(Август 2009)
Преимущества и риски интеллектуальных сетей энергоснабжения
Одна из самых известных хакерских конференций, Black Hat / DefCon в Лас-Вегасе, практически ежегодно сопровождается тихими или громкими скандалами с запретом и отменой докладов, компрометирующих защиту в продукции солиднейших ИТ-корпораций.
На нынешней (2009) июльской конференции, к примеру, такая участь постигла работу под названием «Джекпот для банкомата», подготовленную одним из сотрудников фирмы Juniper Networks. Как можно понять уже из названия доклада, пытливый исследователь Барнаби Джек (Barnaby Jack) разработал и освоил комплекс манипуляций, позволяющих ему опустошать содержимое банковских аппаратов, выдающих наличные владельцам карточек.
При этом докладчик был настолько уверен в эффективности своего метода, что намеревался завершить выступление живой презентацией с изъятием денег из реального банкомата.
Понятно, что подобный доклад серьезнейшим образом подрывал доверие клиентов ко всей индустрии платежных карт, не говоря уже об изготовителях конкретных банкоматов, скомпрометированных исследованием. По этой причине на фирму Juniper было оказано столь мощное давление, что она сама заранее сняла доклад из программы конференции, расценив его как слишком опасный по своим последствиям.
Другое интересное выступление на Black Hat 2009 – о дырах в защите умных счетчиков электроэнергии – никто, насколько известно, заблокировать не попытался, несмотря на широкое предварительное обсуждение работы. Возможно, это связано с тем, что проводившие исследование сотрудники фирмы IOActive в итоговом отчете тщательно избегали хоть каких-либо указаний на конкретные модели и изготовителей скомпрометированных ими устройств.
Оборотной стороной подобной осторожности стало то, что представители энергетической индустрии прореагировали на доклад-предупреждение на редкость единообразно – дружно отвергнув серьезность угрозы.
По сути дела, они начали повторять давно уже известную модель аналогичных реакций в индустрии банковских платежных карт: категорически отвергать все лабораторные демонстрации атак как «оторванные от реалий жизни», а затем всеми силами блокировать работы, доказывающие серьезность угрозы в реальных условиях.
Хотя подход такой с точки зрения бизнеса вполне объясним и понятен, вряд ли кто решится назвать его мудрым и правильным. Эксперты по инфобезопасности регулярно напоминают, что важнейшие слабости в технологии платежных карт были выявлены и указаны еще лет двадцать назад. И если бы им своевременно уделяли должное внимание, то нынешних проблем с гигантскими хищениями и злоупотреблениями вполне можно было бы избежать.
Технологии умных энергосетей и интеллектуальных счетчиков пока что являются делом сравнительно новым, поэтому здесь явно имеет смысл повнимательнее отнестись к сопутствующим проблемам инфобезопасности. Хотя бы для того, чтобы не повторять старых ошибок.
Умные энергосети
Хотя в России, в силу ее специфической экономики, концепция умных сетей энергоснабжения пока не обрела особой популярности, для многих стран Европы, Азиатско-Тихоокеанского региона, а теперь и Америки радикальное преобразование национальных энергосистем входит в ряд главных государственных приоритетов.
Практически в любой индустриальной стране имеется весьма старая и состоящая из разнородных элементов инфраструктура, построенная по большей части задолго до перехода отрасли на микропроцессоры. Задача ныне в том, чтобы гладко преобразовать ее в совместимую распределительную сеть, способную эффективно взаимодействовать с потребителями, выявлять и исправлять собственные проблемы, а также объединить ее в целостную систему с источниками солнечной, ветровой и прочей возобновляемой энергии.
Одними из первых умные энергосети стали создавать государства Западной Европы, остро ощутившие энергетические проблемы еще в 1970-е годы. На примере сравнительно небольшой скандинавской страны Дании сегодня часто демонстрируют, каким образом эти проблемы решаются правильным применением технологий.
В середине 1980-х годов страна использовала крупные централизованные электростанции, мощностей которых явно не хватало, поэтому приходилось импортировать электроэнергию и природный газ из соседних Германии и Швеции. Стоимость электроэнергии в Дании была одной из самых высоких в Европе – 0,12-0,13 доллара за киловатт-час.
Согласно тогдашним прогнозам, к 2005 году цена грозила достичь 1 доллара, а это привело бы страну к национальному банкротству.
Примерно в те же годы Дания начала строить промышленные ветровые электростанции и решила в корне перестроить свою энергосистему, сделав ее массово-распределенной.
Датчане связали воедино свои ветровые ресурсы, имеющие неравномерную производительность, с относительно небольшими комбинированными теплоэлектроцентралями (ТЭЦ) – станциями на природном газе, производящими электроэнергию и пар или горячую воду для отопления. Если ветер стихал, они могли повышать выходную мощность своих ТЭЦ.
Распределение комплексов ветровых установок и ТЭЦ по уровню напряжения – высоковольтные и низковольтные – позволило сочетать ветровые и теплоэнергетические источники в блоках, которые можно объединять в кластеры в соответствии с размерами и энергопотребностями каждого района.
Как итог, за последние 20 лет Дания полностью перешла от использования нескольких крупных централизованных электростанций к рассредоточенной системе. Ныне повсеместно используются ТЭЦ мощностью по 4, 10 и 25 мегаватт, топографически распределенные по всей стране в соответствии с геофизическим распределением ветров. Сегодня потребители в Дании платят за киловатт-час примерно 0,20 (нынешних) доллара. Страна все еще зависит от внешних источников природного газа, но уже сама экспортирует электроэнергию в Германию и Швецию.
Понятно, что общая логика распределенных энергосистем подразумевает взаимодействие и массовую интеграцию в сеть не только для ветровых, но и любых других маломощных источников энергии – в зависимости от природно-климатических и культурно-технологических особенностей государства.
К примеру, в странах, прогнозирующих ныне массовое внедрение электромобилей, весьма популярна сопутствующая концепция v2g или Vehicle-to-Grid (т.е. «машина в сеть»). Суть идеи в том, чтобы использовать силовые аккумуляторы миллионов электромобилей и гибридов для накопления энергии в периоды невысокой цены на электричество и продажи ее обратно в сеть в часы пикового потребления.
Подобного рода преобразования в национальных энергосистемах немыслимы без нарастающего наложения новых информационно-технологических инфраструктур и передовых интернет-технологий. В результате комплекса модернизаций обычные сети энергоснабжения преобразуются в компьютеризированные сети реального времени, имеющие возможности для принятия автоматических решений на основе данных от миллионов сенсоров.
Как тривиальное следствие этого, к примеру, отпадает необходимость в визитах инспекторов, считывающих показания с каждого счетчика в сети для определения того, сколько было потреблено электричества.
В целом же потенциал умной сети простирается намного дальше. Уже вполне реальными становятся системы, повышающие или понижающие тарифные ставки от часа к часу, в зависимости от доступных энергоресурсов, что измеряется на основе сообщений от миллионов индивидуальных счетчиков.
В некоторых сценариях работы счетчики реагируют на дефицит энергии в сети тем, что дают команды умным аппаратам, вроде сушилки одежды или посудомоечной машины, временно прекратить работу до тех пор, пока энергии опять не станет в достатке.
В итоге инфотехнологии существенно повышают уровень «интеллекта» и общую производительность сети, но в то же время делают ее и куда более уязвимой для кибернетических атак.
Заслон хищениям
С давних пор основной (а может и единственной) разновидностью «хакерских» атак против сетей энергоснабжения были нелегальные врезки и манипуляции с электросчетчиками для хищений электричества.
Появились эти злоупотребления задолго до появления компьютеров, нынешние же технологии AMI (от Advanced Metering Infrastructures – развитые инфраструктуры измерений), реализованные на основе умных счетчиков, предоставили энергетическим предприятиям возможности для эффективного выявления незаконных потреблений электроэнергии и сокращения убытков от хищений.
Умные или интеллектуальные счетчики электроэнергии, имеющие собственный процессор, цифровой дисплей и возможности двусторонней связи, пока что весьма недешевы – обычно их цена составляет несколько сот долларов – но зато дают энергокомпаниям массу преимуществ.
Умные электросчетчики обладают многочисленными функциональными возможностями, которые позволяют не только в реальном времени отслеживать динамику энергопотребления каждым клиентом или дистанционно включать-отключать питание, но также выявлять самые разные нарушения. Например, отслеживать места перевернутых счетчиков, перебоев питания, обратного потока энергии и незаконных подключений.
Два наиболее распространенных на сегодня способа хищений электричества – это либо подключение в обход счетчика, из-за чего регистрируется нулевое потребление энергии, либо переворачивание счетчика, приводящее к тому, что устройство крутится в обратном направлении, а соответствующее потребление энергии учитывается в минус.
С помощью технологий AMI показания с умных счетчиков можно снимать ежедневно, поэтому подобного рода манипуляции достаточно элементарно выявляются.
Интеллектуальные счетчики способны измерять как получаемую, так и потребляемую энергию отдельными регистрами. Кроме того, их можно запрограммировать на измерение суммарной энергии (получаемая плюс потребляемая) или чистой энергии (получаемая минус потребляемая).
Иначе говоря, счетчик, запрограммированный фиксировать суммарную энергию, будет продолжать полностью регистрировать всю потребляемую энергию, даже если счетчик крутится в обратную сторону, а отдельный регистр потребляемой энергии будет показывать возможный учет в обратном направлении.
Наконец, большинство умных счетчиков оснащены датчиками перебоев питания, которые отслеживаются системой AMI. Благодаря этому легко выявляются перемещение счетчиков и проблемы в распределительной цепи.
Небезопасный интеллект
Количество уже установленных умных счетчиков электроэнергии в одной лишь Европе ныне исчисляется десятками миллионов. Самую, видимо, крупную в мире сеть подобного рода развернула по всей Италии крупнейшая в этой стране коммунальная компания Enel SpA. За период около 6 лет, с начала 2000 до конца 2005 года, Enel установила интеллектуальные счетчики каждому из более чем 27 миллионов своих потребителей.
Об уровне защищенности этой специфической компьютерной сети пока ничего неизвестно, поскольку соответствующих исследований от итальянских хакеров на открытых форумах, насколько можно судить, не публиковалось.
Но зато весьма тщательному анализу уже подверглись умные электросчетчики, устанавливаемые ныне в США. Здесь их число пока не слишком велико, около 2 миллионов, однако масштабные планы местных энергетических компаний предусматривают стремительное увеличение этого числа примерно в 25 раз. Так что к 2015 году прогнозируемое количество умных счетчиков в Америке оценивается цифрами порядка 52 миллионов.
В подобном контексте легко понять тот интерес, который вызвало исследование независимой фирмы IOActive из Сиэтла, специализирующейся на компьютерной безопасности, а в последний год всерьез занявшейся исследованием интеллектуальных электросчетчиков.
Общий вывод специалистов по итогам их работы оказался весьма неблагоприятным: большинство протестированных счетчиков имеют в своей защите серьезнейшие дыры и потенциально позволяют злоумышленникам устанавливать собственный контроль над энергосетями.
В качестве наглядной демонстрации, подтверждающей такие выводы, исследователи представили несколько вариантов атак против сетей умных счетчиков. Как установили сотрудники IOActive, встроенные компьютеры таких счетчиков имеют довольно слабое с позиций безопасности ПО, которое легко поддается вредоносному хакингу и злоупотреблениям.
В то время как большинство разработчиков современного программного обеспечения, уже наученные горьким опытом, ныне стараются встраивать в свои продукты безопасность на базовом уровне, защите ПО на аппаратном уровне встраиваемых платформ по-прежнему уделяется явно недостаточное внимание.
Просто приобретите умный счетчик на каком-нибудь онлайновом аукционе, говорят в IOActive, и вы убедитесь, насколько легкой оказывается обратная инженерная разработка устройства из-за отсутствия хоть какой-то защиты сигналов на аппаратном уровне. Столь же несложной была задача и по декодированию внешних коммуникаций устройства – обычно решаемая простым прослушиванием радиосигналов, излучаемых счетчиком.
В ходе анализа исследователи смогли выявить несколько критичных ошибок программирования в ряде платформ умных счетчиков, вроде использования известных своей небезопасностью функций (типа memcpy() и strcpy()) или некорректных реализаций стандартных протоколов. Во многих случаях было установлено, что в конструкции счетчиков используются такие чипы и программное обеспечение, которые при создании явно не предназначались для работы в критично важных системах.
В частности, как свидетельствует Майк Дэвис (Mike Davis), старший консультант IOActive по безопасности, подавляющее большинство таких устройств не использует в коммуникациях шифрования. Более того перед выполнением столь чувствительных функций, как обновление программного обеспечения или отключение клиентов от сети энергопитания, зачастую не применяется процедуры аутентификации для связывающихся сторон. Подобные уязвимости, уверены исследователи, это уже полностью готовая платформа для злоупотреблений.
В IOActive особо подчеркивают, что ни один из применявшихся при анализе методов не требовал каких-то специальных познаний или существенных финансовых вложений. Принимая во внимание, что большинство коммунальных счетчиков находятся за пределами частных жилищ и офисов, причем с очень небольшой или вообще никакой защитой от несанкционированного доступа, получается, что злоумышленники имеют все условия для нелегального подсоединения к сети.
Чтобы доказать реальность угрозы, Дэвис и его коллеги по IOActive разработали код программного червя, способного самораспространяться в энергосети, содержащей большое количество разных счетчиков от одного из известных производителей.
Каждое из устройств, зараженных таким червем и встраиваемым во флэш-память руткитом, оказывается под контролем хозяев вредоносной программы – по той же самой в сущности схеме, что зараженные зомби-ПК попадают в криминальные сети ботнетов. После чего злоумышленники могут посылать инструкции, заставляющие программу управления счетчиком включать и выключать энергопитание, сообщать подробности о динамике энергопользования клиентом или же о чувствительных нюансах в установках конфигурации системы.
Разработанный в IOActive червь способен заражать устройства очень быстро. Для распространения он использует возможности автоматического обновления ПО, заложенные в счетчиках, работающих по технологии peer-to-peer и не использующих цифровые подписи кода или какие-либо еще меры защиты, гарантирующие лишь авторизованные обновления программы.
В своем докладе на Black Hat Дэвис и его компания решили не раскрывать конкретные модели счетчиков или их изготовителя, но при этом подчеркивают, что большинство из полудюжины разных счетчиков, ими исследованных, страдают теми же по сути проблемами крайне убогой защиты.
Комментируя полученные результаты, Майк Дэвис сказал так: «Потенциально мы можем отключать сотни тысяч домов зараз. Понятно, что это ставит серьезные проблемы, для которых энергетическим компаниям далеко не просто найти красивое решение».
Позиция индустрии
Самой, однако, серьезной проблемой на нынешнем этапе исследований оказалось то, что как сами энергокомпании США, планирующие массовое внедрение умных счетчиков, так и разработчики-изготовители устройств решили просто отвергнуть результаты IOActive – как не соответствующие реальному положению дел.
Так, к примеру, Рич Григан (Rich Creegan), вице-президент фирмы Itron, поставляющей на американский рынок интеллектуальные счетчики, отверг все заявления исследователей в самой категоричной форме.
По свидетельству Григана, Itron специально нанимала известную фирму кибербезопасности Certicom для обеспечения своих устройств шифрованием, и в целом разработала свои сети умных счетчиков таким образом, чтобы все команды управления проходили через «центры доверия», которые «тщательно заперты процедурами сертификации и авторизации – по нашему мнению, на высочайшем из доступных уровней безопасности».
Другой солидный комментатор, директор по энергоснабжению группы коммунальных услуг Electric Power Research Institute Эрфан Ибрахим (Erfan Ibrahim), столь же категорически не согласился с идеей, будто нынешние умные счетчики безнадежно отстали от современных норм кибербезопасности: «Неправда, что умные счетчики устанавливаются без какой-либо аутентификации связи между устройствами и без шифрования. Такого просто не происходит».
Также Ибрахим высказал предположение, что дыры в защите, выявленные фирмой IOActive, могли быть обнаружены при изучении пилотных проектов устройств, предназначенных лишь для предварительного тестирования систем, отыскания проблем и их исправления…
Для того, чтобы столь разительные отличия в оценках важности проделанной работы стали более понятны, необходимо прояснить финансово-политическую ситуацию с энергетикой, на фоне которой разворачивается в США вся эта история.
Суть момента в том, что в феврале этого года президентом страны был подписан новый закон об оздоровлении американской экономики, в рамках которого на перестройку инфраструктуры электроэнергетики и создание умных сетей администрация Обамы выделяет из госбюджета 4,5 миллиарда долларов. Но чтобы претендовать на эти деньги, проекты частных компаний должны удовлетворять весьма агрессивным срокам, в которые большие проблемы с безопасностью счетчиков, ясное дело, совершенно не вписываются.
Именно по этой причине, уверены в IOActive, совсем недавняя озабоченность энергокомпаний по поводу надлежащей защиты их счетчиков теперь отошла далеко на задний план. По свидетельству М. Дэвиса, до того, как стало известно об обильном финансировании проектов умных сетей из госбюджета, сразу несколько компаний сами обращались в IOActive и просили их провести работы по тестированию на проникновение и по независимой оценке общей защиты тех счетчиков, которые они планировали массово устанавливать.
Но как только появился закон об экономических стимулах, все эти фирмы тут же захлопнулись, словно раковины моллюсков. И теперь исследователям IOActive стало практически невозможно получить у энергетиков для анализа новые устройства.
Таким образом, в полной мере обрисовалась еще одна большая проблема с умными энергосетями. А именно, компании-поставщики по сути сами отвечают за политику в своей отрасли, устанавливают здесь собственные стандарты и совершенно не желают, чтобы кто-то контролировал их извне.
Эта ситуация имеет очень выразительные параллели с устройством регулирования в индустрии кредитных карт, где от торговцев требуется лишь одно – четкое следование правилам, установленным наиболее влиятельными компаниями в индустрии.
О том, сколь неудовлетворительными стали итоги такого подхода с точки зрения инфобезопасности, сказано и написано уже очень много. Но реальность такова, что теперь та же сама история грозит повториться и в энергетике.
The END
kiwi arXiv 