Метрологически значимое ПО

[KIP IPP 66]

Появилась  новость

Цитата

Программа, разработанная Денисом Заевым, позволяла недоливать в бак до семи процентов топлива, оплаченного автомобилистами. При этом счетчик отображал, что в бак залит полный объем. Оставшийся бензин сливался в резервуар.....

Росстандарт отмечает, что будет проводить не только проверку качества, но и сверять объем топлива, залитый фактически и по чеку. Для реализации данной задумки ведомство рассчитывает вновь обрести право на контрольную закупку топлива, которого некоторое время назад ведомство было лишено.  Подробнее: http://bloknot-krasnodar.ru/news/russkie-khakery-i-nedoliv-benzina-fsb-pomogli-avto-927374

Как рассказал «Росбалту» источник в правоохранительных органах, по своим масштабам это одна из самых крупных подобных афер, выявленных ФСБ. На десятках АЗС были обнаружены вредоносные программы, позволявшие незаметно для клиентов недоливать топливо при заправке их автомобилей. «Гигантская афера охватила почти весь юг России, „вирусы“ были обнаружены на десятках АЗС в Ставропольском крае, Адыгее, Краснодарском крае, Калмыкии, ряде республик Северного Кавказа и т. д. Была выстроена целая сеть по хищению топлива у рядовых граждан — владельцы АЗС никого финансового убытка не несли», — рассказал собеседник агентства.

По его словам, ставропольский хакер Денис Заев сам разработал и создал несколько программ, с которыми контрразведчикам еще не приходилось сталкиваться. «Раньше аферисты использовали для хищений на АЗС специальные „жучки“, потом им на смену пришли вирусы. Однако все же их можно было обнаружить. Заев же создал уникальный продукт. Его вредоносные программы не могли выявить ни специалисты службы контроля нефтяных компаний, которые постоянно проводят проверки на АЗС, ни сотрудники МВД. Да и нам удалось все это установить оперативным путем», — отметил источник «Росбалта».

Создав совершенный вирус, Заев, по версии ФСБ, начал предлагать его руководящим сотрудникам АЗС. Зачастую он выступал не только продавцом вредоносной программы, но и совладельцем «канала» хищения топлива, то есть — получал долю с украденных средств. А речь шла о сотнях миллионов рублей нелегальной выручки.

Вирусы внедрялись как в программное обеспечение самих колонок, так и в системы суммарных счетчиков, технологических проливов, контрольно-кассового учета.

Работала вредоносная программа следующим образом. Каждое утро сотрудники АЗС под благовидным предлогом оставляли пустым один из резервуаров. Например, под видом очистки. Когда клиент делал покупку, программа автоматически ему недоливала от 3% до 7% от количества приобретаемого бензина. При этом счетчик на колонке и все программы учета у оператора отображали, что в бак залит весь объем оплаченного топлива. Похищенный бензин автоматически отправлялся в резервуар, оставленный с утра пустым. При этом вирус стирал всю информацию о таких проливах...http://polytika.ru/info/87049.html

ранее уже обсуждались в разных ветках  метрологически значимую часть программного обеспечения  (программы и программные модули, выполняющие обработку измерительной информации и реализующие функции по идентификации и защите ПО СИ).

Цитата

...ГОСТ Р 8.654-2009, МИ 2646-2001 ........Весь контроллер - метрологически значимое ПО. Как идентифицировать ПО? Нет ли подделки?... https://metrologu.ru/topic/2368-сведения-о-по-в-описании-типа-си/?page=2

...разделить ПО на :  - метрологически значимое  - и не значимое ПО с точки зрения метрологии... https://metrologu.ru/topic/25872-комплексы-паркрайт-эксплуатируемые-цодд-москвы/?page=8

...Поэтому и появилось понятие - метрологичски значимое ПО..... https://metrologu.ru/topic/26167-доплеровский-измеритель-скорости/

https://metrologu.ru/topic/4594-уровень-защиты-по/

https://metrologu.ru/topic/4898-проблема-идентификации-по-при-утверждении-типа/

https://metrologu.ru/topic/7923-отдел-209-вниимс/

https://metrologu.ru/topic/3432-вопросы-по-ми-3290-2010-и-ми-3286-2010/

https://metrologu.ru/topic/15430-требования-целостности-по-си/

https://metrologu.ru/topic/20055-метрологическая-экспертиза-по/

которая содержит средства обнаружения, обозначения и устранения сбоев и искажений, которые нарушают целостность результатов измерений ее уровни защиты .... В настоящее время имеются по этому вопросу

Цитата

Пр Минпромторга №1081 от 30.11.2009г "Об утверждении Порядка проведения испытаний стандартных образцов или средств измерений в целях утверждения типа...

