ФСТЭК 2.0. Революция
Честно говоря, еще лет пять назад я даже представить не мог, что когда-нибудь буду писать про регуляторов. Мы были на разных, бесконечно далеких друг от друга полюсах, отделяющих «бумажную» и практическую безопасность. Но все течет и все изменяется.
Изначально я планировал назвать эту статью «Регуляторы», посвятив отдельный раздел ЦБ РФ и его практическим инициативам, которые увидели свет за последний год. В частности, речь идет о революционном для ЦБ практическом стандарте безопасности платежных приложений на всех этапах жизненного цикла, к которому нам довелось приложить руку, а также созданном 1 июня 2015 года в недрах ЦБ РФ FinCERT – центре реагирования на компьютерные инциденты. Однако, поразмыслив, я пришел к выводу, что эта тема достойна отдельной статьи. Плюс все-таки хотелось бы дождаться «применительной» практики и понять, как оба этих крайне важных и полезных в потенциале для банковской индустрии события повлияют на нее в дальнейшем. Поэтому из «Регуляторов» статья превратилась во «ФСТЭК 2.0. Революция». Почему только ФСТЭК и почему революция? Потому что второго, гораздо более закрытого регулятора, ФСБ, мы заведомо вынесем за рамки данной статьи. А самое главное, потому что за последние несколько лет именно ФСТЭК стала инициатором самой настоящей практической революции, коренным образом изменившей не только лицо службы, но и оказавшей серьезное влияние на информационную безопасность страны в целом.
С регуляторами вроде разобрались, но встала другая проблема – как бы случайно не сказать в этой статье чего-то лишнего, выходящего за рамки публично доступной информации. И я решил подойти предельно просто: буду ссылаться только на открытую информацию, полученную либо из публичных выступлений представителей ФСТЭК, либо из анализа открытых презентаций и общедоступных материалов ведомства.
ФСТЭК. Цели и задачи
Для начала небольшой ликбез, не претендующий на полноту: что же такое Федеральная служба технического и экспортного контроля России (бывшая Гостехкомиссия) и какие задачи возложены на нее государством? Все функции ФСТЭК можно подробно изучить на сайте, я же перечислю главное, на что стоит обратить внимание в нашем случае:
«ФСТЭК России является федеральным органом исполнительной власти, осуществляющим <…> специальные и контрольные функции в области государственной безопасности по вопросам:
• обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства <…>, в том числе функционирующих в составе критически важных объектов РФ информационных системах и телекоммуникационных сетях…
• противодействия иностранным техническим разведкам на территории РФ…»
Если все то же самое сказать простыми словами, то ФСТЭК России является исключительно оборонительным органом исполнительной власти, который призван обеспечивать ИБ в масштабах страны (некриптографическими методами) и бороться с деятельностью иностранных технических разведок (в частности, АНБ). Криптографические методы защиты – вотчина ФСБ.
Для нас главный вывод: ФСТЭК России по определению предназначена только для решения оборонительных задач в масштабах страны.
ФСТЭК 1.0
В начале 90-х в рамках тогдашней Гостехкомиссии была разработана система сертификации продуктов по классам защищенности, действующая до сих пор и, с моей точки зрения, не претерпевшая принципиальных изменений. То есть, конечно, изменения за эти почти 25 лет были, но принципиально не влияли на сам процесс сертификации. Да, появилась сертификация по ISO 15408, да, появились требования для решений разных типов, но сам принцип – проверить, реализует ли продукт заданные для данного класса защищенности функции и не обладает ли при этом так называемыми недекларированными возможностями (НДВ) – не изменился. Да, для начала 90-х годов, возможно, этого и было достаточно, но через 20 лет система сертификации практически полностью перестала отвечать современным реалиям, нуждаясь в серьезных реформах. Почему?
Во-первых, потому что мир изменился, и сильно. Само понятие «недекларированная возможность», или так называемая закладка (backdoor), безнадежно устарело. Сегодня ни один серьезный вендор не будет так откровенно подставляться и оставлять классическую закладку. Хотя не стоит забывать про производителей домашних роутеров, где совершенно немудрено встретить забытого пользователя с административными правами и предустановленным паролем, или других вендоров, оставляющих дефолтовые ключи шифрования (недавние истории с SAP HANA и Cisco), но сделано это обычно по банальному разгильдяйству. Сегодня существует только такое понятие, как уязвимость; просто уязвимости бывают, как я их называю, первого и второго рода: случайно или специально оставленные. Так вот специально оставленная уязвимость и является закладкой.
