Как позже я узнал, эта группа специализируется на поиске уязвимостей в ПТК АСУ ТП, функционирующих в различных отраслях, с дальнейшим информированием производителей о найденных уязвимостях. После того как производители выпускают патчи для своих систем и устройств, SCADA Strangelove оглашают уязвимости и способы их обнаружения. Чуть позже в сети промелькнуло выступление этой группы, где они даже завели речь о стандарте МЭК 61850 и протоколе MMS. Еще тогда я подумал, что было бы неплохо посетить очередной форум PHDays и посмотреть насколько специалисты этой группы приблизились к проблемам электроэнергетики. Форум был назначен на 21 – 22 мая 2014.

Одновременно с этим и у нас в журнале стали появляться публикации по теме: как провести спуфинг GOOSE-сообщений (подмена реальных GOOSE-сообщений на фиктивные), об уязвимостях коммутаторов Ethernet, SCADA-систем и др. Специально для журнала «Цифровая подстанция» серию видеороликов предоставил Максим Никандров – руководитель отдела систем управления ООО «ЦУП ЧЭАЗ» – в которых он демонстрировал практическую реализацию этих атак. А чуть позже, общаясь с ним, я узнал, что он даже будет выступать с докладом на мероприятии. Когда программа появилась на сайте форума, я увидел там его доклад – Киберугрозы систем управления современной электрической подстанции. Доклады Максима Никандрова и группы SCADA Strangelove, а также панельную дискуссию Безопасность критической инфраструктуры я отметил для себя как обязательные к посещению. На последнюю, согласно программе, были приглашены представители Россети, РусГидро, РЖД (у них же есть свои сети).

Первые впечатления – об организации форума. Место проведения, на мой взгляд, выбрано удачно – это Digital October. Относительно новая и уже ставшая популярной площадка для конференций располагается на Красном Октябре. Здесь уже успели побывать с выступлениями и создатель Facebook Марк Цукерберг, и первые специалисты Apple Macintosh – Стив Возняк, и Гай Кавасаки, и др.

Площадка хорошо оборудована: несколько залов, перед каждым из которых видеопанель с отображением переченя докладов, видеопанели в залах для демонстрации слайдов/видео и другие удобства.

На форум пришло достаточно много специалистов. Намного больше чем на конференционный блок выставок ЛЭП и РЗА. Однако место хватило всем. Как выяснили позже, в программе конференции не было докладов рекламного содержания, по n-ой итерации излагаемых специалистами с унылыми лицами. Здесь выступали с горящими глазами. От того и интерес к мероприятию другой.

В панельной дискуссии Безопасность критической инфраструктуры не принимали участие специалисты Россети, зато присутствовали специалисты РусГидро и РЖД. Представитель РусГидро выступил «сухо», отметив, что они стараются не отставать от других компаний. Очень понравилось содержательное выступление руководителя Центра кибербезопасности РЖД Бориса Макарова. Он доложил о возможных угрозах кибератак для РЖД, потенциально уязвимых для различных кибератак микропроцессорных систем управления, внедренных в РЖД, а также очертил основные направления работ по повышению киберживучести микропроцессорных систем управления РЖД, среди которых:

• Создание и актуализация нормативной и методической базы.
• Проведение обязательной проверки на функциональную безопасность. Проведение спецпроверок по поиску программно-аппаратных закладок.
• Не сборка, а полный цикл производства микропроцессорных систем управления на территории России. Постепенный переход на отечественную элементную базу.
• Переход на открытые программные продукты.
• Переход в случаях кибератак на «ручное» или автоматизированное управление.
• и др.

Более подробно с презентацией Бориса Макарова можно ознакомиться по ссылке.

Группа SCADA Strangelove в своем докладе «Взлом во имя» сообщила о том, что в результате сканирования сети Интернет при помощи специальных инструментов было выявлено подключение к последней более 68 000 компонентов систем АСУ ТП. Все они доступны через сеть Интернет и это несколько пугает.

Пальму первенства по локации этих компонент заняла США. Большое число доступных компонент реализовано на базе платформы IPC@Chip (Beck). Далее специалисты доложили о том, как это платформа была взломана. Такой вот практический пример. Кстати, платформа IPC@Chip обеспечивает поддержку ряда коммуникационных протоколов, в том числе, стандарта МЭК 61850. Известно, что некоторые отечественные производители рассматривали данную платформу для реализации поддержки МЭК 61850. Взломанный чип Beck был неотъемлемой частью прибора учета компании Solar-Log. А где-то это может быть прибор РЗА, контроллер присоединения или что-то иное.

