Есть что делать инженеру РЗА и АСУ ТП на хакерской конференции?

О форуме по информационной безопасности PHDays я узнал приблизительно год назад. Тогда на глаза попалось выступление группы специалистов SCADA Strangelove: в своей презентации, записанной на видео, они рассказывали о уязвимостях в контроллерах и системах АСУ ТП именитых производителей.

Как позже я узнал, эта группа специализируется на поиске уязвимостей в ПТК АСУ ТП, функционирующих в различных отраслях, с дальнейшим информированием производителей о найденных уязвимостях. После того как производители выпускают патчи для своих систем и устройств, SCADA Strangelove оглашают уязвимости и способы их обнаружения. Чуть позже в сети промелькнуло выступление этой группы, где они даже завели речь о стандарте МЭК 61850 и протоколе MMS. Еще тогда я подумал, что было бы неплохо посетить очередной форум PHDays и посмотреть насколько специалисты этой группы приблизились к проблемам электроэнергетики. Форум был назначен на 21 – 22 мая 2014.

Одновременно с этим и у нас в журнале стали появляться публикации по теме: как провести спуфинг GOOSE-сообщений (подмена реальных GOOSE-сообщений на фиктивные), об уязвимостях коммутаторов Ethernet, SCADA-систем и др. Специально для журнала «Цифровая подстанция» серию видеороликов предоставил Максим Никандров – руководитель отдела систем управления ООО «ЦУП ЧЭАЗ» – в которых он демонстрировал практическую реализацию этих атак. А чуть позже, общаясь с ним, я узнал, что он даже будет выступать с докладом на мероприятии. Когда программа появилась на сайте форума, я увидел там его доклад – Киберугрозы систем управления современной электрической подстанции. Доклады Максима Никандрова и группы SCADA Strangelove, а также панельную дискуссию Безопасность критической инфраструктуры я отметил для себя как обязательные к посещению. На последнюю, согласно программе, были приглашены представители Россети, РусГидро, РЖД (у них же есть свои сети).

Первые впечатления – об организации форума. Место проведения, на мой взгляд, выбрано удачно – это Digital October. Относительно новая и уже ставшая популярной площадка для конференций располагается на Красном Октябре. Здесь уже успели побывать с выступлениями и создатель Facebook Марк Цукерберг, и первые специалисты Apple Macintosh – Стив Возняк, и Гай Кавасаки, и др.

Площадка хорошо оборудована: несколько залов, перед каждым из которых видеопанель с отображением переченя докладов, видеопанели в залах для демонстрации слайдов/видео и другие удобства.

????????

На форум пришло достаточно много специалистов. Намного больше чем на конференционный блок выставок ЛЭП и РЗА. Однако место хватило всем. Как выяснили позже, в программе конференции не было докладов рекламного содержания, по n-ой итерации излагаемых специалистами с унылыми лицами. Здесь выступали с горящими глазами. От того и интерес к мероприятию другой.

????????

В панельной дискуссии Безопасность критической инфраструктуры не принимали участие специалисты Россети, зато присутствовали специалисты РусГидро и РЖД. Представитель РусГидро выступил «сухо», отметив, что они стараются не отставать от других компаний. Очень понравилось содержательное выступление руководителя Центра кибербезопасности РЖД Бориса Макарова. Он доложил о возможных угрозах кибератак для РЖД, потенциально уязвимых для различных кибератак микропроцессорных систем управления, внедренных в РЖД, а также очертил основные направления работ по повышению киберживучести микропроцессорных систем управления РЖД, среди которых:

  • Создание и актуализация нормативной и методической базы.
  • Проведение обязательной проверки на функциональную безопасность. Проведение спецпроверок по поиску программно-аппаратных закладок.
  • Не сборка, а полный цикл производства микропроцессорных систем управления на территории России. Постепенный переход на отечественную элементную базу.
  • Переход на открытые программные продукты.
  • Переход в случаях кибератак на «ручное» или автоматизированное управление.
  • и др.

Более подробно с презентацией Бориса Макарова можно ознакомиться по ссылке.

Группа SCADA Strangelove в своем докладе «Взлом во имя» сообщила о том, что в результате сканирования сети Интернет при помощи специальных инструментов было выявлено подключение к последней более 68 000 компонентов систем АСУ ТП. Все они доступны через сеть Интернет и это несколько пугает.

????????

Пальму первенства по локации этих компонент заняла США. Большое число доступных компонент реализовано на базе платформы IPC@Chip (Beck). Далее специалисты доложили о том, как это платформа была взломана. Такой вот практический пример. Кстати, платформа IPC@Chip обеспечивает поддержку ряда коммуникационных протоколов, в том числе, стандарта МЭК 61850. Известно, что некоторые отечественные производители рассматривали данную платформу для реализации поддержки МЭК 61850. Взломанный чип Beck был неотъемлемой частью прибора учета компании Solar-Log. А где-то это может быть прибор РЗА, контроллер присоединения или что-то иное.

