ШКОЛА ТЕПЛОПУНКТАБиблиотека


Д. Л. Анисимов

Еще раз о спекуляциях на фальсификациях и о защите наших приборов учета от нас самих


Ранее опубликовано:
Коммерческий учет энергоносителей: Труды 19й Международной научно-практической конференции /
Под ред. А.Г.Лупея – СПб.: Борей-Арт, 2004. С.389

... а ПО, в частности, вычислителей СПТ,
знакомый программер ломает с помощью кнопок на панели
и такой-то матери минут за семь ...

(из обсуждений на форуме сайта «Теплопункт»)


Приведенная в качестве эпиграфа цитата как нельзя лучше, на наш взгляд, отражает тот «фальсификационный бум», что поднялся в стране примерно год назад благодаря известным статьям А. Г. Лупея и В. П. Каргапольцева [1-3]. Как это часто у нас бывает, статьи были восприняты неадекватно, приведенные в них факты — истолкованы неверно… и началось! К фальсификациям попытались причислить все, что только возможно — о некорректности таких «причислений» мы уже сообщали в своем докладе на 18й конференции «Коммерческий учет энергоносителей» [4]. Но это не все: появился целый ряд энтузиастов, изобретающих новые «способы взлома» приборов учета и смущающих покой народа выступлениями о том, что «любой прибор можно «взломать», а потому коммерческий учет — это фикция». Вот почему нам хотелось бы еще раз вернуться к теме фальсификаций, расставив как можно больше точек над «ё», ибо многочисленные выступления доморощенных «хакеров от теплоучета» выслушивать уже просто невозможно.

Прежде всего, определим два основных направления мысли наших хакеров. Направления эти таковы:

  1. Искажение показаний первичных преобразователей (чаще – расхода, иногда говорят и о преобразователях температуры). Цель «фальсификаторов» здесь такова: при помощи неких внешних воздействий или внешних устройств они пытаются повлиять на работу датчика таким образом, чтобы он «занизил» или «временно отказал».
  2. Изменение данных, хранящихся в архивах вычислителей: здесь наши «фальсификаторы» активно используют термин «взлом» и уверяют, что… впрочем, по этому поводу см. эпиграф.

Итак, начнем с преобразователей, хотя тема эта почти неинтересна, т.к. малореальна. Еще пару лет назад на одной из выставок довелось столкнуться с посетителем, который свое знакомство с нашим расходомером (ВЭПС) начал со следующих вопросов: «Так, это что у него? Магнит? Если его вытащить – будет показывать? Нет? Тогда он нам не подходит — обворуют». На довод о том, что магнит находится под пломбой, тот посетитель лишь снисходительно улыбнулся: «Ну что вы, какая пломба? Наши умельцы ее снимут и на место потом вернут так, что никто и не заметит». Что ж, тут стоит говорить о конструкции пломб и качестве пломбирования — но при чем же здесь сам прибор? Производители могут, в принципе, поставлять свои расходомеры и в наглухо заваренных стальных ящиках, из которых будут торчать лишь присоединительные части труб и кабельный ввод в бронерукаве, но вряд ли это кого-то обрадует. Поэтому тему о «фальсификациях путем проникновения под пломбу» предлагаем считать чистой воды спекуляцией — тем более, в конце статьи мы выскажем соображение, напрочь эту спекуляцию убивающее.

Вторая «анонсируемая» группа способов надругательства над преобразователями связана с использованием неких гипотетических внешних устройств, искажающих магнитные поля, создающих вибрации трубопроводов и т.д., и т.п. Правда, этих устройств никто не видел, да никто и не знает толком, как именно нужно «исказить магнитное поле», чтобы показания электромагнитного расходомера стали меньше, но не настолько меньше, чтобы вызвать подозрения. Вероятно, это сложный инженерный вопрос, решение которого требует времени и солидной инструментальной базы, которой наши «взломщики приборов» не обладают. Отсюда — предложение и эти домыслы рассматривать именно как домыслы и, извините, бредни.

А вот «взлом» вычислителей — тема настолько благодатная, что в ней уже кто только не порезвился. «Взламывают» все — и СПТ, и СТ с ТСом, и КАРАТы с «Эльфами», и ВКТ, ВТД, ТВМ, ТСЧВМ… и т.п. вместе с и т.д. тоже взламывают. Как сказано в эпиграфе, «с помощью кнопок на панели и такой-то матери». М-да, ох уж эта вековечная расейская удаль!

Действительно, на «взломе» вычислителей очень легко и удобно спекулировать. Во-первых, всем известно, что вычислитель — это как бы «маленький компьютер», все слыхали, что компьютеры «взламывают» сплошь и рядом. Во-вторых, большинство пользователей вычислителей представление об их «начинке» (равно как и об устройстве компьютеров) имеют весьма приблизительное. Даже многие проектировщики и монтажники теплосчетчиков по образованию являются теплотехниками или электриками, а не «компьютерщиками-электронщиками». Именно по этим двум причинам и возникают на горизонте талантливые «хакеры тепловычислителей», вещающие о победах над тем или иным прибором. Кстати, сразу отметим, что НИ ОДНОГО реального случая «взлома» НИ ОДНОГО вычислителя «при помощи кнопок и такой-то матери» нам неизвестно – равно как непонятна и цель такого взлома. Хотя — что вообще имеется в виду под «взломом»?

Давайте не будем злоупотреблять аналогиями с миром компьютеров. Те самые «компьютерные взломы» связаны, как правило, с проникновением в ту или иную компьютерную систему извне (через сеть или непосредственно) путем подбора (расчета) нужной кодовой комбинации — пароля с последующим считыванием, реже — изменением каких-либо хранящихся в системе данных. При этом сама возможность такого проникновения предопределена и обеспечена, как минимум, следующими факторами:

  • стандартностью и известностью операционной системы;
  • стандартностью и известностью интерфейсов ввода-вывода.

А вот возможность изменения хранящихся в системе данных после ввода «правильного» пароля изначально предусмотрена создателями этой системы! А что мы имеем — точнее, НЕ имеем, с теплосчетчиками?

Во-первых, мы не имеем не только стандартных и известных операционных систем, но и не имеем операционных систем вообще. Можно говорить о рабочей программе, которая может иметь некое ядро, выполняющее необходимые «операционные» функции — но такая программа у каждого вычислителя своя, и вряд ли кто-то, кроме разработчика-производителя располагает ее исходными текстами и способен найти в них некие «зацепки» и «лазейки» для последующего «взлома».

Во-вторых, мы не имеем стандартных интерфейсов ввода-вывода. Впрочем, при незнании хакером операционной системы наличие этих интерфейсов тоже вряд ли ему поможет.

В-третьих… а вот с этим — с возможностью изменения данных — немного сложнее.


Вернемся к нашему эпиграфу и упомянутому в нем СПТ. В руководстве по эксплуатации этого прибора сказано, что производитель предусмотрел в нем возможность изменения (именно «при помощи кнопок на панели») настроечных данных, т.е. всевозможных коэффициентов, описывающих датчики и определяющих логику работы прибора. О возможности изменения, например, архивов измеренных значений, не говорится ни слова — считаем, что такая возможность просто не предусмотрена, как оно и должно быть. Так что же тогда «ломает» наш герой? да еще целых семь минут? да еще и с участием «такой-то матери»? Непонятно: может, он подбирает забытый пароль для изменения настроечных данных, чтобы «сэкономить» потом путем подтасовки какого-нибудь коэффициента? Но ведь доступ к настроечным данным в СПТ защищен «механически» — при помощи переключателя, находящегося под опломбированной крышкой! может тогда «такая-то мать» — это некое хитроумное устройство для съема пломбы? Пусть так — но ведь измененный коэффициент и на индикаторе вычислителя будет затем демонстрироваться в измененном виде, зафиксировать факт его подтасовки ничего не стоит [4]. Так в чем тогда смысл этого «взлома»?

Очевидно, что смысл есть только тогда, когда наш герой либо знает, как изменить коэффициент в памяти, оставив его неизменным при индикации, либо он меняет вовсе не коэффициенты, а данные в архивах. В теории, и то, и другое возможно — но только тогда и только тогда, когда производитель прибора СПЕЦИАЛЬНО предусмотрел такую возможность, а наш чудо-хакер и о самой этой возможности, и о способе ее реализации узнал. Но, даже если в бреду предположить на секунду, что все это действительно так, то тогда вряд ли для реализации этой возможности требуется целых семь минут — производитель способен обеспечить для себя более быстрый доступ и скорее всего — не при помощи кнопок, которых у некоторых вычислителей — всего две, а то и вовсе одна. Тем не менее, да: теоретически производитель способен…


Здесь мы обязаны сделать следующее заявление: мы НЕ ВЕРИМ в подлинность описанного в эпиграфе случая и НЕ ВЕРИМ в существование каких-либо тайных «фальсификационных входов» именно в вычислителях СПТ. Вероятно, СПТ приведен автором процитированного в эпиграфе сообщения наобум — как широко известный и распространенный прибор. И мы приносим свои извинения коллективу ЗАО НПФ ЛОГИКА и многочисленным пользователям и поклонникам вычислителей СПТ за то, что невольно вплели имя этого прибора в столь сомнительную тему. Можно было бы заменить его на многоточие, но, согласитесь, это тоже было бы некорректно — недосказанность как раз и порождает спекуляции.


