förra veckan var en vattendelare för den inbäddade säkerhets samhället, och underförstått alla andra. Bloomberg meddelade att rogue chips hade hittats på moderkorten på servrar som såldes av Super Micro Computer till företag som Amazon och Apple. Den som hade lagt till dessa under tillverkningsprocessen skulle ha förvärvat förmågan att kontrollera och komma åt data från servrarna när dessa företag installerade dem. För första gången visade det sig att det fanns bevis för att försörjningskedjan kunde störas. Det innebar att hacking hände under tillverkningsprocessen, innan produkterna ens hade lämnat produktionslinjen.
hittills har hacking huvudsakligen betraktats som att få skadlig kod till en enhet som är ”ren” genom att utnyttja säkerhetsbrister i koden. Det är vad som hände med varje PC-virus; attacker som WannaCry ransomware och statligt sponsrade attacker som Stuxnet och det nyligen upptäckta försöket av ryska hackare att infiltrera Organisationen för förebyggande av kemiska vapen i Haag. Även om konceptet att hacka en produkt innan den har skickats har diskuterats i flera år, signalerar Bloomberg-rapporten att vi har flyttat från akademisk debatt till verklighet.
det diskuteras fortfarande om betänkandet är korrekt. Apple och Amazon förnekar mycket av detaljerna, men publiceringen har startat människor som tittar närmare på matarledningen och slutsatsen att huruvida det är sant eller inte, det sätt vi designar, lägger ut och tillverkar komplexa elektroniska produkter idag betyder att det är möjligt. Om det är sant var denna attack förmodligen kommersiell, där ett företag eller en stat ville upptäcka vad ledande globala företag gjorde. Vad som är mer oroande är utsikterna till en framtid där skadliga statliga aktörer riktar sig till infrastruktur i syfte att förlamande ett land. Vilket leder mig till smarta mätare.
jag har alltid varit oroad över sårbarheten hos de brittiska smarta mätarna för hacking vid tillverkningsstadiet. Anledningen till denna oro är att dessa mätare innehåller en strömbrytare som gör att strömmen kan kopplas bort av energileverantören. Detta är en bekvämlighet för dem, eftersom de inte längre behöver skicka någon runt för att få tillgång till en byggnad. Men om det någonsin hackades kunde hackarna stänga av miljoner meter samtidigt. Det kan användas för att förstöra elnätet.
Saleh Soltan, en forskare vid Princetons avdelning för elektroteknik, har skrivit ett antal bra papper som visar hur majoriteten av nätet skulle kunna sänkas genom hackning som resulterar i bara 1% förändring av elbehovet. Eftersom det för närvarande är mycket dyrt att lagra el, är produktionen noggrant anpassad till förväntad efterfrågan. Om efterfrågan varierar snabbt kommer nätet att försöka stänga av för att förhindra skador, men om förändringen är snabb och oväntad kan de resulterande överspänningarna när enskilda element slås på och av orsaka skador, vilket kan kaskad orsaka omfattande strömavbrott. Att återställa strömmen kan vara ännu mer skadligt eftersom nätet inte vet vad som är anslutet och påslagen, så kan inte förutse vad efterfrågan kommer att bli. Återigen finns det potential för skador på kritiska delar av nätet om efterfrågan plötsligt kan ökas. När du komma förbi en viss nivå av skada, uppgiften att reparera nätet och återställa tillförlitlig, universell leverans kan ta år
jag har alltid varit bekymrad över denna risk; att en programmerare som arbetar för en mätare tillverkare kunde skriva kod som skulle orsaka tiotals miljoner meter för att stänga en viss tid. Om en fjärdedel av inhemska smarta mätare stängs av tillsammans kan du titta på en omedelbar efterfrågeförändring på upp till 15%, en storleksordning större än 1% Saleh tror kommer att döda nätet. Det är något som inget elnät har utformats för. Det finns en anledning till att militära planerare riktar sig mot kraftverk-att ta bort El lamslår en nation i flera år, som vi har sett i Irak. Det gör nätet till ett mycket intressant mål för alla skadliga Statliga skådespelare.
hittills har jag misslyckats med att få någon som är involverad i det brittiska programmet för att förstå denna risk. Energileverantörernas koncept för hacking är begränsat till att människor kringgår eller lurar enskilda mätare för att försöka minimera sina räkningar. Historiskt sett har deras inställning till hacking varit att flytta meter utanför. Det var inte bara för att göra mätaravläsningen enklare, det beror också på att det är avskräckande att kringgå mätaren; vad du kan göra Privat i ditt skåp under trappan är mindre attraktivt när du är i full bild av alla på gatan. När jag har tagit upp möjligheten att en skurkprogrammerare medvetet lägger till skadlig kod till en smart mätare under dess utveckling, har det enda svaret varit ”varför skulle någon göra det”? Utmanar det med ” varför skulle någon köra en lastbil i en grupp fotgängare?”, eller ” varför skulle någon flyga ett plan till ett handelscenter?”verkar inte beräkna. De som är involverade i smart metering-programmet har svårt att utöka sin världsutsikt från en enda student eller hushållare som försöker lura dem på några pund till en organisation eller orsaka att de försöker förstöra en ekonomi.
det som är mest oroande är att det är potentiellt mycket enkelt. Så här är en snabb handledning om hur man hackar en smart mätare och dödar nätet.
först, få ett jobb med en smart meter tillverkare. Det borde inte vara svårt, eftersom de är ganska desperata. Allt du verkligen behöver för det är att ha en grundläggande kunskap om ZigBee. Jag klassar mig bara som hobbyprogrammerare, men jag har erbjudits jobb av två smarta mätarföretag som systemarkitekt. (Jag har avböjt.) Tänk sedan på vad du vill lägga till i smart meter-koden.
Låt oss börja enkelt och bara lägga till några rader kod som kopplar bort strömmen till hemmet vid ett förutbestämt datum. Smarta mätare har realtidsklockor, som bör synkroniseras regelbundet, så det är inte svårt att få miljontals av dem att stänga av inom samma nätcykel. Du vill vara säker på att när du har kopplat bort hushållsförsörjningen kan energibolagen inte slå på den igen, återställa mätaren eller ladda upp ny firmware, så lägg till några fler rader för att stänga av kommandona eller skriv bara över autentiseringsnycklarna. Se till att du döljer koden så att ingen upptäcker den och du är klar. Eftersom GB mätning spec är så komplex, det finns gott om ställen att dölja dina några rader kod. DECC och BEIS har gett en mycket stor höstack för att låta dig dölja din nål. Du vill se till att din kod inte skrivs över av någon efterföljande firmwareuppgradering, så det är nog värt att poppa det i något som sannolikt kommer att vara statiskt, som klusterbiblioteket eller, om du kan komma till det, bootloader. Om du får chansen, lägg den i ROM. Jobbet gjort.
för att få den bästa chansen att göra skada, kan du göra bättre än att bara koppla ur tillförseln genom att slå på den igen några timmar senare och upprepa den sekvensen några gånger. Det kommer verkligen att förvirra alla som försöker starta om nätet och förmodligen orsaka mer skada. Regeringen publicerar hjälpsamt data om inhemsk efterfrågan och sektorns efterfrågan för att hjälpa dig att träna när du ska göra det.
om vi tittar på sektorns efterfrågan står den inhemska elanvändningen för cirka 30% av den totala förbrukningen i genomsnitt. För den första avstängningen vill du hitta en tid då den inhemska efterfrågan är som störst av den totala generationen för att åstadkomma den maximala procentuella förändringen. På helgerna kommer den industriella och kommersiella användningen att vara mycket lägre, så en bra utgångspunkt skulle vara en söndag.
när man går vidare till dagliga inhemska användningsdata är toppefterfrågan mellan 6 och 8 på kvällen, så om du riktar dig till klockan 7 på en söndag i januari kommer du förmodligen att upptäcka att den inhemska efterfrågan står för cirka 60% av totalen. Om en fjärdedel av inhemska smarta mätare stängs av vid den tiden fick du maximal valuta för pengarna med en omedelbar minskning av efterfrågan på cirka 15%. Ingen i historien om grid design har någonsin planerat för det.
ta en titt på data för att bestämma ditt nästa steg, vilket är att vända alla smarta mätare tillbaka nästa morgon. Industriella och kommersiella användare kommer att ha försökt att komma tillbaka på nätet, eventuellt lite senare än normalt på grund av de pågående strömavbrott och svårigheten alla kommer att ha haft att komma in i arbetet, så fördröja återanslutningen till 11.30 am. Om nätet har tagits upp igen bör detta generera en mycket oönskad ytterligare 8% till efterfrågan. Programmera några fler på / av-övergångar under de närmaste dagarna och koppla sedan bort tillförseln och korrumpera startläsaren i smart meter. Det gör det svårt för någon att manuellt uppdatera mätarens firmware, så de måste byta ut den. Förutom att det inte finns något som tillräckligt med reservmätare för att ersätta alla murade, så 7 miljoner hem förblir utan ström precis som den brittiska vintern börjar bita
Detta är det enklaste hacket. Du programmerar varje meter för att gå igenom samma process, samtidigt ett par år i framtiden. Eftersom det bara finns tre eller fyra smarta mätare leverantörer, bara att komma in och undergräva en bör ge dig kontroll över en fjärdedel av bostäder, vilket är mer än tillräckligt. Det är en sleeper hack som antingen kommer att vänta tills dess bestämda tid och lamslå landet, eller det kan vara en kriminell hack, där regeringen larmas till det strax före den dag och utpressning för en fix.
det bör finnas tester på plats för att försöka se till att inget skadligt eller till och med bara felaktigt har lagts till koden. Jag har ännu inte hört bevis för att det görs. Det enklaste testet för hacket som beskrivs ovan är att ställa in realtidsklockan till ett datum i framtiden och låta mätarna springa med den falska tiden. Om du har femtio testmätare, var och en med det aktuella datumet en månad från varandra och ständigt körs, skulle det varna dig för den här typen av hack. Jag tror inte att den typen av tester händer. Det förutsätter också att hackaren inte är smart. Om de bestämmer sig för att spela katt och mus, kommer de att tänka på de tester du kan köra för att upptäcka skadad kod, försöka upptäcka dessa tester och stänga av hack medan testet körs. I det här fallet behöver de bara leta efter att RTC återställs. Om du tror att det är science fiction, är det precis vad Volkswagen gjorde med sina utsläppstester – de identifierade skillnaden mellan en testkörning och en normal enhet och ändrade inställningarna för överensstämmelsetestet. Inom branschen är den typen av tweak långt ifrån okänd.
smarta mätare har en extern trådlös anslutning, så det öppnar möjligheten för ett firmwarehack som kan aktiveras externt, vilket gör att hackaren kan slå på eller stänga av mätare efter önskemål. Det är mycket mer komplext, inte minst för att det externa comms-elementet finns i kommunikationsnavet, som sedan använder ZigBee för att kommunicera med mätaren. Detta skulle behöva firmware hackas i båda enheterna för att tillåta ett kopplingsmeddelande att överföras, samt tillåta extern kommunikation med GPRS-modemet. Om själva modemmodulen skulle hackas skulle det förmodligen vara odetekterbart, eftersom ingen sannolikt kommer att testa modemkoden.
vad Bloomberg-rapporten har belyst är det faktum att detta kan göras. Vad jag har beskrivit ovan behöver inte några komplexa hårdvaruändringar, utan bara en skurkprogrammerare. Vi får ständigt höra att våra smarta mätare är säkra, men även GCHQ-uttalandena om detta talar bara om risken för extern hacking, inte intern hacking under design-och tillverkningsprocessen. Vi måste nu överväga säkerhetsmodeller som inte längre begränsar attackvektorer till externa hackare, men ser allvarligt på konsekvenserna av intern hacking och hur man skyddar mot det.
på många sätt är detta en artikel som jag skulle ha föredragit att inte skriva, men jag vill inte heller vara personen som säger ”jag sa det” när lamporna slocknar. Jag tvivlar inte på att det jag har beskrivit ovan kan göras. Det kan redan ha gjorts. Det är högst osannolikt, men det här är en potentiell infrastrukturrisk som gör att en No deal Brexit ser ut som en ny Edens trädgård; förstör nätet och du är tillbaka till en tredje världsekonomi som förmodligen bara kan stödja en befolkning på fem miljoner. Det löser invandringsfrågan-vi kommer alla att vara flyktingar som försöker komma in i Europa.
det finns en enkel lösning-ta bort frånkopplingsalternativet från smarta mätare. Det är bara där för att energileverantörer vill att deras liv ska vara enkla. Det är problemet med hela GB smart metering-programmet-det har blivit förnedrat till den punkt där det bara gynnar leverantörerna och har kastat bort de bredare fördelarna, men inte risken och kostnaderna för konsumenterna. Bloomberg-rapporten är ännu ett väckarklocka som säger att det är dags att stoppa den nuvarande implementeringen och göra smart mätning ordentligt.