Энергетика с умом
Технологии умных энергосетей и интеллектуальных счетчиков - дело сравнительно новое. И здесь, дабы не повторять старых ошибок, следовало бы с самого начала не отмахиваться от проблем инфобезопасности.
Автор: Берд Киви
| Раздел: Статьи |
Дата: 24 августа 2009 года
В последние годы одна из самых известных хакерских конференций, Black Hat/DefCon в Лас-Вегасе, не обходится без скандалов, вызванных отменой докладов, компрометирующих защиту в продукции солидных ИТ-корпораций. На нынешнем июльском форуме такая участь постигла работу под названием "Джекпот для банкомата", подготовленную одним из сотрудников фирмы Juniper Networks.
Как можно понять из названия, пытливый исследователь (на всякий случай укрывшийся под псевдонимом Barnaby Jack) разработал комплекс манипуляций, которые позволяют опустошать банковские аппараты, выдающие наличные владельцам карточек. Причем докладчик был так уверен в эффективности своего метода, что намеревался завершить выступление демонстрацией изъятия денег из реального банкомата.
Разумеется, подобный доклад серьезнейшим образом подрывал доверие клиентов не только к изготовителям конкретных банкоматов, но и ко всей индустрии платежных карт. По этой причине на фирму Juniper было оказано столь мощное давление, что она сама исключила доклад из программы конференции, расценив его как слишком опасный по своим последствиям1.
Другое интересное выступление на Black Hat 2009 - о дырах в защите умных счетчиков электроэнергии2 - никто, насколько известно, отменять не пытался, несмотря на широкое предварительное обсуждение работы. Возможно, потому, что проводившие исследование сотрудники фирмы IOActive в итоговом отчете тщательно избегали хоть каких-либо указаний на конкретные модели и изготовителей скомпрометированных устройств. Тем не менее представители энергетической промышленности отреагировали на доклад-предупреждение на редкость единообразно, заняв, по сути, ту же позицию, что и "банкоматчики": они дружно отвергли серьёзность угрозы, назвав лабораторные демонстрации атак "оторванными от реалий жизни".
Хотя такой подход с точки зрения бизнеса вполне объясним, вряд ли кто решится назвать его мудрым и правильным. Эксперты по инфобезопасности неустанно напоминают, что важнейшие слабости в технологии платежных карт были выявлены и указаны ещё лет двадцать назад. И если бы им уделяли должное внимание, то нынешних злоупотреблений и хищения колоссальных сумм можно было бы избежать. Технологии же умных энергосетей и интеллектуальных счетчиков - дело сравнительно новое. И здесь, дабы не повторять старых ошибок, следовало бы с самого начала не отмахиваться от проблем инфобезопасности.
Умные энергосети
Хотя в России, в силу её специфической экономики, концепция умных сетей энергоснабжения пока не обрела особой популярности, для многих стран Европы, Азиатско-Тихоокеанского региона, а теперь и Америки радикальное преобразование национальных энергосистем входит в число главных государственных приоритетов.
Практически в любой индустриальной стране имеется весьма старая и состоящая из разнородных элементов инфраструктура. Нынешняя задача заключается в том, чтобы преобразовать ее в распределительную сеть, способную эффективно взаимодействовать с потребителями, выявлять и устранять собственные недостатки, а также интегрировать в ту же систему маломощные местные источники солнечной, ветряной и прочей возобновляемой энергии.
Одними из первых умные энергосети стали строить государства Западной Европы, остро ощутившие нехватку электроэнергии ещё в 1970-е годы. На примере Дании сегодня часто демонстрируют, каким образом можно решить проблемы, взяв на вооружение прогрессивные технологии. В середине 1980-х годов эта небольшая скандинавская страна использовала крупные централизованные электростанции, чьих мощностей явно не хватало, поэтому приходилось импортировать электроэнергию и природный газ из соседних Германии и Швеции. Стоимость электроэнергии в Дании была одной из самых высоких в Европе - 0,12–0,13 доллара за киловатт-час. Согласно тогдашним прогнозам, к 2005 году цена грозила подскочить до 1 доллара, что привело бы страну к национальному банкротству.
