hadicanim
Aktif Üye
Hoymiles artık tepki gösterdi ve boşlukları doldurdu.
Reklamcılık
Çinli fotovoltaik üreticisi Hoymiles’in bulut hizmetindeki ciddi güvenlik açıkları, birkaç yüz bin mikro invertörü tehdit ediyor. “S-Miles Cloud” adı verilen hizmet, üreticinin müşterilerine verim takibi olanağı sunuyor ve küçük fotovoltaik sistemlerin ne yaptığını gösteriyor. Bunun için internete bağlı bir radyo köprüsü olarak adlandırılan, kısaca DTU veya entegre WLAN’a sahip daha yeni bir Hoymiles invertör içeren bir “Veri Aktarım Birimi” gerekir.
Güvenlik araştırmacısı olduğunu iddia eden isimsiz bir ihbarcı, geçen hafta Pazar günü soruşturma posta kutusu aracılığıyla C’t ile temasa geçti ve boşlukların ayrıntılı açıklamalarını içeren 25 sayfalık bir belge yükledi. Editör tavsiyesini kendi donanımımızdaki testlerle doğrulayabildik.
Görünüşe göre saldırı, S-Miles bulutunda kayıtlı tüm DTU’lara ve invertörlere erişimin kilidini açıyor. Bu doğrulanamıyor ancak Hoymiles tüm cihazlar için aynı iki uygulamayı sunduğundan yalnızca bir hizmetin kullanılması muhtemeldir. Ayrıca bir sorgu, her biri en az bir invertöre sahip yaklaşık 230.000 sistemin şu anda hizmete bağlı olduğunu gösterdi.
İnverteri hiç okumayan veya Ahoy, OpenDTU gibi alternatif köprüleri kullanan kullanıcılar etkilenmez.
Pek çok araştırmacı araştırma yalnızca muhbirlerden alınan isimsiz bilgiler sayesinde mümkün olabiliyor.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Lütfen anonim ve güvenli posta kutumuzu kullanın.
Kısa devre tehlikesi
Bulut analizi sırasında güvenlik araştırmacısı, invertörleri altyapıya zarar verecek ve invertörü yok edecek şekilde manipüle edebileceği birkaç boşluk keşfetti. En kötü durumda hayati ve uzuv riski vardır.
Diğer şeylerin yanı sıra NA korumasını ve ada korumasını devre dışı bırakmak mümkün olacaktır. NA koruması, gerilim ve frekans sınır değerlerinin aşılması veya altına düşülmesi durumunda şebeke ve invertörün bağlantısının kesilmesini sağlar. Ada koruması, şebeke bağlantısının kesilmesi durumunda invertörü kapatır. Bu aynı zamanda koruyucu kontak fişi (Schuko) aracılığıyla bağlanan sistemlerin, fişten çekildiğinde güvenlik riski oluşturmasını da önler; Fonksiyonu devre dışı bırakırsanız açık kontaklar nedeniyle hayati tehlike söz konusudur.
Boşlukları uygun bir kombinasyonla kullanırsanız, cihazların alternatif voltaj üretimini bile değiştirebilirsiniz. Tüm transistörleri kalıcı olarak açmak da mümkündür. Şebekede bu durum meydana gelirse, AC voltajı tarafında ortaya çıkan kısa devre en azından invertörün sigortasını (hatta transistörlerini de) tahrip edecektir. İhbarcı bunun aslında düşük voltajla çalıştığını doğruladı.
Üreticiler şu ana kadar sessiz kaldı
Salı günü gönderdiğimiz bir e-postada Çinli üreticiden yorum yapmasını istedik. Şirketin çeşitli departmanlarıyla temasa geçmemize ve bir şirket teknisyenine ve Avrupa Kıdemli Satış Müdürüne doğrudan yazmamıza rağmen ne bir alındı onayı aldık ne de herhangi bir iletişim kuruldu. Geçmişte Hoymiles ile iletişim kurmakta zorluk yaşamamıştık ve şu ana kadar sorunsuz bir iletişim sağlanamadı.
Hoymiles DTU kullanıcılarının artık bulut hizmeti aracılığıyla invertörlere daha fazla komutun ulaşmaması için cihazların İnternet bağlantısını mümkün olduğu kadar hızlı bir şekilde kesmeleri gerekiyor. Verim takibini kaçırmak istemiyorsanız Ahoy ve OpenDTU alternatiflerine göz atmalısınız. Hazır cihazlar çevrimiçi olarak satın alınabilir. Bunlar bulutsuz ve üreticiden bağımsız yazılımlar olduğundan güvenlik açığından etkilenmezler.
