Condicionadores de ar e IoT cortados podem desligar a rede elétrica

Wikimedia Commons
Compartilhe esta história!
image_pdfimage_print
Os tecnocratas que estão construindo a Internet das Coisas são incapazes de proteger suas criações contra hackers. Se os motores do ar condicionado em uma única cidade grande fossem todos ligados ao mesmo tempo, isso interromperia a rede elétrica de uma área de vários estados. ⁃ Editor TN

Quando o setor de segurança cibernética alerta sobre o pesadelo de hackers que causam apagões, o cenário que eles descrevem normalmente envolve uma equipe de elite de hackers invadir o santuário interno de uma empresa de energia para começar a acionar interruptores. Mas um grupo de pesquisadores imaginou como uma rede elétrica inteira poderia ser derrubada invadindo uma classe de alvos menos centralizada e protegida: aparelhos de ar condicionado e aquecedores de água. Muitos deles.

Na conferência Usenix Security desta semana, um grupo de pesquisadores de segurança da Universidade de Princeton apresentará um estudo que considera uma questão pouco examinada em segurança cibernética da rede elétrica: E se os hackers atacassem não o lado da oferta da rede elétrica, mas o lado da demanda? Em uma série de simulações, os pesquisadores imaginaram o que poderia acontecer se os hackers controlassem um botnet composto por milhares de dispositivos de hackers silenciosamente consumidos na Internet, principalmente aqueles que consomem muita energia, como condicionadores de ar, aquecedores de água e aquecedores de ambiente. Em seguida, eles executaram uma série de simulações de software para ver quantos desses dispositivos um invasor precisaria sequestrar simultaneamente para interromper a estabilidade da rede elétrica.

Suas respostas apontam para um cenário perturbador, senão ainda não prático: em uma rede de energia grande o suficiente para atender uma área de um milhão de pessoas, uma população aproximadamente igual ao Canadá ou à Califórnia, os pesquisadores estimam que apenas um por cento de um aumento na demanda possa suficiente para derrubar a maior parte da grade. Esse aumento de demanda pode ser criado por uma rede de bots tão pequena quanto algumas dezenas de milhares de aquecedores de água elétricos hackeados ou algumas centenas de milhares de condicionadores de ar.

"As redes de energia são estáveis ​​desde que a oferta seja igual à demanda", diz Saleh Soltan, pesquisador do Departamento de Engenharia Elétrica de Princeton, que liderou o estudo. "Se você tem uma rede de bots muito grande de dispositivos de IoT, pode realmente manipular a demanda, alterando-a abruptamente, quando quiser."

O resultado desse desequilíbrio induzido por botnets, diz Soltan, pode ser um apagão em cascata. Quando a demanda em uma parte da rede aumenta rapidamente, ela pode sobrecarregar a corrente em determinadas linhas de energia, danificando-as ou mais provavelmente acionando dispositivos chamados relés de proteção, que desligam a energia quando sentem condições perigosas. Desligar essas linhas coloca mais carga nas demais, potencialmente levando a uma reação em cadeia.

“Menos linhas precisam transportar os mesmos fluxos e ficam sobrecarregadas; portanto, a próxima será desconectada e a próxima”, diz Soltan. "Na pior das hipóteses, a maioria ou todas elas estão desconectadas e você tem um blecaute na maior parte da sua rede".

Os engenheiros das concessionárias de energia elétrica, é claro, esperam prever flutuações na demanda de eletricidade diariamente. Eles planejam tudo, desde ondas de calor que previsivelmente causam picos no uso do ar-condicionado até o momento no final dos episódios da novela britânica, quando centenas de milhares de espectadores ligam suas chaleiras. Mas o estudo dos pesquisadores de Princeton sugere que os hackers podem fazer com que esses picos de demanda não sejam apenas imprevisíveis, mas cronometrados com códigos maliciosos.

Os pesquisadores não apontam para nenhuma vulnerabilidade em dispositivos domésticos específicos, nem sugerem como exatamente eles podem ser invadidos. Em vez disso, partem da premissa de que um grande número desses dispositivos pode ser comprometido e silenciosamente controlado por um hacker. É sem dúvida uma suposição realista, dadas as inúmeras vulnerabilidades que outros pesquisadores e hackers de segurança encontraram na internet. Uma palestra no Kaspersky Analyst Summit no 2016 descreveu falhas de segurança em ar condicionado isso poderia ser usado para desencadear o tipo de perturbação da grade descrita pelos pesquisadores de Princeton. E hackers mal-intencionados do mundo real comprometeram tudo, desde frigoríficos para tanques de peixes.

Dada essa suposição, os pesquisadores realizaram simulações no software de rede de energia MATPOWER e Power World para determinar que tipo de botnet poderia atrapalhar o tamanho da grade. Eles executaram a maioria de suas simulações em modelos da rede de energia polonesa do 2004 e 2008, um raro sistema elétrico do tamanho de um país cuja arquitetura é descrita em registros publicamente disponíveis. Eles descobriram que poderiam causar um apagão em cascata de 86 por cento das linhas de energia no modelo de rede 2008 na Polônia, com um aumento de apenas um por cento na demanda. Isso exigiria o equivalente a condicionadores de ar invadidos da 210,000 ou aquecedores de água elétricos da 42,000.

A noção de uma rede de botnet de coisas grandes o suficiente para desencadear um desses ataques não é inteiramente exagerada. Os pesquisadores de Princeton apontam para o botnet Mirai de dispositivos IoT hackeados da 600,000, incluindo câmeras de segurança e roteadores domésticos. Aquela horda de zumbis bateu provedor de DNS Dyn com um ataque sem precedentes de negação de serviço no final do 2016, derrubando uma ampla coleção de sites.

Hoje, provavelmente, é impossível construir uma botnet do mesmo tamanho com dispositivos de IoT que consomem mais energia, diz Ben Miller, ex-engenheiro de segurança cibernética da empresa de eletricidade Constellation Energy e agora diretor do centro de operações de ameaças da empresa de segurança industrial Dragos. Simplesmente não há dispositivos inteligentes de alta potência nas residências, diz ele, especialmente porque toda a rede de bots precisa estar dentro da área geográfica da rede elétrica alvo, não distribuída em todo o mundo como a rede de bota Mirai.

Leia a história completa aqui…

Junte-se à nossa lista de endereços!


avatar
Subscrever
Notificar a