Примерно в те же годы Дания начала возводить промышленные ветряные установки и решила в корне перестроить свою энергосистему, сделав её массово распределённой. Датчане связали воедино свои ветряки, имеющие неравномерную производительность, с относительно небольшими комбинированными теплоэлектроцентралями (ТЭЦ) – станциями на природном газе, производящими электроэнергию и пар или горячую воду для отопления. Если ветер стихал, ТЭЦ повышали выходную мощность.
За последние двадцать лет Дания полностью перешла от использования нескольких крупных централизованных электростанций к рассредоточенной системе. Ныне страну густо покрывают ТЭЦ мощностью по 4, 10 и 25 мегаватт, а потребители платят за киловатт-час примерно 0,20 (нынешних) доллара. Дания всё ещё зависит от внешних источников природного газа, но уже сама экспортирует электроэнергию в Германию и Швецию.
Понятно, что общая логика распределенных энергосистем подразумевает взаимодействие и массовую интеграцию в сеть не только ветряных, но и любых других маломощных источников энергии. К примеру, в странах, готовящихся к широкому внедрению электромобилей, весьма популярна концепция v2g, или Vehicle-to-Grid (то есть "машина в сеть"). Суть идеи в том, чтобы использовать силовые аккумуляторы миллионов электромобилей и гибридов для накопления энергии в периоды невысокой цены на электричество и продажи её обратно в сеть в часы пикового потребления.
Подобного рода преобразования в национальных энергосистемах немыслимы без новых информационно-технологических инфраструктур и передовых интернет-технологий. В результате комплексной модернизации обычные сети энергоснабжения преобразуются в компьютеризированные сети реального времени, способные автоматически принимать решения на основе данных, поступающих с миллионов сенсоров. Как тривиальное следствие этого, к примеру, отпадает необходимость в визитах инспекторов, считывающих показания с каждого счетчика в сети, дабы определить, сколько было потреблено электричества.
В целом же потенциал умной сети простирается гораздо дальше. Вполне реальными уже становятся системы, которые, руководствуясь сообщениями от миллионов индивидуальных счетчиков, повышают или понижают тарифные ставки ежечасно, в зависимости от доступных энергоресурсов. В некоторых сценариях счетчики даже реагируют на дефицит энергии, приказывая умной бытовой технике, вроде сушилки одежды или посудомоечной машины, временно прекратить работу до тех пор, пока энергии опять не станет в достатке. В итоге инфотехнологии существенно повышают уровень "интеллекта" и общую производительность сети, но в то же время делают её и куда более уязвимой для кибератак.
Заслон хищениям
С давних пор основной (а может, и единственной) разновидностью "хакерских" атак на сети энергоснабжения были нелегальные врезки и манипуляции с электросчетчиками для хищений электричества. Появились эти злоупотребления задолго до компьютеров, нынешние же технологии AMI (от Advanced Metering Infrastructures), реализованные на основе умных счетчиков, предоставили энергетическим предприятиям возможности для эффективного выявления хищений.
Счетчики электроэнергии, имеющие собственный процессор, цифровой дисплей и шину двусторонней связи, пока что недёшевы - обычно их цена составляет несколько сот долларов, - зато дают энергокомпаниям массу преимуществ. Два самых распространенных на сегодня способа хищений электричества - это подключение в обход счетчика, из-за чего регистрируется нулевое потребление энергии, либо перекоммутация счетчика, заставляющая его крутиться в обратном направлении, списывая потребленную энергию в минус. С помощью технологий AMI показания с умных счетчиков можно снимать ежедневно, поэтому подобного рода манипуляции легко выявляются. Кроме того, большинство устройств могут учитывать отдельными регистрами как потребляемую, так и отдаваемую наружу (в обратном направлении) энергию, так что перекоммутация счетчика, скорее всего, будет обнаружена. Большая часть умных счетчиков оснащена также датчиками перебоев питания, которые отслеживаются системой AMI. Благодаря этому отсоединение счетчика от сети с целью незаконных манипуляций не пройдет незамеченным.
