Džeimss Showalter apraksta diezgan specifisku, vai ne pilnīgi neticamu murgu scenāriju. Kāds brauc uz jūsu māju, sagrauj jūsu Wi-Fi paroli un pēc tam sāk sajaukt ar saules enerģijas invertoru, kas uzstādīts blakus jūsu garāžai. Šī nepiespiestā pelēkā lodziņš pārvērš tiešo strāvu no jūsu jumta paneļiem mainīgajā strāvā, kas nodrošina jūsu māju.
“Jums ir jābūt saules stalkerim”, lai šis scenārijs varētu izspēlēties, saka Showalter, aprakstot cilvēku veidu, kuram būtu fiziski jāparādās jūsu piebraucamajā ceļā gan ar tehnisko kompetenci, gan motivāciju uzlauzt jūsu mājas enerģijas sistēmu.
Izpilddirektors EG4 elektronikauzņēmums, kas atrodas Sēra avotos, Teksasā, neuzskata šo notikumu secību, kas ir īpaši ticama. Tomēr tāpēc viņa uzņēmums pagājušajā nedēļā nonāca uzmanības centrā, kad ASV kiberdrošības aģentūra CISA publicēja padomdevēju detalizētas drošības ievainojamības EG4 saules invertoros. CISA atzīmēja, ka trūkumi varētu ļaut uzbrucējam ar piekļuvi tam pašam tīklam kā ietekmētajam invertoram un tā sērijas numuram, lai pārtvertu datus, instalētu ļaunprātīgu programmaparatūru vai sagrābtu visas sistēmas kontroli.
Aptuveni 55 000 klientu, kuriem pieder EG4 ietekmētais invertora modelis, epizode, iespējams, jutās kā satraucošs ievads ierīcē, kuru viņi maz saprot. Viņi mācās, ka mūsdienu saules invertori vairs nav vienkārši enerģijas pārveidotāji. Tagad tie kalpo kā mājas enerģijas instalāciju mugurkauls, uzraudzība, snieguma uzraudzība, komunikācija ar komunālo pakalpojumu uzņēmumiem un, kad ir pārmērīga jauda, barojot to atpakaļ tīklā.
Liela daļa no tā ir noticis, ja cilvēki to nepamanīja. “Neviens nezināja, kas pie velna saules invertors bija pirms pieciem gadiem,” novēro Džastins Paskale, kiberdrošības firmas Dragos galvenais konsultants, kas specializējas rūpniecības sistēmās. “Tagad mēs par to runājam valsts un starptautiskā līmenī.”
Drošības trūkumi un klienti sūdzas
Daži no skaitļiem izceļ pakāpi, kādā atsevišķas mājas ASV kļūst par miniatūrām spēkstacijām. Saskaņā ar ASV Enerģētikas informācijas pārvaldes teikto, pieauga maza mēroga saules enerģijas instalācijas-galvenokārt dzīvojamās ēkas vairāk nekā pieckārt Laikā no 2014. līdz 2022. gadam. Tas, kas kādreiz bija klimata aizstāvju province un agrīnie adoptētāji, kļuva par galvenajiem, sakarā ar izmaksām, valdības stimuliem un pieaugošai izpratnei par klimata pārmaiņām.
TechCrunch pasākums
Sanfrancisko
|
2025. gada 27.-29. Oktobris
Katra saules instalācija pievieno vēl vienu mezglu paplašinātam savstarpēji savienotu ierīču tīklam, katrs no tiem veicina enerģijas neatkarību, wager arī kļūst par potenciālu ieejas punktu kādam ar ļaunprātīgu nodomu.
Piespiežot par sava uzņēmuma drošības standartiem, Showalter atzīst tā trūkumus, wager viņš arī novirzās. “Tā nav EG4 problēma,” viņš saka. “Šī ir nozares mēroga problēma.” Virs tālummaiņas zvana un vēlāk šī redaktora iesūtnē viņš ražo a 14 lappušu ziņojums 88 Saules enerģijas ievainojamības atklāšanas kataloģizēšana kopš 2019. gada komerciālās un dzīvojamās lietojumprogrammās.
