Уязвимости в солнечных инверторах EG4: угроза для домашних систем энергоснабжения
Джеймс Шоуолтер описывает довольно специфический, если не совсем невероятный сценарий кошмара. Кто-то подъезжает к вашему дому, взламывает пароль Wi-Fi и начинает вмешиваться в работу солнечного инвертора, установленного рядом с вашим гаражом. Эта неприметная серая коробка преобразует постоянный ток от панелей на крыше в переменный ток, питающий ваш дом.
«Для реализации этого сценария вам нужен солнечный сталкер», — говорит Шоуолтер, описывая человека, который должен физически появиться на вашей дороге с необходимыми техническими знаниями и мотивацией, чтобы взломать вашу домашнюю энергетическую систему.
Шоуолтер, генеральный директор EG4 Electronics, не считает такой сценарий событий особенно вероятным. Тем не менее, на прошлой неделе его компания оказалась в центре внимания, когда агентство кибербезопасности США CISA опубликовало предупреждение о уязвимостях в солнечных инверторах EG4. Недостатки, отмеченные CISA, могут позволить злоумышленнику, имеющему доступ к той же сети, что и затронутый инвертор, и его серийный номер, перехватывать данные, устанавливать вредоносное программное обеспечение или захватывать контроль над всей системой.
Для примерно 55 000 клиентов, владеющих затронутой моделью инвертора EG4, этот эпизод, вероятно, стал тревожным знакомством с устройством, которое они мало понимают.
Недостатки в области безопасности и жалобы клиентов
Некоторые цифры подчёркивают степень, в которой отдельные дома в США становятся миниатюрными электростанциями. Согласно Управлению энергетической информации США, небольшие солнечные установки — в основном жилые — выросли более чем в пять раз в период с 2014 по 2022 год.
Каждая солнечная установка добавляет ещё один узел к расширяющейся сети взаимосвязанных устройств, каждое из которых способствует энергетической независимости, но также становится потенциальной точкой входа для человека со злыми намерениями.
Когда Шоуолтера спрашивают о стандартах безопасности его компании, он признаёт их недостатки, но также перекладывает ответственность. «Это не проблема EG4», — говорит он. «Это проблема всей отрасли». В ходе звонка Zoom и позже, в почтовом ящике редактора, он представил 14-страничный отчёт, в котором перечислены 88 случаев раскрытия уязвимостей солнечной энергии в коммерческих и жилых приложениях с 2019 года.
Не все его клиенты, некоторые из которых обратились за помощью на Reddit, сочувствуют, особенно учитывая, что в рекомендации CISA выявлены фундаментальные недостатки конструкции: связь между приложениями мониторинга и инверторами, которая осуществлялась в незашифрованном простом тексте, обновления прошивки, в которых отсутствовали проверки целостности, и элементарные процедуры аутентификации.
«Это были фундаментальные упущения в области безопасности», — говорит один из клиентов компании, пожелавший остаться анонимным.
Спрошенный, почему EG4 не уведомила клиентов сразу же, когда CISA связалась с компанией, Шоуолтер назвал это моментом «учимся на ходу».
«Поскольку мы так близки к решению проблем CISA и у нас такие позитивные отношения с CISA, мы собирались нажать кнопку «Готово», а затем сообщить людям, чтобы мы не были в середине приготовления торта», — говорит Шоуолтер.