ИСП Обфускатор

Продукт
Разработчики: Институт системного программирования (ИСП РАН)
Дата премьеры системы: 2014
Дата последнего релиза: 2016
Отрасли: Информационные технологии
Технологии: ИБ - Предотвращения утечек информации

2016

В декабре 2016 года Институт системного программирования Российской академии наук (ИСП РАН) обнародовал одну из своих разработок – технологию обфускации (запутывания) программного кода. Она уже внедрена в МИД РФ и структурах ФСБ России.

Над самой технологией запутывания кода ИСП РАН работал с 2002 года. Параллельно с этим ученые начали разработку – писать код и смотреть, что получается, рассказывает директор ИСП РАН Арутюн Аветисян. Затем исследователи создали готовый продукт – ИСП Обфускатор, коммерческим внедрением которого занималась компания-партнер «МВП «Свемел».

Обфускатор защищает программу, мешает понять, как она работает, через запутывание кода. Это похоже на то, когда кто-то запутывает фразу, добавляя в нее незначимые куски, в итоге вместо одной фразы получается три страницы текста, которые не несут смысловой нагрузки. Вычленить первоначальный текст в этом случае – сложно, объясняет один из разработчиков, научный сотрудник ИСП РАН Шамиль Курмангалеев.

ИСП Обфускатор реализован на базе двух компиляторных инфраструктур – LLVM и GCC. Преобразования позволяют генерировать диверсифицированную популяцию исполняемых файлов компилируемого приложения. Злоумышленник, получив одну из версий файла, может создать для него вредоносный код (эксплойт), но он не будет работать для других версий файла.

«
Идея там очень простая – сделать так, чтобы, задавая некоторые параметры, каждый бинарник был уникальным. То есть исходники у нас те же, а бинарники уникальные. Допустим, вашу кофеварку взломали, быстро посмотрели, получили доступ к одному бинарнику, и смогут атаковать вторую кофеварку, чтобы она наливала неправильный кофе. А если бинарники уникальны, появляется шанс, что сделать это будет сложнее, – привел простое сравнение Арутюн Аветисян.
»

Принцип защиты при запутывании кода

По его словам, изначально обфускаторы разрабатывают, чтобы нельзя было, например, понять и украсть ваши алгоритмы, или доказать в суде, что это ваш код.

«
Обычно цель такого рода ПО – увеличить стоимость атаки, – говорит Шамиль Курмангалеев.
»

По словам разработчиков, такие преобразования легковесны и не приводят к критическому падению производительности. По результатам измерений, оно составляло не более нескольких процентов.

В ИСП РАН говорят, что аналогов этой разработки в России нет. В Европе проводились аналогичные исследования на ПО с открытым кодом, но в большей степени это были экспериментальные разработки.

В отличие от них ИСП РАН совместно с компанией «Свемел», одним из крупнейших поставщиков решений для госсектора, внедрили продукт для защиты ПО в МИД РФ и структурах ФСБ России (пограничной службе и в образовательных организациях).

Модифицированный компилятор GCC (ИСП Обфускатор) используется в составе доверенной операционной системы «Циркон», которая имеет сертификаты ФСБ и ФСТЭК и может использоваться для работы с гостайной.

По словам Арутюна Аветисяна, первый контракт с МИД и ФСБ был заключен в 2014 году. Затем при переходе этих ведомств на новые версии ОС потребовались обновления. Этот этап внедрения закончился летом 2016 года.

Исключительные права на разработку принадлежат ИСП РАН. Стоимость уже состоявшихся внедрений директор института не раскрывает. Что касается сроков, то, по его словам, команда из нескольких человек может за полгода-год сделать это. «Но это только благодаря бэкграунду в 15 лет. Это наукоемкие инновации», – отмечает Арутюн Аветисян.

