Hackade luftkonditioneringsapparater och IoT kan stänga av elnätet

Wikimedia Commons
Vänligen dela denna berättelse!
image_pdfimage_print
Technocrats som bygger ut Internet of Things kan inte säkra sina skapelser mot hackare. Om luftkonditioneringsmotorer i en enda storstad alla startades samtidigt, skulle det bryta elnätet för ett flerstatsområde. ⁃ TN Editor

När cybersäkerhetsindustrin varnar för mardrömmen för hackare som orsakar blackouts, innebär scenariot de beskriver vanligtvis ett elitlag av hackare bryter in i den inre helgedomen i ett kraftverktyg för att starta vippbrytare. Men en grupp forskare har föreställt sig hur ett helt elnät skulle kunna tas bort genom att hacking en mindre centraliserad och skyddad klass av mål: luftkonditioneringsapparater och vattenvärmare. Många av dem.

Vid Usenix säkerhetskonferens den här veckan kommer en grupp säkerhetsforskare från Princeton University att presentera en studie som behandlar en lite undersökt fråga i elnät cybersecurity: Vad händer om hackare inte attackerade strömnätets försörjningssida utan efterfrågesidan? I en serie simuleringar föreställde forskarna vad som kan hända om hackare kontrollerade en botnät som består av tusentals tyst hackat konsumentinternet med saker, speciellt krafthunga som luftkonditioneringsapparater, vattenvärmare och rymdvärmare. Sedan körde de en serie mjukvarusimuleringar för att se hur många av de enheter en angripare skulle behöva för att samtidigt kapa för att störa elnätets stabilitet.

Deras svar pekar på ett oroande, om inte riktigt praktiskt scenario: I ett kraftnät som är tillräckligt stort för att betjäna ett område på 38 miljoner människor - en befolkning som är ungefär lika stor som Kanada eller Kalifornien - uppskattar forskarna att bara en procent stöta efterfrågan kan vara tillräckligt för att ta ner majoriteten av nätet. Den ökade efterfrågan kan skapas av en botnet så liten som några tiotusentals hackade elektriska vattenvärmare eller ett par hundra tusen luftkonditioneringsapparater.

"Kraftnät är stabila så länge utbudet är lika med efterfrågan", säger Saleh Soltan, en forskare vid Princetons institution för elektroteknik, som ledde studien. "Om du har ett mycket stort botnet av IoT-enheter kan du verkligen manipulera efterfrågan, ändra det plötsligt, när som helst du vill."

Resultatet av den botnetinducerade obalansen, säger Soltan, skulle kunna bli övergripande blackouts. När efterfrågan i en del av nätet snabbt ökar kan den överbelasta strömmen på vissa kraftledningar, skada dem eller mer sannolikt utlösningsanordningar som kallas skyddsreläer, som stänger av strömmen när de känner till farliga förhållanden. Att stänga av dessa linjer sätter mer belastning på de återstående linjerna, vilket kan leda till en kedjereaktion.

"Färre ledningar behöver bära samma flöden och de blir överbelastade, så då kommer nästa att kopplas bort och nästa," säger Soltan. "I värsta fall är de flesta eller alla frånkopplade och du har en blackout i det mesta av ditt nät."

Självklart förutspår elnätets ingenjörer fluktuationer i elektrisk efterfrågan dagligen. De planerar för allt från värmevågor som förutsägbart orsakar toppar i luftkonditioneringsanvändningen till det ögonblick i slutet av brittiska tvålopera-avsnitt hundratusentals tittare slår alla på sina vattenkokare. Men Princeton-forskarnas studie antyder att hackare kan göra dessa efterfrågespikar inte bara oförutsägbara utan också skadliga.

Forskarna pekar faktiskt inte på några sårbarheter i specifika hushållsapparater eller föreslår hur exakt de kan hackas. Istället utgår de från antagandet att ett stort antal av dessa enheter på något sätt skulle kunna äventyras och tyst kontrolleras av en hackare. Det är utan tvekan ett realistiskt antagande, med tanke på de otaliga sårbarheter som andra säkerhetsforskare och hackare har hittat på sakernas internet. Ett samtal på Kaspersky Analyst Summit 2016 beskrev säkerhetsfel i luftkonditioneringar som kan användas för att dra bort den typ av nätstörningar som Princeton-forskarna beskriver. Och ondskefulla hackare i verkligheten har komprometterat allt från kylskåp till fiskbehållare.

Med tanke på det antagandet körde forskarna simuleringar i kraftnätprogramvaran MATPOWER och Power World för att bestämma vilken typ av botnet som skulle kunna störa vilken storleksnät. De körde de flesta av sina simuleringar på modeller av det polska elnätet från 2004 och 2008, ett sällsynt landsstorligt elektriskt system vars arkitektur beskrivs i offentligt tillgängliga poster. De fann att de kunde orsaka en övergripande blackout på 86 procent av kraftledningarna i 2008 Polen nätmodell med bara en procents ökning av efterfrågan. Det kräver motsvarande 210,000 hackade luftkonditioneringsapparater, eller 42,000 elektriska vattenvärmare.

Föreställningen om ett internet med saker botnet som är tillräckligt stort för att dra av en av dessa attacker är inte helt långsökt. Princeton-forskarna pekar på Mirai botnet från 600,000 hackade IoT-enheter, Inklusive säkerhetskameror och hem routrar. Den zombiehorden träffade DNS-leverantören Dyn med ett aldrig tidigare skådat förnekande av tjänsteangrepp i slutet av 2016, med en bred samling av webbplatser.

Att bygga ett botnet av samma storlek av mer energikrävande IoT-enheter är förmodligen omöjligt idag, säger Ben Miller, en tidigare cybersäkerhetsingenjör vid det elektriska verktyget Constellation Energy och nu chef för hotoperationscentret på det industriella säkerhetsföretaget Dragos. Det finns helt enkelt inte tillräckligt med högeffektiva smarta enheter i hem, säger han, särskilt eftersom hela botnet skulle behöva ligga inom det geografiska området för elnätet, inte distribuerat över hela världen som Mirai botnet.

Läs hela historien här ...

Prenumerera
Meddela om
gäst
0 Kommentarer
Inline feedbacks
Visa alla kommentarer