Русская Википедия:Тест генератора Аврора

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

В 2007 году Национальная лаборатория штата Айдахо провела Тест Генератора Авроры, чтобы продемонстрировать, как кибератака может уничтожить физические компоненты электросети.[1] В эксперименте использовалась компьютерная программа для быстрого включения и выключения прерывателя дизельной электростанции в противофазе с остальной сетью, что приводит её к взрыву. Эта уязвимость называется Aurora Vulnerability — уязвимость Авроры. Автор тестирования — Перри Педерсон[2].

Эта уязвимость является особенно важной, потому что большинство сетевого оборудования поддерживает использование Modbus и других устаревших сетевых протоколов, которые были разработаны без учета надлежащей безопасности. Таким образом, они не поддерживают аутентификацию, конфиденциальность или защиту от повторной передачи перехваченных сообщений, что означает, что любой злоумышленник, способный соединиться с устройством, может контролировать его и использовать уязвимость Aurora для его уничтожения. Это является серьезной проблемой, так как отказ даже одного генератора может привести к массовым выходам из строя и, возможно, каскадному отказу всей энергосистемы, что и произошло во время аварии в энергосистеме в США и Канаде в 2003 году. Кроме того, даже при отсутствии сбоев при выходе из строя одного компонента (N-1 устойчивость), существует большой интервал времени для проведения второй атаки или сбоя, так как для его замены может потребоваться больше года, поскольку многие генераторы и трансформаторы изготовлены по спецзаказу для подстанции.

Уязвимость Aurora можно невилировать предотвращением несинхронизированного закрытия защитных реле. Некоторые предлагаемые методы включают в себя введение дополнительной функциональности в релейную защиту для обеспечения синхронизации и обеспечения задержки для автоматических выключателей.[3] Большинство современных генераторов имеют много способов защиты от асинхронный работы генератора. Такие устройства, как реле проверки синхронизации IEEE 25, а также IEEE 46,47,50 и 53, используются для предотвращения выхода из строя автоматических выключателей. Кроме того, большинство используемых реле-генераторов не имеют какой-либо связи, они блокируют работу автоматического выключателя генератора, не позволяя ему перейти в режим замыкания.

Эксперимент

Чтобы подготовиться к эксперименту, группа исследователей доставила и установила генератор мощностью 2.25 МВт и подключила его к подстанции. Им также был необходим доступ к программируемому цифровому реле или любому другому устройству, которое контролирует автоматический выключатель. Такой доступ мог быть осуществлен через механический или цифровой интерфейс.[4]

В эксперименте использовалась кибератака, чтобы включать и выключать прерыватель асинхронно, максимизируя нагрузку. Каждый раз, когда прерыватели были выключены, крутящий момент от синхронизации заставлял генератор подпрыгивать и трястись, в результате чего его части отрывались и вылетали.[5] В итоге, некоторые части генератора приземлились в 80 футах от генератора[6].

Агрегат был уничтожен примерно за три минуты. Но так случилось потому что исследователи оценивали ущерб от каждой итерации атаки. Настоящая атака смогла бы уничтожить устройство гораздо быстрее.[5]

Эксперимент не был определен как секретный, только для служебного пользования.[7] 27 сентября 2007 года CNN опубликовал статью, основанную на различного рода информации, предоставленной министерством внутренней безопасности США, а 3 июля 2014 года DHS опубликовало большинство других документов, связанных с экспериментом, в рамках запроса FOIA / ЗСИ (АСИ — Акт/Закон о Свободе Информации).[8]

Уязвимость

Уязвимость Aurora вызвана обходом защитных реле.[5] Для этого требуется знание распределительного устройства для каждого конкретного завода, доступ к этому устройству, а также размещение перемычек. Надлежащая безопасность помещений с распределительным устройством не может позволить этому произойти.

«Близкую аналогию можно провести с автомобилем, который переключили на заднюю передачу, когда он двигался по шоссе, или эффект от длительного нажатия на педаль газа, пока автомобиль находится в нейтральном и неподвижном положении, а затем переключения передачи обратно на любую другую.[5]

"Атака типа Aurora предназначена для того, чтобы отключить выключатель, дождаться нарушения синхронности энергосистемы или генератора, и затем снова включить выключатель, прежде чем система защиты успеет распознать атаку и среагировать на нее. Традиционные механизмы защиты генератора обычно срабатывают и блокируют повторное включение примерно в течение 15 периодов. На это время влияют многие переменные. Чтобы определить уязвимость конкретной системы к атакам типа Aurora, необходимо провести индивидуальный анализ. При том, что атака Aurora сосредоточена на потенциальном интервале в 15 периодов сразу после отключения выключателя, основным ограничением для ее успешности является то, как быстро генератор возвращается к синхронному состоянию".[9]

Снижение последствий атаки

Уязвимость Aurora вызвана несинхронным замыканием защитных реле. Таким образом, любой механизм, предотвращающий несинхронизированное замыкание, уменьшит уязвимость.

