21:38
14/2/2016

Ataki na infrastrukturę krytyczną stanowią obecnie dość spore wyzwanie dla włamywaczy. Jeśli przyjrzymy się sieci energetycznej, czyli tzw. gridowi, to jego najbardziej kluczowe elementy są skrupulatnie monitorowane lub całkowicie odseparowane od internetu. Okazuje się jednak, że aby “zhackować” sieć energetyczną, wcale nie trzeba uderzać w nią bezpośrednio. Wystarczy uderzyć w coś, co jest do niej podłączone i nie wydaje się szczególnie ważne, jak np. domowe klimatyzatory.

fot. zeevveez, lic. CC 2.0

fot. zeevveez, lic. CC 2.0

Ludzie wyobrażają sobie, że wstrzymanie pracy elektrowni wymaga włamania się do jakiegoś centralnego komputera zarządzającego tym obiektem. W rzeczywistości wystarczy przypuścić atak na tak niepozorną rzecz jak klimatyzatory w budynkach, które są połączone z siecią.

Niebezpieczny sposób na zniżki

Możliwość ataku na klimatyzatory badali Vasilios Hioureas z Kapsersky Lab oraz Thomas Kinsey Exigent Systems w ramach inicjatywy Securing Smart Cities. O ich ustaleniach pisał Wired. Atak opiera się na tym, że w USA niektóre przedsiębiorstwa energetyczne oferują zniżki dla instytucji, które stosują rozwiązania ułatwiające zarządzanie obciążeniem sieci. Jednym z takich rozwiązań są urządzenia pozwalające na zdalne wyłączanie klimatyzatorów w momencie szczytowego zapotrzebowania na energię. Właśnie te urządzenia — instalowane w klimatyzatorach centralnych lub okiennych — są podatne na atak.

System automatycznego skalowania energii działa w ten sposób, że w momencie wystąpienia dużego zapotrzebowania na prąd operator z przedsiębiorstwa energetycznego wysyła radiowo komendę wyłączenia klimatyzatorów. Sygnał jest wzmacniany przez przekaźniki rozlokowane po mieście. Rzecz w tym, że ta komunikacja nie jest szyfrowana, co otwiera drogę do manipulowania klimatyzatorami poprzez atak powtórzeniowy. Wystarczy podsłuchać, nagrać i odtworzyć sygnał-komendę.

Jak dowiedli badacze, atakujący mógłby wyłączyć klimatyzację przy dużym upale, stwarzając zagrożenie np. dla osób starszych. Mógłby też włączyć klimatyzatory w momencie szczytowego zapotrzebowania na energię, powodując blackout. Ponieważ grupy urządzeń mają przypisane unikalne ID, atak mógłby być ukierunkowany i dotyczyć konkretnych domów. Jest jeszcze możliwość wprowadzenia niestabilności do sieci energetycznej poprzez naprzemienne włączanie i wyłączanie klimatyzatorów. A także paraliż systemu, poprzez jamming na odpowiedniej częstotliwości.

Coraz więcej ataków na infrastrukturę krytyczną

Ataki na infrastrukturę krytyczną są czymś więcej niż teoretycznym zagrożeniem. W kwietniu zeszłego roku wspominaliśmy o awarii elektrowni w Turcji, w przypadku której podejrzewano atak komputerowy. A kilka lat temu opisaliśmy jak łatwo można sparaliżować kolej jedynie krótkofalówką.

W tym roku Parlament Europejski zajął się pracami nad unijna dyrektywą dotyczącą cyberbezpieczeństwa. Jej celem jest również zapewnienie, że cyfrowa infrastruktura dla usług o znaczeniu krytycznym (jak kontrola ruchu lub zarządzanie sieciami elektrycznymi) będzie odpowiednio zabezpieczona przed atakami komputerowymi. Tylko czy przepisy będą w stanie nadążyć za pomysłowością tych, którzy szukają słabych punktów w zabezpieczeniach?

W Polsce właśnie wystartowały projekty mające na celu wprowadzenie do lokali inteligentnych liczników prądowych. Ponieważ operator będzie miał możliwość zdalnego odcinania energii osobom, które nie płacą rachunków, być może kolejny artykuł na Niebezpieczniku poświęcony atakom na sieć energetyczną dotyczyć będzie kogoś, kto znajdzie lukę w protokołach komunikacji tychże liczników?

