19:20
21/12/2017

Wodomierze, gazomierze, ciepłomierze. Zapewne otrzymujesz rachunki w oparciu o odczyty pochodzące z któregoś z tych urządzeń. I nawet jeśli Twój wodomierz, gazomierz lub ciepłomierz nie jest “inteligentny”, to istnieje duża szansa, że wodociągi, gazownia, elektrociepłownia lub po prostu spółdzielnia założyła na niego tzw. nakładkę do zdalnego, bezprzewodowego odczytu wskazania stanu licznika. Rozwiązanie wygodne, bo inkasenci nie muszą wtedy chodzić po mieszkaniach, a właściciele budynków nie muszą być podczas odczytu w domu. Niestety, urządzenia jednego z popularnych w Polsce producentów nie są zabezpieczone przed zdalną ingerencją, której skutkiem może być niezauważona modyfikacja wskazania stanu licznika i wiążące się z tym różnice w rachunkach. Na plus albo na minus. W zależności od tego, czy ktoś będzie chciał okraść dostawcę mediów czy zrobić “głupi żart” nielubianemu sąsiadowi. Podatność na atak odkrył i zademonstrował nam jeden z Czytelników.

Problem z nakładkami Itron

Nasz czytelnik, Piotr Karwowski to informatyk współpracujący z Zakładem Usług Komunalnych w Orzyszu. W ramach tej współpracy Piotr miał okazję przyjrzeć się rozwiązaniom do zdalnego odczytu stanu licznika dostarczanym przez firmę Itron. Firma ta działa na skalę globalną (ma siedzibę w Liberty Lake), ale nas naturalnie najbardziej interesować będą produkty sprzedawane w Polsce przez Itron Polska sp. z o.o.

Jest spora szansa, że macie w domu (lub na klatce schodowej) jakieś urządzenie tej firmy. Gazomierz, wodomierz lub ciepłomierz (tradycyjny lub bardziej nowoczesny). Niedawno firma chwaliła się podpisaniem z łódzkim ZWiK umowy na dostawę wodomierzy i urządzeń do zdalnego odczytu, w ramach której dostarczonych zostanie 20 000 modułów radiowych przystosowanych do pracy w “dwukierunkowym systemie radiowego odczytu”.

Do momentu publikacji tego tekstu potwierdziliśmy, że także Miejskie Przedsiębiorstwo Wodociągów i Kanalizacji S.A. we Wrocławiu rozlicza się z klientami za dostawę wody i odbiór ścieków poprzez zdalne odczyty m.in. z urządzeń firmy Itron. Pytaliśmy też zakłady z innych miast i wciąż napływają do nas oświadczenia w tej sprawie. Pełną listę miast korzystających z podatnych urządzeń postaramy się zamieścić na końcu artykułu. Problem nie jest jednak ograniczony jedynie do miejskich zakładów wodociągowych, bo rozwiązania firmy Itron do zdalnego odczytu liczników mogą stosować np. wspólnoty mieszkaniowe do rozliczeń indywidualnych. A do wszystkich wspólnot na pewno nie uda nam się dotrzeć. Dlatego najlepiej sami obejrzyjcie swoje liczniki (a właściwie nakładki na nich) i sprawdźcie, czy nie wyglądają podobnie do tego:

Bo jeśli tak, to naprawdopodobniej atak opisany poniżej Was dotyczy.

Luka w systemie zdalnego odczytu

Piotr zainteresował się on produktem Itrona jakim jest Cyble Anyquest w wersji Basic. Jest to moduł radiowy umożliwiający odczyt danych z licznika z odległości kilkudziesięciu metrów za pomocą specjalnego terminala z wbudowanym modułem nadawczo-odbiorczym. Odczyt odbywa się w systemie dwukierunkowym, dzięki czemu moduły nadają tylko wtedy, gdy są „odpytywane” (czyli nie “non stop” jak w systemach jednokierunkowych). Moduł ten jest także wyposażony w tzw. alarm, czyli wykrywanie próby nielegalnego demontażu.

Wykryta w tym module podatność i opracowana przez Piotra Karwowskiego metoda ataku nie wymaga jednak demontażu wodomierza czy nałożonej na niego “nakładki” (czyli inaczej urządzenia Itron, nakładanego na licznik). Ekspert atak wykonuje zdalnie. Piotr nasłuchiwał fale radiowe i dane, które są wymieniane między terminalem a nakładkami na licznikach. Następnie poddał te dane analizie i spróbował się do nich “dopasować” przy użyciu transceivera, czyli radiowego urządzenia nadawczo-odbiorczego. Udało mu się poprawnie ustalić parametry pozwalające na nieautoryzowaną komunikację z nakładką wodomierza i to już było coś, ale… tak naprawdę ważniejsze odkrycie nastąpiło później:

Mając komunikację i sniffer, zacząłem przeprogramowywać różne parametry w swoim wodomierzu i słuchałem transmisji. Miałem nadzieję, że w tym momencie potrzebny będzie jakiś hash, PIN lub cokolwiek do autoryzowania kominikacji z wodomierzem. Chociażby statyczny klucz zabezpieczający transmisje zapisany w PSIONie (tj. w terminalu – red.). Ku mojemu zdziwieniu nic takiego nie było wymagane (…) Zero jakichkolwiek zabezpieczeń, PINow lub czegokolwiek innego — opowiadał nam Piotr.

Eksperymenty Piotra wykazały, że niestety transmisja stosowana w omawianym rozwiązaniu do zdalnego odczytu nie jest szyfrowana. Można powiedzieć, że mamy tu do czynienia z tzw. security by obscurity (czyli: “nie ma zabezpieczeń, ale nikt nie zaatakuje, bo nie będzie wiedział jak”).

Piotr, analizując komunikację z nakładką wodomierza, ustalił m.in., że do sterowania jego pracą potrzebny jest jedynie 9-cyfrowy numer seryjny “nakładki”. Problem w tym, że ten numer ma przewidywalny format i łatwo go “zbruteforce’ować”. Ale wcale nie trzeba się specjalnie męczyć z metodą brute-force. Właściciele mają bowiem dostęp do swoich wodomierzy w swoich mieszkaniach, a jeśli kogoś interesują urządzenia w budynkach wielorodzinnych, to zazwyczaj znajdziecie je w piwnicy. Dostęp z reguły jest swobodny. Odczytanie numeru i znajomość parametrów sygnału transmisyjnego pozwala na “złośliwe” przeprogramowanie nakładki na licznik.

Manipulacja stanem licznika

Nakładki Itrona da się nie tylko zdalnie odczytać, ale też zdalnie programować. Teoretycznie taki system powinien wykorzystywać bezpieczny kanał komunikacji lub przynajmniej podanie jakiegoś PIN-u (ustalonego przy pierwszym programowaniu wodomierza i dostarczonego zakładowi wodociągowemu). Niestety w przypadku badanym przez Piotra wystarczyło wysłać do nakładki wodomierza odpowiednio przygotowany komunikat. Nie było nawet ważne, czy nakładka wyśle jakieś potwierdzenie. Piotr zauważa, że mając odpowiedni sprzęt (tj. z odpowiednio silną anteną) ktoś mógłby nawet masowo, zdalnie przeprogramować wiele wodomierzy w zasięgu anteny.

Ramka programująca wysyłana jest w ciągu 2200ms. Po tym czasie możemy wysłać następną (odpowiedzi nas nie interesują, nie musimy tracić czasu na ich przetwarzanie), tak więc możemy metodą brute-force wypróbować 27 wodomierzy w ciągu minuty — dodaje Piotr Karwowski.

Weźmy za przykład wodomierz widoczny na zdjęciu powyżej. Korzystając z odpowiednio dostosowanego urządzenia podajemy jego numer seryjny nakładki:

Podawanie numeru seryjnego - zdjęcie

fot. Piotr Karwowski

Odczytujemy wskazanie licznika:

Wskazanie licznika na urządzeniu - zdjęcie

Teraz możemy przeprogramować nakładkę…

…i odczytać zaprogramowaną wartość (i przywrócić stan poprzedni).

Możecie to również zobaczyć na filmie nagranym przez Piotra

Nikt nie zorientuje się, że ktoś ingerował w stan urządzenia

Aby wykryć nieautoryzowane zmiany, nakładka zapisuje liczbę konfiguracji i odczytów. Niestety, ta wartość zapisana jest w 1 bajcie, A to oznacza, że dokonując 256 “głupich” odczytów wracamy do poprzedniego wskazania tej zmiennej służącej wykrywaniu nieautoryzowanych modyfikacji. Podsumowując, można wykonać na nakładce wodomierza 255 nieistotne operacje i następnie jedną, która odpowiednio go przeprogramuje.

