Comments 18
А что, имея физический доступ к сети подстанции кто-то может остановить потенциального взломщика? Напомните, пожалуйста, как устройство может защититься, если известен его IP адрес и кто-то подключился по MMS?
Забавно, разрабатывал пачками именно такие системы и только сейчас все задумались о безопасности. Протокол IEC 61850 работает по TCP/IP, устройства нижнего уровня достаточно тупы. А вот коммуникации и сервера сбора информации — там есть где разгуляться. Ребята из iGRIDS (кстати, при чем они здесь, ведь все оборудование и софт от Siemens) прикрыли все бэкдоры на время конкурса (и не надо делать вид, что на ПС их нет) и даже убрали сервер HMI))) На самом деле, самое страшное, о чем мог подумать упитанный господин из ФСК был сетевой шторм.
А это идея. Если получаем доступ к линии 9.2, то проанализировав текущие значения, можно начать «подкидывать» свои, представившись, например, цифровым трансформатором. То же самое с GOOSE. Не вижу никаких помех начать рассылать их от имени другого устройства. Тем самым «сняв» блокировку.
Я вижу это примерно так. Становимся и слушаем все GOOSE идущие по сети. Выбираем любой GOOSE, который идёт с максимальными интервалами (давно не менял своего значения).
1. Берём первый попавшийся пакет. Вытаскиваем оттуда значение сигнала, счетчик изменений и номер последовательности.
2. Изменяем значение сигнала, увеличиваем счетчик изменений и номер последовательности.
3. Тут же выкидываем его в канал. Устройства РЗА примут его как родного.
4. Продолжаем «свою передачу»
5. Пакеты от устройства-донора будут отбрасываться устройствами РЗА так как его номер последовательности уже меньше чем наш.
6. А дальше всё зависит от реализации логики защиты от ошибок устройств РЗА.
Думаю таким образом можно «парализовать» часть подстанции.
1. Берём первый попавшийся пакет. Вытаскиваем оттуда значение сигнала, счетчик изменений и номер последовательности.
2. Изменяем значение сигнала, увеличиваем счетчик изменений и номер последовательности.
3. Тут же выкидываем его в канал. Устройства РЗА примут его как родного.
4. Продолжаем «свою передачу»
5. Пакеты от устройства-донора будут отбрасываться устройствами РЗА так как его номер последовательности уже меньше чем наш.
6. А дальше всё зависит от реализации логики защиты от ошибок устройств РЗА.
Думаю таким образом можно «парализовать» часть подстанции.
Как человек, занимающийся разработкой устройств, работающих с протоколами IEC61850, могу сказать, что большинство применяемых там решений — epic fail с точки зрения безопасности. Часть протоколов вообще никак не защищена, например, описанный в разделе 9.2 Sampled Values — это даже не TCP/IP, а на него может опираться релейная защита. Так что для злоумышленника главное — разбираться в предметной области (ребята из статьи за день осмотрелись), а дальше — на что хватит денег заказчика.
Дело осложняется тотальной новизной решений для электроэнергетики, и, как следствие, кривизной оборудования в плане обработки сетевых протоколов. Осознав масштаб проблемы, производители сетевых устройств уже стали предлагать решения для шифрования трафика, не дожидаясь действий комитета, так что есть надежды на лучшее.
Дело осложняется тотальной новизной решений для электроэнергетики, и, как следствие, кривизной оборудования в плане обработки сетевых протоколов. Осознав масштаб проблемы, производители сетевых устройств уже стали предлагать решения для шифрования трафика, не дожидаясь действий комитета, так что есть надежды на лучшее.
Именно поэтому релейщики предпочитают старую добрую медь для защит, а не GOOSE-коммуникации. Хотя оперативные блокировки сделаны много где именно на GOOSE.
Релейщики предпочитают старую добрую медь потому, что в нее легко тыкать цешками и отверткой открутить когда надо. Те кто освоился уже во всю гоняют гусей не вставая с кресла.
А требовать от терминалов рза фиерических сетевых авторизаций все равно, что просить реле не включаться от некошерного тока. По сути терминал же умное реле, так?
Вопросы безопасности сети вполне можно решать средствами самой этой сети, файрволы, туннели, всякие айписеки… Когда человек может спокойно подойти и воткнуть провод в сетку, не менее он спокойно может подойти к панели вывести блокировки и управлять КА с терминала(напрямую воткнуть реле привода в ШУ наконец) зависит от доступа, целей и понимания системы.
Поэтому еще раз. Если сеть с устройствами РЗА изолирована но к ней имеют доступ все подряд — проблема служб безопасности. Если эта сеть доступна снаружи — недороботка сетевеков и херовой организации сети(практика показывает что этому моменту внимания ноль).
А требовать от терминалов рза фиерических сетевых авторизаций все равно, что просить реле не включаться от некошерного тока. По сути терминал же умное реле, так?
Вопросы безопасности сети вполне можно решать средствами самой этой сети, файрволы, туннели, всякие айписеки… Когда человек может спокойно подойти и воткнуть провод в сетку, не менее он спокойно может подойти к панели вывести блокировки и управлять КА с терминала(напрямую воткнуть реле привода в ШУ наконец) зависит от доступа, целей и понимания системы.
Поэтому еще раз. Если сеть с устройствами РЗА изолирована но к ней имеют доступ все подряд — проблема служб безопасности. Если эта сеть доступна снаружи — недороботка сетевеков и херовой организации сети(практика показывает что этому моменту внимания ноль).
Получается, что «сжечь ЛЭП» так никто из взломщиков и не смог, а сожгли ее уже по окончании конкурса просто чтобы зря не пропадала?
Что будет следующим? Взлом АЭС? Взрыв реактора с фейерверкоми разбросом по помещению цезия-137?
Что будет следующим? Взлом АЭС? Взрыв реактора с фейерверком
Ну протокол хоть и не такой старый, как SNMP, но всё же ему не пять лет. (а 12 если быть точным)
SNMP так же, как и 61850 тоже сначала был не защищён и шифрование/аутентификация в нём появились только через 12 лет после появления. И ничего миллионы устройств c SNMP протоколом до сих пор не поддерживают SNMPv3.
А также ничего нам сейчас не мешает создать устройства с IEC 62351.
И ещё раз, повторюсь, (коммент) никакой идиот не вывесит эти устройства в инет без фаервола. А тогда весь конкурс сводится к фразе: сломай фаервол.
С фаерволом GOOSE сообщения можно модифицировать или генерировать только с физическим доступом к сетке, а там проще физически нажать где нибудь кнопку, чем генерировать GOOSE трафик.
SNMP так же, как и 61850 тоже сначала был не защищён и шифрование/аутентификация в нём появились только через 12 лет после появления. И ничего миллионы устройств c SNMP протоколом до сих пор не поддерживают SNMPv3.
А также ничего нам сейчас не мешает создать устройства с IEC 62351.
И ещё раз, повторюсь, (коммент) никакой идиот не вывесит эти устройства в инет без фаервола. А тогда весь конкурс сводится к фразе: сломай фаервол.
С фаерволом GOOSE сообщения можно модифицировать или генерировать только с физическим доступом к сетке, а там проще физически нажать где нибудь кнопку, чем генерировать GOOSE трафик.
Sign up to leave a comment.
Кто взломал электрическую подстанцию: разбор конкурса Digital Substation Takeover