Τέσσερα εκατ. ηλιακοί συλλέκτες εκτός με το πάτημα ενός κουμπιού – Ο χάκερ με το «λευκό καπέλο» που ανέδειξε την κερκόπορτα των φωτοβολταϊκών
Μπορεί η λέξη «χάκερ» να έχει για πολλούς ένα ξεκάθαρο αρνητικό πρόσημο, αλλά στην πραγματικότητα από μόνη της δεν καθορίζει τον κυβερνο-εγκληματία.
Υπάρχουν αρκετές κατηγορίες χάκερ (κατά πολλούς επτά) μεταξύ των οποίων και οι «white hat hackers» , τα λευκά καπέλα δηλαδή: ορίζονται ως ηθικοί χάκερ που χρησιμοποιούν σύγχρονες τεχνικές, τεχνολογία και στρατηγικές για να παραβιάσουν συστήματα επιχειρήσεων στο όνομα της βελτίωσης της ασφάλειας στον κυβερνοχώρο.
Μία τέτοια περίπτωση, είναι και αυτή του Ολλανδού Wietse Boonstra ο οποίος κατάφερε να παραβιάσει έξυπνους ηλιακούς συλλέκτες στην Ολλανδία, προκειμένου να αποκαλύψει την ευπάθειά τους σε επιθέσεις στον κυβερνοχώρο, προτρέποντας λετσι τη βιομηχανία να ζητά πιο αυστηρές αξιολογήσεις ασφάλειας.
Ενώ οι ανεμογεννήτριες, οι οποίες είναι υψηλά δικτυωμένες και εξοπλισμένες με εκατοντάδες αισθητήρες , θεωρούνται παραδοσιακά πιο ευάλωτες σε εξωτερικές παρεμβολές από τα ηλιακά πάνελ, ο Ολλανδός κατάφερε να αποδείξει το αντίθετο.
Οι κερκόπορτες του κώδικα
Και μάλιστα, όπως αναφέρει το ολλανδικό ερευνητικό πρακτορείο FollowTheMoney, θα μπορούσε να έχει αποκτήσει τον έλεγχο εκατομμυρίων έξυπνων συστημάτων ηλιακών πάνελ, αναφέρει , χρησιμοποιώντας μια «κερκόπορτα».
Τα ευρήματα επιβεβαιώνουν μια έκθεση του 2023 από μια ολλανδική υπηρεσία η οποία διαπίστωσε ότι οι μετατροπείς, βασικά μέρη ηλιακών συλλεκτών που κάνουν την ηλεκτρική ενέργεια κατάλληλη για το δίκτυο ηλεκτρικής ενέργειας και που συνήθως συνδέονται με το διαδίκτυο, μπορούν να «παραβιαστούν εύκολα, να απενεργοποιηθούν εξ αποστάσεως ή να χρησιμοποιηθούν για DDoS επιθέσεις. Οι επιθέσεις DDoS είναι ένας από τους πιο συνηθισμένους τύπους επιθέσεων, που βασικά προσπαθούν να πλήξουν ένα σύστημα.
Ο βιομηχανικός σύνδεσμος της ΕΕ SolarPower Europe σχολιάζοντας την «επίθεση» του Ολλανδού δήλωσε ότι το μπλοκ «χρειάζεται πιο ισχυρούς κανόνες κυβερνοασφάλειας για κατανεμημένες πηγές ενέργειας».
Το μερίδιο της ηλιακής ενέργειας στο ευρωπαϊκό δίκτυο έχει αυξηθεί από 1% το 2010 σε 9% το 2023 , και μαζί με αυτό έχει αυξηθεί επίσης το δυναμικό μιας κυβερνοεπίθεσης σε ηλιακούς συλλέκτες.
«Οι συσκευές που μπορούν να συντονιστούν ή να διαχειρίζονται κεντρικά (για παράδειγμα, συγκεντρωτικές ηλιακές εγκαταστάσεις σε στέγες) πρέπει να υπόκεινται σε επίπεδο παρακολούθησης από την ΕΕ ή σε εθνικό επίπεδο», τόνισε ο Dries Acke, αναπληρωτής διευθύνων σύμβουλος της Solar Power.
