Az ICS cyber security blog 09.04-ei posztja a 2007. márciusában az USA Idaho National Laboratory-ban végrehajtott ún. Aurora tesztet idézi fel. A teszt emlékezetes „eredményét”, azaz egy 2,25 MW-os generátor-diesel gépegység végzetesnek tűnő meghibásodását egy széles körben ismert videó mutatja be.
A tesztet némi misztikum is övezi. Ez talán annak köszönhető, hogy bár a dokumentumait nem titkosították, de 2014. júliusáig csak korlátozottan lehetett elérni azokat. Az akkor nyilvánossá vált, leginkább releváns, több száz oldalas dokumentumok itt érhetők el.
A misztikumot talán az is növelhette, hogy a teszt idején nem volt annyira triviális az, hogy a technológiai rendszerek kiberbiztonságát érintő problémákat csak a kiberbiztonsági és a technológiai szakterületek szakértőinek szoros együttműködésében lehet eredményesen, összefüggéseiben megérteni és kezelni. Ennek hiányában talán mindkét fél túlbecsülhette az Aurora teszt szofisztikáltságát. A tesztelési cél ismeretében
akár egy erősáramú mérnökhallgató is megmondhatta volna, hogy egy forgó villamosgép (többszöri) aszinkron kapcsolása annak károsodásához vezet.
Kiberbiztonsági oldalról meg az tűnhet trivialitásnak, hogy egy távolról is elérhető programozható eszközön előbb-utóbb távolról is lehet annak működését is érinthető műveleteket végezni.
Már az eset elterjedt hivatkozása (Aurora generátor teszt) is pontosításra szorul. A hivatkozott videón jól láthatóan a gépegység többszöri megrázkódását követően nem a generátor kezd füstölni, hanem az azt meghajtó dieselgép! Így a tesztet helyesebb talán Aurora forgógép tesztnek nevezni.
(Megjegyzés-1. Az előidézhető károsodás fizikai háttere: a villamosenergia termelése, szállítása, elosztása háromfázisú rendszerekben történik, amelyekben az egyes fázisok egymáshoz képest 120-120 fokkal eltolt, forgó vektorokkal képezhetők le. Amennyiben két, összekapcsolandó, háromfázisú rendszer és/vagy berendezés vektorjai átfedésben – azaz szinkronban – forognak, akkor ezek összekapcsolása gond nélkül elvégezhető. Ezzel szemben a forgó vektorok eltérő, avagy teljesen ellentétes pozíciójában történő „összekapcsolásakor” olyan – bár rövid, de nagy! – áramok indulnak, amelyek mind termikus, mind dinamikus hatásaival jelentős mértékben igénybe veszik a csatlakozó berendezéseket.)
(Megjegyzés-2. Kijelenthető, hogy teszt idején már voltak – mára meg pláne rendelkezésre állnak – olyan szimulációs technológiák, amelyekkel a teszt valamennyi eleme és mozzanata modellezhető, azaz a teszt a forgógépegység tényleges és drága tönkretétele nélkül is az ismert eredményeket hozhatta volna. E mozzanat is aláhúzza a különböző szakterületek együttműködésének fontosságát!)
(Megjegyzés-3. Még szerencse, hogy a SeConSys-nak éppen a különböző érintett szakterületek együttműködése az alapvetése.)
De nézzük a teszt érdemi részét! Elemezzük először annak időzítését! A 2007 előtti években már világszerte – így hazánkban is – a villamos létesítményekben széles körben elterjedtek a digitális védelmek és irányítástechnikák. Ugyanakkor ezek tervezésében, üzemeltetésében kétségkívül a mainál lényegesen kisebb mértékben merültek fel kiberbiztonsági szempontok. A villamos technológia ezek általi károsíthatósága pedig széles körben ismerten bizonyosan nem.
Így az Aurora teszt igazi jelentőségét nem is annyira a gépegységben előidézett rázkódások, a repkedő alkatrészek meg a gomolygó füst adja. Sokkal inkább annak a gondolatnak megszületése, hogy
technológiai berendezéseket fizikailag lehet károsítani az eredetileg éppen a védelmükre, felügyeletükre hivatott berendezések manipulálásával!
2007-ben ez a gondolat még valóban újdonság lehetett. A 2014. júliusától elérhető dokumentumokból kiolvashatóan az Aurora jellegű „sérülékenység” kihasználását új támadási vektorként felismerve a US DHS a kritikus infrastruktúrák vonatkozásában kiterjedt vizsgálatot indított.
És talán fontos megerősítés lehetett a 2000-es évek végén lezajlott – az uráncentrifugák fizikai károsítását célzó – Stuxnet, avagy a SIEMENS védelmeket is megcélzó 2016. decemberi ukrajnai támadás tervezőinek is…
A posztban hivatkozott cikk egyes elemeit némi fenntartással kell kezelni. Már a cikk első bekezdése is zavaros a „brake” szó többféle értelmezhetősége miatt. A teszt során egyértelműen forgógép ment tönkre. Ehhez képest bár a „brake” forgógép esetén fékként is értelmezhető, de értelmezhető a magyar szakmai terminológiában elterjedt „megszakítóként” is. Viszont ennek az angol szaknyelvben a „circuit braker” az elterjedt megfelelője. Ha pedig a leírt funkciót, azaz a szinkronhelyzetben történő összekapcsolás feltételeinek ellenőrzését, majd ennek meglétekor az összekapcsolás engedélyezését értjük, akkor ennek angolban elterjedt megnevezése a „synchro check”, az ezt biztosító eszköznek pedig „synchro check relay”. Végül bármely forgógép aszinkron bekapcsolása nem elsősorban a bekapcsolást végző megszakítóra, hanem a nem szinkronhelyzetben bekapcsolt forgógépegységre veszélyes. De az is véleményes, hogy a teszt történéseit robbanásnak lehet-e nevezni. A történteket talán helytállóbb (jelentős) fizikai károsodásnak minősíteni. Összességében a cikk alapján az valószínűsíthető, hogy a szerző a „breaker” terminológiát a fentebb írt „circuit braker” értelemben használja. Szerencsére a cikk utolsó két alcíme („How to mitigate it?”, ill. „Conclusions” erősáramú szempontból is helyes megállapításokat tartalmaz.
Összességében nem szerencsés sem az Aurora teszt jelentőségének fölé-, sem alábecslése. A teszt során
semmi olyan nem történt, amit erősáramú szempontból egyetlen dollár elköltése nélkül, „helyből” ne lehetett volna előre tudni.
Ugyanakkor a teszt fontos mérföldkő abban a folyamatban, amelynek során a történések a technológia kibertámadás útján való fizikai károsíthatóságának felismerésétől a Stuxnet támadáson keresztül eljutottak a szaúd-arábiai olajfinomító safety rendszere elleni 2017. évi támadásig.
Mikor, hol és mi lesz a következő tönkre teendő ipari/energetikai célpont?
[16]
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.