Czarne chmury nad fotowoltaiką  

0signature to świetna propozycja na nazwę braku podpisu cyfrowego w oprogramowaniu

Zastanawiałem się, co piecyk od gitary robi zamiast invertera, dopóki nie zauważyłem AC/DC Dzięki za zrobienie wieczoru!

Generalnie wszędzie tam gdzie producent chwali się chmurą od razu trzeba mieć wątpliwości. I brutalna prawda jest taka że większość "producentów" ma zerowe pojęcie o kwestiach bezpieczeństwa.

Zgłosiłem kiedyś producentowi lukę w pewnym urządzeniu,. Zamiast podziękowania straszenie prawnikami!

Super robota!! Ogladam od pewnego czasu twój kanał i widzę że kanał trzyma poziom. Leci subik 🎉

Tak, taka fotowoltaika jest dosc niebezpieczna. Jeszcze smieszniej jest ze przez przypadek wlamalem sie do myjni automatycznej marki ISTOBAL przez VNC w warszawie przez uzywanie danych admin admin. Tam moge sterowac cisnienie wody, ilosc mydlin, czy aktywowac tylko boczne, jendna boczna i gorna szczotke i jescze jest opcja "ALT OFF" ktora nie testowalem. Port ktory byl uzywany to był 5900 czyli taki sam jak moj sterownik boscha w piecu analogowym ktory dostal od mnie nawiew i czujnik temperatury oraz awaryjne gaszenie wszystkiego przed odciecie doplywu powietrza do kotla. Tak tak, jak pradu braknie to internet nie dziala ale ja mam router 4g/5g oraz moj serwer multimedialny ktory leci na arch linuxie podlaczony pod UPS (czyli taki power bank dla serwerow i PCtow

Dziękuję za materiał 👍

Dzięki Mateusz !

Idealna pogoda na film ❤️

Dzięki!

Super odcinek, dzięki

Jak zawsze materiał pierwsza klasa. Nigdy bym sam o tym nie pomyślał.

W obecnych czasach, gdy człowiek się nudzi, to komplikuje sobie życie za pomocą nowoczesnych technologii.

Trafilem tu tydzien temu i Wszystkie 3 filmy ktore ogladalem byly zajebiste :) dzieki za to ze to robisz :)

Elektryka prąd nie tyka, a jak tyknie, to elektryk fiknie.

W hoymiles nie można wgrać do sterownika alternatywnego oprogramowania jakim jest opendtu. Trzeba sobie najpierw zbudować nowy sterownik w oparciu o moduł esp a następnie wgrać do niego oprogramowanie opendtu. Jest to o wiele bezpieczniejsze rozwiązanie niż fabryczny sterownik Dtu ponieważ nie łączy się z żadną chińską chmurą.

Tbh ja bym nie krytykował jakoś specjalnie za JTagi czy podpisywanie softu. Dzięki temu jak producent sie wycofa albo porzuci utrzymanie infry itp, użytkownicy mogą wepchać zmodowane / customowe oprogramowanie dzięki któremu sprzęt może odżyć, albo na przykład użyć jakieś infry self-hosted. Jestem mega zwolennikiem tego że jak jakiś sprzęt jest twój to powinien pod twoimi palcam poslusznie wgrywać co chcesz. Taka odwrotność Apple.

Bo już teraz każdy musi mieć wszystko w komóreczce... nawet sprawdzenie jak tam jego panele na daszku lub czy odkurzacz ogarną wszystkie kąty...

Well done 👍✅.

15:44 Tranzystory KT to chyba w związku radzieckim były produkowane :)

16:31 - teoretycznie od 1 sierpnia 2025 roku mocy prawnej nabierze rozszerzenie dyrektywy RED, które wprowadzi minimalne wymagania dotyczące cyberbezpieczeństwa urządzeń sprzedawanych na rynku europejskim (CE). Niestety na ten moment nie została jeszcze opublikowana norma zharmonizowana, która rozwieje sprawy techniczne, natomiast może być inspirowana np. ETSI EN 303 645 V2.1.1. Piszę teoretycznie, bo duża część urządzeń elektronicznych posiada certyfikat CE nadany drogą samo deklaracji (ścieżka A), więc takie urządzenia będą mogły być sprzedawane tak długo jak długo ich nikt nie sprawdzi... Btw. materiał świetny jak zawsze 🙂

Fajny materiał. Akurat to pominąłem z ccc (czytaj że również nikt mi go nie polecił na grupie patronackiej)

7:50 Może na cześć Newag'u newbug ? Albo (skoro o podpisywaniu) to na cześć naszego prezydenta :błąd anty Dudowski ?

Ja mam zwyczaj, że nie wysyłam nic z IoT do chmury. Sprawdzam urządzenia wczesniej i obsługuję je lokalnie, jeśli nie mogą tak działać to szukam innego producenta. Dostęp zdalny mam przez własny VPN. Były już przypadki, że pracownicy producenta potrafili coś grzebać zdalnie.

Problemem jest walenie usług w chmurze tam gdzie to niepotrzebne

Potencjalnie jest jeszcze większe zagrożenie, zwłaszcza gdyby udało się złamać oprogramowanie w inverterze to np mozna by podnieść napięcie wyjściowe znacząco powyżej 240v i spalić całkiem sporo urządzeń wpiętych do sieci (zwlaszcza przy ataku synchronicznym). Można na koniec stwierdzić że potwierdza się regula ze producenci którzy robią nawet całkiem dobry hardware to robią do tego fatalny soft i zabezpieczenia. Ps. Niezabezpieczone JTAG to można w wielu miejscach znaleźć.

7:55 newagup 😂

Kolejny ciekawy temat

juz pisalem wczesniej ale pisze ponownie, oddzielna siec do urzadzen domowych!

👍

Czyli jednak koza i wungiel i telefon na korbkę bezpieczniejsze...

świetny materiał - *NIESTETY na zdestabilizowanie INFRASTRUKTURY KRYTYCZNEJ sposobów jest więcej* - ale dziury "trzeba łatać" - od dawna już nie zajmuję się aktywnie bezpieczeństwem IT (choć dalej zawodowo zajmuję się "częścią IT Security") - dlatego naiwnie sądziłem, że w tego typu urządzeniach - cały software jest "podpisywany cyfrowo" (co dalej nie załatwia sprawy w 100% ale ZDECYDOWANIE utrudnia ataki i ułatwia obronę) ... P.S. Mam trochę urządzeń "smart home" ale mają wydzieloną podsieć, a łączący je router - jest włączany z palca - tylko wtedy kiedy jest to potrzebne ...

Super ciekawy odcinek! Dzieki Szefie

Ten Tinder dla fotowoltaiki jest bardzo przydatny. Pomaga ocenic nasza instalacje, albo oszacowac w jakich realnych warunkach mieszkamy.

Ale po co tak prosta rzecz jak panel kabel przetwornica akumulator mialby byc podlaczony do sieci? Do chmury czy do ze? I jeszcze kontrola przez apke jakby srubokreta nie bylo😁

Siema, zrób odcinek na temat wizualizowania myśli lub snów czyli elektromagnetycznej aktywności mózgowej przez AI na podstawie danych zbieranych za pomocą radarów wifi, są też plotki że każdy router wifi może być użyty jako taki radar oraz że prototypowy model analizujący dane na temat aktywności mózgowej użytkowników wykorzystuje najnowsze airPods od jabłka do zbierania danych.

Dr. Kochanek (USz) mówiła że kluczowym elementem bezpieczeństwa energetycznego jest dywersyfikacja źródeł energii elektrycznej

Kuźwa jak w książce Blackout - Elsberg Marc. Polecam przeczytać.

7:54 Propozycja nazwy dla podatności polegającej na braku zabezpieczenia kryptograficznego w systemie: ghost-key (klucz-widmo)😂

Blockchain, Blockchain, Blockchain, jeszcze raz decentralizacja! I do tego ochrona cyberprzestrzeni, zabranie się za regulację. Ale po co to komu, lepiej nastraszyć że nam się zaraz haker włamie i na tym poprzestańmy.

