ЗАЩИТА ТЕПЛОВЫЧИСЛИТЕЛЯ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
Февраль 2004
?????? [5th February 2004, 07:28:50]
Еще один вопрос по ГОСТ Р 51649-2000 «Теплосчетчики для водяных систем теплоснабжения. Общие технические условия». В п.5.2.3. есть такое требование: «программное обеспечение теплосчетчиков должно обеспечивать защиту от несанкционированного вмешательства в условиях эксплуатации». Как это реализуется на практике:
- какие аккредитованные лаборатории проводят такие испытания ?
- какие из предлагаемых на рынке теплосчетчиков прошли такие испытания ?
Дмитрий Анисимов (Теплопункт) — Мне кажется, это в принципе невозможно — убедиться в отсутствии «лазеек» в ПО. Досконально изучать исходники программ? — а где гарантия, что в серийный теплосчетчик зашита именно эта программа? Брать произвольный прибор, дизассемблировать его ПО? — работы тут на год, а если учесть, что некоторые производители версии ПО как пирожки пекут... С другой стороны, как вообще понимать фразу «должно обеспечивать защиту»? Защита от постороннего — это просто пароль или опломбированный переключатель, запрещающий вносить изменения в настройки. Может именно это и имеется в виду? А то, что я написал выше, относилось к защите от всех — и от своих (так называемых «настройщиков»), и от чужих. [05.02.2004, 08:14:57]
Сергей (Н-Тагил) — День добрый господа. Я тута впервые, в смасле выражения мнения, в смысле послушать уже давненько. А по поводу защиты могу сказать следующее:
народ у нас делить можно надве категории: первая это те кому просто не надо, для защиты от таких достаточно таблички «Не влезай», а вторая залезет и начудит даже если вы етот узел учета метровым слоем бетона зальете, этакие КИПовцы доморощеные.
А ПО, вчастнасти вычислителей СПТ знакомый программер ломает с помощью кнопок на панели и такойто матери минут за семь. Так что защита понятие относительное. У нас ЖКХ довольны если просто пломбы везде где надо. [05.02.2004, 10:24:25]
Валерий (Благовещенск) — Сергею (из Тагила). По поводу взлома программ на СПТ явный бред. Можно изменить базу данных, считать СПТ будет, но непонятно что. Залезть в ПО не так просто как кажется. Не надо путать Базу Данных (БД)и Програмное Обеспечение (ПО). [05.02.2004, 12:24:02]
Анатолий — А мне вот что интересно «знакомый программер ломает с помощью кнопок на панели и такойто матери минут за семь» Сергей — для чего ЭТО ЕМУ нужно? Для самоутверждения (спортивный интерес) или за денюжки (бизнес такой)? [05.02.2004, 12:24:11]
Дмитрий Анисимов (Теплопункт) — Не надо быть «программером» и не нужна помощь такой-то матери, да и семи минут не надо, чтобы снять пломбу с крышки монтажного отсека СПТ, перещелкнуть переключатель защиты данных и потом эти самые данные (настроечные) изменить. А вот что значит «взломать ПО» — это, действительно, вопрос. И зачем? Может этот программер просто путает чё-то с чем-то? [05.02.2004, 12:33:25]
Сергей Лобанов (Саранск) — Даже если представлять ОРГАНУ (???) исходники ПО, объемом несколько сотен страниц, то даже и в этом случае нереально чиновнику найти (распознать) возможность несанкционированного доступа, если конечно в комментарии к исходнику не написано - ;НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП ЗДЕСЬ!!! Но таких дураков не найти. Да и исходники являются ноу-хау, поэтому никто их не даст.
