"Slimme meters natte droom van hackers"
Volgens beveiligingsexpert Ira Winkler zijn slimme meters "de natte droom van een hacker", zo liet hij toehoorders tijdens de RSA Conferentie in Londen weten. Het probleem is dat de slimme meters PC-gebaseerd zijn en dus met dezelfde kwetsbaarheden als elk ander computersysteem te maken hebben, aldus de president van de Internet Security Advisors Group. "Slimme meters zijn in principe computers met een speciaal doel." Vorig jaar lukte het Winkler om met zijn team van white hat hackers een elektriciteitscentrale via social engineering en een browser exploit over te nemen
Een bijkomend probleem is dat het updaten van het slimme elektriciteitsnetwerk als er beveiligingslekken worden gevonden, niet duidelijk is. "Als iemand een kwetsbaarheid ontdekt, wie is er dan verantwoordelijk voor het upgraden ervan?" Privatisering maakt in dit geval het proces niet eenvoudiger. "Stel je voor als de overheid zegt dat het ambtenaren langs stuurt om al je systemen te updaten." Verder heeft Winkler ook kritiek op het onterechte vertrouwen in de betrouwbaarheid van computers. "Wil je echt dat het elektriciteitsnet in je huis zichzelf kan herstarten?" De kern van het probleem is volgens hem dat veel van de infrastructuur niet met beveiliging in het achterhoofd is ontworpen.
Reacties (17)
23-10-2009, 10:14 door
Thasaidon
De kern van het probleem is volgens hem dat veel van de infrastructuur niet met beveiliging in het achterhoofd is ontworpen.
Dat is met de meeste infrastructuren zo. Men streeft naar een bepaald doel en beveiliging word daarin vaak niet meegenomen.Dat ze uiteindelijk een Centrale kunnen "overnemen" ok...
Maar wat zou een hacker precies kunnen met die meters? Mijn meterstanden beïnvloeden?
Petitie tegen slimme meters:
http://www.wijvertrouwenslimmemetersniet.nl/
Al bijna 20.000 handtekeningen, teken ook :)
http://www.wijvertrouwenslimmemetersniet.nl/
Al bijna 20.000 handtekeningen, teken ook :)
Door Thasaidon:
Maar wat zou een hacker precies kunnen met die meters? Mijn meterstanden beïnvloeden?
Wat dacht je van te pas en te onpas de hele handel uitschakelen? Zeker met wat bedrijfkritische dingen is dat vast niet erg?? toch?De kern van het probleem is volgens hem dat veel van de infrastructuur niet met beveiliging in het achterhoofd is ontworpen.
Dat is met de meeste infrastructuren zo. Men streeft naar een bepaald doel en beveiliging word daarin vaak niet meegenomen.Maar wat zou een hacker precies kunnen met die meters? Mijn meterstanden beïnvloeden?
"Volgens beveiligingsexpert Ira Winkler zijn slimme meters "de natte droom van een hacker","
Waarom, wat is het motief, en levert het geld op waardoor het interessant wordt voor criminele hackers ?
Waarom, wat is het motief, en levert het geld op waardoor het interessant wordt voor criminele hackers ?
23-10-2009, 10:38 door
Syzygy
Misschien is er iemand van een elektriciteitsbedrijf die hier wat meer info over kan geven.
Als ik het voorgaande bericht lees, waar naar toe gelinkt wordt, dan zien we dat een "hacker" in het bedrijfssysteem heeft kunnen komen via de kantoorautomatisering (e-mail). Daar kun je een menig over hebben maar laten we even zeggen dat dat niet zo slim is opgezet daar om on topic te blijven anders krijgen we daar weer een eindeloze discussie over..
Maar nu gaat het over "slimme meters".
Bij mij hangt een elektronische meter die niet zo slim is. Gewoon een digitale versie van de analoge meter met het draaiende wieltje (dat je kon stopzetten ;-)). Het nieuwe apparaat is geenszins een computer met een interface naar de centrale of extern uit te lezen. Er komt nog steeds een persoon eens per jaar de stand af lezen.
