Голландський дослідник Віллем Вестерхоф з компанії ITsec повідомив про виявлення 21 уразливості в продукції одного з провідних виробників сонячних батарей. Фахівець вважає, що якщо зловмисники експлуатують ці проблеми, їм вдасться спровокувати в енергомережах ефект доміно, що може привести до відключення електрики в цілій країні (можливо, навіть не однієї).

Аналітик назвав свій сценарій атак Horus («Гор» – іменем єгипетського бога сонця і неба), і проблема, як це прийнято в наші дні, вже має власний сайт. Вестерхоф розповідає, що виявив уразливості в підключених до інтернету інверторах SMA Solar Technology ще в кінці 2016 року, і 14 зі знайдених їм багів отримали ідентифікатори CVE. Ще минулої зими дослідник розкрив теоретичні та практичні нюанси своєї атаки виробнику уразливого обладнання, а також поділився інформацією про можливі наслідки з урядовими установами та регуляторами.

Спеціаліст пояснює, що уразливості дозволяють зробити віддалену атаку на вразливі інвертори і перешкодити їх нормальній роботі, спровокувавши масовий збій в роботі сонячних батарей. Сучасні об’єднані електроенергетичні системи реагують на подібні обурення дуже гостро і в надзвичайному випадку починають «тягнути» енергію у сусідів, в залежності від того, яка з сусідніх країн має надлишок, яким може поділитися. Але якщо зазвичай виробництво і споживання енергії прогнозуються і регулюються (наприклад, під час сонячного затемнення 2015 року біля європейських фахівців була маса часу для підготовки), то атака на вразливі сонячні панелі SMA може повністю зупинити вироблення енергії, в результаті чого на інші «ланки »мережі несподівано припаде надмірне навантаження.

За словами Вестерхофа, ефект можна порівняти з несподіваним сонячним затемненням, коли всі сонячні батареї раптом перестали працювати. Наприклад, в Німеччині фотоелектричні модулі періодично покривають 30-50% всіх електроенергетичних потреб країни. Дослідник пише, що атака, влаштована в потрібний момент, може позбавити цілу країну 50% електроенергії. З огляду на «топографію» сучасних енергомереж, подібне спричинить за собою справжній ефект доміно і може позначитися на цілому континенті, викликавши глобальні відключення електроенергії, наприклад, по всій Європі. При цьому, за підрахунками фахівця, тригодинне відключення електроенергії в європейських країнах обійдеться приблизно в 4,5 млрд євро.

Хоча дослідник зв’язався з інженерами SMA ще вісім місяців тому, уразливості до цього часу ще не були усунені. На цій сторінці офіційного сайту кожна з вразливостей описана детально. Баги варіюються від denial-of-service (DoS) і слабких паролів за замовчуванням (0000), до незадокументованих бекдор-акаунтів, вразливостей в процесі аутентифікації та оновлення програмного забезпечення, а також перехоплення трафіку і ряду CSRF-вразливостей. Деякі проблеми отримали дев’ять балів за десятибальною шкалою оцінки вразливостей CVSS.

Після того, як результати досліджень Вестерхофа стали надбанням громадськості, представники SMA зв’язалися з пресою і повідомили, що вже працюють над виправленням проблем. При цьому в компанії запевняють, що фахівець згущує фарби, уразливі лише деякі моделі Sunny Boy і Sunny Tripower, а такі пристрої, як правило, «стоять» за файрволом, так що хвилюватися нема про що. Також представники SMA вважають, що організація подібної атаки вимагатиме від зловмисників величезних зусиль і фінансових вкладень, що, на їхню думку, робить подібний сценарій атак малоймовірним.

Коментарі закриті.

Поділитися

Як обмежити сімейний доступ до певного контенту

Ні для кого не секрет, що найпрогресивніші користувачі планшетів, смартфонів і комп’ютерів – зростаюче покоління, діти. Якщо у Вашій родині продукцією Apple користуються всі «від малого до великого», напевно Ви задавали собі питання як захистити дитину від доступу до фільмів і музики, яка подобається батькам. Ненормативна лексика в піснях , останні новинки зі світу кінематографа з […]

Суд визнав Apple невинною в порушенні патентів на DRM-технології ContentGuard

   Жюрі присяжних, які розглядали спір між компаніями Apple та Content Guard (далі – «СG») визнали «яблучну» корпорацію невинною в порушенні ряду патентів на технічні засоби захисту авторських прав, що належать компанії CG. Адвокати компанії СG заявили про те, що розчаровані таким рішенням, яке було винесено в штаті Техас. Коротко розповімо про суть спору. Компанія […]

Як Siri може з’явитися в наших Mac

Розмови з iPhone і IPad давно стали поширеним явищем, до бесід з Apple TV вже починають звикати американські користувачі, і цілком логічно буде поставити запитання: що ж далі? Відповідь очевидна: далі Siri візьметься за освоєння настільного простору, і здається, вже стає зрозуміло, як саме це станеться. Виробник процесорів Intel розпочав співпрацю з компанією Сенсорна, яка […]