针对太阳能电池板的网络攻击,多米诺骨牌效应可导致电网瘫痪

前情提要

本文是为了向公众告知关于“Horus”网络攻击的情况下,它可能会影响到我们每个人的生活。

这种攻击场景是由 Willem Westerhof于2016年底在ITsec公司实习期间发现并证明的。目前责任披露期限已过,特向公众提供详细资料。

Horus”的攻击场景

“Horus”是怎么一回事?

“Horus”的攻击场景主要描述了一个针对重要电力基础设施的大规模网络攻击的。这个方案是在理论上和实践上存在的可能性都已被Willem Westerhof证明。

它为什么叫“Horus”?

“Horus”是古埃及的神,在大多数情况下,被认为与天空和太阳有关。在神话故事中,他的一只眼睛代表太阳,另一只眼睛代表月亮。“Horus”攻击场景侧重于对光伏设备的网络攻击(太阳能系统)和“再现”了太阳对电网稳定性的影响,因此将其用旧神的名称命名。

“Horus”攻击是什么意思?

从本质上讲,“Horus”攻击描述了一个场景,这个场景被发现并证明了一个恶意黑客可以通过攻击光伏设备来瞄准电网,能够成功地导致大规模的(全国性的、甚至是多区域的)停电。如果这种攻击在野外真的被执行,预计将损失数十亿欧元,且对每个人的生命产生直接和严重的影响。

理论概念

电网的平衡

电网需要在电力供应和电力需求之间保持一个恒定的平衡。如果供过于求,或者供不应求,就会发生停电。为了保持电网的稳定,采取了各种各样的措施,以防止因需求或供应发生高峰或骤降而中断。在正常情况下,这些对策保证了电网的稳定性。然而,这些对策的有效性是有限度的,某一特定时期内存在最大峰值或最小值。如果攻击者能够超出这个最大峰值或最小值,电网将发生中断。

相互交织的网格

电网存在一个问题,那就是它们是相互交织在一起的,至少在欧洲是这样。各国都在不断地输出和进口电力,电网监管机构在危机时期达成了相互帮助的协议,这是因为在相互交织的电网中任何一部分的遭到攻击或破坏,都会自动影响到电网中的其他部分。

光伏设备

光伏设备能够通过两种方式影响电网的平衡。一方面它可以直接向当地的设备供电(减少需求),另一方面,它可以将任何多余的电力供应给电网(增加供应)。因此,如果攻击者能够控制来自这些设备的功率流,就可以直接影响电网的平衡。

规模是关键

当然,黑客控制单独的一个设备的话问题不大。现有的电网网格的稳定性措施可以很容易地抵抗这种攻击。然而,如果大规模地控制这些设备的话,就成了一个问题。由于越来越多的光伏设备连接到互联网或本地网络,为用户提供某些功能,它们可以很容易地成为黑客远程攻击的目标。

目前欧洲光伏设备的安装量了超过90GW,攻击者倘若能够控制大量的光伏设备,就可能影响到电网的平衡问题,进而导致大规模的停电。

理论证明

证据展示

为了证明这种情况存在的可能性,这里使用了两种方法,其中一种是统计分析法,另外一种是比较法(与2015年份日食)。

统计方法

使用一个数学模型,在给定的时间内估计电网中的光伏能量。根据这一模型以及官方消息来源,我们确定这样的攻击在统计分析中的可能性。例如,德国电网可以只凭光伏设备就满足35%~50%的电力需求(在日照高峰时)。在正确的时间针对这个网格的网络攻击可以影响全国50%的电力供应,几乎能够立即造成一个非常大范围的(全国,直至整个交织电网覆盖到的地区)停电。

不过,不能够确定阈值的确切的数字(尽管道听途说范围是3-5个GW)。也就是说,如果一个国家(如德国)如预期一样瞬间失去35~50%(+ / – 20-30gw)的供电量,想要不产生停电是不可能的。使电源调节器在任何时候都有足够的能量平衡的代价太昂贵了。而且即使有这样的储备,但要立即触发似乎也是不可能的,因为发电厂需要相当长的时间来增加和降低他们的总功率输出。

与日食相比较

估算这种网络攻击的另一种方法是把它与2015次日食相比较。2015年的那次日食发生在早晨,影响了欧洲几乎所有的光伏装置(比其他的更多)。事实上,日食控制了这些设备的功率(太阳越小,这些设备的功率就越低;太阳越大,这些设备的功率就越高)。

日食事件持续了2-3小时,电网监管人员做了充足的准备。大型太阳能发电场暂时关闭,准备了额外的储备和调节材料,根据预期的日食模式,估算出确切的时间,增添了额外的人力等,由于相关调控方的共同努力,电网保持了平衡。如果他们什么也没做,毫无疑问,电网的平衡会被破坏。

将其与潜在的网络攻击进行比较时,后者看起来非常冷酷。网络攻击可能不会花2-3小时,而是+ /- 分钟级别的。达到最大值和最小值的速度很难估计,此外,网络攻击通常是意外事件,不可能给电网监管人员准备时间,额外的储备和管理规则都不到位、没有额外的人手、没有确切的应急响应计划。另一个关键点是日食发生在太阳升起的早晨,而网络攻击可能发生在一天当中太阳最亮的时候,增加了影响力。最后,日食遵循完美的逻辑模式,而网络攻击则遵循攻击者创建的任何模式。事实上,可能是随机的、不断变化的。例如,每分钟造成几次GW晃动。电网监管机构几乎无法实施监控,因为它没有遵循预期的模式,而且攻击者能够比电网监管者更快地控制流量。下图所示是一个例子,但攻击模式很可能是随机的,远高于下图所示的情景。