Piotr i jego koledzy przetestowali nakładki produkowane w latach 2011-2017. W każdej z nich udało się im dokonać nieautoryzowanych zmian i w konsekwencji obniżyć wskazania licznika. Piotr spróbował również obniżyć stan licznika u siebie, aby wykazać zużycie 1m3 od początku miesiąca. Odczyt został bez żadnych problemów zaimportowany do programu księgowego.

Jakie są skutki takiego braku zabezpieczeń?

Osoby o złych intencjach mogą wykorzystać brak zabezpieczeń nakładki na licznik, aby:

  • modyfikować stan licznika w budynku/mieszkaniu na swoją korzyść;
  • masowo i zdalnie, złośliwie zerować liczniki (z wykorzystaniem metody brute-force do odgadywania numerów seryjnych);
  • dokonywać ataków MITM przy pomocy urządzenia, które wyśle do inkasenta odpowiednio spreparowany komunikat radiowy (te osoby mogą nawet zdemontować licznik w mieszkaniu);
  • wprowadzić na rynek stosunkowo tanie urządzenia do samodzielnej modyfikacji stanów licznika. Takie urządzenie mogłoby kosztować kilkadziesiąt złotych.

Podkreślamy, że opisany problem dotyczy nakładek Cyble Anyquest w wersji Basic. Inne produkty Itrona oraz podobne produkty innych firm wymagałyby osobnych badań, aby przekonać się, czy ich producenci inaczej podeszli do ochrony przed nieautoryzowaną komunikacją.

Zwracamy też uwagę, że sama modyfikacja danych na nakładce nie oznacza automatycznie, że wodociągi czy inny dostawca mediów nigdy nie dowie się o próbie zaniżenia/zawyżenia wartości. Co jakiś czas (zwykle, co kilka lat), inkasenci porównują zdalne odczyty z nakładek z liczydłem na faktycznym, mechanicznym liczniku — a tych wskazań opisany powyżej atak nie zmienia. Modyfikacja (zafałszowanie) wyjdzie więc na jaw i ewentualni żartownisie lub oszuści mogą i powinni zostać pociągnięci do odpowiedzialności. Atak wygeneruje jednak sporo papierkologii, a po kilku latach dochodzenie należnych opłat od osób np. wynajmujących mieszkanie w danym okresie, może być problemem dla osób wynajmujących lokale.

Co na to Itron i zakłady wodociągowe?

Oczywiście zwróciliśmy się do firmy Itron Polska z prośbą o odniesienie się do sprawy. 14 grudnia zadzwoniliśmy do krakowskiego biura firmy. Wysłaliśmy również e-mail z dłuższym technicznym opisem luki. Pracownica firmy potwierdziła dla nas telefonicznie, że nasze zgłoszenie dotarło i doczekamy się odpowiedzi. Do chwili publikacji tego tekstu nie dostaliśmy jednak żadnej odpowiedzi.

O sprawę pytaliśmy także Izbę Gospodarczą “Wodociągi Polskie”, która zrzesza zakłady wodno-kanalizacyjne. Chcieliśmy wiedzieć m.in. czy Izba ma jakieś dane na temat stosowanych przez takie zakłady rozwiązań i czy zechce nam pomóc w rozpowszechnieniu wiedzy na temat ewentualnego zagrożenia. Otrzymaliśmy tylko krótkie oświadczenie o braku takich danych.

Zwróciliśmy się więc bezpośrednio do kilkunastu zakładów wodno-kanalizacyjnych w miastach wojewódzkich z pytaniami o to, jakich rozwiązań używają i czy testowały jakkolwiek ich bezpieczeństwo.

Jako pierwsze odpowiedziało nam Miejskie Przedsiębiorstwo Wodociągów i Kanalizacji S.A. we Wrocławiu, które używa rozwiązań marki Itron. Przedstawiciel MPWiK Tomasz Jankowski stwierdził:

“Decydując się na rozliczanie z klientami metodą zdalnych odczytów, jako spółka wprowadziliśmy dodatkowe rozwiązania, które mają zabezpieczyć cały system przed wystąpieniem nieprawidłowości w rozliczaniu.”

Niestety nie wiemy o jakie dodatkowe zabezpieczenia chodzi. Dowiedzieliśmy się, że oferta Itronu była “analizowana pod kątem zabezpieczeń“, ale nie udzielono nam informacji na czym ta analiza polegała i jaki był jej rezultat.

Piotr Dykiert ze ZWiK w Szczecinie odpowiedział, że jego zakład nie korzysta z rozwiązań Itron, a stosowane w Szczecinie rozwiązania “są sprawdzone pod kątem bezpieczeństwa i nie ma możliwości zdalnego manipulowania licznikami”.

Spółka WiK w Opolu przyznała, że ten zakład korzysta z rozwiązań do zdalnego odczytu wodomierzy, także firmy Itron. Zdaniem spółki “komunikacja dwukierunkowa tego systemu wyklucza większość błędów zdarzających się częściej w systemach jednokierunkowych”. Przedstawiciele WiK zauważyli, że do rozliczeń zasadniczo służy wodomierz a nie system zdalnego odczytu, więc można zawsze sprawdzić stan wodomierza. Tylko czy oprócz oszukania nakładki nie da się oszukać także wodomierza? I jak często sprawdza się (porównuje) wartości pozyskane zdalnie z nakładki ze wskazaniami fizycznymi na wodomierzu? Ten temat będziemy jeszcze analizować.

Agnieszka Jaszkaniec z zakładu wodociągowego w Katowicach przyznała, że spółka korzysta z systemu radiowego odczytu wodomierzy firmy Itron. Stosowane przez te zakład moduły komunikują się – według Pani Agnieszki – “za pomocą zamkniętego zaszyfrowanego protokołu”. Co istotne, używane w Katowicach urządzenia służą tylko do odczytu czyli tzw. podsłuchu danego modułu, a nie do komunikacji dwustronnej.

W otaczającej nas rzeczywistości, gdzie ataki hakerskie są powszechne, oczywiście dopuszczamy możliwość złamania szyfru komunikacyjnego pomiędzy modułem, a urządzeniem odczytującym. Do tej pory nie odnotowaliśmy takiego przypadku, niemniej jednak w trosce o naszych klientów, co pół roku dokonujemy kontroli u odbiorców, u których funkcjonuje odczyt radiowy. W przypadku alarmów dotyczących naruszenia nakładki do odczytu radiowego lub znacznie zwiększonego lub znacznie zmniejszonego zużycia wody w stosunku do poprzednich okresów kontrole są wykonywane niezwłocznie po uzyskaniu takiej informacji z systemu. Pracownicy naszej Spółki badają poprawność odczytu zdalnego z rzeczywistym — dodała Agnieszka Jaszkaniec.

Zakład ciepłowniczy z Krakowa (MPEC) korzysta z rozwiązań do zdalnego odczytu ciepłomierzy. Jak jednak twierdzi jego przedstawicielka – Renata Krężel – nie są to rozwiązania firmy ITRON. “MPEC. posiada rozwiązania nieczułe na zdalną ingerencję w odczyt wartości mierzonej. MPEC bierze pod uwagę zagrożenia płynące z rodzaju wrażliwości urządzeń jakimi są liczniki ciepła, jednak sposób organizacji odczytów eliminuje takie zagrożenie” — dodała Renata Krężel.

Jak dotąd na nasze pytania nie odpowiedziały zakłady w: Białymstoku, Olsztynie, Lublinie, Rzeszowie, Warszawie. Zakład w Gdańsku skierował as do spółki SNG, która zajmuje się odczytywaniem danych z wodomierzy. Ta firma jak dotąd nie udzieliła nam odpowiedzi.

Jak już wspomnieliśmy, problem wykracza poza miejskie czy gminne zakłady wodociągowe. Dotyczy także spółdzielni czy wspólnot mieszkaniowych, które rozliczają zużycie wody w mieszkaniach w budynkach wielorodzinnych.

Co robić? Jak żyć?

Ustalmy od razu — uporanie się z tym wszystkim nie będzie łatwe. Zmiana protokołu komunikacyjnego to spore wyzwanie. Można oczywiście podjąć pewne tymczasowe środki zapobiegawcze np. całkowicie zrezygnować z odczytów zdalnych lub przynajmniej zmniejszyć ich częstotliwość (np. do 6 miesięcy) i regularnie porównywać je z fizycznymi wskazaniami faktycznych liczników. Ale to podejście przekreśla największą zaletę stosowania tego typu nakładek.

Piotr ma pewien pomysł, jak można by było zabezpieczyć taki protokół komunikacji. Nie opisujemy dokładnie jego rozwiązania, aby przedwcześnie nie wyjawiać szczegółów technicznych. Byłoby najlepiej, gdyby firma Itron odniosła się do ustaleń i współpracowała z Piotrem Krawowskim i ZUK-iem w Orzyszu przy opracowaniu środków zaradczych. Badacz i zaprzyjaźniony z nim Zakład Usług Komunalnych deklarują chęć współpracy i wymiany informacji z innymi zainteresowanymi.

