Rijksinspectie: groot deel omvormers zonnepanelen kwetsbaar voor cyberaanvallen
Een groot deel van de omvormers van zonnepaneelinstallaties is kwetsbaar voor cyberaanvallen, waardoor ze op afstand zijn uit te schakelen of zijn in te zetten voor ddos-aanvallen. Ook kunnen er via de omvormers persoons- en gebruiksgegevens worden gestolen, zo stelt de Rijksinspectie Digitale Infrastructuur (RDI) op basis van eigen onderzoek. Daarnaast blijkt dat de omvormers storingen kunnen veroorzaken.
De RDI ontvangt naar eigen zeggen regelmatig meldingen en signalen over zonnepaneelinstallaties die radiostoring veroorzaken. Daarnaast zijn de omvormers in deze installaties doorgaans verbonden met het internet. "Het is erg belangrijk voor onder andere onze energievoorziening en de bruikbaarheid van het radiospectrum, dat deze installaties storingsvrij en cyberveilig werken", aldus de toezichthouder, die negen omvormers besloot te onderzoeken.
Het onderzoek laat zien dat geen enkele onderzochte omvormer aan alle eisen voldoet. Vijf van de negen omvormers blijken storing te kunnen veroorzaken. Alledaagse toepassingen, zoals radio of draadloze tags om deuren te openen, kunnen er last van hebben en mogelijk minder goed of niet functioneren. Zelfs de lucht- en scheepvaart kan er hinder van ondervinden.
De testen op cyberveiligheid wezen uit dat geen van de negen onderzochte omvormers voldeed aan de gebruikte norm. "Hierdoor zijn zonnepaneelinstallaties bijvoorbeeld eenvoudig te hacken en kunnen deze daarna worden uitgeschakeld of worden deze ingezet voor ddos-aanvallen. Of kunnen persoons- en gebruiksgegevens worden onderschept", aldus de Rijksinspectie. Voor het toetsen van de cyberveiligheid werd de norm ETSI EN 303 645 V2.1.1 gebruikt.
Er werd gekeken naar universele standaardwachtwoorden, de mogelijkheid om als gebruiker kwetsbaarheden te rapporteren, mogelijkheid om updates automatisch en eenvoudig te downloaden, gebruik van versleutelde verbindingen, minimaliseren van aanvalsoppervlak, beveiliging van persoonlijke gegevens, de mogelijkheid om persoonlijke gegevens eenvoudig te kunnen verwijderen, de mogelijkheid om eerder gegeven toestemming voor de verwerking van gegevens in te trekken en de mate waarin gegevens die zijn opgeslagen in de cloud ingezien kunnen worden.
De toezichthouder heeft alle fabrikanten, waarvan hun product niet voldeed aan de storings- en administratieve eisen, gewaarschuwd en doet binnenkort hercontroles. Als fabrikanten opnieuw producten verhandelen die niet voldoen, neemt de RDI handhavende maatregelen. Dat kan bijvoorbeeld met een boete, verkoopverbod of terugroepactie.
Maatschappelijke verantwoordelijkheid
"Het verbeteren van de cyberveiligheid is op dit moment een dringend verzoek. Hierbij doen we een beroep op de maatschappelijke verantwoordelijkheid van fabrikanten", stelt de toezichthouder. De wettelijke eisen hiervoor zijn namelijk nog niet actief. "We hebben om die reden ook nog geen handhavende bevoegdheden. Vanaf 1 augustus 2024 is dit wel het geval. We doen dan hercontroles. Als de cyberveiligheid dan niet op orde is, gaan wij handhaven. Dat kan ook hier met bijvoorbeeld een boete, verkoopverbod of terugroepactie."
Reacties (33)
Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
No shit, Sherlock. Ofwel: oud nieuws. En je kon die 10 jaar geleden aan zien komen.
Ondertussen doorgaan met digi-drammen en jezelf kwetsbaar maken. Want het is zo leuk om die grafiekjes op je telefoon aan je collegae te laten zien.
'Cyberveiligheid' op orde? Het blijft hoe dan ook een lachertje. Ongetwijfeld een checklijstje wat afgevinkt moet worden en als alle vinkjes er staan, dan is het goed. Over hard-coded passwords of elders gelekte certificates gaat het niet.
Zoals gebruikelijk: iets met een kalf en een put.
Ondertussen doorgaan met digi-drammen en jezelf kwetsbaar maken. Want het is zo leuk om die grafiekjes op je telefoon aan je collegae te laten zien.
'Cyberveiligheid' op orde? Het blijft hoe dan ook een lachertje. Ongetwijfeld een checklijstje wat afgevinkt moet worden en als alle vinkjes er staan, dan is het goed. Over hard-coded passwords of elders gelekte certificates gaat het niet.
Zoals gebruikelijk: iets met een kalf en een put.
30-05-2023, 11:17 door
Aalard99
Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Exact dat, de omvormer kan niet vanuit het internet benaderd worden. Standaard staat alles vanuit het internet dicht naar mijn interne LAN. Wel staat er vanuit de omvormer vaak een sessie op naar de omgeving van de fabrikant die natuurlijk wel kwetsbaar kan zijn. Ik haal niet uit het artikel of het nu de omvormer zelf of het portaal van de leverancier betreft?
Laten we zeggen dat je omvormer, gehacked is dan kan je gewoon een nieuwe omvormer kopen en besluiten deze niet aan te sluiten of betekent dit ook dat er ook mogelijk een backdoor in je netwerk is gemaakt?
(Maar volgens mij ben je dan nogsteeds veilig met je stroom want je sluit de nieuwe omvormer niet aan) of je zou de oude omvormver kunnen proberen te resetten en daarna niet aansluiten aan het web.
Je verlies dan wel vaak de inzichten van je apperaat.
95% gebruikt chineese Goodwe of andere chinbese omvormer
(Maar volgens mij ben je dan nogsteeds veilig met je stroom want je sluit de nieuwe omvormer niet aan) of je zou de oude omvormver kunnen proberen te resetten en daarna niet aansluiten aan het web.
Je verlies dan wel vaak de inzichten van je apperaat.
95% gebruikt chineese Goodwe of andere chinbese omvormer
Ik kwam hier omdat ik precies dezelfde vraag had. Toch wel een relevante als het om "cyberveiligheid" gaat.
Ook bij mij niet vanuit het internet direct te benaderen.
Ook bij mij niet vanuit het internet direct te benaderen.
Door Aalard99:
Exact dat, de omvormer kan niet vanuit het internet benaderd worden. Standaard staat alles vanuit het internet dicht naar mijn interne LAN. Wel staat er vanuit de omvormer vaak een sessie op naar de omgeving van de fabrikant die natuurlijk wel kwetsbaar kan zijn. Ik haal niet uit het artikel of het nu de omvormer zelf of het portaal van de leverancier betreft?
Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Exact dat, de omvormer kan niet vanuit het internet benaderd worden. Standaard staat alles vanuit het internet dicht naar mijn interne LAN. Wel staat er vanuit de omvormer vaak een sessie op naar de omgeving van de fabrikant die natuurlijk wel kwetsbaar kan zijn. Ik haal niet uit het artikel of het nu de omvormer zelf of het portaal van de leverancier betreft?
RDI adviseerd een omvormer waar een CE markering op staat aan te schaffen.
Blijft het jammer dat dat niks garandeert, zelfs handhaven op apparatuur die aantoonbaar niet voldoet lijkt onmogelijk. Solaredge is al jaren een grote stoorder van oa C2000. Maar ze komen er steeds mee weg.
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2022/11/23/bijlagen-bij-besluit-op-wob-woo-verzoek-over-storingen-en-storingsgevoeligheid-c2000-systeem/Bijlagen+deel+4+bij+Woo-besluit+storingen+en+storingsgevoeligheid+C2000-systeem.pdf
Blijft het jammer dat dat niks garandeert, zelfs handhaven op apparatuur die aantoonbaar niet voldoet lijkt onmogelijk. Solaredge is al jaren een grote stoorder van oa C2000. Maar ze komen er steeds mee weg.