Жалко, что у ребят из SCADA Strangelove сейчас, в большей степени, бытовой взгляд на Smart Grid, в американском стиле. Интересно было бы предложить им “капнуть” в большую энергетику РФ, в создаваемую ИЭС с ААС (интеллектуальную электроэнергетическую систему с активно-адаптивными сетями) с повторяющимися от объекта к объекта компонентами верхнего уровня. С презентацией SCADA Strangelove можно ознакомиться по ссылке.

На возможные кибератаки на объекты большой энергетики обратил внимание в своем докладе Максим Никандров. Жаль, без примера “ответственной” атаки на какой-либо существующий объект. Доклад открывает глаза не профильным специалистам (IT, хакерам) на возможные последствия атак на электрические станции и подстанции.

????????

В частности, им были затронуты ранее упомянутые вопросы спуфинга GOOSE-сообщений, управляющих воздействий и др. Доклад вызвал бурную дискуссию – в частности, достаточно активно обсуждались предложения и методы их практической реализации (создание специализированных устройств контроля Ethernet трафика, средств контроля целостности участков технологических сетей, переход к шифрованному трафику и др.). Мы думали, что команда Цифровой подстанции и Максим Никандров – единственные люди из области электроэнергетики на мероприятии. Оказалось, что не так. Были еще представители из СМС-Автоматизация и Текон. Правда, некоторые из них брали отпуск за свой счет и посещали мероприятие по своей доброй воле. Специалистами этих компаний, в частности, было задано не мало вопросов.

В целом, форум PHDays оставил только положительные эмоции. Отвечая на вопрос  “Есть что делать инженеру РЗА и АСУ ТП на хакерской конференции?” можно сказать: “Безусловно, есть и имеет смысл быть”. Этот ответ еще более утвердителен, если доклады конференции ориентируются на кибербезопасность объектов критической инфраструктуры, в число которых входят объекты электроэнергетики. На форуме PHDays это именно так.

http://digitalsubstation.com/wp-content/uploads/2014/10/Nikandrov.jpg
Максим Никандров
ООО «ЦУП ЧЭАЗ»

В Москве в период с 21 по 22 мая проходил Positive Hack Days — форум по практической безопасности, организованный компанией Positive Technologies. Беспрецедентный по масштабу ИБ-марафон, объединяющий на одной площадке специалистов с разных сторон баррикад, теорию и практику, профессиональную дискуссию и захватывающие соревнования по защите информации.

Что больше всего запомнилось мне лично: 

  • В первых же докладах активно обсуждали последнее громкое событие, когда в результате использования уязвимости heartbleed с сайта покупки билетов РЖД в период с 7 по 14 апреля украли номера кредитных карт. И о ужас, в этот период я ездил в Москву и, как обычно, покупал билеты на сайте РЖД. Надо срочно перевыпустить карту!!!
  • Конечно же меня заинтересовал стенд Critical Infrastructure Attack (CIA). Участникам данного конкурса предлагалось испытать свои силы в эксплуатации уязвимостей промышленного оборудования и АСУ ТП. Всего было выложено на растерзание 7 систем управления и контроллеры – в основном производства фирмы Siemens (самые распространённые в мире). В принципе данный стенд почти полностью повторял прошлогодний Choo Choo Pwn. Но были дополнительные контроллеры. Мое особое внимание привлек Micom C264. Как известно, данное оборудование поддерживает протоколы стандарта МЭК 61850 и широко применяется в электроэнергетике. Но тут меня ждало жестокое разочарование. Контроллер никуда не был подключен и выполнял чисто декоративную роль. Оказалось, что данный контроллер организаторы получили лишь накануне и не успели его запараметрировать. Жаль, было бы интересно посмотреть, что с ним сделают местные «умельцы».
  • Конечно, впечатляла дружественная и неофициальная обстановка.  Для меня это первый опыт конференции в такой обстановке. Так же хотел бы отметить пункт приема резюме и собеседования. Учитывая тяжелое положение с молодыми кадрами – интересное решение.
  • Больше спасибо организаторам за отличную вечернюю программу, прогулка по вечерней Москве реке была просто незабываема.

????????

FriendlyStyle

Cruise

Цифровая подстанция

(close)

 

Цифровая подстанция

(close)

Имя пользователя должно состоять по меньшей мере из 4 символов

Внимательно проверьте адрес электронной почты

Пароль должен состоять по меньшей мере из 6 символов

 

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: