Hozzászólás A Stuxnet vírus és az iráni atomprogram

1. HozzászólásA Stuxnet vírus és az iráni atomprogram • Az információs hadviselés és a hadtudomány • Konferencia • 2011. február 24. Budapest Cserháti András főosztályvezető, Paksi Atomerőmű Zrt. doktorandusz, ZMNE KMDI

2. A Stuxnet legkifinomultabb számítógépes vírus • jelentős biztonságpolitikai esemény • korszakhatár • A visszafejtéssel fokozatosan szűkült a célterület: ázsiai ipar -> iráni nukleáris infrastruktúra -> perzsa urándúsítók A gázcentrifugák lassú, rejtett tönkretétele és a dúsítás hatékonyságának lerontása • Megnyilvánulások • víruskutatók -> kiberhadviselés szakértői -> (bulvár)média • Kellő hozzáértés hiánya és/vagy hatásvadászat? • a legtöbben összemossák a dúsítóművet és az atomerőművet • sokan új Csernobilt vizionálnak • A nukleáris szakmának is meg kell szólalnia! Cserháti A.: A Stuxnet vírus és az iráni atomprogram

3. A Stuxnet támadás rétegei Windows WinCCStep7 PLC technológia kaszkád szelepek, gázfúvók internet PLC konfigurálás S7-400 (417) hálózat kábel S7-300 (315) motorok frekvenciaváltók urándúsító centrifugák fertőzött USB tároló Cserháti A.: A Stuxnet vírus és az iráni atomprogram

4. A támadásra használt vezérlők • S7-400 • 417-es processzor , • akár 30 MB memória is, • csúcsmodell, • redundáns és hibatűrő rendszerekben is alkalmazzák, • egyebek közt erőművek turbina védelmében is. • S7-300 • 315-ös processzor, • 256 kB memória • közepes, általános célú Cserháti A.: A Stuxnet vírus és az iráni atomprogram

5. Centrifugák és kaszkádok soros lánc helyett ideális kaszkád: dúsítás (minőség) mennyiség Cserháti A.: A Stuxnet vírus és az iráni atomprogram

6. Dúsító üzem Natanzban leürítés ~ 1000 leszerelés > 2000 ezer db 10 beszerelve UF6 feltöltés 5 2007 2008 2009 2010 Ahmadinezsad elnöki látogatása (2008. április) IR-1 centrifuga trend: Cserháti A.: A Stuxnet vírus és az iráni atomprogram

7. A 315-ös támadó kód 2x áthajszolja a kritikus fordulatszámon az addig szeparált UF6újból összekeveredik • Öt szakaszt váltogat ciklikusan • a leghosszabb (13-90 nap) a kiváró szakasz • a többi órás nagyságrendű • Rongáló szakasz • a kezelőknek a korábban felvett normál üzemi paramétereket mutatja • felpörgeti a centrifugát 1410 Hz-re majdnem törésig viszi • lefékezi 2 Hz-re, • visszaáll a névleges frekvenciára Cserháti A.: A Stuxnet vírus és az iráni atomprogram

8. Mi a 417-es támadó kód célja? NEM cél a turbina! Bushehri Atomerőmű, K-1000-60/3000-3 turbina? • 417 adatszerkezete=kaszkád struktúra=kárjelentés • 6x hív egy 164-es ciklust: • 1 kaszkád: 164 centrifuga • 6x164=984 ~ 1000 gép, ennyi ürítve majd cserélve Cserháti A.: A Stuxnet vírus és az iráni atomprogram

9. A 417-es támadó kód a bennmaradó gáz a rotorok repedéséhez vezethet, a drága gáz kiömlik ezzel jelentősen lerontja a dúsítás hatásfokát • Hipotézis és bizonyított tény határán: • Szelepeket és gázfúvókat vezérel • pl. nem engedi rotor egyensúly hiánykor az UF6 gyors leürítését • Rejtve átrendezi a centrifugák kapcsolását a kaszkádon belül: • megváltoztatja az ideális elrendezést, • a kaszkád elejére kevesebb, a végére több centrifugát tesz. Cserháti A.: A Stuxnet vírus és az iráni atomprogram

10. Legújabb információk • 2011. február 15. • Először 5 iráni cég fertőződött 3 menetben • perzsa irányítástechnikai gyártók beszállítói voltak • 4: 2009. júni/júli; 2 újra: 2010. márc/ápr/máj; 5.: 2010. máj • Sok volt a csempészett eszköz a szankciók miatt • PLC-k is! • már fertőzötten kerülhettek Natanzba • A 417-es támadó kód • valószínűleg nem is aktiválódott! • még nem volt teljesen kész? • minden bizonnyal szelepeket zárt-nyitott volna • a 3 centrifuga ágon: bemenő, dús (előre), szegény (vissza) • több rongáló hipotézis felmerült Cserháti A.: A Stuxnet vírus és az iráni atomprogram