Transcription

Cześć! Czy da się zdalnie za pomocą wielkiej anteny wyłączyć prąd w całej Europie? Wychodzi na to, że teoretycznie tak. Ale po kolei, co roku Chaos Computer Club przebiega pod jakimś przewodnim hasłem najistotniejszej, przynajmniej zdaniem organizatorów, prezentacji. Na przykład ten, na którym to ekipa Dragon Sector, opowiadając o pociągach Nevaga, była głównymi bohaterami, dostał przydomek Unlocked. Miniona edycja, z grudnia, nazwana została Illegal Instructions. I o prezentacji, która zainspirowała ten kryptonim, dziś Wam opowiem. Bo Fabian Bräunlein i Luca Melette z berlińskiego kolektywu Positive Security chcieli po prostu pobawić się w zdalne załączanie i wyłączanie miejskich latarni, ale to, co odkryli, niejako przypadkiem zjeżyło włosy na ich głowach. Bo okazało się, że znaleźli metodę, za pomocą której można wyłączyć sieć energetyczną na całym kontynencie. Zapraszam. Wszystko zaczęło się w chwili, gdy na jednej z ulic Berlina zobaczyli przy chodniku miejską lampę, której klapka się nieco odkręciła, prawie jak oczko temu misiu. Podrzeczoną klapką dostrzegli jakieś urządzenie przypominające kontroler. Zerkając w górę, zauważyli też jakieś dziwne pudełko wyglądające na antenę, a to do kupy rozbudziło już wystarczająco ich ciekawość. Postanowili sprawdzić, do czego to wszystko służy i czy może da się tym jakoś zdalnie sterować. Hakerskie nawyki są czasem po prostu zbyt silne, aby im się oprzeć. Po szybkim goglowaniu okazało się, że ich podejrzenia były słuszne. Owszem, na szczycie każdej latarni jest w sobie antena odbierająca sygnał z jednego z trzech nadajników rozmieszczonych w Europie. W okolicach Berlina, Frankfurtu i Budapesztu. A całym tym systemem zarządza firma o nazwie EFR, sprzedając to jako gotowy produkt. Nabywcami są miasta z Austrii, Czech, Niemiec, Węgier i Słowacji, chcące po prostu zdalnie zarządzać swoją siecią ulicznych lamp, aby móc włączać i wyłączać je o wskazanych godzinach. Prosta sprawa, jak to się robi? Ano wykorzystując wspomniane anteny, nadaje się radiowo wiadomości nazywane telegramami, używając bardzo silnego sygnału niskiej częstotliwości i jednego z dwóch protokołów autorstwa odpowiednio Versacoma i Semagyra, którzy są przy okazji producentami wykorzystywanych w tym systemie urządzeń. Jak zapewne już się domyślacie, komunikacja ta jest jednokierunkowa. Tylko jak można ją wykorzystać, aby nieco się pobawić? W głowach Fabiana i Luki zaświtała pewna idea. Kojarzycie akcję wrocławskich studentów sprzed lat pod kryptonimem Piwo? Grali oni w węża, wykorzystując do tego cały budynek Akademika. Niemcy też mieli coś podobnego, co nazwano projektem Blinkenlights. To taki pomysł, gdzie wykorzystuje się wewnętrzne światła budynku, znajdujące się w poszczególnych pokojach z oknami, w roli pojedynczych pikseli. Sterując nimi centralnie, można później cały taki biurowiec czy inny akademik zamienić w wielki ekran. Ok, raczej monochromatyczny, ale to nadal imponujące. Powstały tak choćby różne instalacje artystyczne, czy grano tak on gdzieś właśnie w węża, czy innego Ponga. Ogólnie kreatywnie, nie powiem. No ale co by było, gdyby płótnem, a raczej ekranem, nie był po prostu jeden budynek, a całe miasto i rozsiane po nim miejskie latarnie? Rozdzielczość trochę większa, więc patrząc z jakiegoś wysokolatającego helikoptera czy innego drona, może nawet dałoby się tak zagrać w Dooma? Pomysł ciekawy i ambitny, ale jak w ogóle do tego podejść? A no, przede wszystkim trzeba dowiedzieć się, co w ogóle w takiej radiowej komunikacji bazy z odbiornikami się znajduje. Ruszyli