Ne visi viņa klienti – daži no tiem aizveda uz Reddit Sūdzēties – ir simpātiski, jo īpaši ņemot vērā, ka CISA padomdevējs atklāja pamatdizainības trūkumus: saziņa starp uzraudzības lietojumprogrammām un invertoriem, kas notika nešifrētā vienkāršā tekstā, programmaparatūras atjauninājumi, kuriem nebija integritātes pārbaužu, un rudimentāras autentifikācijas procedūras.
“Tie bija pamatīgi,” saka viens uzņēmuma klients, kurš lūdza runāt anonīmi. “Pievienojot apvainojumu par ievainojumiem,” turpina šo indivīdu, “EG4 pat neuztraucās man paziņot vai piedāvāt ierosinātos mazinājumus.”
Vaicāts, kāpēc EG4 uzreiz neinteresēja klientus, kad CISA sazinājās ar uzņēmumu, Showalter to sauc par “tiešraidē un mācīties”.
“Tāpēc, ka mēs esam tik tuvu [to addressing CISA’s concerns] Un tās ir tik pozitīvas attiecības ar CISA, mēs gatavojamies nokļūt pie pogas “Dare” un pēc tam konsultējamies ar cilvēkiem, tāpēc mēs neesam ceptas kūkas vidū, ”saka Showalter.
TechCrunch sazinājās ar CISA šīs nedēļas sākumā, lai iegūtu vairāk informācijas; Aģentūra nav atbildējusi. Savā padomdevējā par EG4 CISA paziņo, ka “šobrīd CISA nav ziņots par šo ievainojamību, kas īpaši vērsta uz šo ievainojamību, CISA”.
Savienojumi ar Ķīnu dzirkst drošības jautājumi
Lai arī tas nav saistīts, EG4 sabiedrisko attiecību krīzes laiks sakrīt ar plašāku satraukumu par atjaunojamās enerģijas aprīkojuma piegādes ķēdes drošību.
Šā gada sākumā ASV enerģētikas amatpersonas sāka pārvērtēt riskus, ko rada Ķīnā izgatavotie ierīces pēc tam, kad dažos invertoros un baterijās atklāja neizskaidrojamu sakaru aprīkojumu. Saskaņā ar Reuters izmeklēšanuvairāku ķīniešu piegādātāju aprīkojumā tika atrasti bez dokumentēti šūnu radioaparāti un citas sakaru ierīces – komponenti, kas nebija parādījušies oficiālajos aparatūras sarakstos.
Šis ziņotais atklājums rada īpašu svaru, ņemot vērā Ķīnas dominējošo stāvokli saules ražošanā. Tas pats Reuters stāsts atzīmēja, ka Huawei ir pasaulē lielākais invertoru piegādātājs, kas 2022. gadā veido 29% sūtījumu visā pasaulē, kam seko ķīniešu vienaudžu sauļošanās un ginlong Solis. Kaut kā 200 GW Eiropas saules enerģijas jauda ir saistīts ar invertoriem, kas izgatavoti Ķīnā, kas ir aptuveni līdzvērtīgs vairāk nekā 200 atomelektrostacijām.
Ģeopolitiskā ietekme nav izvairījusies no paziņojuma. Lietuva pagājušajā gadā pieņēma likumu Bloķējot attālo ķīniešu piekļuvi saules, vēja un akumulatora uzstādījumiem virs 100 kilovatiem, efektīvi ierobežojot ķīniešu invertoru izmantošanu. Showalter saka, ka viņa uzņēmums reaģē uz klientu bažām, ko līdzīgi sāk attālināties no Ķīnas piegādātājiem un uz komponentiem, ko uzņēmumi ir veidojuši citur, ieskaitot Vāciju.
Guess EG4 sistēmās aprakstītās ievainojamības, kas aprakstītas EG4 sistēmās, rada jautājumus, kas pārsniedz jebkura uzņēmuma praksi vai kur tā iegūst tās komponentus. ASV standartu aģentūras NIST brīdina ka “ja jūs attālināti kontrolējat pietiekami lielu skaitu mājas saules enerģijas invertoru un vienlaikus darāt kaut ko nelietīgu, tas varētu būt katastrofāla ietekme uz režģi ilgstoši.”