Mało tego, bo każdy inverter ma pewien zapas wytrzymałości napięciowej, jeżeli wrzucić kod który zwiększy limit napięcia o 30 czy 50v to zapewne przez jakiś czas inverter jeszcze podziała, ale urządzenia wokoło już nie zawsze, jak te urządzenia zaczną padać to pobór się zmniejszy a inwerter będzie miał jeszcze łatwiejsze możliwości zwiększania napięcia, aż do spalenia wszystkiego wokoło oraz siebie, chociaż to mocno uogólnione i przesadzone(na inwerter sąsiada - innej firmy, widząc że w sieci jest 280v nie będzie już oddawał) ale w odpowiednich warunkach wykonalne

Półtora miliona gospodarstw domowych znika z sieci elektrycznej... Niech to będzie w zimny weekendowy poranek, kiedy ludzie są w domach (i grzeją!). Znika 1-2GW poboru prądu w tym samym momencie. Operator nawet w skali kraju tak dużego jak Niemcy może się wywrócić...

😮

ja odciąłem logerom dostęp do internetu a statystyki produkcji zbieram modyfikowanym skryptem python który strzela do logera (btw bez większych zabezpieczeń logery soffar wystawiają pełnego mbusta)

Polecam “Blackout”, Marc Elsberg

Czemu inwerter wygląda jak piec do gitary ? :)

Jaki najlepszy zdalny dostęp? To analogowa instalacja :) Druga sprawa ludzie są tępi nie znają się i nie chcą się znać. Ma świecić ładnie bipiac i cykac, a sąsiad ma być zazdrosny. Ot taka głupota.

W sumie, taką sieć fotowoltaiczną może warto użyć do kopania btc:D

Można zrobić to ciekawiej, wystarczy wyłączyć zabezpieczenia które zabezpieczają przed nadmiernej produkcji prądu i spalić transformator wtedy uniruchomomy cała miejscowość a nie tylko osoby z panelami 😂

Ja dwa lata temu już o tym mówiłem firmie że aplikacja można spalić komuś dom

Zaczynam się zastanawiać, czy mój biały kapelusz ma jeszcze jakikolwiek sens. Od zawsze byłem jedynym, który kontrolował mnie, ale jak słyszę o takich kwiatkach, to.. to nie wiem 😊

Nazwa na wpadkę z niepodpisanymi dokumentami "nieduda" :D

DOS kiedyś tez tak działał, jeżeli błędnie wpisałeś zaklęcie to wyświetlał listę poprawnych zaklęć. ;) (byłem niekwestionowanym mistrzem zarzadzania i gospodarowania pamięcią RAM w DOS - "640kb każdemu wystarczy" ) :D

Dodatkowo godzinę ZERO ustawi się na jakąś Wigilię albo Sylwestra/Nowy Rok i zanim się to ogarnie to kraj leży i kwiczy..

