Licenta Puscas Bogdan Marin

Universitatea POLITEHNICA din Bucureşti
FACULTATEA DE ENERGETICĂ
Departamentul de Sisteme Electroenergetice
060042 Bucureşti, Splaiul Independenţei, nr. 313, sector 6
PROIECT DE DIPLOMĂ
Securitatea cibernetică în Rețelele Electrice
Autor: Bogdan – Marin Pușcaș
Cadre didactice îndrumătoare: Conf. Dr. Ing. Lucian Toma

As. Ioan - Cătălin Damian
București
Promoția Iulie 2020
Proiect de diplomă
Universitatea POLITEHNICA din Bucureşti
FACULTATEA DE ENERGETICĂ
Departamentul de Sisteme Electroenergetice
060042 Bucureşti, Splaiul Independenţei, nr. 313, sector 6
prezentat la
Universitatea POLITEHNICA din București

Facultatea de Energetică
pentru obținerea titlului de

inginer
Specializarea: Ingineria Sistemelor Electroenergetice
de către
Bogdan – Marin Pușcaș
(absolvent UPB)
sub îndrumarea
Conf. Dr. Ing. Lucian Toma
As. Ioan - Cătălin Damian
Susținut la data de 29 iunie 2020, în fața comisiei de examinare
Prof. dr. ing. Ion TRIŞTIU Președinte

Prof. dr. ing. Ioana FĂGĂRĂŞAN Membru
Prof. dr. ing. Sorina COSTINAŞ Membru
Prof. dr. ing. Virgil DUMBRAVĂ Membru
Conf. dr. ing. Marian COSTEA Membru
Conf. dr. ing. Radu PORUMB Membru
As. drd. ing. Irina PICIOROAGĂ Secretar
CUPRINS
LISTA DE NOTAȚII ............................................................................................................................4

CAPITOLUL 1. INTRODUCERE ...........................................................................................................5
CAPITOLUL 2. REȚELELE ELECTRICE..................................................................................................6
2.1 Definirea rețelelor electrice ...................................................................................................6
2.2 Configurația rețelelor de joasă tensiune ...............................................................................7
2.3 Configurația rețelelor de medie tensiune............................................................................. 12
2.4 Definirea rețelelor electrice inteligente ............................................................................... 16
CAPITOLUL 3. SECURITATEA CIBERNETICĂ A UNEI REȚELE ELECTRICE ........................................... 23
3.1 Conceptul de securitate cibernetică a unei rețele electrice ................................................. 23
3.2 Tipuri de atacuri asupra sistemelor SCADA .......................................................................... 25
CAPITOLUL 4. Power plant attacks - Win32/Industroyer ................................................................ 33
4.1 Backdoor-ul Principal ........................................................................................................... 33
4.2 Analiza atacului cibernetic asupra rețelei electrice a Ucrainei ............................................. 35
4.3 Ce face un ICS Cyber Kill Chain Mapping .............................................................................. 38
4.4 Lecțiile de apărare învățate ................................................................................................. 41
4.5 Tools and Technology impacts ............................................................................................. 43
4.6 Recomandări ....................................................................................................................... 44
CAPITOLUL 5. STUDIU DE CAZ ....................................................................................................... 46
5.1. Imagine de ansamblu asupra obiectivelor studiului de caz .................................................. 46
5.1 Pregatirea placuței Raspberry Pi .......................................................................................... 48
5.2 Utilizarea programului SNORT ca firewall............................................................................. 49
5.3 Pregatirea placutei Arduino Mega 2560 ............................................................................... 58
5.4 Securizarea procesului cu aplicatia VNC ............................................................................... 61
5.5 Aplicația practică ................................................................................................................. 65
CAPITOLUL 6. CONCLUZII ȘI OBSERVAȚII........................................................................................ 70
Bibliografie ................................................................................................................................... 73
3
LISTA DE NOTAȚII
AMI Advanced Metering Infrastructure

AMI Advanced Metering Infrastructure
API Application Programming Interface
ARM Advanced RISC Machine
BEMOSS Building Energy Management Open Source Software
CII Code Injection Issues
CMI Credential Management Issues
DMS Distributed Management System
FIT Foarte Inalta Tensiune
HAN Home Area Network
HMI Human Machine Interface
ICMP Internet Control Message Protocol
ICS Industrial Control Systems
IEC International Electrotechnical Commission
IEEE Institute of Electrical and Electronics Engineers

IoT Internet of Things
IP Internet Protocol
ISO International Organization for Standardization
ÎT Înalta Tensiune
JT Joasă Tensiune
LAI Lack of Authentication/Authorization and Insecure Defaults
MCI Memory Corruption Issues
MT Medie Tensiune
NAC Network Acces Control
NIST National Institute of Standards and Technology
OSI Open System Interconnection
QoS Quality of Service
RTE Real Time Environment
SCADA Supervisory control and data acquisition
SSH Secure Shell
SEE Sistem Electroenergetic
SG Smart Grid
SOA Service Oriented Architecture
TCP Transmission Control Protocol
UDP User Datagram Protocol
Un Tensiune Nominala
V Volt
VNC Virtual Network Computing
VPN Virtual Process Network
4
CAPITOLUL 1. INTRODUCERE
Tema proiectului meu de licență este denumită “Securitatea cibernetică în rețelele

electrice” şi reprezintă rezultatul curiozităţii mele pentru noile tendințe din domeniul
tehnologiei care pot avea impact și în sectorul energetic.
Motivul alegerii acestei teme a fost studiul amănunțit asupra siguranței infrastructurii
rețelei de energie electrică a României, în special cele ale companiilor de producere și de
furnizare a energiei electrice.
Raspberry Pi este un calculator complet funcțional ce conține un procesor, memorie
RAM și grafică și are ieșiri atât prin cablu (USB, HDMI) dar și wireless și bluetooth. Necesită
un SD-card pentru a rula sisteme de operare precum Linux (Ubuntu, Mate, Raspbian) și
Windows dar și pentru a stoca date. Acesta permite conectarea atât prin cablu (HDMI, USB,
charger) dar și de la distanță (SSH).
Arduino este un software open-source care poate fi utilizat cu orice placă Arduino și
care rulează pe Linux, Windows și MacOS. Este un sistem complex ce permite gestionarea
dispozitivelor, citirea și interfața cu senzorii.
Diferența dintre Arduino si Raspberry Pi este faptul că plăcile Arduino sunt niște
microcontrolere și nu mini calculatoare complet integrate. Acestea nu rulează un întreg sistem
de operare și execută doar cod scris, interpretat de firmware-ul fiecărei plăci utilizate, în
funcție de proiectul pe care vrem să îl efectuăm.
Avantajele acestor plăcuțe vin odată cu domeniile în care sunt utilizate și cu
complexitatea acestora. De exemplu, Arduino este mai eficient pentru sarcini repetitive simple
în schimb ce Raspberry Pi se folosește în situațiile în care avem nevoie de un calculator care
dorim să execute instrucțiuni complexe, să facă conexiuni între diferite interfețe sau să
stocheze date pentru a fi analizate ulterior.
Arduino și Raspberry Pi pot fi folosite cu succes în: monitorizarea și controlarea unui
proces fizic, controlarea mișcărilor unui robot, controlarea unui sistem IoT, sistem GPS,
telecomandă TV etc.
În lucrarea de față se urmărește controlarea securizată, și de la distanță, a unui proces
energetic folosind Raspberry Pi pe post de mini calculator cu rol de firewall și Arduino pentru
camandarea acestui proces.
5
CAPITOLUL 2. REȚELELE ELECTRICE
2.1 Definirea rețelelor electrice
Rețeaua electrică reprezintă ansamblul de linii, staţii electrice şi alte echipamente

electroenergetice, conectate între ele, prin care se transmite energie electrică de la o capacitate
energetică de producere a energiei electrice la un utilizator.
Criteriile care stau la baza clasificării rețelelor electrice sunt: tensiunea nominală,
tensiunea nominală a sistemului, destinația rețelelor, topologia, tratarea neutrului.
Tensiunea nominală a sistemului este valoarea tensiunii utilizată pentru a desemna sau
identifica un sistem și la care se referă anumite caracteristici de funcționare.
Tensiunea normată este valoarea cantitativă atribuită de către constructorul de

echipamente pentru anumite condiții de funcționare ale unei componente, dispozitiv sau
echipament din sistemul electroenergetic.
La dezvoltarea rețelelor electrice și alegerea nivelurilor de tensiune trebuie avut în

vedere regula conform căreia 1 kV corespunde la 1 km de linie electrică. Din acest punct de
vedere nivelul de tensiune permite o apreciere grosieră a distanței la care poate fi transmisă
energia electrică precum și a costului liniei și echipamentelor aferente acesteia. [1]
Din punct de vedere al nivelului de tensiune, rețelele electrice se împart în:
 joasă tensiune (JT), unde Un <= 1000 V, acestea se folosesc în instalații

interioare, în distribuția rurală, urbană și industrială
 medie tensiune (MT), unde 1 kV < Un < 35 kV, acestea sunt destinate distribuției
rurale, urbane și industriale și au rolul de a alimenta unul sau mai multe posturi de
transformare
 înaltă tensiune (ÎT), unde Un=110 kV sau 220 kV, acestea sunt rețele de repartiție
în teritorii sau de distribuție în marile orașe sau platforme industriale
 foarte înaltă tensiune (FIT), cu Un=400 kV sau 750 kV, au rolul de a transporta
mari cantități de energie electrică la distanțe mari sau de a realiza interconectarea cu
SEE vecine; pentru curent continuu se folosesc nivele de tensiune de 650 kV sau 750
kV pentru transportarea puterilor de 6500 MW
Rețelele electrice de transport sunt rețelele de 110 kV, 220 kV, 400 kV și 750 kV, cu
precizarea că rețelele electrice de 110 kV și unele din rețelele electrice de 220 kV sunt
utilizate și ca rețele de repartiție zonale. [2]
6
Rețelele electrice trebuie să aibă o structură astfel încat să asigure continuitatea în

alimentarea cu energie electrică a consumatorilor, să ofere flexibilitatea în exploatare și să
ofere posibilitatea de extindere pentru noile soluții ce se analizează spre a fi implementate.
2.2 Configurația rețelelor de joasă tensiune
Schemele de conexiune ale rețelelor de JT depind în principal de valoarea sarcinii

specifice (densitatea de sarcină), exprimată in MVA/km2 și de necesitatea asigurării unui
anumit grad de continuitate în alimentarea consumatorilor.
Rețelele electrice de JT sunt folosite pentru alimentarea consumatorilor de puteri mici,

urbani, rurali, publici, industriali (iluminat public, particular, motoare de puteri mici etc).
Acestea pot fi radiale, simplu buclate și complex buclate:
 rețelele de alimentare ce fac legatura între barele de joasă tensiune (JT) ale posturilor
de transformare (PT) și tablourile de distribuție (TD) a energiei electrice
 rețele de distribuție ce fac legatura între tablourile de distribuție și receptoare
Din punct de vedere funcțional tablourile de distribuție pot fi:
 tablouri generale (TG), primesc energie electrică din posturile de transformare și o

distribuie altor tablouri de distribuție sau direct la consumator
 tablouri principale (TP), primesc energia electrică de la tablouri generale și o

transmit către tablourile secundare sau direct la receptor
 tablouri secundare (TS), primesc energie electrică din TG sau TP și o transmit

receptoarelor
2.2.1 Scheme de conexiune radială
Se folosesc în zone cu densitate de sarcină redusă, cartiere mici, zone rurale sau zone
cu consumatori dispersați. Acestea pot fi:
 cu o singură treaptă, cazul în care TG alimentează TS sau direct consumatorii
 cu doua trepte, în care de la TG sunt alimentate TP, care la rândul lor alimentează TS
sau direct consumatorii. Pe fiecare derivație spre consumatori se prevăd siguranțe
fuzibile pentru protecția selectivă a circuitelor. Sensul de creștere al curenților este
dinspre receptor spre sarcină
7
Fig 2.1. Schema de conexiune radială cu două trepte
2.2.2 Scheme de conexiuni buclate
Asigură continuitatea alimentarii consumatorilor care necesită un grad ridicat de