 ГОСТ Р 8.883-2015 "Государственная система обеспечения единства измерений. Программное обеспечение средств измерений. Алгоритмы обработки, хранения, защиты и передачи измерительной информации. Методы испытаний"

Р 50.2.077-2014 "Государственная система обеспечения единства измерений. Испытания средств измерений в целях утверждения типа. Проверка защиты программного обеспечения"

МИ 2955-2010. ГСИ. Типовая методика аттестации программного обеспечения средств измерений.

МИ 3286-2010. Проверка защиты программного обеспечения и определение ее уровня при испытаниях средств измерений в целях утверждения типа.

МИ 3290-2010. ГСИ. Рекомендация по подготовке, оформлению и рассмотрению материалов испытаний средств измерений в целях утверждения типа.

 

идентификатор такого ПО - контрольная сумма ,которая  как можно предположить из новости и недавнего VolkswagenДизель-гейта  можно подменить...

Поэтому логично намерение Росстандарта  проверять его натурно  

 

 

 

Изменено 25 Января 2018 пользователем KIP IPP

[KIP IPP 66]

Както никто  не обратил внимания.... А ведь пока данная проблема проявилась только на АЗС. Наверно потому что никто не встречал в инете сообщений о (?возможно этом) "вирусе" , который  ничего не  изменяет в метрологически значимой части ПО   когда измеряются значения  объемов топлива равные значениям из методики поверки 

Цитата

 

http://www.samarskie-voditeli.ru/viewtopic.php?f=20&t=1268  05 мар 2013  Вычитал тут у журналиста самарского, Бегуна.
ФСБшники проверили "Самаранефтепродукт" в частности АЗС Роснефти и нефтебазы.
На 10 заправках выявили недолив от 5 до 10%! Также выявили корректирующие электронные устройства.

...как правило 10 литровый мерник заливает правильно, а недолив происходит при большей заправке...

 

 Конечно хакеру нужен доступ к СИ.  А ведь в будущем будет все оцифровано см РП РФ  №1632-р от 28.07.2017г "Об утверждении программы "Цифровая экономика Российской Федерации"

Изменено 25 Января 2018 пользователем KIP IPP

[Дмитрий Борисович 1 013]

20 часов назад, KIP IPP сказал:

Поэтому логично намерение Росстандарта  проверять его натурно

???

20 часов назад, KIP IPP сказал:

масштабам это одна из самых крупных подобных афер, выявленных ФСБ. На десятках АЗС были обнаружены вредоносные программы,

 

20 часов назад, KIP IPP сказал:

Заев же создал уникальный продукт. Его вредоносные программы не могли выявить ни специалисты службы контроля нефтяных компаний, которые постоянно проводят проверки на АЗС, ни сотрудники МВД.

 

20 часов назад, KIP IPP сказал:

При этом вирус стирал всю информацию о таких проливах...

И чего? Росстандарт будет по всем АЗС с канистрами бегать??

Вирус то ка запущен... так может быть на время и блокирован... 

"Послушайте, если вирусы создают, значит это кому то нужно.."

Но выявление их - не задача Росстандарта ... а МВД и ФСБ... ИМХО конечно... 

[KIP IPP 66]

1 час назад, Дмитрий Борисович сказал:

....

СПАСИБО за обсуждение.

Мне кажется в метрологическом форуме  можно обсуждать метрологическое   -  может ли разработчик СИ, поверитель както быть причастен к этому. На форумах в основном обсуждаются другие БОЛЕЕ заинтересованные лица. Однажды  только встретил  высказывания и  о других участниках ВОЗМОЖНОГО сговора....

Достаточны ли в настоящее время имеющиеся требования к  метрологически значимому ПО  ?  Достаточны ли требования наличия свидетельства о поверке к СГРОЕИшным измерениям - не пора ли его дополнять наличием сертификата о калибровке?  Может в какихто случаях  в конструкцию надо включать какойто опломбированный сервисный разъем для подключения поверочного имитатора  ? Может фискальную память с журналированием   не всех а некоторых событий в работе СИ ?....

 

 

[KIP IPP 66]

В 25.01.2018 в 14:20, Дмитрий Борисович сказал:

И чего? Росстандарт будет по всем АЗС с канистрами бегать??...

Но выявление их - не задача Росстандарта ... а МВД и ФСБ... ИМХО конечно... 