Один из способов смягчения заключается в том, чтобы добавить функцию проверки синхронизации ко всем защитным реле, которые потенциально соединяют две системы вместе. Чтобы реализовать это, функция должна препятствовать закрытию реле, если напряжение и частота не находятся на заданном диапазоне. Кроме того, проверка синхронизации может контролировать скорость изменения частоты и предотвращать закрытие выше заданного значения скорости.[3]

Критика

Обсуждался вопрос о том, могут ли защитные устройства оборудования Aurora (Hardware Mitigation Device) вызвать другие сбои. В мае 2011 года Quanta Technology опубликовал статью, в которой использовалось тестирование RTDS (Real Time Digital Simulator) для изучения производительности множества доступных коммерческих релейных устройств Aurora HMDs. «Реле подвергались различным категориям тестов, чтобы выяснить, является ли их производительность надежной, когда им нужно функционировать, и обеспечивают ли они безопасность в ответ на типичные кратковременные процессы энергосистемы, такие как сбои, переключение мощности и коммутация… В целом, в архитектуре схемы защиты были обнаружены технические дефекты, которые были идентифицированы и задокументированы, используя результаты тестирования в режиме реального времени. Тестирование RTDS показало, что до сих пор нет единого решения, которое можно было бы применять в любых случаях и которое могло бы обеспечить требуемый уровень надёжности.»[10]В презентации Quanta Technology и Dominion кратко изложена их оценка надежности «HMD является ни надежными, ни защищёнными».[11]

Джо Вайсс, профессионал в области кибербезопасности и систем управления, оспаривал выводы из этого отчета и утверждал, что он ввел в заблуждение энергопредприятия. Он написал: «Этот отчет нанёс большой урон, подразумевая, что защитные устройства оборудования Aurora вызовут проблемы с электросетью. Несколько энергопредприятий использовали отчет Quanta в качестве оправдания того, чтобы не устанавливать какие-либо защитные устройства Aurora. К сожалению, в докладе содержится несколько сомнительных допущений. Они включают в себя применение начальных условий, для которых, смягчение последствий не предназначалось, например, для устранения более медленных сбоев или отключения номинальных частот электросети. Существующая защита устраняет более „медленные“ неисправности и отключать номинальные частоты сети (<59 Гц или >61 Гц). Защитные устройства оборудования Aurora предназначены для очень быстрых асинхронных аварийных ситуаций, которые в настоящее время являются брешью в защите (то есть не защищены какими-либо другими устройствами) электросети».[12]

Ход событий

4 Марта 2007 — Национальная лаборатория Айдахо продемонстрировала уязвимость Аврора

21 Июня 2007 — NERC проинформировала индустрию об уязвимости.

27 Сентября 2007 — CNN выложили на своей главной странице ранее секретное видео демонстрации уязвимости. Может быть скачано здесь.

13 Октября 2010 — NERC выпустили рекомендацию для индустрии по уязвимости.

3 Июля 2014 — Департамент национальной безопасности США выпустил около 840 страниц документов посвященных уязвимости Аврора

Примечания

Шаблон:Примечания

Ссылки

Шаблон:Изолированная статья

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. Ошибка цитирования Неверный тег <ref>; для сносок CNN article 2007/09/27 не указан текст
  2. Шаблон:Cite web
  3. 3,0 3,1 Ошибка цитирования Неверный тег <ref>; для сносок Myth or Reality не указан текст
  4. Ошибка цитирования Неверный тег <ref>; для сносок MuckRock FOIA response documents, page 91 не указан текст
  5. 5,0 5,1 5,2 5,3 Ошибка цитирования Неверный тег <ref>; для сносок MuckRock FOIA response documents, page 59 не указан текст
  6. Ошибка цитирования Неверный тег <ref>; для сносок International Spy Museum, Master Script не указан текст
  7. Ошибка цитирования Неверный тег <ref>; для сносок MuckRock FOIA response documents, page 134 не указан текст
  8. Ошибка цитирования Неверный тег <ref>; для сносок MuckRock FOIA request не указан текст
  9. Ошибка цитирования Неверный тег <ref>; для сносок Common Questions and Answers не указан текст
  10. Ошибка цитирования Неверный тег <ref>; для сносок Quanta Technology Newsletter, Volume 2, Issue 2, Spring 2011 не указан текст
  11. Ошибка цитирования Неверный тег <ref>; для сносок Quanta Technology and Dominion July 2011 presentation не указан текст
  12. Ошибка цитирования Неверный тег <ref>; для сносок Unfettered Blog, September 4, 2013 не указан текст
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:Тест_генератора_Аврора&oldid=10924923