根据上述比较可知:网络攻击更糟糕。任何光伏发电系统都会受到很大的影响,由于电网的交织性,存在大规模停电的威胁。

综上所述,基于统计分析和对现实生活场景的比较,可以得出这样的结论:这种类型的攻击在理论上存在可能性。

实践证明

证据展示

存在理论上的可能性,并不意味着Horus的情况就会发生,因为如果光伏发电装置没有安全漏洞的话,这类攻击几乎是不可能的。为此现场测试了市场中的光伏装置,看看是否存在漏洞,选择了可能是最安全的品牌:SMA,该品牌的设备被誉为太阳能光伏逆变器中的奔驰,曾多次荣获优秀太阳能产品奖,且多年来一直是市场领导者。

法律指南

供电设备及其网络安全方面存在若干法律和准则。例如IEC62443 ,IEC 62351 和 ISO/IEC 27000。也就是说,光伏安装企业和光伏逆变器供应商可能在实际上并未遵守这些法律和准则。由于他们没有义务遵守这些法律和准则,可以预料,相关产品和设施实缺乏足够的网络安全措施。这不是单个供应商的问题,而是所有的光伏逆变器供应商都会遇到的。

现场测试

Willem Westerhof对待测试装备进行了黑盒测试。由于伦理和安全原因,这里不会提供完整的技术细节。结果发现设备存在多个漏洞,漏洞评分(按CVSS计算方法)从0.0到 9.0不等。这些发现意味着攻击者完全能够远程破坏设备。不仅可以破解设备并控制它的功率流,实际上还有其他的破坏方式。

总共发现了十七个漏洞,后来根据供应商的要求拼接成二十一个漏洞。其中十四个已经获得CVE-ID编号。利用这些漏洞可以创建一个完整的杀伤链,从头到尾的执行Horus攻击场景。

  • CVE-2017-9851
  • CVE-2017-9852
  • CVE-2017-9853
  • CVE-2017-9854
  • CVE-2017-9855
  • CVE-2017-9856
  • CVE-2017-9857
  • CVE-2017-9858
  • CVE-2017-9859
  • CVE-2017-9860
  • CVE-2017-9861
  • CVE-2017-9862
  • CVE-2017-9863
  • CVE-2017-9864

所有这些漏洞都在2016年12月负责任地向供应商进行了披露。由于它们能够对重要基础设施产生直接影响,2017年初,将这一方案的理论概念和脆弱性披露给了特定的政府机构和电网监管机构。

结论与期望

总结

在假设SMA品牌可以作为光伏逆变器行业的代表,并假设“攻击者”具有娴熟的技术,可以说,Horus的情况是完全有可能发生的。理论和实践均已得到证明,一个聪明而专注的攻击者可以通过这种方式关闭整个欧洲大陆电网的大部分地区。另外,任何安装有大量光伏装置的电网都可能面临这一攻击。

期望

最坏的情况是,攻击者会破坏了足够多的设备,同时关闭了所有这些设备,从而导致阈值被击中,电网由于进口和出口发生连锁故障而开始不稳定,其他几个发电能源(如风车)也会自动关闭以保护电网,这会进一步地扩大攻击的影响。尽管电网监管部门尽了最大努力,但还是无法阻止这次袭击。只有在太阳落山之后,或者当阳光不充足无法支持攻击的时候,网格才会再次稳定。按照当局处理这种攻击的方式,这种场景可能会持续好几天。

损失成本

使用停电模拟工具,可以估计这种情况发生的损失成本。在上面假设的最坏的情况下,预计六月中旬欧洲的某个地方发生了3小时停电,这会造成45亿欧元的损失。另外,也应该考虑它可能对人类生活造成的影响,依照经验判断,之前发生断电时会导致一些问题,这些问题有时会致命。

责任

负责任的信息披露

这些发现首先报告给了SMA(2016年12月),其次是能源部门和官方机构(2017年1月),负责任的披露将在2017六月一日之前到位。在此期限之后,当局和供应商得到了一些额外的时间,因为还没有确认问题已经得到了解决。官方的“Live”日期定在2017年8月初。在六月至8月期间,能源部门和官方当局举行了会议,即将出版的相关规范也据此发生了变更。所有负责披露的各方都非常合作,并有良好的负责任的披露政策。

解决问题

然而,如何解决这个问题,成了一个问题。政府官员表示,能源部门应该制定出如何处理这些问题的办法。他们只能扮演咨询和咨询部门的角色。电网监管机构指出,供应商应负责确保生产出安全的设备,厂商随后指出,用户应负责确保设备处于100%的安全环境中,用户声明他们不可能都是网络安全专家,他们应当是被保护的。总之,每个人都在踢皮球,将责任和任务指向了其他人。

打破恶性循环

经过几次会议,最后,各方都承担了一部分责任。SMA正在致力于修复当前设备中的漏洞,并确保未来设备以更好的方式得到保护。能源部门已经同意将这个议题列入官方能源网络安全大会和会议,官方部门已经同意与国际同行分享这项研究的结果,所以每个国家都可以制定一个关于如何处理这个问题的应对计划。

持续改进

所有这些都到位了,不过这里还有一件事要做:持续改进,每个部门应从中吸取教训。希望其他道德黑客从这个故事中受到启发,测试自己身边的逆变器,负责任地披露更多的漏洞,使世界更安全一点。由于威胁依然是存在的,而且与我们每个人都息息相关,所以,本文并未就技术细节展开讨论。也许,未来某一天,完全的漏洞披露会妥善而及时地发生,但现在不会。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104647.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code