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2022/11/23/bijlagen-bij-besluit-op-wob-woo-verzoek-over-storingen-en-storingsgevoeligheid-c2000-systeem/Bijlagen+deel+4+bij+Woo-besluit+storingen+en+storingsgevoeligheid+C2000-systeem.pdf
30-05-2023, 12:03 door
_R0N_
Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Klopt, echter zijn alle omvormers (van een merk) aan een klant portaal waarop je kan inloggen om de omvormer te beheren. Op die portal kan ook de installateur inloggen om onderhoud te doen aan je omvormer. je kunt je voorstellen dat installateurs een centraal portaal hebben voor al hun klanten en daar met een generiek wachtwoord op inloggen.
Exact de reden dat ik heb aangegeven dat ik mijn omvormer niet aan "de cloud" gekoppeld wil hebben.
Door Aalard99:
Exact dat, de omvormer kan niet vanuit het internet benaderd worden. Standaard staat alles vanuit het internet dicht naar mijn interne LAN. Wel staat er vanuit de omvormer vaak een sessie op naar de omgeving van de fabrikant die natuurlijk wel kwetsbaar kan zijn. Ik haal niet uit het artikel of het nu de omvormer zelf of het portaal van de leverancier betreft?
Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Exact dat, de omvormer kan niet vanuit het internet benaderd worden. Standaard staat alles vanuit het internet dicht naar mijn interne LAN. Wel staat er vanuit de omvormer vaak een sessie op naar de omgeving van de fabrikant die natuurlijk wel kwetsbaar kan zijn. Ik haal niet uit het artikel of het nu de omvormer zelf of het portaal van de leverancier betreft?
In geval van een leverancier met origine van buiten de EU is dat lood om oud ijzer.
Degene de de server van de fabrikant (US, CN) beheerst beheerst de installatie... Ongeacht of het DC in EU staat of niet.
Je zou de omvormer ZONDER internet verbinding moeten kunnen uitlezen.
In de veel gevallen is dat heel goed mogelijk.
De omvormer moet het MODBUS protol ondersteunen.
Mijn omvormer heeft GEEN internet verbinding.
Door Aalard99: Ik haal niet uit het artikel of het nu de omvormer zelf of het portaal van de leverancier betreft?
Het artikel spreekt toch echt van de omvormer; zie anders ook de link en de pdf die er onder ligt.Door Aalard99:
Exact dat, de omvormer kan niet vanuit het internet benaderd worden. Standaard staat alles vanuit het internet dicht naar mijn interne LAN. Wel staat er vanuit de omvormer vaak een sessie op naar de omgeving van de fabrikant die natuurlijk wel kwetsbaar kan zijn. Ik haal niet uit het artikel of het nu de omvormer zelf of het portaal van de leverancier betreft?
Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Exact dat, de omvormer kan niet vanuit het internet benaderd worden. Standaard staat alles vanuit het internet dicht naar mijn interne LAN. Wel staat er vanuit de omvormer vaak een sessie op naar de omgeving van de fabrikant die natuurlijk wel kwetsbaar kan zijn. Ik haal niet uit het artikel of het nu de omvormer zelf of het portaal van de leverancier betreft?
Wat men natuurlijk bedoelt is exact zo'n cloud verbinding waarbij je dan acties kunt uitvoeren op de installatie (niet door
naar de installatie te connecten maar naar die cloud server). Wellicht zijn daar de installaties makkelijk langs te lopen
en hebben ze vaak zwakke wachtwoorden, misschien zelfs een default wachtwoord.
