na semana Passada, foi um divisor de águas para a segurança incorporado comunidade, e, por implicação, todos os outros. A Bloomberg anunciou que chips desonestos foram encontrados nas placas-mãe de servidores vendidos pela Super Micro Computer para empresas como Amazon e Apple. Quem os tivesse adicionado durante o processo de fabricação teria adquirido a capacidade de controlar e acessar dados dos servidores quando essas empresas os instalaram. Pela primeira vez, parecia que havia evidências de que a cadeia de suprimentos poderia ser interrompida. Isso significava que o hacking estava acontecendo durante o processo de fabricação, antes mesmo de os produtos terem saído da linha de produção.Até agora, hacking tem sido predominantemente visto como Obter código malicioso em um dispositivo que é “limpo”, explorando falhas de segurança em seu código. Isso é o que aconteceu com todos os vírus PC; ataques como o WannaCry ransomware e ataques patrocinados pelo Estado, como o Stuxnet e a tentativa recentemente descoberta por hackers russos de se infiltrar na organização para a prevenção de Armas Químicas em Haia. Embora o conceito de hackear um produto antes de ser enviado tenha sido discutido há anos, O Relatório da Bloomberg sinaliza que passamos do debate acadêmico para a realidade.
ainda há debate sobre se o relatório está correto. A Apple e a Amazon negam muito do detalhe, mas sua publicação começou as pessoas olhando mais de perto para a linha de suprimentos e concluindo que, seja ou não verdade, a maneira como projetamos, subcontratamos e fabricamos produtos eletrônicos complexos hoje significa que é possível. Se é verdade, este ataque foi provavelmente comercial, onde uma empresa ou um estado queria descobrir o que as principais empresas globais estavam fazendo. O que é mais preocupante é a perspectiva de um futuro em que atores estatais mal-intencionados visem a infraestrutura com o objetivo de paralisar um país. O que me leva a medidores inteligentes.
sempre me preocupei com a vulnerabilidade dos medidores inteligentes britânicos ao hacking na fase de fabricação. A razão para essa preocupação é que esses medidores contêm um interruptor de desligamento que permite que a energia seja desconectada pelo fornecedor de energia. Esta é uma conveniência para eles, pois eles não precisam mais enviar alguém para ter acesso a um prédio. No entanto, se alguma vez fosse hackeado, os hackers poderiam desligar milhões de metros ao mesmo tempo. Isso poderia ser usado para destruir a rede elétrica.Saleh Soltan, pesquisador do Departamento de Engenharia Elétrica de Princeton, escreveu uma série de bons artigos demonstrando como a maioria da rede poderia ser derrubada por hackers que resultam em apenas 1% de mudança na demanda de eletricidade. Como atualmente é muito caro armazenar eletricidade, a geração é cuidadosamente combinada com a demanda esperada. Se essa demanda variar rapidamente, a grade tentará desligar para evitar danos, mas se a mudança for rápida e inesperada, os surtos resultantes à medida que os elementos individuais ligam e desligam podem causar danos, o que pode causar apagões generalizados em cascata. Restaurar a energia pode ser ainda mais prejudicial, pois a rede não sabe o que está conectado e ligado, portanto, não pode antecipar qual será a demanda. Novamente, há o potencial de danos a partes críticas da rede se a demanda puder ser aumentada repentinamente. Depois de passar por um certo nível de dano, a tarefa de reparar a grade e restaurar o fornecimento confiável e universal pode levar anos
eu sempre me preocupei com esse risco; que um programador que trabalha para um fabricante de medidores poderia escrever código que causaria dezenas de milhões de metros para desligar um certo tempo. Se um quarto dos medidores inteligentes domésticos desligassem juntos, você poderia estar olhando para uma mudança instantânea de demanda de até 15%, Uma ordem de magnitude maior do que o 1% que Saleh acha que matará a grade. Isso é algo para o qual nenhuma rede elétrica foi projetada. Há uma razão pela qual os planejadores militares visam usinas de energia – a remoção de eletricidade prejudica uma nação há anos, como vimos no Iraque. Isso torna a grade um alvo muito interessante para qualquer ator de Estado malicioso.