Написать программу испытаний гарантирующую отсутствие возможности несанкционированного доступа — нереально. Поэтому, в ТУ, РЭ должно быть написано, что «теплосчетчики обеспечивает защиту от... таким-то образом». Все способы доступа к памяти данных и программ должны быть документированы. Вот это и проверяется. Выявление в процессе эксплуатации недокументированого способа изменить память — есть НЕСАНКЦ.ДОСТУП со всеми вытекающими последствиями. Может производитель сохранить в тайне недокументированный доступ — пусть хранит, от этого вреда нет. Не может — лучше не рисковать, если конечно мера ответственности высока. [05.02.2004, 13:03:02]
Николай Иванов (Санкт-Петербург) — Пломбировать, пломбировать и пломбировать все разъемы. Все остальное от лукавого — как програмер говорю! [05.02.2004, 13:05:20]
Сергей Лобанов (Саранск) — Николаю Иванову. Объясните как «програмер», что конкретно пломбировать? Если у прибора есть тот или иной интерфейс, то примитивной недокументированной командой «записать массив с адреса ADDR1» можно перешить как данные, так и саму программу. [05.02.2004, 13:33:24]
Сергей — «Можно изменить базу данных, считать СПТ будет, но непонятно что» Вот-вот считать то он будет, только что? В правилах говорят именно о защите факторов влияющих на денюшки. Или я чегото не понял. Допистим стоит расходомер с импульсным выходом один импольс равен литру теплоносителя, ставим коэфициент 0,8 и платим на 20% меньше. [05.02.2004, 13:36:38]
Николай Иванов (Санкт-Петербург) — Чтобы делать что-то с прибором, к нему надо подключаться! Независимо от протокола или формата передачи данных. Вот разъем для подключения и надо пломбировать, чтобы хоть знать что в прибор лазали! А программу сертифицировать, ну ей Богу, как дети, чессно слово. Самый крутой хакер врядли способен выявить, где у ней дыра. Разве что составить список «условных» переходов.
Сергею, эта тема уже была раньше на Форуме. [05.02.2004, 13:40:12]
А. Лупей — Насчёт пломбировать — мысль хорошая. Вот пойду я прямо сейчас в теплоцентр, где стоит теплосчётчик, с которым то и дело «странности» происходят. А человек из сервисной фирмы тут же мне скажет: «А.Г., а как я пульт съёма данных (ноутбук, модем) подключу? Мне ж надо ежедневно (ежечасно?) снимать архивы! Я ж эти архивы ежечасно, понимаете ли, анализирую!». Понятное дело: я не могу каждый день бегать по тысячам подвалов с тем, чтобы снять собственную пломбу для подключения пультика, а через 10 минут вешать её обратно на RS-разъём. А потому цифровой выход я оставлю всё-таки без пломбы. Он же и цифровой вход… И остаётся надеяться только на совесть «настройщика» — мол, уважаемый, ты уж сильно-то не безобразничай!.. [05.02.2004, 13:55:34]
Николай Иванов (Санкт-Петербург) — А.Г. — это вопрос организации, и всего такого прочего. И пломба не обязательно ТСО, а может и потребителя. И потом, я же не ратую, мол давайте так делать. Просто другого способа нет, мое мнение! [05.02.2004, 13:58:43]
Семён (Киев) — У нас по поводу несанкционированного вмешательства в работу прибора позиция абсолютно четкая: никаких возможностей «подкрутить» показания теплосчетчика в нужную сторону быть не может, и мы, как разработчики, должны сделать все, чтобы исключить, или как минимум, документально зафиксировать факт такого вмешательства, чтобы потерпевшей стороне можно было потом (вплоть до судебного разбирательства) доказать и возместить понесенный ущерб. Многие производители, очевидно, считают нас «ненормальными», т.к. мы полностью отрезали себе путь для «сведения» к желаемой величине разницы показаний по прямому и обратному трубопроводам, для «откатных» вариантов, когда сервисная организация по сговору с потребителем намеренно занижает показания теплосчетчика, получая при этом % от благодарного потребителя тепла, и проч. Однако, мы считаем, что наша позиция честная — никто ни у кого «на горбу» ехать не должен (имею ввиду потребителей и теплопоставляющие организации).
