Letzte Woche war ein Wendepunkt für die Embedded Security Community und damit für alle anderen. Bloomberg gab bekannt, dass auf den Motherboards von Servern, die von Super Micro Computer an Unternehmen wie Amazon und Apple verkauft wurden, Rogue-Chips gefunden wurden. Wer diese während des Herstellungsprozesses hinzugefügt hatte, hätte die Möglichkeit erhalten, Daten von den Servern zu steuern und darauf zuzugreifen, als diese Unternehmen sie installierten. Zum ersten Mal gab es Hinweise darauf, dass die Lieferkette gestört werden könnte. Das bedeutete, dass während des Herstellungsprozesses gehackt wurde, bevor die Produkte überhaupt die Produktionslinie verlassen hatten.
Bisher wurde Hacking überwiegend als das Eindringen von bösartigem Code in ein Gerät angesehen, das „sauber“ ist, indem Sicherheitslücken in seinem Code ausgenutzt werden. Das ist, was mit jedem PC-Virus passiert ist; angriffe wie die WannaCry-Ransomware und staatlich geförderte Angriffe wie Stuxnet und der kürzlich entdeckte Versuch russischer Hacker, die Organisation zur Verhütung chemischer Waffen in Den Haag zu infiltrieren. Obwohl das Konzept, ein Produkt vor dem Versand zu hacken, seit Jahren diskutiert wird, signalisiert der Bloomberg-Bericht, dass wir von der akademischen Debatte zur Realität übergegangen sind.
Es gibt immer noch Diskussionen darüber, ob der Bericht korrekt ist. Apple und Amazon bestreiten viel von dem Detail, aber seine Veröffentlichung hat die Menschen dazu gebracht, sich die Versorgungsleitung genauer anzusehen und zu dem Schluss zu kommen, dass die Art und Weise, wie wir heute komplexe elektronische Produkte entwerfen, untervergeben und herstellen, dies möglich macht, ob es wahr ist oder nicht. Wenn es wahr ist, war dieser Angriff wahrscheinlich kommerziell, wo ein Unternehmen oder ein Staat herausfinden wollte, was führende globale Unternehmen taten. Besorgniserregender ist die Aussicht auf eine Zukunft, in der böswillige staatliche Akteure auf Infrastruktur abzielen, um ein Land zu lähmen. Das bringt mich zu intelligenten Zählern.
Ich war schon immer besorgt über die Anfälligkeit der britischen Smart Meter für Hacking in der Herstellungsphase. Der Grund für diese Besorgnis besteht darin, dass diese Zähler einen AUS-Schalter enthalten, mit dem der Strom vom Energieversorger getrennt werden kann. Dies ist ein Komfort für sie, da sie niemanden mehr herumschicken müssen, um Zugang zu einem Gebäude zu erhalten. Wenn es jedoch jemals gehackt würde, könnten die Hacker Millionen von Metern gleichzeitig ausschalten. Das könnte genutzt werden, um das Stromnetz zu zerstören.
Saleh Soltan, ein Forscher am Department of Electrical Engineering in Princeton, hat eine Reihe guter Artikel geschrieben, die zeigen, wie der Großteil des Netzes durch Hacking zum Erliegen gebracht werden kann, was zu einer Änderung des Strombedarfs um nur 1% führt. Da es derzeit sehr teuer ist, Strom zu speichern, wird die Erzeugung sorgfältig auf die erwartete Nachfrage abgestimmt. Wenn die Änderung jedoch schnell und unerwartet erfolgt, können die resultierenden Überspannungen beim Ein- und Ausschalten einzelner Elemente Schäden verursachen, die zu weit verbreiteten Stromausfällen führen können. Die Wiederherstellung der Stromversorgung kann noch schädlicher sein, da das Netz nicht weiß, was angeschlossen und eingeschaltet ist, und daher nicht vorhersehen kann, wie hoch der Bedarf sein wird. Auch hier besteht das Potenzial für Schäden an kritischen Teilen des Netzes, wenn die Nachfrage plötzlich erhöht werden kann. Sobald Sie ein bestimmtes Schadensniveau überwunden haben, kann die Reparatur des Netzes und die Wiederherstellung einer zuverlässigen, universellen Versorgung Jahre dauern
Ich war schon immer besorgt über dieses Risiko. dass ein Programmierer, der für einen Zählerhersteller arbeitet, Code schreiben könnte, der dazu führen würde, dass zig Millionen Zähler eine bestimmte Zeit abschalten. Wenn ein Viertel der inländischen Smart Meter zusammen ausgeschaltet wird, könnten Sie eine sofortige Nachfrageänderung von bis zu 15% sehen, eine Größenordnung größer als die 1%, von der Saleh glaubt, dass sie das Netz töten wird. Dafür ist kein Stromnetz ausgelegt. Es gibt einen Grund, warum Militärplaner auf Kraftwerke abzielen – die Entfernung von Elektrizität lähmt eine Nation seit Jahren, wie wir im Irak gesehen haben. Das macht das Grid zu einem sehr interessanten Ziel für jeden böswilligen staatlichen Akteur.
