ANDY_WARHOL: a šlo by napsat teda jak velké ty elektrárny byly?

Tak ten software s tím úzce souvisí. Upřímně většina těchle dohledových softwarů má prakticky nulový přínos, protože naprostá většina těch věcí už je ve standardu dodávána.

Za ikonu se omlouvám, to nebyl úmysl

CYBERWOLF: tak já se nebavím o "čínském čipu", který je tam navíc... to je za mě nesmysl. Protože existují daleko jednodušší způsoby jak se k ovládání střídače dostat. Navíc ta komunikace přes "utajený" kanál by probíhala jak?

Ne. To není. Já se bavím o komunikaci na úrovni digitálního vstupu a výstupu. Přes to asi těžko něco hackneš.

CYBERWOLF: viz. výše. Prostě neexituje sériová komunikace mezi vnějším světem a střídačem.

WARBABY8: nevim proc sem kopirujes moji ikonku, to je nejaky fetis?
ano mluvim o velkych solarnich farmach a take o svych zkusenostech kdy jsem osobne vyvyjel software pro dohledove centrum, ktere melo takovych elekraren pod palcem nekolik. to ze rozumis te elektrice, to nepopiram, ale o nejakem software k tomu vis zhola nic. nevis co se tam potrebuje vedet v realnem case aby operator byl schopen vyhodnotit, jestli je potreba servisni zasah nebo neni.
dnes je to samozrejme dal, nez pred par lety kdyz sem to delal, ale nektere fundamenty se nezmenily.

WARBABY8: bohuzel nevis o cem mluvis. ja mluvim o velkych solarnich farmach.
a tam to co pises rozhodne nestaci. jak posles chybu, kdyz se ti stridac uplne sekne ? to ze nevyrabi nemusi byt chyba, muze byt mrak, nebo jak pozna nejaky hloupy stridac, ze pokles vyroby neni mrakem ale treba tim, doslo k zastineni nejakou vegetaci. mrak totiz resit dispecing nemusi, vegetaci uz ano. tech veci je tam samozrejme vic a ja uz si to tolik nepamatuju, preci jenom je to par let co sem tohle delal. ale tyhle tvoje soudy od stolu jak je to vsechno jednoduchy, to miluju. neni to jednoduchy

WARBABY8: v čem ti jako GSM brána přijde bezpečnější, než internet?

CERMI_FOX: můj střídač má na logger konektor a dodávají k tomu asi tři různé loggery (jeden loguje na paměťovou kartu a tím pádem se nepřipojuje nikam). Teoreticky by mělo jít si na ten konektor napojit nějaké vlastní zařízení. DNS nepotřebuješ, pokud posíláš na IP adresu. Jediné co dělá DNS je, že ti so.much.safe.cloud.ch přeloží na něco jako 123.456.780.876. Když tam dáš rovnou 123.456.780.876, nepotřebuješ DNS.

WARBABY8: no, tak to čemu říkáš "omezená" je ten firewall o kterém mluvím a to čemu říkáš "vyloučená" je, že ten logger úplně vyhodíš. A znovu - nic z toho nemůžeš udělat, pokud je tam čip.

Btw "nejsem expert na nuly a jedničky" a "za mě se utrácejí strašný peníze za cyber security" je dobrý kombo. Nicméně "komunikace mezi výrobnama a okolním světem bude hardwarově oddělená" je fakticky to, o čem je řeč. Nemůžeš to oddělit, pokud tam máš čip, co komunikuje po kanále o kterém nevíš. Asi nikdo nebude balit střídače do faradayovy klece, protože co kdyby, že jo...

WARBABY8: logovat výrobu musíš, jinak se těžko řeší návratnost a hlavně monitoring
Musíš dost podrobné vědět, že ti vypadl stridac a není to tím, že by nesvitiko slunce, protože každý čas co nevyrábí je ztráta.
Řeší se to dost pordobne, sám jsem systém pro takový dispečink částečně programoval a nedokážu si představit, že by to bylo offline
To se týká velkých instalaci samozřejmě.

CYBERWOLF: hele nejsem expert na nuly a jedničky, ale za mě co je připojený na internet má potenciál být napadnuté. Proto jsem v tomhle stará škola a komunikace s vnějším světem by prostě měla být u takových zařízení značně omezená za mě prakticky vyloučená. Protože člověk, který v tom dělá, tak ví, že stačí hrozně málo, abys to sabotoval. Řešili jsme tohle u velkých elektráren (né soláry) a za mě se utrácejí strašný peníze za cyber security, jejíž funkčnost je pro mě značně zpochybnitelná a vágní na místo toho aby se ten problém jednoduše řešil tak, že ta komunikace mezi výrobnama a okolním světem bude hardwarově oddělená.

CYBERWOLF: žiju v tom, že ty střídače mají ten logger v sobě a hrabat do toho nejde. A pokud mu zakážeš třeba tu dns, tak prostě posílat data do cloudu nebude. Nebo na to existuje standard, že si do čínského střídače můžu nahrát vlastní kus sw?

CERMI_FOX: Server může poslat instrukci navíc, ale firewall to nepustí dál, takže o nic nejde. DNS nepotřebuješ pokud to posíláš na IP a pokud tam nebude nějaké přesměrování a logger nebude čekat na odpověď, tak nepotřebuješ příchozí komunikaci ani na http.

Ale i kdyby to rozesralo logování, tak můžeš použít jiný logger, nebo ho prostě vyhodit. Opět nic z toho neuděláš s čipem, o kterém nevíš že tam je.

CYBERWOLF: i odchozi komunikace jde zneuzit - server proste posle instrukce navic. A vylozene blokovat vsechny datove pakety smerem dovnitr by imho rozesralo i to logovani, ktere nejspis bude po http nebo necem obdobnem.
Pri trose invence si jde stahnout instrukce i vice skryte, treba pomoci dns pozadavku

WARBABY8: no na to jsou právě ty firewally. Třeba že když tam máš logger, tak mu dovolíš jenom odchozí komunikaci. Takže může posílat data do cloudu, ale nikdo se nedovolá zpátky. I na to updatování firmwaru můžeš povolit přístup jenom dočasně. Takže pak by musela být nějaká časovaná bomba v tom firmwaru, nebo by to museli rozesrat právě během toho updatovacího okna, ale to je pořád něco dost jinýho, než že soudruh zmáčkne červený tlačítko a nastane zlo.

Ale pokud tam máš čip schopný komunikovat kanálem, o kterém nevíš, tak to prostě nezabezpečíš, protože nemáš jak. A soudruh může kdykoliv zmáčknout tlačítko a udělat v podstatě cokoliv s tím zařízením udělat jde. Včetně věcí, o kterých nevíš že jdou. Jinými slovy - velký špatný.

Tohle se týká prakticky jakéhokoliv zařízení, ale zrovna ty střídače mají potenciál rozesrat kritickou infrastrukturu

WARBABY8: takhle to ale nefunguje.

ANDY_WARHOL: tak myslím, že na to jim momentálně stačí cola a popcorn a nechat Evropu ať to udělá sama. ;-)

WARBABY8: oni nám ale budou do té doby škodit aby nás rozesrali.

ELIJEN: no ale to je právě ten problém, když může updatovat firmware, tak můžou prakticky cokoli.

JInak za mě to přijde trochu jako sci fi. Čína nás zatím potřebuje, až nebude Evropu potřebovat, tak nás přejede a nějaký GSM moduly ve střídačích jim budou úplně jedno...

WARBABY8: Tady ale muselo jít o nějaký skrytý GSM modem, ne? Jinak běžně jsou online všechny střídače a třeba u Deye, když chceš updatovat FW, tak napíšeš mail do Číny a oni ti to na dálku updatují.