Ik denk wel dat er in een centrale per regio of buurt valt af te lezen wat er verbruikt wordt. Ik geloof echter niet dat dit per huishouden gaat anders zouden er niet zoveel illegale hennepplantages op "voor de meter afgetapte stroom" draaien. Dat zou dan meteen in de gaten lopen.
Maar wellicht kan iemand van een Elektriciteit Bedrijf hier opheldering over geven.
Ben erg benieuwd naar de uitkomst.
Als ik het voorgaande bericht lees, waar naar toe gelinkt wordt, dan zien we dat een "hacker" in het bedrijfssysteem heeft kunnen komen via de kantoorautomatisering (e-mail). Daar kun je een menig over hebben maar laten we even zeggen dat dat niet zo slim is opgezet daar om on topic te blijven anders krijgen we daar weer een eindeloze discussie over..
Maar nu gaat het over "slimme meters".
Bij mij hangt een elektronische meter die niet zo slim is. Gewoon een digitale versie van de analoge meter met het draaiende wieltje (dat je kon stopzetten ;-)). Het nieuwe apparaat is geenszins een computer met een interface naar de centrale of extern uit te lezen. Er komt nog steeds een persoon eens per jaar de stand af lezen.
Ik denk wel dat er in een centrale per regio of buurt valt af te lezen wat er verbruikt wordt. Ik geloof echter niet dat dit per huishouden gaat anders zouden er niet zoveel illegale hennepplantages op "voor de meter afgetapte stroom" draaien. Dat zou dan meteen in de gaten lopen.
Maar wellicht kan iemand van een Elektriciteit Bedrijf hier opheldering over geven.
Ben erg benieuwd naar de uitkomst.
Door Thasaidon:
Ehm, wat dacht je van de totale gastoevoer in een hele wijk of stad afsluiten? Dit enkel door de individuele meters uit te schakelen. Met de juiste kennis en de aanwezigheid van een lek kan dit zo geregeld zijn via een botnet.
Neem maar van me aan dat als hacker hiertoe in staat bent, het niet moeilijk is om een goed betalende "afnemer" te vinden. Dat kan een criminele organisatie zijn die graag een lokale/nationale overheid wil af persen (en neem tevens maar aan dat je hiervan niets in de krant zult lezen, is namelijk staatsgevaarlijke info) of een internationale grootmacht die het in diplomatieke betrekkingen wil gebruiken (want reken maar dat diplomatiek vaak niets anders is dan een mooi woord voor chantage).
Maar goed, we helpen met z'n allen keer op keer dat zootje prutsers wat ons regeert opnieuw aan de macht, dus als het eenmaal goed mis gaat (of het ons heel veel geld gaat kosten) dan hebben we het toch echt aan ons zelf te danken. Ieder land krijgt de regering die het verdient.
Maar wat zou een hacker precies kunnen met die meters? Mijn meterstanden beïnvloeden?
Ehm, wat dacht je van de totale gastoevoer in een hele wijk of stad afsluiten? Dit enkel door de individuele meters uit te schakelen. Met de juiste kennis en de aanwezigheid van een lek kan dit zo geregeld zijn via een botnet.
Neem maar van me aan dat als hacker hiertoe in staat bent, het niet moeilijk is om een goed betalende "afnemer" te vinden. Dat kan een criminele organisatie zijn die graag een lokale/nationale overheid wil af persen (en neem tevens maar aan dat je hiervan niets in de krant zult lezen, is namelijk staatsgevaarlijke info) of een internationale grootmacht die het in diplomatieke betrekkingen wil gebruiken (want reken maar dat diplomatiek vaak niets anders is dan een mooi woord voor chantage).
Maar goed, we helpen met z'n allen keer op keer dat zootje prutsers wat ons regeert opnieuw aan de macht, dus als het eenmaal goed mis gaat (of het ons heel veel geld gaat kosten) dan hebben we het toch echt aan ons zelf te danken. Ieder land krijgt de regering die het verdient.
Geweldig, eindelijk een hack die je als legale dienst kunt aanbieden, je checked de meter en verkoopt de gegevens (bewoners thuis/niet thuis aan geintereseerde partijen).