Nie trzeba hakować falowników. Producentów jest kilku. Wystarczy scenariusz z książki którą napisał Marc Elsberg pt. Blackout Tam hakowano inteligentne liczniki prądu. Mam "fotowoltaikę" od dwóch lat i jak tylko dowiedziałem sie że producent może zdalnie sprawdzać i aktualizować oprogramowanie to zapaliła mi sie czerwona lampka. Od początku mnie to martwi i zastanawiam sie co z tym zrobić. Myślałem że wystarczy mieć oprogramowanie u siebie na karcie i w razie czego restart i wgranie nowego Ten film (i jeden wpis tutaj o możliwości podniesienia napięcia powyżej 253V w sieci w dni słoneczne) uświadomił mi że można falownik zniszczyć fizycznie przestawiając parametry programu. W sumie to nikt głowy sobie chyba nie da uciąć że falowniki (i inne urządzenia) juz teraz nie posiadają czegoś w stylu "jeśli przez rok nie będzie widoczny w chmurze to wyłącz" albo czegoś podobnego i tylko czekają na polecenie. W razie konfliktu Nato Chiny może byc różnie. Zawsze moga powiedzieć że padli ofiarą ataku hakerów. Powiedzcie mi czy dobrze rozumuje ze jesli odłączę wi fi to falownik straci fizyczną możliwość kontaktowania się ze światem zewnętrznym i powinien działać poprawnie. No chyba że sam zaktualizuje oprogramowanie które będzie posiadało jakiegoś konia trojańskiego czy inna niespodziankę. Myślę że takie rzeczy mogą być juz od lat stosowane ale jak w polityce: wy macie haki na nas my na was więc swoich nie ruszamy - do czasu. Mógłbyś nagrać film jak sie zabezpieczyć co mozna zrobić po czym rozpoznać że coś się dzieje itp. Czyli czego nie wiemy. Dzięki i pozdrowienia

Czy lepiej jest wyłączyć falownikowi dostęp do internetu?

Idealny sposób na kopanie bitcoinów :P

To teraz wystarczy shakować jeden skomplikowany system, który zarządza dystrybucją energii w sieci z paneli (oraz wiatraków). (bo przypomnę, że nie istenieją baterie wielkości tatr, w których można by prosto magazynować i potem używać energii kiedy się chce, musi to być skomplikowany system podłączania i odłączania z sieci w czasie rzeczywistym wielu różnych źródeł i ujść energii)

a chińskie liczniki z rozłącznikami i komunikacją zainstalowane w kazdym naszym domu są bezpieczne?

Jak rozumiem "łatanie" błędów rozpoczął od usunięcia możliwości wgrania plików na "social media inwerterów" ;-) ? Bo raczej nie ma możliwości odgórnego odpalenia patchowania na wszystkich sterownikach. W naszym kraju podział na producentów jest dość duży więc nie było by to takie proste - jest duża dywersyfikacja jeżeli o to chodzi ;-)

Jeżeli dostawcy nadal będą dostarczali systemy (ESP) w których hasło jest 8 znakowe i do tego nie dopuszcza opcji znaków specjalnych o innych zabezpieczeniach nie wspomnę (Fox) - to będzie słabo.

A można jakoś zablokować aktualizację oprogramowania w inwerterach? Czy by to coś dało?

Te apki froniusa czy sofara to są takie spaczone ze przy prostej konfiguracji itp potrafią sie wylozyc i trzeba resetowac urządzenie...

Sprawdziłeś tę teorię w praktyce czy to tylko fikcja litracka?

Akurat podawanie udziału fotowoltaiki poprzez maksymalny chwilowy udział w mixie jest bardzo obłudne, należałoby podać jeszcze np. minimalny, ponieważ np. w grudniu i styczniu energia fotow. nie przekracza ani nie zbliża się do ćwierci tej chwilowej maksymalnej w roku, ponadto fotowoltaika jest najsłabsza w okresie grzewczym, czyli wtedy kiedy energii potrzebujemy najwięcej, więc max w ciągu roku prawie 20%, ale minimum poniżej 3% najprawdopodbniej, więc te dane już nie są takie wspaniałe, zwłaszcza, że poszły na setki milirdów naszych pieniędzy, czyli podatników.

Wpadka, a raczej przypadłość. Możemy już kopiąc leżącego nazwać albo NewagDoor. Choć Ci mogą się mocno obrazić, więc bezpieczniej jest użyć #ImpulseDoor lub #DerpDoor , patrząc jak trzeba nie umieć przyszłościowo

A czy podobnym sposobem, dało by radę spowodować pożar instalacji? Wyobrazam sobie że pożar w 1,5mln domow naraz, moglby byc dla niektorych łakomym kąskiem