Tja, een direct resultaat van het pushen van apps om alles in real-time te zien. Mijn zonnecellen hangen niet aan het internet en dat bevalt prima. De eerste week ben je nieuwsgierig en kijk je op de console van de omvormer. Daarna geloof je het wel omdat je er toch bar weinig aan kunt doen.
https://tweakers.net/nieuws/154100/klantgegevens-aeg-industrial-solar-staan-op-slecht-beveiligde-chinese-server.html
Ik neem aan dat de RDI dit ook keurig via het 'responsible disclosure' beleid heeft gemeld en als vulnerability, zodat iedereen op de hoogte is en maatregelen kan treffen om deze kwetsbaarheid aan te pakken?
De RDI zegt de afgelopen jaren meer meldingen van storing door zonnepaneelinstallaties te hebben gekregen. Dat gaat dan om storingen op frequenties die onder meer defensie, radiozendamateurs, DAB+ (radio) en het communicatiesysteem voor hulpdiensten (C2000) gebruiken. Volgens de dienst kunnen de gevolgen groot zijn.
https://nos.nl/artikel/2477039-zonnepanelen-gevoelig-voor-hacks-en-storingen-hack-stroomnet-is-realistisch
https://nos.nl/artikel/2477039-zonnepanelen-gevoelig-voor-hacks-en-storingen-hack-stroomnet-is-realistisch
De omvormers gaan ook uit als het voltage van het stroomnet boven de 253 Volt komt. Je hoeft zo maar het centrale regelsysteem te hacken om alle aangesloten omvormers tegelijkertijd off-line te laten gaan.
Het maakt niet uit van welk merk en/of de omvormer op het internet is aangesloten want dit gaat via de stroomkabels.
Het maakt niet uit van welk merk en/of de omvormer op het internet is aangesloten want dit gaat via de stroomkabels.
omvormer loskoppelen van internet, en teruglevering uitlezen via p1 aansluiting slimme meter? Of zie je dan alleen (teruglevering - verbruik op dat moment)?
En dan maar geen app van de leverancier van de omvormer, maar dan ook geen toegang voor de installateur voor onderhoud, of opbrengstgarantie(?).
En dan maar geen app van de leverancier van de omvormer, maar dan ook geen toegang voor de installateur voor onderhoud, of opbrengstgarantie(?).
Er zijn zoveel manieren waarop je een omvormer uit kan lezen, zonder dat deze met internet verbonden hoeft te zijn. Bluetooth, ethernet (via netwerkkabel), RS232,RS485. Allemaal mogelijk. Is alleen iets minder handig en real-time, maar wel veeeel veiliger. Helaas krijgt handigheid vaak voorrang boven veiligheid. Het is een reeel gevaar dat via een hack alle omvormers van een (vaak Chinees) merk allemaal tegelijk off- line gehaald kunnen worden. Hebben we toch een probleem,vrees ik.
30-05-2023, 15:06 door
_R0N_
Door Anoniem: omvormer loskoppelen van internet, en teruglevering uitlezen via p1 aansluiting slimme meter? Of zie je dan alleen (teruglevering - verbruik op dat moment)?
En dan maar geen app van de leverancier van de omvormer, maar dan ook geen toegang voor de installateur voor onderhoud, of opbrengstgarantie(?).
En dan maar geen app van de leverancier van de omvormer, maar dan ook geen toegang voor de installateur voor onderhoud, of opbrengstgarantie(?).
Dat is inderdaad Netto dus wat er werkelijk naar het net gaat.
De meeste omvormers zijn lokaal uitleesbaar en je zou het verkeer van de omvormer richting het internet kunnen blokkeren om een call home te voorkomen.
30-05-2023, 15:31 door
_R0N_
Door Anoniem: Er zijn zoveel manieren waarop je een omvormer uit kan lezen, zonder dat deze met internet verbonden hoeft te zijn. Bluetooth, ethernet (via netwerkkabel), RS232,RS485. Allemaal mogelijk. Is alleen iets minder handig en real-time, maar wel veeeel veiliger. Helaas krijgt handigheid vaak voorrang boven veiligheid. Het is een reeel gevaar dat via een hack alle omvormers van een (vaak Chinees) merk allemaal tegelijk off- line gehaald kunnen worden. Hebben we toch een probleem,vrees ik.