У нас в приборе 5 степеней защиты от несанкционированного доступа:
1. Механическое пломбирование — в соответствии с пожеланиями инспекторов АК «Киевэнерго» пломбируются абсолютно все части теплосчетчика: ультразвуковые датчики расхода, расходомерные участки, датчики температуры, приборный кабель, корпус вычислителя. Однако, мы считаем, что механического пломбирования далеко не достаточно — во-первых, сам пломбиратор может попасть в нечестные руки, а во-вторых, «народные умельцы» умудряются пломбы подделывать (сейчас появились номерные пломбы - возможно, они надежнее).
2. Электронное пломбирование (введено в 1994 г.)
А. В СВТУ-10М все необходимые параметры можно просмотреть только в режиме «Основной», а вход в любой служебный режим («Поверка», «Коррекция», «Установка»), где возможно измерение настроек прибора, осуществляется только после ввода 8-значного пароля, который может задаваться индивидуально для каждого прибора.
Б. Количество входов в служебные режимы фиксируется самим теплосчетчиком СВТУ-10М (эти величины всегда можно просмотреть в режиме «Контроль»), госповерителем в «Свидетельстве о поверке», а также инспектором теплосетей в «Акте ввода в эксплуатацию». Любое отклонение количества входов в служебные режимы от зафиксированных документально значений в межповерочный интервал эквивалентно нарушению электронной пломбы (срыву обычной механической пломбы) — такой прибор должен сниматься с коммерческого учета и отправляться на поверку.
3. Почасовые и посуточные архивы ошибок (введены в 1999 г.) — наряду с выводом на табло и распечаткой стандартных почасовых и посуточных архивов в СВТУ-10М есть возможность распечатки архива ошибок. Свыше 40 сообщений об ошибках с точностью до часа фиксируются в ведомости ошибок, так что попытки частичного «вывинчивания» датчиков расхода, термосопротивлений и проч. бесследно не проходят.
4. Журнал событий — с 2001 г. в СВТУ-10М введен журнал действий оператора, в котором с точностью до минут фиксируется все, что было изменено в служебных режимах. Т.е. метролог или инспектор всегда может посмотреть, какое конкретно несанкционированное вмешательство в работу приборов было с момента последней сдачи отчетной ведомости, а также распечатать журнал событий.
5. Соответствие прибора требованиям п.5.5 ГОСТ Р 51649-2000 — никакими манипуляциями с постоянными и переменными магнитами, электромагнитными импульсами и проч. изменить программное обеспечение и повлиять на показания прибора невозможно (по крайней мере, до сих пор никому не удавалось).
Дмитрий Анисимов (Теплопункт) — Ну, есть у кого-нибудь знакомые программеры, способные взломать СВТУ? А я вот однажды тоже взломал один вычислитель (при помощи отвертки — см. здесь), гляжу — а ПО-то там и нету! наверное, забыли его туда положить, это ПО. Наверное, не отверткой надо было ломать, а кнопками на панели... :))) [05.02.2004, 15:36:26]
Анатолий — Дм. надо ли это понимать как призыв «Делай как я»? Какой пример админ подает! Ваще вот уж не ожидал.
