Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminelen drongen computers van beheerder Amerikaanse kerncentrale binnen

Door , 122 reacties

Criminelen zijn erin geslaagd de computers van minstens twaalf Amerikaanse energiecentrales binnen te dringen, waaronder een kerncentrale in Kansas. Dat berichten het Amerikaanse Department of Homeland Security en de FBI.

Een van de doelwitten van de aanvallers was het private bedrijf Wolf Creek Nuclear Operating Corporation in Kansas, dat de Wolf Creek Generating Station-kerncentrale in die staat beheert. Woordvoerders van het bedrijf benadrukken tegen The New York Times dat het om computers binnen het bedrijf gaat en dat beheersystemen voor de centrale niet getroffen zijn. Die systemen draaien op een onafhankelijk netwerk.

Het Department of Homeland Security en de FBI waarschuwen voor de aanvallen in een document dat de NYT en Bloomberg hebben ingezien. In een reactie laten de overheidsdiensten weten dat er geen indicatie is dat de publieke veiligheid in het gedrang is gekomen en dat de impact beperkt lijkt tot administratieve en zakelijke netwerken. De aanvallers zouden de netwerken in kaart hebben willen brengen voor eventuele toekomstige aanvallen, is de conclusie van het onderzoek van de FBI.

Niet duidelijk is of het uiteindelijke doel industriële spionage is of sabotage van de energielevering. Evenmin is bekend wie achter de aanvallen zit. De FBI spreekt van aanvallers die een geavanceerde, aanhoudende dreiging vormen, wat erop duidt dat de dienst rekening houdt met staatshackers. De aanvallers probeerden onder andere met gerichte e-mail binnen te dringen in de netwerken. Hierbij richtten ze zich met malware op personen met verhoogde rechten binnen de netwerken en systemen voor de energiecentrales.

Hoewel het hier om aanvallen op computernetwerken gaat, waarschuwen deskundigen al jaren voor de kwetsbaarheid van zogenoemde scadasystemen. Dit is de benaming voor industriële beheersystemen voor in sommige gevallen vitale infrastructuur. Bij de ontwikkeling van deze veelal oude systemen kreeg internetbeveiliging niet altijd een hoge prioriteit.

Olaf van Miltenburg

Nieuwscoördinator

Reacties (122)

Wijzig sortering
Sinds Stuxnet mag het duidelijk zijn dat Air-gapped systemen niet voldoende meer beveiligd zijn. Updates, nieuwe code undsoweiter komt toch op het systeem, meestal via een USB-stick oid. Zelf werk ik met twee air-gapped systemen en het is eerder een last dan een lust. Je hebt meer aan een goed gecontroleerde netwerktoegang, zeker ook omdat je daar dan de juiste (overtrokken) veiligheidsmaatregelen kan nemen. Bovendien leidt air-gapping vaak tot een zekere nonchalance (men vind het de meest ultieme vorm van beveiliging) waardoor het mantra "confident - cocky - lazy - dead" van toepassing is.
Kans dat je een kerncentrale in melt-down krijgt lijkt mij redelijk onmogelijk omdat dit ingaat tegen de intrinsieke bouw van moderne centrales.
Wel kan je de boel zodanig ontregelen dat er shutdown/wear/special events plaatsvinden. Moet je niet willen.

edit: typo's

[Reactie gewijzigd door Ravhin op 7 juli 2017 11:05]

Kans dat je een kerncentrale in melt-down krijgt lijkt mij redelijk onmogelijk omdat dit ingaat tegen de intrinsieke bouw van moderne centrales.
Ik snap niet waarom je tot die conclusie komt. Er zijn nauwelijks "moderne kerncentrales" in de Westerse wereld.

Het ontwerp van vrijwel alle paar honderd die nu in bedrijf zijn stammen uit de jaren 70 van de vorige eeuw en zijn inherent onveilig, zeker als er opaan gestuurd wordt. Er zijn slechts een paar generatie 3 centrales (NPR1000) die inherent veiliger zijn bij uitval van koeling dan de huidige generatie 2 centrales maar ik denk niet dat er iemand in de industrie is die durft te beweren dat je die ook niet in meltdown kunt krijgen als je daar bewust opaan stuurt.

Generatie 3+ en 4 reactoren zijn er nog niet in bedrijf of slechts alleen nog maar op papier.
Ten eerste de huidige vloot generatie II kerncentrales is onderworpen aan constante updates dus "modern" is relatief. Nieuwbouw centrales moeten voldoen aan dezelfde regels als bestaande centrales en dat blijkt vaak een hoge lat als je kijkt naar de kostprijs van nieuwe projecten.

Ten tweede is er niet inherent onveilig aan het ontwerp van deze centrales, de nieuwe generatie III reactoren zijn trouwens allemaal gebaseerd op hetzelfde ontwerp als de bestaande generatie II centrales.

Ten derde een "NPR1000" bestaat niet. U doelt vast op het AP1000 ontwerp wat een PWR is dat gebruik maakt van meer passieve veiligheidssystemen.

Ten vierde er zijn tientallen generatie III reactoren in dienst in Japan, Zuid Korea en Rusland.

Iedere reactor van generatie I tot en met IV heeft koeling nodig, dat is nou eenmaal de wet van de fysica dat radioactieve materialen ook hitte produceren. Maar er zijn tal van verschillende manieren om dat mogelijk te maken. Gaande van elektrische pompen tot het afvoeren van warmte door middel van convectie of thermische geleiding naar de omgeving. Ook bij de huidige vloot centrales is er veel verschil. Zo kan een BWR zoals in Fukushima enkele uren overleven zonder elektriciteit, terwijl een PWR zoals die in België 10 dagen kunnen overleven zonder spanning.
[...]
Ik snap niet waarom je tot die conclusie komt. Er zijn nauwelijks "moderne kerncentrales" in de Westerse wereld.

Het ontwerp van vrijwel alle paar honderd die nu in bedrijf zijn stammen uit de jaren 70 van de vorige eeuw en zijn inherent onveilig, zeker als er opaan gestuurd wordt.
Die oude fossielen zijn dan weer wel "inherent" beveiligd tegen hacks omdat de besturingsapparatuur echt geen bal gaat snappen van een "moderne" instructie in een programmeertaal. Vaak worden de kritieke systemen nog met de hand bediend, en de processen zijn dusdanig langzaam dat dit ook gewoon kan.
Er zijn slechts een paar generatie 3 centrales (NPR1000) die inherent veiliger zijn bij uitval van koeling dan de huidige generatie 2 centrales maar ik denk niet dat er iemand in de industrie is die durft te beweren dat je die ook niet in meltdown kunt krijgen als je daar bewust opaan stuurt.
Als je natuurlijk bewust gaat proberen om het kapot te maken dan krijg je alles wel stuk. Maar een centrale zoals een PHWR (zoals een CANDU of de reactoren in India) zijn al een heel stuk veiliger opgebouwd dan centrales die actief van water moeten worden voorzien.

Zelf ben ik ook van mening dat thorium de toekomst is, daar niet van.
Die oude fossielen zijn dan weer wel "inherent" beveiligd tegen hacks omdat de besturingsapparatuur echt geen bal gaat snappen van een "moderne" instructie in een programmeertaal. Vaak worden de kritieke systemen nog met de hand bediend, en de processen zijn dusdanig langzaam dat dit ook gewoon kan.
Maar we weten dat vrijwel alle kerncentrales in de VS uit die tijd stammen en toch slaan veiligheidsdiensten alarm, iets zegt me dat jouw bewering niet geheel strookt met de realiteit.
ls je natuurlijk bewust gaat proberen om het kapot te maken dan krijg je alles wel stuk. Maar een centrale zoals een PHWR (zoals een CANDU of de reactoren in India) zijn al een heel stuk veiliger opgebouwd dan centrales die actief van water moeten worden voorzien.
Maar besef je nu wel wat je hier eigenlijk schrijft? Zet zo'n ding op de Maasvlakte, wetende dat we overwegend zuid-westen wind hebben klinken woorden als "krijg je alles wel stuk" en "een stuk veiliger" me nog niet zo geweldig in de oren.
Maar een centrale zoals een PHWR (zoals een CANDU of de reactoren in India) zijn al een heel stuk veiliger opgebouwd dan centrales die actief van water moeten worden voorzien.
Ik ben het niet met je eens wat betreft de veiligheid van Candu's. Candu's hebben als één van de weinige reactor designs een positieve void coeefficient, wat zoiets betekent als: wanneer het misgaat gaat het gruwelijk mis. De stoomvorming in de reacor door oververhitting zorgt in de Candu juist voor een versnelling van de reactie, niet een vertraging. Loss-of-coolant in een Candu is derhalve een ramp.

