Het Nederlandse beveiligingsbedrijf ITsec uit Haarlem heeft een reeks aan kwetsbaarheden gevonden in omvormers van het merk SMA. Dit meldt het Nederlandse dagblad de Volkskrant op basis van onderzoek. Deze omvormers maken de stroom van zonnepanelen geschikt voor het elektriciteitsnetwerk. SMA is marktleider en als hackers de controle van alle SMA-omvormers weten over te nemen, dan kan het gehele Europese elektriciteitsnetwerk in onbalans raken en kan stroom in grote delen van Europa uitvallen.
Willem Westerhof van ITsec deed zijn bevindingen al eind 2016 en lichtte hierover SMA, netbeheerder Tennet en het Nationaal Cyber Security Centrum (NCSC) in. Aan de Volkskrant laat hij weten dat SMA sindsdien nauwelijks passende maatregelen heeft genomen om het lek te dichten, zodat hij nu de informatie naar buiten brengt.
Wachtwoordfouten
Het gevaar is volgens Westerhof meerledig. De apparaten zijn zo slecht beveiligd dat ze op afstand over te nemen zijn. Zo wordt onder andere de bijna traditionele fout gemaakt dat kopers van omvormers niet wordt gevraagd om het standaardwachtwoord aan te passen. Deze staat dus vaak nog op ‘0000’. Daarnaast zijn de apparaten niet bestand tegen brute force-aanvallen. Door het afvuren van een oneindige reeks wachtwoorden op de omvormer wordt hierbij het juiste wachtwoord gevonden. Tot slot werkt SMA met geheime superwachtwoorden. Als een hacker er daar eentje van weet te bemachtigen, kan hij in één keer veel omvormers overnemen.
De omvormers van SMA leveren in de particuliere markt al 17 gigawatt aan zonne-energie op. Als kwaadwillenden een dergelijke hoeveelheid stroom weten te manipuleren, dan komt het gehele Europese elektriciteitsnetwerk in gevaar. Door onbalans worden namelijk delen van het netwerk uitgeschakeld om dit op te vangen. Op een zonnige dag zouden zelfs miljoenen huishoudens zonder stroom kunnen komen te zitten.
Zero day exploits
De Volkskrant heeft meerdere Nederlandse specialisten gevraagd naar het lek en iedereen erkent het gevaar. Echter niemand kan aangeven wanneer het gevaar echt concreet wordt. De SMA is volgens de Volkskrant niet echt in paniek en laat aan het dagblad weten dat hun omvormers niet slecht beveiligd zijn en dat de verantwoordelijkheid van het wachtwoord bij de gebruikers ligt. Wel gaat SMA, na het naar buiten treden van Westerhof, de zero day exploits op de website melden. Dit betekent dat SMA de lekken als nieuw gevonden kwetsbaarheden definieert. Westerhof heeft overigens alleen de omvormers van SMA onderzocht en hij gaat er van uit dat omvormers van andere merken met dezelfde problemen zullen kampen.
