Про "военный интернет"

По просьбе трудящихся, на тему "российского военного интернета" с БПМ.

Цитата: Pim от 19.10.2016 18:39:43Я бы предложил забыть про ГОСТ в военных сетях... по крайней мере про открытый.Я бы предложил забыть про ГОСТ в военных сетях... по крайней мере про открытый.

Цитата: Цитата: Фракталь от 19.10.2016 11:15:41А сам факт запуска военной сети весьма примечателен, но вот огромный пласт информации за этой сухой формулировкой вызывает весьма неслабое любопытство. Хотя бы например вопрос о том, чьего производства сетевая инфраструктура этой сети? А то всё больше на слуху всякие циски-хуавэи-джуниперы... Или таки где-то объявился отечественный производитель маршрутизирующего оборудования? Ответы на эти вопросы я не получу по вполне понятной причине. Но интригует же!

Я оставлю без А/У, к БПМ это имеет какое-никакое отношение. Если что, модераторы меня поправят.

За неделю тут отметились две крайности:
1. Хакеры и АНБшники - такие страшные звери, взламывают все, что угодно, включая военные информационных системы.
2. Нашим военным пофиг, у нас все сертифицировано.

И то, и другое - образчик глупости. В реальности все и грустнее, и интереснее.

С начала 1990х, с началом массовой информатизации государственных ведомств, было очевидно, что враг не дремлет. Техника импортная, заставить производителя заложить закладку в процессор - фигня вопрос. Надо что-то делать. Поэтому при создании информационных систем для обработки гостайны, особенно - систем военного назначения, уже на уровне постановки задачи проектировщику говорилось: выкручивайся, как хочешь, но докажи, что такая закладка не сможет ни получить сигнал извне, ни передать сигнал наружу. Отсюда особенности требований, предъявляемых к "секретным" информационным системам и сетям.

1. Гальваническая развязка. Российские "секретные" объекты нельзя не просто подключать к сети Интернет или каналам связи - любой провод, кусочек которого находится в защищенном помещении, не должен выходить за пределы этого помещения. Любой провод, включая электрические кабели, охранную сигнализацию, армированные пластиковые трубы и т.п.

2. Защита от "нетрадиционной" передачи информации. Информацию из компа или сети можно считывать дистанционно - например, по побочному электромагнитному излучению (каналы ПЭМИН). Поэтому предъявляются требования к экранированию: ЭМ от работающего компа должно затухать настолько, чтобы на границе охраняемой территории оно было бы неотличимо от природного фона. Так что современные военные компы - это клетки Фарадея, у них даже на мониторах электропроводящее напыление "во избежание".

3. "А покажите-ка ваш код". ВЕСЬ софт, поставляемый в МО, должен пройти сертификацию "на контроль отсутствия недекларированных возможностей", даже если этот софт - пасьянс Косынка. И дело не в том, что при сертификации можно найти закладки, на самом деле любая сертификация по безопасности, и российская, и ISO 15408, и FIPS - профанация. Дело в другом: хотите продаться в МО - покажите исходники. Не готовы - нехер лезть. Поэтому те, кто не готов (Microsoft, Cisco, Juniper), вылетели из гособоронзаказа, несмотря на визги продавцов. Huawei, по-моему, лезть в МО даже не пытался, у них и "гражданской" ФСТЭКовской сертификации, нет, если мне склероз не изменяет. 

4. Совершенно необязательно делать на российской элементной базе всю вычислительную технику. Достаточно делать на ней средства связи, работающие вне контролируемой зоны, и шифрования. И таки эти средства связи и шифрования создавались и производились даже в голодные 90е. Уже в середине нулевых деньги в эту сферу потекли полноводной рекой, так что военные средства связи на российской элементной базе есть. Да, "мобильный беспроводной маршрутизатор" военного назначения занимает целиком кунг грузовика и способен держать всего восемь каналов E1. Но, в отличие от выпендрежников из гражданских министерств и ведомств, военным не нужна видеоконференцсвязь в формате Full-HD, тех же двухмегабитных каналов и для оперативного управления, и для "всеведомственного документооборота" хватает выше крыши.

В итоге для того, чтобы создать защищенную военную СПД (а в статье мелькало, что по ней разрешено передавать даже документы с грифом ОВ), нужно выполнить туеву хучу мелких и очень трудновыполнимых требований. Так вот, появление такой магистрали (до войсковых частей, как я понимаю, пока последнюю милю не кинули) - это реально прорыв. Чтобы вы понимали масштаб бедствия: приглашение на совещание (всего-то пометка ДСП, даже грифа секретности нет) спецсвязью идет до меня по Москве три недели (т.е. я его получаю где-то через неделю после совещания :)). А теперь представляете, какой геморрой собирать и обрабатывать на федеральном уровне, например, финансовую отчетность тех же войсковых частей?

У американцев такой проблемы никогда не было, и последствия они сейчас хлебают полной ложкой. Фигли, и элементная база доверенная, и операторы связи подконтрольные, и бабла навалом, и исследовательские центры действительно сильные. Правда, потом выяснилось, что элементная база "made in USA" частично все равно делается в Китае, что исследовательский потенциал криминального андеграунда на порядки превосходит потенциал "военных исследователей" и имеет в разы большее финансирование. Опять же, чтобы вы понимали. Когда появились публикации "АНБ прослушивает Меркель", я ржал. Потому что российские публикации (с практической демонстрацией) "как, купив циску за 10000 у.е. и имея знакомого админа в любом операторе связи, перехватывать звонки любого абонента любой сети в любой точке мира" начали появляться лет пять назад. А появляться они начали, когда ОПСОСы начали привлекать российских хакеров к расследованию случаев мошенничества, в которых криминальные хакеры начали взламывать голосовые коммутаторы и генерить с них звонки на платные номера. Доходность одной такой атаки составила за год около ста миллионов рублей, затраты на "а как это могло быть сделано?" - около двух миллионов. Представляете, какая маржинальность? 

Ну так вот, когда на криминальных задачах выросло поколение специалистов, способных влегкую и банкомат распотрошить, и беспилотник приземлить (всех затрат - SDRка стоимостью около $1000 да ноут с Kali Linux + GNU Radio), и сигнал GPS скорректировать (был  недавно интересный вебинар на эту тему у одной российской компании), и электростанцию тормознуть - американцам резко поплохело. Нам тоже, если честно, банковский сектор рыдает горючими слезами, но вот военные на все это смотрят, посмеиваясь :)