADA (Supervisory
Control And Data Acquisition systems) - hiện nay đang vận hành
trên đỉnh của hệ điều hành Windows hoặc trong các
phiên bản Linux, chúng là những hệ điều hành có chứa
nhiều tính năng không cần thiết cho việc chạy các hệ
thống kiểm soát công nghiệp.
Các hệ thống kiểm
soát công nghiệp được sử dụng trong một dải rộng
lớn các cơ sở sống còn, bao gồm các nhà máy hóa chất,
các nhà máy xử lý nước và các cơ sở điện lực, cũng
như trong các thiết lập cấu hình nhà xưởng để kiểm
soát các dây chuyền và các thành phần pha trộn trong các
cơ sở sản xuất thực phẩm. Việc sử dụng các hệ
điều hành mục đích chung trong các thiết lập công
nghiệp giống như vậy mở chúng ra cho cùng các dạng khả
năng bị tổn thương mà những người sử dụng máy tính
thông thường đối mặt với các phần mềm độc hại.
Kaspersky đề xuất
tạo ra một hệ thống được khóa nhiều hơn, có chứa
chỉ những chức năng cơ bản nhất cần thiết để vận
hành các ứng dụng kiểm soát công nghiệp, vì thế giảm
thiểu được bề mặt tấn công đối với các phần mềm
độc hại để nhằm vào.
Russian
anti-virus firm Kaspersky Lab announced Tuesday that it plans to
develop a secure operating system to protect critical infrastructure
systems from online attacks.
Kaspersky
hopes to develop a pared-down operating system that would be less
vulnerable to attack from malicious programs like Stuxnet – a
cyberweapon discovered in 2010 that was designed to target industrial
systems that control Iran’s nuclear program.
“Today
there exists neither operating systems nor software that could be
applied in industrial/infrastructural environments whose produced
data on processes could be fully trusted,” wrote
company founder Eugene Kaspersky in a blog post. “And this left
us with no other option than to begin developing something new
ourselves.”
Many
industrial control system applications — such as distributed
control systems (DCS) and supervisory control and data acquisition
systems (SCADA) — currently operate on top of the Windows operating
system or on versions of Linux, both of which are general operating
systems that contain many features that are unnecessary for running
industrial control systems.
Industrial
control systems are used in a wide variety of critical facilities,
including chemical plants, water treatment plants and electric
utilities, as well as in factory settings to control assembly lines
and to batch-mix ingredients in food production facilities. Using
general-purpose operating systems in industrial settings like these
opens them to the same kinds of vulnerabilities that general computer
users face from malware.
Kaspersky
proposes to create a more locked-down system that contains only the
most basic functionality necessary to operate industrial control
applications, thus reducing the attack surface for malware to target.
“Khi mà John McClane
không giải quyết được vấn đề của các hệ thống
công nghiệp bị tổn thương, … nó đi tới KL để cứu
rỗi thế giới, thật là tự nhiên!” Kaspersky đã viết,
tham chiếu tới nhân vật viễn tưởng mà nghệ sỹ Bruce
Willis đã đóng trong phim Sống Tự do hoặc Chết Đau
đớn.
Nhưng theo một chuyên
gia an ninh máy tính, thì Kaspersky có khả năng không đáp
ứng được với rất nhiều người tiếp nhận cho một
hệ thống như vậy.
“Đây
là một nỗ lực rất có tham vọng, và tôi nghĩ nó còn
lâu mới thành công bất kỳ ở đâu ngoài nước Nga”,
Dale Peterson, CEO và là nhà sáng lập ra Digital Bond, một
hãng chuyên trong an ninh hệ thống kiểm soát công nghiệp,
nói. “Tôi nghĩ rằng tỷ lệ cược của
nó thực sự thành công trong việc thay đổi bất cứ điều
gì trong thị trường ICS là rất nhỏ”.
Peterson nói đây là
một lĩnh vực thông minh và hợp pháp cho một quốc gia
muốn phát triển một hệ thống an ninh cho hạ tầng sống
còn bên trong các đường biên giới của nó, nhưng bên
ngoài nước Nga, công ty có thể đối mặt với những vấn
đề tin cậy xung quan an ninh của chuỗi cung ứng.
