Het Nederlandse beveiligingsbedrijf ITsec uit Haarlem heeft een reeks aan kwetsbaarheden gevonden in omvormers van het merk SMA. Dit meldt het Nederlandse dagblad de Volkskrant op basis van onderzoek. Deze omvormers maken de stroom van zonnepanelen geschikt voor het elektriciteitsnetwerk. SMA is marktleider en als hackers de controle van alle SMA-omvormers weten over te nemen, dan kan het gehele Europese elektriciteitsnetwerk in onbalans raken en kan stroom in grote delen van Europa uitvallen.
Willem Westerhof van ITsec deed zijn bevindingen al eind 2016 en lichtte hierover SMA, netbeheerder Tennet en het Nationaal Cyber Security Centrum (NCSC) in. Aan de Volkskrant laat hij weten dat SMA sindsdien nauwelijks passende maatregelen heeft genomen om het lek te dichten, zodat hij nu de informatie naar buiten brengt.
Wachtwoordfouten
Het gevaar is volgens Westerhof meerledig. De apparaten zijn zo slecht beveiligd dat ze op afstand over te nemen zijn. Zo wordt onder andere de bijna traditionele fout gemaakt dat kopers van omvormers niet wordt gevraagd om het standaardwachtwoord aan te passen. Deze staat dus vaak nog op ‘0000’. Daarnaast zijn de apparaten niet bestand tegen brute force-aanvallen. Door het afvuren van een oneindige reeks wachtwoorden op de omvormer wordt hierbij het juiste wachtwoord gevonden. Tot slot werkt SMA met geheime superwachtwoorden. Als een hacker er daar eentje van weet te bemachtigen, kan hij in één keer veel omvormers overnemen.
De omvormers van SMA leveren in de particuliere markt al 17 gigawatt aan zonne-energie op. Als kwaadwillenden een dergelijke hoeveelheid stroom weten te manipuleren, dan komt het gehele Europese elektriciteitsnetwerk in gevaar. Door onbalans worden namelijk delen van het netwerk uitgeschakeld om dit op te vangen. Op een zonnige dag zouden zelfs miljoenen huishoudens zonder stroom kunnen komen te zitten.
Zero day exploits
De Volkskrant heeft meerdere Nederlandse specialisten gevraagd naar het lek en iedereen erkent het gevaar. Echter niemand kan aangeven wanneer het gevaar echt concreet wordt. De SMA is volgens de Volkskrant niet echt in paniek en laat aan het dagblad weten dat hun omvormers niet slecht beveiligd zijn en dat de verantwoordelijkheid van het wachtwoord bij de gebruikers ligt. Wel gaat SMA, na het naar buiten treden van Westerhof, de zero day exploits op de website melden. Dit betekent dat SMA de lekken als nieuw gevonden kwetsbaarheden definieert. Westerhof heeft overigens alleen de omvormers van SMA onderzocht en hij gaat er van uit dat omvormers van andere merken met dezelfde problemen zullen kampen.
Niet alleen de fabrikant van de omvormers, maar de gehele keten gaat blijkbaar in de fout. Dit past helaas bij de maturity level van vrijwel de gehele Internet of Things industrie. Een IoT product wordt ontworpen op basis van primaire gebruikersfunctionaliteit en de ondersteuning is vaak minimaal tot afwezig. Ze worden geleverd als een gadget: de beveiliging is minimaal, de toegankelijkheid maximaal. De gadgets zijn een springplank voor hackers, alsof je een ladder naast een open raam zet. Je kan ze hacken via een drone of via het internet. Ze kunnen ook als onderdeel van bijvoorbeeld een botnet ingezet worden. In dit geval kan een IoT apparaat zelf het doel zijn. Ik ben benieuwd wanneer het een keer echt misgaat en niet om een Proof of Concept gaat.
Over het algemeen zijn deze omvormers toch niet rechtstreeks op het internet aangesloten?
Daarmee snap ik het grote risico dus niet.
Is mijn beveiliging compleet? Ik heb voldoende aan de tellerstand, nodig om nu en dan deze door te geven aan de instantie die de groenstroomcerficaten beheert. Aan statistieken heb ik verder geen behoefte, dus de omvormer is niet verbonden aan mijn pc-netwerk. Wordt niet wat te veel de behoefte aan data aangepraat?
Eind vorige week is de zeer indrukwekkende documentaire ‘Digitale Oorlogsdreiging’ op RTLZ geweest over dit type probleem. Nu worden in dit artikel uitsluitend over de omvormers gesproken, maar hetzelfde type probleem is véél grootschaliger. In de documentaire worden PLC’s genoemd die voor veel verschillende toepassingen gebruikt kunnen worden en die hackbaar zijn wegens slechte beveiliging. Complete elektriciteitsnetwerken kunnen hiermee platgelegd worden, maar ook de besturing van auto’s kunnen extern overgenomen worden. Ik raad aan om deze documentaire te bekijken en hopelijk wordt dit probleem ooit een keer serieus genomen.
@IT-er, dat was inderdaad een interessante documentaire.
Men wil vaak de energieopwekking kunnen monitoren. Reden hiervoor kan zijn: het uitvoeren van een prestatiecheck, wanneer kan ik het beste mijn/onze eigen stroom afnemen, krijg(en) ik/we genoeg terugbetaald door slecht functionerende “slimme” meters of een ferrarismeter met kuren. Dat geldt zeker bij grotere aantallen van (collectieve) zonnepanelen die los staan van woningen of kantoren. Monitoring kan bij de levering aan het net via het energiebedrijf, maar ook bij de bron. Omvormers kunnen daarvoor (per stuk) worden gemonitord. Daarom worden omvormer steeds meer aan het internet gekoppeld. Omvormers hebben meestal een WiFi aansluiting, maar het kan ook RJ-45 aansluiting zijn, USB of Bluetooth. De nieuwste omvormers kunnen een ingebouwde webserver hebben.
Dus er zijn steeds meer digitale toeters en bellen en ja, het is een potentieel probleem.