En, serieus, India? Komt hun ontwerp uberhaupt wel door onze veiligheidseisen?
Zelf ben ik ook van mening dat thorium de toekomst is, daar niet van.
Thorium wordt niet de toekomst, het is een sprookje, mooie beloftes voor liefhebbers van de kernindustrie om zich aan vast te klampen maar die in de Westerse wereld niet ingelost gaan worden. Bestaande afbetaalde kernreactoren kunnen al nauwelijks meer concurreren met de alternatieven, nieuwe centrales gebaseerd op bestaande 'bewezen' techniek zijn helemaal niet concurrerend en ik zie diverse redenen waarom nog compleet onbewezen nieuwe ontwerpen, die pas over tientallen jaren commercieel beschikbaar zouden moeten zijn, nog onconcurrerender zijn.
[...]Maar we weten dat vrijwel alle kerncentrales in de VS uit die tijd stammen en toch slaan veiligheidsdiensten alarm, iets zegt me dat jouw bewering niet geheel strookt met de realiteit.
Dat is omdat ze een morele plicht hebben om alarm te slaan, en omdat iedereen anders gaat brullen dat er niets mee gebeurd is wanneer er wel een ongeluk ontstaat wat misschien niet eens wat met IT-security te maken heeft.

Bot gezegd: Een hacker die vanaf zijn laptop een meltdown aan de overkant van het land veroorzaakt kan absoluut niet!. Dat is een scenario dat leuk is voor een Hollywood-film maar daar houdt het ook op.

Nog afgezien daarvan zijn alle grote ongelukken met atoomcentrales veroorzaakt of erger geworden door menselijk falen, niet door slecht technisch ontwerp. Fukushima was zeker een randgeval, maar dat was voor de eisen die bij de bouw gesteld werden, een goed ontwerp. Dat de uitvoerende partij (Tepco) die eisen verkeerd heeft ingeschat, dan kom je weer terug op menselijk falen, en dat was een probleem waar ze vanaf wisten.
Maar besef je nu wel wat je hier eigenlijk schrijft? Zet zo'n ding op de Maasvlakte, wetende dat we overwegend zuid-westen wind hebben klinken woorden als "krijg je alles wel stuk" en "een stuk veiliger" me nog niet zo geweldig in de oren.
Ah, het bekende NIMBY-argument. Ik woon liever naast zo'n centrale dan dat ik naast een chemische fabriek of een kolenstook ga wonen, of de hele dag in de herrie zit van de windmolens.
Ik ben het niet met je eens wat betreft de veiligheid van Candu's. Candu's hebben als één van de weinige reactor designs een positieve void coeefficient, wat zoiets betekent als: wanneer het misgaat gaat het gruwelijk mis. De stoomvorming in de reacor door oververhitting zorgt in de Candu juist voor een versnelling van de reactie, niet een vertraging. Loss-of-coolant in een Candu is derhalve een ramp.
Ja, CANDU heeft inderdaad een positieve void-coefficient, maar dat is iets wat bij het ontwerp is meegenomen. Juist omdat het niet een groot drukvat is (zoals bij Tsjernobyl) maar een hoop kleine drukkanalen is dat geen probleem.

https://en.wikipedia.org/wiki/CANDU_reactor#Safety_features

"CANDU designs have a positive void coefficient as well as a small power coefficient, normally considered bad in reactor design. This implies that steam generated in the coolant will increase the reaction rate, which in turn would generate more steam. This is one of the many reasons for the cooler mass of moderator in the calandria, as even a serious steam incident in the core would not have a major impact on the overall moderation cycle. Only if the moderator itself starts to boil would there be any significant effect, and the large thermal mass ensures this will occur slowly. The deliberately "sluggish" response of the fission process in CANDU allows controllers more time to diagnose and deal with problems."

CANDU's zijn juist zo gebouwd omdat ze van het verleden geleerd hebben. Een loss-of-coolant accident is juist het meest voorkomende incident waar ze rekening mee wilden houden.

"Heat generated by fission products would initially be at about 7% of full reactor power, which requires significant cooling. The CANDU designs have several emergency cooling systems, as well as having limited self-pumping capability through thermal means (the steam generator is well above the reactor). Even in the event of a catastrophic accident and core meltdown, it is important to remember that the fuel is not critical in light water.[2] This means that cooling the core with water from nearby sources will not add to the reactivity of the fuel mass.

CANDU's hebben dus het vermogen om hun eigen systemen te gebruiken om de pompen draaiende te houden, en kunnen ook in noodgevallen gekoeld worden met bijgevoegd water. Was Fukushima een CANDU-6 geweest dan hadden ze hem gewoon onder water gezet en gewacht tot de hele handel is afgekoeld.
Thorium wordt niet de toekomst, het is een sprookje, mooie beloftes voor liefhebbers van de kernindustrie om zich aan vast te klampen maar die in de Westerse wereld niet ingelost gaan worden.
Nu laat je een tak van sport buiten beschouwing en dat is de ruimtevaart. Als we straks grote interplanetaire schepen naar bijvoorbeeld Mars willen hebben (zoals Elon Musk voorstelt) dan ga je die niet van energie voorzien met alleen maar CH4/LOX en een partij zonnepaneeltjes. Dan zul je vroeg of laat naar iets nucleairs toe moeten.
Bot gezegd: Een hacker die vanaf zijn laptop een meltdown aan de overkant van het land veroorzaakt kan absoluut niet!. Dat is een scenario dat leuk is voor een Hollywood-film maar daar houdt het ook op.
Natuurlijk wel. Elke foto van een Amerikaanse reactor control room zijn SCADA systemen te zien. Oud, en draaiend waarschijnlijk op een Unix variant, ik kwam dat soort systemen 20 jaar geleden ook in de industrie tegen, maar toch: het zijn computers en PLC's. En Stuxnet heeft laten zien dat die aan te vallen zijn met genoeg geld, mankracht en wilskracht. Daar ging het om.

Overigens probeer ik nergens menselijk falen goed te praten, sterker nog ik vind dat menselijk falen meer in de discussie rondom kernenergie opgenomen moet worden. Want veelal gaat die alleen over de theoretische technische veiligheid.
Ah, het bekende NIMBY-argument. Ik woon liever naast zo'n centrale dan dat ik naast een chemische fabriek of een kolenstook ga wonen, of de hele dag in de herrie zit van de windmolens.
Het is geen NIMBY-argument, ik woon niet eens in de buurt van de randstad. En jij begaat nu een drogreden: alsof ik moet kiezen tussen die twee.
Waar het mij om gaat is dat de baten van zo'n reactor: wat stroom, in mijn opinie niet opweegt tegen het risico dat een flink deel van de randstad voor tien(tallen?) jaren ontruimd moet worden Risico = kans x impact. De kans kan dan wel heel klein zijn, de gevolgen zijn ook heel groot: het risico is dus zeker niet gelijk aan de kans. Ik kijk nadrukkelijk naar de afweging tussen de impact van een beetje stroom minder of de grote impact van een serieus ongeluk en denk dat we betere alternatieven hebben.