Patologią jest to, że urządzenia tego typu (energetyka, pojazdy czy nawet głupie AGD) w ogóle dostają homologację i są dopuszczane do obrotu mając możliwość komunikacji a tym samym otrzymania poleceń czy "spowiadania się". Autonomia to najprostsze zabezpieczenie. Pod tym względem ceniłem stare palmtopy sprzed ery Androida. Po prostu nie było fizycznej możliwości aby sprzęt "sam się zaprogramował", nawet te późne które miały dostęp do internetu. Pamięć programu była, jak w tych dostępna jedynie przez podpięcie się kablem do sterownika ROM. Obecnie pracuję przy opracowywaniu urządzeń dużej mocy których potraktowanie takim atakiem mogłoby wysadzić budynek. Albo spalić okoliczną sieć energetyczną, tak jak fotowoltaika w przypadkach zadziałania jak to opisał Mateusz. Oprogramowanie sterownika musi być _w danej wersji_ audytowane przez notyfikowaną jednostkę. I możliwe do zmiany tylko przez fizyczny dostęp. Co przy okazji wymusza wypuszczenie dopracowanego i dogłębnie przetestowanego produktu a nie narażanie użytkownika na aktualizacje i związane z tym ryzyko, jak to się potocznie mówi, "wgrania nowych błędów". Większe obostrzenia ma tylko sprzęt wykorzystujący źródła promieniowania jonizującego (moja stara praca), z tego co wiem również medyczny i parę innych nisz.

Może krypto-nima? - Miał być podpis kryptograficzny, ale nima... :)

problem w tym że nawet gdy nie chcesz mieć dostępu do chmury dla instalacji PV to nie możesz, bo taki prikaz euro kołchoźników

ciekawe co UKE na zakłócenia radiowe z inventerów i kto za to odpowiada?

Awaria prądu na całe Niemcy by była. Paraliż państwa, plus kilka wypadków kolejowych bo oni szybkie pociagi maja na prąd.

Dzięki. W moim przypadku, ja mam apkę dającą dość niski poziom uprawnień w ingerencję inwertera (de facto zerowy), ale firma która montowała całą instalację, ma na czas udzielonej gwarancji (5 lat), inną apkę którą nadzoruje pracę mojego inwertera. Poziom jej uprawnień jest nieograniczony.

Elektryka prąd nie tyka, tylko z dala napier...😊

O jakich inwerterach mowa, o jakich sterownikach? Dotrę gdzieś do producenta i konkretnego badanego modelu? Edit. Mam Hoymiles. Jak się zabezpieczyć? Podgląd chcę mieć ponieważ sprawdzam czy Tauron nie robi mnie na $. Tyle, że mógłbym to robić analogowo, nie potrzebuję do tego routera.

Dlatego nie mam podłączonego falownika do internetu w ogóle wiem mniejsza wygoda itd ale da się przeżyć a mam chociaż spokój

Internet rzeczy miał być taki piękny, ale nie wyszło. Ten sam problem jest ze wszystkimi innymi urządzeniami, nawet telefonami (bez aktualizacji).

Na każde zabezpieczenie stworzone przez człowieka istnieje możliwość dezaktywacji tegoż zabezpieczenia przez drugiego człowieka, częstokroć tegoż samego...

Tak na marginesie dlaczego GPS przestaje działać jak to można zakłócić. Nadaje sie jakiś sygnał, hakuje satelity?

koleś gwiazdorząc godo za wolno, dobrze że jest x1,25

Selfhosted, własny homelab i jazda :P Pobór mocy pomijam XD (nie bijcie :) )

to napocić czy napsocić?

Aahh te sebixy..

Wszystko fajne tylko kto Kowalskiemu ogarnie te wszystkie dodatkowe bezpieczne sieci itd

#lazy-gate nowa furtka :)

Cześć Mateusz: czy mógłbyś zgłębić problem usługi sieciowej kamer IP? (bez używania VPN) tzn żeby móc zdalnie przeglądać nagrania z NVR trzeba podać hasła do kamer. Wówczas "ktoś" z IP z lotniska w Wietnamie próbuje dodzwonić się do Twojej kamery. Nie wiem czy wyrażam się jasno (jestem lajkonikiem w temacie)? Ale ku przestrodze użytkowników licznych chińskich kamer IP. Pozdrawiam i tak 3-maj.

