Comments 29
>Так в режиме доступа оказалась вся внутренняя аналитика проекта. А это более чем 800 страниц, содержащих сведения об уязвимости электростанций и объектов водоснабжения национального масштаба.
Конечно не боги горшки обжигают, но как такое возможно в таком серьезном деле? Хотя бы перепроверяли, что ли.
Конечно не боги горшки обжигают, но как такое возможно в таком серьезном деле? Хотя бы перепроверяли, что ли.
Простите за дичайший оффтоп, но не удержался:
Вот дал же боженька фамилию)))
С докладом выступила Марина Кротофил
Вот дал же боженька фамилию)))
Зайдя на статью, думал, что тут будет рассказ про реальные уязвимости…
Естественно, что если есть компьютеры/программируемые с них устройства, то заразить/сломать можно все. Но пример того же стихнета показывает, что для заражения им АЭС были предприняты титанические усилия (смотрим рассказ от Касперских). Лукацкий если не ошибаюсь упоминал, что стихнетом заражены и наши системы — и ничего страшного не происходит.
Если такой заголовок, то хотелось бы аналитики о реальных уязвимостях, наличии открытого доступа к управлению активной зоной. Без этого — статья только нагнетает
Естественно, что если есть компьютеры/программируемые с них устройства, то заразить/сломать можно все. Но пример того же стихнета показывает, что для заражения им АЭС были предприняты титанические усилия (смотрим рассказ от Касперских). Лукацкий если не ошибаюсь упоминал, что стихнетом заражены и наши системы — и ничего страшного не происходит.
Если такой заголовок, то хотелось бы аналитики о реальных уязвимостях, наличии открытого доступа к управлению активной зоной. Без этого — статья только нагнетает
Понимаю ваше желание, но статья носит скорее ознакомительный характер. Кстати, название контексту ни в чем не противоречит. Цель — отразить общую ситуацию с проблемой на примере США, но не математические выкладки конкретных уязвимостей, понятные профильным специалистам. Предоставить возможность ознакомиться с основными направлениями с которым работают ведущие специалисты сегодня.
Перечисленные три пункта, как направления работы?
Начинать надо с анализа проблем, перечисленных в habrahabr.ru/company/pt/blog/258039. Большие сроки закрытия уязвимостей и беспечность персонала — как закрыть эти проблемы?
Начинать надо с анализа проблем, перечисленных в habrahabr.ru/company/pt/blog/258039. Большие сроки закрытия уязвимостей и беспечность персонала — как закрыть эти проблемы?
Кто же будет выкладывать реальные уязвимости такого уровня когда они еще не пофикшены? Да это будет прямым призывом ими воспользоваться.
Как всегда, в статье раскрыты более менее очевидные факты — программируемую систему можно перепрограммировать и то что неправильная эксплуатация оборудования приводит к поломкам.
Но чего нет в статье так это связи одного с другим.
Насколько мне известно, ни в одной из стран СНГ на АЭС в контурах управления реактором нет программируемых устройств. Везде используется жесткая логика и ручное управление.
Единственная вещь где используются компьютеры и программируемые устройства — так это автоматика мониторинга, отказ которой может сказаться разве что на экономических показателях самой АЭС и необходимости аварийно остановить реактор. Безопасность эксплуатации АЭС в таком случае ложится на плечи жесткой автоматики(она не даст быстро закрыть/открыть клапаны и т.д. и повлиять на это извне невозможно) и на человеческий фактор — да, оператор технически может угробить отдельные механизмы(но привести к тяжелой аварии врядли), но автоматика не даст это сделать а повлиять на работу автоматики можно только механически.
На Чернобыльской АЭС кстати так и сделали — повлияли на автоматику механически, чем привели к работе установки в нештатном режиме в котором работа конкретной системы аварийной защиты привела к аварии.
Как всегда, в статье раскрыты более менее очевидные факты — программируемую систему можно перепрограммировать и то что неправильная эксплуатация оборудования приводит к поломкам.
Но чего нет в статье так это связи одного с другим.
Насколько мне известно, ни в одной из стран СНГ на АЭС в контурах управления реактором нет программируемых устройств. Везде используется жесткая логика и ручное управление.