Небезопасный интеллект
Количество умных счетчиков электроэнергии в одной лишь Европе уже исчисляется десятками миллионов. Самую, видимо, крупную в мире сеть подобного рода развернула по всей Италии коммунальная компания Enel SpA. За шесть лет, с начала 2000 до конца 2005 года, Enel установила интеллектуальные счетчики каждому из более чем 27 миллионов своих потребителей.
Об уровне защищенности этой специфической компьютерной сети судить трудно (исследований на сей счёт итальянские хакеры на открытых форумах не публиковали), зато тщательному анализу уже подверглись умные электросчетчики, устанавливаемые в США. Здесь их пока не слишком много, около 2 миллионов, однако масштабные планы местных энергетических компаний предусматривают стремительное увеличение их числа (до 52 миллионов к 2015 году).
В подобном контексте легко понять тот интерес, который вызвало исследование независимой фирмы IOActive из Сиэтла, специализирующейся на компьютерной безопасности, а в последний год всерьез занявшейся интеллектуальными электросчетчиками. Вывод специалистов оказался неутешительным: защита большинства протестированных моделей зияет дырами, позволяющими злоумышленникам устанавливать собственный контроль над энергосетями. В подтверждение исследователи представили несколько вариантов атак против сетей умных счетчиков.
Сотрудники IOActive установили, что встроенные компьютеры счётчиков имеют довольно слабое с позиций безопасности ПО, которое легко поддается хакингу и злоупотреблениям. В то время как большинство софтмейкеров, уже наученные горьким опытом, стараются встраивать в свои продукты безопасность на базовом уровне, защите ПО на аппаратном уровне по-прежнему уделяется недостаточно внимания. Купите умный счетчик на каком-нибудь онлайновом аукционе, говорят в IOActive, и вы убедитесь, насколько легкой оказывается обратная инженерная разработка устройства из-за отсутствия хоть какой-то защиты сигналов на аппаратном уровне. Столь же несложной была задача и по декодированию внешних коммуникаций устройства - обычно решаемая элементарным прослушиванием радиосигналов, излучаемых счётчиком.
В ходе анализа исследователи выявили несколько критичных ошибок программирования в ряде платформ умных счетчиков, вроде использования известных своей небезопасностью функций (типа memcpy() и strcpy()) или некорректных реализаций стандартных протоколов. Во многих случаях было установлено, что в конструкции счётчиков используются такие чипы и программное обеспечение, которые явно не предназначались для работы в критично важных системах.
В частности, свидетельствует Майк Дэвис (Mike Davis), старший консультант IOActive по безопасности, подавляющее большинство таких устройств не использует шифрования в коммуникациях. Более того, перед выполнением столь чувствительных операций, как обновление программного обеспечения или отключение клиентов от сети энергопитания, зачастую не применяется процедура аутентификации для связывающихся сторон. Подобные уязвимости, уверены исследователи, - это уже полностью готовая платформа для злоупотреблений.
В IOActive подчеркивают, что ни один из применявшихся при анализе методов не требовал специальных познаний или существенных финансовых вложений. Принимая во внимание, что большинство коммунальных счетчиков находятся за пределами частных жилищ и офисов, причём с очень небольшой или вообще никакой защитой от несанкционированного доступа, можно констатировать: злоумышленники имеют все условия для нелегального подсоединения к сети.
Чтобы доказать реальность угрозы, Дэвис с коллегами разработали код червя, способного самораспространяться в энергосети, содержащей большое количество разных счетчиков от одного из известных производителей. Каждое из устройств, зараженных таким червём и встраиваемым во флэш-память руткитом, оказывается под контролем хозяев вредоносной программы - по той же самой схеме, что зараженные зомби-ПК попадают в криминальные сети ботнетов. После чего злоумышленники могут посылать инструкции, заставляющие программу управления счетчиком включать и выключать энергопитание, сообщать о динамике энергопользования клиентом или же о нюансах в установках конфигурации системы.