7:56 Newag option

Zero_sign :D

Cześć!

szkoda że ta energia z paneli w tych tabelkach co to niby tyle wytworzono to taka bardzo krótka w czasie.. zazwyczaj w dzień i to latem 😂😅 a pozostałe miesiące.., noce itd. heheh

w naszym kraju to rządzi sięprzez tableta na wiejskiej :p

Czy zastanawia się ktoś co zrobić ze zużytymi panelami fotowoltaicznymi ?

Panie czarodzieju bezpieczeństwa, może jakiś odcinek o aktualizacjach przez winget z gui vs pobieranie ze stron? Używam od jakiegoś czasu chwalę sobię na windzie, niby raczej się spotykałem z opiniami że to bezpieczniejsze niż łażenie po googlu który od dawna nie działa tak jak kiedyś (Niemce nawet badania na to robili) ale to chyba też musi mieć jakieś słabsze strony i stąd pytanie jakie?

Nieznośna lekkość podpisu 😅

Zbudowałem kilka DTU na OpenDTU jest jeszcze AhoyDTU odpowiednik. Działa bez problemu ale ma pewne ograniczenia. Odczytuje dane szybciej, lepiej więcej niż oryginał, nie pozwala na zmianę ustawień. Przetestowane, da się, przepraszam za wprowadzenie w błąd... Uczymy się całe życie ;)

nie rozumiem po cholerę pv (czy wiele innych) podłczac do internetu

zwyczajowa nazwa proponuję newagbug

Na początku myślałem że ten materiał będziesz dotyczył czegoś innego. Tego co setki innych materiałów ze fotowoltaika jest nieoplacalna czy niebezpieczna. A tu ciekawy materiał dotyczacy bezpieczenstwa funkcjonowania. Nikt o tym nie myśli tylko najważniejsze zeby była apka bo musze sie przecież pochwalic ile juz wyprodukowalem kwh. Temat trafił w punkt!! Co so sloganu ze pradu moze zabraknąć to hmmm... Problem jest ze podczas normalnej pracy sieć jest przewidywalna czyli ile i kiedy musi byc mocy w sieci. Pamietajmy ze siec nie ma pojemności. Nie mozna nic z magazynować globalnie. Moze i zainstalowana moc wytworcza jest wystarczajaca to bezwładność tych urzadzen wytwarzajacych opartych glownie na węglu jest duża. Jesli taki atak nastąpiłby globalnie w znacznej części instalacji pv np w słonecznym lipcu to na kilka ładnych dni cofamy sie do poziomu średniowiecza. Do tego dochodzą zachowania ludzi ktorzy nie maja dostepu do chyba wszystkich potrzebnych codziennych rzeczy i dramat murowany. Dzieki panu na material.

Ciekawe jak mój chiński falownik Deye 😂

Mati Klasyczny Bezpieczniku denerwujesz się że soft nie podpisany itp itd ale w świecie embedded do niedawna nie było zasobów na porządne zrobienie ssl/tls a co dopiero zdalny update i podpisywanie softu :) Zgadzam się z tym, że producent ponosi odpowiedzialność za błędy w oprogramowaniu ale nie pomijaj spapranej architektury. Skoro można odstrzelić inwerter to nie ma dobrej izolacji pomiędzy niskopoziomowymi funkcjami krytycznymi a zdalnym zarządzaniem i telemetrią. Ciekawe czy przy innej topologii dałoby się podnieść wartość napięcia w domu i wydymić trochę sprzętu. Jak dla mnie takie systemy powinny być co do zasady modułowe i zapewniać maksimum izolacji pomiędzy niskopoziomowymi funkcjami a wysokopoziomowym sterowaniem i telemetrią. Podpisywanie softu tak ale czy z czasem nie doprowadzi to do tego że będzie się w 100% zależnym od producenta (john deere, ppp, right to repair i te sprawy)?