vorige week was een keerpunt voor de embedded security community, en bij implicatie alle anderen. Bloomberg kondigde aan dat rogue chips waren gevonden op de moederborden van servers verkocht door Super Micro Computer aan bedrijven als Amazon en Apple. Wie deze tijdens het productieproces had toegevoegd, zou de mogelijkheid hebben verkregen om gegevens van de servers te controleren en toegang te krijgen toen die bedrijven ze installeerden. Voor het eerst bleek dat er aanwijzingen waren dat de toeleveringsketen verstoord zou kunnen worden. Dat betekende dat hacking plaatsvond tijdens het productieproces, voordat de producten zelfs de productielijn hadden verlaten.
tot nu toe werd hacking voornamelijk gezien als het krijgen van kwaadaardige code in een apparaat dat “schoon” is, door gebruik te maken van beveiligingsfouten in de code. Dat is wat er gebeurd is met elk PC virus; aanvallen zoals de WannaCry ransomware, en door de staat gesponsorde aanvallen zoals Stuxnet en de recent ontdekte poging van Russische hackers om de organisatie voor de preventie van chemische wapens in Den Haag te infiltreren. Hoewel het concept van het hacken van een product voordat het is verzonden is besproken voor jaren, de Bloomberg rapport signalen dat we hebben verplaatst van academische debat naar de realiteit.
er is nog steeds discussie over de vraag of het verslag juist is. Apple en Amazon ontkennen veel van de details, maar de publicatie ervan is begonnen met mensen die meer kijken naar de toevoerlijn en concluderen dat of het waar is, de manier waarop we ontwerpen, uitbesteden en produceren van complexe elektronische producten vandaag betekent dat het mogelijk is. Als het waar is, was deze aanval waarschijnlijk commercieel, waarbij een bedrijf of een staat wilde ontdekken wat toonaangevende wereldwijde bedrijven aan het doen waren. Wat nog zorgwekkender is, is het vooruitzicht op een toekomst waarin kwaadwillige overheidsactoren zich richten op infrastructuur met als doel een land te verlammen. Dat brengt me bij slimme meters.
ik heb me altijd zorgen gemaakt over de kwetsbaarheid van de Britse slimme meters voor hacking in de productiefase. De reden voor die bezorgdheid is dat deze meters een uitschakelaar bevatten die het mogelijk maakt om de stroom door de energieleverancier af te sluiten. Dit is een gemak voor hen, omdat ze niet langer iemand hoeven te sturen om toegang te krijgen tot een gebouw. Echter, als het ooit werd gehackt, de hackers kunnen uitschakelen miljoenen meters op hetzelfde moment. Dat kan gebruikt worden om het elektriciteitsnet te vernietigen.
Saleh Soltan, een onderzoeker aan het Princeton ‘ s Department of Electrical Engineering, heeft een aantal goede papers geschreven die aantonen hoe het grootste deel van het net kan worden teruggedrongen door hacking, wat resulteert in slechts 1% verandering in de vraag naar elektriciteit. Omdat het momenteel erg duur is om elektriciteit op te slaan, wordt de opwekking zorgvuldig afgestemd op de verwachte vraag. Als die vraag Snel varieert, zal het net proberen uit te schakelen om schade te voorkomen, maar als de verandering snel en onverwacht is, kunnen de resulterende pieken als individuele elementen in-en uitschakelen schade veroorzaken, die kan cascade veroorzaken wijdverspreide black-outs. Het herstellen van stroom kan nog schadelijker zijn omdat het net niet weet wat er is aangesloten en ingeschakeld, dus kan niet anticiperen op wat de vraag zal zijn. Nogmaals, er is de mogelijkheid van schade aan kritieke delen van het net als de vraag plotseling kan worden verhoogd. Als je eenmaal voorbij een bepaald niveau van schade, de taak van het herstellen van het net en het herstellen van betrouwbare, universele levering kan jaren duren
ik ben altijd bezorgd geweest over dit risico; dat een programmeur die werkt voor een meter fabrikant zou kunnen schrijven code die tientallen miljoenen meters zou veroorzaken om uit te schakelen een bepaalde tijd. Als een kwart van de binnenlandse slimme meters samen uitschakelde, zou je kunnen kijken naar een onmiddellijke vraag verandering van maximaal 15%, een orde van grootte groter dan de 1% Saleh denkt zal het net te doden. Daar is geen enkel elektriciteitsnet voor ontworpen. Er is een reden dat militaire planners zich richten op elektriciteitscentrales – het verwijderen van elektriciteit verlamt een natie voor jaren, zoals we hebben gezien in Irak. Dat maakt het raster een zeer interessant doelwit voor elke kwaadaardige staat actor.
