تست شفق قطبی

آزمایشگاه ملی آیداهو آزمایش ژنراتور شفق قطبی (Aurora Generator Test) را در سال 2007 انجام داد تا نشان دهد که چگونه یک حمله سایبری می تواند اجزای فیزیکی شبکه الکتریکی را از بین ببرد. این آزمایش از یک برنامه کامپیوتری برای باز کردن و بستن سریع قطع کننده های مدار ژنراتور دیزلی خارج از فاز از بقیه شبکه استفاده کرد، در نتیجه موتور را در معرض گشتاورهای غیرعادی قرار داد و در نهایت باعث انفجار آن شد. این آسیب پذیری به عنوان آسیب پذیری شفق قطبی شناخته می شود.

این آسیب پذیری بطور ویژه نگران کننده است زیرا اکثر تجهیزات شبکه از Modbus و دیگر پروتکل های ارتباطی قدیمی پشتیبانی می کنند که بدون در نظر گرفتن موارد امنیتی طراحی شده اند. به این ترتیب، آنها از احراز هویت ، محرمانه بودن ، یا محافظت از پخش مجدد پشتیبانی نمی کنند. این بدان معناست که هر مهاجمی که بتواند با دستگاه، ارتباط برقرار کند، می تواند آن را کنترل کند و از آسیب پذیری شفق قطبی برای از بین بردن آن استفاده کند.

آزمایش کنید[ویرایش]

برای آماده شدن برای آزمایش، محققان یک ژنراتور 2.25 مگاواتی (3000 اسب بخاری) تهیه و نصب کردند و آن را به ایستگاه وصل کردند. آنها همچنین به یک رله دیجیتال قابل برنامه ریزی یا دستگاه دیگری که قادر به کنترل بریکر باشد نیاز داشتند. اگرچه چنین دسترسی می تواند از طریق یک رابط مکانیکی یا دیجیتال باشد، در این مورد دومی مورد استفاده قرار گرفت.

یک واحد ژنراتور از یک موتور دیزل تشکیل شده است که به طور مکانیکی به یک دینام متصل است. در بسیاری از محیط‌های تجاری-صنعتی، چندین ژنراتور باید در کنار هم کار کنند تا توان بار مورد نظر را تامین کنند. ژنراتوری که به طور معمول کار می کند با شبکه برق یا با یک یا چند ژنراتور اضافی همگام می شود (برای مثال در یک شبکه برق مستقل "جزیره ای" که ممکن است در یک مکان دورافتاده یا برای برق پشتیبان اضطراری استفاده شود). هنگامی که ژنراتورها به طور همزمان کار می کنند، دینام های آنها به طور موثر به صورت مغناطیسی به هم قفل می شوند.

در آزمایش شفق قطبی، محققان از یک حمله سایبری برای باز و بسته کردن بریکرها استفاده کردند تا عمدا استرس را به حداکثر برسانند. هر بار که بریکرها بسته می شدند، گشتاور ایجاد شده در دینام (در نتیجه اتصال خارج از سنکرون است) باعث می شد که کل ژنراتور جهش و تکان بخورد. ژنراتور مورد استفاده در آزمایش مجهز به یک کوپلینگ دوار لاستیکی ارتجاعی بود (که بین موتور دیزل و دینام قرار دارد، بنابراین به طور غیر مستقیم میل لنگ فولادی موتور را به محور فولادی دینام متصل می کند).

در طی مراحل اولیه حمله، قطعات لاستیکی سیاه رنگ با تخریب تدریجی کوپلینگ چرخان به بیرون پرتاب شدند (در نتیجه گشتاورهای بسیار غیرعادی ناشی از دینام خارج از سنکرون شدن روی میل لنگ موتور دیزل اعمال شد). کوپلینگ لاستیکی دوار به زودی کاملاً از بین رفت، در نتیجه خود موتور دیزل به سرعت پاره شد و قطعات به پرواز درآمدند. برخی از قطعات ژنراتور تا 80 فوت دورتر از ژنراتور فرود آمدند. علاوه بر آسیب مکانیکی گسترده و آشکار به خود موتور دیزل، شواهدی از گرم شدن بیش از حد دینام بعداً (پس از جداسازی بعدی واحد) مشاهده شد.

