STUXNET Was it really the first one? Tényleg ez volt az elsõ? László M. Biró
[email protected]
2010 november: A supposed computer worm in the process control (SCADA) system almost destroyed the uranium enrichment facilities in Iran. The tool used for the attack was very new. It seemed the damage was larger than ever before... Egy feltételezett féreg a számítógépes folyamatirányító (SCADA) rendszerben szinte teljesen tönkretette Iránban az urándúsító rendszert. A felhasznált eszköz teljesen új volt. Úgy tûnt, a kár nagyobb, mint korábban bármikor...
2009 november: Sensitive information systems and SCADA systems are attacked by “Night Dragon”. The attack uses only known tools. The suspected intruder probably comes from China. Érzékeny adatokkal dolgozó információs és üzemirányító rendszereket támad a “Night Dragon”. A felhasznált eszköztár hagyományos. A feltételezett behatoló mögött Kína állhat
Between July 2006 and December 2008: Intrusion or attempt of intrusion occurred worldwide in the information systems of several large organisations. The name of the attack is “ShadyRat”. This case the “Rat” is the acronym of “Remote Access Tool” Behatolást, illetve behatolási kísérletet regisztrálnak számos nagy szervezet információs rendszerében. A támadás neve “ShadyRat”
ShadyRat penetration
Affected areas
a peaceful township in Siberia Tobolszk – egy csendes szibériai kisváros
October, 1982
The biggest BANG...
The largest nonnuclear blast A legnagyobb nemnukleáris robbanás
15th December, 1983
The second move – A második tétel A no-name worm, aquired by the help of colonel Vladimir Vetrov, alias Agent Farewell...
Similarities, differences Hasonlóságok, különbségek
- All the four attacks came from outside Mind a négy támadás kívülröl jött
- The Night Dragon and the ShadyRat didn't have
any specific target
A Night Dragon és a ShadyRat általános jellegû támadás volt
- The other two malwares targeted SCADA
systems
A másik kettõ üzemirányítási rendszereket támadott
- The attacks against the SCADA systems were
delayed/ timed
Az üzemirányítás ellen támadások késleltetettek/idõzítettek voltak
SCADA = Supervisory Control And Data Acquisition Can contain both local and telemetric/ telemechanic components Általában mind helyi, mind távmérési, távvezérlési elemeket tartalmaz
A tipical SCADA architecture
The shopfloor level – A legalsó szint Programming/ parametering level
Operational/control level
Control units – Vezérlõ elemek
SiMatic7300
Emerson Commander Sk
A segment of the data sheet – Egy adatlaprészlet
The 1500 Hz output frequency means that you can use it up to 90,000 rpm!!!
Az 1500 Hz-s kimenõ frekvencia azt jelenti, hogy 90.000 fordulat/percig használható!!!
Why it's so dangerous? Mi ebben a veszélyes? This is a commercial unit. You can buy it anywhere. You can use the same device both in your dishwasher and your home uranium enrichment facility. Simple, nonexpensive, easily available. Ez egy kereskedelmi termék, bárhol megvásárolható. Használhatod ugyanazt a vezérlõt a mosogatógépedben is meg a házi urándúsítódban is. Egyszerû, olcsó, könnyen hozzáférhetõ.
What's inside? Mi van belül?
We like it, with some extras – Szeretjük, néhány kiegészítéssel
Reliable, really hard to attack Megbízható, igen nehezen támadható
The development – A fejlesztés The systems engineer defines the necessary functions A rendszermérnök kijelöli a megvalósítandó funkciókat Defines the necessary parameters Definiálja a szükséges paramétereket Knowing the all targeted applications is not necessary for programming Az összes szóba jöhetõ alkalmazás ismerete nem szükséges a programozáshoz
The actual mode of operation will be defined by the content of the parameter memory! Programming and parametering are segregated! Az aktuális mûködési módot a paramétertár tartalma fogja meghatározni! A programozás és a paraméterezés elkülönül!
How about the upper levels? Mi újság a felsõbb szinteken?
SCADA Master - the most vulnerable level a legsebezhetõbb szint
Why? Miért?
PC and midrange systems Neumann architecture
What did STUXNET do? Mit csinált a STUXNET? Stuxnet installs malware into memory block DB890 of the PLC that monitors the Profibus messaging bus of the system.[33] When certain criteria are met, it periodically modifies the frequency to 1410 Hz and then to 2 Hz and then to 1064 Hz, and thus affects the operation of the connected motors by changing their rotational speed. (Wikipedia)
And how? És hogyan?
The system – A rendszer
The result is well-known: the World's largest cocktail-mixer... Az eredmény ismert, a világ legnagyobb koktélkeverõje...
The Siberian pipeline - A szibériai gázvezeték
The problem – A probléma The gas in the pipe travels above the speed of sound A gáz a csõben hangsebesség felett áramlik
Sudden close of a valve can result pressure shock and reflected flow Egy szelep hirtelen lezárása nyomáslökést és visszaáramlást okoz
Periodical opening and closing the valves can result resonances and extremely high pressures
A szelepek periodikus nyitása és zárása rezonanciókat és extrém nagy nyomásnövekedést okozhat
In Hungary - Itthon First we faced with the problem in 1976 when Inota gas-turbine power plant started to work Elõször 1976-ban szembesültünk a prolémával, mikor az inotai gázturbinás erõmû mûködni kezdett.
