Hlavní navigace

Cyber Czech 2015 cvičilo obranu jaderné elektárny před útokem

Jan Fikar

Nedávné první cvičení kybernetické bezpečnosti Cyber Czech 2015 cvičilo obranu fiktivní jaderné elektrárny před útokem též fiktivních kyberekoteroristů. Vlastní cvičení proběhlo ve speciálním bezpečném a uzavřeném prostředí kybernetického polygonu (KYPO), kde se experti na bezpečnost učí zvládat krizové situace.

Jak jsme již informovali, 6. a 7. října 2015 proběhl první ročník národního technického cvičení kybernetické bezpečnosti Cyber Czech 2015 s cílem procvičit obranu proti případným kybernetickým útokům, které pořádal Národní bezpečností úřad ve spolupráci s Ústavem výpočetní techniky Masarykovy univerzity v Brně pro dvacítku informatiků ze státní správy. Akce se konala ve speciálním prostředí Kybernetického polygonu a my jsme byli při tom.

Podle scénáře cvičení byla napadena fiktivní jaderná elektrárna Velký Hreháň, na kterou útočí kyberekoteroristická skupina Dark Hackers nepřímo podporovaná státem Bandistán. Do elektrárny byl poslán krizový modrý tým čtyř expertů, kteří měli za úkol situaci zvládnout.

Cvičení se zúčastnilo celkem pět modrých týmů, jejich úkolem bylo vzniklé krizové situace řešit, nebo jim v lepším případě i předcházet. Proti nim stál červený tým, Dark Hackers, který se snažil na počítače modrého týmu co nejlépe útočit, elektrárnu vyřazovat z provozu a diskreditovat ji v očích veřejnosti. Byl tu i bílý tým zaměstnanců elektrárny a média, která vydávala v průběhu cvičení zprávy jak na svém internetovém portálu, tak i na velké obrazovce.

Vlastní Kybernetický polygon byl otevřen 29. dubna letošního roku a je založen na cloudové výpočetní platformě pro heterogenní datacentra OpenNebula s KVM (Kernel-based Virtual Machine) hypervisory. V průběhu cvičení Cyber Czech 2015 bylo simulováno dohromady 110 počítačů s Linuxem (Debian 8) a Windows. Počítače byly rozděleny do pěti kontejnerů (sandboxů), každá elektrárna modrého týmu byla tedy oddělena. Zajímavé je, že všechny počítače měly, i když filtrovaný, přístup do reálného internetu. Jeden tým jsme kupříkladu „přistihli“ při četbě konkurenčního serveru o Linuxu. Nutno podotknout, že jim to ve výsledném pořadí nepříliš pomohlo.

Pohled na prázdný Kybernetický polygon.
Autor: CSIRT-MU

Pohled na prázdný Kybernetický polygon.

Celá simulace běžela na 100 fyzických CPU jádrech v CERIT Scientific Cloudu. Vlastně nejsložitější částí cvičení je dlouhá příprava detailního scénáře útoků a instalace všech 22 (110/5) virtuálních počítačů. Jelikož bude tento scénář ještě znovu použit, nemůžeme zveřejnit všechny technické detaily. V budoucnosti se také počítá s rozšířením KYPO o takzvané ostrovy, které budou simulovat speciální hardware. Například se uvažuje, že bude možné simulovat spojení napadeného mobilního telefonu s vlastní BTS (Base Transceiver Station).

Příklad topologie sandboxu pro DDoS útok.
Autor: Jakub Čegan et al.

Příklad topologie sandboxu pro DDoS útok.

Průběh toku simulovaného DDoS útoku.
Autor: Jakub Čegan et al.

Průběh toku simulovaného DDoS útoku.

Modrý tým měl k dispozici tři terminály a přistupoval k administrátorským počítačům v elektrárně pomocí webového prohlížeče (VNC portlet v portálu Liferay). Přístup mohli též po bodové penalizaci získat na 10 minut na libovolný počítač, pokud si například hráči změnou konfigurace routeru „uřízli vlastní větev“ a router přestane odpovídat. Dva týmy toho simulovaného „fyzického přístupu do serverovny“ v průběhu cvičení využily. První den měli hráči k dispozici určitou dobu, aby se se svěřeným systémem seznámili. Druhý den ráno na ně začal červený tým útočit. Připravené útoky nepřišly všechny naráz, ale byly postupné, trvaly zhruba od 9. do 15. hodiny.

Modré týmy se seznamují se zadáním.

Modré týmy se seznamují se zadáním.

Červený tým nejprve skenoval síť v elektrárně, poté zaútočil na počítače v demilitarizované zóně, kde se například snažil změnit webovou stránku elektrárny. Poté útočil na klientské počítače a na závěr zaútočil na servery, kde na jednom stroji s Windows běžela pro elektrárnu kritická proprietární aplikace parogenerátoru. Nakonec se červeným podařilo vyřadit parogenerátor všech týmů a všech pět elektráren tedy vybouchlo. Dobře se bránily týmy číslo 3 a 5, které zabránily útočníkům průnik do Windows Domain Controlleru. Všem ostatním týmům útočníci počítače s Windows na závěr vypnuli.

Modré týmy expertů čelí útokům, každý ve své elektrárně.
Autor: R. Holý

Modré týmy expertů čelí útokům, každý ve své elektrárně.

Na začátku měl každý tým 10.000 bodů. Maximálně mohl tým ztratit 5.550 bodů za neodražené útoky. Za nedostupné služby nebo za špatnou komunikaci se zaměstnanci jim byly body taktéž odebírány. Naopak za správnou interakci s médii, policií nebo Vládním CERT bylo možné body získat. Přesvědčivě vyhrál tým číslo 3 (8315 bodů), kdežto na druhém až čtvrtém místě bylo velmi těsno. Umístili se zde týmy 5, 4 a 2 s (6892, 6541 a 6528 bodů). Na posledním čestném místě byl tým číslo 1 (5685 bodů). Vývoj bodového hodnocení v celém průběhu cvičení bylo možné sledovat na obrazovce.

Téměř závěrečné pořadí modrých týmů.
Autor: R. Holý

Téměř závěrečné pořadí modrých týmů.

Výsledné pořadí však není až tak důležité. Hlavním úkolem bylo procvičit dovednosti při správě počítačové sítě, koordinaci v týmu i mezi týmy, spolupráci, kterou vyžaduje nový zákon o kybernetické bezpečnosti, a přitom všem dostat týmy expertů do situace, která je může v budoucnu potkat, a to včetně časového tlaku, mediálního tlaku a nespokojenosti zaměstnanců. To se myslím povedlo na výbornou díky detailní propracovanosti realistického scénáře. Nebýt fiktivních názvů, člověk by reflexivně hledal nejbližší atomový kryt.

Našli jste v článku chybu?
2. 11. 2015 9:41
M. (neregistrovaný)

V klasifikovaných systémech (s vlivem na jadernou bezpečnost), se naprosto běžně používají systémy Windows i Linux. Ano, nedělají přímé řízení technologie (aka SoftPLC), ale ovládají automaty/regulátory a ovládnutím těchto systémů, tak dokáži pokyny automatům technologii složit. Jistě, nemělo by dojít k havárii, to by neměl připustit limitační systém (minimálně v jaderné části), který je postaven na celkem primitivních principech s minimem elektroniky, která by neměla být moc z vnějšku ovlivnite…

2. 11. 2015 9:14

Tedy jestli v CR mame nejakou jadernou elektrarnu, ktera je ovladana pres Internet, tak ty Greenpeace chapu. Takovyhle system by mel byt uplne odriznuty od vnejsich komunikacnich siti a mel by byt ovladan leda tak pres obsluhu po telefonu z nejakeho dispecinku nebo nejake dedikovane, zabezpecene komunikaci, kde nakonec na miste bude zase rozhodovat obsluha. A nedovedu si nejak predstavit, jak by kyberlum mohl zpusobit vybych jakehosi parogeneratoru. Na trhlech vecech porad budou pretlakove venti…