ИСП Обфускатор

Продукт
Разработчики: Институт системного программирования (ИСП РАН)
Дата премьеры системы: 2014
Дата последнего релиза: 2016
Отрасли: Информационные технологии
Технологии: ИБ - Предотвращения утечек информации

2016

В декабре 2016 года Институт системного программирования Российской академии наук (ИСП РАН) обнародовал одну из своих разработок – технологию обфускации (запутывания) программного кода. Она уже внедрена в МИД РФ и структурах ФСБ России.

Над самой технологией запутывания кода ИСП РАН работал с 2002 года. Параллельно с этим ученые начали разработку – писать код и смотреть, что получается, рассказывает директор ИСП РАН Арутюн Аветисян. Затем исследователи создали готовый продукт – ИСП Обфускатор, коммерческим внедрением которого занималась компания-партнер «МВП «Свемел».

Обфускатор защищает программу, мешает понять, как она работает, через запутывание кода. Это похоже на то, когда кто-то запутывает фразу, добавляя в нее незначимые куски, в итоге вместо одной фразы получается три страницы текста, которые не несут смысловой нагрузки. Вычленить первоначальный текст в этом случае – сложно, объясняет один из разработчиков, научный сотрудник ИСП РАН Шамиль Курмангалеев.

ИСП Обфускатор реализован на базе двух компиляторных инфраструктур – LLVM и GCC. Преобразования позволяют генерировать диверсифицированную популяцию исполняемых файлов компилируемого приложения. Злоумышленник, получив одну из версий файла, может создать для него вредоносный код (эксплойт), но он не будет работать для других версий файла.

«
Идея там очень простая – сделать так, чтобы, задавая некоторые параметры, каждый бинарник был уникальным. То есть исходники у нас те же, а бинарники уникальные. Допустим, вашу кофеварку взломали, быстро посмотрели, получили доступ к одному бинарнику, и смогут атаковать вторую кофеварку, чтобы она наливала неправильный кофе. А если бинарники уникальны, появляется шанс, что сделать это будет сложнее, – привел простое сравнение Арутюн Аветисян.
»

Принцип защиты при запутывании кода

По его словам, изначально обфускаторы разрабатывают, чтобы нельзя было, например, понять и украсть ваши алгоритмы, или доказать в суде, что это ваш код.

«
Обычно цель такого рода ПО – увеличить стоимость атаки, – говорит Шамиль Курмангалеев.
»

По словам разработчиков, такие преобразования легковесны и не приводят к критическому падению производительности. По результатам измерений, оно составляло не более нескольких процентов.

В ИСП РАН говорят, что аналогов этой разработки в России нет. В Европе проводились аналогичные исследования на ПО с открытым кодом, но в большей степени это были экспериментальные разработки. Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

В отличие от них ИСП РАН совместно с компанией «Свемел», одним из крупнейших поставщиков решений для госсектора, внедрили продукт для защиты ПО в МИД РФ и структурах ФСБ России (пограничной службе и в образовательных организациях).

Модифицированный компилятор GCC (ИСП Обфускатор) используется в составе доверенной операционной системы «Циркон», которая имеет сертификаты ФСБ и ФСТЭК и может использоваться для работы с гостайной.

По словам Арутюна Аветисяна, первый контракт с МИД и ФСБ был заключен в 2014 году. Затем при переходе этих ведомств на новые версии ОС потребовались обновления. Этот этап внедрения закончился летом 2016 года.

Исключительные права на разработку принадлежат ИСП РАН. Стоимость уже состоявшихся внедрений директор института не раскрывает. Что касается сроков, то, по его словам, команда из нескольких человек может за полгода-год сделать это. «Но это только благодаря бэкграунду в 15 лет. Это наукоемкие инновации», – отмечает Арутюн Аветисян.

