riporto integralmente l'articolo: Negli scorsi mesi un ricercatore ha evidenziato come molti inverter usati oggi per gli impianti fotovoltaici siano dei punti accesso “facili” per un hacker. Essendo collegati alla rete elettrica dovrebbero essere protetti come le altre infrastrutture, invece hanno tutti “backdoor” di fabbrica. Un articolo pubblicato su Bloomberg la scorsa settimana dal titolo “Hacking Rooftop Solar Is a Way to Break Europe’s Power Grid”, ovvero “Hackerare l’impianto fotovoltaico è un modo per sabotare la rete elettrica europea”, ha sollevato i veli su un problema serio. Lo stesso problema del quale, da tempo, stiamo discutendo con diversi addetti ai lavori per capire quali possono essere le conseguenze e anche i possibili rimedi.
L’articolo di Bloomberg parte dalle dichiarazioni fatte in estate da un ricercatore, Vangelis Stykas, che ha rilasciato un'intervista nella quale spiegava come fosse riuscito ad accedere, saltando i livelli di protezione decisamente flebili, ad alcuni inverter di sistemi fotovoltaici installati in Europa e ad alcune wallbox.
Dopo aver verificato la presenza di numerose vulnerabilità Stykas, che è CTO di una società specializzata nell’effettuare test di sicurezza per dispositivi connessi, ha contattato i produttori probabilmente per offrire i suoi servizi, oltre che per il disclosure delle vulnerabilità . "Due dei cinque produttori di pannelli fotovoltaici, che erano Solarman, Solax, Sunsync e Growatt, con sede in Cina e Ingecon con sede in Spagna hanno risposto e risolto le vulnerabilità dopo i miei interventi. Gli altri mi hanno ignorato. Tutti hanno confermato di aver ricevuto la mia email" spiega l'hacker etico.
Questione diversa invece per i caricabatterie per veicoli elettrici, le wallbox: ha analizzato Growatt con sede in Cina, Evbox con sede nei Paesi Bassi, Wallbox con sede in Spagna, EoHub con sede nel Regno Unito e ChargePoint con sede in California e secondo Stykas hanno risposto tutti e allo stesso modo hanno risolto le vulnerabilità , alcuni molto rapidamente altri solo dopo essere stati costretti a farlo. “Avere vulnerabilità è inevitabile; ciò che conta è come le gestisci e le risolvi.” Non è solo una questione di vulnerabilità : il sistema per come è pensato è vulnerabile
Quello che ha portato alla luce Stykas, ed è stato richiamato dall’articolo di Bloomberg, va però oltre quella che è una semplice vulnerabilità di un inverter.
Secondo l'associazione Italia Solare al 31 dicembre 2023 erano quasi 1,6 milioni (precisamente 1.594.974) gli impianti fotovoltaici in Italia, per un totale di 30,28 GW di potenza. Di questi il 28% (8,56 GW) in casa, il 50% nelle industrie e il 22% nei parchi solari.
Ci troviamo di fronte a una potenza complessiva enorme, ben più alta di quella che può generare una normale centrale elettrica, pertanto è lecito vedere tutti gli impianti installati in questi anni, soprattutto quelli domestici, come una unica grossa infrastruttura critica e vitale. Infrastruttura che oggi è tuttavia la più debole tra quelle critiche di un Paese, perché dotata di “backdoor” by default.
I primi interrogativi ce li siamo posti due anni fa, quando abbiamo installato un sistema fotovoltaico con un inverter noto di un produttore cinese. Tolti Zucchetti e Solaredge, oggi la maggior parte degli inverter installati, inclusi quelli che sono stati messi nelle case in questi anni con 110% e sconto in fattura, sono di produzione cinese. L’installatore che ha effettuato la messa a punto del sistema ci ha creato un account per vedere i consumi, ma ci ha anche avvisato che non dovevamo toccare nulla delle impostazioni perché tanto, nel caso di problemi, avrebbero risolto loro da “remoto”.
Come? Basta andare all’interno dell’app, che non è un'app locale ma una web app che si appoggia ad un sito in cloud per rendersi conto che l'inverter, in questo caso il nostro inverter, è impostato per essere gestito da remoto dall'azienda che ha fatto l’installazione. Un albero di autorizzazioni e accessi dove al vertice c'è il produttore
Chi ha fatto l’installazione, però, non è l’azienda con la quale abbiamo fatto il contratto per l'acquisto: negli anni dei bonus edilizi centinaia di aziende, incluse le utility come EnelX, Plenitude eON, hanno fatto da contractor raccogliendo gli ordini, e usando poi gli installatori sul territorio per la messa a terra vera e propria.
Il nostro impianto, oltre ad essere controllato dall’azienda che ce lo ha installato, è a sua volta controllato dall'azienda con cui abbiamo fatto il contratto: la conferma l’abbiamo avuta quando abbiamo aperto una richiesta di assistenza; non avevamo i contatti dell'installatore, ma l'azienda ci ha cambiato alcune impostazioni e ci ha detto che l'impianto stava producendo bene. Insomma, noi vediamo i dati del nostro inverter, l'installatore vede i dati di tutti gli inverter che ha installato e l'azienda che ha fatto da contractor ha accesso a tutti gli inverter di tutti i "suoi" clienti.
Nel caso specifico del nostro inverter abbiamo indagato e abbiamo scoperto che ci sono diversi livelli di accesso, una sorta di albero dove al vertice c’è il produttore che ha potenzialmente accesso a tutti gli inverter, migliaia, che non hanno revocato i privilegi di gestione. Può cambiare i parametri a gruppi, può leggere la produzione, può inviare un firmware a tutti i modelli italiani, a quelli di una specifica regione o a quelli di uno specifico installatore. Volendo può anche disattivare tutti gli inverter, ma è ovvio che non ha alcun motivo per farlo.
Nel nostro caso specifico non abbiamo visto la cosa come un problema serio, anche perché ci fidiamo dell’azienda che ha prodotto l'inverter, ma ci chiediamo se la cosa possa valere anche per gli altri inverter installati in Italia e in Europa. Molti, anche se non connessi direttamente alla rete wireless (difficile) hanno pure una SIM all’interno, e come abbiamo visto quasi tutti sono gestibili da remoto e rappresentano un punto di accesso a due differenti reti, quella domestica e quella elettrica. Gli inverter hanno le nostre password del Wi-fi e accedono alla rete
Spostiamoci ora sull’inverter stesso: quando viene installato a casa di una persona l'installatore solitamente chiede nome della rete e password per poter connettere l’inverter al wi-fi, condizione necessaria per poter vedere i consumi, fargli scaricare gli aggiornamenti e renderlo anche “controllabile” da remoto.
Un utente evoluto, con un minimo di competenza a livello di sicurezza informativa, crea (o dovrebbe creare) per l’inverter e per gli altri prodotti connessi che hanno bisogno solo di un punto di accesso con l'esterno una rete ad hoc, dotata di una password diversa dalla rete che viene usata per i computer. Così facendo questa rete usata oper elettrodomestici, inverter, robot per le pulizie e simili non può accedere alla rete alla quale sono connessi i computer, con cartelle condivise, o peggio ancora i NAS.
La maggior parte degli utenti però non lo fa: c’è una rete unica alla quale tutti sono collegati, e la password di questa rete viene memorizzata da qualche parte all’interno dell’inverter, ne ha bisogno per potersi ri-connettere in caso di riavvio.
Chi riesce ad accedere all’inverter da remoto ha anche accesso, volendo, alla rete locale. Basta un firmware modificato per far scoppiare batterie o creare in incendio
La possibilità di accedere alla rete wireless di casa è ovviamente il rischio minore, perché avere accesso all’inverter (o a interi gruppi di inverter) vuole anche dire poter variare i parametri di questi ultimi e creare quindi le condizioni per fare danni seri a livello locale o di area. Lo stesso Stykas scrive “Sono riuscito a ottenere l'accesso a livello di amministratore su diverse piattaforme. Con questo accesso, avrei potuto inviare aggiornamenti firmware da remoto, potenzialmente 'danneggiando' caricabatterie fotovoltaici e veicoli elettrici e, in alcuni casi, provocandone incendi”.
Nel caso di inverter connessi a sistemi di accumulo basterebbe un firmware che disattiva le ventole, toglie i sistemi di protezione e sovraccarica le celle per creare una situazione critica.
Anche senza caricare un firmware modificato si può in ogni caso variare la tensione di uscita, portandola oltre quelli che sono i valori standard, ed essendo gli inverter connessi alla rete pubblica l’immissione con un valore di tensione oltre la soglia consentita potrebbe creare problemi alla distribuzione.
Stykas si è concentrato sui problemi di vulnerabilità , ma come abbiamo visto il fatto che quasi tutti gli inverter siano installati in modalità “gestita” senza che le persone se ne rendano conto e decidano, in qualche caso si può, di revocare l'accesso a chi ha in mano le chiavi è una potenziale vulnerabilità .
Basta un account di amministrazione, che in una struttura ad albero può essere a conoscenza di decine di persone, per avere il controllo di migliaia di inverter.
Negli ultimi anni i Governi occidentali hanno messo nel mirino Huawei e i suoi apparati di rete, usati dalla maggior parte degli operatori di comunicazione, per il timore che Huawei, azienda cinese, potesse bloccare da remoto l’intera infrastruttura silenziando un paese in caso di conflitto. Non si è considerato però che negli ultimi anni in Europa, ma soprattutto in Italia con i bonus edilizi sono stati installati, nelle abitazioni, centinaia di migliaia di inverter di provenienza orientale collegati sia alla rete di comunicazioni sia alla rete elettrica nazionale.
Quante persone hanno il controllo? Fino a che livello arriva il controllo? Un produttore di inverter ha davvero la facoltà di spegnere tutti gli inverter da lui prodotti, di caricare firmware modificati, di accedere alle reti locali delle abitazioni? Quanto è sicura la procedura di autenticazione, visto che solitamente, almeno nelle tre app da noi usate in questi anni, non c’è neppure l’autenticazione a due fattori?
Come ci si preoccupa per le antenne 5G prodotte da Huawei, è il caso di porsi qualche domanda anche su quelli che sono, a tutti gli effetti, centinaia di migliaia di punti di accesso vulnerabili distribuiti in tutta Europa a macchia d'olio.
Sicurezza degli impianti fotovoltaici: facciamo chiarezza insieme
Domanda per voi: Quali strategie possiamo adottare per tutelare i nostri impianti fotovoltaici senza affrontare costi eccessivi?