Εκτεθειμένοι σε απειλές
Μια έκθεση της ίδιας της υπηρεσίας κυβερνοασφάλειας της ΕΕ διαπίστωσε ότι η ένωση δεν είναι καλά προετοιμασμένη για μια συντονισμένη επίθεση στην ενεργειακή της υποδομή, είτε από ξένο κράτος είτε από κακόβουλους κατοίκους.
Καθώς η ηλεκτρική ενέργεια είναι τόσο απαραίτητη, οποιαδήποτε επίθεση στην Ευρώπη «προσελκύει σημαντική δραστηριότητα προ-τοποθέτησης από προηγμένους παράγοντες απειλής» στον τομέα της ενέργειας, εάν στοχεύουν στην «εκτέλεση μιας καταστροφικής επίθεσης», προσθέτει.
Τα ηλιακά πάνελ περιγράφηκαν ως ευάλωτα σημεία σε πολλά σενάρια, επίσης λόγω της κυριαρχίας μιας και μόνο χώρας, της Κίνας, στην εφοδιαστική αλυσίδα.
Ο κλάδος λέει ότι ενώ νόμοι όπως η ενημερωμένη Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριών της ΕΕ, γνωστή ως NIS2, και ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο αποτελούν την αρχή, αλλά χρειάζεται περισσότερη δράση: οι ηλιακοί συλλέκτες θα πρέπει να ταξινομούνται ως κρίσιμο προϊόν, πράγμα που σημαίνει ότι θα υπόκεινται σε πιο αυστηρές αξιολογήσεις.
«Οι μελλοντικές απαιτήσεις στον κυβερνοχώρο θα πρέπει να εντάσσονται σε ένα σχέδιο δράσης της ΕΕ για την ηλεκτροδότηση», είπε ο Άκε, προσθέτοντας ότι «η Ευρώπη πρέπει να διδαχθεί από τα πρόσφατα διδάγματα της ενεργειακής ασφάλειας και να χαράξει μια ασφαλή πορεία προς τα εμπρός».
Τέσσερα εκατ. συλλέκτες με το πάτημα ενός κουμπιού
Σύμφωνα με την έκθεση, ο Ολλανδός χάκερ θα μπορούσε να είχε απενεργοποιήσει 4 εκατομμύρια συστήματα ηλιακής ενέργειας σε 150 χώρες αυτό το καλοκαίρι μόνο με το πάτημα ενός κουμπιού.
Επιβεβαιώνοντας τον νόμο Hyppönen (που πήρε το όνομά του από τον Φινλανδό ειδικό σε θέματα ασφάλειας Mikko Hyppönen): «Αν είναι έξυπνο, είναι ευάλωτο».
Γιατί είναι αυτό σημαντικό;
Όπως γράφει το Follow the money , αναλύοντας το περιστατικό, σε μια ηλιόλουστη μέρα, τα ολλανδικά ηλιακά πάνελ παρέχουν την ισχύ σαράντα πυρηνικών σταθμών του διαμετρήματος Borssele. Αλλά οι κατασκευαστές που μπορούν να ελέγχουν τα ηλιακά πάνελ συχνά προστατεύονται ελάχιστα από τους χάκερ.
Με τον έλεγχο των συστημάτων ηλιακής ενέργειας, των σταθμών φόρτισης και των μπαταριών που συνδέονται μεταξύ τους και συχνά από κεντρική τοποθεσία, η Ολλανδία γίνεται όλο και πιο ευάλωτη σε ενέργειες δολιοφθοράς που στοχεύουν στο ηλεκτρικό δίκτυο.
Η ευθύνη για τη σταθερότητα δεν μπορεί πλέον να βαρύνει αποκλειστικά τους διαχειριστές του δικτύου. Από τον κατασκευαστή στον εγκαταστάτη, από την κυβέρνηση στον καταναλωτή: όλοι πρέπει να δώσουν μεγαλύτερη προσοχή στην ασφάλεια των εγκαταστάσεων ηλιακής ενέργειας. «Ακριβώς όπως κοιτάτε την ασφάλεια όταν επιλέγετε ένα παιδικό κάθισμα για το αυτοκίνητό σας».
