La semana pasada fue un hito para la comunidad de seguridad integrada y, por implicación, para todos los demás. Bloomberg anunció que se habían encontrado chips falsos en las placas base de los servidores vendidos por Super Micro Computer a empresas como Amazon y Apple. Quienquiera que los hubiera añadido durante el proceso de fabricación habría adquirido la capacidad de controlar y acceder a los datos de los servidores cuando esas empresas los instalaron. Por primera vez, parecía haber pruebas de que la cadena de suministro podría verse interrumpida. Eso significaba que la piratería ocurría durante el proceso de fabricación, incluso antes de que los productos salieran de la línea de producción.
Hasta ahora, el hacking se ha visto predominantemente como introducir código malicioso en un dispositivo que está «limpio», explotando fallas de seguridad en su código. Eso es lo que ha pasado con todos los virus de PC; ataques como el ransomware WannaCry, y ataques patrocinados por el estado como Stuxnet y el intento descubierto recientemente por hackers rusos de infiltrarse en la Organización para la Prevención de Armas Químicas en La Haya. Aunque el concepto de hackear un producto antes de su envío se ha discutido durante años, el informe Bloomberg señala que hemos pasado del debate académico a la realidad.
Todavía se debate si el informe es correcto. Apple y Amazon niegan gran parte de los detalles, pero su publicación ha hecho que la gente mire más de cerca la línea de suministro y llegue a la conclusión de que, sea cierto o no, la forma en que diseñamos, subcontratamos y fabricamos productos electrónicos complejos hoy en día significa que es posible. Si es cierto, este ataque fue probablemente comercial, donde una empresa o un estado querían descubrir lo que estaban haciendo las principales empresas globales. Lo que es más preocupante es la perspectiva de un futuro en el que agentes estatales malintencionados ataquen la infraestructura con el objetivo de paralizar a un país. Lo que me lleva a los contadores inteligentes.
Siempre me ha preocupado la vulnerabilidad de los medidores inteligentes británicos a la piratería en la etapa de fabricación. La razón de esta preocupación es que estos medidores contienen un interruptor de apagado que permite que el proveedor de energía desconecte la energía. Esta es una conveniencia para ellos, ya que ya no necesitan enviar a alguien para obtener acceso a un edificio. Sin embargo, si alguna vez fuera hackeado, los hackers podrían apagar millones de metros al mismo tiempo. Eso podría ser usado para destruir la red eléctrica.
Saleh Soltan, investigador del Departamento de Ingeniería Eléctrica de Princeton, ha escrito una serie de buenos documentos que demuestran cómo la mayoría de la red eléctrica podría ser derribada por pirateo que resulta en solo un cambio del 1% en la demanda de electricidad. Debido a que actualmente es muy caro almacenar electricidad, la generación se ajusta cuidadosamente a la demanda esperada. Si esa demanda varía rápidamente, la red intentará apagarse para evitar daños, pero si el cambio es rápido e inesperado, las oleadas resultantes a medida que los elementos individuales se encienden y apagan pueden causar daños, que pueden causar apagones generalizados en cascada. Restaurar la energía puede ser aún más perjudicial, ya que la red no sabe qué está conectado y encendido, por lo que no puede anticipar cuál será la demanda. Una vez más, existe la posibilidad de que se produzcan daños en partes críticas de la red si la demanda puede aumentar repentinamente. Una vez que superas un cierto nivel de daño, la tarea de reparar la red y restaurar el suministro confiable y universal puede tomar años
Siempre me ha preocupado este riesgo; que un programador que trabaja para un fabricante de medidores pueda escribir código que causaría que decenas de millones de medidores se apaguen un cierto tiempo. Si una cuarta parte de los contadores inteligentes domésticos se apagan juntos, podría estar viendo un cambio instantáneo de la demanda de hasta el 15%, un orden de magnitud mayor que el 1% que Saleh cree que matará la red. Es algo para lo que no se ha diseñado ninguna red eléctrica. Hay una razón por la que los planificadores militares apuntan a las centrales eléctricas: eliminar la electricidad lisia a una nación durante años, como hemos visto en Irak. Eso hace de la red un objetivo muy interesante para cualquier actor estatal malicioso.