Разработанный в IOActive червь способен заражать устройства очень быстро. Для распространения он использует возможности автоматического обновления ПО, заложенные в счетчиках, работающих по технологии peer-to-peer и не использующих цифровые подписи кода или другие меры защиты, гарантирующие лишь авторизованные обновления программы. В своем докладе на Black Hat Дэвис не назвал конкретные модели счетчиков или их изготовителя, однако подчеркнул, что большинство из полудюжины исследованных моделей отличаются крайне убогой защитой.
Комментируя полученные результаты, Майк Дэвис сказал так: "Потенциально мы можем отключать сотни тысяч домов за раз. Понятно, что это ставит серьёзные проблемы, для которых энергетическим компаниям далеко не просто найти красивое решение".
Позиция индустрии
Самой, однако, серьезной проблемой на нынешнем этапе исследований оказалось то, что и сами энергокомпании США, планирующие массовое внедрение умных счетчиков, и разработчики-изготовители устройств решили просто-напросто отмахнуться от результатов IOActive - как не соответствующих реальному положению дел.
Так, Рич Григан (Rich Creegan), вице-президент фирмы Itron, поставляющей на американский рынок интеллектуальные счётчики, отверг все заявления исследователей в самой категоричной форме. По свидетельству Григана, Itron специально нанимала известную фирму кибербезопасности Certicom для обеспечения своих устройств шифрованием и в целом разработала свои сети умных счетчиков таким образом, чтобы все команды управления проходили через "центры доверия", которые "тщательно заперты процедурами сертификации и авторизации - по нашему мнению, на высочайшем из доступных уровне безопасности".
Другой авторитет, директор по энергоснабжению группы коммунальных услуг Electric Power Research Institute Эрфан Ибрахим (Erfan Ibrahim), столь же категорически не согласился с тем, что нынешние умные счетчики безнадежно отстали от современных норм кибербезопасности: "Это неправда, что умные счетчики устанавливаются без какой-либо аутентификации связи между устройствами и шифрования". Также Ибрахим высказал предположение, что дыры в защите, выявленные фирмой IOActive, могли быть обнаружены при изучении пилотных проектов устройств, предназначенных лишь для предварительного тестирования систем, отыскания проблем и их исправления...
Дабы столь разительные отличия в оценках важности проделанной работы стали понятнее, необходимо прояснить финансово-политическую ситуацию с энергетикой, на фоне которой разворачивается в США вся эта история. Дело в том, что в феврале президент страны подписал закон об оздоровлении американской экономики, в рамках которого на перестройку инфраструктуры электроэнергетики и создание умных сетей из госбюджета выделяется 4,5 миллиарда долларов. Но чтобы претендовать на эти деньги, проекты частных компаний должны быть выполнены в кратчайшие сроки, в которые проблемы с безопасностью счетчиков совершенно не вписываются.
Именно по этой причине, уверены в IOActive, недавняя озабоченность энергокомпаний по поводу надлежащей защиты счётчиков теперь отошла на задний план. По свидетельству Дэвиса, до того как стало известно о щедром финансировании проектов умных сетей, сразу несколько компаний обращались в IOActive и просили провести тесты и дать оценку защите счётчиков, которые планировалось массово устанавливать. Но как только появился закон об экономических стимулах, все эти заказчики тут же схлопнулись, словно раковины моллюсков. И теперь исследователям IOActive стало практически невозможно получить у энергетиков для анализа новые устройства.
Таким образом, в полной мере обрисовалась ещё одна большая проблема с умными энергосетями, а именно: компании-поставщики, по сути, сами отвечают за политику в своей отрасли, устанавливают здесь собственные стандарты и совершенно не желают, чтобы кто-то их контролировал. Эта ситуация имеет очень выразительные параллели с регулированием в индустрии кредитных карт, где от торговцев требуется лишь одно - четкое следование правилам, установленным наиболее влиятельными компаниями в отрасли.
О том, сколь печальны последствия такого подхода с точки зрения инфобезопасности, сказано и написано уже немало. Но реальность такова, что теперь та же самая история грозит повториться и в энергетике.