26 и 27 мая в Москве было тепло и солнечно. На стоянке Центра международной торговли, что совсем недалеко от здания Совета Федерации, блестели дорогие автомобили и, разве что, большое количество людей в джинсах и кроссовках выдавало то, что тут проходит крупнейшая в России хакерская конференция – Positive Hack Days.

В этом году мероприятие было особенным для электроэнергетической отрасли, ведь на нем «ломали» цифровую подстанцию. Не какую-то абстрактную АСУ ТП всего на свете, а вполне конкретную релейку приближенной к реальности подстанции.

На стенде, имитировавшем ПС 500 кВ, радушно встречал всех Максим Никандров. Он и придумал всю эту затею и реализовал ее силами компании iGrids, в которой сам занимает должность технического директора.

Командам хакеров предлагалось несколько сценариев взлома, каждый из которых предполагал в конечном счете несанкционированное управление коммутационными аппаратами: от простого отключения выключателя до включения заземножей в обход оперативных блокировок. Релейная защита была представлена пятью терминалами отечественного и зарубежного производства. При этом самое сложное задание – включение заземножей на напряжение должно было по задумке организаторов сопровождаться фейерверком из сгоравших проводов установленной рядом имитации ВЛ. На камеру эту операцию проделывали несколько раз, хакерам же зажечь «фейерверк» в свою честь так и не удалось. Максим Никандров поделился некоторыми своими наблюдениями с ЦПС.

ЦПС: Привет, ты был основным организатором этого «безобразия», зачем тебе это?

МН: Ну мы преследовали несколько основных задач. Первая – проверка соответствия разрабатываемой модели угроз для электроэнергетических объектов с учетом их специфики. Второе – тестирование средств защит и обнаружения вторжений. Третье, наверное самое главное, привлечение внимания к проблеме, показать что непродуманное внедрение «цифры» на ПС может сыграть злую шутку.

ЦПС: И как, удалось?

МН: Да, я считаю, для первого раза — это очень неплохой результат, внимание мы точно привлекли, можно сказать что у нашего стенда был аншлаг. Вообще-то весь первый день ребята [хакеры – прим. ЦПС] потратили на то, чтоб  понять что такое релейная защита, что такое выключатель, зачем нужны оперативные блокировки. Поняли, скорее всего, не все и не всё. Судя по логам, многое делалось методом подбора, но сколько и как разнообразно велось вторжение – меня поразило.

Мы преследовали несколько задач: первая – проверка соответствия разрабатываемой модели угроз для электроэнергетических объектов; вторая – тестирование средств защит и обнаружения вторжений; третья -показать, что непродуманное внедрение «цифры» на ПС может сыграть злую шутку.

Задачу, надо отметить, несколько упрощало то, что все участники визуально могли наблюдать за стендом и оперативно получать обратную от своих воздействий. Также мы давали примеры трафика MMS-запросов от SCADA на отключение выключателя. А вот прямой доступ к сети мы ограничили по рекомендации специалистов компании «Позитивные технологии». Это, во-первых, помогло защитится от методов грубой силы (массированной DDoS атаки), во-вторых, достаточно серьезно защитили SCADA, так как хотели направить «основные усилия» участников форма на интеллектуальные устройства подстанции и это нам удалось.

ЦПС: Не боишься, что в результате это подстегнет других, не столь «позитивно» настроенных хакеров, приняться за взлом реальных объектов?

МН: Нет. Как раз наоборот, мы в результате этих двух дней выявили несколько уязвимостей, которые в будущем могут быть устранены либо техническими, либо организационными методами — это наоборот позволит защитить объекты от реальных взломов.

ЦПС: Какие планы на будущее? Собираешься повторять этот опыт?

МН: Посмотрим, но приглашение на следующий PHDays мы уже получили. Так же было интересное предложение посетить форум в Кореи, пока думаем. Я считаю это направление очень интересным и перспективным, так что будем продолжать эту работу.

Неприступный МЭК 61850

В итоге двум командам хакеров поддался только один терминал. И то, путём доступа к нему с использованием нативного софта. Думается, что двукратное повторение успеха тоже неслучайно — скорее всего, сделавший хак первым просто подарил (или продал?) решение своим последователям.

Пресловутый МЭК 61850, об открытости и уязвимости которого, не говорит сейчас только ленивый, в данном случае оказался неприступен для всех участников. О том почему опытные программисты столкнулись с такими сложностями при взломе открытого протокола своими соображениями с ЦПС поделился Исполнительный директор компании «ТЕКВЕЛ» Алексей Аношин.

ЦПС: Ты был на ПХД, где МЭК 61850 остался так и не сломлен, скажи, почему?

АА: Да, так и есть. Вообще-то я приехал под занавес и, как говорится, «принял вызов» – пытался помочь одной команде «взломать» ЦПС за 1 час. Но не вышло 🙂

ЦПС: Почему? Зашифрована?

АА: Не. Как раз наоборот, в имевшейся постановке, одна из задач – отключить выключатель, повторив MMS-запрос, строго говоря, сводилась к стандартной операции – взять какой-нибудь MMS-клиент, подключиться к терминалу, и послать обычную команду отключения – тут даже никакого хака не было. Всё стандартно. Мы были близки к результату, даже смогли заблокировать управление с диспетчерского пункта, что, правда, не шло в зачёт, но увы на выполнение задания, не хватило времени.