....руководитель Росстандарта Алексей Абрамов в интервью «Российской газете».«Воровали всегда и везде, — говорит он, — разные хитрости использовали и раньше, но чем более усложняется техника на заправках, тем, оказывается, проще обманывать. Вплоть до того, что есть даже такие способы и уловки, когда оператор индивидуально подходит к тому, кого и на сколько обмануть — он может задать, недолив конкретно в эту машину, потом через две еще в одну и так далее. Мы уже сталкивались с таким виртуозным управлением количества отпускаемого топлива. При этом все оборудование поверено, опломбировано, все вроде бы чисто».... https://kaspyinfo.ru/vorovali-vsegda-i-vezde-za-nedoliv-benzina-budut-zhestko-nakazyvat/
 

Изменено 26 Января 2018 пользователем KIP IPP

[KIP IPP 66]

Обратите внимание руководитель Росстандарта знает об конкретных проблемах в работе какихто (ТРК) средств измерений. Соизмеримых в рублевом выражении проблемах связанных  со штрафами  по данным других средств измерений с фотофиксацией  -  нет от него комментариев.

...За 11 месяцев 2017 года в Москве было выписано почти 20 миллионов штрафов за нарушения ПДД. ... .http://www.forbes.ru/biznes/355553-platit-i-kayatsya-pochemu-dlya-voditeley-ne-deystvuet-prezumpciya-nevinovnosti

- Сергей Львович, скажите, как распределяются доходы от работы комплексов фиксации?....- О каких суммах речь?

- В 2017 году было вынесено 408 915 постановлений, из них оплачено 317 тысяч постановлений на общую сумму 168 млн 897 тыс. рублей. ....http://chita.riasv.ru/news/igra_na_kameru_chast_2/2139616/

Изменено 30 Января 2018 пользователем KIP IPP

[evGeniy 1 028]

6 часов назад, KIP IPP сказал:

Соизмеримых в рублевом выражении проблемах связанных  со штрафами  по данным других средств измерений с фотофиксацией  -  нет от него комментариев.

А какие комментарии Вам нужны?

[KIP IPP 66]

Комментарии могли бы какието появиться. Вообще-то сейчас многими обсуждается случай

В 30.01.2018 в 10:00, UNECE сказал:

....

согласитесь это также очень похоже на проблему  метрологически значимого ПО ? 

1 минуту назад, KIP IPP сказал:

...

[evGeniy 1 028]

18 минут назад, KIP IPP сказал:

согласитесь это также очень похоже на проблему  метрологически значимого ПО ? 

Где там проблема с метрологией? Там нарушение РЭ

[KIP IPP 66]

5 минут назад, evGeniy сказал:

Где там проблема с метрологией? Там нарушение РЭ

Возможна проблема не с метрологией а с  метрологически значимым ПО или РЭ. Очень похожая как на АЗСовскую(не так ли?)  которую прокомментировал руководитель Росстандарта

[evGeniy 1 028]

29 минут назад, KIP IPP сказал:

Очень похожая как на АЗСовскую(не так ли?)  которую прокомментировал руководитель Росстандарта

За уши притянуто

29 минут назад, KIP IPP сказал:

Возможна проблема не с метрологией а с  метрологически значимым ПО или РЭ.

Метрологией там и не пахнет. ПО(фирмваре) отдельно, картографический сервис отдельно

[KIP IPP 66]

2 часа назад, evGeniy сказал:

ПО(фирмваре) отдельно

Конечно.."Модуль измерений времени и координат   mtc.dll"

Но не указано значение контрольной суммы а только "Защита программного обеспечения от изменения метрологически значимой его части реализована путем проверки контрольной суммы прошивки комплекса при старте."

"За уши притянуто" - согласен очень похоже

Но почемуто(зачемто) такой комментарий последнего АЗСовского случая руководителем Росстандарта  - наверно мы не все знаем...

 

[evGeniy 1 028]

1 час назад, KIP IPP сказал:

Но почемуто(зачемто) такой комментарий последнего АЗСовского случая руководителем Росстандарта  - наверно мы не все знаем...

Вы же не в вакууме живете. Сами же в теме про проверки АЗС постите. Компанейщина очередная поэтому и все события на виду 

[KIP IPP 66]

Цитата

...ГОСТ Р 8.654-2009,...... https://metrologu.ru/topic/2368-сведения-о-по-в-описании-типа-си/?page=2

ГОСТ Р 8.654-2015 Государственная система обеспечения единства измерений (ГСИ). Требования к программному обеспечению средств измерений. Основные положения

Цитата

Настоящий стандарт разработан в развитие пункта 1 статьи 9 Федерального закона Российской Федерации от 26 июня 2008 г. N 102-ФЗ "Об обеспечении единства измерений", в соответствии с которым в состав обязательных требований, предъявляемых к средствам измерений, применяемым в сфере государственного регулирования обеспечения единства измерений, в необходимых случаях включают требования к программному обеспечению средств измерений.

