Тест генератора Аврора

В 2007 году Национальная лаборатория штата Айдахо провела Тест Генератора Авроры, чтобы продемонстрировать, как кибератака может уничтожить физические компоненты электросети.^[1] В эксперименте использовалась компьютерная программа для быстрого включения и выключения прерывателя дизельной электростанции в противофазе с остальной сетью, что приводит её к взрыву. Эта уязвимость называется Aurora Vulnerability — уязвимость Авроры. Автор тестирования — Перри Педерсон^[2].

Эта уязвимость является особенно важной, потому что большинство сетевого оборудования поддерживает использование Modbus и других устаревших сетевых протоколов, которые были разработаны без учета надлежащей безопасности. Таким образом, они не поддерживают аутентификацию, конфиденциальность или защиту от повторной передачи перехваченных сообщений, что означает, что любой злоумышленник, способный соединиться с устройством, может контролировать его и использовать уязвимость Aurora для его уничтожения. Это является серьезной проблемой, так как отказ даже одного генератора может привести к массовым выходам из строя и, возможно, каскадному отказу всей энергосистемы, что и произошло во время аварии в энергосистеме в США и Канаде в 2003 году. Кроме того, даже при отсутствии сбоев при выходе из строя одного компонента (N-1 устойчивость), существует большой интервал времени для проведения второй атаки или сбоя, так как для его замены может потребоваться больше года, поскольку многие генераторы и трансформаторы изготовлены по спецзаказу для подстанции.

Уязвимость Aurora можно невилировать предотвращением несинхронизированного закрытия защитных реле. Некоторые предлагаемые методы включают в себя введение дополнительной функциональности в релейную защиту для обеспечения синхронизации и обеспечения задержки для автоматических выключателей.^[3] Большинство современных генераторов имеют много способов защиты от асинхронный работы генератора. Такие устройства, как реле проверки синхронизации IEEE 25, а также IEEE 46,47,50 и 53, используются для предотвращения выхода из строя автоматических выключателей. Кроме того, большинство используемых реле-генераторов не имеют какой-либо связи, они блокируют работу автоматического выключателя генератора, не позволяя ему перейти в режим замыкания.

Эксперимент[править | править код]

Чтобы подготовиться к эксперименту, группа исследователей доставила и установила генератор мощностью 2.25 МВт и подключила его к подстанции. Им также был необходим доступ к программируемому цифровому реле или любому другому устройству, которое контролирует автоматический выключатель. Такой доступ мог быть осуществлен через механический или цифровой интерфейс.^[4]

В эксперименте использовалась кибератака, чтобы включать и выключать прерыватель асинхронно, максимизируя нагрузку. Каждый раз, когда прерыватели были выключены, крутящий момент от синхронизации заставлял генератор подпрыгивать и трястись, в результате чего его части отрывались и вылетали.^[5] В итоге, некоторые части генератора приземлились в 80 футах от генератора^[6].

Агрегат был уничтожен примерно за три минуты. Но так случилось потому что исследователи оценивали ущерб от каждой итерации атаки. Настоящая атака смогла бы уничтожить устройство гораздо быстрее.^[5]

Эксперимент не был определен как секретный, только для служебного пользования.^[7] 27 сентября 2007 года CNN опубликовал статью, основанную на различного рода информации, предоставленной министерством внутренней безопасности США, а 3 июля 2014 года DHS опубликовало большинство других документов, связанных с экспериментом, в рамках запроса FOIA / ЗСИ (АСИ — Акт/Закон о Свободе Информации).^[8]

Уязвимость[править | править код]

Уязвимость Aurora вызвана обходом защитных реле.^[5] Для этого требуется знание распределительного устройства для каждого конкретного завода, доступ к этому устройству, а также размещение перемычек. Надлежащая безопасность помещений с распределительным устройством не может позволить этому произойти.

«Близкую аналогию можно провести с автомобилем, который переключили на заднюю передачу, когда он двигался по шоссе, или эффект от длительного нажатия на педаль газа, пока автомобиль находится в нейтральном и неподвижном положении, а затем переключения передачи обратно на любую другую.^[5]

"Атака типа Aurora предназначена для того, чтобы отключить выключатель, дождаться нарушения синхронности энергосистемы или генератора, и затем снова включить выключатель, прежде чем система защиты успеет распознать атаку и среагировать на нее. Традиционные механизмы защиты генератора обычно срабатывают и блокируют повторное включение примерно в течение 15 периодов. На это время влияют многие переменные. Чтобы определить уязвимость конкретной системы к атакам типа Aurora, необходимо провести индивидуальный анализ. При том, что атака Aurora сосредоточена на потенциальном интервале в 15 периодов сразу после отключения выключателя, основным ограничением для ее успешности является то, как быстро генератор возвращается к синхронному состоянию".^[9]

Снижение последствий атаки[править | править код]

Уязвимость Aurora вызвана несинхронным замыканием защитных реле. Таким образом, любой механизм, предотвращающий несинхронизированное замыкание, уменьшит уязвимость.