Sam ZUK w Orzyszu jest zabezpieczony przed ewentualnymi oszustwami. Dodajmy — bo to dość niespotykana a godna pochwały postawa — że przedstawiciele tego zakładu zaangażowali się w zbadanie sprawy razem z Piotrem. Pełne potwierdzenie istnienia problemu nie byłoby możliwe, gdyby nie współpraca z prezesem ZUK, Grzegorzem Sobotką. Weryfikował on ustalenia pod względem merytorycznym i był niejako świadkiem tego co ustalono. W prace związane z ustaleniem problemu zaangażowała się także zakładowa ABI, Anna Pilarczyk.

Spółki zainteresowane zagadnieniami bezpieczeństwa wodomierzy i uzyskaniem pomocy mogą się kontaktować z prezesem ZUK Orzysz (grzegorz.sobotka(małpa)zukorzysz.pl). Wam natomiast radzimy monitorować zużycie wody w mieszkaniu i porównywać je z rozliczeniami. A nuż któryś z sąsiadów ma moduł SDR i postanowi wyciąć Wam psikusa.

PS. Jeśli pofatygowaliście się do swoich liczników i zauważyliście opisywaną w artykule nakładkę marki Itron, zostawcie nam w komentarzach informację odnośnie Waszego miasta i nazwy spółdzielni lub zakładu wodociągowego/gazowego, do którego należy Wasz licznik. To chyba będzie najlepsza metoda na oszacowanie skali problemu w Polsce.

Aktualizacja

Przedsiębiorstwo Wodociągów i Kanalizacji w Olsztynie odpowiedziało dziś na nasze pytania.

1) Wdrożyliśmy pilotażowy system zdalnego odczytu wodomierzy. Nie jest to rozwiązanie firmy Iron.
2) Wdrożone rozwiązanie zostało przeanalizowane pod kątem bezpieczeństwa komunikacji, w tym możliwości zdalnej, nieautoryzowanej ingerencji w wodomierz.
3) PWiK bierze pod uwagę ryzyko zdalnego manipulowania licznikami po sforsowaniu przewidzianych zabezpieczeń. W związku z powyższym wdrożono w przedsiębiorstwie dodatkowe procedury sprawdzenia poprawności odczytów zdalnych poprzez m.in. weryfikację odchylenia standardowego zużycia w podsystemie inkasenckim oraz podsystemie bilingowym.

Anita Chudzińska, rzecznik prasowy PWIK Sp. z o.o. w Olsztynie

Przeczytaj także:

103 komentarzy

Dodaj komentarz
  1. Cały Bolesławiec + okoliczne wsie i Lwówek Śląski – wodociągi.

  2. Pracuję w miejskich wodociągach, gdzie są stosowane nakładki innego producenta i drogą radiową możliwy jest tylko odczyt, wszelkie zmiany trzeba wprowadzać “optycznie”. Są to nakładki IZAR jednokierunkowe ;)

    Ale chciałbym zwrócić na coś innego uwagę, a mianowicie nawet w tych przypadkach, co opisane są w tym artykule, to nie ma w sumie większego znaczenia w finalnym rozliczaniu się. Co 5 lat wymienianie są wodomierze, gdzie spisywany jest do protokołu stan liczydła z wodomierza (a nie, z nakładki) i analogicznie przy montażu nowego wodomierza. Do czego zmierzam, ten własnie stan, który jest spisany – będzie brany pod uwagę do rozliczenia / wyrównania.
    Więc przyjmijmy, że ktoś sobie miesięcznie “obcinał” 5m^3 w odczycie radiowym (i nie wzbudzi podejrzeń wodociągów, a nagłe zmiany w zużyciach są u nas monitorowane) i po pięciu latach różnica między liczydłem w wodomierzu, a odczytem radiowym będzie wynosiła 300m^3.
    To na fakturze wyrównawczej będzie widniała kwota za różnicę metrów od ostatniego odczytu do zdjęcia wodomierza. Czyli w tym również te zgubione 300m^3.

    Więc czy się opłaca kombinować? Według mnie nie warto, bo można się zdziwić liczbą na fakturze po x czasie ;)

    • Weź pod uwagę że wiele osób wynajmuje mieszkania, niekoniecznie właściciel lokalu może kombinować. W ciągu 5 lat mogą się przez jego lokal przewinąć 3 osoby, potem kto za to zapłaci?

    • @Lukasz
      Właściciel przy zdawaniu/odbiorze mieszkania spisuje stan fizycznych liczników.
      Nakładka nie wpływa na stan mechanicznego liczydła tylko je odczytuje.

    • No chyba, że dodatkowo znajdzie się sposób na oszukanie liczydła w wodomierzu. Ten temat będziemy jeszcze rozwijać.

    • Racja panie Darku, proszę jednak zauważyć na działania ukierunkowane na szkodzenie innym ludziom. Wirusy też często nie są pisane dla czyjejś korzyści, lecz na czyjąś szkodę.

    • Tylko że mając niewykrywalny sposób manipulowania samym licznikiem nie ma powodu żeby jeszcze manipulować nakładką, chyba że moje założenie że nakładka dokonuje pomiaru w oparciu o wskazania faktycznego miernika jest błędne.

    • Można jednocześnie manipulować danymi w przystawce I wskazaniem na liczydle mechanicznym licznika nie ingerując nawet w konstrukcję samego licznika. Na zdjęciu zamieszczonym w artykule widzimy liczydło 5 pierśceiniowe (m3). Wystarczy pomiędzy weryfikacjami odczytów z liczydeł zużyć 99999 m3 I liczydło się przekręci czyli nikt nie zauważy kradzieży chyba że jest licznik zbiorczy np w budynku.

    • 100 000m3 to jest jezioro! Wydajność kranu jest ok 10L na minutę, co oznacza że na “wylanie” 100000m3 będziesz potrzebował tylko 19 lat.
      Dodam że co parę lat liczniki się wymienia… więc raczej nie zdążysz.

  3. Bioroac pod uwage skale w jakiej wystepuja urzadzenia Itronu (oraz wygrywane czesto przez nich przetargi na dostarczenie urzadzen) BugBounty dla p. Piotra powinien isc w nascie BTC najmniej :P

    • Mogą dostarczyć o 6:00 rano… :)

  4. Pytanie z innej beczki – co to za sprzęt użyty do PoC, tzn ta płytka?

    • arduino

    • @as: To nie wygląda jak żadna znana mi płytka Arduino. Jeżeli to jest z rodziny Arduino, możesz podać konkretny model?

    • To płytka Microchip SAM4E-EK Evaluation Board

  5. Komunikacja powinna być obustronnie podpisywana oraz szyfrowana algorytmami asymetrycznymi. Każda nakładka powinna mieć w swojej pamięci własny klucz prywatny i klucz publiczny terminala. Terminal musi mieć własny klucz prywatny i klucze publiczne wszystkich nakładek jakie obsługuje. Próba otwarcia urządzenia powinna spowodować wyczyszczenie kluczy.

    >Tylko czy oprócz oszukania nakładki nie da się oszukać także wodomierza?
    No właśnie, co ma jedo do drugiego? Przecież wodomierz to urządzenie mechaniczne.

    • Po co ci szyfrowanie ? Wystarczy, że nakładka będzie działać w trybie read-only i tyle. Jestem ciekaw kto i w jakim celu wpadł na pomysł, żeby zdalnie dało zmienić się jakiekolwiek dane w tej nakładce ? Jaki był cel ?

    • @Damian
      zamysł może był taki żeby jakkolwiek zerować liczniki, i używać ich ponownie. taniej na pewno jest wyzerować jakiś licznik niż wyprodukwać kolejny. a dalczego akurat zdalnie? bo taką komunikacje już zaimplementowali i po co robić np. jakąś komunikacje po pinach?
      to tylko teoria oczywiście

    • Nakładki nie muszą mieć przypisanej pary kluczy. Wystarczy, że nakładka będzie odpowiadała tylko na komunikaty podpisane kluczem prywatnym terminala. Nakładka przy pierwszym programowaniu zapamiętuje klucz publiczny terminala i tyle wystarczy. Wiele terminali w obrębie jednej organizacji/spółdzielni może mieć wprowadzony ten sam klucz prywatny. W ten sposób jedną parą kluczy można obsłużyć wszystkie nakładki w danej spółdzielni/przedsiębiorstwie.

  6. MBus i Wireless M-Bus to standardowe (unormowane) protokoły odczytu. Standard nie przewiduje żadnego szyfrowania ani autoryzacji, więc kwestia dotyczy nie tylko Itrona.