Единственная вещь где используются компьютеры и программируемые устройства — так это автоматика мониторинга, отказ которой может сказаться разве что на экономических показателях самой АЭС и необходимости аварийно остановить реактор. Безопасность эксплуатации АЭС в таком случае ложится на плечи жесткой автоматики(она не даст быстро закрыть/открыть клапаны и т.д. и повлиять на это извне невозможно) и на человеческий фактор — да, оператор технически может угробить отдельные механизмы(но привести к тяжелой аварии врядли), но автоматика не даст это сделать а повлиять на работу автоматики можно только механически.
На Чернобыльской АЭС кстати так и сделали — повлияли на автоматику механически, чем привели к работе установки в нештатном режиме в котором работа конкретной системы аварийной защиты привела к аварии.
Ну информацию об уязвимостях конечно нет, то статистику их наличия, средние сроки закрытия, распределение по типам и тд — интересно бы видеть. Хотя я не думаю, что она отличается от иных типов АСУТП
Спасибо, комментарий оказался очень полезен!
Я сейчас, наверное, вас удивлю, но программируемые устройства используются. И в управлении и в защите. Правда порты программирования в сеть не торчат (ЕМНИП, порты настройки тоже), но подключив ноут вполне можно прошить туда что угодно. Эти комплексы используются на всех АЭС Украины и не только Украины. Идею с ПЛИС, кажется, подсмотрели у Сименса, видимо Сименс тоже использует похожие вещи.
Там насколько я понял программируемая и компьютерная составляющая находится только в мониторинге и архивации данных. А основная функциональность зашита в ПЛИС на этапе разработки системы.
Нет, там стоят обычные (ну может и не обычные, а радиационно стойкие какие-то) Альтеровкие плисины и их можно перешить прямо в стойке.
Вообще проблемы особой нет, понятно, что никто в здравом уме перешивать ее не подпустит и не будет. Тем более на работающем реакторе. Но, тем не менее перешить возможно.
Вообще такой аргумент работает и для контроллеров — если интерфейс программирования не выведен, вроде как контроллер и не перепрограммируемый.
Вообще проблемы особой нет, понятно, что никто в здравом уме перешивать ее не подпустит и не будет. Тем более на работающем реакторе. Но, тем не менее перешить возможно.
Вообще такой аргумент работает и для контроллеров — если интерфейс программирования не выведен, вроде как контроллер и не перепрограммируемый.
Нет ну само собой там ПЛИС не с пережигаемыми перемычками, просто нужно иметь физический доступ чтобы их перепрошить. Но даже если это удастся, система контроля и аварийной защиты не одна — если попытаться использовать эту систему во вред, сработают другие независимые защиты и ущерб будет нанесен только экономический.
Бесспорно, вина сотрудников ЧАЭС в аварии присутствует, но ОЗР до этой аварии не считался критически важным параметром — его значения не было на щите управления, и получить его можно было только по распечатке «Скалы». И высказывания Александрова, о том что он надежен, как самовар, не способствовала повышению бдительности.
Да и практически мгновенный ход аварии говорит о том, что не все хорошо было и с самим реактором. Основной принцип при проектировании реакторов — исключение любых само поддерживающихся процессов, ведущих к росту мощности, тем более таким взрывным характером.
Да и практически мгновенный ход аварии говорит о том, что не все хорошо было и с самим реактором. Основной принцип при проектировании реакторов — исключение любых само поддерживающихся процессов, ведущих к росту мощности, тем более таким взрывным характером.
Просто в неудачный момент часть активной зоны оказалась без поглотителя достаточно долго чтобы привести к проблемам. В иных условиях, если бы хоть одна часть головоломки не сложилась то авария не произошла бы.
Возможно, им надо было перед глушением ввести хоть какие-то регулирующие стержни перед вводом аварийных. Впрочем, даже в таких условиях ядерного взрыва не произошло.
Возможно, им надо было перед глушением ввести хоть какие-то регулирующие стержни перед вводом аварийных. Впрочем, даже в таких условиях ядерного взрыва не произошло.
Программируемая автоматика сейчас используется практически везде. На современных БЩУ уже не найти ни одного стрелочного индикатора, не говоря уже об аналоговых средствах управления. Но для перепрошивки АСУ нужен физический доступ к спец. помещениям, а физическая защита на атомных станциях организована на очень высоком уровне. Ручные методы воздействия (те же вентили) все же предусмотрены и оперативный персонал обучен ими пользоваться. К тому же, все системы безопасности дублированы, троированы, и спроектированы по принципу разнообразия, то есть имеют разные физические принципы работы.
Современные БЩУ далеко не везде имеются.