Nu is Mars ineens de toekomst? :?
Natuurlijk wel. Elke foto van een Amerikaanse reactor control room zijn SCADA systemen te zien. Oud, en draaiend waarschijnlijk op een Unix variant, ik kwam dat soort systemen 20 jaar geleden ook in de industrie tegen, maar toch: het zijn computers en PLC's.
Voor niet-veiligheidssystemen, ja.
[...]
Natuurlijk wel. Elke foto van een Amerikaanse reactor control room zijn SCADA systemen te zien. Oud, en draaiend waarschijnlijk op een Unix variant, ik kwam dat soort systemen 20 jaar geleden ook in de industrie tegen, maar toch: het zijn computers en PLC's. En Stuxnet heeft laten zien dat die aan te vallen zijn met genoeg geld, mankracht en wilskracht. Daar ging het om.
Ja, Stuxnet heeft laten zien dat zo'n aanval lukt, op een erg kritieke voorwaarde: Je moet iemand aan de binnenkant hebben anders raken die systemen nooit besmet.

Maar als je je kerncentrale al zo ver compromised hebt dat een kwaadwillend persoon aan de binnenkant ellende uit kan halen, dan gaan alle veiligheidssystemen in de wereld je daar niet meer van redden. Ontwerp op "veiligheid" is namelijk berekend op ongelukken en storingen.

Dat houdt geen rekening met gevallen van moedwillige, gerichte sabotage. Als je dat bij een kerncentrale wil doen heb je wel grotere uitdagingen dan een beveiligingslek vinden in een SCADA-systeem.

Een "hack" van een of andere zero-day is te vergelijken met een aap met een hamer die gewoon op alles rost wat maar te raken valt. Dan schakel je hooguit een paar SCADA-systemen uit die Windows of Unix draaien, maar boeiend, die PLC's worden daar niet warm of koud van. Een paar schermpjes die op zwart gaan, de kritieke processen blijven wel doorlopen.

De Stuxnet-aanval was een chirurg met een heel specifieke scalpel die wist waar hij moest zoeken. Met de juiste kennis lukt je dat wel in elk systeem.

[Reactie gewijzigd door Stoney3K op 7 juli 2017 22:13]

Ja, Stuxnet heeft laten zien dat zo'n aanval lukt, op een erg kritieke voorwaarde: Je moet iemand aan de binnenkant hebben anders raken die systemen nooit besmet.
Je hoeft alleen maar iemand te hebben die een besmette USB-stick in het besturingsnetwerk plaatst. Die persoon hoeft daarvan niet op de hoogte te zijn.
Dat houdt geen rekening met gevallen van moedwillige, gerichte sabotage. Als je dat bij een kerncentrale wil doen heb je wel grotere uitdagingen dan een beveiligingslek vinden in een SCADA-systeem.
In een wereld waar mensen bereid zijn om vlieglessen te nemen en daarmee een passagiersvliegtuig in een wolkenkrabber te vliegen zou je knap ongeschikt zijn als security officer om te denken dat -ik zeg maar wat- een Westerse IS-sympathisant met universitaire opleiding zoiets nooit zou kunnen proberen.

En dan is er nogal een verschil in maatschappelijke risico's of iemand een gascentrale of windturbine saboteert of een kernreactor.
In een wereld waar mensen bereid zijn om vlieglessen te nemen en daarmee een passagiersvliegtuig in een wolkenkrabber te vliegen zou je knap ongeschikt zijn als security officer om te denken dat -ik zeg maar wat- een Westerse IS-sympathisant met universitaire opleiding zoiets nooit zou kunnen proberen.
Mijn punt is vooral dat je daar niet tegenop kan boksen met systeemontwerp, ook niet als je dat 100% inherent veilig doet.

Want je blijft nog altijd zitten met een gerichte aanval die specifiek op één systeem is gericht, waarvan je dus ook de kwetsbaarheden zal weten. Het is niet zo dat je binnenkomt door een kwetsbaarheid die "toevallig" ook in het systeem zit wat je aanvalt, maar je gaat specifiek op zoek naar de zwakke punten binnen een enkel systeem.

En sinds er nooit een systeem ontworpen kan worden dat 100% secure is en nul kwetsbaarheden heeft, gaat je het niet lukken om een systeem te maken wat technisch volledig tamper-proof is. Tamper-proof maken voor iemand die onwetend is over hoe het systeem in elkaar steekt, is niet moeilijk, maar tamper-proof maken voor iemand die uitgebreide kennis heeft van hoe het systeem zelf is opgebouwd, is onmogelijk, want die tamper-proofing is onderdeel van de opbouw van het systeem en is dus ook te omzeilen met de juiste kennis.

Dan moet je terug vallen op de tweede laag van security en dat is voorkomen dat je kwaadwillende personen aan de binnenkant hebt die kennis kunnen hebben van de kwetsbaarheden. Dat betekent dus screening van het personeel, iets wat niet onder het kopje "veilig systeemontwerp" valt.
Screening van je eigen personeel plus dat van je toeleveranciers is een bar slechte vorm van veiligheid, zo blijkt regelmatig. Snowden, twee bewakers van Geert Wilders, de vele spionnen die uiteindelijk ontmaskerd zijn of, relevant voor dit topic, Abdul Qadeer Khan zijn voorbeelden waar screening faalde.

We zijn het dus eigenlijk op dit punt eens: een kernreactor is nooit volledig te beveiligen tegen een toegewijd tegenstander.

De impact van een ernstig ongeluk is potentieel erg groot, dus rest de vraag: wat maakt het risico dat de maatschappij loopt goed? Een beetje stroom waar zat alternatieven voor zijn? Zijn we uberhaupt wel in staat dit soort risicovraagstukken goed te overzien? En daarmee bedoel ik: risicovraagstukken met hele kleine kansen maar met enorme impacts?

[Reactie gewijzigd door styno op 8 juli 2017 13:21]

Maar we weten dat vrijwel alle kerncentrales in de VS uit die tijd stammen en toch slaan veiligheidsdiensten alarm, iets zegt me dat jouw bewering niet geheel strookt met de realiteit.
Omdat de productiezekerheid van elektriciteitscentrales en het elektriciteitsnet in het algemeen in gevaar komt door hacking. Zie recente events in Ukraïne. Nucleaire veiligheidssystemen zijn echter volledig analoog opgebouwd waardoor hacking geen bezorgdheid is voor de nucleaire veiligheid.
Candu's hebben als één van de weinige reactor designs een positieve void coeefficient, wat zoiets betekent als: wanneer het misgaat gaat het gruwelijk mis. De stoomvorming in de reacor door oververhitting zorgt in de Candu juist voor een versnelling van de reactie, niet een vertraging. Loss-of-coolant in een Candu is derhalve een ramp.
Onzin, een CANDU heeft inderdaad een licht positieve moderator temperatuur coëfficiënt. Dat betekent als de moderator warmer wordt de nucleaire reactie lichtjes toeneemt. Dit is voldoende traag zodat je kan ingrijpen met controlestaven en kamers met water in de reactor. Mocht de reactie alsnog uit de hand lopen vallen de controlestaven in de reactor en stopt de kettingreactie. Tijdens een LOCA echter ontstaan er geen stoombellen in de moderator want deze is drukloos en dus kouder dan 100°C. Bovendien zou zelfs bij stoomvorming de reactie alsnog gestopt kunnen worden door de passieve controlestaven. Er zijn in de afgelopen jaren trouwens al relatief veel LOCA's geweest met dit reactortype omdat ze gebruik maken van vele kleine pressure tubes, zonder grote gevolgen.
Bestaande afbetaalde kernreactoren kunnen al nauwelijks meer concurreren met de alternatieven, nieuwe centrales gebaseerd op bestaande 'bewezen' techniek zijn helemaal niet concurrerend en ik zie diverse redenen waarom nog compleet onbewezen nieuwe ontwerpen, die pas over tientallen jaren commercieel beschikbaar zouden moeten zijn, nog onconcurrerender zijn.
Hetzelfde kan gezegd worden over iedere bron van elektriciteit. Sinds de economische crisis zijn de elektriciteitsprijzen ingezakt en is geen enkele nieuwe productietechnologie rendabel. Bestaande kerncentrales behoren tot de weinige centrales die überhaupt nog rendabel zijn zonder subsidies.
Alle types reactoren hebben koeling nodig, PHWR reactoren bijvoorbeeld moeten actief van water voorzien worden door middel van pompen net zoals PWR centrales zoals in Nederland en België. Maar die pompen kunnen bijvoorbeeld ook aangedreven worden door stoom die de reactor produceert waardoor je geen elektriciteit nodig hebt.

