研究：以樹莓派及筆電即可挾持風力發電廠

來自美國塔爾薩大學（University of Tulsa）的幾名安全研究人員準備在今年7月於美國舉行的Black Hat 2017黑帽駭客會議上揭露如何攻佔整個風力發電廠，同時突顯這些基礎建設的安全問題。

該研究報告的第一作者Jason Staggs表示，風力發電廠已逐漸成為再生能源的主要來源，日益依賴風力能源也讓風力發電廠的控制系統對駭客愈來愈具吸引力。

Staggs針對美國的5座發電廠進行了長達兩年的研究，找出風力發電廠供應商在設計及導入上的安全漏洞，這些漏洞將讓風力發電機可程式自動化控制器與開放流程控制（OPC）伺服器遭到駭客攻擊，而Staggs也已打造出針對相關漏洞的概念性驗證攻擊工具。

研究人員先是發現風力發電機的控制室使用了很容易破壞的銷栓鎖，讓駭客輕易地就能進入，雖然不論是發電機或控制系統都只有有限的連網能力，但它們同樣也缺乏認證機制。

Wired描述了攻擊場景，Staggs先是拔掉一條網路線並將它接上具備Wi-Fi天線的樹莓派（Raspberry Pi）單板電腦，再用一條乙太網路線連結樹莓派及用來指揮發電機的可程式自動化控制器的開放埠。

之後研究人員即驅車離開，Staggs在車上打開他的Mac筆電，輸入指令之後螢幕上便出現了風車的IP位址，選擇其中一個風車再輸入指令，就能目睹該風車的運轉慢慢地停止。

Staggs並不打算透露所測試的風力發電廠位置或設備製造商名稱，但將會在今年7月22日至27日於拉斯維加斯舉行的黑帽大會上公布漏洞細節，不過，Staggs推測設備製造商很快就會替控制系統加裝認證機制，同時加強控制室的實體安全保護。

黑帽駭客會議的議程：