در این حمله، واحد ژنراتور در حدود سه دقیقه منهدم شد. با این حال، این فرآیند تنها سه دقیقه طول کشید زیرا محققان آسیب های ناشی از هر تکرار حمله را ارزیابی کردند. یک حمله واقعی می توانست خیلی سریعتر واحد را نابود کند. به عنوان مثال، ژنراتوری که بدون کوپلینگ لاستیکی دوار بین موتور دیزل و دینام ساخته شده است، با توجه به عدم وجود مواد ضربه‌گیر بین این دو جزء دوار، بلافاصله نیروهای غیرعادی تخریب‌کننده میل لنگ را در موتور دیزل خود تجربه می‌کند. یک واحد ژنراتور که به این روش مونتاژ شده باشد، می تواند موتور دیزل خود را با یک اتصال غیر سنکرون دینام خراب کند.

آزمایش شفق قطبی به عنوان بخش طبقه بندی نشده (unclassified)، فقط برای استفاده رسمی تعیین شد. در 27 سپتامبر 2007، CNN مقاله ای را بر اساس اطلاعات و ویدئویی که DHS برای آنها منتشر کرده، منتشر کرد، و در 3 ژوئیه 2014، DHS بسیاری از اسناد مربوط به آزمایش را به عنوان بخشی از یک درخواست نامربوط FOIA منتشر کرد.

آسیب پذیری[ویرایش]

آسیب‌پذیری شفق قطبی (Aurora) به دلیل بسته شدن غیرهمگام رله‌های محافظ ایجاد می‌شود.

یک تشبیه نزدیک، اما ناقص، این است که تصور کنیم تأثیر تغییر دنده خودرو به عقب در حالی که در بزرگراه در حال رانندگی است، یا تأثیر بالا بردن دور موتور در حالی که خودرو در حالت ایست و سپس انتقال آن به حرکت است.

حمله شفق قطبی برای باز کردن یک قطع کننده مدار، منتظر خارج شدن سیستم یا ژنراتور از هماهنگی و بستن مجدد قطع کننده طراحی شده است، همه اینها قبل از اینکه سیستم حفاظتی حمله را شناسایی کرده و به آن پاسخ دهد. عناصر حفاظتی سنتی ژنراتور معمولاً فعال می شوند و بسته شدن مجدد بلوک در حدود 15 چرخه. متغیرهای زیادی بر این زمان تأثیر می‌گذارند، و هر سیستمی نیاز به تجزیه و تحلیل دارد تا آسیب‌پذیری خاص آن در برابر حمله شفق قطبی مشخص شود. پس از باز شدن هدف قطع کننده، مسئله اصلی این است که ژنراتور با چه سرعتی از همزمانی سیستم فاصله می گیرد

تاثیر بالقوه[ویرایش]

خرابی حتی یک ژنراتور می‌تواند باعث قطعی گسترده و احتمالاً خرابی آبشاری کل شبکه برق شود، همانطور که در خاموشی شمال شرق در سال 2003 رخ داده است. علاوه بر این، حتی اگر هیچ قطعی از حذف یک قطعه وجود نداشته باشد.(N-1 resilience) یک پنجره بزرگ برای حمله یا شکست دوم وجود دارد، زیرا ممکن است جایگزینی ژنراتور تخریب شده بیش از یک سال طول بکشد، زیرا بسیاری از ژنراتورها و ترانسفورماتورها به صورت سفارشی ساخته می شوند.

کاهش دهنده ها[ویرایش]

آسیب پذیری شفق قطبی را می توان با جلوگیری از باز و بسته شدن خارج از فاز بریکرها کاهش داد. برخی از روش‌های پیشنهادی شامل افزودن قابلیت در رله‌های محافظ برای اطمینان از همزمانی و اضافه کردن یک تاخیر زمانی برای بستن بریکرها است.

یکی از تکنیک های کاهش، افزودن یک تابع بررسی همزمانی به تمام رله های حفاظتی است که به طور بالقوه دو سیستم را به هم متصل می کند. برای اجرای این تابع باید از بسته شدن رله جلوگیری کرد، مگر اینکه ولتاژ و فرکانس در محدوده از پیش تنظیم شده باشد.

دستگاه هایی مانند رله IEEE 25 Sync-Check و IEEE 50 می توانند برای جلوگیری از باز و بسته شدن خارج از فاز بریکرها مورد استفاده باشند.