(aynen)
Haberin Sonu
Reklamcılık
Çinli fotovoltaik üreticisi Hoymiles’in bulut hizmetindeki ciddi güvenlik açıkları, birkaç yüz bin mikro invertörü tehdit ediyor. “S-Miles Cloud” adı verilen hizmet, üreticinin müşterilerine verim takibi olanağı sunuyor ve küçük fotovoltaik sistemlerin ne yaptığını gösteriyor. Bunun için internete bağlı bir radyo köprüsü olarak adlandırılan, kısaca DTU veya entegre WLAN’a sahip daha yeni bir Hoymiles invertör içeren bir “Veri Aktarım Birimi” gerekir.
Güvenlik araştırmacısı olduğunu iddia eden isimsiz bir ihbarcı, geçen hafta Pazar günü soruşturma posta kutusu aracılığıyla C’t ile temasa geçti ve boşlukların ayrıntılı açıklamalarını içeren 25 sayfalık bir belge yükledi. Editör tavsiyesini kendi donanımımızdaki testlerle doğrulayabildik.
Görünüşe göre saldırı, S-Miles bulutunda kayıtlı tüm DTU’lara ve invertörlere erişimin kilidini açıyor. Bu doğrulanamıyor ancak Hoymiles tüm cihazlar için aynı iki uygulamayı sunduğundan yalnızca bir hizmetin kullanılması muhtemeldir. Ayrıca bir sorgu, her biri en az bir invertöre sahip yaklaşık 230.000 sistemin şu anda hizmete bağlı olduğunu gösterdi.
İnverteri hiç okumayan veya Ahoy, OpenDTU gibi alternatif köprüleri kullanan kullanıcılar etkilenmez.
Pek çok araştırmacı araştırma yalnızca muhbirlerden alınan isimsiz bilgiler sayesinde mümkün olabiliyor.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Lütfen anonim ve güvenli posta kutumuzu kullanın.
Kısa devre tehlikesi
Bulut analizi sırasında güvenlik araştırmacısı, invertörleri altyapıya zarar verecek ve invertörü yok edecek şekilde manipüle edebileceği birkaç boşluk keşfetti. En kötü durumda hayati ve uzuv riski vardır.
Diğer şeylerin yanı sıra NA korumasını ve ada korumasını devre dışı bırakmak mümkün olacaktır. NA koruması, gerilim ve frekans sınır değerlerinin aşılması veya altına düşülmesi durumunda şebeke ve invertörün bağlantısının kesilmesini sağlar. Ada koruması, şebeke bağlantısının kesilmesi durumunda invertörü kapatır. Bu aynı zamanda koruyucu kontak fişi (Schuko) aracılığıyla bağlanan sistemlerin, fişten çekildiğinde güvenlik riski oluşturmasını da önler; Fonksiyonu devre dışı bırakırsanız açık kontaklar nedeniyle hayati tehlike söz konusudur.
Boşlukları uygun bir kombinasyonla kullanırsanız, cihazların alternatif voltaj üretimini bile değiştirebilirsiniz. Tüm transistörleri kalıcı olarak açmak da mümkündür. Şebekede bu durum meydana gelirse, AC voltajı tarafında ortaya çıkan kısa devre en azından invertörün sigortasını (hatta transistörlerini de) tahrip edecektir. İhbarcı bunun aslında düşük voltajla çalıştığını doğruladı.
Üreticiler şu ana kadar sessiz kaldı
Salı günü gönderdiğimiz bir e-postada Çinli üreticiden yorum yapmasını istedik. Şirketin çeşitli departmanlarıyla temasa geçmemize ve bir şirket teknisyenine ve Avrupa Kıdemli Satış Müdürüne doğrudan yazmamıza rağmen ne bir alındı onayı aldık ne de herhangi bir iletişim kuruldu. Geçmişte Hoymiles ile iletişim kurmakta zorluk yaşamamıştık ve şu ana kadar sorunsuz bir iletişim sağlanamadı.
Hoymiles DTU kullanıcılarının artık bulut hizmeti aracılığıyla invertörlere daha fazla komutun ulaşmaması için cihazların İnternet bağlantısını mümkün olduğu kadar hızlı bir şekilde kesmeleri gerekiyor. Verim takibini kaçırmak istemiyorsanız Ahoy ve OpenDTU alternatiflerine göz atmalısınız. Hazır cihazlar çevrimiçi olarak satın alınabilir. Bunlar bulutsuz ve üreticiden bağımsız yazılımlar olduğundan güvenlik açığından etkilenmezler.
(aynen)
Haberin Sonu