Monday’s guest post, “Transformers and the Aurora Event”, features a post by Sinclair Koelemij on OT Cybersecurity, published on 20 June 2020.
The Aurora test has been covered in two previous posts on the SeConSys blog. First in a guest post on 4 September and then in a rejoinder on 9 September.
It is already clear from these two posts that the Aurora test itself is not without some shortcomings. This is compounded by the misinformation and contradictions in some of the articles and blog posts on the test. One of these “evergreen” misconceptions is that a generator (or transformer, according to other reports) failed during the test. But you only have to watch the video of the test, where you can clearly see the smoke starting to rise from the diesel engine (!)…
Nos, fogalmazzunk úgy, hogy – tiszteletre méltó gyakorlata ellenére – Sinclair Koelemij posztja nem csökkenti a tévedések számát…
A bekezdések és rajzok számára hivatkozva lássunk néhányat:
- rajz: Nagyon hiányzik a rajzról a hűtés-automatika, mivel annak – vagy a hozzá kapcsolódó érzékelőknek – „babrálása” a transzformátor szempontjából „izgalmas” történések okozója lehet.
- bek.: A fokozatváltás esetében valóban korlátos az az idő, ameddig lezajlik az egyik fokozatról a másikra való áttérés. A korlát oka, hogy az áthidaló áramkör csak korlátozott ideig képes elviselni a két fokozat között folyó áramot. Ebből az is következik, hogy amennyiben valamilyen „babrálás” nyomán a fokozatkapcsoló tartósan köztes állapotban ragad, akkor az nem „tesz jót” a fokozatkapcsoló „egészségének” és ezzel a transzformátornak sem…
- bek.: Alapvető tévedés az Aurora teszt elvének ilyetén meghatározása. A teszt lényege nem az, hogy a generátor ismétlődő, változó terhelése okozna fizikai kárt. Valójában a lényeg annak a kérdésnek megválaszolása, hogy lehetséges-e a diesel-generátor gépegység szinkronhelyzetben történő hálózatra kapcsolásáért felelős szinkronellenőrző automatikát távolról úgy átprogramozni, hogy ez a szinkronhelyzet helyett oppozícióban történő automatikus rákapcsolásokat – és ezzel a gépegység fizikai károsodását! – idézzen elő.
Ehhez képest már csak apróbb pontatlanság, hogy a szerző következetesen csak generátort említ, holott a kísérlet a diesel és a generátor összekapcsolt együttesén zajlott. Ezt mi sem bizonyítja jobban, hogy – mint fentebb olvasható – a füst sem a generátorból, hanem a dieselből kezdett felszállni…
A „generátor” hálózatról történő leválasztása és gyors újbóli visszacsatlakoztatása önmagában nem feltétlenül okoz fizikai károsodást, ha valóban gyorsan, de főleg szinkronhelyzetben (!) történik.
A leválasztás hatására a „generátor” fordulatszáma terhelés hiányában valóban valóban kissé emelkedik, de e növekmény csak igen korlátozott, mivel a generátort hajtó turbina/diesel fordulatszám határolója beavatkozik és nem engedi „megszaladni” a gépet.
Végül nem elsősorban a fordulatszám csökkenés az igazi veszély, hanem a nem szinkronhelyzetben – legrosszabb esetben oppozícióban – történő hálózatra való visszakapcsolás!
- bek.: A szerző kételkedik abban, hogy egy transzformátor érzékelői manipulálhatók lennének. Kétségtelen, nincs publikus információ arról, hogy egy támadás során Purdue 0. szintű érzékelőt sikerrel manipuláltak volna. Ugyanakkor a Stuxnet támadás során az uráncentrifugákat vezérlő, egyben azok érzékelőinek jeleit fogadó – és csak egyetlen szinttel az érzékelők felett lévő – SIEMENS PLC-ket a támadónak sikerült manipulálnia, ezzel több száz uráncentrifugát tönkre tennie, az üzemeltető személyzetet pedig megtévesztenie.
- bek.: A szerző a lehetőségek között nem emeli ki a Stuxnet utáni második legjelentősebbnek, a Pivnichna-i alállomás elleni 2016. évi támadásnak azon mozzanatát, amelyben a támadó az alállomás SIEMENS SIPROTEC védelmeinek kiiktatására, ezzel az általuk védendő villamoshálózati elemek fizikai károsítási lehetőségének megteremtésére tett kísérletet.
- bek.: A szerzőnek jogában áll „nem hinni” abban, hogy transzformátorok, érzékelők stb. manipulálásával Aurora jellegű támadás, károsodás lenne előidézhető. De akkor mitől ment tönkre Natanzban több száz uráncentrifuga?! Avagy mi lett volna a következménye a pivnichnai SIEMENS SIPROTEC védelmek támadásának, ha a támadó ténylegesen sikerrel jár, azaz nem vét hibát a programozásban?!
A „beépített (és független) biztonsági mechanizmusok is elszigetelnék a transzformátort, mielőtt fizikai kár keletkezne” állítás is csak addig igaz, amíg nem éppen pont ezek a „biztonsági mechanizmusok” képezik a támadás célpontját, mint éppen Pivnichna-ban (avagy 2017-ben, a Saudi Aramco finomítójában)!
A teljes képhez hozzátartozik, hogy a szerzőnek a transzformátorok hackelhetősége témájában 10 nappal korábban, június 10-én született posztja lényegesen pontosabb.
Az utóbbi, fentebb taglalt poszt utolsó mondata szerint: „Enough written for a Saturday evening, I think this ends my blogs on power transformers.”
Képzeljük el, hogy a poszt megírásakor a szerző, Sinclair Koelemij már a SeConSys tagja lett volna. Talán az itt, a SeConSys-ban megszerezhető komplexebb, interdiszciplináris (pl. erősáramú) tudás alapján kevesebb, jellemzően villamosoldali pontatlanság került volna bele ebbe a posztjába. És persze biztosan azért is, mert a poszt szombat este készült… 🙂
Viszont mindannyiunknak addig jó, amíg egy sikeres támadás után egyikünknek sem kell folytatnunk a transzformátorokkal kapcsolatos posztjainkat. Sem szombaton, sem máskor.
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.