Известный специалист по безопасности Билли Риос (Billy Rios), бывший сотрудник Google и эксперт по системам АСУ и SCADA, запустил новый проект под названием WhiteScope — базу данных с примерно 350 000 «образцовых» файлов, которые используются в системах АСУ и SCADA разных производителей. Это динамические библиотеки (DLL), исполняемые файлы (EXE) с огромного количества систем десятков производителей: Advantech, GE, Rockwell, Schneider, Siemens и др.
Кроме файлов, WhiteScope содержит базу хешей, образцов процессов и значений реестра. Бесплатный сайт выполняет для АСУ/SCADA такую же функцию, какую выполняет сервис VirusTotal для традиционных операционных систем. Здесь можно проверить подозрительный файл, сравнить с образцом и убедиться в его аутентичности. Это ценная информация на первом этапе расследования.
«Я участвовал в расследовании некоторых инцидентов, когда было довольно сложно определить, является файл АСУ/SCADA легитимным или нет, — говорит Билли Риос. — Учитывая, что абсолютное большинство производителей АСУ/SCADA не подписывают своё программное обеспечение, у нас возникли затруднения в определении, должны ли здесь находиться файлы вроде ‘FTShell.dll’ или ‘WFCU.exe’ (кстати, оба этих файла являются легитимными). С такими мыслями я и начал собирать базу данных WhiteScope».
Для проверки файла нужно или загрузить его целиком, или сообщить хеш. Сейчас в базе около 350 000 файлов, но Риос обещает преодолеть отметку в миллион файлов в I кв. 2015 года.
