太陽能表面如何成為國家安全問題

詹姆斯·沙瓦爾特（James Shawalter）描述了一場噩夢的情況，即使不是完全，這是完全不合理的。有人通用您的家，破解您的Wi-Fi密碼，然後開始篡改車庫旁邊安裝的太陽能反射器 – 這是這個適度的灰色正方形，該正方形將直接電流從表面上的油漆轉換為佔據您房屋的交替電流。

Shawalter說：“對於這種情況，您必須有一首太陽吟聲”。 ”

公司首席執行官Shotleter EG4電子，它不被認為是位於德克薩斯州硫磺泉的公司，這個少年序列特別有可能。但是，由於這個原因，他的公司上週在美國CISA安全局CISA時發現自己處於關注點 出版顧問 EG4太陽能變壓器中安全弱點的細節。 CISA指出，缺陷可以使攻擊者訪問與受影響的逆變器及其序列號相同的網絡以攔截數據，安裝有害固定程序或抓住整個系統的控制。

對於在EG4中擁有受影響的逆變器模型的大約55,000個客戶，這一集可能會感到對他們可以稍微理解的設備的令人不安的介紹。他們了解到的是，現代太陽能變壓器不再是簡單的電源變壓器。現在，它是家庭電力裝置，性能監控，與公用事業公司的溝通的支柱，當有額外的電力時，將它們再次在網絡中餵養。

這大部分發生在沒有人們注意到的情況下。 “五年前，沒有人知道什麼地獄對太陽能的反映，” Dragos的主要顧問賈斯汀·巴斯卡利（Justin Baskali）是一家專門從事工業系統的網絡安全公司。 “我們現在正在國家和國際層面談論它。”

安全和客戶投訴的缺點

一些數字強調了美國各個房屋已成為迷你電源站的程度。根據美國能源信息管理局的說法，小型住宅太陽能裝置主要種植 超過五次 在2014年至2022年之間，由於政府成本低下和激勵措施以及對氣候變化的認識的提高，這從來都不是氣候捍衛者的抵制，首次收養變得更加普遍。

每個太陽能安裝都為互連設備的擴展網絡增加了另一個結，每個太陽能網絡都會有助於能源的獨立性，但它也成為惡意人的可能切入點。

當點擊公司的安全標準時，沙瓦特承認缺點，但也偏離了偏差。他說：“這不是EG4問題。” “這是行業層面上的一個問題。”在塔克巴爾（Takbar）電話中 14頁報告 自2019年以來，通過商業和住宅申請對88個太陽能容量披露。

並非他所有的客戶 – 其中一些 reddit 對於投訴 – 同情，特別是考慮到COSA CISA揭示了基本設計缺陷：監視應用程序與普通，非註冊文本中發生的鏈之間的通信以及缺乏完整性檢查和原始身份驗證程序的固定程序更新。

該公司的一位客戶說：“這些是基本的安全失誤。”這個人繼續說：“增加傷害的侮辱，“ EG4並沒有使自己造成危險的麻煩或擬議的稀釋。 ”

當被問及為什麼EG4在CISA繼續前往公司時不會立即提醒客戶時，這被稱為“生活與學習”時刻。

“鑑於我們非常接近（解決CISA的恐懼），這是與CISA的積極關係，我們正在達到“ DONE”按鈕，然後我們建議人們，因此我們不在烤蛋糕的中間。”

TechCrunch本週早些時候到達CISA，以獲取更多信息。該機構沒有回應。 CISA在她的EG4顧問中指出：“據報導，尚無已知的公共剝削專門針對CISA。”

與中國的聯繫引起了安全問題

儘管沒有關係，但EG4公共關係危機的時機與對安全鏈安全鏈安全性更廣泛的擔憂相吻合。

據說今年早些時候，美國能源官員已經開始重新評估中國設備在某些播放和電池內發現未指定的通信設備後所帶來的風險。 根據路透調查，設備中的無意識的蜂窩設備和其他通信設備是從許多中國供應商那裡找到的 – 官方設備列表中未出現的組件。

這報導，由於中國在太陽能生產中的主導地位，發現的重量也具有特殊的重量。路透社的故事指出，華為是世界上最大的湯匙資源，是2022年世界上29％的貨物，其次是中國同行Sungrow和Ginlong Solis。一些 200 GB的歐洲太陽能 它與中國製作的標誌相關，該標誌等同於200多個核電站。

地緣政治影響並未從通知中逃脫。立陶宛去年 法律通過 防止中國人獲得超過100千瓦的太陽能，風能和電池，這有效地限制了中國變壓器的使用。沙瓦爾特說，他的公司通過同樣的工作來回應客戶的擔憂，從中國供應商轉向公司在其他地方（包括德國）製造的組成部分。

但是，EG4系統中描述的CISA提出了超出任何一家公司或其組件來源的實踐的問題。美國標準機構NIST 警告 “如果您控制了大量的家庭太陽能變形金剛，並且同時做一些邪惡的事情，它可能會在很長一段時間內對網絡產生災難性影響。”

好消息（如果有的話）是，儘管從理論上講，這種情況仍面臨許多實際限制。

帕斯卡爾（Pascale）與太陽能設施合作，按照福利的規模，他指出，住宅變壓器首先發揮了兩個功能：將能量從直接轉換為交替電流，並再次促進與網絡的連接。大規模攻擊需要同時退位大量的單個房屋。 （這種攻擊並非不可能，但它可能包括針對同一製造商，其中一些攻擊可以遠距離使用太陽能變壓器，例如 從研究人員那裡可以明顯看出，去年安全））

管理大型設施的組織框架目前並未擴展到住宅系統。北美電氣公司的關鍵基礎設施保護標準 當前申請 僅適用於產生75兆瓦或更多的大型設施，例如太陽能農場。

由於住宅設施遠低於這些門檻，因此它們在灰色區域工作，在灰色區域，網絡安全標準仍然建議而不是要求。

但最終結果是，成千上萬的小型企業的安全在很大程度上取決於在組織真空中工作的個別製造商的估計。

例如，關於非加密數據的傳輸問題，這是EG4在CISA手中收到一巴掌的原因之一，Pascale指出，在福利量表的操作環境中，普通文本的傳遞很常見，有時是鼓勵網絡監控目的。

他解釋說：“當您查看機構環境中的加密時，這是不允許的。” “但是，當您查看操作環境時，大多數事情都會以普通文本轉移。”

換句話說，真正的焦慮不是對個人房主的直接威脅。取而代之的是，它與擴展網絡的總弱點相關聯。當電力網絡越來越分佈時，來自數百萬個小源而不是數十個大源的能量流動時，攻擊的表面會大大擴展。每個逆變器代表從未設計用於適應這種複雜性的系統中的潛在壓力點。

沙瓦特（Shawalter）採用了CISA的干預，因為他稱之為“信心升級”，這是在擁擠的市場中區分公司的機會。他說，自6月以來，EG4與該機構合作解決了規定的弱點，該弱點將10個問題的初步清單減少到了其餘的三個要素，該公司期望在10月之前解決這些問題。該過程包括更新固定的程序傳輸協議，實現技術支持呼叫的其他身份以及重新設計。

但是對於那些像不知名的EG4特工對公司反應感到沮喪的人，這一集闡明了兩位採用者發現自己的奇怪情況。他們購買了他們所理解的氣候友好技術，只是為了發現他們將成為意想不到的參與者，以表明復雜的網絡安全強調。