ostatni tydzień był przełomem dla społeczności związanej z wbudowanym bezpieczeństwem, a przez to wszystkich innych. Bloomberg ogłosił, że nieuczciwe chipy zostały znalezione na płytach głównych serwerów sprzedawanych przez Super Micro Computer firmom takim jak Amazon i Apple. Ktokolwiek dodał je podczas procesu produkcyjnego, uzyskałby możliwość kontroli i dostępu do danych z serwerów, gdy te firmy je zainstalowały. Po raz pierwszy okazało się, że istnieją dowody na to, że łańcuch dostaw może zostać zakłócony. Oznaczało to, że hakowanie miało miejsce podczas procesu produkcyjnego, zanim produkty opuściły linię produkcyjną.
do tej pory hakowanie było głównie postrzegane jako pobieranie złośliwego kodu do urządzenia, które jest „czyste”, poprzez wykorzystanie luk bezpieczeństwa w jego kodzie. Tak się dzieje z każdym wirusem PC; ataki takie jak ransomware WannaCry, ataki sponsorowane przez państwo, takie jak Stuxnet i niedawno odkryta przez rosyjskich hakerów próba infiltracji organizacji zapobiegania Broni Chemicznej w Hadze. Chociaż koncepcja hakowania produktu przed jego wysłaniem była omawiana od lat, raport Bloomberga sygnalizuje, że przeszliśmy od debaty akademickiej do rzeczywistości.
nadal toczy się debata, czy sprawozdanie jest poprawne. Apple i Amazon zaprzeczają wielu szczegółom, ale jego publikacja rozpoczęła ludzi przyglądających się bliżej linii dostaw i wnioskujących, że czy to prawda, czy nie, sposób, w jaki projektujemy, podwykonawstwa i produkcji złożonych produktów elektronicznych dzisiaj oznacza, że jest to możliwe. Jeśli to prawda, ten atak był prawdopodobnie komercyjny, gdzie firma lub państwo chciało odkryć, co robią wiodące światowe firmy. Bardziej niepokojąca jest perspektywa przyszłości, w której złośliwe podmioty państwowe celują w infrastrukturę w celu sparaliżowania kraju. Co sprowadza mnie do inteligentnych liczników.
zawsze obawiałem się podatności brytyjskich inteligentnych liczników na hakowanie na etapie produkcji. Powodem tego niepokoju jest to, że liczniki te zawierają wyłącznik, który umożliwia odłączenie zasilania przez dostawcę energii. Jest to dla nich wygoda, ponieważ nie muszą już wysyłać kogoś, aby uzyskać dostęp do budynku. Jeśli jednak kiedykolwiek zostanie zhakowany, hakerzy mogą wyłączyć miliony metrów w tym samym czasie. To może być użyte do zniszczenia sieci elektrycznej.
Saleh Soltan, badacz z Wydziału Elektrotechniki w Princeton, napisał wiele dobrych artykułów demonstrujących, w jaki sposób większość sieci może zostać zniszczona przez hakowanie, które skutkuje zaledwie 1% zmianą zapotrzebowania na energię elektryczną. Ponieważ obecnie magazynowanie energii elektrycznej jest bardzo drogie, wytwarzanie energii jest starannie dopasowane do oczekiwanego popytu. Jeśli zapotrzebowanie zmienia się szybko, sieć będzie próbowała się wyłączyć, aby zapobiec uszkodzeniom, ale jeśli zmiana będzie szybka i nieoczekiwana, wynikające z tego przepięcia, gdy poszczególne elementy włączają się i wyłączają, mogą spowodować uszkodzenia, które mogą kaskadowo powodować rozległe zaciemnienia. Przywracanie zasilania może być jeszcze bardziej szkodliwe, ponieważ sieć nie wie, co jest podłączone i włączone, więc nie może przewidzieć, jakie będzie zapotrzebowanie. Ponownie, istnieje możliwość uszkodzenia krytycznych części sieci, jeśli popyt może zostać nagle zwiększony. Po przekroczeniu pewnego poziomu uszkodzeń zadanie naprawy sieci i przywrócenia niezawodnego, uniwersalnego zasilania może zająć lata
zawsze martwiłem się tym ryzykiem; że programista pracujący dla producenta liczników może napisać kod, który spowodowałby wyłączenie dziesiątek milionów metrów w określonym czasie. Jeśli jedna czwarta krajowych inteligentnych liczników zostanie wyłączona razem, można spodziewać się natychmiastowej zmiany popytu do 15%, o rząd wielkości większy niż 1% Saleh uważa, że zniszczy sieć. To jest coś, do czego nie zaprojektowano żadnej sieci elektrycznej. Nie bez powodu planiści wojskowi celują w elektrownie-usuwanie elektryczności szkodzi narodowi od lat, jak widzieliśmy w Iraku. To sprawia, że siatka jest bardzo interesującym celem dla każdego złośliwego aktora stanu.