Kan ik de verhoging van mijn inboedel verzekering op de politiek of energie maatschappij verhalen ?
Kan ik de verhoging van mijn inboedel verzekering op de politiek of energie maatschappij verhalen ?
23-10-2009, 10:52 door
quikfit
Ook dit is een onderdeel van -Big Brother-
"Maar wat zou een hacker precies kunnen met die meters? Mijn meterstanden beïnvloeden?"
Misschien. Met een beetje hoge stand krijg je een huiszoeking op zoek naar wiet. Leuke grap!
Simpeler nog is het vaststellen of je thuis bent of misschien op vakantie. Met een eigen netwerkje van gehackte meters is er elke avond wel een pandje te vinden waar je kunt inbreken.
Verder valt uit het gebruik misschien ook wel af te leiden wat voor apparatuur je in huis hebt. En als je de meter zo kan beinvloeden dat hij niet elk kwartier meet maar elke seconde, dan kun je ook aflezen naar welke tv-zender je kijkt. Het verbruik van je tv varieert per scene, en door dat te vergelijken met de uitzendingen moet je zenderkeuze vast te stellen zijn.
De mogelijkheden zijn eindeloos. Het is een wereldvinding, zo´n slimme meter.
Misschien. Met een beetje hoge stand krijg je een huiszoeking op zoek naar wiet. Leuke grap!
Simpeler nog is het vaststellen of je thuis bent of misschien op vakantie. Met een eigen netwerkje van gehackte meters is er elke avond wel een pandje te vinden waar je kunt inbreken.
Verder valt uit het gebruik misschien ook wel af te leiden wat voor apparatuur je in huis hebt. En als je de meter zo kan beinvloeden dat hij niet elk kwartier meet maar elke seconde, dan kun je ook aflezen naar welke tv-zender je kijkt. Het verbruik van je tv varieert per scene, en door dat te vergelijken met de uitzendingen moet je zenderkeuze vast te stellen zijn.
De mogelijkheden zijn eindeloos. Het is een wereldvinding, zo´n slimme meter.
23-10-2009, 12:01 door
spatieman
zo kan je wel veel besparen als opeens -plop- alles uit gaat.
voudje bedankt....
voudje bedankt....
Voorbeeld van wat je kunt met "slimme meters".
Oxxio heeft ook slimme meters uitgedeeld aan nieuwe klanten. Deze meters sturen per sms de standen door. Zo kan de leverancier bijna realtime zien wat het verbruik is van een meter. En ook van een wijk.
Als je nou die smsjes faked, en zegt dat er een 10x zo veel stroom wordt verbruikt, dan zal de aanvoer omhoog kunnen gaan. En het net overbelasten.
Anders om kan ook. Doorgeven dat er veel minder stroom wordt gebruikt. En dat er dan minder stroom aan net wordt geleverd omdat er minder nodig is. Dan zal hier en daar stroom uitvallen omdat er niet genoeg is. Of andere centrales kunnen overbelast raken om het verschil aan te vullen.
Ik denk niet dat je een meter kunt afsluiten. Maar je kunt dus wel in invloed hebben op het electriciteit net. Wat mij nog gevaarlijker lijkt...
TheYOSH
Oxxio heeft ook slimme meters uitgedeeld aan nieuwe klanten. Deze meters sturen per sms de standen door. Zo kan de leverancier bijna realtime zien wat het verbruik is van een meter. En ook van een wijk.
Als je nou die smsjes faked, en zegt dat er een 10x zo veel stroom wordt verbruikt, dan zal de aanvoer omhoog kunnen gaan. En het net overbelasten.
Anders om kan ook. Doorgeven dat er veel minder stroom wordt gebruikt. En dat er dan minder stroom aan net wordt geleverd omdat er minder nodig is. Dan zal hier en daar stroom uitvallen omdat er niet genoeg is. Of andere centrales kunnen overbelast raken om het verschil aan te vullen.
Ik denk niet dat je een meter kunt afsluiten. Maar je kunt dus wel in invloed hebben op het electriciteit net. Wat mij nog gevaarlijker lijkt...