"Ja maar als ik hem niet met het internet laat lullen kan ik niet live meekijken op m'n app en opscheppen tegenover m'n collega's."
Sommige dingen moeten gewoon geen toegang hebben tot het internet. Via d eomvormer heeft de beheerder wel toegang tot je lokale netwerk.
Omvormers aan het internet hoeft inderdaad niet, Maar het updaten van de firmware gaat via internet. Bv de mogelijke aanpassing op de piekspanning naar 15% boven de 230V (is nu 10%). ACM is hierover aan het nadenken en dat wordt dan via internet geupdate.
Daarnaast, de klanten weten vaak niks over deze techniek, laat staan dat ze zelf kunnen handelen\ingrijpen. Men had voorwaarden kunnen stellen aan de producten di eop de markt komen, waarom hebben ze dit dan niet eerder dicht getimmerd.
Daarnaast, de klanten weten vaak niks over deze techniek, laat staan dat ze zelf kunnen handelen\ingrijpen. Men had voorwaarden kunnen stellen aan de producten di eop de markt komen, waarom hebben ze dit dan niet eerder dicht getimmerd.
30-05-2023, 16:05 door
spatieman
wat verwacht je van china omvormers.
Door spatieman: wat verwacht je van china omvormers.
Wat verwacht je van Israelische omvormers?De Rijksinspectie Digitale Infrastructuur (RDI) heeft in dit onderzoek: "Omvormers kunnen storing veroorzaken en zijn vaak makkelijk te hacken" (RDI Nieuwsbericht 30-05-2023) zowel radiostoring als cyberveiligheid van PV-omvormers onderzocht.
Dat de RDI spreekt van "storing" inplaats van "radiostoring" zegt mogelijk iets over hun oorsprong en focus.
Ik vind een (cyber)inbraak ook een "storing", en dat zegt iets over mijn achtergrond en focus.
Over het gedeelte cybersecurity van PV-omvormers verschijnen al sinds 2016 met enige regelmaat berichten:
Dit is een stap in de goede richting, maar ik ben er nog niet gerust op. Het "leveranciers-wachtwoord" van de PV-omvormers blijft een onvervalste backdoor.
Dat de RDI spreekt van "storing" inplaats van "radiostoring" zegt mogelijk iets over hun oorsprong en focus.
Ik vind een (cyber)inbraak ook een "storing", en dat zegt iets over mijn achtergrond en focus.
Over het gedeelte cybersecurity van PV-omvormers verschijnen al sinds 2016 met enige regelmaat berichten:
05-09-2022, 12:17 door Anoniem
Willem Westerhof, ethische hacker bij Qbit (voorheen ITsec) ontdekte dat de stroomvoorziening in Europa ernstig in gevaar wordt gebracht door een kwetsbaarheid van zonnepanelen. https://www.security.nl/posting/762224/Miljoen+omvormers+zonnepanelen+via+gelekt+wachtwoord+kwetsbaar+voor+sabotage
Het eindresultaat is nu dat ook kleine producenten / omvormers per 1 augustus 2024 moeten voldoen aan (minimale) cyber-veiligheidseisen:Willem Westerhof, ethische hacker bij Qbit (voorheen ITsec) ontdekte dat de stroomvoorziening in Europa ernstig in gevaar wordt gebracht door een kwetsbaarheid van zonnepanelen. https://www.security.nl/posting/762224/Miljoen+omvormers+zonnepanelen+via+gelekt+wachtwoord+kwetsbaar+voor+sabotage
"De eisen voor cyberveiligheid zijn vanaf 1 augustus 2024 actief in de Radioapparatenrichtlijn 2014/53/EU. Deze eisen staan dan ook in de Nederlandse Telecommunicatiewet."
https://www.rdi.nl/documenten/vragen-en-antwoorden/vragen-en-antwoorden-onderzoek-omvormers zie het antwoord op de vraag: "Hoe ziet het wettelijk kader er momenteel uit?"
https://www.rdi.nl/documenten/vragen-en-antwoorden/vragen-en-antwoorden-onderzoek-omvormers zie het antwoord op de vraag: "Hoe ziet het wettelijk kader er momenteel uit?"