Aktualizacja 23.02.2016
Eksperci od SCADA wypowiedzieli się w sprawie badań zespołu Kaspersky’ego — i twierdzą, że atak na grida wcale nie jest taki łatwy.


Przeczytaj także:



37 komentarzy

Dodaj komentarz
  1. nom czego dowodzi ostatni atak na ukrainę

  2. Z tymi klimatyzatorami to trochę inaczej. Nagłe załączenie ich znacznej ilości, choc oczywiscie obciazajace dla sieci, nie jest największym zagrożeniem. Klimatyzatory i urządzenia chłodnicze są bodajże największymi “konsumentami” powodującymi przepływy mocy biernej ze wszystkich nieprzemysłowych odbiorów. Gospodarowanie mocą bierną w sieci jest trudne głównie ze względu na to że musi być wytwarzana stosunkowo blisko miejsca jej “konsumpcji” (cudzyslowy, bo jest to preciez moc ktora wraca do sieci w cyklu sinusoidy). A do jej kompensacji sieć musi być odpowiednio przygotowana a to zabiera czas. W większości blackoutów kapitalne znaczenie miały deficyty sieci na poziomie mocy biernej.

    • A przypadkiem w stacjach transformatorowych nie ma tzw. baterii kondensatorowych sterowanych wręcz automatycznie aby manipulować odpowiednio cos φ?

    • @Cokolwiek nie manipulować, a korygować, a to ogromna różnica. Dodatkowo ze względu na koszty najczęściej kompensację stosuje się w większych rozdzielniach zakładowych a nie na każdej podstacji zasilającej budynki mieszkalne.

    • @Borygo dla mnie to jedno i to samo czyli czepiasz się słów. Tak się składa, że uczęszczałem do technikum o profilu jakim możesz się domyślić. Wielokrotnie w ramach “wycieczek edukacyjnych” byliśmy na takich podstacjach/stacjach transformatorowych. Pracownicy opowiadali nam także między innymi o wpływie wychylenia cos φ lub jak kto woli przesunięcia fazowego. Byliśmy na takich “małych” osiedlowych, większych zasilających duże części miasta, zakładowych jak i tych podmiejskich. O ile w PL na takich osiedlowych faktycznie nie często stosuje się wyżej wymieniony mechanizm to za granicą już częściej.

      PS
      Dodatkowo z racji profilu szkolnego nasłuchaliśmy się na lekcjach dlaczego dobór odpowiednich chociażby narzędzi (i ich paramentów) ma wpływ na to i na to, w tym między innymi magiczny cos φ. Nawet monterzy, którzy oprowadzali nas na chociażby (dużej) stacji zakładowej mówili o “sztuczkach”, które należy stosować aby stan rzeczy był jak najbardziej optymalny :)

    • @Cokolwiek manipulują politycy, technicy korygują. Po technikum elektrycznym powinieneś to wiedzieć. Ale nie czepiam się o słówka. Co do istoty problemu z artykułu. U nas jest tak jak to opisaliśmy. Jest większa podstacja i na niej robiona jest korekcja mocy. W USA dystrybucja odbywa się trochę inaczej. Doprowadzone są linie wysokich napięć a obniżenie ich odbywa się lokalnie na małych (mocowo) transformatorach, które często umieszczone są na słupach. Tam nie ma gdzie robić takiej korekcji mocy i stąd różne kombinacje operatorów.

  3. “inteligentnych liczników prądowych. Ponieważ operator będzie miał możliwość zdalnego odcinania energii osobom, które nie płacą rachunków” Kto czytał “Blackout” ? Brzmi znajomo, nie ? :D

    • DuMaM też ładnie pod Tobą skomentował
      Blackout czytałem. Fikcja literacka, ale dla naszego grona, które jest dużo bliżej bezpieczeństwa bardzo interesująca i w mojej opinii naprawdę solidnie przygotowana merytorycznie.

    • Też czytałem Blackouta i chciałem go właśnie polecić, super napisana książka.

  4. “W kwietniu tego roku wspominaliśmy o awarii elektrowni w Turcji”, macie jakieś tajne dane? :D

  5. Kto znajdzie lukę w protokołach komunikacji tychże liczników?

    Miałem trochę styczności z tym tematem i problemem nie okazują się protokóły, bo są one z wersji na wersję coraz bardziej znośne i mniej dziurawe. Problemem jest to, że owe protokóły są w większości przypadków otwarte, albo jeszcze się dogryzają i producenci często mają gdzieś zalecenia zawarte w dokumentacji. Mimo, że w danym protokole mamy np możliwość szyfrowanej transmisji do tego jeszcze każda sesja może być opatrzona dodatkowym kluczem autoryzacyjnym, to zazwyczaj dokumentacja licznika zawiera coś takiego: “Brak wsparcia”.
    Na szczęście widzi się co rusz jakieś update’y firmware’u więc może kiedyś to się zmieni. :)

  6. Dokładnie jak w “Blackout” – tam był przedstawiony scenariusz ataku grupy hakerów na inteligentne liczniki prądu elektrycznego – że książka stara się pokazywać historię w jak najbardziej realnym ujęciu ten scenariusz byłby możliwy – polecam przeczytać książkę.
    Sam zakupiłem ostatnio “Zero” tego samego autora – tutaj opowieść o globalnej inwigilacji, zapowiada się równie ciekawie jak w “Blackoucie”.

  7. To po co komu klimatyzator jak elektrownia ma go wyłączyć w największy upał (czyli wtedy gdy sieci są najbardziej przeciążone)?

    • Ano po to, że w przypadku przeciążenia lepiej wyłączyć wszystkie klimatyzatory w okolicy niż wszystkie obiekty. Przeciążenie (czyli niedobór mocy wytworzonej) powoduje zwiększenie strat przesyłowych, co powoduje jeszcze większy niedobór mocy, co doprowadza w końcu do ciemności. Właściciele którzy zgodzili się na takie rozwiązania mają zniżkę na energię.

  8. Powinni zabronić przesyłania takich danych kanałami nieszyfrowanymi.

  9. No cóż – taki efekt wprowadzania pewnych rozwiązań bez odpowiedniego przygotowania merytorycznego. Inteligentne liczniki i ogólnie SmartGrid nie jest niczym nowym ani wybitnym technologicznie. Problemem są tylko ludzie którzy go wdrażają. Jeżeli licznik nie obsługuje SSL to się go po prostu nie kupuje. Albo doprowadza się do niego łącze zabezpieczone chociażby IpSec-iem. Wystawienie takiego licznika na publicznym routowalnym adresie ip byłoby jak dla mnie przejawem radosnej niczym nie poskromionej partyzantki.

    • Pomieszanie z poplątaniem, kolego Adamie.
      1. Adresy IP są routowalne. Nie ma to nic wspólnego z ich publicznością czy nie.
      2. A ipsec stosuje się i do adresów ‘publicznych’ i ‘prywatnych’. A w szczególności do routowalnych ;)
      3. SSL czy TLS? ;)

  10. Książka do poczytania: Brittle Power

  11. Czepię się słówek ale opisany atak to JEST atak na sieć energetyczną. Opisana funkcjonalność JEST elementem sieci energetycznej – skoro elektrownia steruje urządzeniami w celu regulowania poboru energii to jak to można nazwać jak nie elementem sieci? A ta komunikacja właśnie jest atakowana a nie klimatyzatory.
    Co innego gdyby można było przejąć kontrolę nad klimatyzatorami w inny, niezwiązany z systemem dostawcy elektryczności sposób.

    • Dokładnie tak.

      @Piotr Konieczny
      Wybacz, ale tytuł artykułu jest na poziomie o2.

    • Który, bo jest kilka (od roku+ korzystamy z wtyczki, która robi testy A/B tytułów)

  12. Przecież łatwiej powalić słupy energetyczne jak bawić się w klikanie klimatyzatorami.

    • Nie, nie łatwiej. Żeby zrobić blackout w ten sposób, musiałbyś mieć kompletną mapę sieci energetycznej danego obszaru, i w skoordynowany sposób powalić jednocześnie setki słupów tak, aby odciąć fizycznie poszczególne węzły. Poza tym część okablowania jest pod ziemią – jak się do niego dobierzesz? Fizycznie niszcząc słupy masz też dużo większe ryzyko identyfikacji i złapania na gorącym uczynku. Elektronicznie możesz to załatwić po cichu, z jednego punktu, bez fizycznego dostępu do infrastruktury. Poza tym łatwiej i szybciej postawić obalony słup, niż napisać poprawkę do firmware’u, przekazać go klientowi i zaktualizować urządzenie, które możesz odciąć drugi raz natychmiast po przywróceniu zasilania.

  13. Przed opublikowaniem artykułu na temat o którym nie macie pojęcia, zasięgnijcie opinię specjalisty (najlepiej kilku), żeby nie pisać takich głupot jak w powyższym.

    • Tę uwagę powinieneś skierować do researcherów Kasperskiego, gdyż my opisujemy jedynie wyniki ich pracy.

    • @Piotr Konieczny OK, nie zmienia to jednak faktu, że opisywane ataki na sieć energetyczną są możliwe, tylko ich efekt będzie bardzo ograniczony. Elektrownie oprócz nowinek technologicznych nadal stosują starą “analogową” technologię regulowania mocy, która jest odporna na takie metody hackowania. Artykuł jest burzą w szklance wody, ale uświadamia że zagrożenie istnieje i trzeba się przed nim zabezpieczyć.
      Pozdrawiam!

    • Ale wszystkie elektrownie, nie ważne czy nowe, czy stare, są oparte na tych samych generatorach, które można rozsynchronizować. I nawet analogowy system sterowania mocą może nie poradzić sobie z naprzemiennym włączaniem i wyłączaniem setek wentylatorów podczas szczytowego zapotrzebowania na moc.

  14. Co do łamania zabezpieczeń cyfrowej transmisji np DVB-T wystarczy tani LED. Już około 17 prawie calkowicie nie można odbierać TVP1 z uwagi na zakłócenia generowane przez tandetne urządzenia. Można to wykorzystać do innych celów :)

    • Nie opisałeś łamania zabezpieczeń, tylko zakłócanie transmisji. Jeśli odetnę Ci kabel od internetu, to nie złamałem zabezpieczeń Twojego konta mailowego, z którym się właśnie łączyłeś za pośrednictwem tego kabla.

    • Hmm, jeśli udawanie pilota przy pomocy diody IR nazywasz łamaniem zabezpieczeń …

  15. Z tego co pamiętam motyw ataku na fabrykę poprzez destabilizację systemu chłodzenia można było zaobserwować w jednym z odcinków serialu Mr Robot

  16. Luką samą w sobie to są same te protokoły komunikacyjne tychże liczników.

  17. Te liczniki inteligentne sa juz od zeszlego roku instalowane w Tauronie we Wroclawiu i w Enei w Warszawie. Oprocz zdalnego wylaczania takiego licznika to jeszcze kwestia szpiegowania czy ktos jest w domu i jakie urzadzenia ma wlaczone i o ktorej godzinie. Kazde urzadzenie ma specyficzne dla siebie zuzycie pradu i zmiane wspolczynnika pradu(cosinus fi).

    • Obszar działania spółki Enea Operator to zachodnia i północno-zachodnia Polska, tak więc albo pomyliłeś spółki (Warszawę obsługuje RWE STOEN Operator) albo miasta.
      Zresztą liczniki zdalnego odczytu są instalowane przez wszystkich OSD, jednak postęp tego procesu jest różny (najwięcej zamontowanych ma chyba Energa-Operator – północ kraju).
      Natomiast co do “szpiegowania” – myślisz, że z odczytów, które są dokonywane raz na 15 minut (albo nawet rzadziej – co 60 minut – nie pamiętam dokładnie) można wyciągać tak dokładne wnioski odnośnie włączonych urządzeń?

  18. Dlaczego miałyby być tak rzadko dokonywane ? Ale ok, powiedzmy, że refresh jest co 60 minut. To i tak wystarczy żeby sprawdzić, czy ktoś jest w domu, czy chodzi tylko lodówka.

  19. […] współczesną energią nie trzeba daleko szukać. Choćby taki Niebezpiecznik pisze o prostej destabilizacji pracy elektrowni na przykładzie ataku domowego […]

  20. A co z “rozdzielniami na słupach” które są sterowane zdalnie i mogą odłączyć pewien sektor? Dokładnie nie wiem czy informacje są wysyłane drogą radiową czy po GSM. Może by takie słupy podsłuchać i bawić się wyłączaniem danych sektorów?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: