Manu Pitkänen
11. toukokuuta, 2015 12:10
Tietoturvatutkijat Philipp Jovanovic ja Samuel Neves ovat löytäneet muun muassa etäluettavissa sähkömittareissa ja muissa älykkään sähköverkon hallintalaitteissa käytettävistä laitteista vakavan tietoturva-aukon, joka liittyy laitteiden käyttämään Open Smart Grid Protocol -protokollaan (OSGP).
OSGP on eurooppalaisen telealan standardisointijärjestö ETSI:n hyväksymä protokolla ja viimeisen parin vuoden aikana sitä hyödyntäviä laitteita on myyty maailmalla yli neljä miljoonaa kappaletta, jotka ovat nyt alttiita tutkijoiden löytämälle haavoittuvuudelle.
Tietoturvauhan ydin on OSGP-protokollan tavassa varmistaa sen vastaanottamien käskyjen aitous. Tutkijoiden mukaan OSGP:ssä ei ole hyödynnetty tunnettuja ja luotettavaksi osoitettuja algoritmeja, vaan niiden sijaan standardin suunnittelijat ovat luoneet oman algoritmin, joka tutkijoiden tarkastelussa osoittautui erittäin heikoksi. Protokollan yksityiset salausavaimet pystyttiin selvittämään vain muutaman kutsun avulla.
Lisää tutkijoiden löytämästä puutteesta voi lukea täältä.
OSGP:tä kehittävä ryhmittymä kertoi viime kuussa uudistavansa protokollan tietoturvamäärityksiä.