7月初的一个星期五下午,我很高兴地听到美国广播公司的时事广播节目点覆盖小型企业部门的网络安全。一个四分钟的广播广告是不可能全面的,但建立意识是一个缓慢的过程。
为了开始我希望将持续的关于太阳能世界安全性的讨论,我想重点介绍一些房主需要考虑的事情,如果他们的家庭太阳能系统连接到互联网。
的点片段可以听到在这里,其中,新南威尔士大学堪培拉网络的奈杰尔·菲尔(一位著名的专家)提出了几个有用的问题,作为网络安全的入门:
- 你的公司技术含量有多高?(或者,既然我在这里考虑的是家庭光伏,那么你的家庭设置有多高科技?)
- 数据保存在哪里?
- 谁有权访问这些数据?
- 他们为什么有权限?
太阳能设备的技术含量非常高,而且越来越高,这使得Phair的最后三个问题既与光伏业主有关,也与他心目中的小企业有关。
数据在哪里?
如果你还记得我们讨论过的各种设置在这里而且在这里如果没有内置到系统中,你很快就会看到“数据保存在哪里?”是“到处都是”;从安全的角度来看,这并不理想。
太阳能逆变器(或附在其上的数据记录器)收集和存储数据;它通过家庭宽带调制解调器连接到互联网;数据被发送到云服务(要么由供应商操作,要么由第三方服务操作),在那里存储数据并格式化以供显示。另一个系统访问该服务以获得数据的本地副本,用于决策(“PV系统中是否有足够的电量为电动汽车充电?”),还有另一个API访问移动应用程序的数据;等等。
现代太阳能发电系统在很多方面都暴露在互联网中。这意味着你需要考虑它的网络安全。
谁有权限?
对于此映像中的大多数或所有硬件和软件,用户名和密码是用于控制谁可以访问数据的默认设置。
至少,所有能上网的东西必须使用密码管理器(苹果的钥匙串或基于浏览器的服务,如LastPass)来保护自己,这样你就不必记住“密码”了。.
以宽带调制解调器为例:通常默认的管理员密码通常是“admin”。如果攻击者登录到调制解调器,他们就有了连接逆变器的路径,更糟糕的是,他们可以开始在控制系统周围刺探。
凡是有密码的地方,设置一个强密码,你也可以忽略古老的(现在已经被取代了)定期更改密码的警告。没有人会对一个适当随机的密码发起一次成功的“字典攻击”(使用快速计算机一个接一个地测试单词)。
对于你使用的任何智能手机应用程序都是一样的:给它设置一个强密码。
同样,如果您的经销商或太阳能安装商可以访问系统(例如,帮助查找故障),请确保他们也使用强密码。
网络钓鱼和勒索
奈杰尔·菲尔没有提到的是一种被称为勒索软件的流行攻击形式:犯罪分子侵入受害者的PC,对其加密,并要求所有者支付赎金,让他们恢复自己的系统。
从很大程度上来说,这可能是灾难性的——几年前,黑客发动了一次名为“NotPetya”的攻击,给全球航运巨头马士基造成了数亿美元的损失(我以前在英国it出版物the Register上写过这件事)在这里).
但这不仅仅是大生意:如果你的PV系统被勒索软件锁定,那将是毁灭性的。
勒索软件通常的攻击渠道是通过电子邮件进行“网络钓鱼”:你会收到一条看似合法的信息(“点击链接查看发票”),然后这个链接就会下载攻击你电脑的恶意软件。
第一个也是最明显的建议是我作为一名IT记者20年来反复听到的:不要点击电子邮件中的链接。由于网络钓鱼仍然有效,很明显人们仍然不听从这个建议;所以我建议像控制软件这样重要的东西,不要用同样的工具来检查电子邮件。
不过,仍然存在风险:有人可能会在他们的笔记本电脑上被欺骗,恶意软件能够跳到同一网络上的其他机器上——获得良好的病毒和恶意软件保护,并保持更新
如果你的电脑正在做重要的工作,比如帮助控制太阳能的流向,我强烈建议你获取有关恶意软件保护的建议,并遵循这些建议。
后援是你的朋友
在大多数情况下,我画得不好的图表中的设置不会生成大量数据,因此从您当地的办公用品商店购买一个简单的1tb便携式硬盘就可以轻松提供备份。如果你做沦为勒索软件的牺牲品,你不必惊慌,因为你可以从备份中恢复整个系统。
由于专业恶意软件攻击者也会尝试加密备份,因此您需要注意一点:在不使用备份驱动器时拔掉它。
加密适用于所有人
本文关于使用加密保护信息的最后几点想法。