Приянно удивлен, как в «Незалэжной ...» остоятельно отнеслись к «защите от несанкуционированного вмешательства». Молодцы! Хотелось бы узнать, как там обстоят дела с антивандальной защитой эл. счетчиков? Семен, если есть возможность дайте какие-нить ссылочки. (Мыло под ником) [05.02.2004, 16:02:56]
А. Лупей — Дремучий ты человек, Дмитрий! Разве ж отвёрткой надо орудовать? А ноутбук на что? Рекомендую попробовать ноутбуком, в котором программулька имеется соответствующая…
В этой связи не могу удержаться, чтобы не рассказать не байку, но быль. Как-то было дело, и возникли у некоторых товарищей сомнения — мол, слух прошёл, что что-то нечисто с «дополнительными возможностями» в приборах конкретного типа, надо бы экспертизу ПО произвести… Прибор, стало быть, добыли, крышку сняли, эксперты над внутренностями склонились, кнопицы всякие понажимали… И установили, что:
а) прибор не очень современной конструкции, можно вроде и получше сделать;
б) зажимы для проводков совсем никудышные;
в) ещё были какие-то «замечания» примерно из этой серии…
И вот он, уверенный вердикт экспертов: все эти слухи про «спец. возможности» — не более, чем слухи! И не испортют нам обедни злые происки врагов! Но стало вроде понятно: чтобы ПО экспертизировать, недостаточно за провода подёргать да кнопицы понажимать. Неплохо было бы среди экспертов ещё «программера» соответствующей квалификации иметь. [05.02.2004, 16:21:54]
Дмитрий Анисимов (Теплопункт) — Шутка, однако! Кстати, тот же КАРАТ, который я на той фотографии «взламываю», имеет и механическое, и электронное пломбирование, и журнал внештатных ситуаций, и время доступа в базы настроечных данных фиксирует. Так ведь и у СПТ — почти тоже самое, и у других вычислителей различные степени защиты предусмотрены. Так что в тепло-хакеров я не верю. Вопрос именно в том, что значит «обеспечивать защиту от несанкционированного вмешательства»? Вернее, «от чьего вмешательства»? Если речь идет о «хакерах-любителях», то от них все серьезные теплосчетчики пломбами-паролями-журналами защищены. А если речь идет о лазейках в ПО, которые позволяют знающему человеку внести изменения в настроечные данные «незаметно» для прибора и надзирающих органов, то вот как раз эти-то лазейки на стадии сертификации обнаружить ну никак невозможно!
Кстати, вопрос Николаю: чем пломбировать разъемы (для подключения ноутбуков и прочих внешних устройств), лучше уж их вообще не делать. Только нужна ли будет кому-нибудь такая «вещь в себе»?
А.Г., так я и говорю — не было там никакого ПО внутри! Микросхемки всякие были, резисторы, конденсаторы, даже трансформатор, а вот ПО — нету! а раз нету, то на него и суда нету. [05.02.2004, 16:33:15]
Анатолий — Дм. следут понимать, что ПО есть суть нетленная и никому неподотченая ДУША теплосчетчика? Господа да вы просто поэты теплоучета! [05.02.2004, 16:48:07]
А. Лупей — Анатолию. Ясное дело — не соответствовала. Но, коль скоро испытуемый экземпляр оптимисты от метрологии планировали поставить на здоровенную трубу при нулевой длине прямого участка (ну не было на этой трубе другого места!), то и захотелось посмотреть, а что же расходомер покажет, если участков нет? И на проливочном стенде нашлась катушка (из нержавейки, длиной 3Ду), на неё датчики и примагнитили. А перед этой катушкой (2-3Ду) — труба от пневмозажима, чуть дальше — поворотная задвижка (открыта), перед задвижкой — конфузор. В общем, скверная конфигурация тут была. Но очень хотелось узнать, а что будет, когда длин не будет? И, стало быть, узнали — плоховато расходомер показывал, когда участков совсем нет.
И потому до сих пор мучает загадка одна: а как это удаётся одному из изготовителей современных УЗР добиваться точности в ±0,5% (!!!) при длине входного участка, равной всего ОДНОМУ (!!!) Ду? А если перед этим конфузором, что на одном Ду перед датчиками, имеет место быть смешивающийся поток или гр. колен, да ещё и в разных плоскостях? Чудеса, да и только… Чего только не напишешь в РЭ, чтобы понравиться. [05.02.2004, 17:05:18]
Николай Иванов (Санкт-Петербург) — Дмитрию. Как конретно закрывать — это уже вопрос не ко мне. А програмер для экспертизы практически непригоден. [05.02.2004, 17:15:11]