趨勢科技研究人員經常深入各種領域來研究其軟體和硬體的安全性,之前趨勢科技就探討過船舶追蹤系統的「自動化識別系統」(Automation Identification System,簡稱 AIS) 以及針對石油天然氣產業、無線電遙控器、智慧家庭等領域的網路攻擊,其中,能源產業又是北美最常遭到攻擊的產業之一。這正是為何我們會特別聚焦該領域,因為它不僅應用層面廣泛,而且隨著新技術的導入也正在快速變遷。
採用太陽能或風力來發電的「分散式發電」(Distributed Energy Generation,簡稱 DEG) 系統,越來越常被家庭環境和商業大樓用來降低對傳統電網的依賴,然而這類系統卻跟其他關鍵基礎設施網路一樣,存在著資安漏洞的問題。所以我們的研究人員想了解一下這類裝置的資安狀況,看看這些技術當前所面臨的挑戰,以及我們能為廠商提供什麼建議來改善其裝置的安全性。這份研究主要針對太陽能裝置,因為太陽能發電目前已相當普及,並且與 All Energy 合作來執行這份研究。此次研究分析了 5 款廠牌的熱門裝置 (3 款北美、2 款歐洲)。
我們聚焦以下幾個領域:
- 通訊協定
- 硬體
- 軟體與通訊的漏洞
- 使用者介面 (UI)
我們從這些領域發現了以下主要資安問題:
- 密碼問題
- 信賴區域網路 (LAN)
- 遠端關機/組態設定
- 存取點 (AP) 掃描
- 不安全的韌體更新
- 不安全的通訊
- 資料主權
這份研究在 DEG 裝置的通訊模組與逆變器 (inverter) 中發現了可能導致嚴重資料外洩或供電中斷的重大疑慮。詳細情形我們就不討論,您可自行閱讀研究報告的內容,但這裡倒是可以提一下我們發現的主要問題包括:密碼/缺乏密碼、可遠端關閉裝置、必須透過廠商才能更新韌體,以及資料主權問題。不過我們也發現,許多廠商在裝置安全方面確實下了不少功夫,我們甚至特別點出某家廠商對於開放原始碼的支援度,這也讓我們能夠深入分析他們的產品。
前述問題的後果並非只侷限於技術層面,而是可能對電網的穩定性與終端用戶的隱私權帶來真實風險。不安全的 DEG 系統甚至會讓人們不敢採用太陽能,因為會擔心資料可能外流或者供電不穩定。所以,安全的通訊協定以及資料防護,已經不再只是一項技術要求,而是讓使用者願意信賴再生能源的重要基礎。
隨著越來越多消費者和企業開始在家庭或企業環境採用 DEG 系統作為輔助電力,這份研究應該能協助他們更了解 DEG 系統的資安問題。您可以到這裡來查看這份研究。