Hlavní navigace

Cyber Czech 2015 cvičilo obranu jaderné elektárny před útokem

Jan Fikar 2. 11. 2015

Nedávné první cvičení kybernetické bezpečnosti Cyber Czech 2015 cvičilo obranu fiktivní jaderné elektrárny před útokem též fiktivních kyberekoteroristů. Vlastní cvičení proběhlo ve speciálním bezpečném a uzavřeném prostředí kybernetického polygonu (KYPO), kde se experti na bezpečnost učí zvládat krizové situace.

Jak jsme již informovali, 6. a 7. října 2015 proběhl první ročník národního technického cvičení kybernetické bezpečnosti Cyber Czech 2015 s cílem procvičit obranu proti případným kybernetickým útokům, které pořádal Národní bezpečností úřad ve spolupráci s Ústavem výpočetní techniky Masarykovy univerzity v Brně pro dvacítku informatiků ze státní správy. Akce se konala ve speciálním prostředí Kybernetického polygonu a my jsme byli při tom.

Podle scénáře cvičení byla napadena fiktivní jaderná elektrárna Velký Hreháň, na kterou útočí kyberekoteroristická skupina Dark Hackers nepřímo podporovaná státem Bandistán. Do elektrárny byl poslán krizový modrý tým čtyř expertů, kteří měli za úkol situaci zvládnout.

Cvičení se zúčastnilo celkem pět modrých týmů, jejich úkolem bylo vzniklé krizové situace řešit, nebo jim v lepším případě i předcházet. Proti nim stál červený tým, Dark Hackers, který se snažil na počítače modrého týmu co nejlépe útočit, elektrárnu vyřazovat z provozu a diskreditovat ji v očích veřejnosti. Byl tu i bílý tým zaměstnanců elektrárny a média, která vydávala v průběhu cvičení zprávy jak na svém internetovém portálu, tak i na velké obrazovce.

Vlastní Kybernetický polygon byl otevřen 29. dubna letošního roku a je založen na cloudové výpočetní platformě pro heterogenní datacentra OpenNebula s KVM (Kernel-based Virtual Machine) hypervisory. V průběhu cvičení Cyber Czech 2015 bylo simulováno dohromady 110 počítačů s Linuxem (Debian 8) a Windows. Počítače byly rozděleny do pěti kontejnerů (sandboxů), každá elektrárna modrého týmu byla tedy oddělena. Zajímavé je, že všechny počítače měly, i když filtrovaný, přístup do reálného internetu. Jeden tým jsme kupříkladu „přistihli“ při četbě konkurenčního serveru o Linuxu. Nutno podotknout, že jim to ve výsledném pořadí nepříliš pomohlo.

Pohled na prázdný Kybernetický polygon.
Autor: CSIRT-MU

Pohled na prázdný Kybernetický polygon.

Celá simulace běžela na 100 fyzických CPU jádrech v CERIT Scientific Cloudu. Vlastně nejsložitější částí cvičení je dlouhá příprava detailního scénáře útoků a instalace všech 22 (110/5) virtuálních počítačů. Jelikož bude tento scénář ještě znovu použit, nemůžeme zveřejnit všechny technické detaily. V budoucnosti se také počítá s rozšířením KYPO o takzvané ostrovy, které budou simulovat speciální hardware. Například se uvažuje, že bude možné simulovat spojení napadeného mobilního telefonu s vlastní BTS (Base Transceiver Station).

Příklad topologie sandboxu pro DDoS útok.
Autor: Jakub Čegan et al.

Příklad topologie sandboxu pro DDoS útok.

Průběh toku simulovaného DDoS útoku.
Autor: Jakub Čegan et al.

Průběh toku simulovaného DDoS útoku.

