Vele duizenden omvormers van zonnepanelen bevatten kwetsbaarheden die te misbruiken zijn om de panelen op afstand uit te schakelen. Dat beweert een beveiligingsonderzoeker. Het ministerie van Economische Zaken onderzoekt de claims.
Onderzoeker Willem Westerhof van het Haarlemse beveiligingsbedrijf ITsec onderzocht omvormers van marktleider SMA en ontdekte een reeks beveiligingsproblemen. Onder andere wijst hij tegenover De Volkskrant op het risico van het gebruik van standaard wachtwoorden.
In een document van SMA staat dat het wachtwoord voor 'gebruikers' standaard op '0000' staat en voor 'installateurs' is dat '1111'. Gebruikers kunnen informatie uitlezen en basisinstellingen aanpassen, installateurs kunnen ook installatieparameters wijzigen. Volgens Westerhof wordt de gebruiker niet gevraagd zijn wachtwoord aan te passen. In het installatiedocument staan wel aanbevelingen over het wijzigen van wachtwoorden.
Volgens Westerhof kunnen kwaadwillenden hoe dan een bruteforce-aanval uitvoeren om achter het wachtwoord te komen; de omvormers zouden hier niet tegen beschermd zijn. Verder spreekt hij over een 'superwachtwoord' waarmee toegang tot elk apparaat verkregen zou kunnen worden. Mogelijk doelt hij op de SMA Grid Guard-code die toegang geeft tot het verdeelstation in de omvormer en die elektriciens op verzoek kunnen ontvangen.
Volgens de onderzoeker is het mogelijk malware te installeren en zo in een klap grote hoeveelheden omvormers uit te schakelen. Dit zou in theorie een grote impact op de stabiliteit van het elektriciteitsnetwerk kunnen hebben. Hij heeft de kwetsbaarheden eind vorig jaar met SMA besproken, maar die zouden sindsdien nauwelijks iets gedaan hebben.
Het ministerie van Economische Zaken is in overleg met Tennet en het Nationaal Cyber Security Centrum over de bevindingen. Het ministerie stelt 'maatregelen te nemen als blijkt dat dit noodzakelijk is'. SMA spreekt van 'enkele zeer geïsoleerde producten' en het uitvoeren van 'technische correcties'. Het bedrijf heeft de kwetsbaarheden gemeld bij de Common Vulnerabilities and Exposures Authority, die deze vrijdag publiceert.
Vorig jaar waarschuwde Westerhof SMA, Tennet en het Nationaal Cyber Security Centrum van de overheid. Ruim een half jaar later zijn de problemen nog steeds aanwezig, aldus de onderzoeker, die daarom besloten heeft zijn onderzoek openbaar te maken. Westerhof zal zijn bevindingen aanstaande maandag tijdens de SHA2017-hackerconferentie in Zeewolde presenteren. In een reactie aan de Volkskrant ontkent SMA dat de omvormers niet goed beveiligd zijn. Volgens de fabrikant gaat het om een aantal 'zeer geïsoleerde producten' en worden er 'technische correcties' uitgevoerd. Tijdens de afgelopen Black Hat-conferentie lieten Amerikaanse onderzoekers zien hoe ze windmolenparken kunnen hacken.
Bron: Tweaker.net & Security.nl