Та же самая ЧАЭС — БЩУ никто менять не собирается на современный, а буквально в 500 метрах современная газо-мазутная котельня в которой БЩУ это один монитор 22" и клавиатура.
та же СКАЛА… соседствуют шкафы с процессором, ОЗУ на 2кб, часы реального времени размером с холодильник, и современный компьютеризированный инвертор на пару мегаватт, в котором вычислительной мощности больше чем во всём комплексе СКАЛА.
Та же самая ЧАЭС — БЩУ никто менять не собирается на современный, а буквально в 500 метрах современная газо-мазутная котельня в которой БЩУ это один монитор 22" и клавиатура.
та же СКАЛА… соседствуют шкафы с процессором, ОЗУ на 2кб, часы реального времени размером с холодильник, и современный компьютеризированный инвертор на пару мегаватт, в котором вычислительной мощности больше чем во всём комплексе СКАЛА.
Для большинства хаков, необходимо физическое присутствие. Да и системы управления АЭС довольно комплексные, чтобы вывести её из строя необходимо иметь одновременный доступ ко всем системам. т.е. нужно иметь как минимум треть персонала инсайдерами… Физзащита таких объектов как АЭС на уровне, и чтобы туда проникнуть нужно иметь маленькую армию.
Вот способы удалённого взлома, или через инсайдера внутри объекта — это самые незащищенные каналы проникновения. О них как раз в основном и идёт речь.
Кстати, еще одно уязвимое место АЭС это внешнее энергопитание, если оборвать единственную ЛЭП ведущую к блоку и её не восстановят за 3-4 дня, то АЭС придется очень туго — во первых, сработает аварийная защита по сбросу нагрузки с генератора и блок будет останавливаться, поскольку он не может этого сделать быстро его надо будет обеспечивать внешним питанием для работы систем охлаждения. Генераторов хватит ненадолго… опыт Фукусимы очень показателен.
Вот способы удалённого взлома, или через инсайдера внутри объекта — это самые незащищенные каналы проникновения. О них как раз в основном и идёт речь.
Кстати, еще одно уязвимое место АЭС это внешнее энергопитание, если оборвать единственную ЛЭП ведущую к блоку и её не восстановят за 3-4 дня, то АЭС придется очень туго — во первых, сработает аварийная защита по сбросу нагрузки с генератора и блок будет останавливаться, поскольку он не может этого сделать быстро его надо будет обеспечивать внешним питанием для работы систем охлаждения. Генераторов хватит ненадолго… опыт Фукусимы очень показателен.
>Кстати, еще одно уязвимое место АЭС это внешнее энергопитание, если оборвать единственную ЛЭП ведущую к блоку… го надо будет обеспечивать внешним питанием для работы систем охлаждения. Генераторов хватит ненадолго…
Разве там не целая сеть заведует всякими система охлаждения? Более устойчивая, чем потеря одной линии?
Разве там не целая сеть заведует всякими система охлаждения? Более устойчивая, чем потеря одной линии?
Два ввода обычно, аккумуляторы и дизель-генераторы. Если сильно повредить ЛЭП так что отключатся два ввода или не сработает автоматика переключения, насосы еще поработают от аккумуляторов час-два в лучшем случае, но через минуту уже будет обеспечиваться от дизельных генераторов но надёжность у них никакая, очень часто бывает что один генератор не стартует в нужный момент и всё работает на волоске на резервном генераторе. если и он откажет… будет очень худо, останется очень ограниченное время чтобы запустить хотя бы один их них! Но это касается реакторов вроде РБМК, более современные ВВЭР-ы способны расхолаживаться при полном обесточивании, если не работали до этого на полной мощности. Там что-то вроде необходимы 12 часов охлаждения чтобы с полной мощности можно было перейти на естественную циркуляцию и обойтись без внешней энергии.
Даже и не думал, что там именно так все хлипковато. Современные (да и не самые современные, 15 лет одной точно) подстанции имеют бóльшую надежность, а здесь АЭС…
Один дизель-генератор может питать несколько блоков, а на каждый блок приходится по одной РДЭС (резервной дизельной электростанции). К тому же, опыт Фукусимы был учтен, и на каждую АЭС подогнали передвижной дизель-генератор.
не тот уровень
А нормы МАГАТЭ не работают? Или игнорируются?
Sign up to leave a comment.
Хакнуть АЭС намного проще, чем вы думаете