siguranță în alimentare, fie prin rezervarea în surse de alimentare fie prin rezervarea în linii.
 rețea simplu buclată cu rezervare în serie
Aceasta este alimentată din două surse independente PT1 și PT2, iar pe fiecare plecare
se află siguranțele fuzibile având același curent nominal. Dezavantajul acestei scheme constă
în faptul că orice defect conduce la funcționarea întreruptorului automat, consumatorii
ramânând nealimentați.
Fig. 2.2. Schema de conexiune pentru o rețea simplu buclată cu rezervare în serie
8
 rețele buclate longitudinal
Posturile de transformare sunt alimentate de la aceeași linie de MT. Rețeaua de joasă

tensiune este formată din liniile de distribuție alimentate la două capete din posturi de
transformare diferite.
Dintre avantajele acestor rețele se pot menționa îmbunătațirea nivelului de tensiune,

mărirea gradului de siguranță în alimentarea consumatorilor și reducerea pierderilor de putere
și energie în rețea, iar principalul dezavantaj este reprezentat de defectul pe distribuitorul de
MT care întrerupe total alimentarea rețelei de JT. Acest dezavantaj se poate elimina prin
alcătuirea schemei buclate transversal.
Fig. 2.3. Schema de conexine pentru o rețea buclată longitudinal
9
 rețele buclate transversal
Se alimentează prin intermediul a două distribuitoare de MT care pleacă din același

punct de alimentare (PA). În această configurație, distribuitoarele cât și transformatoarele din
posturi sunt dimensionate pentru întreaga sarcină absorbită de receptoarele de pe partea de JT.
De asemenea, rețeaua de JT este puternic dimensionată datorită faptului că prin

acestea se vor face alimentarea tuturor consumatorilor, iar în cazul avarierii unuia dintre
distribuitori și PT, trebuiesc echipate cu relee direcționate sau siguranțe fuzibile bine calibrate
pentru deconectarea selectivă în caz de avarie a unui distribuitor.
Prezintă avantajele unui nivel de tensiune mai bun, căderi de tensiuni mai mici și
creșterea gradului de siguranță în alimentarea cu energie electrică a consumatorilor, iar
dezavantajul este reprezentat de costul ridicat al schemei, aceasta fiind utilizată doar atunci
când se trece la o schemă complex buclată.
Fig. 2.4. Schema de conexinue pentru o rețea buclată transversal
10
 rețele complex buclate
Se utilizează în cazul unor densități mari de sarcină, aproximativ 3 25 MVA/km2, în

zonele centrale ale orașelor și cartierelor rezidențiale din marile aglomerări urbane. Se adoptă
o structură de tip plasă pentru partea de JT. Fiecare consumator poate fi alimentat prin minim
trei legături. Diversele noduri sunt alimentate printr-o rețea de distribuitoare și posturi de
transformare dintr-un punct de alimentare.
Rețelele de JT sunt singurele rețele din cadrul companiilor de distribuție care

alimentează și consumatori monofazați. Acestea se află în localități urbane în configurație
buclată cu funcționare radială, în cabluri subterane. În localități rurale cu mai multe PT există
posibilitatea realizării unei rețele de JT aeriene buclate cu funcționare radială. Schema rețelei
de JT și modul de asigurare a rezervării la nivelul consumatorilor influențează schema și
parametrii rețelei de MT.
Fig. 2.5. Schema de conexinue pentru o rețea complex buclată
11
2.3 Configurația rețelelor de medie tensiune
În funcție de modul de racordare la stația de ÎT/MT, rețelele de MT sunt:
 cu distribuție directă, când PT sunt racordate la barele de MT ale stației de

transformare prin intermediul liniilor de MT cu rezervare pe aceeași stație de
transformare, cu rezervare pe două stații de transformare diferite, tip grilă, dublă
derivație
 cu distribuție indirectă, cu puncte de alimentare prin rețea de fideri și distribuitori
 cu racordare indirectă, prin puncte de conexiune; PT sunt racordate prin linii de MT

la bara punctului de conexiune care la rândul său este alimentat prin stațiile ÎT/MT prin
linii de MT
2.3.1 Scheme de conexiune
 cu racordare directă
PT de MT/JT sunt racordate direct la barele de MT ale stației de transformare de

ÎT/MT prin intermediul liniilor electrice
 cu racordare prin puncte de alimentare
PA alimentată din ST de ÎT/MT printr-un fider, la rândul său PA alimentează o rețea

de distribuitoare care la rândul lor alimentează PT. Principalele avantaje sunt că reduc
numărul de celule necesare în stațiile de transformare, acestea fiind scumpe, și în PA, puterile
de scurtcircuit sunt limitate de impedanțele fiderilor sau de reactanța bobinei, dacă este
necesar, aceasta fiind montată în serie.
12
 distribuție directă prin LES cu rezervă pe aceeași stație
Are aplicabilitate în rețelele de distribuție de MT din zonele urbane când nu există

posibilitatea asigurării rezervării de pe barele de MT din altă stație de transformare.
Fig 2.6. Schema de conexiune pentru o rețea de distribuție directă pe acceași stație
13
 distribuție directă prin LES cu rezervă pe stații diferite
Are aplicabilitate în rețelele de distribuție de MT din zonele urbane, când există

posibilitatea asigurării rezervării de pe barele de MT ale altei stații. Aceste rețele sunt
exploatate radial prin deschiderea buclei (deconectarea unui tronson).
Distribuția prin scheme magistrale permite simplificarea instalațiilor de distribuție și a

construcției, reducându-se numărul de celule din stațiile de alimentare. În cazul în care pe o
magistrală sunt mai multe transformatoare este necesar să se utilizeze protecții diferențiale,
ceea ce constituie un dezavantaj.
Fig 2.7. Schema de conexiune pentru o rețea de distribuție directă pe stații diferite
 distribuție directă tip dublă derivație prin LES cu rezrvare pe aceeași stație sau pe
două stații diferite
Se folosește în rețelele de distribuție de MT din zonele urbane cu densități de sarcină
de peste 10 MVA/
Fig 2.8. Schema de conexiune pentru o rețea de distribuție de Medie Tensiune
14
 distribuție directă tip grilă cu rezervare pe aceeași stație sau pe stații diferite
Se folosește în rețelele de distribuție de MT din zonele urbane cu densități de sarcină

de 5 MVA/ sau pentru a reduce volumul de cabluri.
Fig 2.9. Schema de conexiune pentru o rețea de distribuție de tip grilă
15
2.4 Definirea rețelelor electrice inteligente
Rețeaua inteligentă este o formă modernă a rețelei electrice tradiționale care oferă
servicii electrice mai sigure și mai de încredere. Caracteristica principală a rețelelor
inteligente constă în comunicare bidirecțională între unitatea de producere și consumatorul de
energie electrică precum și capabilitatea de monitorizare a activităților sistemului conectat la
rețea; preferințele consumatorilor de utilizare a energiei electrice, oferind informații în timp
real despre toate evenimentele. Componentele cheie ale rețelei inteligente includ aparate
inteligente, stații inteligente, contoare inteligente și tehnologii avansate de sincrofazor. [17]
Rețeaua inteligentă combină sistemul electroenergetic și infrastructura IT pentru a

integra și interconecta toți utilizatorii (producători, operatori, furnizori, consumatori etc.)
pentru a echilibra eficient cererea și a furniza printr-o rețea din ce în ce mai complexă.
Arhitectura electronicelor și a firmware-ului configurează, monitorizează, întreține și

controlează echipamente energetice din rețeaua electrică. Elementele fundamentale ale
arhitecturii rețelei inteligente se referă la fiabilitate și control definitiv asupra echipamentelor
din rețeaua de energie electrică și concentrarea pe aspecte de securitate. Arhitectura rețelei
inteligente integrează fizic electronica și software-ul sistemelor rețelei.
Rețeaua inteligentă este reprezentată de rețeaua electrică ce cuprinde arhitectura

software de rețelele de linii de transport si distribuție, substații, transformatoare și
consumatorul, acesta putând îndeplini un rol important în rețea, cel de prosummer.
ISO / IEC / IEEE 42010 definește o arhitectură software ca „un concept sau proprietăți
fundamentale ale unui sistem încorporat în elementele, relațiile sale și în principiile proiectării
și evoluției sale ”. Rețeaua inteligentă este vizualizată ca sistem software în care majoritatea
dispozitivelor și componentelor conțin electronică și software. Arhitectura software de rețea
inteligentă este caracterizată ca un sistem bazat pe o scară largă, multi-disciplinar, extrem de
interconectată, bazată pe date. [16]
Cercetările în rețelele inteligente au dus la o serie de noi propuneri și experimente

pentru a îmbunătăți tehnicile de arhitectură software dar și interfața cloud cu sub-sistemele
rețelei. Rețeaua inteligentă functională are ca scop construirea unei arhitecturi pentru protecția
datelor clienților. Luând în calcul investiția infrastructurii în energia electrică pentru protecția
datelor din rețele, entitățile trebuie să fie participanți activi la Institutul Național de
Standardizări si Tehnologie (NIST) pentru stabilirea politicilor și structurii de supraveghere
pentru aplicarea legii de control a securității datelor prin adoptarea celei mai bune securități,
instruiri ale personalului, evaluări de vulnerabilitate cibernetică și de confidențialitate ale
consumatorilor. [17]
16
Un raport arată că dacă ne putem da seama de potențialul rețelelor inteligente, atât

consumatorii cât și planeta ar putea beneficia de asta, ținând seama că investițiile în asigurarea
rețelei de la atacuri malițioase (malicious attacks), dezastre naturale și alte accidente ar putea
avea o creștere semnificativă. Ca în cazul oricărei tehnologii noi, industria a pus accentul pe
crearea și utilizarea rețelelor inteligente, adesea cu puțină considerație pentru problemele de
securitate cibernetică. [17]
Fig 2.10. Diferența dintre Smart Grid și rețeaua clasică
17
2.4.1 Conceptul, avantajele si dezavantajele rețelei inteligente
Pe scurt, tehnologia digitală care permite comunicarea în două sensuri între furnizori
și clienții săi este ceea ce face ca rețeaua să fie inteligentă. La fel ca Internetul, Smart Grid va
consta din comenzi, calculatoare, automatizări și noi tehnologii și echipamente care lucrează
împreună, dar în acest caz, aceste tehnologii vor funcționa cu rețeaua electrică pentru a
răspunde digital la cererea electrică în schimbare rapidă. [16]
Smart Grid reprezintă o oportunitate fără precedent de a muta industria energetică

într-o nouă eră de fiabilitate, disponibilitate și eficiență care va contribui la sănătatea noastră
economică și de mediu. În perioada de tranziție, va fi esențial să se efectueze testarea,
îmbunătățirea tehnologiei, educația consumatorilor, elaborarea standardelor și reglementărilor
și schimbul de informații între proiecte pentru a se asigura că beneficiile pe care le avem în
vedere de la Smart Grid vor deveni realitate. Beneficiile asociate Smart Grid includ [16]:
 Transmiterea mai eficientă a energiei electrice