Dit is een stap in de goede richting, maar ik ben er nog niet gerust op. Het "leveranciers-wachtwoord" van de PV-omvormers blijft een onvervalste backdoor.
Door Anoniem: Bv de mogelijke aanpassing op de piekspanning naar 15% boven de 230V (is nu 10%). ACM is hierover aan het nadenken en dat wordt dan via internet geupdate.
Ja laten we hopen dat dat er niet door komt! Dan kun je in de zomer 264V op je stopcontacten krijgen!Dat zal je PC voeding niet leuk vinden...
Maar ja, de groene lobby zal het vast doordrukken (de ACM is er zelf tegen, maar die kunnen het niet tegenhouden).
Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Vergeet niet dat gedrochten als UPnP dat geheel automagisch regelen en dat gebruikers daar soms geen enkele erg in hebben.Net was er ook een item over op het NOS journaal. Het advies: Verander het wachtwoord en doe firmware updates.
Hiermee hebben ze denk ik het belangrijkste advies gemist: Verbind die zut niet aan internet. Waarom zou je 24x7 waar je ook bent de opbrengst van je zonnepanelen moeten kunnen inzien? Kan dat echt niet wachten tot je thuis bent? Ik vind het een onevenredig groot risico voor het (zinloze) gemak wat het oplevert.
Door _R0N_:
Klopt, echter zijn alle omvormers (van een merk) aan een klant portaal waarop je kan inloggen om de omvormer te beheren. Op die portal kan ook de installateur inloggen om onderhoud te doen aan je omvormer. je kunt je voorstellen dat installateurs een centraal portaal hebben voor al hun klanten en daar met een generiek wachtwoord op inloggen.
Exact de reden dat ik heb aangegeven dat ik mijn omvormer niet aan "de cloud" gekoppeld wil hebben.
Dan ligt het dus niet aan de zonnepanelen omvormers. Je moet dus even een soort knop hebben (tbv de monteur) waardoor er tijdelijk een sessie kan worden opgezet naar het portaal van de leverancier. An de andere kant ik heb hier ook een windows laptop in het netwerk hangen, die is waarschijnlijk veel gevaarlijker.Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Klopt, echter zijn alle omvormers (van een merk) aan een klant portaal waarop je kan inloggen om de omvormer te beheren. Op die portal kan ook de installateur inloggen om onderhoud te doen aan je omvormer. je kunt je voorstellen dat installateurs een centraal portaal hebben voor al hun klanten en daar met een generiek wachtwoord op inloggen.
Exact de reden dat ik heb aangegeven dat ik mijn omvormer niet aan "de cloud" gekoppeld wil hebben.
Dan moeten ze de NEN-EN 50160 eerst even aanpassen, want alle apparatuur heeft nu 10% marge... En italiaanse meuk heeft het met 15% echt moeilijk.
En het nadeel is dat de stroomboerleveranciers hun spul meten op hun distributiecentra.. En daar laten de grafiekjes 0.4 % deviatie zien. na de 10kV omvormers en in de (nieuwbouw)wijken met meer afnemers dan oorspronkelijk de bedoeling was en een shitload aan zonnepanelen en bedrijventerreinen met grootverbruikers is het lichtnet danig vervuilder...
Mijn online UPS geeft hier spanningen door de dag aan van 200 tot 249 volt. en regelmatig moet hij de stroomvoorziening overnemen omdat het geen 50Hz meer is of de ruis of de spanning niet meer voldoet.
