A hétfői vendégposzt „Transzformátorok és az Aurora-esemény” címmel Sinclair Koelemijnek az OT Cybersecurity oldalon 2020. június 20-án megjelent posztját ajánlja elolvasásra.
Az Aurora teszttel a SeConSys blog korábban már két posztban is foglalkozott. Először a szeptember 4-ei vendégposztban, majd az arra adott szeptember 9-ei viszonválaszban.
Az már e két posztból is kiderült, hogy önmagában az Aurora teszt sem mentes bizonyos hiányosságoktól. Ezt csak fokozzák a teszttel foglalkozó egyes cikkek, blogposztok téves ill. ellentmondásos információi. Az egyik ilyen „örökzöld” tévedés, hogy a teszt során generátor (más közlések szerint transzformátor) ment tönkre. Pedig csak elég megnézni a tesztről készült videót, amelyen világosan látszik, hogy a füst a diesel gépből (!) kezd felszállni…
Nos, fogalmazzunk úgy, hogy – tiszteletre méltó gyakorlata ellenére – Sinclair Koelemij posztja nem csökkenti a tévedések számát…
A bekezdések és rajzok számára hivatkozva lássunk néhányat:
- rajz: Nagyon hiányzik a rajzról a hűtés-automatika, mivel annak – vagy a hozzá kapcsolódó érzékelőknek – „babrálása” a transzformátor szempontjából „izgalmas” történések okozója lehet.
- bek.: A fokozatváltás esetében valóban korlátos az az idő, ameddig lezajlik az egyik fokozatról a másikra való áttérés. A korlát oka, hogy az áthidaló áramkör csak korlátozott ideig képes elviselni a két fokozat között folyó áramot. Ebből az is következik, hogy amennyiben valamilyen „babrálás” nyomán a fokozatkapcsoló tartósan köztes állapotban ragad, akkor az nem „tesz jót” a fokozatkapcsoló „egészségének” és ezzel a transzformátornak sem…
- bek.: Alapvető tévedés az Aurora teszt elvének ilyetén meghatározása. A teszt lényege nem az, hogy a generátor ismétlődő, változó terhelése okozna fizikai kárt. Valójában a lényeg annak a kérdésnek megválaszolása, hogy lehetséges-e a diesel-generátor gépegység szinkronhelyzetben történő hálózatra kapcsolásáért felelős szinkronellenőrző automatikát távolról úgy átprogramozni, hogy ez a szinkronhelyzet helyett oppozícióban történő automatikus rákapcsolásokat – és ezzel a gépegység fizikai károsodását! – idézzen elő.
Ehhez képest már csak apróbb pontatlanság, hogy a szerző következetesen csak generátort említ, holott a kísérlet a diesel és a generátor összekapcsolt együttesén zajlott. Ezt mi sem bizonyítja jobban, hogy – mint fentebb olvasható – a füst sem a generátorból, hanem a dieselből kezdett felszállni…
A „generátor” hálózatról történő leválasztása és gyors újbóli visszacsatlakoztatása önmagában nem feltétlenül okoz fizikai károsodást, ha valóban gyorsan, de főleg szinkronhelyzetben (!) történik.
A leválasztás hatására a „generátor” fordulatszáma terhelés hiányában valóban valóban kissé emelkedik, de e növekmény csak igen korlátozott, mivel a generátort hajtó turbina/diesel fordulatszám határolója beavatkozik és nem engedi „megszaladni” a gépet.
Végül nem elsősorban a fordulatszám csökkenés az igazi veszély, hanem a nem szinkronhelyzetben – legrosszabb esetben oppozícióban – történő hálózatra való visszakapcsolás!
- bek.: A szerző kételkedik abban, hogy egy transzformátor érzékelői manipulálhatók lennének. Kétségtelen, nincs publikus információ arról, hogy egy támadás során Purdue 0. szintű érzékelőt sikerrel manipuláltak volna. Ugyanakkor a Stuxnet támadás során az uráncentrifugákat vezérlő, egyben azok érzékelőinek jeleit fogadó – és csak egyetlen szinttel az érzékelők felett lévő – SIEMENS PLC-ket a támadónak sikerült manipulálnia, ezzel több száz uráncentrifugát tönkre tennie, az üzemeltető személyzetet pedig megtévesztenie.
- bek.: A szerző a lehetőségek között nem emeli ki a Stuxnet utáni második legjelentősebbnek, a Pivnichna-i alállomás elleni 2016. évi támadásnak azon mozzanatát, amelyben a támadó az alállomás SIEMENS SIPROTEC védelmeinek kiiktatására, ezzel az általuk védendő villamoshálózati elemek fizikai károsítási lehetőségének megteremtésére tett kísérletet.
- bek.: A szerzőnek jogában áll „nem hinni” abban, hogy transzformátorok, érzékelők stb. manipulálásával Aurora jellegű támadás, károsodás lenne előidézhető. De akkor mitől ment tönkre Natanzban több száz uráncentrifuga?! Avagy mi lett volna a következménye a pivnichnai SIEMENS SIPROTEC védelmek támadásának, ha a támadó ténylegesen sikerrel jár, azaz nem vét hibát a programozásban?!
A „beépített (és független) biztonsági mechanizmusok is elszigetelnék a transzformátort, mielőtt fizikai kár keletkezne” állítás is csak addig igaz, amíg nem éppen pont ezek a „biztonsági mechanizmusok” képezik a támadás célpontját, mint éppen Pivnichna-ban (avagy 2017-ben, a Saudi Aramco finomítójában)!
A teljes képhez hozzátartozik, hogy a szerzőnek a transzformátorok hackelhetősége témájában 10 nappal korábban, június 10-én született posztja lényegesen pontosabb.
Az utóbbi, fentebb taglalt poszt utolsó mondata szerint: „Enough written for a Saturday evening, I think this ends my blogs on power transformers.”
Képzeljük el, hogy a poszt megírásakor a szerző, Sinclair Koelemij már a SeConSys tagja lett volna. Talán az itt, a SeConSys-ban megszerezhető komplexebb, interdiszciplináris (pl. erősáramú) tudás alapján kevesebb, jellemzően villamosoldali pontatlanság került volna bele ebbe a posztjába. És persze biztosan azért is, mert a poszt szombat este készült… 🙂
Viszont mindannyiunknak addig jó, amíg egy sikeres támadás után egyikünknek sem kell folytatnunk a transzformátorokkal kapcsolatos posztjainkat. Sem szombaton, sem máskor.
[21]
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.