加密对于任何在互联网上传输的重要数据都是绝对必须的。一个很好的例子是,如果你正在使用智能手机应用程序检查你的太阳能系统,并且你连接到公共Wi-Fi热点。如果你的数据没有加密,连接到同一个热点的人很容易看到你的通信,甚至可能发现你的用户名和密码。
好消息是,您将使用的大多数服务在默认情况下都会加密它们的数据。对您来说,重要的事情是检查服务是否安全,在Web浏览器中,这很简单——只需查看URL。
例如,这篇文章从SolarQuotes通过加密通道传送给您。URL中的HTTPS://意味着它使用的是“HTTP安全”——服务器在将数据发送给你之前对其进行加密,而你的浏览器则对其进行解密。
你的调制解调器有一个用于配置的网页——在你登录后使用HTTPS是至关重要的。同样,确保您连接的任何云服务都使用HTTPS。
在这篇文章中,我关注的是终端用户关注的问题——但仍然只是触及了表面!当我在未来重新审视太阳能系统安全时,我想从零售商和经销商的角度来看待它——所以我欢迎任何人提出他们想要回答的问题。
关于Richard Chirgwin
RSS -文章
数据安全正在成为一个应该考虑的问题,尤其是随着华为的故事传出去。Enphase Energy使用亚马逊网络服务云。不确定以色列的SolarEdge, APS, Hoymiles, ABB, Fronius, SMA…如果能有一个服务器数据保存位置的快速列表就太好了。
幸运的是,对于Enphase来说,他们的通信网关并不是太阳能解决方案工作所必需的。我经常把它关掉,当我想对太阳系做一个快速检查时,我就会打开它。然而,随着存储的出现,解决方案需要Envoy,但仍然可能只需要云来访问监控数据。
黑客是否有可能关闭某一特定公司的所有逆变器?谁知道呢?
. .或者可能只是因为关闭逆变器而造成麻烦,或者在预期的高需求时期将其峰值输出降低几个百分点。
智能连接逆变器时代的工业间谍活动。
Mesg到管理员。我以“Stewart”用户在这里发帖。通常当我发帖时,它会说“慢下来,你发帖太快了”(或类似的话)。然后,如果我再尝试一次,它会说“你已经说过了”,并返回到页面顶部,没有帖子正在等待审核消息。非常令人沮丧。
一遍又一遍地:- > KISS!
....永远记住:你不能在老大哥的游戏中打败他。
有趣的是这篇文章今天出来了-我在我爸爸的地方,寻找一个wifi网络,对了,弹出了一些ZeverSolar逆变器,任何黑客都可以尝试破解。爸爸也有一个太阳能系统,但它使用的是太阳能分析,不使用wifi,而是4G。因此,他的网络是隐形的。
首先,制造商应该默认关闭其产品的任何网络活动。比如我新安装的中国制造的SBx SMA。0frantically tried calling home to germany when wifi was present. luckily I blocked it in my router.IOT they call it. I(DI)OT is a better name.
好吧,有一个简单的解决方案(至少在我看来),那就是选择一个太阳能逆变器,它可以在本地收集数据(比如我的Fronius Sumo),然后关闭它的选项,将数据发送到他们的云服务器。为了增加你的想法,阻止它访问网络,你就完成了。
您如何查看您的数据?使用本地“休息”服务调用访问逆变器,并在家庭助手中创建漂亮的图形。获胜。
我已经安装了一个华为逆变器(是的,就是那些家伙),原来他们宣传的“wifi监控”功能是一个数据记录器,硬编码到他们自己的AWS云服务上,我可以通过共享租赁门户在我的手机应用程序上访问它。当然,销售代表没有提到这些!当我向华为询问如何让我自己的软件托管在我自己的网络上时,坦白地说,我不相信他们,答案以软件报价的形式出现。不用说,这对我来说是否定的。现在我正在探索使用我自己的RS485物联网的选项,运行我自己的源代码,从逆变器收集数据。无论如何,我都可以写出更好看的仪表盘和报告。然而,问题是,他们不喜欢发布他们的RS485协议规范,他们也不真正符合标准。项目状态:僵局,待续。
SolarX完全没有安全性。逆变器无需密码即可接入。真是个笑话。
我发现你建议登录后使用https非常有趣。所以在不安全的连接中输入您的凭证?