It was intended to be the back-up of Inota coal-fired power station Ez az inotai szenes erõmû tartalékának épült
The gas grid – A gázvezeték-hálózat
The system control – A rendszervezérlés
Built in 1981
The solution was the Siófok Gas Control Station which could handle the gas pressure waves
A megoldást a Siófoki Gázdiszpécser jelentette, amely képes volt kezelni a gázlengéseket
Computer assistance and the results – Számítógépes támogatás és az eredmények
Computers: 2xTPA1148 in Siófok (1 Mbyte memory, 20 Mbyte HDD) Networking SW: DECNet 2400 bit/sec data line between Siófok, Inota and Vecsés for telemetry and telemechanics The system optimized the gas transfer and storing capacity of the pipeline. A rendszer optimalizálta a csõvezeték szállítási és tárolási kapacitását.
Back to the USSR... but without the Beatles... Good pipeline control system is a real treasure. Russians thought they can save the price of development, they will use American software. They choose a non-commercial way... Egy jó gázszállítás-vezérlõ rendszer kincset ér. Az oroszok úgy gondolták, megtakarítják a fejlesztési költségeket és amerikai szoftert használnak. Nem kereskededlmi úton akartak hozzájutni...
The deal – Az akció In 1980 Russian agents started to collect the necessary parts of the control software. They didn't know that colonel Vladimir Vetrov, engineer at KGB technical evaluation team had become disillusioned and started to supply the French Secret Service. His codename was Farewell... 1980-ban elindult a szoftverbeszerzési akció, azonban nem tudták, hogy a KGB kiértékelõ csoportjának mérnök-ezredese, Vlagyimir Vetrov már teljesen kiábrándult a rendszerbõl és elkezdett információkat kiadni a francia titkosszolgálatnak. Fedõneve Farewell volt...
The trap – A csapda Based on the information of Farewell USA and Canada made a corrupted copy of a pipeline control software available at a French-Canadian oil company. Russians take it home and were happy with it... But not for a long time... Farewell információi alapján az USA és Kanada egy Franciakanadai olajcégnél hozzáférhetõvé tették egy preparált kópiáját egy gázvezeték-vezérlõ szoftvernek. Az oroszok el is vitték és boldogok voltak vele, de nem túl sokáig...
The result After some weeks of operation the program started to generate gas standing waves, finally... Néhány hetes mûködés utána a program elkezdett gázállóhullámokat generálni, míg végül...
- Az eredmény
Software with a tiny bug – SW kis hibával When you use electricity, it comes from – no, not from the socket, but from the power plant, When you turn the light off you only have to flip the switch. If you want to switch large loads, the process a bit more sophisticated. Amikor elektromosságot használsz, akkor az - nem, nem a konnektorból jön, hanem az erõmûtõl. Ha eloltod a lámpát, csak a kapcsolót kell átbillentened. Ha nagy terheléseket akarsz kapcsolni, akkor az eljárás kicsit összetettebb.
A third-class sabotage Fapados szabotázs
We will never learn whether it was only a bad idea from an irresponsible guy or an attempt of a wellcovert sabotage... Soha nem fogjuk megtudni, hogy csupán egy felelõtlen ember rossz ötlete volt, vagy egy jól álcázott szabotázs-kísérlet...
Budapest, 1977 TV show: “Ki mit tud”: Let's vote with irons! Ki mit tud: Szavazzunk vasalóval!
Grid control: National Load Control, Hitachi
Hálózatvezérlés: Országos Villamos Teherelosztó, Hitachi
The Grid – Az elosztóhálózat
The Grid control – A hálózatvezérlés
The Grid schedule – A menetrend
6200MW 5200MW
The pulsing load eliminates the reserves Az pulzáló terhelés elemészti a tartalékokat
Switching XXL – Kapcsolás nagyban
Circuit breaker Megszakító
Isolator
Szakaszoló
The rule – A szabály First you MUST fire the breaker and after the succesful disconnection you can trip the isolator. A good computer support can lock the wrong sequences Elõször mindig a megszakítót kell mûködtetni és csak sikeres megszakítás után lehet kapcsolni a szakaszolót. Egy jó számítógépes támogatás blokkolni tudja a rossz sorrendet
When the sequence missed... Amikor eltévesztették a sorrendet...
A little movie – egy kis mozi...
Stuxnet: was it really the first one? Tényleg a Stuxnet volt az elsõ?
I'm pretty sure the answer is “No”. In the backgrould there could be dozens of attacks against the SCADA systems. Biztos vagyok benne, hogy a válasz “Nem”. A háttérben SCADA támadások tucatjai lehettek.
Finally - Tanulság The tasks of system designers, engineers and programmers are totally segregated. Designers and engineers can mislead the others. A rendszerfejlesztõ, a mérnök és a programozó feladatköre teljesen elvált. A fejlesztõ és a mérnök félre tudja vezetni a másik kettõt.
Be serious when you deal with SCADA systems Vedd komolyan az üzemirányító rendszereket
Never rely even on off-the-shelf products Soha se bízz meg még a dobozos termékekben sem
Questions?
Kérdések?
[email protected]