więc do działania. Badaczom udało się kupić na ebayu jeden taki używany sterownik, wymontowany z jakiejś latarni z demobilu. Wpięli się bezpośrednio w szynę danych mikroprocesora i dość szybko okazało się, że są w stanie odczytywać odbierane wiadomości w formie ciągu bitów. Pierwszy krok i od razu bingo. Pozostało tylko je zapisać i ruszyć do dalszych analiz. Nie będę zanudzał Was w tym miejscu wszystkimi szczegółami, odsyłam do nagrania z wystąpienia badaczy. Odnośnik znajdziecie oczywiście w źródłach w opisie materiału. Na ten moment wystarczy nam informacja, że w przypadku pierwszego z protokołów, Versacoma, przesyłane radiowo komunikaty zawierają m.in. aktualny czas, nadawany regularnie co 20 minut. Do tego zawierają one adres, którego rolą jest przekazanie informacji o tym jakiego odbiornika w ogóle dana komenda dotyczy. Reszta może wtedy po prostu taką wiadomość ignorować. Wpisanie w tym miejscu samych zer oznacza, że jest to wiadomość przeznaczona dla wszystkich. Ale, co chyba dużo ważniejsze, tylko niewielka część takich telegramów wygląda na w jakikolwiek sposób szyfrowaną. Nie mają one też żadnych mechanizmów sprawdzania poprawności przesyłanych danych ani nie chronią na poziomie protokołu przed atakami kategorii replay. Co to tak właściwie oznacza? Ano po prostu raz nadaną wiadomość można podsłuchać, aby później spróbować nadać ją ponownie już we własnym zakresie i obserwować co się wydarzy. Można więc przesłać w pewien zimowy, ciemny wieczór ponownie wiadomość z powiedzmy okolic południa. Po co? No bo miejskie lampy posiadają zaprogramowane tabele z godzinami, aby wiedziały kiedy mają się załączać i wyłączać, w zależności od pór wschodu i zachodu słońca, właściwym dla danego tygodnia czy miesiąca w roku. W zimę wcześniej, w lato znacznie później, oczywiste. Oszukując więc taką lampę, że jest południe, możemy potencjalnie sprawić, że się wyłączy. Albo odwrotnie, załączyć ją w trakcie słonecznego dnia, czego Fabian z Luką natychmiast dowiedli w jakimś parku. No ale to malutka skala, a rozmawiamy przecież o ludziach ambitnych. Po potwierdzeniu swojej teorii badacze ruszyli do dalszej, intensywnej pracy budując całe laboratorium pełne różnych modeli sterowników, obu dostawców oraz tworząc nadajnik będący w stanie emulować to, co wysyłane jest z centrali EFR. W toku dalszych analiz szybko okazało się, że stosowane protokoły pochodzą z przełomu wieków. I to nie tego minionego, kiedy wkroczyliśmy w nowe milenium, ale jeszcze poprzedniego, gdy osiemnastka na przodzie zmieniła się na dziewiętnaście. Wtedy to zaczęto wysyłać komunikację przez sieć energetyczną, choćby w kwestii zmiany taryfy z dziennej na nocną. Wszystko po prostu przez druty. I tak trwało to i trwało, aż w okolicach roku 1990 nadeszła rewolucja i zaczęto wykorzystywać do tego komunikację radiową, co było po prostu tańsze. Tak leciwy dług technologiczny nie wróży dobrze bezpieczeństwu, ale dla badaczy oznacza to znaczny wzrost szans na znalezienie jakichś dawno zapomnianych ciekawostek. Zresztą część dokumentacji ułatwiającej dalsze analizy okazała się być dostępna gdzieś w czeluściach internetów, co na pewno również przybliżyło nieco do celu. W przypadku sterowników korzystających z drugiego ze wspomnianych protokołów, Semagyra, nie było już jednak tak łatwo. Tu komunikacja jest szyfrowana, przynajmniej częściowo. Poznanie jej tajników wiązało się z lutowaniem godzinami w wyszukiwarce, szukaniem sprzętowych błędów w mikrochipach, zaglądaniem do książek z lat 90., patentów, a nawet odwoływania się do Windowsowej pomocy pod klawiszem F1. Serio. Wszystko to jednak doprowadziło badaczy do odnalezienia mechanizmu, którego udało im się nadużyć. Chodzi o sposób, w który technicy mogą testować urządzenia w trakcie montażu u klienta albo diagnostyki w terenie. Bo robi się to również drogą radiową. Wysyłając po prostu odpowiednią komendę, można sterować poszczególnymi przekaźnikami sterownika, a tym samym załączać i wyłączać konkretne obwody, do których podpięte są różne urządzenia. Na przykład uliczne lampy. Wystarczy do tego poznać po prostu identyfikator takiego sterownika i wysłać do niego odpowiednie polecenie. Skąd taki identyfikator wziąć? A no, wystarczy po prostu przejechać się po mieście ze skanerem, a potem nanieść je wszystkie na mapę. Świetnie, co? Ale to dopiero początek. Bo w międzyczasie okazało się też, że EFR nie specjalizuje się w abstrakcyjnie wręcz wąskiej dziedzinie, czyli jedynie w systemie zarządzania ulicznymi lampami. O nie. Mają oni jakieś 300 klientów, głównie firmy sprzedające prąd. EFR dostarcza im aplikację, za pomocą której mogą wysyłać polecenia w Ether, mające dotrzeć do sterownika, który w dalszej kolejności może zarządzać podłączonymi doń urządzeniami. Po co? A no, choćby po to, żeby centralnie sterować swoją siecią energetyczną. Na przykład przesyłać informacje o zmianie taryfy z dziennej na nocną, ale przede wszystkim zarządzać źródłami energii odnawialnej. Kiedy słońce praży jak szalone, a w dodatku wiatr mocno wieje, prądu wytwarzanego w ten sposób jest po prostu zbyt wiele i firmy energetyczne muszą mieć możliwość przekazać jego wytwórcom wiadomość – ej, więcej już nie chcemy, bo nie ma gdzie tego ulokować, wyłącz swoją instalację. Kiedy Fabian i Luka zaczęli liczyć na serwetce, to okazało się, że firmy korzystające z rozwiązań EFR używają ich w prawie dwóch milionach urządzeń odpowiadających za grube gigawaty generowanej w Europie energii. Naturalną koleją rzeczy było więc zastanowienie się, czy da się przejąć nad zarządzającym nimi systemem kontrolę oraz jakie może mieć to potencjalne konsekwencje. Ruszyli więc do działania, zaczynając od sprawdzenia tego mechanizmu na czyjejś instalacji fotowoltaicznej. Okazało się, że można ją po prostu wyłączyć. Zdalnie. I to wcale nie korzystając z jakiejś technologii rodem z NASA, a po prostu flipperem zero. Ok, nie tak prosto, bo trzeba było z nim nieco pokombinować, ale to akurat nie temat na dziś. Ważniejsze jest to, czy da się taki atak przeskalować nie na pojedynczy inwerter, obok którego stoimy po prostu ze swoim flipperem, ale na przykład na istotny obszar jakiegoś kraju. Tu badacze przysiedli do tematu poważniej, analizując wiele różnych aspektów. No bo po pierwsze, ile w ogóle generowanej mocy kontrolowane jest zdalnie poprzez radio? Konieczność zastosowania takiego rozwiązania jest uzależniona od mocy generowanej przez daną elektrownię. W niemieckim prawie dotyczy to takich średnich instalacji o mocach od 25, 30 do 100 kW. Elektrownie o większej mocy, powyżej 100 kW, używają już innego, sporo bardziej zaawansowanego standardu. Chociaż, co ciekawe, jak się w toku badań szybko okazało, firmy generujące konkretne setki megawattów prądu też korzystają czasem z opisywanych sterowników, mimo tego, że nie powinny. Tak więc potencjalnie mogą być kontrolowane zdalnie w taki sam sposób. Aby jednak poznać dokładniejszy obraz sytuacji, badacze pobrali ogólnodostępne dane statystyczne z wielu różnych miejsc. O część zapytali w ramach dostępu do informacji publicznej czy po prostu zgłaszając się do rzeczników prasowych sieci energetycznych. Wszystko