Стандарт предназначен для использования разработчиками, изготовителями и заявителями испытаний программного обеспечения средств измерений, а также организациями, проводящими испытания средств измерений или осуществляющими подтверждение соответствия программного обеспечения средств измерений в соответствии с действующим законодательством Российской Федерации.....

3.3 защищенный интерфейс: Интерфейс, через который может быть передан или изменен только определенный набор данных и параметров. Через защищенный интерфейс невозможно ввести в ПО данные, которые могут быть ошибочно приняты за результат измерения, а также команды, которые могут быть использованы для искажения отображаемых, обработанных и сохраненных результатов измерения или других данных либо для несанкционированного изменения настроек ПО.

3.4 идентификационные данные (признаки) ПО: Однозначно связанная с конкретным ПО последовательность символов (букв, цифр и т.п.), например контрольная сумма.

3.5 идентификация ПО: Проверка и подтверждение подлинности и целостности ПО, выраженное в символах (буквах, цифрах), однозначно соответствующих ПО (например, контрольная сумма).

3.10 контрольная сумма: Число, рассчитанное путем проведения определенных операций над входными данными (например, хеш-сумма, электронная подпись), обычно используемое для проверки правильности передачи данных по каналам связи.

3.12 непреднамеренные изменения ПО: Непредумышленные, случайные воздействия на ПО и измерительную информацию, вызванные ошибками в проектировании СИ, в программировании, а также действиями персонала и воздействиями случайных физических факторов.

3.13 подлинность (аутентичность) ПО и данных: Состояние ПО и данных, характеризующееся их идентичностью приписанным признакам (характеристикам).

3.14 подтверждение соответствия (сертификация) ПО СИ: Документальное удостоверение соответствия ПО положениям настоящего стандарта и/или других нормативных документов.

3.15 преднамеренные изменения ПО: Сознательные воздействия на ПО и измерительную информацию с целью их искажения.

3.16 проверка защиты ПО: Исследование ПО с целью подтверждения идентификационных данных (признаков) и оценки уровня его защиты в соответствии с требованиями законодательства в области обеспечения единства измерений.

3.17 ПО СИ: Программы (совокупность программ), предназначенные для использования в СИ и реализующие в том числе сбор, передачу, обработку, хранение и представление измерительной информации, а также программные модули и компоненты, необходимые для функционирования этих программ.

Кто определяет необходимость таких СГРОЕИшных  СИ  (например если в ОТ  указываются идентификационные данные-то требования этого ГОСТ для такого СИ?   ................... организации подтверждающие соответствие ПО - ?

В 31.01.2018 в 18:39, evGeniy сказал:

Но почемуто(зачемто).....Компанейщина очередная поэтому и все события на виду

Компания по подготовке  ?     Или подтвердилось аналогичное- преднамеренное изменение значений калибровочных коэффициентов  в ПО ТРК  разрешенное только в специальном режиме "калибровка" ?

Цитата

http://www.samarskie-voditeli.ru/viewtopic.php?f=20&t=1268  05 мар 2013 ..
На 10 заправках выявили недолив от 5 до 10%! ....как правило 10 литровый мерник заливает правильно, а недолив происходит при большей заправке...

 

Изменено 2 Февраля 2018 пользователем KIP IPP

[UNECE 167]

В ‎31‎.‎01‎.‎2018 в 16:50, KIP IPP сказал:

Конечно.."Модуль измерений времени и координат   mtc.dll"

При том что данный модуль ничего не измеряет, а является интерфейсной прокладкой между прикладным ПО, работающим под Windows, и приемником ГНСС, работающим по двум протоколам, стандартным NMEA и от производителя.

При этом INI файл, с помощью которого настраиваются параметры измерений, в перечень метрологически значимого ПО не внесен

В ‎31‎.‎01‎.‎2018 в 16:50, KIP IPP сказал:

Но не указано значение контрольной суммы а только "Защита программного обеспечения от изменения метрологически значимой его части реализована путем проверки контрольной суммы прошивки комплекса при старте."

А также не указана методика подсчета контрольной суммы.
Более того, в другой документации говорится уже о том что защита обеспечена просто разграничением прав пользователей (очевидно учетки Windows)

[KIP IPP 66]

1 минуту назад, UNECE сказал:

При том что данный модуль ничего не измеряет, а является интерфейсной прокладкой между прикладным ПО, работающим под Windows, и приемником ГНСС, работающим по двум протоколам, стандартным NMEA и от производителя.