Hasta ahora no he logrado que nadie involucrado en el programa del Reino Unido comprenda este riesgo. Los proveedores de energía el concepto de hacking se limita a las personas omitir o engañando medidores individuales para tratar de minimizar sus facturas. Históricamente, su enfoque para hackear ha sido mover metros fuera. Eso no fue solo para facilitar la lectura del medidor, sino también porque es un desincentivo para evitar el medidor; lo que puede hacer en privado en su armario debajo de las escaleras es menos atractivo cuando está a la vista de todos en la calle. Cuando he planteado la posibilidad de que un programador deshonesto agregue deliberadamente código malicioso a un medidor inteligente durante su desarrollo, la única respuesta ha sido «¿Por qué alguien haría eso?» Desafiando eso con «¿Por qué alguien conduciría un camión a un grupo de peatones?», o » ¿Por qué alguien volaría un avión a un centro comercial?»no parece computar. Aquellos involucrados con el programa de medición inteligente tienen dificultades para expandir su visión del mundo de un solo estudiante o cabeza de familia que intenta defraudarlos de unas pocas libras a una organización o causa que intenta destruir una economía.
Lo que más preocupa es que es potencialmente muy fácil. Así que aquí hay un tutorial rápido sobre cómo hackear un medidor inteligente y matar la red.
Primero, consiga un trabajo con un fabricante de medidores inteligentes. Eso no debería ser difícil, ya que están bastante desesperados. Todo lo que necesitas para eso es tener un conocimiento básico de ZigBee. Solo me clasifico como programador aficionado, pero dos compañías de contadores inteligentes me han ofrecido trabajos como arquitecto de sistemas. (Me he negado.) Luego piense en lo que desea agregar al código de medidor inteligente.
Comencemos de forma simple y solo agreguemos unas pocas líneas de código que desconecten la energía a la casa en una fecha predeterminada. Los medidores inteligentes tienen relojes en tiempo real, que deben sincronizarse regularmente, por lo que no es difícil que millones de ellos se apaguen dentro del mismo ciclo de red. Debe asegurarse de que una vez que haya desconectado el suministro doméstico, las compañías de energía no puedan volver a encenderlo, restablecer el medidor o cargar un nuevo firmware, así que agregue algunas líneas más para apagar las comunicaciones, o simplemente sobrescriba las claves de autenticación. Asegúrate de ocultar el código para que nadie lo vea y listo. Debido a que la especificación de medición de GB es tan compleja, hay muchos lugares para ocultar sus pocas líneas de código. DECC y BEIS han proporcionado un pajar muy grande para que pueda ocultar su aguja. Desea asegurarse de que su código no se sobrescriba con ninguna actualización de firmware posterior, por lo que probablemente valga la pena introducirlo en algo que probablemente permanezca estático, como la biblioteca de clústeres o, si puede acceder a ella, el gestor de arranque. Si tienes la oportunidad, ponlo en ROM. Trabajo hecho.
Para obtener la mejor posibilidad de causar daño, puedes hacer algo mejor que simplemente desconectar el suministro encendiéndolo de nuevo unas horas más tarde y repitiendo esa secuencia varias veces. Eso realmente confundirá a cualquiera que intente reiniciar la red y probablemente causará más daño. El Gobierno publica datos útiles sobre la demanda interna y la demanda del sector para ayudarlo a determinar cuándo hacerlo.
Si nos fijamos en la demanda del sector, el consumo doméstico de electricidad representa aproximadamente el 30% del consumo total en promedio. Para el primer apagón, desea encontrar un momento en el que la demanda interna esté en su mayor proporción de la generación total para infligir el cambio porcentual máximo. Los fines de semana, el uso industrial y comercial será mucho menor, por lo que un buen punto de partida sería un domingo.
Pasando a los datos de uso doméstico diario, la demanda máxima está entre las 6 y las 8 de la noche, por lo que si se fija en las 7 de un domingo de enero, probablemente encontrará que la demanda doméstica representa alrededor del 60% del total. Si una cuarta parte de los contadores inteligentes domésticos se apagan en ese punto, se obtiene el máximo rendimiento por dólar con una caída instantánea de la demanda de alrededor del 15%. Nadie en la historia del diseño de cuadrículas ha planeado eso.
Eche otro vistazo a los datos para determinar su próximo paso, que es volver a activar todos los medidores inteligentes a la mañana siguiente. Los usuarios industriales y comerciales habrán intentado volver a la línea, posiblemente un poco más tarde de lo normal debido a los continuos cortes de energía y la dificultad que todos habrán tenido para entrar en el trabajo, por lo que retrasarán la reconexión hasta las 11.30 de la mañana. Si la red se ha recuperado, esto debería generar un 8% adicional muy indeseado a la demanda. Programe algunas transiciones de ENCENDIDO / APAGADO más en los próximos días y luego desconecte el suministro y dañe el cargador de arranque en el medidor inteligente. Eso hace que sea difícil para cualquier persona actualizar manualmente el firmware del medidor, por lo que tendrá que reemplazarlo. Excepto que no hay nada como suficientes medidores de repuesto para reemplazar todos los de ladrillo, por lo que 7 millones de hogares permanecen sin electricidad justo cuando el invierno británico comienza a morder
Este es el truco más simple. Se programa cada metro que pasan por el mismo proceso, al mismo tiempo, un par de años en el futuro. Como solo hay tres o cuatro proveedores de medidores inteligentes, solo entrar y subvertir uno debería darle el control de una cuarta parte de las casas, lo cual es más que suficiente. Es un hack durmiente que esperará hasta la hora señalada y paralizará al país, o podría ser un hack criminal, donde el Gobierno es alertado justo antes de la fecha y chantajeado para una solución.
Debe haber pruebas para tratar de asegurarse de que no se haya agregado nada malicioso, o incluso solo erróneo al código. Aún no he oído pruebas de que eso se esté haciendo. La prueba más sencilla para el hack descrito anteriormente es establecer el reloj en tiempo real en una fecha en el futuro y dejar los medidores funcionando con esa hora falsa. Si tienes cincuenta medidores de prueba, cada uno con la fecha actual establecida con un mes de diferencia y en funcionamiento constante, eso te alertaría sobre este tipo de hackeo. No creo que ese tipo de pruebas esté sucediendo. También asume que el hacker no es inteligente. Si deciden jugar al gato y el ratón, pensarán en las pruebas que podrías ejecutar para descubrir código dañado, intentarán detectar esas pruebas y apagarán el hack mientras se ejecuta tu prueba. En este caso, todo lo que tendrían que hacer es buscar el restablecimiento del RTC. Si crees que eso es ciencia ficción, es exactamente lo que hizo Volkswagen con sus pruebas de emisiones: identificaron la diferencia entre una prueba de funcionamiento y una conducción normal y cambiaron los ajustes para la prueba de conformidad. Dentro de la industria, ese tipo de ajustes está lejos de ser desconocido.
Los medidores inteligentes tienen una conexión inalámbrica externa, por lo que se abre la oportunidad de un hackeo de firmware que podría activarse externamente, lo que permite al hacker encender o apagar los medidores según lo desee. Eso es mucho más complejo, sobre todo porque el elemento de comunicaciones externas está en el centro de comunicaciones, que luego utiliza ZigBee para comunicarse con el medidor. Esto necesitaría que el firmware se pirateara en ambos dispositivos para permitir que se transfiriera un mensaje de desconexión, así como para permitir la comunicación externa con el módem GPRS. Si el módulo del módem en sí fuera hackeado, probablemente sería indetectable, ya que es probable que nadie esté investigando el código del módem.
Lo que el informe Bloomberg ha destacado es el hecho de que esto se puede hacer. Lo que he descrito anteriormente no necesita ningún cambio de hardware complejo, sino solo un programador deshonesto. Se nos dice constantemente que nuestros medidores inteligentes son seguros, pero incluso los pronunciamientos de GCHQ a ese efecto solo hablan del riesgo de piratería externa, no de piratería interna durante el proceso de diseño y fabricación. Ahora necesitamos considerar modelos de seguridad que ya no limiten los vectores de ataque a hackers externos, sino que analicen seriamente las consecuencias de la piratería interna y cómo protegerse contra eso.
En muchos sentidos, este es un artículo que hubiera preferido no escribir, pero tampoco quiero ser la persona diciendo «te lo dije» cuando se apagan las luces. No tengo ninguna duda de que lo que he descrito anteriormente podría hacerse. Puede que ya se haya hecho. Es muy poco probable, pero este es un riesgo potencial de infraestructura que hace que un Brexit sin acuerdo parezca un nuevo Jardín del Edén; destruya la red y regrese a una economía del tercer mundo que probablemente solo pueda mantener a una población de cinco millones. Resuelve el problema de la inmigración: todos seremos refugiados tratando de entrar en Europa.
Hay una solución sencilla: retire la opción de desconexión de los contadores inteligentes. Solo está ahí porque los proveedores de energía quieren que sus vidas sean fáciles. Ese es el problema con todo el programa de medición inteligente de GB: se ha degradado hasta el punto de que solo beneficia a los proveedores y ha desechado los beneficios más amplios, pero no los riesgos y los costos para los consumidores. El informe Bloomberg es otra llamada de atención que nos dice que es hora de detener el despliegue actual y hacer la medición inteligente correctamente.