Известный специалист по безопасности Билли Риос (Billy Rios), бывший сотрудник Google и эксперт по системам АСУ и SCADA, запустил новый проект под названием WhiteScope — базу данных с примерно 350 000 «образцовых» файлов, которые используются в системах АСУ и SCADA разных производителей. Это динамические библиотеки (DLL), исполняемые файлы (EXE) с огромного количества систем десятков производителей: Advantech, GE, Rockwell, Schneider, Siemens и др.

Кроме файлов, WhiteScope содержит базу хешей, образцов процессов и значений реестра. Бесплатный сайт выполняет для АСУ/SCADA такую же функцию, какую выполняет сервис VirusTotal для традиционных операционных систем. Здесь можно проверить подозрительный файл, сравнить с образцом и убедиться в его аутентичности. Это ценная информация на первом этапе расследования.

«Я участвовал в расследовании некоторых инцидентов, когда было довольно сложно определить, является файл АСУ/SCADA легитимным или нет, — говорит Билли Риос. — Учитывая, что абсолютное большинство производителей АСУ/SCADA не подписывают своё программное обеспечение, у нас возникли затруднения в определении, должны ли здесь находиться файлы вроде ‘FTShell.dll’ или ‘WFCU.exe’ (кстати, оба этих файла являются легитимными). С такими мыслями я и начал собирать базу данных WhiteScope».

Для проверки файла нужно или загрузить его целиком, или сообщить хеш. Сейчас в базе около 350 000 файлов, но Риос обещает преодолеть отметку в миллион файлов в I кв. 2015 года.



2 комментария

  1. 03.12.2014 at 22:52

    Чрезвычайно ценная информация для читателей журнала. Каждый день сталкиваемся с этими файлами и не можем понять, оригинальные они или нет. Дистрибутива ведь не осталось.

    • 04.12.2014 at 13:23

      Вообще-то, помните новость про Regin? Самое интересное там то, что весь троян раскручивается в системе из драйвера. А это значит что? Правильно, что у него есть подпись. Стоит ли проверять файлы SCADA, если во всём остальном уверенности никакой? Вот подписан файл Microsoft — и что? 100% гарантия?

Оставить мнение