科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道黑帽大会演示智能电网安全风险

黑帽大会演示智能电网安全风险

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

智能电网(smart grid)技术打开了能源保护和有效操作可能性世界的大门。但是也给智能电网的黑客创造的巨大的机会。

来源:网界网 2009年8月11日

关键字: 智能电网 BlackHat 黑帽大会 黑帽2009

  • 评论
  • 分享微博
  • 分享邮件

  智能电网(smart grid)技术打开了能源保护和有效操作可能性世界的大门。但是也给智能电网的黑客创造的巨大的机会。

  FYRM Associates的负责人Tony Flick把正在形成的智能电网安全标准和PCI DSS作对比。PCI DSS的目标是保护支付卡。

  Flick认为这是好事。他说美国国家标准技术研究所(National Institute of Standards and Technology,NIST)设置的PCI DSS规则的不足是因为他们非常模糊,并允许行业自定义策略。这就造成了配置的不确定性,以及缺乏防护措施和其他问题的情况下认为合规的执行情景。

  Flick说:“我不是说(PCI DSS)是失败的——任何安全措施都比没有要好——但是同时,也有对这个标准的有理有据的批评。”

  公用公司已经开始采用和互联网连接的电力测量设备,并收集家庭和商业的用电情况。这种设备和变电站相连接,使公用公司更有效地传递电力。目的是为了通更紧密地监控能源消耗而降低成本,节约能源。

  Flick在7月30日的黑帽大会上发表题为“攻击智能电网"的演讲,他还说规则创建还没有作出最后决定。他建议NIST不要采用PCI DSS的不干涉的方法。

  Flick说:“我们需要足够的政府法规以及详细的情况,确保公司做到了足够强大的安全等级。”

  但是在有些情况下,可能就会完了。公用公司采用智能电网,可能就不能遵守随后的标准了。

  他说:“如果开始已经过去了,你不可能从开始就整合。”

  早期的迹象是安全确实是个大问题。IOActive公司也出席了大会,他们将对一些智能电网设备进行测试演示。IOActive的高级安全顾问Mike Davis没有透漏测试的细节。在这家公司发现的智能电网的所有漏洞中,设备上安全性的全面缺乏出现在新的加密健上。他指出媒体对智能电网的关注使安全厂 商说他们正在注意安全型,而且他希望也是如此。Davis的演讲名为:“可恢复的高级测量架构”也确定在7月30日。

  智能电网技术将从根本上覆盖现有的电力网络管理系统。不安全的智能电网技术就会给黑客提供他们所附属的不安全网络的快速通道。预智能电网架构的不安全性 是今年春天很热的话题,当时华尔街时报报道说,美国网络被中国和其他国家的黑客攻击。虽然专家对这件事情很不屑,但是还有条主论调,也就是主要的结论—— 网络很危险——达成了一致。

  互联网安全顾问组 (Internet Security Advisors Group)的总裁,同时也是《Spies Among Us: How to Stop the Spies, Terrorists, Hackers, and Criminals You Don't Even Know You Encounter Every Day.》 这本书的作者的Ira Winkler说:“情况非常严重。现在电力网络只是受到了恶意人士的意愿和创造性的限制。”

  智能电网的不安全性增加了由多种原因在长时间内形成的问题的难度。根本问题是电力公司使用公共互联网来传输重要数据,而且在很多情况下对这些系统的保护不恰当。

  还没有好消息出现。输电网和运行输电网的控制网络都依赖于微软的Windows 操作系统,而专家称Windows也很危险。很多公共事业只是不知道敏感数据存在在那里,而且不会有计划地扫描通常很脆弱的网络,他们可以构成本质上是自己造成的拒绝服务(DoS)攻击。

  负责输电网安全的公司——The North American Electric Reliability Corporation (NERC)让公共事业部门自己评估他们的“关键网络资产”。可以预料到结果是公共事业部门说他们的关键网络资产不多。这正是Flick所说的针对新型的智能电网系统的思考方式。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章