Wanneer de cyberbeveiligingsindustrie waarschuwt voor de nachtmerrie van hackers die black-outs veroorzaken, omvat het scenario dat ze beschrijven doorgaans een eliteteam van hackers inbreken in het binnenste heiligdom van een energiebedrijf om schakelaars om te zetten. Maar een groep onderzoekers heeft zich voorgesteld hoe een volledig elektriciteitsnet zou kunnen worden uitgeschakeld door een minder gecentraliseerde en beschermde klasse doelen te hacken: airconditioners voor thuisgebruik en boilers. Veel van hen.
Op de Usenix Security-conferentie deze week zal een groep veiligheidsonderzoekers van Princeton University een onderzoek presenteren dat een weinig onderzochte vraag in elektriciteitsnet cybersecurity: Wat als hackers niet de aanbodzijde van het elektriciteitsnet aanvallen, maar de vraagzijde? In een reeks simulaties dachten de onderzoekers wat er zou kunnen gebeuren als hackers een botnet samengesteld uit duizenden stilletjes gehackte consumenten-internet van dingen, met name stroomverslindende apparaten zoals airconditioners, boilers en ruimteverwarmingstoestellen. Daarna voerden ze een reeks softwaresimulaties uit om te zien hoeveel van die apparaten een aanvaller tegelijkertijd zou moeten kapen om de stabiliteit van het elektriciteitsnet te verstoren.
Hun antwoorden wijzen op een verontrustend, zo niet nog praktisch scenario: in een elektriciteitsnetwerk dat groot genoeg is om een gebied van 38 miljoen mensen te bedienen - een bevolking ongeveer gelijk aan Canada of Californië - schatten de onderzoekers dat een vraag van slechts één procent voldoende zijn om het grootste deel van de grid neer te halen. Die toename van de vraag zou kunnen worden gecreëerd door een botnet zo klein als een paar tienduizenden gehackte elektrische boilers of een paar honderdduizend airconditioners.
"Elektriciteitsnetten zijn stabiel zolang het aanbod gelijk is aan de vraag", zegt Saleh Soltan, een onderzoeker bij de afdeling Elektrotechniek van Princeton, die het onderzoek leidde. "Als je een zeer groot botnet van IoT-apparaten hebt, kun je de vraag echt manipuleren en abrupt wijzigen, wanneer je maar wilt."
Het resultaat van die botnet-geïnduceerde onbalans zou volgens Soltan trapsgewijze black-outs kunnen zijn. Wanneer de vraag in een deel van het net snel toeneemt, kan het de stroom op bepaalde stroomkabels overbelasten, waardoor ze worden beschadigd of meer waarschijnlijke apparaten die beveiligingsrelais worden genoemd, die de stroom uitschakelen wanneer ze gevaarlijke omstandigheden detecteren. Het uitschakelen van die lijnen belast de overgebleven lijnen meer, wat mogelijk tot een kettingreactie kan leiden.
"Er hoeven minder lijnen dezelfde stromen te voeren en ze raken overbelast, dus dan wordt de volgende losgekoppeld en de volgende", zegt Soltan. "In het ergste geval zijn de meeste of alle apparaten losgekoppeld en heb je een black-out in het grootste deel van je net."
Ingenieurs van energiebedrijven voorspellen natuurlijk dagelijks schommelingen in de vraag naar elektriciteit. Ze zijn van plan van alles, van hittegolven die voorspelbaar pieken veroorzaken in het gebruik van airconditioners tot het moment aan het einde van Britse soapoperaties wanneer honderdduizenden kijkers schakelen allemaal hun theeketel in. Maar de studie van de Princeton-onderzoekers suggereert dat hackers die pieken in de vraag niet alleen onvoorspelbaar kunnen maken, maar ook op een kwaadwillige manier getimed.
De onderzoekers wijzen niet echt op kwetsbaarheden in specifieke huishoudelijke apparaten, of suggereren hoe ze precies gehackt kunnen worden. In plaats daarvan gaan ze uit van het uitgangspunt dat een groot aantal van die apparaten op de een of andere manier kan worden aangetast en geruisloos kan worden beheerd door een hacker. Dat is misschien wel een realistische aanname, gezien de talloze kwetsbaarheden die andere beveiligingsonderzoekers en hackers hebben gevonden in het internet of things. Een lezing op de Kaspersky Analyst Summit in 2016 beschreef beveiligingsfouten in airconditioners die kunnen worden gebruikt om het soort netwerkverstoring weg te werken dat de onderzoekers van Princeton beschrijven. En echte kwaadwillende hackers hebben alles aangetast koelkasten naar vissentanks.
Gegeven die veronderstelling, voerden de onderzoekers simulaties uit in de power grid-software MATPOWER en Power World om te bepalen welk soort botnet het grid van welke omvang zou kunnen verstoren. Ze gebruikten de meeste van hun simulaties op modellen van het Poolse elektriciteitsnet van 2004 en 2008, een zeldzaam landelijk elektrisch systeem waarvan de architectuur is beschreven in openbare archieven. Ze ontdekten dat ze een trapsgewijze black-out van 86 procent van de elektriciteitsleidingen in het 2008 Polen-netmodel konden veroorzaken met slechts een toename van de vraag met één procent. Dat zou het equivalent van 210,000 gehackte airconditioners of 42,000 elektrische boilers vereisen.
Het idee van een internet of things-botnet dat groot genoeg is om een van die aanvallen uit te voeren, is niet helemaal vergezocht. De Princeton-onderzoekers wijzen op het Mirai-botnet van 600,000 gehackte IoT-apparaten, waaronder beveiligingscamera's en thuisrouters. Die zombie-horde druk op DNS-provider Dyn met een ongekende denial of service-aanval eind 2016, waarbij een brede verzameling websites werd verwijderd.
Het bouwen van een botnet van dezelfde grootte uit meer energie-hongerige IoT-apparaten is vandaag waarschijnlijk onmogelijk, zegt Ben Miller, een voormalig cyberbeveiligingsingenieur bij elektriciteitsbedrijf Constellation Energy en nu directeur van het Threat Operations Center bij industrieel beveiligingsbedrijf Dragos. Er zijn simpelweg niet genoeg slimme apparaten met een hoog vermogen in huizen, zegt hij, vooral omdat het hele botnet zich binnen het geografische gebied van het beoogde elektriciteitsnet zou moeten bevinden, niet over de wereld verspreid zoals het Mirai-botnet.