Teknokrater, der bygger Internet of the Things, er ikke i stand til at sikre deres kreationer mod hackere. Hvis klimaanlægsmotorer i en enkelt stor by alle blev startet på samme tid, ville det ødelægge strømnettet for et flerstatsområde. ⁃ TN Editor
Når cybersikkerhedsindustrien advarer om mareridtet med hackere, der forårsager blackouts, indebærer scenariet, de beskriver, typisk et elitehold af hackere bryde ind i den indre helligdom i et strømforsyningsnet for at starte vippekontakter. Men en gruppe forskere har forestillet sig, hvordan et helt strømnettet kunne fjernes ved at hacking en mindre centraliseret og beskyttet klasse af mål: klimaanlæg til hjemmet og vandvarmere. Mange af dem.
På Usenix Security-konferencen denne uge vil en gruppe af Princeton University-sikkerhedsforskere præsentere en undersøgelse, der betragter et lidt undersøgt spørgsmål i strømnet cybersikkerhed: Hvad hvis hackere ikke angreb strømforsyningsnettets forsyningsside, men efterspørgselssiden? I en række simuleringer forestillede forskerne sig, hvad der kunne ske, hvis hackere kontrollerede en botnet sammensat af tusinder af lydløst hacket forbruger internet af ting enheder, især magt-sulten som klimaanlæg, vandvarmere og rumvarmere. Derefter kørte de en række softwaresimuleringer for at se, hvor mange af disse enheder en angriber skulle have brug for samtidig at kapre for at forstyrre stabiliteten i elnettet.
Deres svar peger på et foruroligende, hvis ikke helt praktisk, scenarie: I et kraftnetværk, der er stort nok til at betjene et område på 38 millioner mennesker - en befolkning, der er omtrent lig med Canada eller Californien - vurderer forskerne, at bare en procentdel i efterspørgsel muligvis være nok til at fjerne størstedelen af nettet. Denne efterspørgselsstigning kunne skabes af et botnet så lille som et par titusinder af hakede elektriske vandvarmere eller et par hundrede tusinde klimaanlæg.
”Elnettet er stabilt, så længe udbuddet er lig med efterspørgslen,” siger Saleh Soltan, en forsker i Princetons Institut for Elektroteknik, der ledede undersøgelsen. "Hvis du har et meget stort botnet af IoT-enheder, kan du virkelig manipulere efterspørgslen ved at ændre det brat, når som helst du vil."
Resultatet af den botnet-inducerede ubalance, siger Soltan, kunne være overlappende blackout. Når efterspørgslen i en del af nettet hurtigt øges, kan den overbelaste strømmen på bestemte kraftledninger og ødelægge dem eller mere sandsynligt udløseindretninger kaldet beskyttelsesrelæer, der slukker for strømmen, når de føler farlige forhold. Slukning af disse linjer lægger mere belastning på de resterende linjer, hvilket potentielt kan føre til en kædereaktion.
”Færre linjer skal bære de samme strømme, og de bliver overbelastede, så den næste frakobles og den næste,” siger Soltan. "I værste fald er de fleste eller alle afbrudt, og du har en blackout i det meste af dit net."
Elværktøjsingeniører forudsiger naturligvis ekspertmæssigt udsving i elektrisk efterspørgsel dagligt. De planlægger alt fra hetebølger, der forudsigeligt forårsager pigge i brugen af klimaanlægget, til det øjeblik i slutningen af de britiske sæbeopera-episoder, hvor hundreder af tusinder af seere tænder alle på deres tekande. Men Princeton-forskernes undersøgelse antyder, at hackere kunne gøre disse efterspørgselsspidser ikke kun uforudsigelige, men skadeligt tidsindstillede.
Forskerne peger faktisk ikke på nogen sårbarheder i bestemte husholdningsapparater eller foreslår, hvordan de nøjagtigt kan blive hacket. I stedet starter de med den forudsætning, at et stort antal af disse enheder på en eller anden måde kunne blive kompromitteret og lydløst kontrolleret af en hacker. Det er uden tvivl en realistisk antagelse i betragtning af de utallige sårbarheder, som andre sikkerhedsforskere og hackere har fundet på tingenes internet. En samtale på Kaspersky Analyst Summit i 2016 beskrev sikkerhedsfejl i klimaanlæg der kunne bruges til at fjerne den slags netforstyrrelse, som Princeton-forskerne beskriver. Og ondsindede hackere i den virkelige verden har kompromitteret alt fra køleskabe til fisketanke.
I betragtning af denne antagelse kørte forskerne simuleringer i strømnettet software MATPOWER og Power World for at bestemme, hvilken slags botnet der kunne forstyrre hvilken størrelsesnet. De kørte de fleste af deres simuleringer på modeller af det polske strømnet fra 2004 og 2008, et sjældent landstørret elektrisk system, hvis arkitektur er beskrevet i offentligt tilgængelige poster. De fandt, at de kunne forårsage en forbløffende mørklægning på 86 procent af kraftledningerne i 2008 Polen netnet med kun en procentvis stigning i efterspørgslen. Det kræver ækvivalent med 210,000 hakkede klimaanlæg eller 42,000 elektriske vandvarmere.
At bygge et botnet af samme størrelse ud af mere strøm-sultne IoT-enheder er sandsynligvis umuligt i dag, siger Ben Miller, en tidligere cybersikkerhedsingeniør hos det elektriske værktøj Constellation Energy og nu direktør for trusseloperationscentret hos det industrielle sikkerhedsfirma Dragos. Der er simpelthen ikke nok smarte enheder med høj effekt i hjem, siger han, især da hele botnet skulle være inden for det geografiske område af det elektriske målnet, ikke distribueret over hele verden som Mirai botnet.
wpDiscuz