Modrý tým měl k dispozici tři terminály a přistupoval k administrátorským počítačům v elektrárně pomocí webového prohlížeče (VNC portlet v portálu Liferay). Přístup mohli též po bodové penalizaci získat na 10 minut na libovolný počítač, pokud si například hráči změnou konfigurace routeru „uřízli vlastní větev“ a router přestane odpovídat. Dva týmy toho simulovaného „fyzického přístupu do serverovny“ v průběhu cvičení využily. První den měli hráči k dispozici určitou dobu, aby se se svěřeným systémem seznámili. Druhý den ráno na ně začal červený tým útočit. Připravené útoky nepřišly všechny naráz, ale byly postupné, trvaly zhruba od 9. do 15. hodiny.

Modré týmy se seznamují se zadáním.

Modré týmy se seznamují se zadáním.

Červený tým nejprve skenoval síť v elektrárně, poté zaútočil na počítače v demilitarizované zóně, kde se například snažil změnit webovou stránku elektrárny. Poté útočil na klientské počítače a na závěr zaútočil na servery, kde na jednom stroji s Windows běžela pro elektrárnu kritická proprietární aplikace parogenerátoru. Nakonec se červeným podařilo vyřadit parogenerátor všech týmů a všech pět elektráren tedy vybouchlo. Dobře se bránily týmy číslo 3 a 5, které zabránily útočníkům průnik do Windows Domain Controlleru. Všem ostatním týmům útočníci počítače s Windows na závěr vypnuli.

Modré týmy expertů čelí útokům, každý ve své elektrárně.
Autor: R. Holý

Modré týmy expertů čelí útokům, každý ve své elektrárně.

Na začátku měl každý tým 10.000 bodů. Maximálně mohl tým ztratit 5.550 bodů za neodražené útoky. Za nedostupné služby nebo za špatnou komunikaci se zaměstnanci jim byly body taktéž odebírány. Naopak za správnou interakci s médii, policií nebo Vládním CERT bylo možné body získat. Přesvědčivě vyhrál tým číslo 3 (8315 bodů), kdežto na druhém až čtvrtém místě bylo velmi těsno. Umístili se zde týmy 5, 4 a 2 s (6892, 6541 a 6528 bodů). Na posledním čestném místě byl tým číslo 1 (5685 bodů). Vývoj bodového hodnocení v celém průběhu cvičení bylo možné sledovat na obrazovce.

Téměř závěrečné pořadí modrých týmů.
Autor: R. Holý

Téměř závěrečné pořadí modrých týmů.

Výsledné pořadí však není až tak důležité. Hlavním úkolem bylo procvičit dovednosti při správě počítačové sítě, koordinaci v týmu i mezi týmy, spolupráci, kterou vyžaduje nový zákon o kybernetické bezpečnosti, a přitom všem dostat týmy expertů do situace, která je může v budoucnu potkat, a to včetně časového tlaku, mediálního tlaku a nespokojenosti zaměstnanců. To se myslím povedlo na výbornou díky detailní propracovanosti realistického scénáře. Nebýt fiktivních názvů, člověk by reflexivně hledal nejbližší atomový kryt.

Našli jste v článku chybu?

2. 11. 2015 9:41

M. (neregistrovaný)

V klasifikovaných systémech (s vlivem na jadernou bezpečnost), se naprosto běžně používají systémy Windows i Linux. Ano, nedělají přímé řízení technologie (aka SoftPLC), ale ovládají automaty/regulátory a ovládnutím těchto systémů, tak dokáži pokyny automatům technologii složit. Jistě, nemělo by dojít k havárii, to by neměl připustit limitační systém (minimálně v jaderné části), který je postaven na celkem primitivních principech s minimem elektroniky, která by neměla být moc z vnějšku ovlivnite…

2. 11. 2015 9:14

Tedy jestli v CR mame nejakou jadernou elektrarnu, ktera je ovladana pres Internet, tak ty Greenpeace chapu. Takovyhle system by mel byt uplne odriznuty od vnejsich komunikacnich siti a mel by byt ovladan leda tak pres obsluhu po telefonu z nejakeho dispecinku nebo nejake dedikovane, zabezpecene komunikaci, kde nakonec na miste bude zase rozhodovat obsluha. A nedovedu si nejak predstavit, jak by kyberlum mohl zpusobit vybych jakehosi parogeneratoru. Na trhlech vecech porad budou pretlakove venti…

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi