Jika Kamu melihat stasiun pengisian daya mobil muncul di daerah Kamu, selamat! Kamu adalah bagian dari jaringan sistem yang berkembang dengan keamanan yang sangat buruk sehingga suatu hari nanti dapat digunakan untuk mengacaukan seluruh jaringan listrik, dan yang mengandung masalah keamanan yang cukup untuk menjadi masalah hari ini.
Itulah yang disimpulkan oleh para ilmuwan di Laboratorium Nasional Sandia di Albuquerque, New Mexico empat tahun melihat eksploitasi yang didemonstrasikan dan kerentanan yang diungkapkan secara publik dalam peralatan pasokan kendaraan listrik (EVSE), serta melakukan pengujian mereka sendiri pada 10 jenis pengisi daya EV dengan rekan kerja dari Idaho National Lab.
“Bisakah jaringan listrik dipengaruhi oleh peralatan pengisian daya kendaraan listrik? Tentu saja,” kata Brian Wright dari Sandia, pakar keamanan dunia maya yang mengerjakan proyek tersebut. “Ini berada dalam ranah apa yang bisa dan akan dilakukan orang jahat dalam 10 hingga 15 tahun ke depan. Itulah mengapa kita harus maju dalam menyelesaikan masalah ini,” kata Wright.
Hei, saya mengenali kerentanan itu!
Sementara itu, bagaimanapun, ada banyak serangan yang bisa digunakan penjahat saat ini, dan para peneliti sudah melakukannya. Sayangnya itu adalah masalah lama yang sama yang telah kita lihat selama bertahun-tahun di sektor teknologi lainnya.
“Ada beberapa demonstrasi mencuri kredensial atau memengaruhi sesi pengisian daya melalui koneksi EV-ke-EVSE,” kata para peneliti di kertas mereka. Dalam satu kasus, peneliti berhasil mengendus dan menghentikan pengisian daya menggunakan radio yang ditentukan perangkat lunak dengan daya kurang dari 1W dari jarak 47 meter “di ketujuh kendaraan dan 18 EVSE yang mereka selidiki”.
Kloning RFID saat ini dimungkinkan dalam infrastruktur EVSE generasi awal, yang dapat menyebabkan pencuri ditagih menggunakan kartu debit atau kredit orang lain. Beberapa aplikasi iOS dan Android yang digunakan untuk mengelola sesi pengisian daya “juga dapat dengan mudah direkayasa ulang untuk mengungkap kelemahan dalam manajemen EVSE dan antarmuka cloud vendor,” kata para peneliti.
Antarmuka internet EVSE memiliki masalah yang mudah ditebak: Mereka sering menggunakan layanan web tidak aman yang dapat diakses dari smartphone atau komputer lokal, sedangkan pengisi daya dari beberapa produsen dapat ditemukan di internet publik. Kerentanan dalam layanan web yang digunakan oleh pengisi daya dapat memungkinkan penyerang mengubah data konfigurasi atau mendorong pembaruan firmware berbahaya, menurut laporan tersebut.
Komunikasi antara pengisi daya dan layanan cloud juga mengandung sejumlah masalah, seperti kurangnya metode autentikasi yang tepat, tidak membersihkan bidang masukan, dan bahkan terbuka untuk serangan rantai pasokan karena produsen mempertahankan akses pintu belakang jarak jauh.
Adapun kerentanan perangkat keras, termasuk sejumlah kernel Linux usang yang menjalankan layanan berlebihan yang dapat diakses melalui port USB terbuka yang memungkinkan penyerang mengunggah firmware berbahaya. Beberapa pengisi daya bahkan ditemukan beroperasi dari Raspberry Pis tanpa bootloader yang aman.
Oh, dan karena kita akan menjalankan keamanan penuh gagal, tentu saja tim menemukan banyak kredensial hard-coded, kata sandi yang di-hash tanpa garam, dan kriptografi no-nos lainnya.
Ini tidak bagus
Apa yang telah kita pelajari? Bahwa industri pengisian EV tampaknya telah memperlakukan keamanan siber dengan cara yang sama seperti perusahaan di belakang Internet of Things: Sebagai renungan.
Jay Johnson, insinyur kelistrikan Sandia di belakang proyek tersebut, mengatakan bahwa dia berharap temuan timnya akan menjadi dasar dalam memahami keadaan industri saat ini, yang sangat penting untuk memperbaikinya.
“Dengan melakukan survei kerentanan charger kendaraan listrik ini, kami dapat memprioritaskan rekomendasi kepada pembuat kebijakan dan memberi tahu mereka tentang peningkatan keamanan apa yang dibutuhkan oleh industri,” jelasnya.
“Pemerintah dapat mengatakan ‘produksi pengisi daya kendaraan listrik yang aman’, tetapi perusahaan yang berorientasi pada anggaran tidak selalu memilih implementasi yang paling aman di dunia maya. Sebaliknya, pemerintah dapat secara langsung mendukung industri dengan memberikan perbaikan, saran, standar, dan praktik terbaik,” Wright ditambahkan.
Tidak mengherankan di sini, tetapi Sandia merekomendasikan beberapa kebersihan dunia maya dasar, seperti menghapus layanan yang tidak diperlukan, memperbarui perangkat lunak, mengunci port fisik, dan menggunakan enkripsi yang tepat.
Tim juga menyarankan penerapan metode otentikasi pemilik EV yang lebih baik, seperti infrastruktur kunci publik plug-and-charge, serta sistem deteksi intrusi jaringan, pembaruan firmware bertanda kode, dan kebiasaan lain yang dicakupnya dalam industri pengisian daya. praktik terbaik (PDF) saran.
Tim Johnson belum selesai, dan telah menerima dana lanjutan untuk mengatasi beberapa celah yang ditemukannya di samping laboratorium Idaho dan Pacific Northwest National. Bersama-sama, ketiganya bekerja untuk mengembangkan sistem pengisi daya EV yang menggunakan metode baru untuk melindungi infrastruktur publik dari orang-orang yang tidak berguna.
Tetapi sampai pemerintah turun tangan dengan beberapa peraturan, Johnson mengatakan keadaan tidak akan membaik.
Banyak produsen EVSE, kata Johnson Pendaftaran, “sangat berusaha untuk memenuhi permintaan.” Sementara peraturan telah dibahas, Johnson mengatakan tidak mungkin mereka akan muncul setidaknya selama satu tahun. Perhatikan bahwa ini berlaku di AS; Inggris sudah peraturan yang diusulkan pada pengisi daya EV yang akan berlaku tahun depan.
Sementara beberapa vendor telah meningkatkan keamanan mereka, Johnson mengatakan perusahaan-perusahaan itu telah menemukan diri mereka pada kerugian pasar terhadap mereka yang mendukung produk yang terburu-buru ke pasar. “Sampai ada peraturan untuk menyamakan kedudukan itu, tren pasar mendukung sistem yang tidak aman,” kata Johnson. ®