显然,你们没有人听说过CA规则21,它将允许公用事业公司控制你的光伏系统。
作者不完全理解的是PV系统运行不需要监控。即使给电动汽车充电,也不需要连接任何PC。没有通信将电力“转移”到电动汽车。它被物理学所改变。
监视数据对于大多数已安装的系统来说只是单向通信。能够访问数据或数据流并不意味着对PV系统的控制。
现在,如果您有一个具有PV使用控制的智能系统,您可以在PV逆变器和电动汽车充电器之间进行一些通信,但它仍然不能从外部访问,也不能使用PC。
超过99%的住宅安装系统是安全的远程黑客。所有符合CA规则21阶段3要求的新系统都面临远程黑客攻击的风险,在10年内,这可能是一个相当大的数字,会对电网造成冲击。也许吧。
伟大的回复。“作者没有完全理解的是,光伏系统运行并不需要监控。即使给电动汽车充电,也不需要连接任何PC。没有通信将电力“转移”到电动汽车。它被物理学所改变。“……它来了。”IQ8集成将能够将能量转移到最需要能量的阶段,因此智能将变得更加复杂。
Enphase的太阳能光伏系统现在不需要监控,但在混合物中添加Encharge存储,Enphase的集成将需要一个通信网关,也就是Envoy。使用我的M215/ m250系列系统,我在很长一段时间内关闭了我的Envoy,然后打开它,看看每个微的运行情况,以及我每天、每周、每月、每年产生的能量。对我来说,监控对于确定面板/微逆变器的问题至关重要,然后能够轻松地自己修复它。
为芬恩,罗纳德和理查德干杯!你们在那个女人发光男人掠夺的国度!一直想去那里……
"当备份盘不使用时拔掉它"
- - - - - -
在拔下驱动器之前卸载驱动器可能是个好主意。
作为一般规则,在“云”上存储任何个人信息,或者依赖于业务服务(例如云服务)。会计、税务、发票处理和债务人报表等)通过云为您的业务提供;在我看来,这近乎疯狂。
以下链接总结了9个主要的安全问题:
https://www.skyhighnetworks.com/cloud-security-blog/9-cloud-computing-security-risks-every-company-faces/
一种更间接的情况是,一家公司为你的企业提供会计服务,并将你的数据与所有其他客户的数据一起存储在“云”服务器上。这也同样有风险。
基本上,“云”对黑客来说是一个巨大的蜜罐。他们不再需要单独入侵数亿个网站,只需要选择几百个左右基于云的网站并专注于它们,而且它们都位于一个地方。
网络安全是一个广阔的领域,有许多子专业,其中只有两个是围绕个人“隐私”和“身份盗窃”的问题。就个人而言,如果你被“黑”了,你可以采取一些简单的预防措施,将你遭受的损失降至最低。
问自己一个很好的开始问题是:如果有人偷了我的笔记本电脑,我的潜在后果是什么?
更糟糕的是,他们还拿走了桌子抽屉里的笔记本,里面有你仔细写下的所有密码。
有一些有用的免费工具,人们可以使用来“保护”自己在某种万博网页版登录网址程度上,一个起点是电子自由网站:https://www.eff.org/
剩下的大部分是个人的责任——如果你决定继续使用“明显的”密码(尽管这样做有众所周知的局限性),....如果你懒得阅读路由器的使用说明书,设置新密码等等,那么,现在你不会得到很多同情了。
据我最近了解到,大约50%的澳大利亚人现在使用加密的VPN服务来提供互联网服务。然而,大约10%的互联网用户实际上根本不使用任何密码在他们的家庭设备上,据推测,他们最有可能是非vpn用户。(从技术上讲,除了被称为“空白”的密码外,是有密码的)
世界也发生了一些变化。如今的黑客攻击更加“间接”——起点往往是连接到计算机的任何外围设备,因为这些设备的安全性通常很弱,而且他们(在某种意义上)是你主系统的“用户”,可以访问它。
以下是2017年一篇关于“智能家居设备”(如亚马逊Alexa和谷歌home)的文章的链接,这篇文章在今天看来仍然非常重要:https://nakedsecurity.sophos.com/2017/01/27/data-privacy-day-know-the-risks-of-amazon-alexa-and-google-home/
使用路由器上的端口将你的设备用网线连接起来是个好主意。
嗨,你们都知道很多关于网络黑客的风险,我想一定有一个真正的威胁,对这个话题如此了解。我们在2018年6月安装了一个住宅太阳能装置,包括18块电池板和连接到LG电池单元的热水,我们通过家庭PC在线监控我们的产量/消耗。在这个阶段,当我们上网监控这些信息时,我们需要小心吗?
谢谢,刚刚学习网络安全,所以有点不知所措……
我通过我在80年代末创立的IT公司设计了2000多个广域网,直到几年前我退休。我们在90年代中期的安全辩论中失败了,因为当权者“看不到这一点”。所以现在我可以远程控制我朋友的吉普车开到最近的沟里……
此外,wi-fi / 4g / 5g /无线任何东西如今都被过度使用,远远超过了任何健康点——而且它们并不真正安全。示例-我的微型逆变器使用电缆传输电力(显然),那么为什么地球上唯一的监测应该通过无线完成?伙计们,电缆已经在那里了…不要让我开始“无线视频监控摄像头”,它可能也由市电供电。加上“智能电视”和“亚马逊/谷歌家庭”设备,语音识别连接到互联网-你一定是在开玩笑,听说过隐私吗?
我现在家里有两个网络——一个用于我所有重要的物品,另一个用于通过NBN连接到互联网——比如我的固定电话和这台电脑来收发邮件/浏览。这两个人永远不会相遇。