TheYOSH
23-10-2009, 13:26 door
prikkebeen
Het zijn niet alleen de slimme meters die voor problemen kunnen zorgen. Men kan als de centrale gehacked is vervelende dingen doen met die slimme meters. Selectief uitschakelen b.v. Beveiligingsinstallaties van bedrijven e.d..
Ik zou een botnet van slimme meters bouwen. Ze hangen aan ADSL, welnu, dan kan ik er vast wel spammen. En dat schijnt nog steeds geld op te leveren
Een "slimme" meter is en blijft nog steeds een meetkundig lichaam, welke alleen ontworpen is om de gewenste grootheid te kunnen meten. Hierdoor zal het nooit mogelijk zijn om via zo'n meting een vergrendeling te krijgen op de geleverde grootheid!
Een overbelasting van een electriciteitsnet is niet mogelijk omdat er geleverd wordt wat er wordt afgenomen en hierdoor kan "overbelasting" in die zin niet plaatsvinden. Idem met bijvoorbeeld gas, wat geregeld wordt op druk.
Een overbelasting van een electriciteitsnet is niet mogelijk omdat er geleverd wordt wat er wordt afgenomen en hierdoor kan "overbelasting" in die zin niet plaatsvinden. Idem met bijvoorbeeld gas, wat geregeld wordt op druk.
23-10-2009, 19:30 door
Thasaidon
Door Anoniem: Een "slimme" meter is en blijft nog steeds een meetkundig lichaam, welke alleen ontworpen is om de gewenste grootheid te kunnen meten. Hierdoor zal het nooit mogelijk zijn om via zo'n meting een vergrendeling te krijgen op de geleverde grootheid!
Een overbelasting van een electriciteitsnet is niet mogelijk omdat er geleverd wordt wat er wordt afgenomen en hierdoor kan "overbelasting" in die zin niet plaatsvinden. Idem met bijvoorbeeld gas, wat geregeld wordt op druk.
Dat is dus wat ik ook dacht... dat die "slimme" meters helemaal niet zo slim zijn en zelfs zeer beperkt in wat ze kunnen. Ze meten waarden en meer niet.Een overbelasting van een electriciteitsnet is niet mogelijk omdat er geleverd wordt wat er wordt afgenomen en hierdoor kan "overbelasting" in die zin niet plaatsvinden. Idem met bijvoorbeeld gas, wat geregeld wordt op druk.
Ik zie botnet beheerders likkebaardend naar slimme meters kijken: fantastische uitbreiding van je imperium, toch ?
Wel behoorlijk tendentieus: een browser overnemen in een centrale =! overnemen van een slimme meter.
Daarnaast:
<quote>"Als iemand een kwetsbaarheid ontdekt, wie is er dan verantwoordelijk voor het upgraden ervan?" </quote>
Waarom je niet afvragen wat er fout is met de huidige implementatie ? Ik bedoel: je kan overal wel problemen voor bedenken en die van de daken schreeuwen, maar bewijs eens wat er fout is ? We hebben een OV chipkaart actie gezien, ik wacht de slimme-meter-beet-nemen proof of concept af.
Ik heb me alle moeite getroost zo'n ding niet in huis te laten installeren. Met succes. Maar dit maakt me niet perse tot een tegenstander, evenzo maakt Continuon mij in haar brieven niet duidelijk waarom ik zo'n ding wel zou willen. Als ik iets niet snap, dan doe ik daar niet aan mee: kinderpostzegels bv. Of vage bonuskaartacties van een grootgrutter.
Jeetje, deze hysterie lijkt wel de nieuwe variant van tegen-umts-straling paar jaar terug.
Wel behoorlijk tendentieus: een browser overnemen in een centrale =! overnemen van een slimme meter.
Daarnaast:
<quote>"Als iemand een kwetsbaarheid ontdekt, wie is er dan verantwoordelijk voor het upgraden ervan?" </quote>
Waarom je niet afvragen wat er fout is met de huidige implementatie ? Ik bedoel: je kan overal wel problemen voor bedenken en die van de daken schreeuwen, maar bewijs eens wat er fout is ? We hebben een OV chipkaart actie gezien, ik wacht de slimme-meter-beet-nemen proof of concept af.
Ik heb me alle moeite getroost zo'n ding niet in huis te laten installeren. Met succes. Maar dit maakt me niet perse tot een tegenstander, evenzo maakt Continuon mij in haar brieven niet duidelijk waarom ik zo'n ding wel zou willen. Als ik iets niet snap, dan doe ik daar niet aan mee: kinderpostzegels bv. Of vage bonuskaartacties van een grootgrutter.
Jeetje, deze hysterie lijkt wel de nieuwe variant van tegen-umts-straling paar jaar terug.
Reagerend op Anoniem :
" Jeetje, deze hysterie lijkt wel de nieuwe variant van tegen-umts-straling paar jaar terug. "
Als je je iets meer in de materie inleeft kom je er achter dat er iets meer aan de hand is dan dit.
Stroom besparen door continue een modem aan te hebben ?
Platleggen van zo goed als de hele kortegolf en vermoedelijk nog meer van het radiospectrum, effectief door via een achterdeur toch BLC te installeren.
Onder het motto van goed voor u en goed voor het milieu een alternatief voor ADSL te implementen, waar dat op een duidelijkere introductie al was afgeschoten.
Zoals de engelse KPN het al heeft gedaan met zgn. gekeurde modems, die na een controle door 2 bedrijven, betaald door een particulier toch niet gekeurd hadden mogen zijn ( op zo'n 18 fouten ) Reeds 700.000 geinstalleerd, dus niet meer terug te draaien, dus gewoon doorgaan met niet goedgekeurd uitleveren.
Zelfde geld trouwens voor internet via het stopcontact trouwens.
Kort en bondig, om controleurs uit te sparen word een gedrocht van een oplossing naar binnen gesluisd, wat in de states bijvoorbeeld volkomen uit de gratie is, en in andere landen met de nodige smetten al word doorgejast. Het is een gotspe dat het weigeren van een onvolwaardig alternatief als een economisch delict werd geintroduceerd.
Helaas kan er in Nederland geen tegen-lobby worden gestart, omdat het aan kennis en geld ontbreekt. De energiemaatschappijen zijn te sterk. De ARRL in de states echter heeft het technische deel wel voor elkaar en is daar ook effectief tegen dit 'slimme systeem'
Voor de telecom via ether adepts, er is een goede link te bedenken naar C2000
" Jeetje, deze hysterie lijkt wel de nieuwe variant van tegen-umts-straling paar jaar terug. "
Als je je iets meer in de materie inleeft kom je er achter dat er iets meer aan de hand is dan dit.
Stroom besparen door continue een modem aan te hebben ?
Platleggen van zo goed als de hele kortegolf en vermoedelijk nog meer van het radiospectrum, effectief door via een achterdeur toch BLC te installeren.
Onder het motto van goed voor u en goed voor het milieu een alternatief voor ADSL te implementen, waar dat op een duidelijkere introductie al was afgeschoten.
Zoals de engelse KPN het al heeft gedaan met zgn. gekeurde modems, die na een controle door 2 bedrijven, betaald door een particulier toch niet gekeurd hadden mogen zijn ( op zo'n 18 fouten ) Reeds 700.000 geinstalleerd, dus niet meer terug te draaien, dus gewoon doorgaan met niet goedgekeurd uitleveren.
Zelfde geld trouwens voor internet via het stopcontact trouwens.
Kort en bondig, om controleurs uit te sparen word een gedrocht van een oplossing naar binnen gesluisd, wat in de states bijvoorbeeld volkomen uit de gratie is, en in andere landen met de nodige smetten al word doorgejast. Het is een gotspe dat het weigeren van een onvolwaardig alternatief als een economisch delict werd geintroduceerd.
Helaas kan er in Nederland geen tegen-lobby worden gestart, omdat het aan kennis en geld ontbreekt. De energiemaatschappijen zijn te sterk. De ARRL in de states echter heeft het technische deel wel voor elkaar en is daar ook effectief tegen dit 'slimme systeem'
Voor de telecom via ether adepts, er is een goede link te bedenken naar C2000
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