Ποιος είναι ο Ολλανδός Wietse Boonstra
Ο «ηθικός χάκερ» Wietse Boonstra κάθεται πίσω από δύο οθόνες στο γραφείο του. Υπάρχουν παντού μοντέλα Lego, κυρίως διαστημόπλοια από το Star Wars . Υπάρχουν τρόπαια στη βιβλιοθήκη. Ένα φλιτζάνι και μια πλακέτα που γράφει «Χάκαρα την ολλανδική φορολογική διοίκηση και δεν έλαβα ποτέ επιστροφή χρημάτων». Υπάρχουν επίσης βραβεία από το Hâck The Hague , μια ετήσια εκδήλωση στην οποία ο δήμος της Χάγης προσκαλεί τους χάκερ να ανακαλύψουν τρύπες ασφαλείας. Ο Boonstra κέρδισε δύο φορές, στην κατηγορία «πιο εξελιγμένο hack».
Κατά τη διάρκεια της ημέρας, ο Boonstra εργάζεται ως ερευνητής ασφάλειας στον Judicial ICT Organization ( JIO ) και τη νύχτα ψάχνει για διαρροές σε άλλο λογισμικό, όπως αυτό της Kaseya.
Τους τελευταίους μήνες έχει γοητευτεί από τα ηλιακά πάνελ. Ή καλύτερα: συσκευές που συνδέουν ηλιακούς συλλέκτες στο ηλεκτρικό δίκτυο, σε αυτήν την περίπτωση αυτές από την American Enphase.
Οι ηλιακοί συλλέκτες παρέχουν συνεχές ρεύμα, το οποίο μετατρέπεται σε εναλλασσόμενο ρεύμα πριν εισέλθει στο ηλεκτρικό δίκτυο. Απαιτείται ένας μετατροπέας για αυτό. Πολλά ηλιακά πάνελ συνδέονται συχνά σε έναν τέτοιο μετατροπέα, αλλά με τα συστήματα Enphase κάθε ηλιακό πάνελ έχει τον δικό του μικρο-μετατροπέα.
Στην Enphase εσείς, ως πελάτης, μπορείτε να δημιουργήσετε το δικό σας σύστημα. Στη συνέχεια, μπορείτε να το διαχειριστείτε μέσω του λογαριασμού σας. Μπορείτε επίσης να αναθέσετε αυτήν τη διαχείριση σε κάποιον άλλο.
Η κερκόπορτα
Ο Boonstra ανακάλυψε ένα σφάλμα στο λογισμικό που επέτρεπε σε κάποιον να γίνει διαχειριστής άλλων λογαριασμών. Για να το δοκιμάσει αυτό, αγόρασε δύο συστήματα από την Enphase και δημιούργησε δύο λογαριασμούς διαχειριστή. Αποδείχθηκε ότι ο πρώτος του λογαριασμός μπορούσε να ελέγχει και τον δεύτερο λογαριασμό του, χωρίς την άδειά του. «Στη συνέχεια δημιούργησα άλλους είκοσι λογαριασμούς και τους είχα όλους υπό τον έλεγχο από τον πρώτο λογαριασμό. Για να πάρω πραγματικά επιβεβαίωση ».
Δεν ήταν μόνο αυτό. Με τον συνάδελφό του Hidde Smit, ο Boonstra εξέτασε επίσης το υλικολογισμικό - το λειτουργικό σύστημα - των συσκευών Enphases. Εάν μπορείτε να αλλάξετε αυτό το υλικολογισμικό, έχετε τον πλήρη έλεγχο των συσκευών. Και εντόπισαν έξι τρωτά σημεία.
Οι Boonstra και Smit θα μπορούσαν να είχαν γράψει έναν αλγόριθμο ικανό να μολύνει εκατομμύρια συστήματα ηλιακών πάνελ σε όλο τον κόσμο με κακόβουλο λογισμικό και μετά να τους αφήσουν να κάνουν ό,τι ήθελαν.
Απαντώντας στο Follow the Money, η Enphase δεν αρνείται ότι ο Boonstra θα μπορούσε να γίνει ο διαχειριστής πολλαπλών συστημάτων Enphase. Αλλά η εταιρεία επιμένει ότι μια μαζική επίθεση θα είχε αποτύχει «επειδή έχουν ενσωματωθεί έλεγχοι και προειδοποιήσεις» για να το αποτρέψουν αυτό.