При этом INI файл, с помощью которого настраиваются параметры измерений, в перечень метрологически значимого ПО не внесен

см ГОСТ

3.11 метрологически значимая часть ПО: Программы и программные модули, выполняющие обработку измерительной информации и реализующие функции по идентификации и защите ПО СИ.

3.18 программное разделение (software separation): Выделение в ПО метрологически значимой и незначимой частей [2].

4.3.8 При отсутствии или невозможности разделения ПО (см. 4.3.1) идентификации подлежит все ПО СИ.

[evGeniy 1 028]

54 минуты назад, UNECE сказал:

При том что данный модуль ничего не измеряет, а является интерфейсной прокладкой между прикладным ПО, работающим под Windows

Ну да, Икспэрт то точно знает. Он то в этом разбирается 

[UNECE 167]

5 часов назад, KIP IPP сказал:

3.11 метрологически значимая часть ПО: Программы и программные модули, выполняющие обработку измерительной информации

Например конвертация измеренных координат в адрес по эмпирической дискретной функции "цифровая карта", при выражении координат исключительно в единицах "улица,дом"?

[Дмитрий Борисович 1 013]

В 02.02.2018 в 21:40, UNECE сказал:

Например конвертация измеренных координат в адрес по эмпирической дискретной функции "цифровая карта", при выражении координат исключительно в единицах "улица,дом"?

Что есть конвертация?

Цитата

Конвертация данных — преобразование данных из одного формата в другой. Обычно с сохранением основного логически-структурного содержания информации.

И это не может быть обработкой измерительной информации ....

Но у конвертации есть одна из проблем

Цитата

Конвертация может быть с потерей информации или без потери информации. Обычно связано с «богатством» того или иного формата данных. 

И это проблема картографии....Т.е. картографический сервисов...

[UNECE 167]

22 минуты назад, Дмитрий Борисович сказал:

преобразование данных из одного формата в другой. Обычно с сохранением основного логически-структурного содержания информации.

обычно не означает всегда.

из формата полярной системы "координаты широта, долгота" у Паркрайта и тп  происходит конвертация в достаточно произвольный (учитывая что улица может изгибаться как угодно, а нумерация может быть не сплошной, с разной размерностью домов) формат "улица, дом"

26 минут назад, Дмитрий Борисович сказал:

И это проблема картографии....Т.е. картографический сервисов...

а также выражения результатов измерений координат через их представление в виде адреса:

1) дом не находится на проезжей части, а измеряются координаты именно на проезжей части

2) при преобразовании координат в адрес берется ближайший существующий в базе адрес, который в реальности может отстоять на сотни метров от точки с измеренными координатами - просто потому что ближе нет строения с присвоенным адресом

3) ну и просто по факту, что каждым координатам соответствует одно и только одно здание, но обратное неверно

Поэтому при выражении координат через адрес происходит принципиальная утрата точности результата измерений координат, на порядки превышающая погрешность их измерения.

И ПО, которое производит преобразование результата измерений для его выражения и использования эксплуатантом, если отсутствует его выражение в исходном виде, должно считаться метрологическим

[evGeniy 1 028]

47 минут назад, UNECE сказал:

при преобразовании координат в адрес берется ближайший существующий в базе адрес, который в реальности может отстоять на сотни метров от точки с измеренными координатами - просто потому что ближе нет строения с присвоенным адресом

Он и тут всё знает  Откуда такая уверенность в работе алгоритма карторграфического сервиса 

[evGeniy 1 028]

49 минут назад, UNECE сказал:

И ПО, которое производит преобразование результата измерений для его выражения и использования эксплуатантом, если отсутствует его выражение в исходном виде, должно считаться метрологическим

Спасибо, посмешили 

[Дмитрий Борисович 1 013]

2 часа назад, UNECE сказал:

И ПО, которое производит преобразование результата измерений для его выражения и использования эксплуатантом, если отсутствует его выражение в исходном виде, должно считаться метрологическим

А по какому НПА??? Тварищть законодатель??? Ой простите ... просто простой водитель и член рабочей группы...

 

[UNECE 167]

30 минут назад, Дмитрий Борисович сказал:

А по какому НПА???

по здравому смыслу

[Дмитрий Борисович 1 013]

26 минут назад, UNECE сказал:

по здравому смыслу

Ура ! Товарищти...

2 часа назад, evGeniy сказал:

Спасибо, посмешили