    Priorytetem dla tych urządzeń jest energooszczędność, one muszą pracować wiele lat na jednej malutkiej bateryjce. Nie ma szans na implementację skomplikowanego szyfrowania, a proste jest bezskuteczne z uwagi na bezpośredni i nielimitowany dostęp fizyczny, dodatkowo praktycznie nieograniczony czasowo. Więc można śmiało miesiącami łamać bruteforcem kilkucyfrowy PIN.

    System musi być ponadto łatwy w uruchomieniu i konserwacji. Uruchomienie i utrzymanie sieci kilku tysięcy takich urządzeń jest wystarczająco pracochłonne i kosztochłonne. Dołożenie dodatkowego utrudnienia w postaci autoryzacji sprawę pogrąży.

    A dlaczego w ogóle jest możliwość ustawiania stanu licznika? Otóż nakładka i wodomierz właściwy to dwa niezależne urządzenia. Nakładka jest swobodnie konfigurowalna i można ją założyć na gazomierz lub wodomierz, mały albo duży. I trzeba ją skonfigurować, ustawić stałą impulsową i zsynchronizować licznik wewnętrzny nakładki ze wskazaniem mechanicznego licznika. Bez tego nie wiemy jaki jest właściwie stan licznika rozliczeniowego.
    Nie dotyczy to liczników zintegrowanych, gdzie urządzenie zawiera w sobie moduł mbus. Wtedy mamy kilka tzw liczydeł (np dla różnych taryf) i część z nich jest tylko do odczytu.

    A tak w ogóle, to w tym przypadku security by obscurity jest wystarczające. Przy montażu/demontażu licznika w celu legalizacji spisywany jest jego stan. I mamy wtedy rozliczenie rzeczywistego zużycia.

    • Operacje kryptograficzne realizowane sa dzis z reguly przez HW, zmapowane na pamieci. Nie wymaga to energochlonnych cykli prcesora, tylko ustawienia odpowienich rejestrow, a wynik dostaniemy pod wskazany adres pamieci. Calosc zostanie zrealizowane przez bramki logiczne procesora, bez potrzeby marnowania cykli procesora, a wiec i energii.

      Do tego, jesli nakladka mialaby byc programowana raz na rok, a odczytywana raz na miesiac to o jakiej energochlonnosci mowisz ? Przeciez i tak mcu nakladki jest w deepsleep, a operacja kryptograficzna realizowana bylaby w momencie zapisu/odczytu.

      Protokol wireless mbus byl przedmiotem licznych badan pod katem bezpieczenstwa, i na dzien dzisiejszy uznawany jest za bezpieczny.

      I ku twojemu zdziwieniu, to tak, jest opcja szyfrowania aes128 – ciekawe czemu…

      Polecam wiec doksztalcenie sie w temacie, lap wiec tresciwe opracowanie na temat protokolow uzywanych w licznikach, szczegolnie sekcje 4.2.4.5:

      http://bit.ly/2kVvOXc

    • WMBUS (wg EN13757) również oferuje szyfrowanie i to całkiem przyzwoite. Jest wiele dodatkowych specyfikacji rynkowych w Europie (np. OMS), które uszczegółowiają protokół i oferują przyzwoity poziom zabezpieczeń np. tryb 5 lub 7 (AES-128, CMAC), wykorzystywany w urządzeniach zasilanych bateryjnie, m.in. liczników mediów działających w sieci nawet przez okres 10-15 lat. Sam protokół nie jest tutaj problemem.

    • @Qw
      W takich MCU jakie znajdują się w nakładce z operacji kryptograficznych to zwykle jest tylko AES, a rozwiązania z szyfrowaniem asymetrycznym są niespotykane (choć oczywiście mogę się mylić). A bardziej skomplikowane, tym samym droższe rozwiązania są niemile widziane, gdyż woda jest bardzo tania (póki co) i koszt urządzenia musi być niski.
      Przy stałej ramce o znanym formacie AES nie bardzo zabezpiecza przed zmianą danych. OMS wprowadza nowe sposoby szyfrowania i zapewnienia integralności do wmbus, ale weź pod uwagę, że na rynku jeszcze długo będą urządzenia wyprodukowane kilka lat temu.

      Tak jak napisał jeden z przedmówców zużycie wody jest rozliczane ze wskazania wodomierza – a to wskazanie się nie zmieniało. Więc nie jest to obniżanie rachunków, a co najwyżej kredyt w koncie. Co miałby dać demontaż licznika jest dla mnie zupełnie niezrozumiałe – do tej pory mam licznik odczytywany ręcznie i sam podaję jego stan, gdyż zwykle nie ma mnie w domu kiedy są odczyty. A jednak licznika nie demontuję.
      Dodając do powyższego fakt, że często te “szyfrowane” nakładki mają ze względów logistycznych taki sam klucz dla całego systemu cała ta afera wygląda jak próba zdyskredytowania Itrona przed jakimś dużym przetargiem. Pozostawienie producentowi 7 dni na odpowiedź dotyczącą tak dużej “podatności” właściwie dopina całość.

    • Po co chcesz coś ustawić ? Jak ci montują nowy licznik, to też przekręcają, żeby się stan zgadzał z poprzednim ?

    • Nakladka Itrona, opisywana w artykule kosztuje 250zl. Sama nakladka, bez licznika.

    • Widzę sami eksperci. “Wszystko się da. Wszystko dziś można.”
      Prawda jest taka że te urządzenia mają być tanie i bezobsługowe!
      Projekt, produkcja to lwia część kosztu. Wygrywa ten kto ma najtaniej.
      Licznik wody jest legalizowany i to on jest ostatecznym rozliczeniem. Po drodze można zmieniać nakładkę. Można wyładować baterie kiedy odpytuje się je za często. Większa bateria, droższy chip, więcej pamięci, to wszystko zwiększa koszty podzespołów, montażu, oprogramowania.
      Pomijam fakt że w ogromnej części takie liczniki i ich systemy obsługuje “elita” spółek. Bo dla przeciętnego majstra z kluczem jest to jakieś elektroniczne gunwo na które murza uważać, patrzeć na małe literki żeby spisać SN, być dokładnym przy montażu, a nie dokręcić śrubę i iść dalej.
      Jak im dacie PSIONa czy jakiekolwiek inne urządzenie i po drodze wydarzy się cokolwiek poza scenariuszem “kliknij, poczekaj, pisz i wyjdź”, zaczyna się telefoniada, tyrada problemów i niezgodności.

      To są ludzie którzy jeszcze używają FAXu!

      To tylko urządzenie pomocnicze. U żadnego klienta jeszcze nigdy nikt nie pytał o “zabezpieczenie” a już całkowicie zapominając o takich rzeczach jak klucze publiczne i inne metody zabezpieczenia. W żadnym przetargu to nie miało znaczenia.

      P.S.
      Itron korzysta z Radiana.

    • @TenZły

      Ale przeciez klucz symetryczny mozna generowac prostymi metodami. Np S/N nakladki , Pin do dyspozycji wodociagow(np. 64 bitowy, w pelni losowy). Do tego za kazdym razem negocjacja IV. I to byloby wystarczajace.

      Tu naprawde nie trzeba magicznej wiedzy dla pana Wieśka odnosnie uzbrajania kluczy w RSA ani calej tej otoczki, wpisuje tylko SN, pin i nic wiecej go nie obchodzi …

    • @QW:
      Takie algorytmy są już od dawna stosowane co więcej z produktach Polskich firm.
      Zamiast kupować badziew warto aby Polskie przedsiębiorstwa inwestowały w Polskie rozwiązania które są stosowane na całym świecie, sprzedają się dobrze i są na tyle bezpieczne, że wprowadza się je na takie rynki jak UK czy USA (a tutaj certyfikacja na obce jest sroga).

      Celowo nie pisze jakie firmy operują na Polskim rynku po pierwsze aby nie robić reklamy, a po drugie bo zainteresowani znają temat.

  7. wiele takich urzadzen mozna DoSowac za pomoca prostego replay, bez znajomosci protokolu. wystarczy puszczac przez caly czas podsluchane komunikaty do odczytu licznika a zabijemy baterie.

    jakby to byl moj licznik to szybko dorobilby sie w sasiedztwie generatora szumow na 433MHz :)

    interesujace jest rowniez to, ze jak rozumiem licznik moze odczytac ktokolwiek i to z duza rozdzielczoscia czasowa. akurat w sam raz do stwierdzenia czy ktos mieszka u sasiada i ile osob

    VY 73

    • Polecam owinąć licznik w folię z amelinium! :)

    • 73! :)

    • Ze specyfikacji mojego licznika, w którą wgłębiałem się z rok temu wynikało że działa na bodajże 868 mhz, i umożliwia odczyty przez 10 lat z częstotliwością raz w miesiącu. Jak będziesz to robić częściej baterię zabijesz w tydzień. To chyba największy problem.