Thorium centrales betekenen eigenlijk niets. Zo zijn er in het verleden PWR centrales gebouwd geweest die op thorium draaiden. De brandstof maakt op zich niet veel uit, het draait om het reactortype en ontwerp.
In de VS worden USB sticks eerst door NRC en daarna door lokale security gecontroleerd voordat ze een zone binnengaan.
Het gaat hier vooral om productiezekerheid, de veiligheidssystemen in kerncentrales zijn opgebouwd met analoge technologie. Enerzijds omwille van de periode waarin de centrales werden ontwikkeld (jaren 70) anderzijds omdat het vergunnen van digitale technologie voor nucleaire veiligheid een nagenoeg onmogelijke zaak is geworden.
Die systemen draaien op een onafhankelijk netwerk.
Dat zegt niks: onderstaand zijn 2 manieren. Laatste is het meest interessant, omdat in het artikel wordt beweerd dat systemen die losstaan van elkaar 'veilig' zijn. Je kunt volgens de Israeli's heel makkelijk de zogeheten airgap overbuggen. Het is zelfs geeneens topgeheim.
*https://tweakers.net/nieu...-usb-stick-verspreid.html
*Hacken van "airgapped systems"
De laatste link gaat echter over het extracten van data uit een air-gapped systeem waarbij het systeem al besmet is.
The researchers are calling the finding a "breakthrough" in extracting data from air-gapped systems
The attack requires both the targeted computer and the mobile phone to have malware installed on them, but once this is done the attack exploits the natural capabilities of each device to exfiltrate data
Het daadwerkelijk besmetten van het geairgapte systeem zonder usb sticks blijft buiten beschouwing. Dit lijkt mij ook juist het moeilijkste...

[Reactie gewijzigd door WitchHunter op 7 juli 2017 11:18]

Ja precies. Heb het stukje even voor een deel gelezen. Maar het gaat juist om het systeem kunnen hacken zonder het te besmetten. aangezien deze netwerken niet eens op het internet zijn aangesloten, moet je daadwerkelijk fysiek op het systeem een virus zetten om er überhaupt bij te kunnen. vervolgens moet je ook nog een smartphone hebben die de malware heeft en die moeten dan ook nog dicht bij elkaar zijn.

De kans is erg klein dat dit allemaal gebeurt. Dan is het makkelijker, als je er toch bent om een virus te uploaden, dat je er een kan benzine over heen gooit en de boel aan steekt als je de boel plat wil gooien.

Het verbaasd me wel hoe veilig huidige systemen tegenwoordig al zijn. Ik lees alleen maar dat er gehacked wordt als er vanuit een mail o.i.d. een stukje software wordt meegestuurd die de gebruiker in veel gevallen moedwillig moet installeren om überhaupt vatbaar te kunnen zijn.

betekend dit dan dat bijvoorbeeld een windows 10 met de nieuwste updates eigenlijk onhackbaar is als deze aangesloten wordt op het internet en deze voor de rest idle draait?

Zijn er recente gevallen bekend van hacks in windows 10 waarbij een hacker van buiten af volledige toegang krijgt tot het systeem zonder dat de gebruiker zelf software installeert?
OS is tegenwoordig redelijk dicht getimmerd. Op Windows 10 houdt de user account controle wel het 1 en ander tegen. Is een Windows 10 systeem onhackbaar... Zie de volgende security gaten op huidige windows 10
https://www.cvedetails.co...Microsoft-Windows-10.html

Toegegeven meest critische zijn al gepatcht maar toch.

Daarnaast waarom zou je het OS hacken als je gewoon de hardware kan hacken

http://thehackernews.com/...mt-vulnerability.html?m=1
is die airgapped methode hetzelfde issue waarom we niet digitale stemhokjes hebben?
Nee. Een van de problemen met digitaal stemmen is dat je 'de machine' minder kan vertrouwen dan met de hand tellen.

Check anders deze Andere Tijden, daar komt alles wel voorbij - https://www.npo.nl/andere-tijden/11-03-2017/VPWON_1267524

[Reactie gewijzigd door Basszje op 7 juli 2017 11:50]

Nee hierom gaan we niet digitaal stemmen:
https://www.ct.nl/artikel...-er-ooit-nog-komen/16450/

[Reactie gewijzigd door dielec op 7 juli 2017 12:05]

Digitaal stemmen hoeft helemaal niet te betekenen dat je niet handmatig kunt natellen.
Nee. Een van de problemen met digitaal stemmen is dat je 'de machine' minder kan vertrouwen dan met de hand tellen.
doe dan maar beide. Tel met de hand, is de computer het met je eens dan is het goed genoeg.
tweede deel vereist wel malware op beide systemen maar ja, zo simpel kan het zijn. airgap is geen vrijbrief voor geen updates e.d.
Niet best. Wellicht vinden ze straks indirect toegang tot de koelsystemen en je kunt een flinke kernramp krijgen. :o
In het artikel staat: "Die systemen draaien op een onafhankelijk netwerk."

Goed zo!

In deze tijden is loskoppelen van het internet de beste beveiliging.
Veel van deze kerncentrales zijn ontworpen (en vaak zelfs gebouwd) toen Arpanet net aan bedacht en in de lucht was (de Wolf Creek centrale uit het artikel is vanaf 1977 gebouwd). Waarschijnlijk kunnen die systemen niet eens aan internet gehangen worden. (wat trouwens alsnog niet noodzakelijk wil zeggen dat ze onkwetsbaar zijn)

[Reactie gewijzigd door anboni op 7 juli 2017 11:09]

Maar je moet i.i.g eerst fysiek toegang krijgen.

Nu kan in principe iedereen met voldoende kennis en een budget laptop vanaf de ene kant van de planeet flinke schade aanrichten aan de andere kant.
Kernramp: Dat is technisch niet mogelijk met dit type van nucleaire centrales.
Wat is er significant anders aan dan bijvoorbeeld de centrale van Three Mile Island waarin in 1979 een gedeeltelijke kernsmelting plaatsvond?
...goede vraag, denk ik. Want Three Mile Island gebruikt een Pressurized Water Reactor type, maar volgens Wikipedia gebruikt de Wolf Creek Generating Station ook PWR... lijkt mij dus net zo riskant voor melt-down.
Het reactortype zegt op zich niet veel over de veiligheid van een kerncentrale. Je kan in grote lijnen wel stellen dat een reactor van het type PWR een vrij kleine kans heeft op kernsmelting, al is deze groter dan van een BWR bijvoorbeeld. Maar een veel kleinere kans heeft dat radioactief materiaal in het milieu terecht komt dan bij bijvoorbeeld een BWR.

Verdere stellingen over veiligheid moet je echt reactor per reactor gaan bekijken gezien er wereldwijd maar héél weinig identieke centrales zijn.
Volgens mij zijn het beide PWR's, dus ik weet het niet. Maar ik gok dan dat deze nu een manier heeft om ook zonder stroom voor koeling een (passieve) shutdown te doen.
Ook TMI had systemen om zonder elektriciteit af te koelen, deze maken gebruik van stoom ipv van elektriciteit om pompen aan te drijven. Het probleem van TMI was niet het verlies van koeling, iets wat na enkele minuten al was rechtgezet maar een klein lek in het primaire circuit door een falende klep gevolgd door fouten gemaakt door de relatief onervaren operatoren.
Beide centrales berusten op hetzelfde werkingsprincipe maar zijn totaal anders opgebouwd gezien ze ontwikkeld werden door verschillende fabrikanten. Maar als je de koeling afzet zijn de gevolgen voor de kern in grote lijnen hetzelfde. De precurser van TMI is wel niet aanwezig in de Westinghouse reactoren van dit type. De standaanduiding van kleppen berust op de klep zelf en niet op de pilootsolenoides en het veiligheidsinjectiesysteem injecteert niet bij nominale primaire druk.
Gelul. Wolf Creek Generating Station is een Westinghouse PWR van de tweede generatie. Vrijwel hetzelfde ontwerp als Fukushima en TMI, waar, wat je ongetwijfeld weet, meerdere kernrampen hebben plaatgevonden.
Fukushima mag toch duidelijk zijn dat de natuur hier een hele grote hand in de gebeurtenissen rondom de problemen heeft gehad.