Hier in de buurt heeft bijna niemand zonnepanelen (okay, hier tegenover hebben net 2 huizen een paar op het dak gelegd, maar deze data is van de afgelopen 12 maanden, toen hadden ze nog geen solar) en mijn eigen zonnepannelen worden off-grid gebruikt
En het nadeel is dat de stroomboerleveranciers hun spul meten op hun distributiecentra.. En daar laten de grafiekjes 0.4 % deviatie zien. na de 10kV omvormers en in de (nieuwbouw)wijken met meer afnemers dan oorspronkelijk de bedoeling was en een shitload aan zonnepanelen en bedrijventerreinen met grootverbruikers is het lichtnet danig vervuilder...
Mijn online UPS geeft hier spanningen door de dag aan van 200 tot 249 volt. en regelmatig moet hij de stroomvoorziening overnemen omdat het geen 50Hz meer is of de ruis of de spanning niet meer voldoet.
Hier in de buurt heeft bijna niemand zonnepanelen (okay, hier tegenover hebben net 2 huizen een paar op het dak gelegd, maar deze data is van de afgelopen 12 maanden, toen hadden ze nog geen solar) en mijn eigen zonnepannelen worden off-grid gebruikt
Ethische hackers van de DIVD konden meekijken in miljoenen zonnepanelen wereldwijd en zo'n 40.000 in Nederland.
Het gevaar bij het gelijktijdig platleggen van tienduizenden zonnepanelen zit in de enorme dip in het elektriciteitsnetwerk die je dan krijgt, waardoor er bijvoorbeeld iets kan doorbranden in een trafohuisje. "Dan heb je een wijk zonder stroom, of bij een grote aanval zelfs een stad zonder stroom", zegt Wijnand van Hooff, directeur van Holland Solar.
https://nos.nl/artikel/2477105-zonnepanelen-hacken-om-te-ontwrichten-goed-naar-kijken-nu-geen-paniek
Het gevaar bij het gelijktijdig platleggen van tienduizenden zonnepanelen zit in de enorme dip in het elektriciteitsnetwerk die je dan krijgt, waardoor er bijvoorbeeld iets kan doorbranden in een trafohuisje. "Dan heb je een wijk zonder stroom, of bij een grote aanval zelfs een stad zonder stroom", zegt Wijnand van Hooff, directeur van Holland Solar.
https://nos.nl/artikel/2477105-zonnepanelen-hacken-om-te-ontwrichten-goed-naar-kijken-nu-geen-paniek
Door Anoniem:
Gevaar zit tussen toetsenbord en beeldscherm.Door _R0N_:
Klopt, echter zijn alle omvormers (van een merk) aan een klant portaal waarop je kan inloggen om de omvormer te beheren. Op die portal kan ook de installateur inloggen om onderhoud te doen aan je omvormer. je kunt je voorstellen dat installateurs een centraal portaal hebben voor al hun klanten en daar met een generiek wachtwoord op inloggen.
Exact de reden dat ik heb aangegeven dat ik mijn omvormer niet aan "de cloud" gekoppeld wil hebben.
Dan ligt het dus niet aan de zonnepanelen omvormers. Je moet dus even een soort knop hebben (tbv de monteur) waardoor er tijdelijk een sessie kan worden opgezet naar het portaal van de leverancier. An de andere kant ik heb hier ook een windows laptop in het netwerk hangen, die is waarschijnlijk veel gevaarlijker.Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Klopt, echter zijn alle omvormers (van een merk) aan een klant portaal waarop je kan inloggen om de omvormer te beheren. Op die portal kan ook de installateur inloggen om onderhoud te doen aan je omvormer. je kunt je voorstellen dat installateurs een centraal portaal hebben voor al hun klanten en daar met een generiek wachtwoord op inloggen.
Exact de reden dat ik heb aangegeven dat ik mijn omvormer niet aan "de cloud" gekoppeld wil hebben.
Door Anoniem:
Door Anoniem:
Gevaar zit tussen toetsenbord en beeldscherm.Door _R0N_:
Klopt, echter zijn alle omvormers (van een merk) aan een klant portaal waarop je kan inloggen om de omvormer te beheren. Op die portal kan ook de installateur inloggen om onderhoud te doen aan je omvormer. je kunt je voorstellen dat installateurs een centraal portaal hebben voor al hun klanten en daar met een generiek wachtwoord op inloggen.
Exact de reden dat ik heb aangegeven dat ik mijn omvormer niet aan "de cloud" gekoppeld wil hebben.
Dan ligt het dus niet aan de zonnepanelen omvormers. Je moet dus even een soort knop hebben (tbv de monteur) waardoor er tijdelijk een sessie kan worden opgezet naar het portaal van de leverancier. An de andere kant ik heb hier ook een windows laptop in het netwerk hangen, die is waarschijnlijk veel gevaarlijker.Door Anoniem: Die zonnepaneelinstallaties zijn normaal gesproken niet rechtstreeks vanuit het internet te benaderen,
Klopt, echter zijn alle omvormers (van een merk) aan een klant portaal waarop je kan inloggen om de omvormer te beheren. Op die portal kan ook de installateur inloggen om onderhoud te doen aan je omvormer. je kunt je voorstellen dat installateurs een centraal portaal hebben voor al hun klanten en daar met een generiek wachtwoord op inloggen.
Exact de reden dat ik heb aangegeven dat ik mijn omvormer niet aan "de cloud" gekoppeld wil hebben.
Je bedoelt tussen bureaustoel en toetsenbord.
Dit is weer zo'n waardeloze profileringsdrang van een overheidsdienst.
Als er serieus bedreigingen zijn, dan maak je een CVE aan (ik heb er geen gezien). Als het echt zo ernstig is als de RDI het doet voorkomen, dan zouden deze omvormers off-line gehaald moeten worden. Welke omvormers gaat het dan om? Wat is er getest? achter een NAT-router? of alleen direct, al dan niet via het WiFi van de omvormer?
Er zijn scenario's denkbaar, waarbij omvormers massaal worden uitgeschakeld. Hoe realistisch is dat? Mijn omvormer kan niet vanuit de 'cloud' worden uitgezet, en het zou me verbazen als die functionaliteit er bij veel omvormers wel in zit. Hoe stelt het RDI zich dat dan voor? Of is het wat fantaseren om paniek te zaaien?
Ook op de RDI-site is niets te vinden over wat nou werkelijk het probleem is. Maar nergens wordt aangeraden om de ethernet-stekker uit de omvormer te halen.
Als er serieus bedreigingen zijn, dan maak je een CVE aan (ik heb er geen gezien). Als het echt zo ernstig is als de RDI het doet voorkomen, dan zouden deze omvormers off-line gehaald moeten worden. Welke omvormers gaat het dan om? Wat is er getest? achter een NAT-router? of alleen direct, al dan niet via het WiFi van de omvormer?
Er zijn scenario's denkbaar, waarbij omvormers massaal worden uitgeschakeld. Hoe realistisch is dat? Mijn omvormer kan niet vanuit de 'cloud' worden uitgezet, en het zou me verbazen als die functionaliteit er bij veel omvormers wel in zit. Hoe stelt het RDI zich dat dan voor? Of is het wat fantaseren om paniek te zaaien?
Ook op de RDI-site is niets te vinden over wat nou werkelijk het probleem is. Maar nergens wordt aangeraden om de ethernet-stekker uit de omvormer te halen.
Door Anoniem:
Je bedoelt tussen bureaustoel en toetsenbord.
Door Anoniem: Gevaar zit tussen toetsenbord en beeldscherm.
Je bedoelt tussen bureaustoel en toetsenbord.
Spreuken die door techneuten worden gebruikt om aan te geven dat een probleem volledig aan de gebruiker te wijten is, zijn onder meer: PEBKAC (een acroniem voor "problem exists between keyboard and chair"), PEBCAK (een alternatief, maar vergelijkbaar, acroniem voor "problem exists between chair and keyboard"), POBCAK (een Amerikaans overheids/militair acroniem voor "problem occurs between chair and keyboard"), PICNIC ("problem in chair not in computer") en EBKAC ("Error between keyboard and chair").
https://en.wikipedia.org/wiki/PEBCAK
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