Области применения ИСП Обфускатор:

  • усложнение понимания алгоритмов и структур данных
  • затруднение генерации эксплойтов на основе анализа патчей
  • расстановка водяных знаков
  • предотвращение эксплуатации известной уязвимости

ИСП Обфускатор реализован на базе двух компиляторных инфраструктур – LLVM и GCC. Реализованные преобразования:

  • перемещение локальных переменных в глобальную область видимости
  • приведение графа потока управления к плоскому виду
  • размножение тел функций
  • переплетение нескольких функций в одну
  • сокрытие вызовов функций
  • создание несводимых участков в графе потока управления
  • шифрование константных строк, используемых программой
  • вставка в код фиктивных циклов из одной итерации
  • разбиение целочисленных констант
  • вставка и перешивание локальных переменных
  • переустановка функций в модуле программы



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Инфосистемы Джет (66)
  Softline (Софтлайн) (57)
  SearchInform (СёрчИнформ) (54)
  ДиалогНаука (44)
  Информзащита (40)
  Другие (923)

  Инфосистемы Джет (5)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Солар (ранее Ростелеком-Солар) (4)
  R-Vision (Р-Вижн) (4)
  Другие (62)

  Солар (ранее Ростелеком-Солар) (8)
  SearchInform (СёрчИнформ) (4)
  Информзащита (3)
  А-Реал Консалтинг (3)
  Makves (Маквес) (2)
  Другие (44)

  Инфосистемы Джет (7)
  Softline (Софтлайн) (4)
  Compliance Control (Комплаенс контрол) (3)
  Inspect (3)
  МСС Международная служба сертификации (3)
  Другие (42)

  SearchInform (СёрчИнформ) (15)
  Уральский центр систем безопасности (УЦСБ) (6)
  Softline (Софтлайн) (5)
  Инфосистемы Джет (4)
  Перспективный мониторинг (3)
  Другие (42)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SearchInform (СёрчИнформ) (19, 58)
  InfoWatch (ИнфоВотч) (14, 49)
  Солар (ранее Ростелеком-Солар) (4, 48)
  FalconGaze (Фалконгейз) (1, 38)
  Positive Technologies (Позитив Текнолоджиз) (8, 37)
  Другие (408, 310)

  R-Vision (Р-Вижн) (1, 4)
  Солар (ранее Ростелеком-Солар) (2, 2)
  Инфосекьюрити (Infosecurity) (2, 2)
  SETERE Group (быв. Security Technology Research -ТБИ (Технологии Безопасность Исследования)) (1, 2)
  Makves (Маквес) (1, 2)
  Другие (10, 13)

  Солар (ранее Ростелеком-Солар) (2, 7)
  SearchInform (СёрчИнформ) (2, 4)
  А-Реал Консалтинг (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Makves (Маквес) (1, 2)
  Другие (5, 6)

  SearchInform (СёрчИнформ) (2, 2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Colizeum Langame Software, CLS (Колизеум Лангейм Софт) (1, 1)
  Makves (Маквес) (1, 1)
  Инфосекьюрити (Infosecurity) (1, 1)
  Другие (8, 8)

  SearchInform (СёрчИнформ) (2, 16)
  Перспективный мониторинг (1, 4)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
  Другие (3, 3)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 52
  InfoWatch Traffic Monitor Enterprise (IWTM) - 46
  FalconGaze SecureTower - 38
  MaxPatrol SIEM - 33
  DeviceLock Endpoint DLP Suite - 31
  Другие 347

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  Makves DCAP (Data-Centric Audit and Protection) - 2
  Kickidler Система учета рабочего времени - 2
  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
  MaxPatrol SIEM - 2
  Другие 12

  Solar Dozor DLP-система - 4
  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Solar JSOC - 3
  Softscore UG: Anwork Бизнес-коммуникатор - 2
  Другие 10

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
  R-Vision Threat Intelligence Platform (TIP) - 1
  Langame Software Программный комплекс для управления компьютерным клубом - 1
  CyberPeak Спектр - 1
  Инфосекьюрити ISOC - 1
  Другие 9

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 16
  SearchInform FileAuditor - 5
  Перспективный мониторинг: Ampire Киберполигон - 4
  MaxPatrol SIEM - 2
  CrossTech Jay Data - 1
  Другие 4