В статье [4] мы достаточно подробно развили тему «способностей производителя» и повторяться здесь не будем. Отметим другое. Современный отечественный тепловычислитель — это не только средство измерений тепла (или тепловой энергии), но и средство учета, анализирующее и фиксирующее в своих архивах массу взаимосвязанных данных за большие интервалы времени. «Грамотно» подтасовать эти данные весьма сложно — фальсификация обнаруживается, что, в общем-то, и было показано в статье А.Г. Лупея [1]. Задача «фальсификатора» осложняется еще и тем, что содержимое архивов вычислителей (теплосчетчиков) считывается и фиксируется на удаленном компьютере или вообще в виде распечаток, как правило, с периодичностью, меньшей, нежели периодичность обновления («глубина») архивов. За счет этого отследить «насильственное» изменение хранимых в тепловычислителе данных становится еще проще. Производители теплосчетчиков понимают это раньше и лучше потребителей-пользователей, и потому мы почти уверены, что сегодня приборы учета с заложенными в них самими производителями возможностями фальсификации результатов учета не выпускаются. А это значит, что любые разговоры о «тепло-хакерах» и «взломах» теплосчетчиков — несостоятельны. С другой стороны, любой достоверно выявленный факт фальсификации (изменения данных в приборе учета) почти однозначно свидетельствует о том, что в деле замешан производитель. И тут, и там мы говорим «почти» только лишь потому, что не хотим претендовать на истину в последней инстанции — жизнь многообразна, и для каждого правила существует хотя бы одно исключение.

В заключение — о реальной защищенности теплосчетчиков от фальсификаций и фальсификаторов. Начнем с примера. Весной 2003 года на конференции «Энергопоток» (http://www.energopotok.ur.ru) в Екатеринбурге В. С. Казачков докладывал о разработанной им системе поквартирного учета тепла [5]. Не вдаваясь в суть этой системы, отметим, что в ней осуществляются измерения температуры воздуха у каждого радиатора отопления в каждой квартире, и температуры воздуха где-то «подальше» от радиаторов в той же квартире. Упрощенно говоря, чем больше разница этих температур, тем больше теплопотребление квартиры, чем эта разница меньше — тем, соответственно, больше экономия хозяина квартиры. В зале тогда присутствовал один известный российский специалист по фальсификациям, который не преминул задать такой вопрос: а что, мол, если я накрою «удаленный» датчик температуры грелкой и таким образом буду существенно «экономить»? Г-н Казачков ответил на это просто блестяще: система, сказал он, анализирует массу параметров, и если она «увидит», что температура воздуха в вашей квартире вдали от радиаторов поднялась до чрезмерно высокой величины, то система… подаст сигнал на пульт пожарной охраны, и к вам приедут!

Мораль этой истории такова: можно легко «обмануть» отдельный датчик, но очень сложно «обмануть» целую систему. А теплосчетчик — это именно система, которая, как уже говорилось выше, анализирует и фиксирует массу параметров. И то, что вы влезете под пломбы расходомера и выкрутите из него магнит, будет замечено системой; то, что вы отсоедините на время кабель от термопреобразователя, будет замечено системой — и т.д., и т.п., и далее в том же духе.


Таким образом, функции анализа нештатных ситуаций, функции архивирования результатов измерений (учета) и функции вывода данных на внешний носитель являются необходимой и достаточной защитой от несанкционированных вмешательств в работу прибора учета. Или, другими словами — защитой от фальсификаций при приборном учете. Сами же фальсификации возможны тогда и только тогда, когда их возможность предусмотрена производителем прибора учета: такие приборы нужно «отлавливать», а таких производителей — наказывать. Все разговоры о «взломах» тепловычислителей некими доморощенными «хакерами» — не более, чем пустая болтовня. Тем не менее, мы будем весьма признательны тем, кто предоставит нам доказательства обратного.


ЛИТЕРАТУРА

  1. Лупей А. Г. О запрещенных методах «метрологического обслуживания» коммерческих узлов учета тепловой энергии. Сборник трудов 17 международной конференции «Коммерческий учет энергоносителей», СПб, 2003
  2. Каргапольцев В. П. О фальсификациях при приборном учете тепла и воды. Сайт «Теплопункт», http://teplopunkt.ur.ru/articles/0075_kvp_fls.html
  3. Каргапольцев В. П., Лупей А. Г. О некоторых методах «экономии» при ведении коммерческого учета воды и тепла. Сборник трудов 18 международной конференции «Коммерческий учет энергоносителей», СПб, 2003
  4. Анисимов Д. Л. Теплосчетчики: о фальсификациях и спекуляциях. Сборник трудов 18 международной конференции «Коммерческий учет энергоносителей», СПб, 2003
  5. Казачков В. С., Шахнович А. Г., Когут С. А. Распределенная система комплексного учета потребления ресурсов в домах массовой застройки. Сборник трудов 2 международной конференции «Теплосиб: проблемы коммерческого учета энергоресурсов», Новосибирск, 2003