Dorzucę felieton na ten temat.
Widzę, że w tym roku modne były ataki na RFID/NFC.
Nie mam żadnych wieści. Niczego też nie wydedukowałem.
Jestem prostym człowiekiem. Widzę Ghidrę na screenshocie - klikam w link.
Nawet jeśli jest to reklama płatnego szkolenia, wartościowych informacji było zdecydowanie więcej niż w youtubowym product placement firm na B czy P, które widziałem już pewnie tysiąc razy.
Jeśli mówimy o pełnoskalowej wojnie, to ja nie mam żadnych złudzeń. Problemy z siecią energetyczną czy dostępem do internetu są pewne jak zmarszczki po 60tce.
Miałem raczej na myśli jakiś mniej skoordynowany atak, gdzie w czasach pokoju dowiadujemy się o krytycznej podatności w inwerterach, albo włamaniu do firmy która nimi zarządza.
W praktyce to jest chyba jeden z tych przypadków, gdzie najlepszym rozwiązaniem byłyby jakieś regulacje (lista zweryfikowanych dostawców/urządzeń).
Również liczę na jakąś ciętą ripostę.
Nie miałem pojęcia, że falowniki są dzisiaj tak zintegrowane z usługami chmurowymi. Podejrzewam, że jest już za późno żeby wyciąć te urządzenia systemu energetycznego, bo instalacji są tysiące.
Nawiasem mówiąc, mam piec z możliwością sterowania poprzez chmurę, ale zreversowałem jego protokół i zrobiłem “emulator” tej usługi na lokalnym Raspberry Pi.
Ciekawe, czy instytucja taka jak CERT mogłaby w razie cyberataku na fotowoltaikę przekierować routing na poziomie krajowym do jakiegoś lokalnego systemu sterowania.
Przypomniało mi się, że kiedyś jakikolwiek sprzęt podłączany do sieci telekomunikacyjnej musiał mieć (w teorii) krajową homologację.
There is just no need for a highly skilled person to spend a week on proving exploitation if a fix is a one-liner, done, tested, and deployed in an hour of active work.
Co?? Synek, to trzeba na spokojnie!
Zrób ticketa, weźmiemy na backlog grooming za dwa tygodnie. Ktoś przeanalizuje na szybko w 2-3 dni i może na koniec przyszłego miesiąca wejdzie do sprintu.
Może, bo nie jest pewne, czy jakiś stakeholder to zasponsoruje.
No ale jak dobrze pogadasz, to niewykluczone, że za 1.5 miesiąca pójdzie do testów. Czyli tak pod koniec roku pewnie będzie można wdrożyć. Tylko lepiej nie przed świętami. W styczniu byłoby bezpieczniej.
Ciekawe, czy jakieś służby będą teraz sprawdzać sprzęt importowany z podejrzanych krajów pod kątem obecności ładunków wybuchowych.