Test generatora Aurory

Generator diesla użyty w eksperymencie Aurora zaczyna dymić.

Idaho National Laboratory przeprowadziło test generatora Aurora w 2007 roku, aby zademonstrować, w jaki sposób cyberatak może zniszczyć fizyczne elementy sieci elektrycznej. W eksperymencie wykorzystano program komputerowy do szybkiego otwierania i zamykania generatora diesla poza fazą względem reszty sieci, poddając w ten sposób silnik nienormalnym momentom obrotowym i ostatecznie powodując jego eksplozję. Luka ta jest określana jako luka w zabezpieczeniach Aurora .

Ta luka w zabezpieczeniach jest szczególnie niepokojąca, ponieważ większość urządzeń sieciowych obsługuje protokół Modbus i inne starsze protokoły komunikacyjne , które zostały zaprojektowane bez uwzględnienia kwestii bezpieczeństwa. W związku z tym nie obsługują uwierzytelniania , poufności ani ochrony przed odtwarzaniem . Oznacza to, że każdy atakujący, który może komunikować się z urządzeniem, może je kontrolować i wykorzystać lukę w zabezpieczeniach Aurora, aby je zniszczyć.

Eksperyment

Aby przygotować się do eksperymentu, naukowcy zakupili i zainstalowali generator o mocy 2,25 MW (3000 koni mechanicznych) i podłączyli go do podstacji. Potrzebowali także dostępu do programowalnego przekaźnika cyfrowego lub innego urządzenia zdolnego do sterowania wyłącznikiem. Chociaż taki dostęp może odbywać się poprzez interfejs mechaniczny lub cyfrowy, w tym przypadku zastosowano ten drugi.

Agregat prądotwórczy składa się z silnika wysokoprężnego połączonego mechanicznie z alternatorem. W wielu środowiskach komercyjno-przemysłowych wiele generatorów musi działać razem w tandemie, aby zapewnić moc dla żądanego obciążenia. Normalnie pracujący generator jest zsynchronizowany z siecią energetyczną albo z jednym lub większą liczbą dodatkowych generatorów (na przykład w „wyspowej” niezależnej sieci energetycznej, która może być używana w odległej lokalizacji lub jako awaryjne źródło zasilania rezerwowego). Kiedy generatory działają synchronicznie, ich alternatory są magnetycznie zablokowane.

W eksperymencie Aurora naukowcy wykorzystali cyberatak do otwierania i zamykania wyłączników niezsynchronizowanych, aby celowo zmaksymalizować stres. Za każdym razem, gdy wyłączniki były zamykane, moment obrotowy indukowany w alternatorze (w wyniku niezsynchronizowanego połączenia) powodował, że cały generator podskakiwał i trząsł się. Zastosowany w eksperymencie generator wyposażony był w sprężyste gumowe sprzęgło obrotowe (umieszczone między silnikiem Diesla a alternatorem, pośrednio łączące stalowy wał korbowy silnika ze stalowym wałem alternatora).

Podczas początkowych etapów ataku wyrzucane były kawałki czarnej gumy, gdy obracające się sprzęgło było stopniowo niszczone (w wyniku wyjątkowo nienormalnych momentów obrotowych indukowanych przez niezsynchronizowany alternator na wale korbowym silnika wysokoprężnego). Obrotowe sprzęgło gumowe zostało wkrótce całkowicie zniszczone, po czym sam silnik wysokoprężny został następnie szybko rozerwany, a części odleciały. Niektóre części generatora wylądowały nawet 80 stóp od generatora. Poza masywnymi i oczywistymi uszkodzeniami mechanicznymi samego silnika wysokoprężnego, w późniejszym czasie (po późniejszym demontażu zespołu) zauważono ślady przegrzania alternatora.

W tym ataku generator został zniszczony w ciągu około trzech minut. Proces ten trwał jednak tylko trzy minuty, ponieważ badacze oceniali szkody z każdej iteracji ataku. Prawdziwy atak mógłby zniszczyć jednostkę znacznie szybciej. Na przykład generator zbudowany bez obrotowego sprzęgła gumowego między silnikiem wysokoprężnym a alternatorem natychmiast doświadczałby w swoim silniku wysokoprężnym nienormalnych sił niszczących wał korbowy, biorąc pod uwagę brak materiału amortyzującego między tymi dwoma obracającymi się elementami. Zmontowany w ten sposób agregat prądotwórczy mógłby zniszczyć swój silnik wysokoprężny przez pojedyncze niezsynchronizowane połączenie alternatora.

Eksperyment Aurora został oznaczony jako niesklasyfikowany, wyłącznie do użytku oficjalnego . 27 września 2007 r. CNN opublikowało artykuł oparty na informacjach i wideo udostępnionych im przez DHS, a 3 lipca 2014 r. DHS opublikowało wiele dokumentów związanych z eksperymentem w ramach niepowiązanej prośby FOIA.

Słaby punkt

Luka Aurora jest spowodowana niezsynchronizowanym zamknięciem przekaźników ochronnych .

„Bliską, ale niedoskonałą analogią byłoby wyobrażenie sobie efektu włączenia biegu wstecznego podczas jazdy autostradą lub efektu zwiększenia obrotów silnika, gdy samochód jest na biegu jałowym, a następnie przełączenia go na tryb jazdy. "

„Atak Aurora ma na celu otwarcie wyłącznika, oczekiwanie na wyślizgnięcie się systemu lub generatora z synchronizacji i ponowne zamknięcie wyłącznika, a wszystko to, zanim system ochrony rozpozna atak i zareaguje na niego… Tradycyjne elementy zabezpieczające generatora zazwyczaj uruchamiają się i Blokada zamyka się ponownie po około 15 cyklach. Na ten czas wpływa wiele zmiennych, a każdy system należy przeanalizować, aby określić jego specyficzną podatność na atak Aurora… Chociaż głównym celem ataku Aurora jest natychmiastowe potencjalne 15-cyklowe okno możliwości po otwarciu wyłącznika docelowego nadrzędną kwestią jest to, jak szybko generator oddala się od synchronizacji systemu”.

Potencjalny wpływ

Międzynarodowego Muzeum Szpiegów dotycząca luki w zabezpieczeniach Aurora

Awaria nawet jednego generatora może spowodować rozległe przerwy w dostawie energii elektrycznej i być może kaskadową awarię całej sieci elektroenergetycznej, jak miało to miejsce podczas przerwy w dostawie prądu na północnym wschodzie w 2003 roku . Dodatkowo, nawet jeśli nie ma przestojów spowodowanych usunięciem pojedynczego komponentu (odporność N-1), istnieje duże okno na drugi atak lub awarię, ponieważ wymiana zniszczonego generatora może zająć ponad rok, ponieważ wiele generatorów i transformatory są budowane na zamówienie.

Łagodzenia

Lukę Aurora można złagodzić, zapobiegając otwieraniu i zamykaniu wyłączników poza fazą. Niektóre sugerowane metody obejmują dodanie funkcjonalności w przekaźnikach ochronnych w celu zapewnienia synchronizacji oraz dodanie opóźnienia czasowego dla zamykania wyłączników.

Jedną z technik ograniczania jest dodanie funkcji sprawdzania synchronizmu do wszystkich przekaźników zabezpieczających, które potencjalnie łączą ze sobą dwa systemy. Aby to zaimplementować, funkcja musi zapobiegać zamknięciu przekaźnika, jeśli napięcie i częstotliwość nie mieszczą się w zadanym zakresie.

Urządzenia takie jak przekaźnik IEEE 25 Sync-Check i IEEE 50 mogą być używane do zapobiegania otwieraniu i zamykaniu wyłączników poza fazą.

Silniki wysokoprężne mogą być również wyposażone w niezależne czujniki wykrywające nieprawidłowe sygnatury drgań. Możliwe jest zaprojektowanie takiego czujnika, aby natychmiast powodował całkowite wyłączenie generatora po wykryciu pojedynczego większego odchylenia od sygnatury drgań normalnie pracującego silnika. Jednak uszkodzenia spowodowane tym pojedynczym wychyleniem mogą już być znaczne, zwłaszcza jeśli nie ma elastycznego sprzęgła gumowego między silnikiem a alternatorem.

Krytyka

Odbyła się dyskusja na temat tego, czy sprzętowe urządzenia ograniczające ryzyko (HMD) Aurora mogą powodować inne awarie. W maju 2011 r. Quanta Technology opublikowała artykuł, w którym wykorzystano RTDS (Real Time Digital Simulator) do zbadania „wydajności wielu dostępnych komercyjnych urządzeń przekaźnikowych” HMD Aurora. Cytując: „Przekaźniki poddano różnym kategoriom testów, aby dowiedzieć się, czy ich działanie jest niezawodne, gdy muszą działać, i czy jest bezpieczne w odpowiedzi na typowe stany nieustalone systemu zasilania, takie jak awarie, wahania mocy i przełączanie obciążenia… Ogólnie rzecz biorąc, w projekcie systemu ochrony występowały niedociągnięcia techniczne, które zostały zidentyfikowane i udokumentowane na podstawie wyników testów w czasie rzeczywistym Testy RTDS wykazały, że jak dotąd nie ma jednego rozwiązania, które można by szeroko zastosować w każdym przypadku i które mogłoby zapewnić wymaganą niezawodność poziom." Prezentacja Quanta Technology i Dominion zwięźle stwierdziła w swojej ocenie niezawodności: „HMD nie są niezawodne ani bezpieczne”.

Joe Weiss, specjalista ds. cyberbezpieczeństwa i systemów kontroli, zakwestionował ustalenia zawarte w tym raporcie i stwierdził, że wprowadził on w błąd przedsiębiorstwa użyteczności publicznej. Napisał: „Ten raport wyrządził wiele szkód, sugerując, że urządzenia łagodzące Aurora spowodują problemy z siecią. Kilka przedsiębiorstw użyteczności publicznej wykorzystało raport Quanta jako podstawę do niezainstalowania żadnych urządzeń łagodzących Aurora. Niestety, raport zawiera kilka bardzo wątpliwe założenia. Obejmują one zastosowanie warunków początkowych, do których sprzętowe środki zaradcze nie zostały zaprojektowane, takich jak wolniej rozwijające się usterki lub częstotliwości poza nominalną siecią. Istniejąca ochrona będzie uwzględniać „wolniej” rozwijające się usterki i częstotliwości poza nominalną siecią (<59 Hz lub >61 Hz). Sprzętowe urządzenia łagodzące Aurora są przeznaczone do bardzo szybkich zwarć pozafazowych, które są obecnie przerwami w ochronie (tj. nie są chronione przez żadne inne urządzenie) sieci.

Oś czasu

4 marca 2007 r. Idaho National Laboratory zademonstrowało lukę Aurora.

21 czerwca 2007 r. NERC powiadomił branżę o luce Aurora.

27 września 2007 r. CNN opublikowało na swojej stronie głównej wcześniej sklasyfikowany film demonstracyjny ataku Aurora. To wideo można pobrać stąd .

W dniu 13 października 2010 r. NERC wydał zalecenie dla przemysłu dotyczące luki w zabezpieczeniach Aurora.

3 lipca 2014 roku Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych opublikował 840 stron dokumentów związanych z Aurorą.

Zobacz też

Linki zewnętrzne