    • Tutaj podstawy transmisji radiowej się kłaniają kolego. Po pierwsze częstotliwość 433MHz podzielona jest na kanały więc musiałbyś zajmować całe pasmo (co nie jest szczególnie trudne w przypadku generowania szumu), po drugie musiałbyś wstrzelić się w okna czasowe takiego licznika bo nie nadaje on ramek cały czas tylko np. co 200-500 sekund, po trzecie musiałbyś znać dokładny sync word albo nadawać z odpowiednio długą preambułą, po trzecie to urządzenie musiało by działać dwukierunkowo, a bardzo wielu przypadkach transmisja radiowa stanowi wyłącznie medium nadawcze natomiast całą konfigurację wgrywa się w stosownych trybach serwisowych lub przez port optyczny zabezpieczony przed sabotażem.

      Wszystko się da… ale przede wszystkim da się nie pisać pierdół kiedy nie zna się tematu.

  8. Wypisujcie miasta [‘][‘][‘]

  9. Ciekawe kiedy będą koparki BTC na liczniki wody, prądu, gazu :)

  10. Odczyt można też w wielu przypadkach podać telefonicznie. Myśle że to afera z kapelusza. Zawsze liczniki są prędzej czy później spisywane fizycznie.

    • Idąc tym tropem rozumowania dojdziemy do wniosku, że samo zakupowanie nakładek jest totalnie zbędnym wydatkiem :) Niektóre miasta wydają na to grubą kasę, a Ty mówisz, że to całkiem niepotrzebne :)

      Spójrz na to inaczej. Bezpieczeństwo nakładki jest na poziomie niższym niż sądziliśmy. To już jeden krok bliżej do oszustwa idealnego. Teraz pozostaje zaatakować sam licznik. Uważasz, że jest absolutnie pewne, że nie znajdzie się na to sposób?

    • TAK! To jest zbędny wydatek! Koszt fizycznego odczytu wodomierza to ok 10zł.
      Nakładka kosztuje ~200zł. Wodomierze są wymieniane co 5 lat w imię tzw legalizacji. Odczyt jest z reguły raz na rok. Matematykę zostawiam Wam.

    • @Marcin Maj
      Na pewno wyższy poziom bezpieczeństwa by nie zaszkodził (głównie po to aby sąsiedzi nie mogli na bieżąco monitorować mojego zużycia) ale wszelkie wizje dotyczące oszustwa nie mają podstaw. Jak już wspomniano, nakładki na liczniki czy samodzielne podawanie stanu licznika (przez telefon lub internet) to tylko dodatek pozwalający uszczegółowić rozliczenie w czasie ale podstawą rozliczeń są wskazania licznika. Nie wyobrażam sobie by jakieś wodociągi nie sprawdzały bezpośrednio stanu licznika (i plomb, i czy nie jest omijany itp.) przynajmniej raz w roku.
      “Teraz pozostaje zaatakować sam licznik.” – Przypomina mi się kawał o gościu który chciał przejąć jakąś dużą firmę i swoją zgodę już miał, brakowało mu “tylko” zgody dotychczasowego właściciela. Oczywiście, że jeśli się da oszukać licznik to jest problem ale to jest zupełnie niezwiązane z nakładkami.

    • “Na pewno wyższy poziom bezpieczeństwa by nie zaszkodził (głównie po to aby sąsiedzi nie mogli na bieżąco monitorować mojego zużycia)”
      W wielu starszych blokach, gdzie remont instalacji był robiony po taniości liczniki wody są na klatce. Co robić, jak żyć?

    • @Marcin Maj:
      Nie znając tematu niczego nie zaatakujesz natomiast ściągniesz sobie na głowę sąd i stosowną karę.
      W laboratoriach sprawdza się ingerencje w liczniki, a odchyłki z odczytów wyłapywane są w skali kilku miesięcy więc ten proceder jest możliwy i owszem ale modyfikowanie zdalnego odczytu skończy się najprawdopodobniej w sądzie (albo w wielu przypadkach na polubownym rozwiązaniu) natomiast ingerencja w sam licznik wymaga doświadczenia, bo bardzo wiele jego elementów można w sposób oczywisty uszkodzić. Taką wadę bez problemu wykryje doświadczony serwisant o laboratorium nie wspomnę.

      Jak ktoś chce kraść wodę, energię elektryczną czy gaz to taniej i bezpieczniej jest zrobić bajpas w instalacji omijający licznik bo trudniej jest go wykryć – zużycie jest stałe, niskie i nie wymaga żadnych korekt. Niemniej różnica na liczniku zbiorczym zostanie prędzej czy później wykryta więc albo zrzucą się na delikwenta wszyscy albo zostanie on w miarę szybko zlokalizowany.

      Uwierz mi ludzie próbują kraść wodę i prąd nawet na ogródkach działkowych, gdzie ROCZNE opłaty nie przekraczają sumarycznie 300 zł. Wiele ogrodów prócz jednego zbiorczego licznika ma liczniki rozlokowane na alejkach, później oczywiście na poszczególnych działkach. Na jednej alejce jest kilka do kilkunastu ogrodów więc nie trudno zlokalizować oszusta, bo jak ktoś często robi grilla i nie zużywa przy tym kropli wody to jest co najmniej na liście podejrzanych.

    • Tak, fizycznie. Przychodzi Pan ze spółdzielni, dzień dobry, chce sobie pan odczytać, czy panu podać? Proszę mi podać… kuchnia x m3, łazienka y m3, uhum, to jeszcze tu podpis poproszę, dziękuję, do widzenia, miłego wieczoru!
      Żadnej weryfikacji, żadnego sprawdzania plomb. Jedynie mój fizyczny podpis na protokole jest potwierdzeniem, że dane są zgodne ze stanem faktycznym.

  11. czyżby LoRa po taniości?

  12. I tak wodomierz i ciepłomierz mają legalizację na 5 lat i po tym okresie przy wymianie spisywany jest stan z licznika (a nie nakładki radiowej). Takich nieszyfrowanych konfiguracji to jest dużo w urządzeniach wielu firm.

  13. Wystarczy wysłać pewnie na numerze 0000000…. lub 99999999… lub FFFFFFFF… i pójdzie jako broadcast, jeżeli odpowiedziami nie trzeba się nawet przejmować.

  14. Prędzej czy później (maksymalnie po 5 latach) stan zostanie spisany fizycznie z licznika, a nawet jeśli ktoś wpłynie na stan samego licznika, to nie będzie musiał zajmować się wtedy nakładką, bo to co pokaże i tak nie będzie miało finalnie(przy zdejmowaniu licznika) znaczenia.

    Dodatkowy nie zapominajmy że wodociągi i spółdzielnie stosują liczniki główne więc trzeba by było pilnować by wartość na nich znacząco nie odbiegała od sumy z podpiętych liczników.

    Ale skoro robimy z tego aferę na rodem z faktu:
    -znacząco zawyżając sąsiadowi choremu na serce stan licznika, możemy wyprawić go w zaświat jak zobaczy rachunek
    -możemy strollować zakład/spółdzielnie która korzysta z rozwiązania i kazać im sprawdzać tradycyjnie
    -w przypadku znaczącej podwyżki cen wody możemy kupić ją sobie po starej cenie “na zapas” nabijając zawczasu licznik:)

    • A i jeśli mamy niemiłą panią w spółdzielni o możemy na nią nasłać całe morze wkurzonych sąsiadów z dopłatami za wodę

  15. A czy toś sprawdził podzielniki kosztów ogrzewania nie mają elementów mechanicznych więc nie można ich sprawdzić.

  16. Ciekawe czy podzielniki ciepła np Metrony też są takie “otwarte na współpracę ;)

    • Podzielniki to jedna wielka machlojka spółdzielni mieszkaniowych. Te urządzenia nie mają nawet legalizacji GUM.

  17. @Marcin Maj
    Pamiętasz, że kłamstwo ma krótkie nogi ?
    Każdy szanujący się zarządca lub administracja budynku:
    1. ma główny licznik i jeśli wyjdzie za duża różnica to poleca z odczytem fizycznym
    2. wymienia liczniki co kilka lat z powodów naturalnego zużycia.

    No i mamy jeden krok wstecz do „oszustwa idealnego” :-)

  18. Apator ma podobnie. Domyślnie wszystkie nakładki nie mają szyfrowania (choć mogą – AES). Ich oprogramowanie (c# / java) nie jest w żaden sposób zabezpieczone, więc można podejrzeć kod. Komunikacja jest dwustronna.

    • Kolego Tad….. domyślnie nakładki Apator-a mają włączone szyfrowanie AES ;)

    • Jaką metodą można podejrzeć kod aplikacji w javie ?

    • @shevu – miałem trochę (~300) nowych wodomierzy apatora (z dwóch różnych źródeł) w ręce i żaden z nich nie miał.

    • @Michał – dekompilator?