Προηγούμενες παραβιάσεις ηλιακών πάνελ
Η ανακάλυψη του Boonstra θυμίζει το θέμα Solarman πριν από δύο χρόνια. Η Solarman είναι μια κινεζική εταιρεία που προμηθεύει συστήματα παρακολούθησης για ηλιακούς συλλέκτες σε όλο τον κόσμο.
Ένας Ολλανδός ηθικός χάκερ, ο Jelle Ursem, βρήκε τα στοιχεία σύνδεσης ενός υπαλλήλου της Solarman στο Github - μια πλατφόρμα για προγραμματιστές λογισμικού. Αποδείχθηκε ότι ήταν τα στοιχεία σύνδεσης του κύριου διαχειριστή.
Ο Ursem μπόρεσε να αποκτήσει τον έλεγχο ενός εκατομμυρίου συστημάτων ηλιακής ενέργειας, τα περισσότερα από τα οποία βρίσκονται στην Κίνα και την Αυστραλία. Στην Ολλανδία αυτό αφορούσε τουλάχιστον 42 χιλιάδες συστήματα. Με μια «λάθος» ενημέρωση θα μπορούσε να τα καταρρίψει όλα.
Η Solarman υποστήριξε ότι το εν λόγω σύστημα ήταν απλώς ένας «τόπος δοκιμής». Τελικά, η κινεζική πρεσβεία στη Χάγη έπρεπε να εμπλακεί για να κλείσει η διαρροή. Το θέμα οδήγησε σε κοινοβουλευτικές ερωτήσεις και έρευνα από την Εθνική Υπηρεσία Ψηφιακής Υποδομής (RDI).
Η Solarman ήταν ξανά στις ειδήσεις την περασμένη εβδομάδα , επειδή οι ερευνητές μπόρεσαν να αποκτήσουν τον έλεγχο των συστημάτων τους και εκείνων ενός άλλου κατασκευαστή πάνω από το ηλεκτρικό δίκτυο των ΗΠΑ.
Περαιτέρω έρευνα
Ο Οργανισμός Επιχειρήσεων της Ολλανδίας (RVO) ζήτησε από την εταιρεία κυβερνοασφάλειας Secura και τον Top Sector Energyγια τη διεξαγωγή περαιτέρω έρευνας· Η έκθεσή τους δημοσιεύτηκε στις 12 Αυγούστου. Οι ερευνητές αναφέρουν ότι έχουν βρει λιγότερα από 27 σενάρια «που θα μπορούσαν να οδηγήσουν σε μεγάλης κλίμακας διαταραχή του τομέα της ηλιακής ενέργειας». Μερικά από αυτά θα έχουν επίσης αποτέλεσμα πέρα από αυτό. «Ο πιθανός αντίκτυπος αυτών των σεναρίων μπορεί να περιγραφεί ως καταστροφικός».
«Μια ηλιόλουστη μέρα, η Ολλανδία παράγει περίπου είκοσι γιγαβάτ ηλιακή ενέργεια», λέει ο ειδικός στον κυβερνοχώρο Μπερτ Χιούμπερτ . «Αυτό αντιστοιχεί σε σαράντα Ολλανδικούς πυρηνικούς σταθμούς». Εάν μερικά γιγαβάτ εξαφανιστούν ξαφνικά, το ηλεκτρικό δίκτυο θα καταρρεύσει.
«Αυτό μπορεί να έχει σημαντικές συνέπειες για τη σταθερότητα του δικτύου ηλεκτρικής ενέργειας», συμφωνεί ένας εκπρόσωπος της RDI. Και επιπλέον: «Επειδή υπάρχει ένα ευρωπαϊκό σύγχρονο δίκτυο, δεν θα πρέπει να κοιτάξουμε μόνο την Ολλανδία, αλλά την Ευρώπη ως σύνολο».
Ο Hubert εξηγεί τι είναι ένα σύγχρονο δίκτυο. «Τα δίκτυα ισχύος των χωρών συνδέονται, σχηματίζουν μια κοινή πισίνα. Με αυτόν τον τρόπο, η Ολλανδία μπορεί να διαθέσει ένα πλεόνασμα ηλεκτρικής ενέργειας στη Γερμανία και αντίστροφα. Αλλά κάποιος κατουρήσει στην πισίνα, μας επηρεάζει όλους».