Jak si nenechat hacknout solární elektrárnu: Rozborka nejhorších chyb z praxe

Příspěvek rozebírá ty nejhrubší chyby, jakých se vaše instalační firma může dopustit. Jedná o řešení, která nejsou přijatelná nikdy a nikde. Pokud vám vaše instalační firma bude chtít rozchodit FVE tímto způsobem, vypoklonkujte ji a najděte si někoho jiného.

Zdroj: Erika Langerová

Upozornění

Článek záměrně neuvádí nástroje ani postupy, které jsem při identifikaci chyb používala. Veškeré citlivé údaje v ukázkových screenech, které by mohly vést k identifikaci dané instalace nebo daného zařízení, jsem odstranila.

Cílem článku je přispět k lepší informovanosti širší veřejnosti o významu kyberbezpečnosti v energetice. Článek je pouze informativní a rozhodně nikoho nenavádí k něčemu špatnému.

Problém č. 1 : Modbus TCP/IP server otevřený přímo do internetu

Někdo se možná teď rozesmál, protože přece není možné, aby někoho napadlo tohle modbusovému serveru udělat. Myslela jsem si to taky. Ale opak je pravdou.

Aktuální stav

Instalací FVE s modbusovým serverem otevřeným napřímo do internetu se mi se stoprocentní jistotou ke včerejšímu datu (11.1.2025) podařilo v ČR identifikovat 21, z toho největší četnost byla v Praze (6x) a Ostravě (6x). Jenom pro představu, bavíme se převážně o FVE s instalovaným výkonem komerčního rozsahu.

Pokud přejdeme z česka do celého světa, aktuálně je takto otevřených 230 instalací FVE po celém světě, s největší hustotou výskytu v Německu, po něm následuje Řecko, Itálie, Česko a Polsko, viz screen níže.

Opět pro korektnost dodejme, že výše uvedené statistiky jsou výsledky analýzy pro Modbus port 502, tj. statistika nezahrnuje instalace, u kterých si někdo Modbus server přemapoval na nestandardní port. Skutečná čísla tak mohou být ještě vyšší, než zde uvádím já.

 

 

A proč je to problém?

Modbus TCP/IP je relativně starý průmyslový protokol, vyvinutý a přijatý v době, kdy se ještě vůbec neuvažovalo o tom, že by se průmyslová zařízení někdy nějakým způsobem připojovala do internetu. Tomu je poplatné de-facto neexistující zabezpečení. Modbusová komunikace a modbusové servery jsou extrémně zranitelné a je potřeba je vždy maximálně chránit. V žádném případě se nikdy nesmí dostat do kontaktu s veřejným internetem.

Modbus TCP/IP funguje na architektuře klient-server, kdy klient iniciuje komunikaci, posílá požadavky a server odpovídá. V kontextu FVE může klient například číst hodnoty měřených dat nebo zapisovat nové nastavení do měniče. Klient může být nějaká uživatelská aplikace, server může být FVE měnič. Pro modbusovou komunikaci se standardně využívá port 502.

Zásadní problémy Modbusu jsou

1.Neexistující autentizace: Neexistuje mechanismus pro ověření identity klienta. Každý, kdo se připojí k modbusovému serveru, může z jeho registrů číst, nebo do nich zapisovat.

2. Komunikace probíhá nešifrovaně: Veškeré informace jsou přenášeny v čitelné podobě. Modbus TCP/IP je díky tomu velmi náchylný k MITM útokům.

Reálné scénáře zneužití modbusového serveru otevřeného napřímo do internetu

Pokud otevřete modbusový server na veřejné IP adrese, je viditelný pro celý svět, kdokoliv se k němu může připojit a zkoušet mu něco zapisovat do registrů. Některé modbusové servery vrací v odpovědi svá výrobní označení, není problém si podle toho dohledat manuál a zaměřit se rovnou na registry kritické pro provoz. Motivací k útoku je typicky nějaká snaha o poškození (např. provozem mimo optimální pracovní podmínky) nebo odstavení zařízení z provozu.

