2011年,韩国高昌电力试验中心服务器遭黑客入侵,导致大面积停电;2015年底,乌克兰遭遇黑客攻击造成大面积断电;2016年底,乌克兰“悲剧重现”,首都基辅北部及周边地区再次发生断电情况,断电持续半小时之久,严重影响了当地居民的生活和工作。
无数现实案例都在警告我们,黑客完全有能力制造停电噩梦。但是此前的报道都显示,他们所采用的方法无外乎入侵电力机构的内部网络以篡改交换机设置。
但是近日,一组研究人员已经证实,通过攻击一个集中度和保护程度都很低的目标——例如家用空调和热水器——就能够成功地瘫痪整个电网。这一切究竟是如何实现的呢?
在本周举行的Usenix安全会议上,一组来自普林斯顿大学的安全研究人员提出了一项研究,该研究探索了电网网络安全中一个尚未经测试的问题:如果恶意行为者攻击的不再是电网供应方,而是需求方,结果又当如何呢?在一系列的模拟操作中,研究人员设想了“如果黑客控制了由数千个受损消费者物联网设备(特别是空调、热水器和加热器等耗电量大的设备)构成的僵尸网络,那将会发生何种情景”?随后,研究人员进行了一系列软件模拟,以探明攻击者究竟需要多少台设备才能同时劫持以破坏电网的稳定性。
他们的答案揭示了一个令人不安的结论:在一个足够大(服务3800万人口,相当于加拿大或加利福尼亚的人口)的电力网络中,估计只需1%的电力需求增长就足以瘫痪大部分的电网。这种需求的增长可能是由一个僵尸网络造成的,而构成这种规模的僵尸网络只需要数万台受损的电热水器或几十万台空调即可。
只有在供应量和需求量相等的情况下,电网才能保持稳定。如果攻击者构建成了一个非常庞大的物联网僵尸网络,就能够随时随地、随心所欲地操纵需求,影响电网稳定性。
而由僵尸网络引发的这种电网不稳定性,所带来的最糟结果就是连续性断电。当电网的一部分需求迅速增加时,可能会造成某些电线上的电流过载,如此一来,不仅会损害电线本身,更有可能会触发一种叫做“电磁保险器(Protective Relays)”的装置,这种装置会在感知到危险情况时关闭电源。而关闭这些线路又会对其余线路造成更大的电流负担,从而导致连锁反应。
相同的流量却只有更少的线路负责承载,自然会造成电力过载的局面,由此一来,承载不了的线路就会断开连接,如此恶性循环下来,一个接一个的线路都会断开连接。最糟糕的情况下,整个电网中的大多数甚至全部线路都会断开连接,从而引发大面积的停电现象。
当然,电力机构的工程师每天都会熟练地预测电力需求的波动。他们会将所有可能的因素都考虑在内,包括温度上升导致的空调使用量增加;以及英国肥皂剧结束后,成千上万的观众会选择烧上一壶水,泡上一杯茶,由此导致的电量增加等等。单普林斯顿大学研究人员的研究表明,黑客完全有能力制造不可预测且恶意的需求高峰。
事实上,在本次研究中,研究人员并没有指出任何特定家用设备中的漏洞情况,或是揭示黑客入侵的详细步骤。相反地,此次研究的前提是,大量的这些设备可能以某种方式被黑客入侵并默默控制着。考虑到其他安全研究人员和黑客在物联网设备中发现的无数安全漏洞,我们可以说,这是一个非常现实的假设。2016年,卡巴斯基分析师峰会上的一次演讲,描述了空调设备中的一个安全漏洞,可用于实现此次普林斯顿大学研究人员所描述的网络干扰。很明显,现实世界中任何东西(只要联网)都无一幸免,从鱼缸到冰箱,没有一样东西能够逃脱攻击者的魔爪。
鉴于这一假设,研究人员还在电网软件MATPOWER和Power World中运行了模拟测试,以确定何种类型的僵尸网络分别能够破坏多大规模的电网。他们的大部分模拟测试是在2004年和2008年的波兰电网模型上进行的,这是一种非常罕见的乡村电气系统,其架构在公开记录中有描述。结果,研究人员发现,在2008年的波兰电网模型中,86%的电线可能会由于过载而断电,而造成过载的需求仅增加了1%;这将需要相当于210,000个受损空调或42,000个电热水器设备。
物联网僵尸网络的概念足以引发一次此类攻击并非完全牵强附会。根据普林斯顿大学研究人员所言,曾经席卷全球的“Mirai”僵尸网络中就有600,000个被黑客入侵的物联网设备,其中包括安全摄像头和家用路由器等。2016年底,该僵尸网络以前所未有的拒绝服务攻击(DDoS)流量峰值,击中了DNS提供商Dyn,并最终导致包括Amazon、Twitter和Reddit在内的无关网站大面积瘫痪。
电力公司Constellation Energy的前网络安全工程师,现任工业安全公司Dragos的威胁运营中心主任Ben Miller表示,如今,可能无法用更耗电的物联网设备构建相同大小的僵尸网络。因为,在家庭中根本没有足够的高功率智能设备,特别是由于整个僵尸网络必须位于目标电网的覆盖区域内,而不能像Mirai僵尸网络那样分布在世界各地。
但是,随着便民思维的演进,越来越多的联网设备——空调、加热器以及智能恒温器等已经进入寻常百姓家,如此一来,普林斯顿大学研究人员所描述的这种基于需求的攻击,可能要比针对电网运营商的攻击更为实用得多。
这就像运行僵尸网络一样简单。当僵尸网络部署成功后,它就可以自行扩展,如此也会使攻击变得更为简单。毕竟,想要一次攻击电网上的所有生成站点(generation sites)还是很困难的,但是借助僵尸网络,你就可以一次攻击所有这些终端用户设备,并造成更大的影响。
普林斯顿大学的研究人员在模拟僵尸网络可能会破坏电网稳定性的过程中,还发现了更为狡猾的技术。他们发现可以在增加一个区域需求的同时,减少另一个区域的需求,这样的话,系统发电机的总负载保持不变,而攻击会使某些线路超载。如此一来,电力设施运营商就将更难找出电力中断的根源。
研究人员的攻击模型显示,如果僵尸网络确实成功击败了一个电网,那么当操作员试图将其重新联机时,则更容易在最先恢复的电网部分触发较小规模的攻击版本。而即便这种较小规模的攻击未能导致实际停电的结果,也可能会迫使电力机构投入昂贵的备用电源。
由于需求高峰的来源很大程度上会隐藏在公用设施中,因此攻击者可以一次又一次地尝试它们,进行试验直至达到预期的效果。
空调和热水器的所有者可能会注意到自己的设备突然表现得很奇怪,但是目标能源效用并不会立即显现出来。在出现问题时,消费者应该在哪里上报情况也是问题的关键。他们习惯直接向智能设备的制造商报告问题,但真正受到影响的电力系统却没有得到任何数据。
研究人员指出,这种信息脱节是公用事业运营商亟待解决的关键问题,也是安全漏洞的根源所在。正如电力机构工程师会仔细模拟气温上升和泡茶所导致的电力需求上升一样,他们现在也需要考虑其电网中可能存在的攻击性高功率设备的数量。随着高功率智能家居设备的不断普及,有朝一日,不安全的物联网设备可能不仅仅会干扰设备本身,影响用户的生活,而完全可能造成整个国家陷入黑暗。