Области применения ИСП Обфускатор:

  • усложнение понимания алгоритмов и структур данных
  • затруднение генерации эксплойтов на основе анализа патчей
  • расстановка водяных знаков
  • предотвращение эксплуатации известной уязвимости

ИСП Обфускатор реализован на базе двух компиляторных инфраструктур – LLVM и GCC. Реализованные преобразования:

  • перемещение локальных переменных в глобальную область видимости
  • приведение графа потока управления к плоскому виду
  • размножение тел функций
  • переплетение нескольких функций в одну
  • сокрытие вызовов функций
  • создание несводимых участков в графе потока управления
  • шифрование константных строк, используемых программой
  • вставка в код фиктивных циклов из одной итерации
  • разбиение целочисленных констант
  • вставка и перешивание локальных переменных
  • переустановка функций в модуле программы



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Инфосистемы Джет (66)
  Softline (Софтлайн) (57)
  SearchInform (СёрчИнформ) (54)
  ДиалогНаука (44)
  Информзащита (40)
  Другие (923)

  Инфосистемы Джет (5)
  Национальный аттестационный центр (НАЦ) (4)
  Солар (ранее Ростелеком-Солар) (4)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Другие (62)

  Солар (ранее Ростелеком-Солар) (8)
  SearchInform (СёрчИнформ) (4)
  А-Реал Консалтинг (3)
  Информзащита (3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Другие (44)

  Инфосистемы Джет (7)
  Softline (Софтлайн) (4)
  МСС Международная служба сертификации (3)
  Уральский центр систем безопасности (УЦСБ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Другие (42)

  SearchInform (СёрчИнформ) (15)
  Уральский центр систем безопасности (УЦСБ) (6)
  Softline (Софтлайн) (5)
  Инфосистемы Джет (4)
  Перспективный мониторинг (3)
  Другие (42)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SearchInform (СёрчИнформ) (19, 58)
  InfoWatch (ИнфоВотч) (14, 49)
  Солар (ранее Ростелеком-Солар) (4, 48)
  FalconGaze (Фалконгейз) (1, 38)
  Positive Technologies (Позитив Текнолоджиз) (8, 37)
  Другие (408, 310)

  R-Vision (Р-Вижн) (1, 4)
  Инфосекьюрити (Infosecurity) (2, 2)
  Солар (ранее Ростелеком-Солар) (2, 2)
  Makves (Маквес) (1, 2)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Другие (10, 13)

  Солар (ранее Ростелеком-Солар) (2, 7)
  SearchInform (СёрчИнформ) (2, 4)
  А-Реал Консалтинг (1, 3)
  Makves (Маквес) (1, 2)
  Softscore UG (1, 2)
  Другие (5, 6)

  SearchInform (СёрчИнформ) (2, 2)
  Инфосекьюрити (Infosecurity) (1, 1)
  Киберполигон (1, 1)
  ARinteg (АРинтег) (1, 1)
  Cloud4Y (ООО Флекс) (1, 1)
  Другие (8, 8)

  SearchInform (СёрчИнформ) (2, 16)
  Перспективный мониторинг (1, 4)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Makves (Маквес) (1, 1)
  Другие (3, 3)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 54 (52, 2)
  InfoWatch Traffic Monitor Enterprise (IWTM) - 47 (46, 1)
  FalconGaze SecureTower - 38 (38, 0)
  MaxPatrol SIEM - 33 (33, 0)
  DeviceLock Endpoint DLP Suite - 31 (31, 0)
  Другие 308

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2 (2, 0)
  Makves DCAP (Data-Centric Audit and Protection) - 2 (2, 0)
  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие 11

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4 (4, 0)
  Solar Dozor DLP-система - 4 (4, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  Solar JSOC - 3 (3, 0)
  Softscore UG: Anwork Бизнес-коммуникатор - 2 (2, 0)
  Другие 9

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 (2, 0)
  Langame Software Программный комплекс для управления компьютерным клубом - 1 (1, 0)
  CyberPeak Спектр - 1 (1, 0)
  BI.Zone Brand Protection - 1 (1, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1 (0, 1)
  Другие 7

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 16 (16, 0)
  SearchInform FileAuditor - 5 (5, 0)
  Перспективный мониторинг: Ampire Киберполигон - 4 (4, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Security Vision Next Generation SOAR (NG SOAR) - 1 (1, 0)
  Другие 3