Als er een paar miljard liter zee water het terrein op racet en allerlei vitale onderdelen sloopt kun je veiligheden inbouwen wat je wilt. De externe invloeden daar vielen buiten de scope van waartegen de centrale ooit is gebouwd.
Had men geweten dat een tsunami daar op deze manier kon toeslaan, dan had men die hele centrale 30meter hoger gezet en was deze ramp niet gebeurd.

Het ontwerp is dus op zich niet verkeerd, alleen was het niet Tsunami proof en dat heeft waarschijnlijk ook nooit in de specs gestaan.
Had men geweten dat een tsunami daar op deze manier kon toeslaan, dan had men die hele centrale 30meter hoger gezet en was deze ramp niet gebeurd.
Tepco was daar al vele jaren eerder voor gewaarschuwd. Dát is ook een realiteit van kernergie, de techniek mag dan in theorie veilig lijken, uiteindelijk bepaalt menselijk gedrag en economische overwegingen de werkelijke veiligheid.

Overigens was het ontwerp voor Fukushima Daiichi wel "verkeerd", in de VS heeft men dezelfde reactoren achteraf aangepast aan risico's die pas lang na de bouw boven water kwamen. Tepco was al decennia voor de ramp gewaarschuwd voor deze problemen die de situatie zouden verergeren. Tepco heeft die wijzigingen nooit doorgevoerd wanwege economische redenen.

Dát is ook de realiteit van nucleaire energie, de financiele en menselijke factor die telkens weer een cruciale rol blijkt te spelen. De techniek mag dan wel in theorie veilig zijn, dat is niet het enige wat in de praktijk tot uiting komt.
Wat hebben de Amerikanen dan aangepast? Bij Foekoesjima was dacht ik het probleem dat de stroom uitviel die nodig was voor de koeling, en de noodgeneratoren in een kelder stonden die onderliep? Daardoor werkte de koeling te lang niet en werd de centrale zo warm dat allerlei radioactieve stoffen moesten worden geloosd om de temperatuur in de hand te houden, om een kernsmelting te voorkomen?
Ik raad met klem aan om dit hele artikel van de NewYork Times te lezen, dan weet je wat de industrie zegt over veiligheid en wat het woord 'veiligheid' voor die industrie werkelijk betekent.
Several utilities and plant operators also threatened to sue G.E. in the late 1980s after the disclosure of internal company documents dating back to 1975 that suggested that the containment vessel designs were either insufficiently tested or had flaws that could compromise safety.

The Mark 1 reactors in the United States have undergone a variety of modifications since the initial concerns were raised. Among these, according to Mr. Lochbaum, were changes to the torus — a water-filled vessel encircling the primary containment vessel that is used to reduce pressure in the reactor. In early iterations, steam rushing from the primary vessel into the torus under high pressure could cause the vessel to jump off the floor.

In the late 1980s, all Mark 1 reactors in the United States were also retrofitted with venting systems to help reduce pressure in an overheating situation.

It is not clear precisely what modifications were made to the Japanese boiling-water reactors now failing, but James Klapproth, the chief nuclear engineer for General Electric Hitachi, said a venting system was in place at the Fukushima plants to help relieve pressure.
Andere rapporten, waaronder van Tepco zelf, geven aan dat o.a. hun 'venting system' faalde.

[Reactie gewijzigd door styno op 7 juli 2017 21:58]

Fukushima mag toch duidelijk zijn dat de natuur hier een hele grote hand in de gebeurtenissen rondom de problemen heeft gehad.
Dat is NIET relevant. Je hebt twee soorten kerncentrales, degene die inherent veilig zijn (er kán gewoon geen meltdown plaatsvinden, ook niet als alles tegenzit) en alle andere. Denk er ook aan dat in Fukushima de natuur de tegenstander was: die heeft geen doel, denkt niet na en "doet maar wat". In dit scenario zou de tegenstander een mens zijn, die precies op het goede moment (of het verkeerde; hangt er vanaf hoe je er tegenaan kijkt) precies die ene actie uitvoert die een catastrofaal falen veroorzaakt.
Inherent veilig wordt niet gebouwd.
Zodra het primaire koelwater (of natrium of iets anders) wegloopt gaan het spul aan elkaar kleven en krijg je het niet meer uit elkaar om af te remmen: ->meltdown
De explosie is alleen mogelijk als er nog wat water/natrium overblijft, te heet wordt en expandeert in een drukvat of gesloten behuizing: -> explosie.
Er ziijn deskundigen die beweren dat je met thorium en gesmolten zout een 100% veilige kerncentrale kan maken. Bij oververhitting stopt de kernsplitsing. Er is ook geen water/drukvat wat kan exploderen doordat H2O in 2xH+O splitst door de straling.
en dat gas gaat nergens heen/bouwt druk op > explosie/brandgevaar > meer warmte > nog grotere explosie (BLEVE anyone?)
Bij een gesmolen zout reactor wordt geen water gebruikt wat zich kan splitsen. Gemolten zout wordt ook bij de zonnecentrale in Spanje gebruikt. https://www.visionair.nl/...ergie-midden-in-de-nacht/ Blijkbaar werkt dit niet met uranium/plutonium, maar er zijn geleerden die beweren dat dit met thorium wel kan werken. China is blijkbaar daar onderzoek daar onderzoek naar aan het doen. https://nl.m.wikipedia.org/wiki/Thoriumreactor
Ja, zo lust ik er nog wel eentje, een inherent veilige kerncentrale bouwen, en als die ontploft, tja die oorzaak stond niet in de specificaties...

"Kernramp technisch niet mogelijk", daar geloof ik dus niet in.

"Kernramp technisch niet mogelijk... oh shit" hebben we in het verleden al een aantal keer gezien.

Er kunnen altijd dingen gebeuren die simpelweg niet zijn te voorzien. Wie bedenkt er bijvoorbeeld dat er technici met een brandende kaars in de kabelruimte van een centrale bezig gaan, wat bijna tot een meltdown leidt: http://www.ccnr.org/browns_ferry.html
Zo werkt de wereld nou eenmaal.

Je ontwerp iets en in dit ontwerp ga je rekening houden met allerlei scenarios die de werking kunnen beïnvloeden. Bijv. het neerstorten van een bepaald formaat vliegtuig boven op het reactor huis, of de inslag van een RPG granaat etc... is allemaal wel rekening mee gehouden.

Het probleem met veel bestaande kerncentrales is dat men destijds aan minder dingen heeft gedacht dan de tijd inmiddels bewezen heeft die wel mis kunnen gaan.

In de basis is het zo dat het wegvallen van de koeling tot gevolg heeft dat automatisch de kernreactie tot stoppen wordt gebracht. Dat had de centrale in Tjernobyl niet.
In Fukushima is de reactie wel gestopt, echter het zwaar radioactieve koelwater van met name gebruikte spijtstof is daar doordat de zee met uber geweld op de centrale inbeukte weggelopen en in de omgeving terecht gekomen.
Twee dingen:

1. Als je aanneemt dat de betekenis van "technisch niet mogelijk" iets anders is dan simpelweg "onmogelijk", maar meer zoiets als "we hebben ons uiterste best gedaan om alle risico's die we konden bedenken uit te sluiten, maar garanties geven kun je natuurlijk nooit, zo werkt de wereld nou eenmaal", nou dan klopt het wel wat moozzuzz schreef...

2. In Fukushima is het koelwater niet weggelopen doordat de tsunami de reactor zelf heeft beschadigd, er is iets anders misgegaan.
Nadat een werkende reactor is "gestopt" gaat de warmteontwikkeling in de kern nog een hele tijd door, omdat de reactorstaven vol zitten met bij de kernsplijting ontstane radioactieve stoffen, die nog moeten vervallen naar een stabiele isotoop. De energie die daarbij vrijkomt is minder dan bij een werkende reactor, maar evengoed enorm, en als je de kern niet intensief blijft koelen (door er water doorheen te circuleren) krijg je alsnog een meltdown.
Normaal draaien de koelpompen op het elektriciteitsnet (waaraan de centrale zelf stroom levert), maar dat raakte beschadigd door de tsunami. Als back-up zijn er dieselgeneratoren voorzien, maar die werkten niet omdat ze in een gebouw stonden dat overstroomd was door de tsunami. Als laatste redmiddel kunnen de koelpompen aangedreven worden door accu's, maar die houden dat maar een paar uur vol, veel te kort om in dit geval de noodgeneratoren of het elektriciteitsnet werkend te krijgen. De temperatuur in de reactors was daarna niet meer in toom te houden met de bekende catastrofale gevolgen.

[Reactie gewijzigd door Brousant op 7 juli 2017 15:29]

Als ik even nog kort mag reageren, geen idee of je dit al wist btw.
Maar ik zag het volgende nergens genoemd worden en je weet hoe zulke discussies gaan vandaar mijn kleine bijdrage :)

Fukishima gebruikte een ouder BWR (Boiling Water Reactor) type reactoren. In Jip en Janneke-taal is dit niet meer dan een fluitketel.
Als hier de reactie wordt gestopt moet deze nog uren actief worden (af)gekoeld, gezien water bij 100* weg begint te koken. Bij een stop moet moet dus nog veel meer actief gekoeld worden. Het backup system weegt (niet in gewicht) hierdoor een stuk zwaarder en hier ging het compleet fout.

Verouderd type reactor technology, die teveel hangt op actieve backup systemen in een gebied wat niet geschikt is daarvoor. Accident waiting to happen en Tepco wat je zei wist hiervan af.

Een PWR is wat dat aangaat wel een stukje veiliger ivm met BWR omdat water onder druk een veel hogere verdamppunt heeft. Dus een backup systeem meer ruimte heeft, bij wijze van spreken.
Bedankt voor de correctie. Ik kwam er een half uurtje geleden ook achter dat het wel degelijk een verschil in ontwerp is. Maar de conclusie verandert er eigenlijk niet door.

Overigens moet ook een PWR nog actief gekoeld worden nadat de primaire reactie gestopt is. Anders loopt de druk te hoog op.
Een BWR is in principe veiliger dan een PWR gezien je slechts 1 lus moet opgevuld houden in plaats van twee bij een PWR. De kans dat er radioactief materiaal in het milieu terecht komt is echter veel kleiner bij een PWR dan een BWR desondanks het feit er meer kans is op kernschade.
Het probleem is dat een Uranium/Plutonium reactor water nodig heeft om de neutronen genoeg af te remmen om een kettingreactie te starten. Het probleem met water is dat het door deze straling zich deels splitst in 2xH+O. Als de temperatuur verder oploopt bij hoge druk 200+°C dan gaat water zich nog verder splitsen. Je hebt dan dus een explosief radioactief mengsel.
Het effect van radiolyse dat je hierboven beschrijft is verwaarloosbaar. In het primair koelwater van een kerncentrale wordt met opzet een overvloed aan waterstof behouden. Dit om de zuurstof die vrijkomt door radiolyse opnieuw te binden met waterstof tot water. Op die manier wordt corrosie vermeden. De hoeveelheid waterstof waarover we hier spreken is echter verwaarloosbaar ten opzichte van andere effecten.

Normale temperaturen in een reactoren liggen tussen 300 en 340°C. Wanneer je het koelwater echter verliest kan de temperatuur van de brandstof oplopen tot 1500°C en het materiaal waaruit de brandstofhulzen zijn gemaakt (Zirconium) begint dan een autokatalytische reactie aan te gaan met water/stoom in de reactor om waterstof te vormen.

Op zich is waterstof in de primaire kring geen probleem gezien deze hermetisch gesloten is maar als de druk te hoog oploopt kunnen er veiligheidskleppen opengaan waardoor er waterstof in het containment terecht komt. Deze containment gebouwen zijn bij PWRs voorzien van PARs (passieve autokatalystische recombinatoren) om de waterstof terug water te maken. Bij oudere BWRs staat dit containment op stikstofdruk waardoor het waterstof niet kan ontvlammen of ontploffen. In Fukushima werd dit containment uiteindelijk afgeblazen naar de atmosfeer waardoor er zich ontploffingen voordeden buiten het containment. Die centrales zijn ontworpen om bestand te zijn tegen die explosies zoals ook aangetoond tijdens de ramp zelf.
Onzin, Fukushima is een GE BWR een totaal ander reactortype. TMI was een Babcock & Wilcox PWR dat op hetzelfde werkingsprincipe van Westinghouse PWRs werkt maar totaal anders opgebouwd is. Een ongeval is mogelijk is alle kerncentrales maar de gevolgen verschillen sterk afhankelijk van het type reactor. De core melt in Fukushima had bijvoorbeeld zware offsite radiologische gevolgen terwijl deze van TMI nagenoeg geen offsite impact had. Voornamelijk door het grote verschil in containment (pressure surpression vs large dry containment).
Is dit een vloeibaar- fluoride-thorium-reactor?
Zo nee: dan is deze niet 100% veilig.
Naast wat moozzuzz zegt, draaien de belangrijke systemen altijd op een hardware-gescheiden netwerk. Hier kom je vanuit buiten niet in juist om dat te voorkomen.
Dat is helaas absoluut geen reden voor gerustheid. Hermetisch afsluiten van het controle deel gaat vaak niet, omdat er ook software-updates voor uitkomen of data uitgelezen moet worden. En dan

Stuxnet is al weer een tijdje geleden en daarmee misschien in vergetelheid geraakt, maar absoluut niet ongevaarlijk. Met Stuxnet werden bepaalde PLCs voor de controle van de centrifuges geinfecteerd, hoewel ze netjes in een gescheiden netwerk liepen. De infectie verliep in dat geval via geinfecteerde USB-sticks, en heeft flinke schade aangericht. Dit was in 2010 een geavanceerde worm, maar de wereld staat niet stil, de PLCs echter praktisch wel.

[Reactie gewijzigd door Garyu op 9 juli 2017 01:27]

Feit is wel dat je voor de aanval met Stuxnet een HELE HELE HELE goede kennis van de omgeving moet hebben welke je aanvalt!
Oftewel dat virus is speciaal geschreven na vele maanden onderzoek op een heel diep niveau.
Je moet A zorgen dat je technische kennis van het doelwit uitzonderlijk is, daarna moet je zorgen dat je precies weet WIE het virus het aan te vallen netwerk in brengt en dan moet je daar ook nog de methode voor weten.
Oftewel de makers van dat virus zijn van binnenuit geholpen en zonder die hulp is dit nagenoeg niet te doen. Die hulp kan ook nog vanuit een toeleverancier zijn gekomen, aangezien daar vaak evenveel kennis of zelf meer kennis van systemen is dan op de locatie van het doelwit zelf.
Bij de veiligheidssystemen van kerncentrales komt helemaal geen software aan te pas. We spreken hier over analoge schakellogica met drempelschakelaars en relais. Een digital systeem certificeren voor nucleair gebruik is nagenoeg onmogelijk.
vervang turbine door centrifuges, dat is namelijk een heel verschil ;), al ging het om de PLC, en niet wat daarachter hing
Je bedoelt zoals ze het bij Diginotar ook deden?
Nee, wel feitelijk accuraat blijven. Diginotar had wel degelijk alle netwerken verbonden met internet (is ook vrijwel niet te doen anders, qua bedrijfsprocessen), alleen zaten de signing keys in een gescheiden, streng gefirewalled subnet. Dit komt dus niet in de buurt van wat we "air gapped" noemen. Wel was er een tweede route naar het beschermde subnet, om de firewalls heen, die nooit had mogen bestaan.
Je snapt natuurlijk wel dat ik die tweede route bedoel. Ze hadden gemakshalve maar een kabeltje tussen die twee "strikt gescheiden" netwerken gelegd. De buitenwereld dacht dat het allemaal keurig geregeld was want als de auditors langs kwamen dan werd dat extra kabeltje even weggehaald en een uurtje later lag het er weer.
Noem me paranoide, maar met de honderden kerncentrales die er zijn in de wereld zijn er vast wel een paar waar ze het verprutst hebben en de interne apparatuur toch te bereiken is via internet.
Noem me paranoide, maar met de honderden kerncentrales die er zijn in de wereld zijn er vast wel een paar waar ze het verprutst hebben en de interne apparatuur toch te bereiken is via internet.
Het punt is alleen dat er geen enkele kerncentrale is die volledig automatisch en onbemand gestuurd wordt, juist om de hele simpele reden dat een hack of een computerstoring dan een ramp zou veroorzaken.

Daar komt nog eens bij dat een hoop centrales makkelijk een halve eeuw oud zijn en er dus niet eens computersystemen op het nucleaire gedeelte aangesloten zitten die gehackt kunnen worden om bijvoorbeeld de pompen uit te zetten. Dat is allemaal zo stokoud dat je er misschien wel een motortje op kan zetten maar het blijven elektrische, geen 'slimme' besturingen.
Dat klopt, maar digitale systemen worden enkel gebruikt voor niet veiligheidssystemen. Er zijn al eerder virussen aangetroffen op niet veiligheidssystemen in kerncentrales. Deze vormen een risico voor de elektriciteitsproductie, niet de nucleaire veiligheid.
totdat een engineer de systemen update met software wat wel extern wegkomt, zo krijg je dus wel extern spul in het gescheiden netwerk..
zo krijg je dus wel extern spul in het gescheiden netwerk..
en als die updateprocedure reeds gecompromitteerd is door een backdoor is het klaar.
Zie notPetya en de boekhouders.
Stuxnet, anyone?
Sterker nog als het goed is werken ze met een air-gap.
Oftewel een volkomen autonoom systeem dat nergens mee verbonden is.
Er komt helemaal geen digitale technologie aan te pas bij de veiligheidssystemen van kerncentrales. Het koelsysteem bijvoorbeeld is letterlijk een peilmeting die bij een laag peil een drempelschakelaar triggered en zo een pomp start.
Mag hopen dat het ook ze dat ook ter plekke kunnen aansturen. Soort van override voor als de computers falen.

[Reactie gewijzigd door dikki dik op 7 juli 2017 10:40]

Ze kunnen het ook alleen maar ter plekke aansturen. De computers die de boel aansturen zijn niet aangesloten op het internet. Verder is er altijd nog een handmatige bediening waarmee je als je het echt wil de boel nog stil kan leggen.
Klinkt geruststellen maar Stuxnet toont duidelijk aan dat air-gap en (gedeeltelijke)handbediening niet zaligmakend zijn.

In het geval van Stuxnet werden operators voor de gek gehouden door SCADA data te vervalsen waardoor het leek dat de uranium centrifuges normaal werkten, terwijl ze konden horen dat het niet zo was. De verwarring duurde lang genoeg om catastrofale gevolgen te hebben voor de centrifuges. De gevolgen voor de omgeving waren daarbij klein, maar in het geval van een kerncentrale kan dat heel anders uitpakken, zo leert Fukushima ons.

Het lijkt me slechts een kwestie van tijd voordat er een Stuxnet-achtig truukje op een kerncentrale losgelaten wordt en dan heb je de pijpen aan het dansen. De relevante maatschappelijke vraag daarbij: is dat een beetje stroom waard?
Volgens mij stroomde er bij Fukushima een groot deel van een zee het terrein op en werden voor de koeling cruciale onderdelen verwoest.
Hierdoor viel de stroom uit op plekken waar dit normaal gesproken niet mogelijk had moeten zijn.
heb je je verdiept in stuxnet? PLC's werden gehackt (autonoom, stuxnet deed alles zelf) waarbij data voor een tijdje opgenomen werd bij normale operatie (geen operator interventies) dit werd daarna weer "afgespeeld" naar de operator zijn monitoren, terwijl de PLC de opdracht kreeg (Vanuit stuxnet) om bizar hoge RPM's te gaan draaien op de centrifuges, waardoor ze dus uit balans raakten, en zichzelf helemaal de *** in draaiden.
Er is natuurlijk een verschil tussen een uranium centrifuge en een kerncentrale.
Voor zover ik weet hebben de (moderne) centrales altijd nog een mechanisme dat de boel uitschakelt als temperaturen boven een bepaalde grens komen, dat systeem valt niet op afstand aan te passen.
Moderne kerncentrales zijn dusdanig gemaakt dat er altijd nog beveiliging systemen op zitten die niet met software gesloopt kunnen worden.
die systemen draaien op PLC's (Programmable Logic Controller) Stuxnet viel juist die apparaten aan, en liet de uitgang mooie stabiele data doorgeven naar operators, terwijl de apparatuur die bestuurd werd compleet om zeep geholpen werd :+

Elk autonoom systeem dat niet met een direct volledig mechanische klep (overdruk ventiel) werkt hangt dus aan een PLC.
Het gebruik van digitale systemen in kerncentrales beperkt zich tot niet veiligheidstoepassingen. Het nucleair keuren van digitale systemen is nagenoeg onmogelijk. Worst case scenario is dat hackers een centrale platleggen en deze geen elektriciteit meer kan produceren. Het reactorbeschermingssysteem en veiligheidssystemen zijn volledig opgebouwd met analoge schakellogica.
Het reactorbeschermingssysteem en veiligheidssystemen zijn volledig opgebouwd met analoge schakellogica.
Dat was ooit zo maar met door het niet meer beschikbaar zijn van reserve materiaal zijn veel, zo niet vrijwel alle, veiligheidssystemen inmiddels ook gedigitaliseerd:
No globally comprehensive statistics are available on the numbers of plants with fully analog, fully digital or hybrid I&C systems. However, approximately 10% of the world’s 439 operating power reactors, accounting for nearly all of the 30 countries with operating NPPs, have had some level of digital I&C upgrade to, at least, important safety systems. From another perspective, 90% of all the digital I&C installations that have been done have been modernization projects at existing reactors. 10% have been at new reactors.

Of the 34 reactors currently under construction around the world, all of those for which construction began after 1990 have some digital I&C components in their control and safety systems.
Aldus de International Atomic Energy Agency
Ik ben zelf licentiehouder van verschillende centrales, het klopt dat er veel digitalisering is uitgevoerd van centrales om de performantie te verbeteren. Ook op veiligheidssystemen maar niet voor veiligheidsdoeleinden. Ik denk bijvoorbeeld aan onze trillingsmetingen die tegenwoordig live opgevolgd kunnen worden terwijl die vroeger periodiek werden opgenomen. Als je die systemen kwijtspeelt moet je ofwel terugvallen op de auto methode of stoppen met uitbaten wanneer je deadline voor periodieke checks bereikt wordt. PLCs worden bijvoorbeeld ook gebruikt om alle veiligheidssignalen te testen maar op het moment dat dergelijke tests doorgaan wordt die veiligheidstrein onbeschikbaar verklaard en staan de andere veiligheidstreinen scherp. De PLCs worden fysiek ontkoppeld wanneer de tests klaar zijn.
Ik vraag me af of een kerncentrale wel handmatig aan te sturen is, zelfs een override zou in grote mate geautomatiseerd zijn lijkt me.
Als je daar met een aantal man zit en je weet de stappen die nodig zijn om de kerncentrale plat te leggen of iig te kunnen koelen. Lijkt me dat je de geautomatiseerde versie ook handmatig kan doen. Danwel met de weergave van waarde's van sensoren op het display of tijd die benodigd is voor elke stap.
Punt is dus dat stuxnet juist de waardes die op de display veranderde. Dus zonder meetgegevens is handmatige operatie eigenlijk al niet meer te doen.

Los daarvan: het zou goed kunnen dat bepaalde fail-safe mechanismes geen overrides hebben en geheel onafhankelijk opereren. Denk aan mechanische kleppen, of onafhankelijke niet-scada/plc gebaseerde regelsystemen.
Op de pc in het toezichtscentrum. De display/meter bij de power plant zelf, die worden vaak direct uitgelezen en kan je niet voor de gek houden. En zover ik weet worden die in ieder geval 1 keer per dag gecontroleerd. Ze weergeven waarden, zoals stroomsnelheid, temperatuur en druk en dat is eigenlijk alles wat je moet weten.
1x per dag, een klein beetje aanpassen van waardes, en je ziet zo wanneer het rondje geweest is door een interventie van operators, daarna het stuxnet soepje z'n werk laten doen (het voorwerk is immers al gedaan tot de interventie kwam) en je hebt binnen 1 uur een hele centrale in explosie stand. (beter gezegd, 10ms zoals bij SL-1 gebeurde)
Wat ze dan zouden moeten doen is het laten afgaan van alarmen. Kleine moeite. Bijvoorbeeld als de hoeveelheid opgewekte electriciteit onder een bepaald niveau komt of zelfs makkelijker op basis van temperatuur. Als ze dat al niet hebben overigens. Voor de automatisering zullen ze dit ook al hebben gehad. Maar je hebt wel gelijk. Het kan in korte tijd escaleren. Al vermoed ik wel dat er dan op een gegeven moment druk wordt afgeblazen. Je moet dan natuurlijk alleen wel ter plaatse zijn.
lees je even in wat er bij SL-1 gebeurde, dat was dan een verouderd type reactor, maar geen één reactor is volledig "veilig" zoals sommigen beweren...
De meeste centrales zijn ontworpen in de jaren 70 en hun automatisering is veelal opgebouwd met klassieke analoge schakellogica. In de loop der jaren zijn sommige van deze systemen vervangen door digitale systemen voor niet veiligheidsdoeleinden. Digitale systemen gekeurd krijgen voor nucleaire veiligheid is een nagenoeg onmogelijke zaak geworden. De digitale systemen zijn vaak redundant uitgevoerd met daarboven op backup van de oude klassieke systemen of uiteraard manuele sturing door de operatoren. Een centrale kan je gerust manueel uitbaten zoals het vroeger in de jaren 60 gedaan werd maar geloof mij vrij dat is arbeidsintensief.
De veiligheidssystemen zijn volledig opgebouwd met analoge schakellogica dus daar valt niet aan te hacken. Maar veel systemen voor de productie van elektriciteit zijn wel gedigitaliseerd om de performantie te verhogen. Het aantal backups hangt af van centrale tot centrale maar meestal spreken we over redundante computersystemen met de oude analoge logica of manuele sturing als backup. In ieder geval worst case scenario verlies je de mogelijkheid om elektriciteit te produceren. Iets met economische gevolgen in plaats van veiligheidsgevolgen.
"richtten ze zich met malware op personen met verhoogde rechten"

Je zou toch mogen verwachten dat deze personen een training hebben gehad om phising te herkennen en anderszins zijn voorbereid op de verantwoordelijkheid die de verhoogde rechten met zich mee brengt?
Sommige hebben wel een training gehad, maar de vraag is hoe lang dat ook actief helpt. Zelfs als dat helpt, het hoeft maar 1 keer fout te gaan, om te verdedigen moet het iedere keer goed gaan.
Sommigen... niet echt geruststellend.

Maar hoe moeilijk is het?! Open geen bijlagen van onbekenden... gewoon niet klikken, bovendien geeft volgens mij ongeveer ieder mailprogramma nog een waarschuwing voor bijlagen ook.

Je trekt toch tijdens het rijden ook niet aan de handrem?
Open geen bijlagen van onbekenden
Dat helpt misschien voor algemene spam.
Maar dat is niet genoeg voor een directe gerichte poging van een hacker.
Met een beetje social engineering kun je als hacker mailen vanuit een mail-adres dat (lijkt op) een legitiem bedrijf waar de centrale contact mee heeft, de bijlage een naam geven die ook te vetrouwen is...

Heb 't zelf al is gezien met een crypto bij een vorig bedrijf waar ik op ICT zat.
Email-adres was op naam van een legitieme klant, bijlage heette iets van "factuur" enz.
Knappe gebruiker die daar doorheen prikt.
Ik snap je punt, maar zou je in deze industrie, op dit niveau geen "knappe personeelsleden" moeten hebben?

Het lijkt mij dat je je processen zo inricht dat deze personen sowieso geen direct contact met "de buitenwereld" moeten hebben, vervelend dat ze hun mail/facebook niet kunnen checken, maar ze zijn aan het werk... in een kerncentrale, de heilige graal voor (cyber)terroristen.
En een kerncentrale heeft geen enkele dienst van buitenaf nodig?
Ze hoeven geen contact te hebben met het/de energiebedrijv(en) waar ze aan leveren bijvoorbeeld? Met het personeel dat op dat moment geen dienst heeft of op andere locaties werkzaamheden uitvoeren? Zelfs de catering verschijnt ook niet gewoon uit de lucht.

Het is niet realistisch om te denken dat je een bedrijf, ook geen kerncentrale, kan onderhouden met 0 contact met de buitenwereld.
Ik kijk effectief soms de source headers van mijn E-mails na. Zeker als er bijlages of zo in zitten. En ik heb tools en software op m'n servers die de verschillende SMTP servers die betrokken waren tijdens de transit van de E-mail ook nakijkt. Voorts gebruik ik geen courante E-mail client (en is de X-Mailer header van mijn verzonden berichten of een nep versie of gestripped). Uiteraard heb ik ook PGP voor de contacten die ook moeite doen om me cryptografisch verifieerbare E-mails te sturen (en om eerlijk te zijn whitelist ik die allemaal zowiso, dus dat is de manier om me te spammen).

Heb ook ooit een kleine database gehad van typische paden die E-mails van typische contacten nemen (langs welke set SMTP servers). Maar sinds de halve wereld op GMail en Hotmail zit ben ik daar wel mee opgehouden. Maar af en toe plukte ik er daar ook spam mee tussenuit.

Ik moet wel toegeven dat ik als hoofdontwikkelaar van de E-mail client van een smartphones en tablet (N900 en N810), waarschijnlijk een beetje extreem ben ;-). Maarja. Het was ook leuk om dat allemaal op te zetten. En normaal gesproken zou het vrij moeilijk moeten zijn om me in een phishingmail te doen trappen. Je zou bv. al een eerste SMTP server moeten gebruiken die ik aanzie als betrouwbaar. Dat wil bv. zeggen dat je niet alle headers vrij kan wijzigen. Maar ik zeg nooit nooit natuurlijk.

[Reactie gewijzigd door freaxje op 7 juli 2017 19:13]

Je zou toch mogen verwachten dat deze personen standaard werken met niet-administratieve rechten. Voor het lezen en afhandelen van mailtjes zijn zulke rechten helemaal niet nodig.
Uitzetten van (java)script en macro's helpt ook flink tegen allerlei vormen van onheil.
Slechts voor speciale handelingen zullen administratieve rechten benodigd zijn.
* styno mompelt iets over verwachting en realiteit...
Zou wel comedie zijn als een stuxnet variant Amerika besmet zoals ze destijds in Iran hebben gedaan...

Balletje terugkaatsen, lovely.
Hallo, allemaal eerst lezen voordat het conspiracy syndroom bij je toeslaat:
"dat het om computers binnen het bedrijf gaat en dat beheersystemen voor de centrale niet getroffen zijn. Die systemen draaien op een onafhankelijk netwerk.

Oftewel alleen de boekhouders zijn getroffen, niet de centrale.
Het grote gevaar komt pas als gekken (IS en consorte) zo'n centrale weten binnen te dringen ......
Het grote gevaar komt pas als gekken (IS en consorte) zo'n centrale weten binnen te dringen ......
Of dat er reeds radicaliserende sympathisanten blijken te werken.

/scenarios genoeg.
Dat zou potentieel de elektriciteitsvoorziening in gevaar kunnen brengen met zware economische gevolgen. Een kernramp kan je echter niet veroorzaken gezien de veiligheidssystemen volledig analoog zijn opgebouwd.
Waarom moeten die dingen uberhaupt aan het internet hangen?

Dan maar niet thuis-werken of op afstand zaken controleren o.i.d.

Gewoon naar de locatie toegaan.
Het gaat hier om een klassiek bedrijfsnetwerk, denk aan emails, boekhoudprogramma's, trading programma's etc. Internet is essentieel om dergelijke software te laten werken.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*