Жалко, что у ребят из SCADA Strangelove сейчас, в большей степени, бытовой взгляд на Smart Grid, в американском стиле. Интересно было бы предложить им “капнуть” в большую энергетику РФ, в создаваемую ИЭС с ААС (интеллектуальную электроэнергетическую систему с активно-адаптивными сетями) с повторяющимися от объекта к объекта компонентами верхнего уровня. С презентацией SCADA Strangelove можно ознакомиться по ссылке.

На возможные кибератаки на объекты большой энергетики обратил внимание в своем докладе Максим Никандров. Жаль, без примера “ответственной” атаки на какой-либо существующий объект. Доклад открывает глаза не профильным специалистам (IT, хакерам) на возможные последствия атак на электрические станции и подстанции.

В частности, им были затронуты ранее упомянутые вопросы спуфинга GOOSE-сообщений, управляющих воздействий и др. Доклад вызвал бурную дискуссию – в частности, достаточно активно обсуждались предложения и методы их практической реализации (создание специализированных устройств контроля Ethernet трафика, средств контроля целостности участков технологических сетей, переход к шифрованному трафику и др.). Мы думали, что команда Цифровой подстанции и Максим Никандров – единственные люди из области электроэнергетики на мероприятии. Оказалось, что не так. Были еще представители из СМС-Автоматизация и Текон. Правда, некоторые из них брали отпуск за свой счет и посещали мероприятие по своей доброй воле. Специалистами этих компаний, в частности, было задано не мало вопросов.

В целом, форум PHDays оставил только положительные эмоции. Отвечая на вопрос  “Есть что делать инженеру РЗА и АСУ ТП на хакерской конференции?” можно сказать: “Безусловно, есть и имеет смысл быть”. Этот ответ еще более утвердителен, если доклады конференции ориентируются на кибербезопасность объектов критической инфраструктуры, в число которых входят объекты электроэнергетики. На форуме PHDays это именно так.

http://teeeeest.digitalsubstation.com/wp-content/uploads/sites/48/2014/10/Nikandrov.jpg

Максим Никандров

ООО «ЦУП ЧЭАЗ»

В Москве в период с 21 по 22 мая проходил Positive Hack Days — форум по практической безопасности, организованный компанией Positive Technologies. Беспрецедентный по масштабу ИБ-марафон, объединяющий на одной площадке специалистов с разных сторон баррикад, теорию и практику, профессиональную дискуссию и захватывающие соревнования по защите информации.

Что больше всего запомнилось мне лично: 

• В первых же докладах активно обсуждали последнее громкое событие, когда в результате использования уязвимости heartbleed с сайта покупки билетов РЖД в период с 7 по 14 апреля украли номера кредитных карт. И о ужас, в этот период я ездил в Москву и, как обычно, покупал билеты на сайте РЖД. Надо срочно перевыпустить карту!!!
• Конечно же меня заинтересовал стенд Critical Infrastructure Attack (CIA). Участникам данного конкурса предлагалось испытать свои силы в эксплуатации уязвимостей промышленного оборудования и АСУ ТП. Всего было выложено на растерзание 7 систем управления и контроллеры – в основном производства фирмы Siemens (самые распространённые в мире). В принципе данный стенд почти полностью повторял прошлогодний Choo Choo Pwn. Но были дополнительные контроллеры. Мое особое внимание привлек Micom C264. Как известно, данное оборудование поддерживает протоколы стандарта МЭК 61850 и широко применяется в электроэнергетике. Но тут меня ждало жестокое разочарование. Контроллер никуда не был подключен и выполнял чисто декоративную роль. Оказалось, что данный контроллер организаторы получили лишь накануне и не успели его запараметрировать. Жаль, было бы интересно посмотреть, что с ним сделают местные «умельцы».
• Конечно, впечатляла дружественная и неофициальная обстановка.  Для меня это первый опыт конференции в такой обстановке. Так же хотел бы отметить пункт приема резюме и собеседования. Учитывая тяжелое положение с молодыми кадрами – интересное решение.
• Больше спасибо организаторам за отличную вечернюю программу, прогулка по вечерней Москве реке была просто незабываема.