    • @Tad – to źle kolega patrzył. Wszystkie mają włączone AES CBC. Klucz w nowych nakładkach to same zera. Ułożenie danych w ramce wm-bus jest specyficzne dla producenta :)

  19. Nakładka to jedno, a stan na wodomierzu to co innego. Opisywane nakładki są przeznaczone na wodomierze mechaniczna. Czyli woda płynie licznik się kręci. Aby zmienić stan na wodomierzu, trzeba już kombinować fizycznie.

  20. Kontrola jest przy zakładaniu i zdejmowaniu licznika, czyli właściciel lokalu podpisuje się pod tym, co monter zdjął – założył. Problem pojawia się w momencie kiedy ktoś chciałby zrobić sąsiadowi “numer”, albo w przypadku wynajmowanych mieszkań. Jeśli wynajmujący jest informatykiem, nawet amatorem, może taki numer odkręcić wynajmującemu. Rzadko zdarza się, że wynajmujemy mieszkanie na dłużej niż 2-3 lata…

  21. Katowice: faktycznie mamy takie nakładki (ale nie wszystkie osiedla, z tego co wiem), i jest na nich napis “enhanced”, więc być może są lepiej zabezpieczone. Swoją drogą, w artykule pierwsze zdjęcie prezentuje właśnie wersję enhanced, a drugie basic. Jak widać z zewnątrz niczym się nie różnią oprócz etykietki… :)

    Natomiast co do “tylko do odczytu” – to nie do końca prawda. U mnie po wymianie licznika (jak to co 5 lat), nakładka zepsuła się po pół roku – i panowie którzy przyszli ją wymienić mieli terminal którym byli w stanie radiowo zapisać aktualny stan “starego” licznika w nowej nakładce. Więc na pewno da się w nich coś namieszać.

  22. Wodomierz to urządzenie mechaniczne, które można skontrolować fizycznie. Gorzej wygląda sprawa tzw. podzielników ciepła montowanych na kaloryfery. Jeśli tam coś zmienimy to jedynym środkiem kontroli jest licznik w węźle cieplnym, co w platce z 30
    mieszkaniami niewiele pomoże.

  23. Czy są dostępne gdzieś szczegóły rozwiązania.
    O ile manipulacja odczytem oprócz złośliwego zaniżania/zawyżania wskazań sąsiadom jest mało przydatna, to odczyt owszem. Chciałbym móc robić sobie odczyty samodzielnie na potrzeby mojego systemu automatyki domowej.

  24. W Polsce są producenci wodomierzy zabezpieczonych przed ingerencja, a nawet przewyższają pod tym względem zachód.

  25. Ale to wszystko jest komunikacją. Wymaga przynajmniej podwojenia czasu nadawania i odbierania ramki. Trzeba nad tymi kluczami zapanować. zintegrować to z systemem klienta. Dołożyć baterie, zwiększyć cenę. I mówię Ci, jeszcze kilka lat temu niektórzy instalatorzy nie wiedzieli jak się wysyła SMS a Ty takie cuda byś oczekiwał.

    Klient kształtuje rynek. Takich ludzi mają, takie rzeczy chcą, nikt w przetargu nie nagradza za szyfrowanie, więc się tego nie robi.

    Wszelakie różnice między licznikami zbiorczymi a sumą końcowych i tak są wyłapywane i badane, z miesiąca na miesiąc, z tygodnia na tydzień, Więc i tak “odkładanie” ostatniego odczytu nie zadziała.

    Nie mówię że takich rozwiązań nie ma. Oczywiście że są, Polskie od a do z, mają szyfrowaną komunikację w pełni. Ale nie jest to w żaden sposób nagradzane więc po co się z tym męczyć i dopłacać.

  26. @TenZły

    Ale ja Cie doskonale rozumiem. Czesto wzgledy biznesowe/ekonomiczne/marketingowe/praktyczne przewazaja szale nad czescia techniczna. Tak to dziala od lat.

    Problemem jest jak robisz produkt, i reklamujesz, ze jego odczyty sa w 100% wiarygodne, a w rzeczywistosci tak nie jest.

    Zrob produkt, zaoszczedz na technice, ale wpisz w karte katalogowa, ze odczyty sa tylko orientacyjne i zawsze trzeba je zweryfikowac w terenie. No i tu sie zaczyna klopot-ktos, kto mialby zakupic takie urzadzenie za 250zl zastanowilby sie kilkukrotnie.

    • w “naszych” urządzeniach jest to bezpieczne. W teorii każda manipulacja jest do wykrycia. W Gliwickich urządzeniach counter komunikacji nie jest na kilku znakach. Każde urządzenie ma swój klucz, swój SN. Cały szereg zabezpieczeń przed sabotażem, demontażem, przegrzaniem. Ale widzisz, rynek woli chłam. W dodatku w abstrakcyjnej cenie.

    • jakie to są te “gliwickie urządzenia”?

    • @Tad
      http://aiut.com.pl/pl/telemetry/water-monitoring

    • @QW i TenZły:
      Zaraz się okaże, że w jednym temacie spotkali się ludzie z różnych działów tego samego producenta ;-)
      Tutaj wielcy tajniacy, a w pracy o tyłkach koleżanek przy psującej się kawiarce dysputy prowadzą.

  27. Drodzy przedmówcy, temat zdalnych odczytów i bezpieczeństwa danych ma wiele aspektów, które nie pozostają bez znaczenia. Znam te tematy od strony administrowania budynkami, dlatego mogę powiedzieć co nieco od tej strony.

    Najpierw kwestia “wyrównania” rozliczenia wody, kiedy ktoś zmanipuluje odczyt radiowy – Owszem, teoretycznie użytkownik zapłaci różnicę, ale dla zarządcy nieruchomości, albo dla dostawcy wody problem jest szerszy i związany z bilansowaniem wody. Wodę niezbilansowaną nalezy rozliczyć na bieżąco – więc inni użytkownicy zapłacą za wodę którą ktoś wczesniej “ukradł”. W rozliczeniu to wielki problem, w tym księgowy, bo przy wymianie liczników już rozjazd może być duży a problemy dwa: ściągnąć nalezność od tego co oszukiwał i oddać innym za wodę niezbilansowaną w poprzednich okresach (zadanie graniczy z nierealnością); wyjaśnić użytkownikom, co się k.. stało? Przyznanie się do błędu przy wyborze “operatora wody” grozi zarządowi ścięciem na najbliższym walnym..

    Druga kwestia – bezpieczeństwo danych wrażliwych. Już pojawiły się tu w międzyczasie hasła, że możemy “podejrzeć” sąsiada … To jest tak samo niedozwolone w ramach Ochrony Danych Osobowych, jak np. analiza zużycia en. elektrycznej – na tej podstawie można nasłać złodzieja do mieszkania, kiedy wiemy, ze ktoś o jakichś porach nie przebywa w domu, albo ze nie ma go tam od tygodnia.. Problem jest b. duży i dopiero w europie pojawiaja się regulacje, które będą skutkować poprawą bezpieczeństwa tego rodzaju danych. A danymi wrażliwymi jest każda informacja mogąca prowadzić do określenia profilu lokatora.

    OMS – Szyfrowanie telegramów w komunikacji jednokierunkowej powinno załatwić sprawę. W Polsce dopiero raczkuje jesli chodzi o ofertę rynkową, chociaż nie mam Ale technicznie nie umiem sobie wyobrazić bezpiecznego systemu dwukierunkowego działającego w OMS, gdzie klucze do odszyfrowania zawartości telegramu radiowego powinny znajdować się w bezpiecznej bazie danych a jednocześnie pozwolić np. administratorowi na “self-service” i odczyt własnymi siłami z użyciem dostarczonych przez firmę urządzeń – taki trend teraz jest, żeby być niezależnym od firm – operatorów systemów.

    Co o tym sądzicie?

    • Właśnie jedynym “sensownym” wykorzystaniem możliwości odczytu liczników to monitorowanie sąsiadów, niestety daje to nowe możliwości dla złodziei ;-(

  28. Pomimo upływu lat i tak zwanego “postępu” producenci nie wyciągają wniosków. Technologia wciąż daje możliwości wszelkiej maści kombinatorom jak sprzed laty. Tak jak można było za darmo dzwonić z budek telefonicznych Urmet lub klonować karty magnetyczne tak dziś można robić wałki na licznikach. :)

  29. Biorąc pod uwagę, że ceny miedziowego rosną a nie maleją a stan licznika spisywany jest w momencie zakładania i zdejmowania. Jedyne co się opłaca, to zawyżenie stanu licznika.