“Bạn không biết
liệu họ có được sự đầu tư từ chính phủ Nga để
làm điều này hay không”, ông nói.
Dù Kaspersky Lab là một
công ty độc lập, thì Eugene Kaspersky đã được giáo dục
trong tuổi thơ của ông tại Viện Mật mã, Viễn thông và
Khoa học máy tính, một cơ sở được KGB của Nga bảo
trợ. Ông cũng đã phục vụ trong một giai đoạn như một
sỹ quan tình báo trong quân đội Liên Xô.
Vào thời điểm khi
những mối lo về các cửa hậu trong thiết bị viễn
thông Trung Quốc đước nhắc từ một báo cáo từ của
Quốc hội về tiềm năng đối với chính phủ Trung Quốc
làm gián điệp về viễn thông, các công ty ngắm coi một
hệ điều hành của Kaspersky có thể có quan tâm rằng nó
có thể có những cửa hậu trong đó, ví dụ thế, hoặc
là chính phủ Nga được trao sự truy cập tới mã nguồn
để thấy các chỗ bị tổn thương trong nó để tấn
công.
Một người phát ngôn
của Kaspersky Lab đã nói với Wired rằng công ty đang không
nhận được sự cấp vốn của chính phủ Nga cho dự án
này.
“Since
John McClane isn’t around to solve the problem of vulnerable
industrial systems, … it comes down to KL to save the world,
naturally!” Kaspersky wrote, referring to the fictional character
that actor Bruce Willis played in the film Live
Free or Die Hard.
But
according to one computer security expert, Kaspersky isn’t likely
to meet with very many takers for such a system.
“It’s
a very ambitious effort, and I think it has a long shot of succeeding
anywhere outside of Russia,” says Dale Peterson, CEO and founder of
Digital Bond, a firm that
specializes in industrial control system security. “I think the
odds of it actually succeeding in changing anything in the ICS market
is very small.”
Peterson
says it’s a smart and legitimate endeavor for a country to want to
develop a security system for critical infrastructure inside its
borders, but outside of Russia, the company would face trust issues
around the security of the supply chain.
“You
don’t know if they’re getting funding from the Russian government
for doing this,” he says.
Although
Kaspersky Lab is an independent company, Eugene Kaspersky was
educated in his teens at the Institute of Cryptography,
Telecommunications, and Computer Science, a facility backed by
Russia’s KGB. He also served for a period as an intelligence
officer in the Soviet military.
At
a time when concerns about backdoors
in Chinese telecommunications equipment have prompted a report
from Congress about the potential for the Chinese government to spy
on communications, companies contemplating a Kaspersky operating
system might be concerned that it could have backdoors in it, for
example, or that the Russian government was given access to the
source code to find vulnerabilities in it to attack.
A
Kaspersky Lab spokesman told Wired that the company is receiving no
Russian government funding for the project.
But
aside from the potential for Russian-government involvement, Peterson
says Kaspersky would likely face an uphill battle in convincing
industrial control system vendors like Siemens and Rockwell to revamp
their applications to run on a Kaspersky operating system.
Kaspersky
didn’t provide details about the planned operating system, but said
in his blog post Tuesday that for such an operating system to succeed
and provide a guarantee of security, “it must contain no mistakes
or vulnerabilities whatsoever in the kernel,” and “must be 100
percent verified as not permitting vulnerabilities or dual-purpose
code” and would need to “provide the full range of the very
latest principles of security.”
Although
the operating system is only in the initial planning stages,
Kaspersky wrote that he was disclosing the plan to address
rumors that have been circulating.
Ngoài tiềm năng đối
với sự liên can của chính phủ Nga, Peterson nói Kaspersky
có khả năng đối mặt với một cuộc chiến vất vả
trong việc thuyết phục các nhà cung cấp các hệ thống
kiểm soát công nghiệp như Siemens và Rockwell sửa lại các
ứng dụng của họ để chạy trên một hệ điều hành
của Kaspersky.
Kaspersky đã không đưa
ra các chi tiết về hệ điều hành được lên kế hoạch,
nhưng nói trong bài viết trên blog của ông hôm thứ ba
rằng đối với một hệ điều hành như vậy để thành
công và đưa ra một đảm bảo về an ninh, thì “nó phải
không có các lỗi lầm hoặc các chỗ bị tổn thương bất
kể là gì trong nhân”, và “phải 100% được kiểm tra
để không cho phép những chỗ bị tổn thương hoặc mã
nguồn với 2 mục đích” và có thể cần “cung cấp
toàn bộ dải đầy đủ các nguyên tắc an ninh rất mới
nhất”.
Dù hệ điều hành đó
chỉ đang trong các giai đoạn lên kế hoạch ban đầu, thì
Kaspersky đã viết rằng ông từng vạch ra kế hoạch để
giải quyết những tin đồn đang lan truyền.
Các tin đồn đang lan
truyền về những gì Kaspersky Lab từng lên kế hoạch cho
các hệ thống kiểm soát công nghiệp sau một câu chuyện
trên tạp chí Wired về người sáng lập đầy màu sắc
của công ty vào tháng 07 rằng công ty của ông từng làm
việc trong một “dự án bí mật” để “cứu thế
giới”, hoặc ít nhất bảo vệ các máy tính khỏi các
cuộc tấn công độc hại.
Trong một căn phòng
được khóa kín bên duwosi văn phòng của ông, Kaspesky đang
làm việc trong một dự án bí mật để làm thỏa mãn
tham vọng cao ngất đó. Thậm chí không trợ lý nào của
ông được phép vào trong. Nhưng sau khi chúng tôi đã bỏ
ra một ngày cùng nhau - và uống vài ly Chivas 12 - thì ông
mở khóa cửa và mởi tôi một lúc. Đây là một hệ
thống kiểm soát công nghiệp, một máy tính để vận
hành máy công nghiệp, giống hệt những gì mà Stuxnet đã
tấn công (và, các nhà nghiên cứu của Kaspersky tin tưởng,
Flame cũng có thể đã nhằm vào). Đội của Kaspersky đang
âm thầm làm việc trong các cách thức mới để tăng
cường cho các hệ thống đó chống lại các cuộc tấn
công không gian mạng - để bảo vệ các lưới điện và
nhà tù và các nhà máy nước dựa vào các trình kiểm
soát đó. Ý tưởng sẽ làm cho các Stuxnet trong tương lai
sẽ khó khăn hơn để kéo ra. Các trình kiểm soát đã
không được thiết kế kỹ thuật với an ninh trong đầu,
nên dự án là khó. Nhưng nếu nó thành công, thì tầm
nhìn dường như vượt cỡ của Kaspersky đối với vai trò
của công ty ông trên thế giới có thể sẽ trở thành
một chút ít kỳ dị.
Rumors
had been circulating about what Kaspersky Lab was planning for
industrial control systems after a Wired
magazine story about the company’s colorful founder revealed in
July that his company was working on a “secret project” to “save
the world,” or at least protect computers from malicious attacks.
In
a locked room down the hall from his office, Kaspersky is working on
a secret project to fulfill that lofty ambition. Not even his
assistant has been allowed inside. But after we’ve spent a day
together—and knocked back a few shots of Chivas 12—he unlocks the
door and offers me a peek. It’s an industrial control system, a
computer for operating heavy machinery, just like the ones that
Stuxnet attacked (and, Kaspersky researchers believe, Flame may also
have targeted). Kaspersky’s team is quietly working on new ways to
harden these systems against cyberattack—to protect the power grids
and prisons and sewage plants that rely on these controllers. The
idea is to make future Stuxnets harder to pull off. The controllers
haven’t been engineered with security in mind, so the project is
difficult. But if it succeeds, Kaspersky’s seemingly outsize vision
of his company’s role in the world might become a little less
outlandish.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.