Все в современном ИТ-мире давно привыкли к уязвимостям, и даже самые вопиющие из них, возможно, были оставлены случайно. По крайней мере подавляющее большинство специалистов, и уж тем более простых пользователей, так думают, что вполне устраивает и АНБ, и западных вендоров. Нас просто приучили к тому, что любой софт тотально дыряв и спрятать в целом лесе случайных уязвимостей несколько десятков специально оставленных не представляет для вендора особого труда, плюс это дает полную гарантию отсутствия для него каких-либо существенных проблем при их обнаружении. Аргумент всегда один: «Случайно ошиблись, с кем не бывает, исправим». На исправление уязвимостей у вендора обычно уходит от 6 месяцев до 1 года, а в случае архитектурных ошибок этот процесс может длиться и несколько лет – этим особенно «славится» корпорация Oracle, хорошо известная своими грандиозными уязвимостями в системе аутентификации, которые мы с завидной регулярностью обнаруживали последние пять лет, хотя в целом здесь все вендоры одинаково «хороши».
Во-вторых, изначально созданная система сертификации не была предназначена именно для поиска уязвимостей – там стояла совершенно иная задача, о чем уже было сказано ранее. Да, сертифицированные продукты содержат уязвимости, и надо отдавать себе в этом отчет. Это также подчеркивают в своих выступлениях и представители ФСТЭК. В частности, до сих пор далеко не все отечественные производители через почти год после обнаружения исправили уязвимость ShellShock в сертифицированных продуктах, хотя служба с этим и борется. Да, в свое время в некоторых случаях сертификация западных продуктов превращалась в простую формальность, когда требование изучить код было реализовано в виде простого ознакомления с ним на территории вендора. Да и будь он предоставлен для полноценного анализа, это вовсе не означало, что такой анализ полноценно бы выполнялся. Я уж не говорю о том, что анализ кода – лишь малая часть общего и крайне длительного процесса исследования программного обеспечения, куда входит статика и динамика (при наличии исходного кода), фаззинг и анализ логики (без исходного кода).
ФСТЭК 2.0
Около трех лет назад в рамках службы были инициированы процессы по разработке современных ГОСТов, связанных с анализом уязвимостей. К разработке этих документов были привлечены именно практики – и это огромная заслуга ФСТЭК, которая своей предельно открытой позицией сформировала сообщество практиков-профессионалов. От представителей службы на совещаниях стали звучать слова о том, что хватит заниматься только «бумажной» безопасностью, в оборот вернулись привычные нам термины: «пентест», «фаззинг», «статический и динамический анализ кода». Мы стали понимать друг друга и говорить на одном языке.
Кроме того, в недрах ФСТЭК стали зарождаться исследовательские процессы по анализу защищенности отечественных систем. Практико-ориентированный 31-й приказ вместе с последовавшими проверками инициировал повсеместный процесс аудита защищенности АСУ ТП на ключевых промышленных объектах, заставляя собственников обратить внимание на промышленную безопасность. Также внутри ФСТЭК пошла большая работа по формированию национальной базы уязвимостей программного обеспечения. В итоге с начала зимы 2015 года к ней может получить доступ любой желающий, перейдя по ссылкe http://bdu.fstec.ru/ Служба призывает исследователей (а от своих лицензиатов может и потребовать) отправлять информацию об обнаруженных в сертифицированных продуктах уязвимостях нулевого дня, планируя в дальнейшем официально благодарить за это.
Сегодня в базе данных ФСТЭК, кроме западного ПО с уязвимостями, взятыми из открытых источников и верифицированными техническими специалистами службы, можно увидеть уязвимости и отечественных систем, в частности «1С» и СУБД «Линтер». Причем эти уязвимости были занесены в базу всего через несколько месяцев после ее официального открытия. Возникает вопрос, а откуда они там в принципе появились? В открытых западных источниках их никогда не было – исследователям ранее было неинтересно заниматься поиском уязвимостей в продуктах отечественных вендоров – себе дороже выйдет. Поиск этот занимает многие месяцы и явно предполагает системность, так как на портале ФСТЭК опубликовано более 5 уязвимостей по каждому из этих двух продуктов и это точно не похоже на одну случайно найденную уязвимость. Кроме того, в разделе «Уязвимости в стадии рассмотрения» их не было – это означает, что они были получены службой задолго до выхода этого сайта. Добавим к этому отсутствие имени или компании исследователя, обнаружившего уязвимость. Возникает законный вопрос: откуда они тогда были получены? Выводы на основании приведенных фактов каждый может сделать самостоятельно, но, с моей точки зрения, очевидно, что во ФСТЭК достаточно давно пошел процесс анализа защищенности ключевых отечественных систем, и это не может не радовать.