 Restabilirea mai rapidă a energiei electrice după perturbațiile din rețea
 Reducerea costurilor de operare și de gestionare a utilităților și, în cele din urmă,
reducerea costurilor de energie pentru consumatori
 Cererea de vârf redusă, ceea ce va ajuta la reducerea costului de electricitate
 Integrare sporită a sistemelor de energie regenerabilă pe scară largă
 Integrare mai bună a sistemelor de generare a energiei proprietar-client, inclusiv
sisteme de energie regenerabilă
 Securitate îmbunătățită
Astăzi, o întrerupere a energiei electrice, cum ar fi o oprire, poate avea un efect

domino - o serie de eșecuri care pot afecta serviciile bancare, comunicațiile, traficul și
securitatea. O rețea mai inteligentă va conduce la un sistem electroenergetic mai rezilient și îl
va face mai bine pregătit pentru a aborda situațiile de urgență, cum ar fi furtunile severe,
cutremurele, etc .
Datorită capacității sale interactive cu două sensuri, Smart Grid va permite

redirecționarea automată atunci când echipamentele se defectează sau se produc întreruperi.
Acest lucru va reduce întreruperile și va minimiza efectele atunci când se întâmplă.
Atunci când apare o întrerupere de energie, tehnologiile Smart Grid vor detecta și
izola întreruperile înainte de a deveni opriri la scară largă. Noile tehnologii vor ajuta, de
asemenea, să se asigure că recuperarea energiei electrice se reia rapid și strategic după o
situație de urgență - dirijarea electricității către serviciile de urgență, de exemplu.
18
Combinând aceste resurse „de generare distribuită”, o comunitate și-ar putea păstra
centrul de sănătate, departamentul de poliție, semafoarele, sistemul de telefon și magazinul
alimentar care funcționează în timpul urgențelor. În plus, Smart Grid este o modalitate de a
aborda o infrastructură energetică îmbătrânită care trebuie modernizată sau înlocuită.
Este o modalitate de a aborda eficiența energetică, de a conștientiza consumatorii cu

privire la legătura dintre consumul de energie electrică și mediu și de a crește securitatea
națională crescută la Sistemul nostru energetic.
2.4.1.1 Obținerea controlului consumatorilor
Smart Grid nu se referă doar la utilități și tehnologii; este vorba de a oferi informațiile
și instrumentele de care este nevoie pentru a lua decizii cu privire la consumul de energie.
O rețea mai inteligentă va permite un nivel fără precedent de participare a consumatorilor. De
exemplu, nu va mai trebui să așteptați declarația lunară pentru a ști câtă energie electrică
utilizați. „Contoarele inteligente” și alte mecanisme vă vor permite să vedeți câtă energie
electrică utilizați, când o utilizați și costul acesteia.
În timp ce potențialele beneficii ale Smart Grid sunt discutate de obicei în termeni de
economie, securitate națională și obiective energetice regenerabile, Smart Grid are potențialul
de a vă ajuta să economisiți bani, ajutându-vă să vă gestionați consumul de energie electrică și
să alegeți cele mai bune perioade de cumpărare. electricitate. Și puteți economisi și mai mult
prin generarea propriei puteri.
În ciuda numeroaselor beneficii ale Smart Grid, există multe provocări în

implementarea sa. Rețelele inteligente implică multe părți interesate care sunt responsabile de
aspecte diferențiale ale sistemului energetic și, din păcate, coordonarea și rata de adoptare a
noii tehnologii se întâmplă diferit. Investițiile mari necesare atât în infrastructură, cât și în
dispozitivele noi sunt, de asemenea, o barieră pentru schimbare. În cele din urmă, obstacolele
de reglementare și problemele de jurisdicție prezintă provocări semnificative care trebuie
depășite.
19
2.4.1.2 Construirea și testarea rețelei inteligente
Va fi nevoie de ceva timp pentru ca toate tehnologiile să fie perfecționate,

echipamentele instalate și sistemele testate înainte de a deveni complet online. Nu se va
întâmpla dintr-o dată, Smart Grid evoluează, puțin câte puțin, în următorul deceniu. Odată
maturizată, Smart Grid va aduce probabil același fel de transformare pe care Internetul a adus-
o deja în modul în care trăim, lucrăm și învățăm. [17]
Rețeaua electrică modernă se dezvoltă încă din anii 1950 și s-a îmbunătățit pe măsură
ce tehnologia avansa. Următoarea modernizare a rețelei este în curs de desfășurare pentru a
gestiona mai bine integrarea tot mai mare a societății de tehnologii digitale și complexitățile
în creștere ale sistemelor energetice din zilele noastre, pe măsură ce continuă să evolueze.
Rețelele inteligente au capacitatea de a gestiona mai bine generarea de energie a

surselor intermitente de electricitate. Rețelele inteligente permit producătorilor să crească sau
să reducă producția în mod precis și previzibil în raport cu generarea variabilă de energie
electrică regenerabilă, permițând astfel utilizarea suplimentară a energiei regenerabile.
Fig 2.11. Reprezentare schematică Smart Grid
20
2.4.2 Aplicații ale rețelelor inteligente
Pentru ca rețeaua inteligentă să funcționeze eficient, aceasta se bazează pe un întreg

sistem de tehnologii inteligente precum: componente hardware și software pentru transportul
energiei electrice de la unitati de producere către utilizatori finali, sistemul software si
electronica încorporată în rețeaua electrică, capacitatea electronică de comunicare prin
feedback dar și canalul de comunicație între sub-stații care, în prezent utilizează interfața
cloud si wireless. [5]
2.4.2.1 Exemplele de aplicații pentru rețelele inteligente includ:
 Generarea energiei: O mare varietate de surse de producție care pot răspunde rapid
la schimbarea cererii va fi necesară, deoarece energiile regenerabile devin o componentă
importantă a sistemului energetic. Pe măsură ce multitudinea surselor de producere de
energie sunt distribuite, rețeaua inteligentă va ajuta la conectarea eficientă a tuturor
acestor sisteme de producere de energie la rețeaua electrică, va furniza date despre
funcționarea lor la utilizatori și va oferi informații despre cât de multă energie în plus
este reintrodusă în rețea față de cea consumată
 Distribuția energiei: Informația de distribuție permite unei componente electrice să

monitorizeze și să coordoneze de la distanță activele sale de distribuție (linii de
transport, stații etc.), utilizându-le într-o problemă optimă folosind comenzi manuale
sau automate. Rețeaua inteligenta oferă, de asemenea, funcții de detectare și reacție în
caz de avarie, care permit uneori rețelei sa detecteze și să elimine, la nevoie, defectul
 Consumul energiei: Controlerele din locuință și aparatele pot fi configurate pentru a

comunica cu rețeaua inteligentă și pentru a răspunde semnalelor de la furnizorul de
energie pentru a reduce consumul de energie al acestora în momentele în care rețeaua
electrică este suprasolicitată din cauza cererii mari, sau pentru a reduce consumul de
energie. Aparatele inteligente pot prezice tiparele de consum și pot răspunde la un set
larg de variabile pre-programate pentru a reduce consumul și costurile de energie
electrică.
21
2.4.3 Diferența dintre rețelele inteligente și cele clasice
O rețea inteligentă diferă de rețeaua tradițională prin faptul că permite comunicarea în

două sensuri a datelor privind energia electrică. Rețelele inteligente permit colectarea datelor
în timp real privind oferta și cererea de energie electrică în timpul procesului de transport și
distribuție, făcând monitorizarea, producerea, consumul și întreținerea mai eficiente.
Majoritatea rețelelor electrice se bazează pe interacțiunea unidirecțională din etapele

generării până la consum. Rețelele inteligente, pe de altă parte, integrează acțiunea tuturor
utilizatorilor din rețeaua de energie utilizând comanda la distanță și automatizarea bazată pe
calculatoarele de proces. Această interacțiune în două sensuri este ceea ce face ca rețeaua să
fie „inteligentă”. [17]
Rețelele inteligente permit societățiilor să treacă de la un sistem centralizat de

producere, transport si distribuție a energiei, unde energia electrică este produsă în instalații
industriale mari și este transportată pe distanțe lungi către consumatori, la un sistem distribuit
de resurse energetice, unde se pot adăuga diferite surse de producere.
Mai mult, rețelele inteligente îmbunătățesc eficiența energetică prin reducerea

pierderilor pentru transportul energiei. Deoarece energia electrică este furnizată de la unitățile
de producere către consumatori, rețelele inteligente asigură expediția cantității optime de
energie electrică, reducând în același timp distanța pe care trebuie să o parcurgă electricitatea
pentru a ajunge la consumatorul final. [17]
22
CAPITOLUL 3. SECURITATEA CIBERNETICĂ A UNEI REȚELE

ELECTRICE
3.1 Conceptul de securitate cibernetică a unei rețele electrice
Securitatea cibernetică este practica protejării sistemelor, rețelelor și programelor

împotriva atacurilor digitale. Aceste atacuri vizeaza, de obicei, accesarea, schimbarea sau
distrugerea informațiilor sensibile, extorcarea banilor de la utilizatori, sau întreruperea
proceselor normale de funcționare. [11]
Punerea în aplicare a măsurilor eficiente de securitate cibernetică este deosebit de

dificilă astăzi, deoarece există mai multe dispozitive decât oameni, iar atacatorii devin mai
inovatori. Specialiștii în securitate cibernetică joacă un rol esențial în securizarea sistemelor
informaționale. Prin monitorizarea, detectarea, investigarea, analizarea și răspunsul la
evenimente de securitate, specialiștii în securitate cibernetică protejează sistemele împotriva
riscurilor, amenințărilor și vulnerabilităților în domeniul securității cibernetice.
Specialiștii în securitate cibernetică lucrează la echipe IT dedicate protejării integrității

rețelei și datelor. În mod tradițional, operațiunile de rețea și tehnologia IT au completat
activitatea principală, dar din ce în ce mai mult, succesul unei afaceri se bazează pe succesul
și capacitatea rețelei sale.
Impactul atacurilor care vizează sistemele de control de supraveghere și achiziție de

date (SCADA) depinde de intenția atacatorului și de nivelul de acces și cunoștințe pe care le
au despre țintă. Atacurile Stuxnet ale rețelei electrice din Ucraina ne oferă idei clare despre
cât de multă pagubă poate provoca un adversar determinat nu numai asupra afacerii sau
operațiunii în cauză, ci și publicului larg. [9]
Atacatorii își pot folosi accesul la sistemele SCADA pentru a aduna informații precum
structura unei instalații, praguri critice sau setări ale dispozitivului pentru a fi utilizate în
atacurile ulterioare si se pot infiltra în sistemele SCADA prin diferite mijloace, dintre care
unul este prin exploatarea vulnerabilităților software predominante în interfețele om-masina
(HMI).
Un HMI afișează date de la echipamente și acceptă comenzi de la operatori. Prin

această interfață, un operator monitorizează și răspunde la informațiile afișate de un sistem.
Un HMI modern oferă o vizualizare extrem de avansată și personalizabilă despre starea
actuală a unui sistem. Ca atare, HMI trebuie să fie considerat o țintă principală în cadrul unui
sistem SCADA, care ar trebui instalat doar pe un spațiu separat sau izolat, pe o rețea
securizata.
23
Experiența arată că acest lucru nu este considerat un factor important în securizarea

rețelelor și din această cauză toate atacurile reușite asupra unui astfel de ansamblu pot avea un
impact major în buna funcționare a sistemului, putând chiar să îl destabilizeze sau să provoace
daune financiare.
În ciuda riscurilor pentru obținerea accesului neautorizat la sisteme critice, industria

din spatele dezvoltării sistemelor SCADA, în special furnizorii HMI, tind să se concentreze
mai mult pe fabricarea de echipamente și mai puțin pe asigurarea software-ului conceput
pentru a le controla. Lipsa standardelor globale pentru software-ul HMI agravează în
continuare problemele de securitate în acest domeniu. De asemenea, am observat că IMC-
urile nu utilizează măsuri de bază de apărare în profunzime. [7]
Această cercetare examinează starea actuală a securității HMI a SCADA, analizând

toate vulnerabilitățile dezvăluite public în software-ul SCADA, care a fost remediat din 2015
și 2016; inclusiv 250 de vulnerabilități descoperite prin programul Zero Day Initiative (ZDI).
Am constatat că cele mai multe dintre aceste vulnerabilități sunt în domeniile corupției
memoriei, gestionării slabe a acreditărilor, lipsei autentificării / autorizării și a implicităților
nesigure și a erorilor de injecție de cod, toate acestea fiind prevenite prin practici de
dezvoltare sigure. [8]
În cele din urmă, am observat că timpul mediu dintre dezvăluirea unui bug către un
furnizor SCADA până la eliberarea unui patch ajunge până la 150 de zile. Acest lucru diferă
la fiecare furnizor, iar timpul de asteptare poate ajunge până la 200 de zile. [8]
24
3.2 Tipuri de atacuri asupra sistemelor SCADA
3.2.1 Problemele de corupție a memoriei (MCI)
Problemele de corupție ale memoriei reprezintă 20% din vulnerabilitățile identificate.