Bisher habe ich es versäumt, jemanden in das britische Programm einzubeziehen, um dieses Risiko zu verstehen. Das Hacking-Konzept der Energieversorger beschränkt sich darauf, einzelne Zähler zu umgehen oder zu täuschen, um ihre Rechnungen zu minimieren. Historisch gesehen bestand ihr Ansatz beim Hacken darin, Meter nach draußen zu bewegen. Das war nicht nur, um die Zählerablesung zu erleichtern, sondern auch, weil es abschreckend ist, den Zähler zu umgehen; Was Sie privat in Ihrem Schrank unter der Treppe tun könnten, ist weniger attraktiv, wenn Sie alle auf der Straße im Blick haben. Wenn ich die Möglichkeit angesprochen habe, dass ein betrügerischer Programmierer einem intelligenten Zähler während seiner Entwicklung absichtlich bösartigen Code hinzufügt, lautet die einzige Antwort: „Warum sollte das jemand tun?“? Das herausfordern mit „Warum sollte jemand einen Lastwagen in eine Gruppe von Fußgängern fahren?“, oder „Warum sollte jemand ein Flugzeug in ein Handelszentrum fliegen?“ ich scheine nicht zu rechnen. Diejenigen, die am Smart Metering-Programm beteiligt sind, haben Schwierigkeiten, ihre Weltanschauung von einem einzelnen Studenten oder Hausbesitzer, der versucht, sie um ein paar Pfund zu betrügen, auf eine Organisation oder Sache auszudehnen, die versucht, eine Wirtschaft zu zerstören.
Am besorgniserregendsten ist, dass es möglicherweise sehr einfach ist. Hier ist eine kurze Anleitung, wie man einen Smart Meter hackt und das Netz tötet.
Holen Sie sich zunächst einen Job bei einem Smart-Meter-Hersteller. Das sollte nicht schwierig sein, da sie ziemlich verzweifelt sind. Alles, was Sie dafür wirklich brauchen, ist ein Grundwissen über ZigBee. Ich klassifiziere mich nur als Hobby-Programmierer, aber mir wurden Jobs von zwei Smart-Meter-Unternehmen als Systemarchitekt angeboten. (Ich habe abgelehnt. Überlegen Sie dann, was Sie dem Smart-Meter-Code hinzufügen möchten.
Beginnen wir einfach und fügen Sie einfach ein paar Zeilen Code hinzu, die die Stromversorgung des Hauses zu einem vorgegebenen Zeitpunkt trennen. Intelligente Zähler haben Echtzeituhren, die regelmäßig synchronisiert werden sollten, sodass es nicht schwierig ist, Millionen von ihnen innerhalb desselben Netzzyklus auszuschalten. Sie möchten sicherstellen, dass die Energieunternehmen nach dem Trennen der Haushaltsversorgung diese nicht wieder einschalten, den Zähler zurücksetzen oder eine neue Firmware hochladen können, also fügen Sie ein paar weitere Zeilen hinzu, um die Kommunikation auszuschalten, oder überschreiben Sie einfach die Authentifizierungsschlüssel. Stellen Sie sicher, dass Sie den Code ausblenden, damit ihn niemand erkennt, und Sie sind fertig. Da die GB Metering-Spezifikation so komplex ist, gibt es viele Stellen, an denen Sie Ihre wenigen Codezeilen verstecken können. DECC und BEIS haben einen sehr großen Heuhaufen zur Verfügung gestellt, damit Sie Ihre Nadel verstecken können. Sie möchten sicherstellen, dass Ihr Code nicht durch ein nachfolgendes Firmware-Upgrade überschrieben wird, daher lohnt es sich wahrscheinlich, ihn in etwas einzufügen, das wahrscheinlich statisch bleibt, wie die Cluster-Bibliothek oder, wenn Sie darauf zugreifen können, den Bootloader. Wenn Sie die Chance bekommen, legen Sie es in ROM. Job erledigt.