موتورهای دیزلی همچنین می توانند به حسگرهای مستقلی مجهز شوند که علائم لرزش غیرعادی را تشخیص می دهند. این امکان وجود دارد که چنین حسگری را طراحی کنند تا بلافاصله پس از تشخیص یک حرکت بزرگ از الگوی ارتعاش یک موتور معمولی، باعث خاموش شدن کامل ژنراتور شود. با این حال، آسیب ناشی از آن یک گردش ممکن است از قبل قابل توجه باشد، به ویژه اگر یک جفت لاستیک انعطاف پذیر بین موتور و دینام وجود نداشته باشد.

انتقادات[ویرایش]

در مورد اینکه آیا دستگاه های کاهش سخت افزار شفق قطبی (HMD) می توانند باعث خرابی های دیگر شوند، بحث هایی وجود داشت. در ماه مه 2011، Quanta Technology مقاله‌ای منتشر کرد که از آزمایش RTDS (شبیه‌ ساز دیجیتالی واقعی) برای بررسی «عملکرد چند دستگاه رله تجاری موجود» در شفق قطبی HMD استفاده کرد. به نقل از: "رله‌ها تحت دسته‌های آزمایشی مختلفی قرار گرفتند تا مشخص شود که آیا عملکرد آنها در زمان نیاز به کارکرد قابل اعتماد است یا خیر، و در پاسخ به حالت های ناپایدار (transients) معمولی سیستم قدرت مانند خطاها، نوسان برق و سوئیچ بار ایمن است یا خیر... به طور کلی، کاستی‌های فنی در طراحی طرح حفاظت وجود دارد که با استفاده از نتایج آزمایش هم زمان شناسایی و مستندسازی شد.تست RTDS نشان داد که هنوز راه‌ حل واحدی وجود ندارد که بتواند به طور گسترده در هر موردی اعمال شود و بتواند قابلیت اطمینان مورد نیاز را ارائه دهد. ارائه‌ای از Quanta Technology and Dominion به طور خلاصه در ارزیابی قابلیت اطمینان خود بیان کرد: «HMD‌ها قابل اعتماد و امن نیستند.»

جو وایس، یک متخصص امنیت سایبری و سیستم کنترل، یافته‌های این گزارش را رد کرد و مدعی شد که شرکت‌ها را گمراه کرده است. وی نوشت: "این گزارش با بیان اینکه دستگاه های کاهش شفق قطبی باعث ایجاد مشکلات شبکه می شوند، آسیب زیادی وارد کرده است. چندین شرکت آب و برق از گزارش Quanta به عنوان مبنایی برای نصب نکردن هیچ دستگاه کاهش شفق قطبی استفاده کرده اند. متاسفانه این گزارش چندین فرض سوال برانگیز دارد. آنها شامل اعمال شرایط اولیه می‌شوند که کاهش سخت‌ افزاری برای رفع آن‌ها طراحی نشده است، مانند خطاهای در حال توسعه آهسته تر یا فرکانس‌ های اسمی شبکه. حفاظت موجود، خطاهای در حال توسعه «آهسته‌ تر» و فرکانس‌های اسمی شبکه را برطرف می‌کند (<59 Hz یا >61 Hz). دستگاه‌های کاهش‌ دهنده سخت‌افزاری شفق قطبی برای خطا های بسیار سریع شرایط خارج از فاز هستند که در حال حاضر شکاف‌ هایی در حفاظت (یعنی توسط هیچ دستگاه دیگری محافظت نمی‌شوند) از شبکه وجود دارد."

جدول زمانی[ویرایش]

در 4 مارس 2007، آزمایشگاه ملی آیداهو آسیب پذیری شفق قطبی را نشان داد.

در 21 ژوئن 2007، NERC به صنعت آسیب‌ پذیری شفق قطبی را اطلاع داد.

در 27 سپتامبر 2007، CNN یک ویدیوی نمایشی طبقه بندی شده قبلی از حمله شفق قطبی را در صفحه اصلی خود منتشر کرد. آن ویدیو را می توان از اینجا دانلود کرد.

در 13 اکتبر 2010، NERC توصیه‌ای به صنعت درباره آسیب‌پذیری Aurora منتشر کرد.

در 3 ژوئیه 2014، وزارت امنیت داخلی ایالات متحده 840 صفحه از اسناد مربوط به Aurora را منتشر کرد.