do tej pory nie udało mi się nikogo zaangażować w program w Wielkiej Brytanii, aby zrozumieć to ryzyko. Koncepcja hakowania dostawców energii ogranicza się do ludzi omijających lub oszukujących poszczególne liczniki, aby spróbować zminimalizować swoje rachunki. Historycznie ich podejście do hakowania polegało na przenoszeniu metrów Na Zewnątrz. Nie chodziło tylko o ułatwienie odczytu liczników, ale także dlatego, że jest to zniechęcające do ominięcia licznika; to, co możesz robić prywatnie w szafce pod schodami, jest mniej atrakcyjne, gdy masz pełny widok wszystkich na ulicy. Kiedy podniosłem możliwość, że nieuczciwy programista celowo dodaje złośliwy kod do inteligentnego licznika podczas jego rozwoju, jedyną odpowiedzią było „dlaczego ktoś miałby to zrobić”? Kwestionując to słowami ” Dlaczego ktoś miałby wjechać ciężarówką w grupę pieszych?”, lub ” Dlaczego ktoś miałby latać samolotem do centrum handlowego?”nie wydaję się obliczać. Osoby zaangażowane w program inteligentnych pomiarów mają trudności z poszerzeniem swojego światopoglądu od pojedynczego studenta lub gospodarza próbującego oszukać ich z kilku funtów na organizację lub spowodować próbę zniszczenia gospodarki.
najbardziej niepokojące jest to, że jest to potencjalnie bardzo łatwe. Więc oto szybki samouczek, Jak włamać inteligentny licznik i zabić sieć.
najpierw znajdź pracę u producenta inteligentnych liczników. To nie powinno być trudne, ponieważ są dość zdesperowani. Wszystko, czego naprawdę potrzebujesz, to podstawowa znajomość ZigBee. Klasyfikuję się tylko jako programista hobbysta, ale dwie firmy oferowały mi pracę jako architekt systemów. (Odmówiłem.) Następnie zastanów się, co chcesz dodać do kodu inteligentnego licznika.
zacznijmy od prostego i po prostu dodaj kilka linii kodu, które odłączają zasilanie od domu w określonym wcześniej terminie. Inteligentne liczniki mają zegary czasu rzeczywistego, które powinny być regularnie synchronizowane, więc nietrudno jest sprawić, aby miliony z nich wyłączyły się w tym samym cyklu sieciowym. Chcesz mieć pewność, że po odłączeniu zasilania domowego firmy energetyczne nie mogą go włączyć, zresetować licznika ani przesłać nowego oprogramowania układowego, więc dodaj kilka dodatkowych linii, aby wyłączyć komunikację lub po prostu nadpisać klucze uwierzytelniania. Upewnij się, że Ukryłeś kod, aby nikt go nie zauważył i gotowe. Ponieważ specyfikacja GB jest tak złożona, istnieje wiele miejsc, w których można ukryć kilka linii kodu. DECC i BEIS dostarczyli duży stóg siana, który pozwoli Ci ukryć igłę. Chcesz się upewnić, że Twój kod nie zostanie nadpisany przez kolejną aktualizację oprogramowania, więc prawdopodobnie warto umieścić go w czymś, co prawdopodobnie pozostanie statyczne, jak biblioteka klastra lub, jeśli możesz się do niego dostać, bootloader. Jeśli będziesz miał okazję, wrzuć to do ROMu. Zrobione.
