It-sårbarhed får britisk NSA til at gribe ind i omfattende udrulning af el- og gasmålere

http://www.darkreading.com/perimeter/smart-meter-hack-shuts-off-the-lights/d/d-id/1316242

Sårbarheden er tilsyneladende observeret for 2 år siden !!!

Og hvis man så også er endnu mere smart - så benytter man også "standarder" :-) (Ironi kan forekomme..)

http://www.fierceitsecurity.com/story/home-brewed-encryption-scheme-opens-millions-smart-meters-hacking-warn-rese/2015-05-12

Tak for svar, Henrik Kristensen. Det lyder fornuftigt, det du skriver, jeg er enig med dig - men jeg er lidt i tvivl om, om jeg har formuleret mit spørgsmål uklart i forhold til dit svar.

Det, jeg har svært ved at forstå i den pågældende sætning er, hvordan man kan have forstand på at gøre systemer sikre, hvis man ikke har forstand på de sårbarheder, der er i dem?

Det lyder i mine ører bare ikke logisk...

Hej Anne Marie Krogsbøll

Sikkerhed. - har da noget at gøre med et eksploderende batteri, it sikkerhed eller sikkerhed for forbrugeren Nu tænker jeg mere på forbrugeren ude i de små eu-hjem hvor alle, i hele eu skal ha el,gas SMART målere der er noget der er større end batteri kapacitet, nemlig; din sikkerhed for ikke at blive overvåget døgnet rundt på dit forbrug. I usa, ser man stigende priser på el og gas efter der er indført smart meters.. læs længere oppe om smart meters: smart for hvem. Man kunne tænke sig en situation som: Hacker overvåger dit forbrug, derved kan hackeren se hvornår du er hjemme (højt forbrug) og når du er ude (lavt forbrug) hvornår er det bedst at bryde ind i dit hjem.. Nogle smart el - målere har wi-fi indbygget, eller er forberedt til wifi, de kommunikerer over nettet hele tiden... NÅ .. men der kan læses om smart systemet og endda høres radio pod casts ( der er direkte link) Se blot længere oppe under 'SMART METERS' smart for hvem ?

PS: smart meters, smart phone, smart grid...osv alt skal være smart.. MEN for hvem ?

Tak, Bjarne - det lyder som om, du også synes, at den sætning ikke giver mening, det glæder mig :-)

Men du har ret i, at det er glædeligt, at rodet er blevet stoppet i tide. Lad os håbe, at det også sker engang imellem herhjemme. Håbet er jo lysegrønt (det vil jo sige hverken blåt eller rødt...).

Forklaring udbedes, [...]

Følger man sporet tilbage over digi.no til The Inquirer, så finder man flg. perle:

Dr Ian Levy, technical director of GCHQ's communications security group, agreed that this may be the case.</p>
<p>"The guys making the meters are really good at making meters, but they might not know a lot about making them secure. The guys making head-end systems know a lot about making them secure, but not about what vulnerabilities might be built into them," he said in an interview cited by The Financial Times.

Jeg har ikke haft held til at følge den tilbage til FT - de viser mig bare en forside. Så dit gæt er lige så godt som mit.

Til gengæld gælder jeg mig over, at dette "one key to rule them all" misfoster rent faktisk ser ud til at blive stoppet i tide. Det virker til at være en klassisk offentlig IT skandale med alt + køkkenvasken og alt for mange kokke.

...eller måske bliver det bare lappet, ligesom IC4.

"Dem der udvikler de databehandlende systemer ved en masse om, hvordan de gør dem sikre, men meget lidt om de sårbarheder, der kan indlejres i dem,«"

Er det min manglende tekniske indsigt, der får mig til at tro, at kendskab til sådanne sårbarheder vel netop må være kernen i at gøre systemerne sikre? Måske misforstår jeg, hvad der menes. Er det sårbarheder som "eksploderende batterier", man ved meget lidt om? Eller er det "driftssikkerhed", man ved en masse om, i modsætning til IT-sikkerhedsekspertens område, som man så ved meget lidt om?

Under alle omstændigheder har man jo - som sædvanligt, fristes man til at sige - tilsyneladende ikke prioriteret IT-sikkerheden, selv om det er en vitalt offentligt system.

HVORFOR!!!!!!!! For pokker! Forklaring udbedes, selv om det er i England. For det skulle undre mig, om ikke det er en historie, som sikkert ligner mange offentlige projekter herhjemme (hvordan står det til med smart-aflæsning, som jo også er gennemført herhjemme på elnettet)

Fordi nøglen kunne maskeprogrammeres og derved spare energi ?

Godt svar.

Det hjælper bare ikke når specifikationen siger at nøglen skal være udskiftelig.

Jeg ved ikke hvordan du forestiller dig at batterihensyn skulle tvinge nogen til at bruge den samme nøgle flere steder?

Fordi nøglen kunne maskeprogrammeres og derved spare energi ?

Re: Batteriet er problemet</p>
<p>Batteriet er faktisk ikke problemet.</p>
<p>Jamen det er da godt at du sidder her og kan berolige dem helt uden at kende nogen detaljer :-)

Jeg ved ikke hvordan du forestiller dig at batterihensyn skulle tvinge nogen til at bruge den samme nøgle flere steder?

Den oprindelige løsning var baseret på, at den samme nøgle var fordelt til 53 millioner målere, samtidigt med at en gasmåler næppe er den mest beskyttede sted at opbevare en nøgle.

Gasmåleren skal, udover sin egen unikke private nøgle, kun opbevare offentlige nøgler. Selv hvis det lykkes dig at trække en nøgle ud fra en måler du har splittet ad, så vil den nøgle ikke give adgang til andre målere.

Full disclosure: Jeg arbejder for Flonidan som producerer gasmålere.

Hvis der er mere end 1g litium i et batteri skal det håndteres som 'farligt gods' [...] Derfor er batteristørrelsen begrænset til ca. 2200 mAh

På det billede jeg så var batteriet noget større end som så.

Jeg tvivler egentlig også på at "farligt gods" for et lille batteri ville bekymre naturgasfolket :-)

Batteriet er faktisk ikke problemet.

Jamen det er da godt at du sidder her og kan berolige dem helt uden at kende nogen detaljer :-)

Jeg har i forbindelse med sikring af dansk infrastruktur set en præsentation fra en af de involverede og iflg. ham havde de enormt fokus på batteriets levetid, for det var montørbesøg hver gang de skulle skiftes.

Og deres krypto er faktisk lidt snedig på netop det punkt, men han kom ikke med nok detaljer om deres key-management til at det rejste et flag hos mig.

80 % af alle el-kunder i EU skal senest i 2020 have fjernaflæste el-målere – og fjernaflæste gasmålere, hvis man har gas. Dette har langt større betydning, end vi hidtil har hørt om fra politikerne.

Smart meters er et led i de såkaldte smart grids (smarte energinet) og smarte byer og er et transatlantisk påhit. Smart meters, også kaldet electricity meters, gennemtvinges netop nu på basis af to EU-direktiver.

Tvangen indebærer øget overvågning, øget elektrostråling/elektrosmog, styrkelse af EU's geopolitiske magtblokspil over for Rusland og de lande, som EU udbytter miljømæssigt og socialt gennem blandt andet udvinding af skifergas (fracking) og dyrkning af afgrøder til biobrændsler.

Det er næppe tilfældigt, at det franske olieselskab Total E&P i 2010 i samarbejde med Nordsøfonden fik tildelt to licenser til efterforskning af skifergas i Danmark...

Læs mere her: http://falko.nu/eu/usmart.html

– Masseovervågning er endnu et aspekt. Hør mere om smart meters og de såkaldte "smart grids" (smarte energinet) og "smarte byer" på Radio 24syvs program Aflyttet, indtil videre udsendelserne fra ugerne 14, 15 og til dels 16 og 18 - 2015; rul lidt ned og klik på den ønskede udsendelse ud for 2015-podcastene her.

http://arkiv.radio24syv.dk/channel/4466232/aflyttet?p=4

Hvad er det overordnede billede

når vi taler om intelligente/smarte målere og de øvrige "smart"-tiltag?

Og hvad følger der nærmere beskrevet med, hvis vi accepterer "smart"-tvangen?

– Læs: falko.nu/eu/usmart-0.html

Er der noget, vi i det mindste kan forsøge

at gøre for at undgå installering af 'intelligente/smarte' målere?

– Ja! Læs: falko.nu/eu/usmart-stop.html

Den oprindelige løsning var baseret på, at den samme nøgle var fordelt til 53 millioner målere, samtidigt med at en gasmåler næppe er den mest beskyttede sted at opbevare en nøgle.

Herudover så er batteriet et problem. Hvis der er mere end 1g litium i et batteri skal det håndteres som 'farligt gods'. Det er rasende dyrt og besværligt. Derfor er batteristørrelsen begrænset til ca. 2200 mAh. Dette betyder at det gennemsnitlige strømforbrug for hele måleren skal være mindre end ca. 20 uA / 70 uW. Indenfor dette 'budget' skal der måles, beregnes og overføres data via radio. Det er ikke en triviel opgave. De brugte uControllere har typisk en clockfrekvens på 5 - 10 MHz.

Batteriet er faktisk ikke problemet. Briterne bruger elliptisk-kurve kryptering, ikke RSA, og det kan godt lade sig gøre på et batteri. Omend et stort et, ikke CR2032.

Elektricitet = gnist, gnist + gas = dårlig kombo

Jeg kan komme på to kreative ideer i gasmåleren: 1: Gør batteriet bruger-udskiftelig. Intet batteri = ingen gas. 2: Indsæt en lille turbine eller rokke/vippe-ting i gasrøret, og brug til at generere elektricitet til at oplade batteriet (eller blot en kondensator). Der er eksempler på lavenergi-dimser som kan gøre nyttigt arbejde, f.eks. et videokamera som hev energi ud af termiske forskel mellem rumtemperatur og væggen og kunne sende et 256x256 pixel sort/hvid billede et par gange i døgnet.

Men ja, med batterier skal der hugges en hæl og klippes en tå. Jeg sidder med zigbee-pro dimser, tja.. når de skal have et CR2032-batteri til at holde i 5 år, så kan der ikke frådses.

Det helt store og centrale problem her er at gasmålernes computere drives af et batteri og det gør pokker til forskel om det holder i fem eller ti år.

Det betyder at man kan ikke bare smække 2048 bits RSA på, man er nødt til at tænke lidt kreativt.

Men hvordan har GCHQ eller andre så sikret kommunikationen?