Vlákno názorů k článku Cyber Czech 2015 cvičilo obranu jaderné elektárny před útokem od Jenda - > přistupoval k administrátorským počítačům v elektrárně pomocí...
-
Článek je starý, nové názory již nelze přidávat.
-
M. (neregistrovaný)
V klasifikovaných systémech (s vlivem na jadernou bezpečnost), se naprosto běžně používají systémy Windows i Linux. Ano, nedělají přímé řízení technologie (aka SoftPLC), ale ovládají automaty/regulátory a ovládnutím těchto systémů, tak dokáži pokyny automatům technologii složit. Jistě, nemělo by dojít k havárii, to by neměl připustit limitační systém (minimálně v jaderné části), který je postaven na celkem primitivních principech s minimem elektroniky, která by neměla být moc z vnějšku ovlivnitelná. Ale i tak odstavení elektrárny na hodiny/dny při ovládnutí těchto řídících systémů je možné.
Například aktuáklní verze řídícího systému Westinghouse pro jaderné elektrárny je plně na Microosft technologiích a MS Windows only (v Temelíně je starší verze, která jede pod SunOS). ale jinak je tam v technologii i tak dost windows systémů (a to i na klasifikovaných systémech), a to včetně systémů typu Windows NT4.0 server, které jsou ještě v provozu (ale těm už rychle zvoní hrana).
Temelín je ještě stavěňntak, že umožňuje plně manuální řízení - když se složí řídící systém, "přehodí na blokovce páku" a pčejdou komplet na ruční řízení, jak před 30 lety bylo běžně všude, ale řada novějších provozů už tak dělána není.
Souhlasím, že přímé spojení z Internetu na tyto systémy není. Jenže je nepřímé, přes víc systémů v cestě a řada těchto systémů neřeší informační bezpečnost, jsou historicky postavené na tezi fyzického oddělení a nedostupnosti pro neurčenou obsluhu. Jenže dneska je trend systémy propojovat, centralizovat sběr dat, takže postupně vznikají cesty, které teoreticky mohou vést z Internetu až k těmto počítačům. Navíc, k takovému odstavení atomové elektrárny vůbec nemusím ovbládnout eletrárnu, stačí mi ovládnout systémy rozvoden/přenosové soustavy a provést odpojení elektrárny od rozvodné soustavy, už tímto ji zadělám spoustu starostí (opět bez havárie, ale s narušením provozu na delší dobu, protože musí provést regulaci, kdy celý výkon převede na vlastní spotřebu a rychlé odstavení provozu, pokud se odvod výkonu rychle neobnoví a po takovémto odstavení fyzika reaktoru nedovolí rychlou obnovou provozu).
Takže zkoušneý scénář měl jakýsi vzdálené podobenství s realitou, ale byl hodně zjendodušen. -
M. (neregistrovaný)
Ano, ale vhodným nastavením parametrů, které se pak předají dál dosáhnu poruchy. Takže ovládnutím tohoto nastavovacího počítače dokážu vyvolat problém, pokud vím k čemu slouží a sestavím sadu vhodně kolizních parametrů pro ten vlasntí automat/ochranu. Čili nepotřebuji ovládnout fyzicky koncový automat, stačí mu poslat vhodnou sadu parametrů, které způsobí problém. Jistě, je otázka, zda automat dovolí přijmout takovou sadu parametrů, zda za proovzu je dovolen zápis do nich. Odpověď je, že v řadě případu ano, protože někdo kdysi nemyslel (respektive před XX-lety myslel, že to řešit netřeba, protože to stejně nikam nebude propojeno). Některé majií i zapisový pin, kolikrát maximálně 3 až 4 číslice a bez limitace neúspěšných pokusů, protože to bylo děláno jako ochrana před náhodným přepisem obsluhou omylem a ne cílenou snahou a další věci by se daly k tomu probrat.
-
asdasdas (neregistrovaný)
Tych 20 parametrov sa neda skontrolovat a zabranit ich nastaveniu, lebo musi byt umoznene aj nieco, k comu by sa nemal dostat kazdy. Napriklad aj nudzova odstavka kvoli niecomu, co sa nezistilo cidlami.
A ked vam to niekto spravi, tak elektraren 3 dni nepobezi na plny vykon a to su ohromne peniaze. -
M. (neregistrovaný)
Bohužel, takhle funguje jen část zařízení, že kritické věci mohu nastavit jen přes vyhrazený port, který je třeba i normálně nezapojen. Naprosto běžně řešíme situaci, že chceme s nějaým takovým zařízením komunikovat, sledovat co se děje, zařízení značkuje události svým časem a pokud to mám být schopen složit data s dalšíma, tak musím tomu zařízení posílat časovou sync. Jenže pro zápis času musím mít oprávnění pro zápis a ta bedna je tak blbá, že jen povoluje čtení nebo zápis všeho, žádné jemnější řízení práv. Takže pokud tomu mám mít právo posílat čas, tak mám pak v řadě případů i právo ji přepsat parametry, resetovat, překonfigurovat, ... Tohle je to, co běžně řeším, že chci s bednou komunkovat, ale chci ji jen posílat čas (protože jiným nezávislým kanálem to často nepodporuje nebo v dané situaci nejde snadno řešit) a chci mít nastavení, že můžu jen číst, nastavit čas a nic víc. Už jen jako pojistku, ať při průseru na mě nikdo nemůže ukázat, že jsem to složil já. A tohodle se u řady zařízení nedá dosáhnout. A nebo druhý častý případ je, že požadovaná data, které se chtějí sledovat a stahovat trvale, protože tam nebude občas někdo chodit vybírat to s notebookem offline, až se něco stane, jsou dostupná jen přes ten management port, takže se to nakonec připojí přes něj....
Ano, řada novějších zařízení už s tím počítají dají se rozumně nastavit, ale v té technologii se věci nasazují často s životností 10+ let a tak jich je vedle sebe řada, kde to není úplně OK. Když už i vezmu, že nové, aktuálně nasazované prvky do technologie mají třeba management, pokud je síťový, stále jen na úrovni telnet/HTTP, žádné SSH/HTTPS a podobné. Stejně tak zabezpečení řady technologických protokolů je prakticky nula nebo se nepoužívá z důvodů komplikací, viz klasické OPC, které stále ještě dost všude vládne (až OPC UA v tom dělá trocuh rozumný pořádek, ale jeho cesta na hlavní scénu bude ještě dlouhá) - protože to přeci je provozováno na oddělené síti, kam se nedá nikudy dostat, což v řadě případů platilo možná v době nasazení....
A pak se začne hrát na to, jak to nejbližší okolí daného místa je odolné/izolované proti případným vnějším útokům/fyzickému přístupu, a to hlavně brány, které předávají data mezi těmito jednotlivými (dřive izolovanými) sítěmi.