  30. Panowie i Panie ;) Pracuję przy odczytach radiowych i muszę przyznać, że cały artykuł jest burzą w szklance wody. Liczba urządzeń obsługiwanych przez nakładki WMBUS (wodomierze, ciepłomierze, podzielniki) a obsługiwanych przez moją firmę idzie już w setki tysięcy. Nie jest to Itron, ale zasada działania jest identyczna, a jeżeli rozważamy to w kategoriach w których został napisany powyższy artykuł… to i poziom bezpieczeństwa jest ten sam. Przy takiej ilości urządzeń, biorąc nawet pod uwagę że bawimy się tym już ponad 5 lat, wiecie ile było prób ataku? Dokładnie ZERO. Opisany atak nie ma ŻADNEGO sensu. Wszelkie nieprawidłowości i tak zostaną wyłapane, bo zarządcy osiedli, wspólnot mieszkaniowych i budynków skrupulatnie pilnują bilansu wody i wszelkie nieprawidłowości są szybko wychwytywane. Potencjalny “hakier” może przekłamać co najwyżej wskazanie podawane przez nakładkę radiową, ale samemu wodomierzowi nic nie zrobi. To wodomierz jest urządzeniem pomiarowym, legalizowanym przez GUM (czyli podstawą do rozliczenia), a nakładka to jedynie tylko małe urządzonko ułatwiające inkasentom życie. Skończy się ostatecznie na wizycie zarządcy u lokatora i optycznej weryfikacji wodomierza ;) Opisany atak można potraktować w kategorii słabego żartu, ale faktycznie w żaden sposób na rozliczenie za wodę, ciepło czy gaz nie wpłynie.

    • Co xD Przecież w artykule masz jasno wszystko opisane. Wystarczy mieć odpowiednio mocną antenę, resetujesz swój licznik prawie do zera, a wszystkim sąsiadom dodajesz po kilka jednostek i nikt się nie zorientuje. Moim zdaniem ten brak zabezpieczeń został celowo zrobiony, nie wierzę, że tam pracują sami idioci.

    • @daniello i co osiągniesz tą metoda ? przy wymianie legalizacyjnej ty dostaniesz dużą niedopłatę a sąsiedzi małe nadpłaty. Zrobisz prezent sąsiadom bo ty zapłacisz za wode/prąd po nowej cenie (wyższej) a sąsiedzi zapłacili po starej cenie (niższej)… i kto wyjdzie na plus ?

  31. sorki ale nie kumam, nakładka w jakiś sposób (obrazowo ?) z czytuje wskazania licznika, to dlaczego nie robi tego w czasie rzeczywistym, po zapamiętuje stan licznika itd.

    • Liczniki odczytywane są przez pole magnetyczne (a konkretnie jego zaburzenie). Na kręcącym się wskaźniku masz blaszkę lub magnes. W zależności od typu licznika (wodomierz, gazomierz itd.) stosuje się różne rozwiązania ale bardzo często są to po prostu kontaktrony.

      W zależności od rozwiązania i pojemności baterii (są też urządzenia zasilane sieciowo albo pracujące w trybach odzyskiwania energii) odczyty mogą być wykonywane co kilka/naście sekund lub przy każdym przekręceniu liczydła (z pewną, wąską tolerancją).

      Nie jest natomiast odczytywane samo wskazanie, to wymagało by stosowania przetworników które są drogie i zbędne. Dobre kamery cyfrowe ostrzą z odległości 20 cm wyobraź sobie gabaryty urządzenia telemetrycznego gdyby miało ono dokonywać odczytów optycznych ;] Można oczywiście tak pobajerować optyką aby urządzenie miało sensowny rozmiar tylko jego cena wielokrotnie przekraczała by pensję pracownika który biegał by przez kolejne 5 lat wykonując lokalne odczyty.

    • @no – a widziałeś sensor optyczny w myszce?

  32. Niestety takie luki są w mnóstwie “zdalnych odczytów”, a fakt identycznego braku zabezpieczeń w “inteligentnych” licznikach prądu będzie skandalem za jakiś czas. W przypadku liczników wody – wskazania i tak nie są miarodajne i zawsze odbiegają nieco od rzeczywistości – ilość zliczanych impulsów z magnesu lubi być inna niż na cyferblacie – prawie każdy licznik może wykonać ruch wsteczny magnesem o jeden obrót, a licznik cyferkowy ruchu wstecznego nie wykona.

  33. Całe Siedlce i okolice Itronami obstawione ;(

  34. czyli wszystko jasne. gazownie, elektrownie, wodociągi i elektrociepłownie mogą każdemu klientowi z góry ustalić i zaprogramować zużycie, stąd też pewnie niektórzy mają wysokie rachunki nawet zużywając mało, a inni ciągną bez umiaru i płacą grosze. dzięki za wyjaśnienie tego procederu. trzeba zakładać swoje liczniki obok tych “autoryzowanych” i “z licencją” (chyba licencją na kradzież).

    • wymyślasz. Sprzedaż gazu/prądu/wody to jest obieg zamknięty – nie sprzedasz więcej niż kupiłeś/wyprodukowałeś bo ci się to nie zepnie w księgowości – cudów nie ma.
      Każdy licznik musi być legalizowany w określonym okresie czasu (wodomierze co 5 lat). W praktyce rzadko robi się legalizację bo taniej kupić nowy licznik niż płacić za legalizacje (przynajmniej przy tych najmniejszych licznikach).

  35. Jak slysze te puste zapewnienia “uzywamy innych rozwiazan, one sa na pewno bezpieczne”, to smiech mnie bierze. Jestescie zbyt mili dla tych kretynkow.

    Z innej beczki — a sprawdzal ktos same liczniki wody? Np. u mnie w bloku montowane sa liczniki, ktore maja te “mila” ceche, ze sa bezwladnosciowe (po zamknieciu wody nadal sie kreca przez chwile). W efekcie rachunki za wode sa zawyzane o jedyne 50%.

    • Bzdura. Taki licznik by nie dostał żadnej legalizacji.

  36. Problem nieco wydumany – JEDYNĄ skuteczną metodą kontroli poboru jest sprawdzenie fizyczne, co odbywać się powinno przy wymianie licznika przy końcu okresu legalizacji. Poza złamaniem fizycznym licznika można go często po prostu obejść, więc KLUCZOWE jest sprawdzenie właśnie plomb i braku interencji właśnie po kilku latach, a w razie wykrycia nieprawidłowości odpowiedni domiar. Albo rozliczenie nadpłaty, gdy ktoś zrobi dowcip sąsiadowi – bo to właśnie sąsiedzka złośliwośc mogłaby być największym problemem. Ale kto ma tyle czasu i wiedzy, aby w ten sposób robić na złość sąsiadowi? łatwiej mu porysować samochód.

    Chcecie podobny “wektor” ataku na Tauron? Ja już chyba ze 3 lata odczyty licznika energii podaję przez Internet. Mógłbym tam wpisać po prostu zerowe zużycie – tyle że po wymianie licznika na rozliczeniu widziałem pozycje spisane z protokołu wymiany, więc mój zarobek to by były co najwyżej odsetki.

    • Rozumiem, ze jesli zakupilbys nowe auto z salonu, a producent zapewnialby Cie, ze jego bezprzewodowy sposob otwierania (pilotem) jest bezpieczny, a nastepnie okazaloby sie, ze piloty sa tak skonstruowane, ze kazdy z odpowiednia wiedza i sprzetem moze przeprowadzic jego nieautoryzowane otwarcie, TO ROZUMIEM, ze nie mialbys obiekcji w jego otwieraniu TYLKO kluczem mechanicznym – kazdych drzwi z osobna ?

      Bo przeciez to nieistotne i najwazniejszy jest zamek mechaniczny ;-)

      Pomysl tez, ze to jeden z problemow: jesli piloty sa tak zle skonstruowane, zlodziej moze deaktywowac alarm w pojezdzie, a nastepnie oszukac zabezpieczenia mechaniczne i niepostrzezenie odjechac.

    • @Volks – jak to bywa z analogiami samochodowymi, także i ta jest kompletnie nietrafiona. Lepsza jest taka: wskaźnik paliwa w moim samochodzie może być zhackowany tak, że zacznie mi wcześniej mrugać kontrolka ostrzegawcza, przez co będę niepotrzebnie wcześniej jeździł na stację. Ale liczydło dystrybutora zweryfikuje rzeczywistość i za samo paliwo nie przepłacę – moją stratą będzie tylko zmarnowany czas. Czy będę z tego powodu niezadowolony? Owszem. Czy doznam trwałej straty? Nie.

  37. @gotar

    Ano, tak samo jak Amber Gold nigdy nie istnialo, bo przeciez taka firma nigdy by nie dostala pozwolenia na dzialalnosc. Podobnie ZUS nie istnieje, bo w polskim prawie zakazane sa piramidy finansowe. Sol drogowa jest dobra dla zdrowia.

    Po coz cokolwiek sprawdzac, skoro mozna wierzyc w cudotworcza moc instytucji konrolnych? No, ja akurat sprawdzilem, ze litrowy pojemnik wg wodomierza to jest raz litr, raz poltora litra, wszystko zalezy jakimi porcjami jest napelniany.