Kromě zápisu do registrů je zde velmi reálný také DoS útok, tj. de facto zahlcení modbusového serveru velkým množstvím paketů. Modbusové servery mají velmi slabé síťové karty, provést na ně DoS útok je velmi snadné.

 

Problém č. 2 : Otevřené vzdálené plochy

Další fatální chybou je zpřístupnění vzdálené plochy (RDP, VNC) instalace přímo do internetu. Otevřená vzdálená plocha není jen bránou k samotné správě systému, ale i k dalším částem infrastruktury. Statistiky výskytu už si pro tentokrát nechám pro sebe, ale všechny identifikované instalace v ČR i v zahraničí navíc postrádají jakoukoliv metodu autentifikace, jsou tedy napřímo otevřeny komukoliv. Útočník se ani nemusí pokoušet o brute force útok a rovnou vidí do celé instalace.

Koncoví zákazníci, provozovatelé: Pokud vám realizační firma toto nabídne jako řešení vzdáleného přístupu, tak tu firmu vyměňte !

 

 

Problém č.3: Integrované webservery otevřené přímo do internetu

Různá PLC a další zařízení v sobě už standardně obsahují různé integrované webservery. Je potřeba si ale říct, že nejde o plnohodnotné webservery, které je možné nechávat veřejně přístupné. Zpravidla je u nich problém se šifrováním (resp. se správou certifikátů, není implementovaná podpora) a opět se dostáváme na problém slabých síťových karet PLC.

Naprostým extrémem jsou instalace, kde se autor ani nesnaží o nějakou základní implementaci autentifikace a pustí dovnitř do instalace z venku kohokoliv, viz obrázek níže. Záměrně zde neuvádím, kde a kolik je takových instalací aktuálně v ČR v provozu, ale není to málo.

Toto nikdy nedělejte ! A to, že otevřete instalaci na jiném než tradičním portu 80 nebo 443 opravdu není řešení.

Závěr

V článku byly uvedeny ty nejhorší chyby, které se v praxi bohužel stále ještě pořád vyskytují. Jedná se většinou o práci různých „garážových“ firem. U kvalitní firmy byste se s tím, co bylo v článku uvedeno, nikdy neměli setkat.

Pokud plánujete instalaci FVE, posuzujte nejen energetické a technické parametry nabízeného řešení, ale také kyberbezpečnost. Důkladně se ptejte realizačních firem, jakým způsobem budou zajišťovat vzdálený přístup k systému a jaká opatření budou zavádět na ochranu vašeho zařízení před útoky.

Vyhněte se „garážovým“ firmám a vybírejte výrobce a realizační firmy, kteří dokáží prokázat, že kromě odbornosti v oblasti energetiky mají také pevně zavedené standardy kyberbezpečnosti.

Bezpečnost je potřeba řešit na několika úrovních – od zabezpečení samotného zařízení, což je odpovědnost výrobce, přes správnou integraci zařízení do stávající IT infrastruktury, což je teď typicky odpovědnost realizační firmy až po různé cloudové platformy. což je odpovědnost opět buď výrobce a nebo externí strany. U cloudových platforem je zásadní nejen softwarové řešení, ale také to, kde je fyzicky umístěna serverová infrastruktura. Ale o tom až někdy jindy v jiném článku.

Pokud byste si z článku měli odnést jenom jednu věc, tak je to tato: Pokud po vás vaše instalační firma z nějakého důvodu požaduje pro zprovoznění vzdáleného přístupu do instalace zařízení veřejné IP adresy a otevření nějakých nestandardních portů, zpozorněte a ptejte se na důvody. Pravděpodobně se to totiž chystá řešit některým z výše zmíněných způsobů. To je špatně. Existuje moho jiných bezpečných způsobů, jak toto řešit.

Autor: Erika Langerová, Vývojář, UCEEB (převzato s mírnou redakční úpravou z blogu autora)