Кроме того, в частности, руководители ФСТЭК в своих выступлениях подчеркивают направленность базы данных уязвимостей именно на российских вендоров и призывают в том числе всех частных российских исследователей ИБ активно участвовать в ее наполнении, отправляя информацию о всех найденных уязвимостях нулевого дня с целью повышения обороноспособности государства. Однако при этом также совершенно очевидно, что ФСТЭК не стала бы создавать такую базу ради публикации только уже известных уязвимостей, при этом отдавая работу по поиску новых полностью на самотек, перекладывая ее сугубо на плечи частных исследователей-одиночек.
Помимо этого, известным фактом является то, что внутри ФСТЭК ожидаемо пошел процесс постепенной модернизации системы сертификации с целью поиска в ее процессе уязвимостей в сертифицируемом ПО: испытательные лаборатории уже получили первые соответствующие вводные и в ближайшем будущем они будут руководствоваться новыми разработанными (а также и пока только разрабатываемыми) службой современными практическими стандартами по анализу защищенности ПО. Процесс модернизации здесь явно будет не быстрый, но при наличии воли дорогу, как известно, осилит идущий. А воля однозначно подчеркивается на всех заседаниях. Хотя, к сожалению, все эти изменения происходят пока еще недостаточно быстро – нет никаких сил уже смотреть на вендоров, особенно западных, которые прикрываются сертификатом ФСТЭК, как щитом, рассказывая с высоких трибун всем мантры о якобы особой «безопасности» и высоком уровне «доверия» государства к их сертифицированным решениям. Здесь скорейшим образом пора уже в корне менять сложившуюся ситуацию. Служба в начале 90-х сама дала вендорам этот мощный козырь, и пора его самой же и забрать.
Возвращаясь к необходимым изменениям системы сертификации ФСТЭК: в данном случае будет логично выглядеть обязать сертификационные лаборатории производить поиск простых базовых уязвимостей. Это вполне реально реализовать в ограниченном по времени процессе сертификации и учитывая квалификацию исполнителей. А для серьезных исследований безопасности отдавать ключевое ПО в специализированные исследовательские центры, которые постепенно стали у нас формироваться именно благодаря усилиям и принципиальной позиции ФСТЭК. Причем особо хочется отметить, что эта линия была взята службой до истории со Сноуденом и последующими санкциями, которые полностью изменили нашу картину мира. Тем самым благодаря такой дальновидной позиции служба оказалась готова к этим новым вызовам для государства – они не стали для нее неприятным сюрпризом. Это тот самый случай, когда до привычно всем клюнувшего петуха дело все-таки не дошло. Главное – сохранять заданный курс и постепенно ускорять темп.
Вместо заключения
Сегодня наш мир изменился. Изменилась и ФСТЭК: эра тотальной «бумажной» безопасности наконец уходит в историю, постепенно уступая место практике. И если еще всего несколько лет назад было практически невозможно представить, что такую глубоко техническую, хакерско-исследовательскую конференцию, как ZeroNights, может открывать один из руководителей ФСТЭК, то сегодня я это вполне могу представить. В конце концов, почему американские генералы, возглавляющие АНБ, последние годы регулярно открывают в США самые известные и популярные в мире хакерские конференции BlackHat и Defcon, выступая там в качестве ключевых докладчиков, а у нас такого не может быть? Тем более это было бы очень символично: в США конференцию открывает один из руководителей наступательной службы, а в России – оборонительной.
Самое главное, на что стоит обратить внимание в заключение, что практический вектор, который сегодня задает ФСТЭК, оказывает огромное положительное влияние на всю отрасль информационной безопасности России в целом. Являясь главным некриптографическим регулятором в РФ по ИБ, ФСТЭК всегда определяла политику и задавала вектор развития всей отрасли информационной безопасности на многие годы вперед, поэтому определенно не стоит недооценивать влияние всех практических инициатив службы не только на государственный, но и на коммерческий сектор. И это в стратегической перспективе должно благотворно сказаться на общем уровне обеспечения информационной безопасности в масштабе страны. Главное, надо понимать, что ФСТЭК сейчас находится только в самом начале пути: многое уже сделано, но еще больше предстоит сделать в ближайшем будущем – надо двигаться дальше, постепенно ускоряя темп. А экспертное сообщество исследователей и практиков по ИБ ни в коем случае не останется в стороне от этого процесса и обязательно поможет. Ведь дело у нас общее.
Опубликовано 03.07.2015