(IT-) Sicherheit im PV-Bereich

Nachdem ich ja doch tagtäglich mit den verschiedensten Datenloggern in Kontakt komme, fälle ich jetzt mal ein Urteil über das, was ich so sehe jeden Tag sehe: Um Gottes Willen!

Hinweis: Diesen Artikel veröffentliche ich, nicht mit der Absicht jemandem zu Schaden. Ebenfalls liegt es mir fern, der PV ganz allgemein schaden zu wollen. Jedoch denke ich, dass nur der Schmerz, den die Hersteller von Datenloggern durch permanente Vorfälle verspüren müssen, Ihnen Beine machen kann, gravierende Missstände abzustellen. Deswegen meine Aufforderung an die Welt, jeden Netzwerkfähigen Wechselrichter oder Datenlogger so lange zu beackern, bis dies durch entsprechend sichere Firmware und vor allem, durch die Propagierung des richtigen Einsatzes von IT-Technologie der Hersteller ggü. den Fachhandwerkern ändert.

FAIL 1: Das Standardpasswort

Bei jedem halbwegs ernstzunehmendem Router wird beim ersten Aufruf der Weboberfläche verlangt, dass man ein Kennwort setzt. Bei jedem mir bekanntem Datenlogger sind Standardkennwörter gesetzt, oder alle Kennwörter abgeschaltet und optional aktivierbar.

Meine Forderung an die Hersteller von PV-Datenlogger:
Macht es den Routern nach und verlangt beim ersten Start dass ein Kennwort (ohne Vorgabe) gesetzt wird!
Ich kenne ernsthaft nur 3 von vielen Installateuren, die das Standard-Kennwort immer verdrehen.

Fail 2: Das config-file

Bei einigen Geräten kann mittels FTP auf gespeicherte Werte aber auch auf das config-file zugegriffen werden. Darin sind zumeist auch die verwendeten Passwörter untergebracht. Manchmal verschlüsselt, hier und da auch Klartext. Die Verschlüsselung besteht zum Beispiel bei Solarlog aus einem zweistelligen hexadezimalen Startwert für jedes Zeichen, dass sich dann mit jeder Stelle definiert ändert. Auf diesem Weg kann man zum Beispiel alle selbst gehosteten Anlagenüberwachungen von Solarlog und alle im alten Portal, dem solarlog-home.de -Portal, gehosteten Anlagenüberwachungen deaktivieren, zum Beispiel um ein oder zwei Tage Zeit zu gewinnen, um Module und Wechselrichter zu klauen (sonst würde ja der Datenlogger melden, dass Leistung fehlt)

Alternativ lassen sich ja auch die FTP-Accounts öffnen, da die kompletten Verbindungseinstellungen drin stehen und zu visualisierungszwecken die Ertragsdaten für den http-Zugriff geöffnet wird. Damit kann man dann dort z.Bsp. über fremde Server Filesharing betreiben ohne selbst Ärger zu bekommen. Mit den SMTP Informationen kann man weitere Emailverteiler in sein Spamnetzwerk einsetzen, zum Teil zertifizierte Server, wie die von 1&1 oder anderer Internetprovider.
Und da oft die Anmeldung von POP und SMTP gleich ist, kann man hier auch noch ganz andere Sachen im Namen anderer Personen tun, auf die ich hier jetzt nicht weiter eingehen möchte…

Fail 3: Schulung der Installateure

Wie erklärt man einem „Gleichstromelektriker“, Unterschiede in der Sicherheit der Datenkommunikation? Bei SMA, Sunways, SolarLog und wie sie alle heißen, stellt sich diese Frage erst gar nicht! Hauptsache es geht am Ende. Deswegen bleibt man auch schön bei den entsprechenden Schulungen an der Oberfläche des IPV4-Protokolls und verwendet dafür wesentlich mehr Zeit darauf, mit welchen Argumenten ein Kunde zum Einbau eines Datenloggers überredet werden kann.
Es wird stur trainiert, wie man dem Datenlogger eine feste lokale IP-Adresse vergibt und wie man diese auswählt. Das mag ja bei einer Netzwerkumgebung aus DSL-Router + 1 PC in 90 % der Fälle so hinhaun. Wenn man dieses Schulungskonzept in den Schulungen mal etwas hinterfragt, bekommt man erklärt, es führen viele Wege zum Ziel und man muss nicht immer den schwierigsten nehmen. Außerdem kann man das ja gerne so machen. Also werden Installateure stehts an der Oberfläche der IT gehalten. Bloß, wenn der Installateur auf einem Bauernhof seine Anlage ins Netzwerk anschließt, und die Futteranlage wegen eines IP-Konflikts nicht mehr per SAP nachbestellen kann oder die Melkanlagensteuerung nicht mehr mit dem Kühlaggregat kommuniziert, so wird der Installateur dafür haften müssen. Und dort wo solche Anlagen sind, gehts auch nicht mehr um kleinere Beträge.

Als letztes muss man natürlich erwähnen, dass auch blind Port-Forwarding trainiert wird. „Was soll denn schon passieren???“ Wenn ein Installateur in Teil 1 der Schulung erfährt „DHCP geht immer“, und in Teil 2 lernt dass er die IP Adresse vom Datenlogger nachschaut und dann das wie gesteuert einträgt, dann kann man nur grinsen, lang läufts meistens nicht…
Das ist aber nicht das Problem. Denn die meisten über DynDNS erreichbaren Datenlogger haben immer noch die Standardpasswörter. Mit denen oder zum Teil ganz ohne Passwortschutz kann man nun einen Firmwareupdate machen.

Also liebe Welt der digitalen Sitzblockierer, nehmt euch die Firmware von den Seiten der Hersteller, dekompiliert sie, packt LOIC dazu, und grast mit einem Skript nach  Weboberflächen von dem gewünschten Datenloggern bei DYNDNS… Thema fertig, der nächste Gegenangriff nach einer Attacke auf Wikileaks ist dann solar-powered und einige hunderttausend stark! Zudem demonstrieren dann Datenlogger und Wechselrichter, die können dann auch gerne von der Staatsanwaltschaft wegen Computersonstwas gesucht werden…
(Die meisten Logger haben einen ARM oder vergleichbaren Prozessor, deswegen nicht zu aufwändig machen, was man dazupackt, die Firmware gibt es meistens zum runterladen auf den Herstellerseiten…)

Fail 4: Was ganz spezielles…

Alle Anlagen mit einer SMA Webbox und einem Solarlog 1000, DSL-Anschluss und Port-Forward lassen sich in einem Tag von ein bis zwei Rechnern aus abschalten! Es muss nur ein Befehl abgesetzt werden, Die Antwort ist egal. Eine Kombination aus IP-Adressräumen der gängigen DSL-Hoster, Portscanner und Befehlsabsetzung könnte schon morgen rund 1-3 GWp aus dem Photovoltaiknetz trennen. Eine flächendeckende Wiederherstellung des Betriebs würde, sobald es bemerkt würde, mindestens 2 Wochen dauern. Und oft läuft die Anlage ja so vor sich hin, und niemand schaut sie sich an…
(PS: Ich werds nicht tun, aber zu wissen wie ist der erste Schritt um davor zu schützen, es betrifft den Port der Weboberfläche, Heruntergeregelt wird mit Befehlen, die zur Steuerung der Leistung bei Anlagen über 100 kWp eingesetzt wird)

Wer Fachinstallateur ist, und sich keine Gedanken darüber machen möchte:
Ich habe mich mit der speziellen Kombination Photovoltaik / IT mit einem Kompanion am Jahresanfang eine Unternehmung gegründet. Wir beraten Sie gerne oder übernehmen die Einrichtung + Installation der Datentechnik als Ihr Sub.
Falls Interesse besteht, meine Email: andreas.witte ÄT data-solar.de
(Zu ner HP bin ich auch noch nicht gekommen, sonst hät ichs da veröffentlicht…)

Advertisements
Dieser Beitrag wurde unter Energie abgelegt und mit , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s