wrzucili w jakiegoś Excela i usiedli do podsumowania. Takie szacunki są, umówmy się, obarczone dość sporym błędem. Ale wyszło im, że jakieś 40 GW generowanej mocy szczytowej oraz 20 GW zapotrzebowania, czyli różnych pomp ciepła czy ładowarek do samochodów elektrycznych, kontrolowane jest z wykorzystaniem radia. A to daje sumaryczną różnicę, którą można sterować nawet na poziomie 60 GW. Oczywiście w idealnych warunkach. Zaznaczam, mowa tylko o Niemczech. Tylko o energii odnawialnej i tylko części odbiorników. Więc może to też być potencjalnie nawet sporo, sporo więcej. No ale przecież, żeby solidnie nabroić, to trzeba trafić na dobry moment, a nie tak na pałe sobie kliknąć wyłącz jak w Czarnobylu, prawda? No niby tak, ale nie jest to wcale wybitnie trudne. Dane dotyczące stanu sieci energetycznej, czyli jej obciążenie i aktualny miks energetyczny, dostępne są publicznie. Nie jest to żadna tajemnica. Da się więc przewidzieć, kiedy sterując naraz tysiącami paneli fotowoltaicznych osiągnie się największy efekt. Wystarczy wybrać moment, gdy zdecydowana większość prądu generowana jest w ten sposób. Nagła utrata kilku czy kilkunastu gigawatów europejskiej sieci może nieść za sobą naprawdę bardzo poważne konsekwencje. Głównie dlatego, że taką utratę trzeba zbalansować uruchamiając tradycyjne generatory, które potrzebują przecież czasu, by zacząć działać. W międzyczasie więc trzeba przesłać tę energię z bardziej oddalonych regionów, a to może prowadzić do przeciążenia sieci przesyłowej i zadziałania mechanizmów bezpieczeństwa, które automatycznie odłączą takie miejsca od siatki, aby uniknąć awarii. To prowadzić może do efektu domina, bo jedno wyłączenie może powodować kolejne wyłączenia w innych miejscach i w efekcie zdestabilizować całą europejską sieć energetyczną. To oczywiście pewne uproszczenie, więc jeżeli chcecie dowiedzieć się nieco więcej o częstotliwości sieci energetycznej, odsyłam do całej prezentacji z CCC. No ale ostatnie, najważniejsze. Żeby coś napsocić, trzeba przecież nadać sygnał silniejszy od tych wspomnianych trzech anten w Europie, a one są takie całkiem niemałe i dysponują naprawdę sporą mocą. Na pomoc pospieszą na szczęście nienazwany z imienia ekspert, zajmujący się falami o niskiej częstotliwości i oto wnioski. Owszem, aby nadać konkurencyjny, silniejszy sygnał, potrzeba anteny o wysokości jakichś 500 metrów o mocy 10 kW. No, sporo. Ale to tylko tak źle brzmi, bo antena to przecież w sumie może być zwykły metalowy drut, który można opuścić z jakiegoś balonu, na przykład meteorologicznego czy innego latawca. Najlepiej robiąc to z kilku czy nawet kilkunastu miejsc na raz. Jasne, nie jest to wybitnie prosta sprawa, ale da się zrobić, szczególnie dysponując budżetem nie dwóch badaczy, a wywiadu jakiegoś państwa. Bo to takie instytucje zdecydowanie prędzej mogą być zainteresowane działaniami tej kategorii. Tylko, że gracze z tej ligi raczej nie będą zajmować się opuszczaniem druta z jakiegoś latawca z tektury, a potencjalnie mogą zainteresować się po prostu już stojącymi antenami, które są do tego obecnie wykorzystywane przez dostawcę rozwiązania. Uzyskując dostęp czy to poprzez jakiś atak na wystawione w sieci portale czy interfejsy, albo po prostu przekupując lub zastraszając jakiegoś pracownika, posiadającego służbowy dostęp do tej infrastruktury. Wiele wskazuje na to, że sposób podany jak na tacy przez Fabiana i Lukę jest gotową receptą na wyłączenie prądu w całej Europie. A przynajmniej pozwala na solidne zakłócenia działania całej sieci, która będzie musiała naprawdę mocno