I contatori di elettricità intelligenti, di cui ci sono più di 100m installati in tutto il mondo, sono spesso “pericolosamente insicuri”, ha detto un esperto di sicurezza.
La mancanza di sicurezza nelle utility intelligenti solleva la prospettiva di una singola linea di codice dannoso che taglia l’alimentazione a una casa o addirittura causa un sovraccarico catastrofico che porta a metri esplosivi o incendi domestici, secondo Netanel Rubin, co-fondatore della società di sicurezza Vaultra.
“Reclama la tua casa”, ha detto Rubin a una conferenza di hacker ed esperti di sicurezza, ” o qualcun altro lo farà.”
Se un hacker prendesse il controllo di un contatore intelligente, sarebbe in grado di sapere “esattamente quando e quanta elettricità stai usando”, ha detto Rubin al 33 ° Chaos Communications Congress di Amburgo. Un attaccante potrebbe anche vedere se una casa aveva qualsiasi elettronica costoso.
” Può fare frodi di fatturazione, impostando la bolletta su ciò che gli piace … La cosa spaventosa è se pensi al potere che hanno sulla tua elettricità. Avrà potere su tutti i tuoi dispositivi intelligenti collegati all’elettricità. Ciò avrà conseguenze più gravi: immagina di esserti svegliato per scoprire di essere stato derubato da un ladro che non ha dovuto entrare.
” Ma anche se non si dispone di dispositivi intelligenti, si è ancora a rischio. Un utente malintenzionato che controlla lo strumento controlla anche il software dello strumento, permettendogli di farlo esplodere letteralmente.”
Rubin ha detto che molti degli avvertimenti non erano ipotetici. Nel 2009 i contatori intelligenti portoricani sono stati violati in massa, portando a frodi di fatturazione diffuse, e nel 2015 un incendio in Ontario è stato ricondotto a un contatore intelligente difettoso, anche se l’hacking non è stato implicato in questo.
I problemi alla base dell’insicurezza derivano da protocolli obsoleti, implementazioni timide e principi di progettazione deboli. Mentre la sicurezza fisica dei contatori intelligenti è forte – “fidati di me, ho provato” ad hackerare in quel modo, ha detto Rubin – i protocolli wireless che molti di loro usano sono problematici.
Per comunicare con la società di servizi, la maggior parte dei contatori intelligenti utilizza GSM, lo standard mobile 2G. Questo ha una debolezza abbastanza nota per cui un attaccante con una torre mobile falsa può causare ai dispositivi di “consegnare” la versione falsa dalla torre reale, semplicemente fornendo un segnale forte. Nel GSM, i dispositivi devono autenticarsi con le torri, ma non viceversa, consentendo al falso albero di inviare i propri comandi al contatore.
Peggio ancora, ha detto Rubin, tutti i metri da un programma di utilità utilizzato le stesse credenziali hardcoded. “Se un utente malintenzionato ottiene l’accesso a un metro, ottiene l’accesso a tutti. È l’unica chiave per governarli tutti.”
Anche all’interno della casa, le comunicazioni sono rese insicure da standard obsoleti e cattiva implementazione. Quasi tutti i contatori intelligenti utilizzano lo standard Zigbee per parlare con altri dispositivi intelligenti in casa.
Zigbee, che risale al 2003, è uno standard domotico popolare, utilizzato per il controllo di tutto, dalle lampadine ai condizionatori d’aria. Ma è così contorto, a causa della vasta gamma di dispositivi supportati, che è quasi meglio pensare ad esso come 15 diversi standard, ognuno dei quali i fornitori possono scegliere di implementare come meglio credono.
“Questa situazione unica è così difficile da implementare, i venditori scelgono effettivamente ciò che vogliono implementare. E quando scelgono cosa supportare, spesso saltano la sicurezza”, ha detto Rubin.
Altre decisioni di sicurezza deboli prese dai fornitori includono:
- Chiavi di crittografia derivate da nomi di dispositivi brevi (spesso solo sei caratteri).
- Standard di accoppiamento senza autenticazione richiesta, consentendo a un utente malintenzionato di chiedere semplicemente allo smart meter di unirsi alla rete e ricevere le chiavi in cambio.
- Credenziali Hardcoded, che consentono l’accesso dell’amministratore con password semplici e intuibili come il nome del fornitore.
- Codice semplificato per lavorare su dispositivi a bassa potenza saltando controlli importanti, consentendo nient’altro che una lunga comunicazione per bloccare il dispositivo.
“Questi problemi di sicurezza non andranno via”, ha detto Rubin. “Al contrario, stiamo andando a vedere un forte aumento dei tentativi di hacking. Eppure la maggior parte delle utility non sono nemmeno il monitoraggio della loro rete, per non parlare dei contatori intelligenti. Le utility devono capire che con un grande potere arriva una grande responsabilità.”
I contatori intelligenti offrono vantaggi, consentendo alle utility di allocare in modo più efficiente la produzione di energia e consentendo la micro-generazione che può aumentare l’assorbimento di energia rinnovabile. Per questi motivi e non solo, l’Unione Europea ha l’obiettivo di sostituire l ‘ 80% dei contatori con contatori intelligenti entro il 2020.
Un portavoce del dipartimento delle Imprese, dell’energia e della strategia industriale del governo britannico ha dichiarato: “Controlli di sicurezza robusti sono in atto in tutto il sistema di misurazione intelligente end to end e tutti i dispositivi devono essere valutati in modo indipendente da un’organizzazione di sicurezza esperta, indipendentemente dal loro paese di origine.”
{{topLeft}}
{{bottomLeft}}
{{topRight}}
{{in basso a destra}}
{{/goalExceededMarkerPercentage}}
{{/ticker}}
{{titolo}}
{{#paragrafi}}
{{.}}
{{/punti}}{{highlightedText}}
{{#choiceCards}}
{{/choiceCards}}
- case Intelligenti
- Hacking
- Smart meters
- news
- Condividi su Facebook
- Condividi su Twitter
- Condividi via e-Mail
- Share on LinkedIn
- Condividi su WhatsApp
- Condividi su Messenger