até agora, não consegui envolver ninguém no programa do Reino Unido para entender esse risco. O conceito de hacking dos fornecedores de energia é limitado a pessoas que ignoram ou enganam medidores individuais para tentar minimizar suas contas. Historicamente, sua abordagem ao hacking tem sido mover metros para fora. Isso não era apenas para facilitar a leitura do medidor, é também porque é um desincentivo ignorar o medidor; o que você pode fazer em particular em seu armário sob as escadas é menos atraente quando você está à vista de todos na rua. Quando levantei a possibilidade de um programador desonesto adicionar deliberadamente código malicioso a um medidor inteligente durante seu desenvolvimento, a única resposta foi “por que alguém faria isso”? Desafiando isso com ” Por que alguém dirigiria um caminhão para um grupo de pedestres?”, ou ” por que alguém pilotaria um avião em um centro comercial?”não parece calcular. Os envolvidos com o programa de medição inteligente têm dificuldade em expandir sua visão de mundo de um único aluno ou chefe de família tentando fraudá-los de alguns quilos para uma organização ou causar a tentativa de destruir uma economia.
o que é mais preocupante é que é potencialmente muito fácil. Então, aqui está um tutorial rápido sobre como hackear um medidor inteligente e matar a grade.
primeiro, consiga um emprego com um fabricante de medidores inteligentes. Isso não deve ser difícil, pois eles estão muito desesperados. Tudo que você realmente precisa para isso é ter um conhecimento básico do ZigBee. Eu só me classifico como um programador amador, mas me ofereceram empregos por duas empresas de medidores inteligentes como arquiteto de sistemas. (Eu recusei.) Em seguida, pense no que você deseja adicionar ao código do medidor inteligente.
vamos começar simples e apenas adicionar algumas linhas de código que desconectam a energia da casa em uma data predeterminada. Os medidores inteligentes têm relógios em tempo real, que devem ser sincronizados regularmente, por isso não é difícil fazer com que milhões deles sejam desligados dentro do mesmo ciclo de rede. Você quer ter certeza de que, depois de desconectar o fornecimento doméstico, as empresas de energia não podem ligá-lo novamente, redefinir o medidor ou fazer upload de um novo firmware, portanto, adicione mais algumas linhas para desligar as comunicações ou apenas sobrescrever as chaves de autenticação. Certifique-se de ocultar o código para que ninguém o veja e pronto. Como a especificação de medição GB é tão complexa, há muitos lugares para ocultar suas poucas linhas de código. DECC e BEIS forneceram um palheiro muito grande para deixá-lo esconder sua agulha. Você deseja garantir que seu código não seja substituído por nenhuma atualização de firmware subsequente, portanto, provavelmente vale a pena exibi-lo em algo que provavelmente permanecerá estático, como a biblioteca de cluster ou, se você puder acessá-lo, o bootloader. Se você tiver a chance, coloque-o em ROM. Trabalho feito.
para ter a melhor chance de causar danos, você pode fazer melhor do que apenas desconectar o suprimento, ligando-o novamente algumas horas depois e repetindo essa sequência algumas vezes. Isso realmente confundirá qualquer pessoa que tente reiniciar a grade e provavelmente causará mais danos. O governo publica dados úteis sobre a demanda doméstica e a demanda do setor para ajudá-lo a descobrir quando fazer isso.
se olharmos para a demanda do setor, o uso doméstico de eletricidade representa cerca de 30% do consumo total em média. Para o primeiro desligamento, você deseja encontrar um momento em que a demanda doméstica esteja em sua maior proporção da geração total para infligir a variação percentual máxima. Nos fins de semana, o uso industrial e comercial será muito menor, então um bom ponto de partida seria um domingo.
passando para domésticas diárias de uso de dados, a demanda de pico é entre 6 e 8 horas da noite, então, se você segmentar 7 horas em um domingo, em janeiro, você provavelmente vai achar que a demanda doméstica representa cerca de 60% do total. Se um quarto dos medidores inteligentes domésticos desligar nesse ponto, você obteve o máximo retorno para o dólar com uma queda instantânea da demanda de cerca de 15%. Ninguém na história do design de grade jamais planejou isso.
dê uma outra olhada nos dados para determinar o seu próximo passo, que é transformar todos os medidores inteligentes de volta na manhã seguinte. Usuários industriais e comerciais terão tentado voltar on-line, possivelmente um pouco mais tarde do que o normal por causa dos cortes de energia em curso e da dificuldade que todos terão tido para entrar no trabalho, então atrase a reconexão até as 11h30. Se a rede foi trazida de volta, isso deve gerar um adicional muito indesejado de 8% para a demanda. Programe mais algumas transições ON / OFF nos próximos dias e, em seguida, desconecte o fornecimento e corrompa o carregador de inicialização no medidor inteligente. Isso torna difícil para qualquer pessoa atualizar manualmente o firmware do medidor, então eles terão que substituí-lo. Exceto que não há nada como medidores sobressalentes suficientes para substituir todos os tijolos, então 7 milhões de casas permanecem sem energia, assim como o inverno britânico começa a morder
este é o hack mais simples. Você Programa cada medidor para passar pelo mesmo processo, ao mesmo tempo, alguns anos no futuro. Como existem apenas três ou quatro fornecedores de medidores inteligentes, apenas entrar e subverter um deve dar-lhe o controle de um quarto das casas, o que é mais do que suficiente. É um hack dorminhoco que vai esperar até a hora marcada e aleijar o país, ou pode ser um hack criminoso, onde o governo é alertado sobre isso pouco antes da data e chantageado por uma correção.
deve haver testes para tentar garantir que nada malicioso, ou mesmo apenas errado, tenha sido adicionado ao código. Ainda não ouvi evidências de que isso está sendo feito. O teste mais simples para o hack descrito acima é definir o relógio em tempo real para uma data no futuro e deixar os medidores funcionando com esse tempo falso. Se você tiver cinquenta Medidores de teste, cada um com a data atual definida com um mês de intervalo e em execução constante, isso o alertaria para esse tipo de hack. Não acho que esse tipo de teste esteja acontecendo. Ele também assume que o hacker não é inteligente. Se eles decidirem jogar gato e rato, eles vão pensar nos testes que você pode executar para descobrir código corrompido, tentar detectar esses testes e desligar o hack enquanto o teste está em execução. Nesse caso, tudo o que eles precisam fazer é procurar o RTC sendo redefinido. Se você acha que é ficção científica, é exatamente o que a Volkswagen fez com seus testes de emissões – eles identificaram a diferença entre um teste e uma condução normal e alteraram as configurações para o teste de Conformidade. Dentro da indústria, esse tipo de ajuste está longe de ser desconhecido.
os medidores inteligentes têm uma conexão sem fio externa, de modo que abre a oportunidade para um hack de firmware que pode ser ativado externamente, permitindo que o hacker ligue ou desligue os medidores conforme desejado. Isso é muito mais complexo, até porque o elemento comms externo está no hub de comunicações, que então usa ZigBee para se comunicar com o medidor. Isso precisaria que o firmware fosse hackeado em ambos os dispositivos para permitir a transferência de uma mensagem de desconexão, além de permitir a comunicação externa com o modem GPRS. Se o próprio módulo do modem fosse hackeado, provavelmente seria indetectável, pois ninguém provavelmente Verificaria o código do modem.
o que o relatório da Bloomberg destacou é o fato de que isso pode ser feito. O que descrevi acima não precisa de alterações complexas de hardware, mas apenas de um programador desonesto. Somos constantemente informados de que nossos medidores inteligentes são seguros, mas mesmo os pronunciamentos do GCHQ nesse sentido falam apenas sobre o risco de hackers externos, não de hackers internos durante o processo de design e fabricação. Agora precisamos considerar modelos de segurança que não limitam mais os vetores de ataque a hackers externos, mas analisam seriamente as consequências do hacking interno e como se proteger contra isso.
de muitas maneiras, este é um artigo que eu preferiria não escrever, mas também não quero ser a pessoa que diz “Eu disse” quando as luzes se apagam. Não tenho dúvidas de que o que descrevi acima poderia ser feito. Pode já ter sido feito. É altamente improvável, mas este é um risco potencial de infraestrutura que faz um Brexit sem acordo parecer um novo Jardim do Éden; destrua a rede e você está de volta a uma economia do terceiro mundo que provavelmente só pode suportar uma população de cinco milhões. Isso resolve a questão da imigração-todos nós seremos refugiados tentando entrar na Europa.
há uma solução fácil-remova a opção de desconexão dos medidores inteligentes. Só está lá porque os fornecedores de energia querem que suas vidas sejam fáceis. Esse é o problema com todo o programa de medição inteligente GB – ele foi rebaixado a ponto de beneficiar apenas os fornecedores e descartar os benefícios mais amplos, mas não o risco e os custos para os consumidores. O Relatório da Bloomberg é mais um alerta que nos diz que é hora de parar a implantação atual e fazer a medição inteligente corretamente.