aby uzyskać najlepszą szansę na uszkodzenie, możesz zrobić coś lepszego niż tylko odłączenie zasilania, włączając go ponownie kilka godzin później i powtarzając tę sekwencję kilka razy. To naprawdę zmyli każdego, kto próbuje ponownie uruchomić sieć i prawdopodobnie spowoduje więcej szkód. Rząd z pomocą publikuje dane o popycie krajowym i popycie sektorowym, aby pomóc ci ustalić, kiedy to zrobić.
jeśli spojrzymy na popyt sektorowy, krajowe zużycie energii elektrycznej stanowi średnio około 30% całkowitego zużycia. W przypadku pierwszego wyłączenia chcesz znaleźć czas, w którym popyt krajowy jest w największej części całkowitej generacji, aby wyrządzić maksymalną zmianę procentową. W weekendy wykorzystanie przemysłowe i komercyjne będzie znacznie niższe, więc dobrym punktem wyjścia będzie niedziela.
przechodząc do dziennych danych o zużyciu krajowym, szczytowy popyt wynosi między 6 A 8 wieczorem, więc jeśli celujesz w niedzielę o 7 w styczniu, prawdopodobnie okaże się, że popyt krajowy stanowi około 60% całości. Jeśli jedna czwarta krajowych inteligentnych liczników wyłączy się w tym momencie, otrzymasz maksymalną cenę z natychmiastowym spadkiem popytu o około 15%. Nikt w historii projektowania sieci nigdy tego nie planował.
przyjrzyj się innym danym, aby określić kolejny krok, którym jest przywrócenie wszystkich inteligentnych liczników następnego ranka. Użytkownicy PRZEMYSŁOWI I komercyjni będą próbowali wrócić do linii, prawdopodobnie nieco później niż normalnie z powodu trwających przerw w dostawie prądu i trudności, które każdy będzie miał w pracy, więc opóźnij ponowne połączenie do 11.30. Jeśli sieć została przywrócona, powinno to wygenerować bardzo niepożądane dodatkowe 8% popytu. Zaprogramuj jeszcze kilka przejść włączania/wyłączania w ciągu najbliższych kilku dni, a następnie odłącz zasilanie i uszkodź program ładujący w inteligentnym liczniku. Utrudnia to każdemu ręczną aktualizację oprogramowania sprzętowego miernika, więc będzie musiał go wymienić. Tyle, że nie ma to jak zapasowe liczniki, które zastąpiłyby wszystkie zamurowane, więc 7 milionów domów pozostaje bez prądu, tak jak Brytyjska zima zaczyna gryźć
to najprostszy hack. Programujesz każdy licznik, aby przejść przez ten sam proces, w tym samym czasie za kilka lat w przyszłości. Ponieważ istnieje tylko trzech lub czterech dostawców inteligentnych liczników, samo wejście i obalenie jednego powinno dać Ci kontrolę nad jedną czwartą domów, co jest więcej niż wystarczające. Jest to uśpiony hack, który albo poczeka do wyznaczonego czasu i sparaliżuje kraj, albo może to być haker kryminalny, w którym rząd jest powiadamiany o tym tuż przed datą i szantażowany za naprawę.
powinny być przeprowadzone testy, aby upewnić się, że do kodu nie dodano nic złośliwego, a nawet po prostu błędnego. Nie mam jeszcze dowodów na to, że tak się dzieje. Najprostszym testem opisanego powyżej włamania jest ustawienie zegara czasu rzeczywistego na datę w przyszłości i pozostawienie liczników uruchomionych z tym fałszywym czasem. Jeśli masz pięćdziesiąt metrów testowych, każdy z bieżącą datą ustawioną w odstępie miesiąca i stale działającą, ostrzegłoby cię to przed tego rodzaju włamaniem. Nie wydaje mi się, żeby takie testy miały miejsce. Zakłada też, że haker nie jest sprytny. Jeśli zdecydują się grać w kotka i myszkę, pomyślą o testach, które możesz uruchomić, aby odkryć uszkodzony kod, spróbują wykryć te testy i wyłączyć hack, gdy test jest uruchomiony. W tym przypadku wystarczy tylko poszukać resetu RTC. Jeśli uważasz, że to science fiction, to dokładnie to samo zrobił Volkswagen z testami emisji – zidentyfikowali różnicę między biegiem testowym a normalną jazdą i zmienili ustawienia testu zgodności. W branży tego rodzaju poprawki nie są nieznane.
inteligentne liczniki mają zewnętrzne połączenie bezprzewodowe, co otwiera możliwość włamania się do oprogramowania układowego, które można aktywować zewnętrznie, umożliwiając hakerowi Włączanie lub wyłączanie liczników zgodnie z potrzebami. Jest to o wiele bardziej złożone, nie tylko dlatego, że zewnętrzny element komunikacyjny znajduje się w koncentratorze komunikacyjnym, który następnie używa ZigBee do komunikacji z miernikiem. Wymagałoby to zhakowania oprogramowania sprzętowego w obu urządzeniach, aby umożliwić przesyłanie wiadomości o rozłączeniu, a także umożliwienia zewnętrznej komunikacji z modemem GPRS. Jeśli sam moduł modemu zostałby zhakowany, prawdopodobnie byłby niewykrywalny, ponieważ nikt prawdopodobnie nie weryfikuje kodu modemu.
w raporcie Bloomberga podkreślono fakt, że można to zrobić. To, co opisałem powyżej, nie wymaga żadnych skomplikowanych zmian sprzętowych, a tylko jednego nieuczciwego programisty. Ciągle mówi się nam, że nasze inteligentne liczniki są bezpieczne, ale nawet Oświadczenia GCHQ w tym celu mówią tylko o ryzyku hakowania zewnętrznego, a nie wewnętrznego podczas procesu projektowania i produkcji. Teraz musimy rozważyć modele bezpieczeństwa, które nie ograniczają już wektorów ataków do zewnętrznych hakerów, ale poważnie przyglądają się konsekwencjom wewnętrznego hakowania i sposobom ochrony przed tym.
pod wieloma względami jest to artykuł, którego wolałbym nie pisać, ale nie chcę też być osobą mówiącą „a nie mówiłem”, gdy gasną światła. Nie mam wątpliwości, że to, co opisałem powyżej, można zrobić. Możliwe, że już to zrobiono. Jest to wysoce nieprawdopodobne, ale jest to potencjalne ryzyko infrastrukturalne, które sprawia, że Brexit bez umowy wygląda jak nowy Ogród Eden; rozwal Sieć i wracasz do gospodarki trzeciego świata, która prawdopodobnie może utrzymać populację tylko pięciu milionów. Rozwiązuje problem imigracji – wszyscy będziemy uchodźcami próbującymi dostać się do Europy.
istnieje proste rozwiązanie-Usuń opcję rozłączenia z inteligentnych liczników. Jest tam tylko dlatego, że dostawcy energii chcą, aby ich życie było łatwe. To jest problem z całym programem inteligentnych pomiarów GB – został on poniżony do tego stopnia, że przynosi korzyści tylko dostawcom i odrzuca szersze korzyści, ale nie ryzyko i koszty dla konsumentów. Raport Bloomberga to kolejna pobudka, która mówi nam, że nadszedł czas, aby zatrzymać obecne wdrożenie i prawidłowo przeprowadzić inteligentne pomiary.