Labās ziņas (ja tāda ir), ir tā, ka, lai arī teorētiski ir iespējams, šis scenārijs saskaras ar daudz praktisku ierobežojumu.
Pascale, kurš strādā ar komunālo pakalpojumu mēroga saules enerģijas instalācijām, atzīmē, ka dzīvojamo ēku invertori galvenokārt kalpo divām funkcijām: pārveidot jaudu no tiešas uz maiņstrāvu un atvieglot savienojumu atpakaļ ar režģi. Masu uzbrukumam būtu nepieciešams vienlaikus kompromitēt lielu skaitu atsevišķu māju. (Šādi uzbrukumi nav neiespējami, wager, visticamāk, ir saistīti ar mērķauditorijas atlasi pašiem ražotājiem, no kuriem dažiem ir attālināta pieeja klientu saules enerģijas invertoriem, kā par drošības pētnieku pierādīšanu pagājušajā gadā.)
Normatīvā sistēma, kas regulē lielākas iekārtas, šobrīd neattiecas uz dzīvojamo māju sistēmām. Ziemeļamerikas elektriskās uzticamības korporācijas kritiskās infrastruktūras aizsardzības standarti Pašlaik pieteikties Tikai lielākās telpās, kas ražo 75 vai vairāk megavatus, piemēram, Photo voltaic Farms.
Tā kā dzīvojamo ēku iekārtas nokrīt tik tālu zem šiem sliekšņiem, tās darbojas regulatīvajā pelēkajā zonā, kur kiberdrošības standarti joprojām ir ierosinājumi, nevis prasības.
Guess gala rezultāts ir tāds, ka tūkstošiem mazu instalāciju drošība lielā mērā ir atkarīga no atsevišķu ražotāju ieskatiem, kas darbojas regulējošā vakuumā.
Piemēram, jautājumā par nešifrētu datu pārraidi, kas ir viens no iemesliem, kāpēc EG4 saņēma, ka no CISA ir iesprūdusi no rokas, Pascale norāda, ka komunālo pakalpojumu mēroga darbības vidē vienkārša teksta pārraide ir izplatīta un dažreiz tiek mudināta tīkla uzraudzības vajadzībām.
“Kad jūs skatāties uz šifrēšanu uzņēmuma vidē, tas nav atļauts,” viņš skaidro. “Guess, skatoties uz operatīvo vidi, lielākā daļa lietu tiek pārsūtītas vienkāršā tekstā.”
Citiem vārdiem sakot, patiesās bažas nav tūlītējs drauds atsevišķiem māju īpašniekiem. Tā vietā tas ir saistīts ar strauji paplašinošā tīkla kopējo neaizsargātību. Tā kā enerģijas režģis kļūst arvien izplatītāks, un jauda plūst no miljoniem mazu avotu, nevis desmitiem lielo, uzbrukuma virsma izplešas eksponenciāli. Katrs invertors attēlo potenciālu spiediena punktu sistēmā, kas nekad nebija paredzēta, lai pielāgotos šim sarežģītības līmenim.
Showalter ir pieņēmis CISA iejaukšanos kā to, ko viņš sauc par “uzticības jaunināšanu” – iespēju atšķirt savu uzņēmumu pārpildītā tirgū. Viņš saka, ka kopš jūnija EG4 ir sadarbojies ar aģentūru, lai risinātu identificētās ievainojamības, samazinot sākotnējo desmit problēmu sarakstu līdz trim atlikušajām precēm, kuras uzņēmums paredz līdz oktobrim. Course of ir saistīts ar programmaparatūras pārraides protokolu atjaunināšanu, papildu identitātes verifikācijas ieviešanu tehniskā atbalsta zvaniem un autentifikācijas procedūru pārveidošanu.
Guess tiem, piemēram, anonīmajam EG4 klientam, kurš runāja ar neapmierinātību par uzņēmuma reakciju, epizodē ir izcelta dīvainā pozīcija, kurā nonāk saules enerģijas adoptētāji. Viņi iegādājās to, ko viņi saprata par klimatam draudzīgu tehnoloģiju, tikai lai atklātu, ka viņi ir kļuvuši par negribīgiem dalībniekiem mezglā kiberdrošības ainavā, kas ir pilnībā saprotami.
