Hakkede klimaanlegg og IoT kunne slå av strømnettet

Wikimedia Commons
Del denne historien!
Technocrats som bygger ut tingenes internett, klarer ikke å sikre sine kreasjoner mot hackere. Hvis klimaanleggsmotorer i en stor by alle ble startet samtidig, ville det ødelagt strømnettet for et flerstatlig område. ⁃ TN Editor

Når cybersikkerhetsindustrien advarer om marerittet til hackere som forårsaker blackouts, innebærer scenariet de beskriver vanligvis et elite team av hackere bryte inn i det indre helligdommen i et kraftverktøy for å starte vippebrytere. Men en gruppe forskere har forestilt seg hvordan et helt kraftnett kunne tas ned ved å hacking en mindre sentralisert og beskyttet klasse mål: klimaanlegg og varmtvannsbereder. Mange av dem.

På Usenix Security-konferansen denne uken vil en gruppe sikkerhetsforskere fra Princeton University presentere en studie som vurderer et lite undersøkt spørsmål i nettnett-sikkerhet: Hva om hackere ikke angrep tilbudssiden til strømnettet, men etterspørselssiden? I en serie simuleringer forestilte forskerne hva som kan skje hvis hackere kontrollerte a botnet sammensatt av tusenvis av lydløst hakket forbrukerinternett med ting, spesielt strømforsyne som klimaanlegg, varmtvannsbereder og romvarmere. Deretter kjørte de en serie programvaresimuleringer for å se hvor mange av disse enhetene en angriper måtte trenge for å kapre samtidig for å forstyrre stabiliteten i strømnettet.

Svarene deres peker på et urovekkende, om ikke helt praktisk praktisk scenario: I et kraftnettverk som er stort nok til å betjene et område på 38 millioner mennesker - en befolkning som er omtrent lik Canada eller California - anslår forskerne at bare ett prosent hump i etterspørsel kan være nok til å ta ned mesteparten av nettet. Denne etterspørselsøkningen kan opprettes av et botnet så lite som noen titusenvis av hakkede elektriske vannvarmere eller et par hundre tusen klimaanlegg.

"Kraftnett er stabilt så lenge tilbudet er lik etterspørsel," sier Saleh Soltan, forsker ved Princetons institutt for elektroteknikk, som ledet studien. "Hvis du har et veldig stort botnet av IoT-enheter, kan du virkelig manipulere etterspørselen, endre den brått, når som helst du vil."

Resultatet av den botnetinduserte ubalansen, sier Soltan, kan være kaskaderende blackout. Når etterspørselen i en del av nettet raskt øker, kan det overbelaste strømmen på visse kraftledninger, skade dem eller mer sannsynlig utløse enheter som kalles beskyttelsesreléer, som slår av strømmen når de opplever farlige forhold. Hvis du slår av disse linjene, belastes de resterende linjene mer, noe som potensielt kan føre til en kjedereaksjon.

"Færre ledninger må ha de samme strømningene og de blir overbelastet, så den neste kobles fra og den neste," sier Soltan. "I verste fall er de fleste eller alle koblet fra, og du har en blackout i det meste av nettet."

Ingeniører fra kraftnettverket, forutsetter selvfølgelig fagmessig svingninger i elektrisk etterspørsel daglig. De planlegger for alt fra hetebølger som forutsigbart kan forårsake pigger i bruk av klimaanlegg til det øyeblikket på slutten av britiske såpeopera-episoder når hundretusenvis av seere slår alle på vannkoker. Men Princeton-forskernes undersøkelse antyder at hackere kan gjøre at etterspørselen ikke bare er uforutsigbar, men også skadelig.

Forskerne peker faktisk ikke på sårbarheter i spesifikke husholdningsapparater, eller foreslår hvordan de kan bli hacket. I stedet begynner de med forutsetningen om at et stort antall av disse enhetene på en eller annen måte kan bli kompromittert og lydløst kontrollert av en hacker. Det er uten tvil en realistisk antagelse, gitt de utallige sårbarhetene andre sikkerhetsforskere og hackere har funnet på tingens internett. En samtale på Kaspersky Analyst Summit i 2016 beskrev sikkerhetsfeil i klimaanlegg som kan brukes til å trekke den slags nettforstyrrelse som Princeton-forskerne beskriver. Og ondsinnede hackere fra virkeligheten har kompromittert alt fra kjøleskap til fisketanker.

Gitt den antakelsen, kjørte forskerne simuleringer i kraftnettprogramvaren MATPOWER og Power World for å bestemme hva slags botnet som kunne forstyrre hvilken størrelsesnett. De kjørte mesteparten av simuleringene sine på modeller av det polske strømnettet fra 2004 og 2008, et sjeldent landstorent elektrisk system hvis arkitektur er beskrevet i offentlig tilgjengelige poster. De fant ut at de kunne forårsake en overveldende blackout på 86 prosent av kraftlinjene i 2008 Polen nettmodell med bare en prosents økning i etterspørselen. Dette vil kreve tilsvarende 210,000 hakkede klimaanlegg, eller 42,000 elektriske vannvarmere.

Forestillingen om et internett med ting botnet som er stort nok til å trekke ut et av disse angrepene, er ikke helt hentet. Princeton-forskerne peker på Mirai botnet fra 600,000 hacket IoT-enheter, Herunder sikkerhetskameraer og hjem rutere. Den zombiehorden traff DNS-leverandøren Dyn med et enestående angrep på tjenestenektet på slutten av 2016, og tok ned en bred samling av nettsteder.

Å bygge et botnet av samme størrelse ut av mer strømkrevende IoT-enheter er sannsynligvis umulig i dag, sier Ben Miller, tidligere cybersecurity engineer hos det elektriske verktøyet Constellation Energy og nå direktør for trusseloperasjonssenteret i det industrielle sikkerhetsfirmaet Dragos. Det er ganske enkelt ikke nok kraftige smarte enheter i hjemmene, sier han, spesielt siden hele botnet må være innenfor det geografiske området til det elektriske nettet, ikke distribuert over hele verden som Mirai botnet.

Les hele historien her ...

Abonner!
Varsle om
gjest

0 kommentarer
Inline tilbakemeldinger
Se alle kommentarer