Один из способов смягчения заключается в том, чтобы добавить функцию проверки синхронизации ко всем защитным реле, которые потенциально соединяют две системы вместе. Чтобы реализовать это, функция должна препятствовать закрытию реле, если напряжение и частота не находятся на заданном диапазоне. Кроме того, проверка синхронизации может контролировать скорость изменения частоты и предотвращать закрытие выше заданного значения скорости.^[3]

Критика[править | править код]

Обсуждался вопрос о том, могут ли защитные устройства оборудования Aurora (Hardware Mitigation Device) вызвать другие сбои. В мае 2011 года Quanta Technology опубликовал статью, в которой использовалось тестирование RTDS (Real Time Digital Simulator) для изучения производительности множества доступных коммерческих релейных устройств Aurora HMDs. «Реле подвергались различным категориям тестов, чтобы выяснить, является ли их производительность надежной, когда им нужно функционировать, и обеспечивают ли они безопасность в ответ на типичные кратковременные процессы энергосистемы, такие как сбои, переключение мощности и коммутация… В целом, в архитектуре схемы защиты были обнаружены технические дефекты, которые были идентифицированы и задокументированы, используя результаты тестирования в режиме реального времени. Тестирование RTDS показало, что до сих пор нет единого решения, которое можно было бы применять в любых случаях и которое могло бы обеспечить требуемый уровень надёжности.»^[10]В презентации Quanta Technology и Dominion кратко изложена их оценка надежности «HMD является ни надежными, ни защищёнными».^[11]

Джо Вайсс, профессионал в области кибербезопасности и систем управления, оспаривал выводы из этого отчета и утверждал, что он ввел в заблуждение энергопредприятия. Он написал: «Этот отчет нанёс большой урон, подразумевая, что защитные устройства оборудования Aurora вызовут проблемы с электросетью. Несколько энергопредприятий использовали отчет Quanta в качестве оправдания того, чтобы не устанавливать какие-либо защитные устройства Aurora. К сожалению, в докладе содержится несколько сомнительных допущений. Они включают в себя применение начальных условий, для которых, смягчение последствий не предназначалось, например, для устранения более медленных сбоев или отключения номинальных частот электросети. Существующая защита устраняет более „медленные“ неисправности и отключать номинальные частоты сети (<59 Гц или >61 Гц). Защитные устройства оборудования Aurora предназначены для очень быстрых асинхронных аварийных ситуаций, которые в настоящее время являются брешью в защите (то есть не защищены какими-либо другими устройствами) электросети».^[12]

Ход событий[править | править код]

4 Марта 2007 — Национальная лаборатория Айдахо продемонстрировала уязвимость Аврора

21 Июня 2007 — NERC проинформировала индустрию об уязвимости.

27 Сентября 2007 — CNN выложили на своей главной странице ранее секретное видео демонстрации уязвимости. Может быть скачано здесь.

13 Октября 2010 — NERC выпустили рекомендацию для индустрии по уязвимости.

3 Июля 2014 — Департамент национальной безопасности США выпустил около 840 страниц документов посвященных уязвимости Аврора

Примечания[править | править код]

↑ "Mouse click could plunge city into darkness, experts say", CNN, September 27, 2007. Source: http://www.cnn.com/2007/US/09/27/power.at.risk/index.html Архивная копия от 5 октября 2018 на Wayback Machine
↑ Aurora Revisited — by its original project lead (неопр.). Дата обращения: 7 декабря 2018. Архивировано 9 декабря 2018 года.
↑ ¹ ² "Myth or Reality – Does the Aurora Vulnerability Pose a Risk to My Generator?", Mark Zeller, Schweitzer Engineering Laboratories, Inc, https://www.selinc.com/WorkArea/DownloadAsset.aspx?id=8504 Архивная копия от 25 апреля 2015 на Wayback Machine
↑ FOIA response documents, page 91. Source: http://s3.documentcloud.org/documents/1212530/14f00304-documents.pdf Архивная копия от 30 сентября 2018 на Wayback Machine
↑ ¹ ² ³ ⁴ FOIA response documents, page 59. Source: http://s3.documentcloud.org/documents/1212530/14f00304-documents.pdf Архивная копия от 30 сентября 2018 на Wayback Machine
↑ International Spy Museum, Master Script, Source: http://www.spymuseum.org/files/resources/master-script_8_13_13.pdf Архивная копия от 14 февраля 2014 на Wayback Machine
↑ FOIA response documents, page 134. Source: http://s3.documentcloud.org/documents/1212530/14f00304-documents.pdf Архивная копия от 30 сентября 2018 на Wayback Machine
↑ FOIA Request - Operation Aurora. Source: https://www.muckrock.com/foi/united-states-of-america-10/operation-aurora-11765 Архивная копия от 3 сентября 2014 на Wayback Machine
↑ "Common Questions and Answers Addressing the Aurora Vulnerability", Mark Zeller, Schweitzer Engineering Laboratories, Inc, https://www.selinc.com/workarea/downloadasset.aspx?id=9487
↑ QT e-News, Quanta Technology, Volume 2, Issue 2, Spring 2011. Source: http://quanta-technology.com/sites/default/files/doc-files/2011-05-Spring-QT-News.pdf Архивная копия от 5 марта 2016 на Wayback Machine , page 3
↑ QT e-News, Quanta Technology, Aurora Vulnerability Issues & Solutions Hardware Mitigation Devices (HMDs), July 24, 2011. Source: https://www.smartgrid.gov/sites/default/files/doc/files/Aurora_Vulnerability_Issues_Solution_Hardware_Mitigation_De_201102.pdf
↑ "Latest Aurora information – this affects ANY electric utility customer with 3-phase rotating electric equipment!", Unfettered Blog, September 4, 2013. Source: http://www.controlglobal.com/blogs/unfettered/latest-aurora-information-this-affects-any-electric-utility-customer-with-3-phase-rotating-electric-equipment/ Архивная копия от 14 августа 2019 на Wayback Machine

Ссылки[править | править код]

[CNN_article_2007/09/27-1] "Mouse click could plunge city into darkness, experts say", CNN, September 27, 2007. Source: http://www.cnn.com/2007/US/09/27/power.at.risk/index.html Архивная копия от 5 октября 2018 на Wayback Machine

[2] Aurora Revisited — by its original project lead (неопр.). Дата обращения: 7 декабря 2018. Архивировано 9 декабря 2018 года.

[Myth_or_Reality-3] ¹ ² "Myth or Reality – Does the Aurora Vulnerability Pose a Risk to My Generator?", Mark Zeller, Schweitzer Engineering Laboratories, Inc, https://www.selinc.com/WorkArea/DownloadAsset.aspx?id=8504 Архивная копия от 25 апреля 2015 на Wayback Machine

[MuckRock_FOIA_response_documents,_page_91-4] FOIA response documents, page 91. Source: http://s3.documentcloud.org/documents/1212530/14f00304-documents.pdf Архивная копия от 30 сентября 2018 на Wayback Machine

[MuckRock_FOIA_response_documents,_page_59-5] ¹ ² ³ ⁴ FOIA response documents, page 59. Source: http://s3.documentcloud.org/documents/1212530/14f00304-documents.pdf Архивная копия от 30 сентября 2018 на Wayback Machine

[International_Spy_Museum,_Master_Script-6] International Spy Museum, Master Script, Source: http://www.spymuseum.org/files/resources/master-script_8_13_13.pdf Архивная копия от 14 февраля 2014 на Wayback Machine

[MuckRock_FOIA_response_documents,_page_134-7] FOIA response documents, page 134. Source: http://s3.documentcloud.org/documents/1212530/14f00304-documents.pdf Архивная копия от 30 сентября 2018 на Wayback Machine

[MuckRock_FOIA_request-8] FOIA Request - Operation Aurora. Source: https://www.muckrock.com/foi/united-states-of-america-10/operation-aurora-11765 Архивная копия от 3 сентября 2014 на Wayback Machine

[Common_Questions_and_Answers-9] "Common Questions and Answers Addressing the Aurora Vulnerability", Mark Zeller, Schweitzer Engineering Laboratories, Inc, https://www.selinc.com/workarea/downloadasset.aspx?id=9487

[Quanta_Technology_Newsletter,_Volume_2,_Issue_2,_Spring_2011-10] QT e-News, Quanta Technology, Volume 2, Issue 2, Spring 2011. Source: http://quanta-technology.com/sites/default/files/doc-files/2011-05-Spring-QT-News.pdf Архивная копия от 5 марта 2016 на Wayback Machine , page 3

[Quanta_Technology_and_Dominion_July_2011_presentation-11] QT e-News, Quanta Technology, Aurora Vulnerability Issues & Solutions Hardware Mitigation Devices (HMDs), July 24, 2011. Source: https://www.smartgrid.gov/sites/default/files/doc/files/Aurora_Vulnerability_Issues_Solution_Hardware_Mitigation_De_201102.pdf

[Unfettered_Blog,_September_4,_2013-12] "Latest Aurora information – this affects ANY electric utility customer with 3-phase rotating electric equipment!", Unfettered Blog, September 4, 2013. Source: http://www.controlglobal.com/blogs/unfettered/latest-aurora-information-this-affects-any-electric-utility-customer-with-3-phase-rotating-electric-equipment/ Архивная копия от 14 августа 2019 на Wayback Machine

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

Тест генератора Аврора

Содержание

Эксперимент[править | править код]

Уязвимость[править | править код]

Снижение последствий атаки[править | править код]

Критика[править | править код]

Ход событий[править | править код]

Примечания[править | править код]

Ссылки[править | править код]

Навигация

Тест генератора Аврора

Эксперимент[править | править код]

Уязвимость[править | править код]

Снижение последствий атаки[править | править код]

Критика[править | править код]

Ход событий[править | править код]

Примечания[править | править код]

Ссылки[править | править код]

Навигация

Поиск