Het slimme netwerk hacken

Volgens een onderzoek van drie pilot-implementaties kunnen componenten van het slimme energienetwerk van de volgende generatie worden gehackt om de stroominstellingen van huishoudens te wijzigen of om communicatie met het netwerk van een nutsbedrijf te vervalsen.





De problemen werden benadrukt in een presentatie die vorige week werd gegeven door beveiligingsonderzoeker Joshua Wright of InGuardians , een adviesbureau met veel infrastructuurbedrijven tot haar klanten. Door kwetsbaarheden ontdekt door Wright kunnen aanvallers op afstand verbinding maken met een apparaat of communicatie met het beherende energiebedrijf onderscheppen.

Het rapport veroorzaakte ophef en InGuardians heeft geweigerd verdere details bekend te maken. Een expert die bekend is met de inhoud van de presentatie van Wright zegt echter dat het beveiligingsproblemen met veel apparaten aan het licht brengt. Dit zijn vrij veel voorkomende fouten, zegt Marcus Sachs, directeur van het Internet Storm Center, onderdeel van het SANS Institute, waar Wright zijn onderzoek presenteerde. De meeste draadloze meters zijn onderhevig aan dezelfde kwetsbaarheden die we 10 jaar geleden [in wifi-apparaten] zagen.

De energiesector bevindt zich midden in een massale uitrol van smart-grid-technologieën, gevoed door $ 3,4 miljard aan stimuleringsfondsen. Door gedetailleerde gebruiksinformatie te leveren, beloven slimme meters consumenten in staat te stellen hun stroomverbruik te beheersen en energiebedrijven in staat te stellen hun distributienetwerken beter te beheren. Volgens schattingen van de Edison Foundation zullen dit jaar naar verwachting bijna 60 miljoen slimme meters worden ingezet, die de helft van de Amerikaanse huishoudens en bedrijven dekken. Instituut voor elektrische efficiëntie .



Om de infrastructuur te helpen testen, heeft Wright van InGuardian een open-source hacktool gemaakt, genaamd KillerBee. Met deze tool kunnen beveiligingsonderzoekers de beveiliging testen van het populairste draadloze communicatieprotocol voor slimme meters, een energiezuinige draadloze communicatietechnologie genaamd ZigBee. Dit protocol heeft een groter bereik dan Bluetooth en is de meest populaire manier om een ​​Home Area Network (HAN) te creëren.

Het is hoe je meter - de gateway - zal praten met je droger, je thermostaat en je boiler, zegt John Shaw, senior vice president of products and technology bij industriële verdediger , een bedrijf voor infrastructuurbeveiliging.

Onderzoekers hebben eerder gewaarschuwd dat het toestaan ​​van netwerktoegang tot het huis een groot aantal beveiligingsproblemen met zich meebrengt. Vorig jaar ontdekte beveiligingsbedrijf IOActive gebreken in een apparaat met een slimme meter waarmee de onderzoekers code in één apparaat konden invoegen en deze naar andere konden verspreiden - in wezen door een computerworm in een lokaal stroomnetwerk te injecteren.



Als je die meter zou kunnen laten praten met zijn buren en die met hun buren, zou je hen conceptueel kunnen vertellen dat ze moeten uitschakelen en een vrij brede stroomstoring veroorzaken, zegt Shaw.

De ZigBee Alliantie , dat toezicht houdt op het protocol, heeft zijn specificatie voor smart-grid-specifieke communicatie voorgelegd aan drie afzonderlijke beveiligingsbeoordelingen, aldus Bob Heile, de voorzitter van de groep. Wat terugkomt, is dat [de specificatie] in orde is, maar er zijn altijd suggesties om het beter te maken, zegt Heile. Die suggesties voeren we altijd uit.

Met behulp van KillerBee ontdekte Wright dat sommige ZigBee-apparaten coderingssleutels in het openbaar uitwisselen, waardoor een afluisteraar de informatie kan pakken die nodig is om een ​​apparaat te klonen, verklaarde de onderzoeker in een presentatie eind vorig jaar op ToorCon, een hackconferentie.



Hij ontwikkelde een reeks tools waarmee (hackers) kunnen doen wat ze kunnen in de bekabelde wereld, zegt SANS Institute's Sachs. Als je een radio hebt die ZigBee kan ontvangen, dan kun je dezelfde tools gebruiken.

Ondanks het laatste onderzoeksrapport blijft de dreiging voorlopig theoretisch. Slimme meters zijn nog niet aan de meeste huishoudens gekoppeld, fabrikanten van apparaten nemen beveiliging serieuzer en nutsbedrijven testen hun netwerken op kwetsbaarheden, zegt Shaw van Industrial Defender. Over het algemeen zijn de fabrikanten en hulpprogramma's beter geworden in het praten met beveiligingsonderzoekers, zegt hij.

Ja, er zijn kwetsbaarheden, maar dit is meer een kwestie van public relations en overlast dan een bedreiging voor de energie-infrastructuur, zegt Shaw. Hij wijst op een sectorbrede overeenkomst over een enkel proces voor het upgraden van software op de apparaten als een teken van vooruitgang.



David Baker, director of services voor IOActive, een ander bedrijf dat energiebedrijven en apparaatfabrikanten tot zijn klanten rekent, zegt ook dat de industrie als geheel vooruitgang boekt. De nutsbedrijven zijn zich terdege bewust van de problemen en doen hun uiterste best om de problemen op te lossen. zegt Bakker. Het wordt nu echt heel moeilijk om deze gaten te vinden.

zich verstoppen