się napocić, aby nie paść w trakcie takiego ataku na łopatki klepiąc w matę jak najman. No dobra, ktoś powie. Jakieś dwa ziomeczki sobie tam pitu-pitu, ale co oni tak naprawdę wiedzą o prądzie? Cóż, dzięki, że pytacie. Bo w sprawie wypowiedział się profesor Uniwersytetu w Aachen, znający się nieco lepiej na kwestiach energetyki i potwierdził on, że jak najbardziej brzmi to wszystko nie tylko przerażająco, ale też sensownie. Jak na te wszystkie rewelacje zareagowała firma dostarczająca te rozwiązania? EFR? No, to chyba jest z tej całej historii najciekawsze. Badacze oczywiście postąpili zgodnie ze wszelkimi dobrymi praktykami Responsible Disclosure i zgłosili się w pierwszej kolejności do nich. Co usłyszeli w odpowiedzi? Ano stwierdzenie, że firma doskonale o tym wie. Od ponad 10 lat. Nawet książka o tym powstała pod patronatem niemieckiego Federalnego Urzędu do Spraw Bezpieczeństwa Informacji, czyli takiego lokalnego wywiadu informatycznego BSI. I co? No, wiadomo, poważne rzeczy, nie ma to tamto. Więc niezwłocznie przygotowano lepsze, szyfrowane rozwiązania. Sęk w tym, że nikt nie był zainteresowany, aby zapłacić za ich wdrożenie. Okazało się też niejako przy okazji, że duzi gracze na rynku wytwarzania energii, ci przekraczający 100 kW szczytowej wytwarzanej mocy, korzystają z mechanizmów, z których korzystać im nie wolno. Najwidoczniej nikt wcześniej po prostu tego nie zauważył. Bo na pewno ktoś to przecież sprawdza, prawda? Ale to nadal nie koniec. Bo o ile początkowo EFR całkowicie bagatelizował problem, to kiedy tylko dowiedzieli się, że sprawa zostanie zaprezentowana w trakcie Chaos Computer Club, to poszli w newaga i zaczęli straszyć prawnikami, bo ich zdaniem badacze podają nielegalne instrukcje. I tak właśnie, drogie dzieci, miniony kongres uzyskał swoją nazwę. Illegal Instructions. Fabian z Luką jednak nie przestraszyli się, bo jak już wiemy, pozwy są chwilowe, a chwała wieczna. Co robić i jak żyć? Czy badacze podjęli dobrą decyzję, że nawet w świetle batalii sądowych zdecydowali się opublikować swoje odkrycia? Cóż, moim zdaniem tak. Jako społeczność uczymy się tego, że czasem jednak nie warto jest czekać. No bo skoro przez 10 lat nikt nic nie zrobił, mimo wiedzy na ten temat, to co zmieni milczenie? Szczególnie, że jest to realne zagrożenie, które może mieć wpływ na nas wszystkich. Nawet jeśli modernizacja rozwiązań kosztować będzie niemało, to nadal będzie zdecydowanie tańsza niż szeroki blackout, nie ma co chować głowy w piach. To też doświadczenie płynące z afery z naszego rodzimego podwórka. Mówię znów o newagu. Bo panowie z Dragon Sektora, zapytani w trakcie minionego CCC wprost, czy czegoś żałują, w związku z całym tym zamieszaniem, odpowiedzieli krótko i zwięźle. Tak, żałujemy, że nie opublikowaliśmy swoich odkryć wcześniej. Bo to często jedyne rozwiązanie, jeśli ktoś nie przykłada wagi do bezpieczeństwa swoich klientów czy w skrajnych przypadkach nawet bezpieczeństwa infrastruktury krytycznej. Po więcej technicznych szczegółów odsyłam Was do źródeł, które znajdziecie w opisie materiału. Jest tam oczywiście link do nagrania całego wystąpienia, z którego dowiecie się wiele, wiele więcej, jeżeli jeszcze brakuje Wam emocji. Zresztą jest tam masa dodatkowych anegdot, bo całość trwa godzinę i napakowana jest po korek, także serdecznie zapraszam. Choć fakt, nagrania wideo w trakcie wystąpienia coś średnio działają, ale uspokajam, to nie wina nagrania, tak właśnie wyglądało to na żywo. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia! Napisy stworzone przez społeczność Amara.org