Punctele slabe din această categorie reprezintă probleme clasice de securitate a codului.
Corupția memoriei poate apărea în HMI-uri atunci când conținutul unei locații din
memorie este modificat neintenționat din cauza unor erori de suprascriere. Când conținutul de
memorie coruptă este utilizat mai târziu în acel program, programul fie colapsează, fie
execută codul care nu era destinat să fie executat. [8]
Fig 3.1. Ilustrarea grafică a procentului de memorie coruptă
25
3.2.2 Probleme de gestionare a acreditărilor (CMI)
Vulnerabilitățile din această categorie reprezintă cazuri cum ar fi utilizarea parolelor

codificate, stocarea parolelor într-un format recuperabil și protejarea insuficientă a
acreditărilor. (fișiere txt sau notepad)
Fig 3.2. Ilustrarea grafică a procentului de gestionare a acreditărilor
3.2.2.1 Studiu de caz – General Electric MDS PulseNET
General Electric (GE) MDS PulseNET este utilizat pentru monitorizarea dispozitivelor
și a rețelelor de comunicație industriale repartizate în sectoarele de energie, apă și ape uzate la
nivel mondial. Programul ZDI a primit un raport de vulnerabilitate care a declarat: „Produsele
afectate conțin un cont de suport codificat cu privilegii complete.”
Ancheta completă a dus la dezvăluirea CVE-2015-6456 cu un scor comun al

vulnerabilității de 9. O privire asupra panoului de gestionare a utilizatorului indică existența a
doar două conturi în sistem - operator și administrator, ulterior descoperinde-se de fapt că a
existat un al treilea cont ascuns care avea privilegii complete cu cele ale administratorului.
Acesta folosea HeidiSQL16 pentru a extrage informații din baza de date „ge_support”
cu un hash de parolă de <! [HDATA [MD5 $ 8af7e0cd2c76d2faa98b71f8ca7923f9.
Prin crăcuirea hașului MD5, parola a putut fi usor decriptata si expusă: „Pu1seNET”. [8]
26
3.2.3 Lack of Authentication/Authorization and Insecure Defaults
Aceasta include multe valori implicite nesigure, transmiterea clară a textului și a

informațiilor sensibile, lipsa criptării și controalele ActiveX nesigure, marcate ca fiind sigure
pentru posibile injecții de scripturi.
Fig 3.3. Ilustrarea grafică a procentului de Lack of Authentication/Authorization
3.2.3.1 Studiu de caz – Siemens SINEMA Server vulnerabilitatea permisiunilor

fișierelor
O configurare greșită văzută adesea în produsele HMI apare atunci când companiile
decid să creeze propriile lor liste de control acces (ACL) în loc să folosească directorul
implicit Windows Files Program.
În loc să fie protejate în mod corespunzător, aceste directoare de nivel superior sunt, în
mod implicit, redactabile în lume, iar arborele de directoare includ binarele de servicii ale
soluției. Această problemă s-a manifestat în Siemens SINEMA Server și a fost abordată prin
CVE-2016-6486. Produsul s-a instalat singur într-un director al ACL, Microsoft stabilind un
director - Fișiere de program - cu ACL-uri sigure. [8]
Fig 3.4. Configurare incorectă a directoarelor arborelui de decizie
27
3.2.4 Probleme de injecție de cod
La fel ca alte servicii online, vulnerabilitățile de injectare de cod se regăsesc și în cazul

HMI-ului. Aceste probleme reprezintă 9% din vulnerabilitățile identificate. În timp ce tipurile
comune de injecție - SQL, comandă, sistem de operare, cod - apar în continuare, există injecții
specifice domeniului care prezintă, de asemenea, un risc pentru soluțiile SCADA. Unul dintre
limbajele specifice predispuse la injecție este scriptul Gamma, care este utilizat de Cogent
DataHub sistem. [8]
Gamma este un limbaj de programare interpretat în mod dinamic, conceput special

pentru a permite dezvoltarea rapidă a aplicațiilor de control și UI. Limbajul se bazează pe o
sintaxă similară cu C și C ++, dar cu o serie de caracteristici încorporate care îl fac un limbaj
mult mai complex pentru dezvoltarea de sisteme sofisticate în timp real. De asemenea,
Gamma vine cu o API complet documentată și este disponibilă oricui.
Fig 3.5. Ilustrarea grafică a procentului de injecție de cod
3.2.4.1 Studiu de caz – Cogent DataHub
Potrivit producătorului, Cogent DataHub este o bază de date în timp real, acționează
ca un hub care oferă o concentrare și distribuție rapidă și eficientă a datelor pentru controlul
proceselor. Programul ZDI a primit un raport asupra unei erori care permite atacatorului
activarea modului de procesare nesigur pe serverul web. Aceasta oferă o modalitate prin care
un atacator poate trimite și executa scripturi pe server. [8]
28
În acest caz, atacatorul folosește un defect în metoda EvalExpression pentru a fi

executat codul controlat de atacator în sistemul țintă. Această metodă este accesibilă de la
distanță prin intermediul aplicatiei Ajax si ascultarea portului TCP 80. Prin furnizarea țintei
unui anumit script Gamma, acesta fiind formatat special, se permite executarea comenzilor de
către sistemul de operare.
Deoarece Gamma este un limbaj specific domeniului, acesta conține multe

caracteristici și funcții integrate pentru industria SCADA. Cu toate acestea, scriptul conține,
de asemenea, capacitatea de a accesa și executa comenzi de sistem. Această abilitate poate fi
abuzată de atacator, așa cum se vede în codul vulnerabil de mai jos.
Fig 3.6. Injecția scriptului in sintaxa .EvalExpression
29
Exemplu cod Gamma:
Fig 3.7. Script evaluare AJAXSupport
30
Exemplu cod cu script adăugat
Fig 3.8. Injecția codului in scriptul de evaluare AJAXSupport
31
3.2.5 Vulnerabilități Windows
Odata cu găsirea vulnerabilităților în produsele SCADA, timpul necesar pentru

remedierea erorii variază. Acest timp este adesea denumit fereastră de expunere la
vulnerabilitate. Dezvoltatorii ZDI au examinat toate vulnerabilitățile HMI primite prin
program (mai mult de 250) și au măsurat cât timp a luat să se rezolve. După cum se vede în
datele din ultimii patru ani, timpul mediu de rezolvare nu respectă o anumită lege de variație
și depinde de natura reușitei atacatorului. Din 2013, timpul mediu, de la dezvăluirea unei
neregularități în cod până la scoaterea pe piață a unui update care să rezolve problema, poate
ajunge până la 140 zile. [8]
Calitatea update-urilor joacă un rol important în acest interval de timp. O actualizare

problematică aplicată unui sistem poate duce la refuzul auto-indus de serviciu (DoS) pe o
componentă critică a infrastructurii. Aceasta poate introduce un decalaj între disponibilitatea
unei actualizări și instalarea acesteia într-un sistem de producție.
Nu toți furnizorii SCADA funcționează în aceleași linii de timp. Anumiți furnizori

răspund mult mai rapid decat alții.
Fig 3.9. Durata de procesare a actualizarilor HMI
32
CAPITOLUL 4. Power plant attacks - Win32/Industroyer
Win32 / Industroyer este un soft sofisticat conceput pentru a perturba procesele de

lucru ale sistemelor de control industriale (ICS), în special sistemele de control industriale
utilizate în stațiile electrice. Cei care se află în spatele programelor malware Win32 /
Industrover cunosc și înțeleg profund sistemele de control industriale, în special protocoalele
industriale utilizate în sistemele de energie electrică. Mai mult, se pare că este foarte puțin
probabil ca cineva să poată scrie și testa astfel de malware fără acces la echipamentele de
specialitate utilizate în mediul industrial specific. Suportul pentru patru protocoale de control
industriale diferite, specificate în standardele enumerate mai jos, a fost implementat de către
autorii de programe malware [9]:
 IEC 60870-5-101 (IEC 101)

 IEC 60870-5-104 (IEC 104)
 IEC 61850
 OLE, pentru acces la date de control de proces (OPC DA)
Pe lângă toate acestea, programatorii malware au creat și un instrument care

implementează un atac de refuz de serviciu (DoS) împotriva unei anumite familii de relee de
protecție, în special gama Siemens SIPROTEC. Cu toate acestea avute în vedere, malware-ul
Win32 / Industroyer arată o concentrare intensivă care sugerează că sunt foarte specializați în
sistemele de control industriale.
Capacitățile acestui malware sunt semnificative in comparație cu setul de instrumente

folosite în atacurile din 2015 împotriva rețelei electrice din Ucraina, care a culminat cu un
black out la 23 decembrie 2015 (BlackEnergy, KillDisk și alte componente, inclusiv software
de acces la distanță legitim). Gruparea din spatele Industroyer este mult mai avansată,
deoarece au creat un malware capabil să controleze direct separatoarele și întreruptoarele.
4.1 Backdoor-ul Principal
Face referire la componenta de bază a Industroyer ca principal backdoor și este

utilizată de atacatorii din spatele Industroyer pentru a controla toate celelalte componente ale
programelor malware. Această componentă este destul de simplă, ea se conectează la serverul
său C&C de la distanță folosind HTTPS și primește comenzi de la atacatori. Toate
conexiunile analizate sunt codate pentru a utiliza aceeași adresă proxy, localizată în rețeaua
locală, backdoor-ul fiind conceput pentru a funcționa doar pentru o anumită țintă. Este de
menționat faptul că majoritatea serverelor C&C utilizate de acest backdoor rulează software
Tor; iar caracteristica interesantă a acestui backdoor este că atacatorii pot defini o oră
specifică a zilei în care backdoor-ul va fi activ.
33
Spre exemplu, atacatorii pot modifica backdoor-ul astfel încât vor comunica cu
serverul său C&C numai în afara programului de lucru. Acest lucru poate face mai dificilă
detectarea pe baza examinării traficului de rețea.
Fig 4.1. Backdoor pentru serverel C&C
Odată ce atacatorii obțin privilegii de administrator, pot face upgrade backdoor-ului

instalat la o versiune mai privilegiată care este executată ca un program de servicii Windows.
Pentru a face acest lucru, ei au ales Serviciul Windows non-critic (nu face parte din categoria
sys32) și au înlocuit valoarea registrului ImagePath cu cea a noului backdoor.
Funcționalitatea principalului backdoor care funcționează ca un serviciu Windows este

identic cu cel descris. Cu toate acestea, există două mici diferențe: în primul rând, versiunea
din spate este 1.1s, în loc de 1.1e, iar în al doilea rând, există o neconcordanță în acest cod.
34
4.2 Analiza atacului cibernetic asupra rețelei electrice a Ucrainei
4.2.1 Rezumatul incidentelor
La 23 decembrie 2015, compania regională de distribuție de energie electrică a

raportat întreruperi de servicii pentru clienți. Întreruperile s-au datorat intrării ilegale a unui
terț în computerul companiei și în sistemele SCADA. Începând cu aproximativ 15:35 ora
locală, șapte stații de 110 kV și douăzeci și trei de 35 kV au fost deconectate timp de trei ore.
Declarațiile ulterioare au indicat faptul că atacul cibernetic a afectat diferite segmente ale
rețelei de distribuție, operatorii fiind forțați să treacă la operarea in modul manual.
Evenimentul a fost elaborat de către Presa ucraineană, care a efectuat interviuri și a

stabilit că un atacator străin controlează de la distanță sistemul de gestionare SCADA.
Întreruperile s-au crezut că au afectat inițial aproximativ 80.000 de clienți, pe baza
declaratiilor companiei Kyivoblenergo. Cu toate acestea, mai târziu s-a descoperit că trei
operatori de distribuție au fost atacați, rezultând mai multe întreruperi care au determinat
pierderea de energie a aproximativ 225.000 de clienți in diverse zone. [9]
La scurt timp după atac, oficialii guvernamentali ucraineni au susținut că întreruperile

au fost cauzate de un atac cibernetic și că serviciile de securitate ruse au fost responsabile
pentru incidente. În urma acestor afirmații, anchetatorii din Ucraina, precum și companii
private și guvernul american au efectuat analize și au oferit asistență pentru determinarea
cauzei principale a opririi neplanificate. Atât E-ISAC, cât și ICS SANS au fost implicate în
diverse analize în legătură cu acest caz din 25 decembrie 2015, în colaborare cu membri de
încredere și organizații din comunitate.
Acest raport comun consolidează informațiile despre sursă, clarificând detalii

importante legate de atac, oferind lecții învățate și recomandând abordări pentru a ajuta
comunitatea ICS să respingă atacuri similare.
35
4.2.2 Descrierea procedurii și tehnica atacului
Atacatorii au demonstrat o varietate de capabilități, inclusiv e-mailuri de “spare

phishing”, variante ale BlackEnergy3 malware și manipularea documentelor Microsoft Office
care conțineau malware-ul pentru a obține un punct de acces în rețelele de tehnologie
informațională (IT) ale companiilor de energie electrică.
În plus, atacatorii au demonstrat profesionalism, nu numai în infrastructura conectată

la rețea, dar și în exploatarea ICS-urilor prin intermediul sistemului de control de
supraveghere al HMI-urilor.
Fig 4.2. Ilustrarea metodelor de penetrare a rețelei
În cele din urmă, adversarii au demonstrat capacitatea și disponibilitatea de a viza

dispozitivele de câmp ale stațiilor și de a scrie firmware rău intenționat personalizat. Aceștia
au folosit și sistemele de telefonie pentru a genera mii de apeluri către centrul de apel al
companiei de energie, pentru refuzarea accesului clienților care urmau să raporteze
deconectările din sistem.
Una dintre abilitățile cheie ale atacatorilor a fost aceea de a efectua operații pe termen
lung de recunoaștere a mediului informatic pentru a executa atacuri divizate în mai multe
stagii și pe mai multe breșe de operare, acestea fiind foarte bine sincronizate.
36
4.2.3 Lista metodelor utilizate de către atacatori pentru a obține acces [9]:
 Spear phishing pentru a avea acces la rețelele de afaceri ale operatorilor

 Identificarea BlackEnergy 3 la fiecare operator afectat
 Furtul de date din rețelele de afaceri
 Utilizarea rețelelor private virtuale (VPN) pentru a intra în rețeaua ICS
 Utilizarea instrumentelor de acces la distanță existente în mediul informatic sau
executarea de comenzi direct de la distanță, similar cu cele ale unui HMI
 Dispozitive de comunicații serial-to-ethernet și impactul la nivelul firmware-ului
 Utilizarea programului KillDisk modificat pentru a șterge înregistrarea principală de
pornire a sistemelor de organizare
 Utilizarea sistemelor UPS pentru a afecta utilizatorii conectați cu o întrerupere
programată a serviciului
 Atacul de refuz al serviciului telefonic asupra centrului de apel
37
4.3 Ce face un ICS Cyber Kill Chain Mapping
Detaliază pașii pe care atacatorul îi urmează pentru a efectua un atac reușit asupra
procesului ICS care să provoace daune fizice echipamentelor într-un mod previzibil și
controlabil cum este prezentat în figura de mai jos.
Fig 4.3. Etapele de desfășurare a atacului asupra ICS
Atacul asupra rețelei electrice ucrainene a urmat lanțul ICS Cyber Kill complet pe
toată durata Etapelor 1 si 2. Prin acest atac au obținut acces la fiecare nivel al ICS.
Completarea etapei 1 presupune intruziunea sau încălcarea spațiului informatic

cibernetic cu succes într-un sistem ICS, acesta nefiind catalogat drept un atac. Finalizarea
Etapei 2 completeaza lanțul ICS, rezultând un atac cibernetic de succes care a dus la un
impact asupra operațiunile ICS. [9]
38
4.3.1 ICS Cyber Kill Chain Mapping – Stadiul 1
Primul pas în etapa 1 îl reprezintă recunoașterea infrastructurii, fapt care nu s-a

întamplat în cazul celor trei companii. O analiză asupra acestui fapt arată interesul atacatorilor
față de nivelul de automatizare în sistemul companiilor de distribuție, deoarece acestea puteau
permite deschiderea de la distanță a întreruptoarelor din stații. Planul final de atac pentru
furnizorii de energie electrică în general au fost extrem de coordonate, ceea ce indică faptul că
recunoașterea a avut loc la un moment dat. [9]
Al doilea pas este direcționarea către țintă, cum ar fi accesul direct la dispozitivele
conectate la internet. La această etapă, vizarea unei infrastructuri specifice s-a putut efectua
fără a fi necesar accesul către aceasta, atacatorii punând un executabil modificat în pachetul
Microsoft Office. Acesta a fost trimis prin e-mail către fiecare administrator de rețea de
furnizor în parte.
La deschiderea oricărui program din pachetul Office, se deschide o nouă fereastră ce

conținea un malware și permitea instalarea BlackEnergy 3 pe device-ul victimei. După
instalare, acesta își creează o cale către calculatorul sursă prin care adună informații din
mediul în care a fost instalat. Aceștia au reușit să rămână nedetectați în sistem timp de șase
luni până la inițierea atacului, timp în care au colectat date despre infrastructura rețelei și
acreditările administratorilor pentru a putea manipula și controla direct sistemul de
autentificare și autorizare.
În acest moment, atacatorii au finalizat toate acțiunile de conectare în sistemul țintei și

de obținere a privilegiilor de administrator pentru intrarea în sistemul SCADA al fiecărui
furnizor pentru a efectua scanări de recunoaștere a rețelei împotriva acestor sisteme pentru
găsirea țintelor și executarea atacului.
39
4.3.2 ICS Cyber Kill Chain Mapping – Stadiul 2
In etapa 2, dezvoltarea și reglarea atacului, se execută în cel puțin două moduri.

Stadiul de dezvoltare are loc în rețelele țintei și poate dezvălui aspecte despre procesul advers.
În primul pas aceștia au învățat cum să interacționeze cu infrastructura de control, prezentă în
ecranele sistemului și ale operatorului. Pentru a doua fază au dezvoltat firmware-ul malițios
pentru echipamentele conectate prin serial-to-ethernet. Din aceste informații se poate observa
că acest firmware s-a încărcat într-o perioadă scurtă de timp între dispozitivele fiecărei
conexiuni cu echipamentul, pentru o execuție rapidă și imprevizibilă, acesta testându-și
capacitățile de executare înainte de inițierea atacului. [9]
Se poate lua în considerare și faptul că, atacatorii au reușit acest proces de infiltrare în
sistemul de control și distribuție al furnizorilor din noroc, această afirmație fiind puțin
probabilă având în vedere profesionalismul arătat pe tot parcursul procesului.
Au reușit acest lucru folosind instrumente de administrare la distanță a HMI de unde

își desfășurau activitatea operatorii iar pentru pregătirea finală s-a utilizat accesul prin VPN,
instalându-se un soft modificat KillDisk. Ultima modificare făcută a fost preluarea controlului
stației de lucru a operatorului și blocarea accesului acestuia în sistem.
În cele din urmă, pentru a finaliza procesul și pentru a executa atacul ICS, atacatorii au
folosit HMI-urile din soft-ul SCADA pentru deschiderea întreruptoarelor. Au fost cel puțin 27
de stații scoase offline între cei trei furnizori, având un impact de aproximativ 225.000 de
clienți. Simultan, atacatorii au încărcat firmware-ul pe dispozitivele de acces serial-to-
ethernet. Acest lucru a asigurat indisponibilizarea operatorilor din stație pentru emiterea
comenzilor de la distanță chiar și dupa restartarea sistemului.
40
4.4 Lecțiile de apărare învățate
Au fost analizate strategiile furnizate prin ICS-CERT Alert prin care un inamic poate
modifica următorul atac și s-a observat că prin aceste modificări ale abordărilor, strategiile
defensive ar putea fi insuficiente. [6]
4.4.1 Medota Spare Phishing
Se trimite un e-mail țintei, în secțiunea CC fiind trecuți șefii grupărilor și

administratorii de rețea pentru a oferi o notă de încredere, acesta reprezentând doar un test de
funcționalitate a phising-ului. O soluție alternativă ar fi fost aceea a implementării unei liste
de “încredere” a aplicațiilor în vederea executării instrucțiunilor, dar și cu această metodă nu
ar fi putut împiedica atacurile ICS în etapa a doua. În cel puțin o fază, atacatorul a folosit un
client modificat la distanță și a aprobat funcțiile de administrator de la distanță la nivel de
sistem de operare pentru alte componente ale atacului. [7]
4.4.2 Următoarele posibile atacuri
Adversarul poate efectua atacuri ulterioare care urmăresc forme alternative de phising,
cum ar fi vizarea organizațiilor din diferite campanii pe scară largă, folosind atacuri de
apărare sau dirijare de apeluri directe către utilizatori sau biroul de ajutor. De asemenea, ar
putea folosi exploatările tehnice care nu necesită servicii sociale de inginerie de personal.
4.4.3 Oportunitățile adversarilor
Este posibil ca adversarul să modifice atacurile pentru a răspunde la modificările

apărute în infrastructura de apărare a țintei, deoarece administratorii de rețea trebuie să
actualizeze și să îmbunătățească rețeaua, în funcție de noile erori raportate. Pentru evitarea
acestui aspect ar trebui ca fiecare latură de comunicație să fie segmentată, controlată si
monitorată.
41
4.4.4 VPN Access
Atacatorii pot face o scanare a rețelei pentru a găsi o conexiune point-to point VPN,
aceasta facilitând comanda la distanță (split tunneling).
Una dintre recomandări a fost folosirea unei metode intermediare de autentificare și

anume, autentificarea în doi pași (“two factor authentication”).
O altă recomandare ar fi implementarea unui sistem intermediar “de încredere” cu

controlul accesului la rețea (NAC), iar din punct de vedere al protecției pasive se asigură că
VPN-urile sunt asigurate printr-o conexiune la distanță. Acest lucru asigură monitorizarea
traficului de date dar și de conexiuni de către administratori. [6]
42
4.5 Tools and Technology impacts
Atacatorii folosesc diferite abordări pentru dispozitivele de comunicație, HMI și

pentru facilitarea activităților esențiale ale operatorilor.
Recomandările oferite au fost următoarele:
 Stabilirea capacităților de filtrare și răspuns pentru companiile de telecomunicații

pentru a le activa în timpul unui DoS în desfășurare
 Dezactivarea gestionării de la distanță a dispozitivelor de câmp atunci când nu este
nevoie
 Deconectarea sistemelor de infrastructură de control a clădirilor din rețeaua ICS
Un atac din trecut poate progresa către afectarea căilor de comunicație ale
echipamentelor. Pentru a evita acest lucru, administratorii de rețea trebuie să stabilească un
mod alternativ de comunicație pentru serviciile esențiale. După ce atacatorul identifică
cerințele de securitate, acesta poate încerca să stabilească accesul direct către un echipament
de câmp printr-o rețea locală.
O opțiune ar fi asistența de la distanță în timp real de către inginerii de rețea și

reorganizarea rețelei, atenția sporită fiind asupra componentelor de comandă și control care
pot fi recuperate în timp util în caz de un posibil atac cibernetic. Spre exemplu, accesul și
monitorizarea ICS-urilor este esențială pentru identificarea unui comportament anormal
asupra interacțiunii echipamentului cu rețeaua. [8]
Rezultatele acestui exemplu se vor vedea, deoarece prin încarcarea firmware-ului (în
afara orelor de program, de regulă) se vor putea vizualiza vârfuri ale traficului din rețea.
Fig 4.4. Monitorizarea fluxului de date din retea
43
4.6 Recomandări
4.6.1 Recomandări arhitectură [6]:
 Segmentarea corectă a rețelelor

 Activarea funcției de logare pe echipamente
 Realizarea de backup a software-urilor critice și adaugarea unei semnături digitale a
instalării
 Copierea fișierelor de proiecte de rezervă din rețea
 Testarea instrumentelor și tehnologia pentru defensiva pasivă si activă
 Prioritizarea și corectarea vulnerabilităților cunoscute pe baza celor mai critice
echipamente
 Limitarea conexiunii la distanță numai personalului care are nevoie de ea;
implementarea “Step 2 verification”
 Utilizarea unui sistem de monitorizare a evenimentelor SCADA/ICS
4.6.2 Defensiva pasivă [6]:
 Existența unui firewall între segmentele rețelei permite identificarea intruziunilor

 Stabilirea unui punct central de logare ce permite verificarea acreditărilor
utilizatorului
 Implementarea unor alarme pentru evenimentele cyber anormale în cadrul sistemelor
de control
 Obligarea resetării parolei în cazul unui compromis, în special pentru VPN și conturi
administrative
 Utilizarea soft-urilor antivirus sau de securitate pentru a permite refuzul de malware
cunoscut
 Configurarea unui sistem de detectare a intruziunilor, astfel încât regulile să poată fi
implementate rapid
44
4.6.3 Defensiva activă [6]:
 Efectuarea monitorizării securității rețelei pentru a căuta continuu anomalii în rețea

 Planificarea și pregătirea planurilor de răspuns la incidente, incluzând rețeaua IT cât
și personalul
 Considerarea defensivei active ca model pentru securitatea operațiunilor cibernetice
defensive
 Efectuarea analizelor de rețea
 Personalul care face analiza sistemului trebuie să aibă acces la baza de date a
furnizorului pentu a putea accesa noile actualizări
45
CAPITOLUL 5. STUDIU DE CAZ
5.1. Imagine de ansamblu asupra obiectivelor studiului de caz
În acest studiu de caz se va analiza conectarea securizată la un sistem low cost de

achiziție de date si control, format cu ajutorul placuțelor Raspberry Pi si Arduino Mega 2560.
Figura 5.1. 1 – Placă Raspberry Pi; 2 – Placă Arduino Mega 2560; 3 – Releu de interfață;
4 – Senzor curent ACS712 ELC-30; 5 – Contactor; 6 – Consumatorul; 7 – Siguranța Generală
8 – Divizor rezistiv cu rol de senzor de tensiune
46
În schemă se regăsesc:
 un senzor de tensiune reprezentat de un divizor rezistiv

 un senzor de curent ACS712 ELC-30 notat in figură cu „TC”
 plăcuță programabilă Arduino Mega 2560
 plăcuță Raspberry Pi
 releul de interfață comandat de Arduino Mega 2560
 cantactorul, acționat de releul de interfață
 consumatorul (în cazul nostru cele trei lămpi cu incandescență), acționat de contactor
 siguranța generală notată în figură cu „F1”
Schema de mai jos conține placuța Raspberry Pi, notată cu „1”, care este „creierul”
acestei aplicații și care comandă plăcuța Arduino 2560, notată cu „2”.
Aceasta la rândul ei comandă releul de interfață, notat cu „3”, care trimite mai departe
comanda către contactor, notat cu „5”. Contactorul este cel care menține circuitul închis sau
deschis în funcție de comenzile date de utilizator.
Măsura de protecție luată este prin siguranța generelă notată în figură cu cifra „7”. În
funcție de starea circuitului, senzorul de curent și cel de tensiune, reprezentat prin divizorul
rezistiv, preiau datele de la consumator, notat cu „6”, și le afișează în promt-ul „Serial
monitor” al lui Arduino. Senzorii de curent, respectiv de tensiune sunt notati cu „4”, respectiv
„8”.
47
5.1 Pregătirea plăcuței Raspberry Pi
Raspberry Pi este o placă single board căreia i se poate atașa un card microSD pe care
poate fi rulat un sistem de operare, acesta având și rol de stocare a informației. Pentru acest
studiu de caz am utilizat o distribuție Linux creată special pentru acest tip de placă și anume
sistemul de operare Raspbian (se puteau utiliza și alte distribuții precum Ubuntu).
Cu programul „Rufus” am butat și instalat sistemul de operare care va rula pe plăcuță.

După prima butare și instalare a acestuia am instalat o interfață grafică pentru a ușura
navigarea prin meniul sistemului.
Acest lucru va face ca rularea programelor să dureze mai mult, avantajul fiind o
utilizare mai ușoară a sistemului. După instalare se vor rula din comandă comenzile „sudo
apt-get update”, respectiv „sudo apt-get upgrade” pentru a actualiza programele împreună cu
bibliotecile acestora.
Fig 5.2. Imagine reprezentativă Raspberry Pi
48
5.2 Utilizarea programului SNORT ca firewall
Snort este un sistem gratuit de detecție si prevenire a intruziunilor, dezvoltat de Cisco

în prezent, și care a fost creat de către Martin Roesch in 1998. Este capabil să efectueze
analiza traficului și înregistrarea pachetelor din rețea în timp real și se folosește de cele mai
multe ori ca și NIDS îndeplinind următoarele condiții [14]:
 impune politicile traficului de rețea

 se asigură că pachetele anormale de date nu vor trece prin rețeaua noastră
 NIDS care detectează traficul malițios, malware-urile sau vulnerabilitățile
 filtru DNS
 monitorizarea traficului de date în ambele sensuri
5.2.1 Instalarea programului SNORT
 înainte de a trece la instalarea programului trebuie să ne asiguram că sistemul are

ultimele versiuni de update-uri utilizând comenzile
Fig 5.3. Comenzi pentru îmbunătățirea sistemului de operare și a programelor utilizate
 instalarea dependențelor necesare (acest program folosește diferite librării pentru a

funcționa corect)
apt-get install openssh-server ethtool build-essential libpcap-dev libpcre3-dev libdumbnet-dev

bison flex zlib1g-dev liblzma-dev openssl libssl-dev
Fig 5.4. Obținerea bibliotecilor necesare operării sistemului
49
 instalarea și utilizarea programului daq-2.0.6 ca sistem de achiziție și pentru

completarea dependențelor
Fig 5.5. Instalarea și configurarea progamului de achiziție
 Instalarea programului SNORT: Se poate instala din codul sursă sau din pachetele de
dev din distribuția respectivă dar este recomandată instalarea din codul sursă pentru a
beneficia de ultimele update-uri.
Fig 5.6. Instalarea și configurarea firewall-ului
50
 crearea căii simbolice către directorul Snort localizat în user/bin
Fig 5.7. Setarea căii de executare a firewall-ului
 verificarea rulării corecte a programului
,,_ -*> Snort! <*-
o" )~ Version 2.9.8.3 GRE (Build 383)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.7.4
Using PCRE version: 8.38 2015-11-23
Using ZLIB version: 1.2.8
Fig 5.8. Verificarea și testarea instalării
51
5.2.2 Configurarea programului
 acesta se poate configura în trei moduri: „Sniffer mode”, „Packet logger mode” și
„NIDS”. În acest exemplu se va configura pentru NIDS
Fig 5.9. Crearea directoarelor pentru regulile utilizate
52
 după crearea tuturor folderelor necesare se inițializează variabilele de rețea [15]
Fig 5.10. Setarea variabilelor de rețea
Fig 5.11. Setarea porturilor de rețea
53
Fig 5.12. Configurarea alertelor
 se setează calea către fișierele cu regulile rețelei [15]
Fig 5.13. Setarea directoarelor de citire a regulilor
54
5.2.3 Crearea regulilor
Regulile reprezintă calea prin care se efectuează testarea rețelei și care aduce avantajul
utilizării „0-day detection to the table”. Acest termen se referă la descoperirea unei noi
vulnerabilități de soft deoarece dezvoltatorii au lansat un nou update și acestia au „0 zile” la
dispoziție să rezolve problema recent descoperită.
Limbajul Snort pentru crearea regulilor fiind flexibil, permite utilizatorului să

descopere noi reguli pentru detectarea activităților malițioase și să facă diferența între
activitățile normale și anormale ale rețelei.
Pentru scrierea regulilor se folosește antetul, unde se scriu acțiunea, protocolul, sursa
IP, și cel de opțiuni unde se trec id-uri pentru identificarea și grupara regulilor, referințe și
clasificarea regulei. [12]
Fig 5.14. Regulile de creare a unei restricții a rețelei [12]
Rularea programului în mod „inline” dispune de următoarele opțiuni:
 alert – generează o alertă utilizând o metodă selectată din pachetul de logări

 log – logarea pachetului
 pass – ignoră pachetul
 drop – blochează și înregistrează pachetul
 reject – blochează pachetul, înregistreaza pachetul și trimite o resetare TCP dacă
protocolul este TCP sau ICMP
 sdrop – blochează pachetul și nu îl înregistrează
55
Reguile create pentru acest studiu de caz au fost de tip alert si reject [14]:
1. alert icmp $HOME_NET any -> any any (msg:”Someone is pinging”; GID:1;
sid:5000001; rev:001; classtype:icmp-event;)
2. alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:”SSH incoming”;

flags:S+; sid:1000006927; rev:001; classtype:tcp-event;)
3. reject tcp any any -> $HOME_NET 22 (msg:”Permission denied

successfully”; sid:5000002; rev:001;)
5.2.3.1 Răspunsul rețelei la încercările conexiunilor externe
 test alertă ping – ICMP
Fig 5.15. Trimiterea pachetelor de date de către user
Fig 5.16. Feedback-ul firewall-ului
56
 test alertă TCP și rejectare conexiune
Fig 5.17. Încercarea de conexiune port 22 - comandă securizată
Fig 5.18. Feedback-ul firewall-ului
57
5.3 Pregătirea plăcuței Arduino Mega 2560
Arduino Mega 2560 este o placă microcontroller bazată pe ATmega2560 și utilizată în

diferite tipuri de aplicații unde întâlnim și parte de comandă sau dorim să modificăm starea
unui sistem prin acționarea unor butoane programate anterior. [19]
Conține:
 54 de pini de intrare / ieșire digitali (dintre care 15 pot fi folosiți ca ieșiri PWM)
 16 intrări analogice
 4 UART-uri (porturi seriale hardware)
 un oscilator de cristal de 16 MHz
 o conexiune USB
 conector ICSP
 buton de resetare.
Fig 5.19. Imagine reprezentativă Arduino
58
Codul folosit de Arduino pentru acționarea releului cuprinde cinci părți:
1. inițializarea variabilelor programului
int data;
float RawValue = 0.0;
float x = 2500;
float x1 = 2.45; //V
float x2 = 2.5; //V
float y1 = 0.472 ; //A
float y2 = 0 ; //A
float senzor_tensiune = 0;
2. definirea setup-ului prin stabilirea comunicației seriale (9600 bauderate), setarea

pinului „7” ca semnal de ieșire și afișarea mesajului „Hi python” la fiecare comandă
aplicată sistemului
void setup() {
Serial.begin(9600);
pinMode(7, OUTPUT);
digitalWrite(7, LOW);
Serial.println("Hi python");
}
3. bucla de comandă repetitivă în care: cât timp comunicația serilă este activă, se va citi
de la tastatură comanda „1” sau „0”, care va trimite comanda pinului „7” și va
comanda închiderea sau deschiderea circuitului
void loop() {
while (Serial.available())
{
data = Serial.read();
if (data == '0')
{ digitalWrite(7, HIGH);
Serial.println("Am deschis circuitul");}
else if (data == '1')

{ digitalWrite(7, LOW);
Serial.println("Am inchis circuitul");}
}
59
4. corecția aplicată senzorului de curent: cu ajutorul metodei de interpolare liniară.