    • @macias – czyli “zmierzyłeś pojemność wiadra” i co z tą wiedzą o nieprawidłowościach zrobiłeś? Zweryfikowałeś kolejnymi pomiarami? Ustaliłeś przyczynę? Wyeliminowałeś możliwości wszelakie, typu: wodomierz 17 lat po legalizacji, “przyprawiony” młotkiem/magnesem, uszkodzony z innej przyczyny, nieszczelna instalacja, nieprawidłowy pomiar (na pustych/pełnych rurach!) – zatem jednoznacznie ustaliłeś, że winny jest wodomierz w okresie legalizacji i sprawę zgłosiłeś instytucji nadzorczej/kontrolnej/odpowiedzialnej, a w razie braku reakcji do prokuratury i mediów, tak? To by nakazywała metoda badawcza i odpowiedzialność za własne słowa. Czy po prostu z kumplami po pijaku nalaliście wiadro i teraz opowiadasz anegdotkę? – bo to sugerują twoje pozostałe przykłady.

      Firma typu AG jak najbardziej miała prawo działać – trzeba kompletnie nie znać przepisów, aby twierdzić inaczej. Zaczynając od tego, że nie ma żadnego “zezwolenia na działalność”, tylko FAKT jej rozpoczęcia się organom zgłasza. Prawa do kierowania spółką nie miał tylko jej prezes – ale znowu, nie ma czegoś takiego jak “zezwolenie na bycie szefem”, jest jedynie deklaratywny WPIS do KRS, a sądy rejestrowe NIE WERYFIKUJĄ DANYCH. Możesz do KRS zanieść uchwałę spółki niezgodną z jej umową i tak długo, jak STRONA w sprawie nie wniesie skargi/zażalenia/pozwu/whatever ta uchwała będzie w aktach.

      Piramida ZUS-owska JEST dozwolona ustawą o charakterze bardziej szczególnym, niż zakazy prywatnych działalności, tak samo jak LOTTO jest dozwolone w drodze państwowego monopolu.

      A sól drogowa to już w ogóle argument pokazujący, że marnuję czas na dyskusję z tobą.

  38. Reasumując wasze wypowiedzi pozostaje tylko jedno rozwiązanie które daje bezpieczny odczyt przy wykorzystaniu “nakładek” na wodomierze.

    Jest to korzystanie z urządzeń GPRS/ GSM , a nie nakładek radiowych. Nie potrzeby jest wtedy człowiek który w przypadku radia musi chodzić i “tabletem” szczytywać odczyty po koncentratorach.

    W wielu krajach na zachodzie takie rozwiązania są powszechne ale w Polsce wiadomo jak jest liczy się KASA i taniość przede wszystkim.

    • O już to widzę, karta SIM zamknięta w szachcie pionu lecącego środkiem betonowego kolosa. gdzie telefon z realnych rozmiarów anteną i realną baterią ma problem z zasięgiem. Inkasent zamiast terminala będzie ze sobą BTS-a woził.

  39. A mi własnie udało się powtórzyć zmianę na nakładce, ale licznika głównego w moim budynku, poczekam na rozliczenie roczne po nowym roku, ciekawe jak zareaguje spółdzielnia biorąc pod uwagę że co roku jest ok 8% bilans na minusie… a tym wyjdzie na zero ????

  40. Przecież to tylko nakładka, a oryginalne dane są wciąż na mechanicznym liczniku, z tego co widzę na zdjęciu?
    Może co jakiś czas weryfikują stan faktyczny z odczytanym zdalnie.
    Jest też na pewno główny licznik, więc w ogólnym rozrachunku, to nie dostawca straci, a klient końcowy, który został zrobiony w ewentualną trąbę przez nieuczciwszego sąsiada.
    Pogratulować towarzystwa :-)

  41. Ja widzę znacznie lepsze, bardziej brutalne rozwiązania:
    a) 433MHz jammer jak wiadomo, większość urządzeń pracujących z tą częstotliwością ma modulację ASK a co wyczytać z wikipedii można, to to, że : “…modulacja ta jest silnie podatna na tłumienie oraz zakłócenia” wystarczy więc malutki moduł nadajnika pod np Arduino za 4 pln i jakiś malutki procek generujący śmieci zerojedynkowe”
    B)EMP rozładowanie potężnej baterii kondensatorów przez cewkę generuje wokół niej na tyle silne pole elektromagnetyczne, że urządzono się po prostu smaży. To samo dotyczy kart RFID, więc chcąc pozbawi kogoś dostępu np. do biura, wystarczy, że jego portfel lub smycz z kartą znajdzie się w zasięgu tego pola…to daje straszny obraz anarchii jaką można wywołać w ten czy inny sposób.

  42. Nie rozumiem tego całego zamieszania, Jedyną szkodą jaka może powstać to dodatkomy naklad pracy dla Wodociągów. “Nakładka radiowa” jest niczym innym jak licznikiem impulsów (najcześciej magnetycznych) z mechaniki liczydła. To ze ktoś przeprogramuje stan początkowych licznika impulsów nie ma nic wspólnego z stanem faktycznym licznika.
    Odpowiedzi Wodociagów są jak najbardziej rzeczowe.

    • A co jeśli (o ile jest taka możliwość) nadać nakładkom klucze AES? Cały koszt instalacji nakładek idzie wtedy w błoto. Ew. zapłać nam np 1/2 kosztów wymiany nakładek to podamy wam klucze.

  43. Ktoś tu chce naśladować Piero Manzano :)

  44. Prawie nikt nie zwrócił uwagi, że spółdzielnie zdalnie odczytują liczniki poprzez tzw. koncentrator który dalej wysyła zapisane wskazania poprzez 3G/GPRS. Zmiana w pamięci nakładki nie zmienia stanu fizycznego licznika, a spółdzielnia po miesiącu/ maksymalnie trzech miesiącach dostaje informację że w kolejny odczyt jest mniejszy niż wcześniejszy. Sytuacja taka spowoduje, że spółdzielnia od razu wykryje taką manipulację. Dodam, że nakładki różnych producentów są zabezpieczone przed wszelkimi kombinacjami (zdejmowanie, magnes neodymowy itd.) Moim zdaniem artykuł troszkę przesadzony, do tego część producentów (np. Apator Telemetria) stosuje również protokół OMS oprócz MBUS/W-MBUS

  45. Mnie niestety ta cała sprawa trochę śmierdzi atakiem konkurencji.
    Uczciwie byłoby przedstawiać tego typu wyniki badań po sprawdzeniu rozwiązań innych firm.

    Nie jestem elektronikiem ani radiowcem. Ale cały problem wygląda trochę tak, jakby ktoś chwalił się, ze potrafi wyrwać z ziemi znak zakazu parkowania i potem będzie parkował bez problemu.

    Niewątpliwie można zhakować każdy prosty system przesyłu danych.
    Na pewno będzie to można zrobić w przypadku wchodzących rozwiązań IoT.
    Czyli będzie można pewnie zrobić sąsiadowi przykrość, pokazując np., że przegrzewa mu się mieszkanie, ktoś właśnie mu wszedł do domu, garaz jest niezamknięty itd.
    Można mu też narobić na wycieraczkę.
    I co z tego?

  46. Równie jakiś szaleniec może biegać po mieście z młotkiem, włamywać do piwnic w blokach spółdzielczych i rozwalać wodomierze. Traf chciał, ze zaraz po ukazaniu się artykułu do wodociągów wpłynęła oferta od jednej z firm zajmującej się odczytem za pośrednictwem GSM po zawyżonych cenach. Nadawca zachwalał swoje rozwiązanie powołując się jednocześnie na ww. artykuł. Dęta sprawa.

  47. Wiele tutaj szanownych osób nie bierze pod uwagę że istnieją już wodomierze ze wskazaniem elektronicznym sprzężone z modułem radiowym…chyba malo kto wie że szykuje się wdrażanie legalizacji statystycznej więc wodomierze mechaniczne nie mają tu racji bytu…wszelkie sprawy sporne z reguły kończą się ekspertyzą wodomierza, który może wykazać błędy trudne do interpretacji przez biegłego sądowego, w powiązaniu z manipulacją nakładką sąd dostanie oczopląsu i decyzja orzekająca jest nie do przewidzenia…

  48. Mam pytanie moje rachunki miesięczne to ok32zl w miesiącu październiku faktura 10 krotnie wieksza323zl licznik radiowy na liczniku stan się zgadza czy urządzenie szczytujace można dobić wody lub odjąć bo wcześniejsze faktury i późniejsze ok32zl tylko jeden miesiąc taki i nie było żadnej awaria w lokalu.Czy ktoś się spotkał z taką sytuacją.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: