更糟的是,在与家庭设备通信的时候,智能电表根本不验证设备可信度,就交出了关键的网络密钥。这就等于给罪犯大开方便之门,让他们可以先通过伪装家用设备来盗取密钥,再冒充智能电表。
“你可以在街对面与屋里的任何设备通信并取得控制权,解锁开门,造成用电系统短路等等,想干什么干什么。一个简单的内存区段错误就足以让电表崩溃,造成整栋房子断电。”
其实,只需应用恰当的加密,并进行网络分段而不是弄个巨大的LAN,这些安全漏洞就能被清除掉的。
2009年,波多黎各的账单小偷就利用了相似的安全漏洞偷到了4亿美元。鲁宾称,智能电表与内部智能家居设备的通信能力,是我们要处理的当务之急。而当智能设备不断扩张,并形成全市范围的智能设备网络时,情况会糟糕得多。
“整个电网、家庭、城市,以及其间包含的所有东西,都将处于供电公司的控制之下,这确实有点可怖。”
智能电表市场约40%被Itron、LandisandGyr和Elster三家公司占据。欧盟想要投入450亿欧元,将超过70%的电表更换成智能版本。全球已经有约1亿个电表被安装。
鲁宾预测,电表攻击将会迎来暴增,并呼吁公共事业公司“负起责任”。他称自己将会发布一款开源Fuzzing测试工具,帮助安全研究人员测试他们的电表。“在被别人控制之前收回你家的权限吧!”