Corecția a fost necesară deoarece senzorul nu are clasă de precizie foarte mare, și fără
aceasta, senzorul afișa un index al curentului, citit pe baza tensiunii din circuit
RawValue = analogRead(A1);
senzor_tensiune = analogRead(A0);
x = (RawValue / 1024.0) * 5; // Gets you V
float senzor_curent = (x2-x)/(x2-x1)*y1 +(x1-x)/(x1-x2)*y2 ;
5. afișarea rezultatelor pe două coloane cu un delay de 0,5 secunde pentru o vizualizare

mai ușoară a datelor
Serial.print("Valoarea curentului in A este: " + String(abs(senzor_curent)));

Serial.print("\t");
Serial.print("Valoarea tensiunii in V este: " + String(senzor_tensiune));
Serial.println("\t");
delay(500);
}
60
5.4 Securizarea procesului cu aplicația VNC
VNC este un sistem grafic de partajare a desktop-ului care vă permite să controlați de

la distanță un dispozitiv pe care rulează aplicația VNC Server de la un alt dispozitiv pe care
este instalată aplicația VNC Viewer. Această aplicație transmite comenzile către dispozitiv și
primește feedback de la desktop-ul Raspberry Pi în interiorul unei ferestre pe dispozitivul cu
care suntem conectați. Pentru utilizarea aplicației trebuie să instalăm și să activăm serverul
pentru a putea fi utilizabil. [15]
Fig 5.20. Instalarea și configurarea accesului VNC
61
După efectuarea cu succes a operațiunilor de instalare și configurare a serverului,

intrăm pe pagina principală a VNC, creăm un cont de utilizator, iar după acestea putem utiliza
gratuit serviciul de cloud VNC cu condiția ca accesul de la distanță să fie doar în scopuri
educaționale sau non-comerciale.
Fig 5.21. Partajarea ecranului Raspberry Pi
Conexiunile cloud sunt criptate end-to-end și avantajoase pentru conectarea la

Raspberry Pi, nefiind nevoie de un firewall sau o reconfigurare a routerului.
Fig 5.22. Principiul de funcționare al aplicației
62
Pentru a ne putea conecta la dispozitiv, primul pas este deschiderea serverului. După
deschiderea prompt-ului vom putea vizualiza informații legate de securitatea, integritatea și
conectivitatea acestuia.
Fig 5.23. Conectarea la serverul creat
Următorul pas este deschiderea aplicației VNC Viewer pe dispozitivul cu care vrem să
ne conectăm, și introducerea datelor de logare, create pe platforma dezvoltatorilor aplicației.
Pentru o securitate sporită putem alege varianta în care utilizatorul este nevoit să introducă
datele de logare pentru fiecare autentificare, iar ca masură de protecție suplimentară putem
dispune de optiunea „2 Step Verification”.
Acestă variantă va trimite administratorului contului o cheie de securitate suplimentară

pe email/SMS pentru a se putea conecta la server și pentru a-i asigura protecția împotriva
pierderii autenticității contului și pentru a putea fi unicul utilizator al acestui server. Această
cheie va fi disponibilă doar 30 de secunde iar dacă utilizatorul nu reușește în timp util să
introducă cheia, aplicația se va reseta și va genera o alta cheie de utilizare.
63
Fig 5.24. Conectarea la server
Fig 5.25. Funcționarea serviciului „ Step 2 verification”
În final, dupa introducerea și acceptarea codului, se va deschide un prompt cu

desktop-ul plăcuței finalizând procesul de conectare în siguranță la placă.
64
5.5 Aplicația practică
5.5.1 Schema de montaj
Figura 5.26. 1 – Placă Raspberry Pi; 2 – Placă Arduino Mega 2560; 3 – Releu de interfață;
4 – Senzor curent ACS712 ELC-30; 5 – Contactor; 6 – Consumatorul; 7 – Siguranța Generală
8 – Divizor rezistiv cu rol de senzor de tensiune
65
5.5.2 Scopul studiului de caz
Alegerea acestui proiect a fost pentru documentarea amănunțită despre securitatea

cibernetică și cât de predispuși suntem la atacuri atunci când folosi o rețea de conexiune
publică. Din 2015 și până în prezent, tool-urile si metodele de securitate s-au dezvoltat
considerabil și puteam afirma faptul că putea crea sisteme complexe de comandă, control și
achiziție date fără a fi penetrate de surse externe; desigur cu respectarea riguroasă a stricteții
regulilor rețelei.
Pentru această aplicație am ales să împart securitatea pe mai multe nivele, acestea
fiind detaliate la subcapitolele 5.2.2, 5.2.3 și respectiv 5.4.
5.5.3 Date experimentale
Înainte de a măsura și citi datele din circuit, acestea au fost masurate cu aparate
profesionale de masură pentru a putea calibra senzorul de curent și pentru a putea calcula
eventuale erori pe măsura eșantionului ales.
Fig 5.27. Măsurarea curentului din circuit cu aparul FLUKE
66
Fig 5.28. Datele citite de senzorul de curent și de tensiune când circuitul este închis
67
Fig 5.29. Datele citite de senzorul de curent și de tensiune când circuitul este deschis
68
Cu un eșantion de 43 măsurători putem calcula eroarea medie de măsurare dintre

senzorul de curent folosit, ACS712, și aparatul profesional FLUKE.
Vmăsurat  Vesantionat
 100 [%] (5.1)
Vmăsurat
0, 464  0,379767
 100 = 18,1536 %
0, 464
Această eroare este datorată faptului că senzorul de curent nu este precis și domeniul
lui de măsură este în intervalul [ -30 A; 30 A]. La acestea se adaugă faptul că în interpretorul
de cod am încercat și corecția acestuia, fie prin metoda de interpolare, fie prin ajustarea
codului și adunarea cu constante fictive care sa modeleze valorile citite într-un interval de
timp, contribuind la culculul erorii.
După cum se poate observa din datele experimentale, senzorul de tensiune măsoară nu
afișează tensiunea citită din circuit, ci un index al valorii acesteia. Motivul pentru care nu am
calibrat acest senzor a fost acela că singura utilitate pe care o are acesta este aceea de senzor
prezență tensiune, valoarea afișată nefiind importantă ci doar afișarea acesteia pentru a ne da
seama daca circuitul nostru este alimentat sau nu.
O altă observație ar fi faptul că, și pentru comanda de deschidere a circuitului senzorul

de tensiune afișează valori similare. Acest lucru se întâmplă din cauză că divizorul rezistiv
este legat în schema de montaj între siguranța generală și partea de comandă, ceea ce îi
permite să măsoare un index al valorii de tensiune indiferent de starea circuitului, singura
variantă prin care acesta ar arăta valoarea „ 0” ar fi când siguranța generala ar fi în poziția „
declanșat”.
69
CAPITOLUL 6. CONCLUZII ȘI OBSERVAȚII
În cadrul diferitelor soluții SCADA, HMI-ul reprezintă cea mai clară și cea mai
prezentă țintă a atacatorilor. Acesta acționează ca un hub centralizat pentru gestionarea
infrastructurii critice. Dacă un atacator reușește să compromită HMI-ul, aproape orice se
poate face infrastructurii în sine, inclusiv deteriorarea fizică a echipamentelor SCADA. Chiar
dacă atacatorii decid să nu perturbe operațiunile, ei pot totuși exploata HMI-ul pentru a
colecta informații despre un sistem dar și să dezactiveze alarmele și notificările menite să
alerteze operatorii de eventualele pericole pentru echipamentele SCADA.
Putem observa că, majoritatea vulnerabilităților HMI se încadrează în patru categorii:

corupția memoriei, gestionarea acreditărilor, lipsa autentificării / autorizării și injectarea
codului. Toate acestea pot fi prevenite prin practici de dezvoltare sigure. De asemenea, am
observat că perioada medie în care se descoperă o eroare a unui furnizor SCADA și momentul
în care este lansată o actualizare ajunge până la un maxim de 150 de zile.
Ținând cont de impactul pe care îl au atacurile împotriva sistemelor SCADA, în care

vulnerabilitățile sunt un punct de intrare eficient, speranța noastră este că furnizorii HMI-
urilor, proprietarii SCADA și administratorii de rețea să răspundă în consecință. Dezvoltatorii
de software care caută să găsească noi vulnerabilități în HMI-uri trebuie să înceapă cu tehnici
de fuzzing de bază. Chiar și fuzionarea simplă a biților produce rezultate extrem de eficiente
împotriva vulnerabilităților HMI-ului. Prin acești pași simpli, cum ar fi verificând utilizarea
API-urilor interzise și fișierele programelor instalate, vânzătorii își pot face produsele mai
rezistente la atacuri.
De asemenea, dezvoltatorii programelor de software ale SCADA trebuie să se aștepte

ca produsele lor să fie utilizate în maniere pe care nu și le-au propus. De exemplu, chiar dacă
ar trebui sa considerăm că avem implementată o securitate slabă, dezvoltatorii trebuie să își
asume produsele iar actualizările să fie conectate la o rețea publică; având mentalitatea de
“worst case scenario”, dezvoltatorii pot implementa mai multe măsuri de apărare în
profunzime pentru o protecție corectă și completă.
Programul ZDI încurajează dezvoltatorii să găsească și să raporteze bug-urile asociate

cu HMI și alte sisteme SCADA într-un program comun. Lucrând împreună, aceștia pot primi
compensații pentru munca lor în timp ce vânzătorii primesc date despre locul în care
produsele lor pot fi îmbunătățite, iar securitatea acestor sisteme va continua să se
îmbunătățească.
70
Deși nu putem crea niciodată un sistem complet sigur, singura șansă pentru a crea un
sistem cu o securitate complexă și greu de penetrat se va rezuma la implementarea, cercetarea
și dezvoltarea amănunțită a nivelurilor de securitate ale acestuia.
În calitate de apărători ai ICS, luați în considerare succesiunea evenimentelor luate de