Um die beste Chance zu haben, Schaden anzurichten, können Sie die Stromversorgung besser trennen, indem Sie sie einige Stunden später wieder einschalten und diese Sequenz einige Male wiederholen. Das wird wirklich jeden verwirren, der versucht, das Netz neu zu starten, und wahrscheinlich mehr Schaden anrichten. Die Regierung veröffentlicht hilfreich Daten über die Binnennachfrage und die Sektornachfrage, um herauszufinden, wann dies zu tun ist.
Wenn wir die sektorale Nachfrage betrachten, macht der inländische Stromverbrauch im Durchschnitt etwa 30% des Gesamtverbrauchs aus. Für die erste Abschaltung möchten Sie einen Zeitpunkt ermitteln, zu dem die Binnennachfrage den größten Anteil an der gesamten Erzeugung hat, um die maximale prozentuale Änderung zu bewirken. Am Wochenende wird die industrielle und kommerzielle Nutzung viel geringer sein, daher wäre ein guter Ausgangspunkt ein Sonntag.
Wenn Sie also an einem Sonntag im Januar auf 7 Uhr abzielen, werden Sie wahrscheinlich feststellen, dass die Inlandsnachfrage rund 60% der Gesamtnachfrage ausmacht. Wenn sich zu diesem Zeitpunkt ein Viertel der inländischen intelligenten Zähler ausschaltet, erhalten Sie mit einem sofortigen Nachfragerückgang von etwa 15% ein maximales Preis-Leistungs-Verhältnis. Niemand in der Geschichte des Grid-Designs hat das jemals geplant.
Schauen Sie sich die Daten noch einmal an, um Ihren nächsten Schritt zu bestimmen, nämlich alle intelligenten Zähler am nächsten Morgen wieder einzuschalten. Industrielle und kommerzielle Benutzer werden versucht haben, wieder online zu gehen, möglicherweise etwas später als normal, da die Stromausfälle andauern und alle Schwierigkeiten haben werden, an die Arbeit zu kommen. Verzögern Sie daher die Wiederverbindung bis 11.30 Uhr. Wenn das Netz wieder hochgefahren wurde, sollte dies sehr unerwünschte zusätzliche 8% der Nachfrage erzeugen. Programmieren Sie in den nächsten Tagen einige weitere EIN / AUS-Übergänge und trennen Sie dann die Stromversorgung und starten Sie den Bootloader im Smart Meter. Das macht es für jeden schwierig, die Firmware des Messgeräts manuell zu aktualisieren, sodass er sie ersetzen muss. Außer es gibt nichts wie genug Ersatzzähler, um alle gemauerten zu ersetzen, so dass 7 Millionen Häuser ohne Strom bleiben, gerade als der britische Winter anfängt zu beißen
Dies ist der einfachste Hack. Sie programmieren jeden Meter, um den gleichen Prozess zu durchlaufen, zur gleichen Zeit ein paar Jahre in der Zukunft. Da es nur drei oder vier Smart-Meter-Anbieter gibt, sollte man nur ein Viertel der Haushalte kontrollieren, was mehr als genug ist. Es ist ein Schläfer-Hack, der entweder bis zu seiner festgesetzten Zeit wartet und das Land lähmt, oder es könnte ein krimineller Hack sein, bei dem die Regierung kurz vor dem Datum darauf aufmerksam gemacht und für eine Lösung erpresst wird.
Es sollten Tests durchgeführt werden, um sicherzustellen, dass dem Code nichts Böswilliges oder auch nur Fehlerhaftes hinzugefügt wurde. Ich habe noch keine Beweise dafür gehört, dass dies getan wird. Der einfachste Test für den oben beschriebenen Hack besteht darin, die Echtzeituhr auf ein Datum in der Zukunft einzustellen und die Zähler mit dieser falschen Zeit laufen zu lassen. Wenn Sie fünfzig Testmeter haben, von denen jedes mit dem aktuellen Datum einen Monat auseinander liegt und ständig läuft, würden Sie auf diese Art von Hack aufmerksam gemacht. Ich glaube nicht, dass diese Art von Tests stattfindet. Es geht auch davon aus, dass der Hacker nicht schlau ist. Wenn sie sich entscheiden, Katz und Maus zu spielen, werden sie an die Tests denken, die Sie ausführen könnten, um beschädigten Code zu entdecken, versuchen, diese Tests zu erkennen und den Hack auszuschalten, während Ihr Test läuft. In diesem Fall müssten sie nur nach dem RTC suchen, der zurückgesetzt wird. Wenn Sie denken, dass das Science-Fiction ist, ist es genau das, was Volkswagen mit seinen Emissionstests gemacht hat – sie haben den Unterschied zwischen einem Testlauf und einer normalen Fahrt identifiziert und die Einstellungen für den Konformitätstest geändert. Innerhalb der Branche ist diese Art von Tweak alles andere als unbekannt.
Intelligente Zähler verfügen über eine externe drahtlose Verbindung, sodass die Möglichkeit für einen Firmware-Hack besteht, der extern aktiviert werden kann, sodass der Hacker die Zähler nach Wunsch ein- oder ausschalten kann. Das ist viel komplexer, nicht zuletzt, weil sich das externe Kommunikationselement im Kommunikationshub befindet, der dann über ZigBee mit dem Messgerät kommuniziert. Dazu müsste die Firmware in beiden Geräten gehackt werden, damit eine Trennungsnachricht übertragen werden kann und eine externe Kommunikation mit dem GPRS-Modem möglich ist. Wenn das Modemmodul selbst gehackt würde, wäre es wahrscheinlich nicht nachweisbar, da wahrscheinlich niemand den Modemcode überprüft.
Was der Bloomberg-Bericht hervorgehoben hat, ist die Tatsache, dass dies getan werden kann. Was ich oben beschrieben habe, benötigt keine komplexen Hardwareänderungen, sondern nur einen Rogue-Programmierer. Uns wird ständig gesagt, dass unsere intelligenten Zähler sicher sind, aber selbst die diesbezüglichen GCHQ-Verlautbarungen sprechen nur über das Risiko externer Hackerangriffe, nicht über interne Hackerangriffe während des Konstruktions- und Herstellungsprozesses. Wir müssen jetzt Sicherheitsmodelle in Betracht ziehen, die Angriffsvektoren nicht mehr auf externe Hacker beschränken, sondern ernsthaft die Folgen internen Hackens untersuchen und wie wir uns davor schützen können.
In vielerlei Hinsicht ist dies ein Artikel, den ich lieber nicht geschrieben hätte, aber ich möchte auch nicht die Person sein, die „Ich habe es dir gesagt“ sagt, wenn die Lichter ausgehen. Ich habe keinen Zweifel, dass das, was ich oben beschrieben habe, getan werden könnte. Es kann bereits geschehen sein. Es ist höchst unwahrscheinlich, aber dies ist ein potenzielles Infrastrukturrisiko, das einen No-Deal-Brexit wie einen neuen Garten Eden aussehen lässt; Zerstöre das Netz und du bist zurück zu einer Wirtschaft der Dritten Welt, die wahrscheinlich nur eine Bevölkerung von fünf Millionen unterstützen kann. Es löst das Einwanderungsproblem – wir werden alle Flüchtlinge sein, die versuchen, nach Europa zu gelangen.
Es gibt eine einfache Lösung – entfernen Sie die Trennungsoption von intelligenten Zählern. Es ist nur da, weil Energieversorger wollen, dass ihr Leben einfach ist. Das ist das Problem mit dem gesamten GB Smart Metering-Programm – es wurde so weit herabgesetzt, dass es nur den Lieferanten zugute kommt und die weiteren Vorteile weggeworfen hat, aber nicht das Risiko und die Kosten für die Verbraucher. Der Bloomberg-Bericht ist ein weiterer Weckruf, der uns sagt, dass es an der Zeit ist, die derzeitige Bereitstellung zu stoppen und Smart Metering ordnungsgemäß durchzuführen.