ЦПС: Если ты собирался сделать это за час, почему хакеры не смогли сделать этого за два дня?

МЭК 61850 сложен в понимании прикладных вещей, а не протокола как такового.

АА: Всё просто: МЭК 61850 сложен в понимании прикладных вещей, а не протокола как такового. Те ребята, которым помогал я, долго бились над тем, чтоб послать запрос вообще не на тот логический узел – потому что для них это какие-то абстрактные «домены» и «объекты», тогда как для меня это всё «знакомые», если так можно выразиться, «выключатель», «заземлитель» и тп. Кроме того, сами MMS запросы, а в частности, запросы модели управления, довольно сложные. Модель управления SBOes, если ты её описание в стандарте не читал, не так-то просто понять, читая один лишь трафик по MMS… Даже, пожалуй, невозможно понять.

ЦПС: То есть ты считаешь, что МЭК 61850 неприступен для обычных хакеров?

АА: Смотря кого считать «обычными хакерами». Если школьников, которые решили перед ЕГЭ погасить полгорода, то, им это, наверно, не удастся… Если же ребята возьмутся за дело всерьез и либо сами изучат стандарт, либо просто наймут квалифицированного специалиста, нахулиганить можно будет. Хотя, даже в случае наличия такой «ударной» команды, задача, на мой взгляд, всё же будет не из простых.

ЦПС: Почему, поясни?

АА: Ну, вот в данном случае, как я уже сказал, ребята входили в сеть через открытые ворота. Представь, это как если ты вход на подстанцию открыл для всех желающих…Даже не вход, а въезд — широченный. Хочешь, входи, бросай лом на шину, а хочешь, на бульдозере въезжай… В реальности же такого не будет, доступ будешь получать извне. Это сильно ограничит возможности по используемым средствам. В частности, «гусей» подделать уже будет не так просто. А стоит на подстанции VLAN применять, которые мы, кстати, в своих проектах применяем, и всё ещё сильнее усложняется.

ЦПС: Ясно. В следующем году хотел бы всё-таки сломать её?

АА: Да. Точно да.

Обратили внимание

Если в прошлом году на PHDays большого наплыва специалистов электросетевых компаний не наблюдалось, то в этом году, усилиями ли Максима Никандрова, или нет, но мероприятие посетил целый ряд специалистов ФСК ЕЭС и НТЦ ФСК ЕЭС. ЦПС побеседовала с одним из участников конференции – Начальником отдела АСУ ТП и метрологии Департамента релейной защиты, метрологии и АСУ ТП ОАО «ФСК ЕЭС» Михаилом Селезневым.

ЦПС: Привет. Ты был на ПХД, это был первый твой опыт участия? Как впечатления?

МС: Да, это был мой первый опыт участия на PHD. Впечатления весьма положительные. Очень понравилась идея организаторов с воссозданием модели реальной жизни на форуме.

ЦПС: В связи с чем вообще вызван интерес в этом мероприятии?

МС: Поступило приглашение от наших партнеров, естественно такой шанс упускать было нельзя. Раньше достаточно много слышал об этом мероприятии.

ЦПС: У нас создалось впечатление, что участникам взлома ЦПС дали все карты в руки, а они еле справились с одним лишь заданием, да и то, скорее просто методом anykey, а не обдуманно. Как ты оцениваешь?

МС: К сожалению я был на выставке в самом начале мероприятия, когда основные команды еще не приступали к выполнению заданий на стенде ЦПС и у меня нет всей полноты данных о том, как проходил весь этап. Однако, на момент моего присутствия ситуация выглядела именно так. Такое ощущение что участники думали что если они просто что-то сломают, то это уже приведет к нарушения технологического процесса и аварии.

ЦПС: Какие выводы вообще ты для себя сделал? Что теперь МЭК 61850 ждёт?

Увидев людей, сидящих на пуфиках, и пытающихся взломать реальные устройства РЗА и АСУ ТП за некий виртуальный профит мне стало немного не по себе.

МС: Честно говоря, увидев людей, сидящих на пуфиках, и пытающихся взломать реальные устройства РЗА и АСУ ТП за некий виртуальный профит мне стало немного не по себе. Где гарантия что команда таких же “пытливых умов” после этого мероприятия, уже зная как выглядит и как ведет себя РЗА, АСУ ТП не соберется вместе и ради спортивного интереса не начнет искать возможности для взлома аналогичной инфраструктуры, только уже реальной. Будут ли они осознавать всю возможную тяжесть последствий своих действий. Не думаю что какие-то изменения должны ожидать именно МЭК 61850. Он должен жить и развиваться в угоду тех задач, под которые он создавался. Обеспечение информационной безопасности должно стать предметом других стандартов и инструментов.

ЦПС: Какие пожелания на будущее будут для организаторов подобных вещей?

МС: В последнее время по теме информационной безопасности АСУ ТП ведется очень много разговоров. Причем ведется людьми разной квалификации, из-за чего зачастую создается впечатление что тема искусственно раздувается представителями рынка. Поэтому, прежде всего необходимо более активное привлечение к подобным практическим мероприятиям представителей электроэнергетических компаний. Так же хочется получить некий отчет об уже прошедших мероприятиях.

По итогам прошедшего мероприятия удачливые взломщики получили рюкзаки, виртуальные деньги, ну и ещё что-то. Ну а нам, специалистам отрасли, остается думать, что со всем этим делать дальше.