tot nu toe ben ik er niet in geslaagd om iedereen die betrokken is bij het Britse programma dit risico te laten begrijpen. Het concept van hacking door energieleveranciers is beperkt tot mensen die individuele meters omzeilen of voor de gek houden om te proberen hun rekeningen te minimaliseren. Historisch gezien is hun aanpak van hacken om meters naar buiten te verplaatsen. Dat was niet alleen om het lezen van de meter gemakkelijker te maken, het is ook omdat het een belemmering is om de meter te omzeilen; wat je privé zou kunnen doen in je onder-trap kast is minder aantrekkelijk als je in het volle zicht van iedereen op straat. Als ik de mogelijkheid van een malafide programmeur opzettelijk schadelijke code aan een slimme meter tijdens de ontwikkeling heb verhoogd, is de enige reactie “waarom zou iemand dat doen”? Dat uitdagen met ” Waarom zou iemand een vrachtwagen in een groep voetgangers rijden?”, of ” waarom zou iemand een vliegtuig in een handelscentrum vliegen?”lijkt niet te berekenen. Degenen die betrokken zijn bij het smart metering programma hebben moeite om hun wereldbeeld uit te breiden van een enkele student of huishouder die probeert om hen te bedriegen van een paar pond naar een organisatie of oorzaak die probeert om een economie te vernietigen.
wat het meest zorgwekkend is, is dat het potentieel zeer eenvoudig is. Hier is een korte handleiding over hoe je een slimme meter hackt en het net uitschakelt.
zoek eerst een baan bij een fabrikant van slimme meters. Dat moet niet moeilijk zijn, want ze zijn behoorlijk wanhopig. Het enige wat je daarvoor nodig hebt is een basiskennis van ZigBee. Ik klasseer mezelf alleen als hobbyist programmeur, maar ik heb banen aangeboden gekregen van twee slimme meterbedrijven als systeemarchitect. (Ik heb geweigerd.) Denk dan na over wat u wilt toevoegen aan de smart meter code.
laten we eenvoudig beginnen en gewoon een paar regels code toevoegen die de stroom aan de home loskoppelen op een vooraf bepaalde datum. Slimme meters hebben realtime klokken, die regelmatig moeten worden gesynchroniseerd, dus het is niet moeilijk om miljoenen van hen uit te schakelen binnen dezelfde netcyclus. U wilt er zeker van zijn dat de energiebedrijven, zodra u de huishoudtoevoer hebt afgesloten, deze niet meer kunnen inschakelen, de meter opnieuw kunnen resetten of nieuwe firmware kunnen uploaden, dus voeg nog een paar regels toe om de communicatie uit te schakelen, of overschrijf gewoon de authenticatiesleutels. Zorg ervoor dat je de code verbergt, zodat niemand het ziet en je bent klaar. Omdat de GB metering spec is zo complex, zijn er tal van plaatsen om uw paar regels code te verbergen. DECC en BEIS hebben een zeer grote hooiberg voorzien om u uw naald te laten verbergen. U wilt ervoor zorgen dat uw code niet wordt overschreven door een volgende firmware-upgrade, dus het is waarschijnlijk de moeite waard om het te stoppen in iets dat waarschijnlijk statisch blijft, zoals de clusterbibliotheek, of, als je het kunt krijgen, de bootloader. Als je de kans krijgt, Doe het dan in ROM. Klus geklaard.
om de beste kans op schade te krijgen, kunt u beter doen dan de voeding loskoppelen door deze een paar uur later weer aan te zetten en die reeks een paar keer te herhalen. Dat zal iedereen echt verwarren die probeert het net opnieuw op te starten en waarschijnlijk meer schade veroorzaken. De overheid publiceert hulpvaardig gegevens over de binnenlandse vraag en de sectorvraag om u te helpen uit te zoeken wanneer u dat moet doen.
als we naar de vraag in de sector kijken, is het elektriciteitsverbruik in de huishoudens gemiddeld goed voor ongeveer 30% van het totale verbruik. Voor de eerste turn-off, je wilt een moment vinden waarop de binnenlandse vraag is op zijn grootste deel van de totale generatie om de maximale procentuele verandering toe te brengen. In het weekend zal het industriële en commerciële gebruik veel lager zijn, dus een goed startpunt zou een zondag zijn.
over te gaan naar de dagelijkse binnenlandse gebruiksgegevens, piekvraag is tussen 6 en 8 uur in de avond, dus als je doel 7 uur op een zondag in Januari zult u waarschijnlijk vinden dat de binnenlandse vraag goed is voor ongeveer 60% van het totaal. Als een kwart van de binnenlandse slimme meters op dat punt uitschakelen, heb je maximale knal voor de buck met een onmiddellijke daling van de vraag van ongeveer 15%. Niemand in de geschiedenis van rasterontwerp heeft dat ooit gepland.
neem nog eens een kijkje op de gegevens om uw volgende stap te bepalen, dat is om alle slimme meters terug te draaien op de volgende ochtend. Industriële en commerciële gebruikers zullen geprobeerd hebben om weer online te komen, mogelijk iets later dan normaal vanwege de aanhoudende stroomuitval en de moeilijkheden die iedereen zal hebben gehad om aan het werk te komen, dus stel de heraansluiting uit tot 11.30 uur. Als het net weer omhoog is gebracht zou dit een zeer ongewenste extra 8% aan de vraag moeten genereren. Programmeer nog een paar AAN / UIT overgangen in de komende dagen en koppel dan de voeding los en corrupt de boot loader in de smart meter. Dat maakt het moeilijk voor iedereen om de meter firmware handmatig bij te werken, dus ze zullen moeten vervangen. Behalve dat er niets beter is dan genoeg Reserve meters om alle gemetselde te vervangen, dus 7 miljoen huizen blijven zonder stroom net als de Britse winter begint te bijten
Dit is de eenvoudigste hack. Je programmeert elke meter om hetzelfde proces te doorlopen, op hetzelfde moment een paar jaar in de toekomst. Omdat er slechts drie of vier leveranciers van slimme meters zijn, zou je alleen maar een kwart van de huizen moeten kunnen controleren, wat meer dan genoeg is. Het is een slaper hack die ofwel zal wachten tot de afgesproken tijd en verlamde het land, of het kan een criminele hack, waar de overheid wordt gewaarschuwd voor het net voor de datum en gechanteerd voor een fix.
er moeten tests worden uitgevoerd om ervoor te zorgen dat er niets kwaadaardigs of zelfs maar foutief aan de code is toegevoegd. Ik heb nog geen bewijs gehoord dat dat gebeurt. De eenvoudigste test voor de hack hierboven beschreven is om de real-time klok in te stellen op een datum in de toekomst en laat de meters lopen met die valse tijd. Als je vijftig test meters, elk met de huidige datum een maand apart en voortdurend loopt, dat zou u waarschuwen voor dit soort hack. Ik denk niet dat dat soort testen gebeurt. Het veronderstelt ook dat de hacker niet slim is. Als ze besluiten om Kat en muis te spelen, zullen ze denken aan de tests die u zou kunnen uitvoeren om corrupte code te ontdekken, proberen om die tests op te sporen en zet de hack terwijl uw test wordt uitgevoerd. In dit geval alles wat ze zouden moeten doen is zoeken naar de RTC wordt gereset. Als je denkt dat dat science fiction is, is het precies wat Volkswagen deed met hun emissietests – ze identificeerden het verschil tussen een test en een normale aandrijving en veranderden de instellingen voor de conformiteitstest. Binnen de industrie is dat soort tweak verre van Onbekend.
slimme Meters hebben een externe draadloze verbinding, zodat er een firmware-hack kan worden geactiveerd die extern kan worden geactiveerd, zodat de hacker de meters naar wens kan in-of uitschakelen. Dat is een stuk complexer, niet in het minst omdat het externe comms-element zich in de communicatiehub bevindt, die dan ZigBee gebruikt om met de meter te communiceren. Dit zou firmware moeten worden gehackt in beide apparaten om een disconnect bericht kan worden overgedragen, evenals het toestaan van externe communicatie met de gprs modem. Als de modem module zelf zou worden gehackt, zou het waarschijnlijk niet detecteerbaar zijn, omdat niemand waarschijnlijk de modem code zal doorlichten.
in het verslag-Bloomberg wordt erop gewezen dat dit mogelijk is. Wat ik hierboven heb beschreven hoeft geen complexe hardware veranderingen, maar slechts een rogue programmer. We krijgen voortdurend te horen dat onze slimme meters veilig zijn, maar zelfs de GCHQ uitspraken in die zin alleen praten over het risico van externe hacking, niet Interne hacking tijdens het ontwerp-en productieproces. We moeten nu beveiligingsmodellen overwegen die aanvalsvectoren niet langer beperken tot externe hackers, maar serieus kijken naar de gevolgen van interne hacking en hoe we daar tegen kunnen beschermen.
in veel opzichten is dit een artikel dat ik liever niet had geschreven, maar Ik wil ook niet de persoon zijn die zegt “Ik zei het toch” als het licht uitgaat. Ik twijfel er niet aan dat wat ik hierboven heb beschreven kan worden gedaan. Het kan al gebeurd zijn. Het is hoogst onwaarschijnlijk, maar dit is een potentieel infrastructuurrisico dat een no deal Brexit op een nieuwe tuin van Eden doet lijken; het net vernielt en je bent terug naar een derde-wereld economie die waarschijnlijk slechts een bevolking van vijf miljoen kan onderhouden. Het lost het immigratieprobleem op – we zullen allemaal vluchtelingen zijn die Europa proberen binnen te komen.
er is een eenvoudige oplossing-verwijder de optie Verbinding verbreken van slimme meters. Het is er alleen omdat energieleveranciers willen dat hun leven gemakkelijk is. Dat is het probleem met het hele gb smart metering programma – het is verlaagd tot het punt waar het alleen ten goede komt aan de leveranciers en heeft weggegooid de bredere voordelen, maar niet het risico en de kosten voor de consument. Het verslag-Bloomberg is weer een wake-up call die ons vertelt dat het tijd is om de huidige implementatie te stoppen en slimme meters goed te doen.