Hacking de Contadores Inteligentes [Tarlogic] ~ Segu-Info

La conocida firma de ciberseguridad Tarlogic ha estado trabajando algunos años en comprobar la seguridad de este tipo de contadores de telegestión que se utilizan en la gran mayoría de nuestros hogares, y teniendo en cuenta que según las eléctricas no hay nada que arreglar, han lanzado en la RootedCON 2022 una herramienta hardware y todo el software necesario para explotar los diferentes agujeros de seguridad.

¿Qué hace el contador inteligente de luz?

La gran mayoría de clientes de luz eléctrica en España tienen un contador de telegestión, independientemente de la distribuidora que haya en tu zona, seguramente este contador de telegestión sea exactamente el mismo. Este contador de luz no solamente se encarga de medir el consumo eléctrico que se está realizando en la vivienda, de hecho, si se puede hackear este contador, se podrían alterar estos consumos que los contadores han registrado.

Una de las configuraciones de estos contadores de luz es la de limitar la potencia contratada a través de la comercializadora, imaginemos que tenemos contratada una potencia de 3KW en nuestra vivienda, si nos pasamos de este valor durante un determinado tiempo, automáticamente el contador se encargará de cortar la luz eléctrica y tendremos que volver a reamarlo en el cuadro eléctrico de nuestro hogar. Si un atacante es capaz de modificar esta potencia contratada y configurarla, por ejemplo, a 1KW, seguramente a esa persona afectada se le esté cortando la luz de forma continua porque el consumo es mayor de 1KW.

Otra característica de estos contadores es que también pueden recibir una orden de corte de suministro desde la distribuidora, sin embargo, un atacante podría decidir cortar la luz de un barrio entero, enviando varios paquetes de datos especialmente diseñados para tal fin.

Vulnerabilidades descubiertas por Tarlogic

La conocida empresa de ciberseguridad gallega Tarlogic ha estado durante unos dos años investigando cómo funcionan los contadores de luz, y han descubierto diferentes vulnerabilidades que podrían permitir el control total de los mismos. La empresa ha contactado en muchas ocasiones con las principales distribuidoras de luz eléctrica en España, pero las únicas respuestas que han tenido es que el sistema es seguro y no hay ninguna vulnerabilidad. La empresa se ofreció a las eléctricas para resolver estas vulnerabilidades, pero las eléctricas no han respondido, además, acudieron a la PRIME Alliance que es la red de telegestión de todos los contadores y también les han comunicado que su red es completamente segura.

Ahora esta empresa en la RootedCON 2022 han publicado toda la investigación al completo, además, han proporcionado el código fuente de la herramienta desarrollada y también han comunicado el hardware que debemos utilizar para realizar todas las pruebas. En estos momentos, cualquiera que quiera comprobar la seguridad de su contador de telegestión lo va a poder hacer desde el enchufe de su cocina.

La primera vulnerabilidad descubierta es que el intercambio de los mensajes no van cifrados, por lo que se pueden leer sin ningún problema y también modificar al vuelo. Otra vulnerabilidad es que no permite una autenticación segura. Aunque parte del tráfico sí viaja cifrado haciendo uso del protocolo DLMS, la mayor parte no lo hace y usa claves sin cifrar, por lo que se puede hackear de manera realmente fácil.

Con estas vulnerabilidades, un posible atacante podría tomar el control de una red de contadores y dar órdenes de corte de suministro, alterar los consumos registrados y mucho más. Además, estos contadores se comunican directamente con las distribuidoras a través de una red de «concentradores», y Tarlogic ha demostrado que estos concentradores también pueden ser controlados remotamente desde cualquier enchufe de casa.

¿Qué necesito para hackear el contador?

Lo primero que se necesita para poder comunicarse con el contador de luz de casa, o del vecino, es una placa Microchip ATPL360-EK con la que han realizado todas las pruebas. Esta placa incluye las bibliotecas PRIME y G3, además, también tiene una serie de aplicaciones de prueba incluyendo un sniffer PLC compatible con PRIME, para poder capturar todos los paquetes que se quiera de las diferentes comunicaciones, además, es compatible con sistemas operativos Windows.

La forma de funcionamiento es bastante sencilla, después de compilar el firmware correspondiente que también lo proporciona Microchip, se integra en la placa de desarrollo y basta conectar la placa a la red eléctrica y por USB a un ordenador con el software proporcionado para empezar a capturar y analizar todas las tramas de datos. El precio de esta placa ronda los 650 euros aproximadamente con todo lo necesario para su puesta en marcha.

Para poder enviar comandos y realizar una auditoría más en profundidad, Tarlogic ha publicado su herramienta PLCTool que puedes encontrarla en el GitHub oficial. Esta herramienta permanecía privada hasta hace unos días que la hicieron pública al no tener ninguna contestación positiva de las eléctricas de España ni tampoco de la PRIME Alliance.

Una vez que se ha accedido a la red eléctrica, los usuarios podrán identificar elementos de red como contadores y concentradores, guardar las capturas de tráfico de los contadores, enviar comandos para apagar el contador de la luz, capturar contraseñas usadas por la distribuidora o modificar el límite de potencia del contador. La empresa ha declarado que seguirán trabajando en esta herramienta, añadiendo ataques modulares para solamente atacar ciertos aspectos del contador, e incluso podrán realizar acciones ofensivas como la actualización del firmware del contador.

En el blog oficial de Tarlogic se puede encontrar todo el proceso que han seguido para comprobar la seguridad de los contadores, ahí tendréis más información sobre ello. La empresa hizo una demostración controlada (sin usar los contadores de la luz reales) en la RootedCON 2022.

Este artículo forma parte de una serie sobre Contadores Inteligentes:

Fuente: RedesZone | Tarlogic

15 mar 2022