adversar în lunile precedente de la data de 23 decembrie 2015 când a fost planificată această
operațiune cibernetică care viza infrastructura electrică din Ucraina. Operațiunea s-a bazat pe
intruziuni care par să provină dintr-o campanie de acces mai largă, desfășurată în primăvara
anului 2015. Lanțul cibernetic ICS în două etape ajută la faptul că într-un mediu ICS, există o
fereastră crescută pentru detectarea și identificarea celor mai multe tipuri de atacuri.
Atacurile cibernetice s-au desfășurat în câteva minute unul de celălalt împotriva a trei
operatori de retea, rezultând întreruperi cara au afectat aproximativ 225.000 de clienți timp de
câteva ore. Un element critic al acestui atac particular a fost afectarea celor trei furnizori și
atingerea scopului propus, oportunitățile importante pentru aparatori la acel moment fiind
disocierea atacurilor și identificarea atacatorilor. Concentrarea excesivă pe malware-ul folosit
în acest atac îi plasează pe apărători într-o pozitie foarte defensivă în care se așteaptau
îndrumări cu privire la atacurile componentelor critice, astfel încât să poată fi eliminate.
Cererea inițială nu a fost luată în serios de către echipa ICS SANS, deoarece
organizațiile ICS au frecvent probleme de fiabilitate iar operatorii învinovățesc frecvent
mecanismele cibernetice pentru diferite erori ale echipamentelor, majoritatea erorilor neavând
legătura cu întreruperile de energie provocate în rețea. Cu toate acestea, în cazul Ucrainei
există o cantitate mare de dovezi disponibile, inclusiv probe de malware, interviuri cu
operatorii prezenți în timpul incidentului și confirmarea de către mai multe companii private
care au fost implicate în incident.
Cel mai recent raport lansat de DHS ICS-CERT39 citează interviuri directe cu
„operațiuni și informații tehnologice și leadership la șase organizații ucrainene cu experiență
de primă mână a evenimentului.”. Discuțiile au indicat că „echipa nu a fost capabilă să
revizuiască în mod independent probele tehnice ale cyberattack-ului”. Cu toate acestea, s-au
strâns o cantitate mare de informații tehnice disponibile pentru comunitate, inclusiv indicatori
de compromis, eșantioane malware, informații tehnice despre ICS în sine și componentele
sale și câteva mostre din jurnalele SCADA.
Ancheta din spatele întreruperii în alimentarea cu energie electrică a Ucrainei este încă
în desfășurare și nici în prezent nu este confirmat faptul ca malware-ul analizat a fost cauza
directă. Cu toate acestea, se crede că este foarte probabil deoarece malware-ul putea controla
direct întreruptoarele din stațiile electrice folosind protocoalele ICS, acestea conținând un
timestamp (informatie codata de identificare) cu data la care s-a produs atacul.
Se poate spune că grupul Win32/ Industroyer este o componentă avansată și

complexă de malware folosită împotriva sistemelor de control ale aplicațiilor industriale. Cu
toate acestea, trebuie menționat faptul că malware-ul în sine este doar un instrument ce poate
fi adaptat la orice mediu prin repoartele produse de sistemele SCADA si HMI din acea vreme
iar rețea industrială cu sisteme care utilizază aceste protocoale potate fi considerată nesigură.
71
În opinia mea, consider că problematica securității cibernetice sau a securizării unui

proces cu parametrii statici sau dinamici în raport cu timpul, este una complexă, în continuă
dezbatere și actualizare și se poate structura pe mai multe planuri.
În capitolele 1 și 2 am prezentat obiectivele securizării proceselor automatizate și

importanța acestora deoarece la nivel internațional deținem linii de interconexiune cu țările
vecine, pentru a putea ajusta dezechilbrul dintre cererea și producerea de energie electrică. Cu
cât un sistem electroenergetic este mai extins cu atât este mai stabil iar problematica
securității ciberentice poate ridica probleme atât pe plan național dar și internațional.
Se pot analiza impactul și diferențele de securitate asupra rețelelor clasice și cele

inteligente. Rețelele inteligente ar trebui să prezinte vulnerabilități scăzute din cauza
feedback-ului constant primit de la utilizatori. Dacă feedback-ul din partea consumatorilor
poate fi manipulat de surse externe, acestea pot trimite informații eronate centrului de
comandă destabilizând semnificativ producția și consumul de energie electrică, putând duce
chiar la colapsarea Sistemului Energetic Național.
Capitolele 3 și 4 prezintă noțiuni generaliste despre atacurile asupra furnizorilor,

unităților de producție si HMI. Nerespectarea regulilor de minimă protecție asupra
infrastructurilor critice poate duce la pierderea controlului acesteia și la pagube atât de natură
morală cât și materială.
Studiul de caz din capitolul 5 conturează această problemă și evidențiază etapele de

comandare securizată a unui proces. Pentru această aplicație am împarțit concenptul de
securitate al rețelei pe mai multe nivele: primul a fost cel în care am folosit Raspberry Pi pe
post de firewall între utilizator și proces, doar anumitor adrese IP permițând conectarea la
acesta și trimiterea de comenzi; al doilea a fost crearea unui server propriu între device-urile
folosite pentru acest studiu de caz pentru a evita conexiunile suspicioase; iar al treilea a fost
activarea functiei de „Step 2 verification” prin care utilizatorul primește un cod suplimentar
pentru a se conecta la Raspberry Pi. Prin aceasta metoda se sporește siguranța la conectare și
utilizare, simulând conceptul C&C întâlnit în cazul atacurilor asupra rețelei Ucrainei.
În concluzie, această temă tratează concepte de securitate cibernetică, văzute din

ambele direcții, și demonstrează prin exemple concrete că, securitatea și securizarea
conexiunilor expun probleme și soluții complexe în funcție de anvergura sistemului la care ne
raportăm și dorim să îl protejăm.
72
Bibliografie
[1] M. Eremia (coordonator) - Electric Power Systems, Volume I, ELECTRIC NETWORKS,

Editura Academiei Romane, 2005.
[2] M. Eremia (coordinator) - Handbook of Electric Power System Dynamics: Modeling,

Stability and Control, Wiley-IEEE Press, 2013.
[3] Al. Poeata, A. Arie, O. Cisan, M. Eremia, V. Alexandrescu, A. Buta - Transportul si

distributia energiei electrice, Editura Didactica si Pedagogica, Bucuresti, 1981.
[4] D. Mihoc, S. St. Iliescu, I. Fagarasan, G. Taranu, G. Matei - Automatizarea sistemelor

electro si termoenergetice, Ed Printech, Bucuresti, 2008.
[5] G. Davis, A. F. Snyder, J. Mader - The future of Distribution System Resiliency, 2014
Clemson University Power Systems Conference, 2014.
[6] https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf (Mai 2020)
[7]https://www.ifri.org/sites/default/files/atoms/files/desarnaud_cyber_attacks_energy_infrast
ructures_2017_2.pdf (Mai 2020)
[8] https://documents.trendmicro.com/assets/wp/wp-hacker-machine-interface.pdf
(Mai 2020)
[9] https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer
(Mai 2020)
[11] https://www.sri.ro/assets/files/publicatii/ghid_de_securitate_cibernetica.pdf (Mai 2020)
[12] https://blog.rapid7.com/2016/12/09/understanding-and-configuring-snort-rules/
(Mai 2020)
[14] https://www.snort.org/#documents (Mai 2020)
[15] https://projects-raspberry.com/raspberry-pi-firewall-and-intrusion-detection-system/
(Mai 2020)
[16] https://spectrum.ieee.org/energywise/energy/the-smarter-grid/unplugging-digital-
networks-to-safeguard-power-grids (Mai 2020)
[17] http://electricalacademia.com/electric-power/difference-traditional-power-grid-smart-
grid/ (Mai 2020)
73
[18] https://www.i-scoop.eu/industry-4-0/cybersecurity-scada-hmi-hacker-machine-interface/
(Mai 2020)
[19] https://roboticsbackend.com/raspberry-pi-arduino-serial-
communication/#Serial_via_USB (Mai 2020)
74

Licenta Puscas Bogdan Marin

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Licenta Puscas Bogdan Marin

Încărcat de

Drepturi de autor:

Formate disponibile

Universitatea POLITEHNICA din Bucureşti

Securitatea cibernetică în Rețelele Electrice

Autor: Bogdan – Marin Pușcaș

Cadre didactice îndrumătoare: Conf. Dr. Ing. Lucian Toma

Securitatea cibernetică în Rețelele Electrice

Universitatea POLITEHNICA din București

pentru obținerea titlului de

Specializarea: Ingineria Sistemelor Electroenergetice

Susținut la data de 29 iunie 2020, în fața comisiei de examinare

Prof. dr. ing. Ion TRIŞTIU Președinte

LISTA DE NOTAȚII ............................................................................................................................4

AMI Advanced Metering Infrastructure

IEEE Institute of Electrical and Electronics Engineers

Tema proiectului meu de licență este denumită “Securitatea cibernetică în rețelele

CAPITOLUL 2. REȚELELE ELECTRICE

2.1 Definirea rețelelor electrice

Rețeaua electrică reprezintă ansamblul de linii, staţii electrice şi alte echipamente

Tensiunea normată este valoarea cantitativă atribuită de către constructorul de

La dezvoltarea rețelelor electrice și alegerea nivelurilor de tensiune trebuie avut în

Din punct de vedere al nivelului de tensiune, rețelele electrice se împart în:

 joasă tensiune (JT), unde Un <= 1000 V, acestea se folosesc în instalații

Rețelele electrice trebuie să aibă o structură astfel încat să asigure continuitatea în

2.2 Configurația rețelelor de joasă tensiune

Schemele de conexiune ale rețelelor de JT depind în principal de valoarea sarcinii

Rețelele electrice de JT sunt folosite pentru alimentarea consumatorilor de puteri mici,

Acestea pot fi radiale, simplu buclate și complex buclate:

 rețele de distribuție ce fac legatura între tablourile de distribuție și receptoare

Din punct de vedere funcțional tablourile de distribuție pot fi:

 tablouri generale (TG), primesc energie electrică din posturile de transformare și o

 tablouri principale (TP), primesc energia electrică de la tablouri generale și o

 tablouri secundare (TS), primesc energie electrică din TG sau TP și o transmit

2.2.1 Scheme de conexiune radială

 cu o singură treaptă, cazul în care TG alimentează TS sau direct consumatorii

Fig 2.1. Schema de conexiune radială cu două trepte

2.2.2 Scheme de conexiuni buclate

Asigură continuitatea alimentarii consumatorilor care necesită un grad ridicat de

 rețea simplu buclată cu rezervare în serie

 rețele buclate longitudinal

Posturile de transformare sunt alimentate de la aceeași linie de MT. Rețeaua de joasă

Dintre avantajele acestor rețele se pot menționa îmbunătațirea nivelului de tensiune,

Fig. 2.3. Schema de conexine pentru o rețea buclată longitudinal

 rețele buclate transversal

Se alimentează prin intermediul a două distribuitoare de MT care pleacă din același

De asemenea, rețeaua de JT este puternic dimensionată datorită faptului că prin

Fig. 2.4. Schema de conexinue pentru o rețea buclată transversal

 rețele complex buclate

Se utilizează în cazul unor densități mari de sarcină, aproximativ 3 25 MVA/km2, în

Rețelele de JT sunt singurele rețele din cadrul companiilor de distribuție care

Fig. 2.5. Schema de conexinue pentru o rețea complex buclată

2.3 Configurația rețelelor de medie tensiune

În funcție de modul de racordare la stația de ÎT/MT, rețelele de MT sunt:

 cu distribuție directă, când PT sunt racordate la barele de MT ale stației de

 cu distribuție indirectă, cu puncte de alimentare prin rețea de fideri și distribuitori

 cu racordare indirectă, prin puncte de conexiune; PT sunt racordate prin linii de MT

2.3.1 Scheme de conexiune

PT de MT/JT sunt racordate direct la barele de MT ale stației de transformare de

 cu racordare prin puncte de alimentare

PA alimentată din ST de ÎT/MT printr-un fider, la rândul său PA alimentează o rețea

 distribuție directă prin LES cu rezervă pe aceeași stație

Are aplicabilitate în rețelele de distribuție de MT din zonele urbane când nu există

 distribuție directă prin LES cu rezervă pe stații diferite

Are aplicabilitate în rețelele de distribuție de MT din zonele urbane, când există

Distribuția prin scheme magistrale permite simplificarea instalațiilor de distribuție și a

Fig 2.8. Schema de conexiune pentru o rețea de distribuție de Medie Tensiune