Onderzoekers leggen kwetsbaarheden in energiemeters bloot

Beveiligingsonderzoekers van de Universiteit van South Carolina stellen dat energiemeters vrij eenvoudig ongemerkt op afstand uitgelezen kunnen worden. De informatie die de digitale energiemeters draadloos verzenden zou niet zijn versleuteld.

De onderzoekers bekeken zogenaamde automatic meter reading-technologie die in meer dan 40 miljoen water-, gas- en elektriciteitmeters in de VS zijn geplaatst. Via de amr-technologie kunnen nutsbedrijven meterstanden draadloos uitlezen door bijvoorbeeld met een bestelauto voorzien van ontvangstapparatuur door een woonwijk te rijden. Volgens de onderzoekers is het voor kwaadwillenden met relatief weinig middelen mogelijk om de verzonden amr-signalen uit te lezen. Zo kan een crimineel nagaan of een huis verlaten is als het energieverbruik laag blijft.

Om de amr-informatie uit te lezen gebruikten de onderzoekers online informatie over de gebruikte radiotechnologie. Verder werd ontvangstapparatuur ter waarde van circa 1000 dollar gekocht en met behulp van opensource-software en reverse engineering van het gebruikte protocol kon niet alleen informatie van de energiemeters worden uitgelezen - in een straal van 300 meter werden 485 energiemeters gevonden - maar ook gemanipuleerd worden. Zo zouden via spoofing verkeerde meterstanden doorgegeven kunnen worden als het energiebedrijf met een handlezer de standen wil opnemen.

Volgens de onderzoekers wordt bij het amr-systeem geen gebruik gemaakt van enige vorm van versleuteling van de informatie. Het enige beveiligingsmechanisme dat wordt toegepast is channel hopping. Ook is er geen authenticatiemechanisme voorhanden en wordt de ontvangen informatie niet gecontroleerd op mogelijke fouten.

Het invoeren van encryptie op het signaal zou volgens de opstellers van het onderzoeksrapport het probleem kunnen verminderen, maar het aanpassen van de 40 miljoen meters via een firmware-update is vermoedelijk te complex en te kostbaar. Bovendien is onduidelijk of alle amr-meters daarvoor geschikt zijn. Een alternatief zou een privacy preserving jammer-module zijn. Deze kan op een bestaande energiemeter gemonteerd worden en zou het signaal vanuit de energiemeter kunnen maskeren.

Uitlezen amr-meters in Amerikaanse woonwijk

IT-banen

Reacties (83)

Mr_gadget 21 oktober 2012 14:51

Vind het altijd vreemd dat de ontwerpers van dit soort apparaten (en pacemakers e.d.) er niet bij nadenken dat dit soort systemen ook misbruikt kunnen worden..Maar het is natuurlijk niet in het belang van de opdrachtgever om deze systemen heel veilig te maken, ze moeten vooral goedkoop zijn..
Als de Nederlandse overheid deze dingen ooit verplicht gaat stellen dan vind ik dat het gewoon een open standaard moet zijn en dat je zelf een meter kan kopen. Of er moet een stevige wettelijke veiligheidsstandaard komen om dit soort praktijken te voorkomen! Geef mij tot die tijd maar een mooie mechanische meter

[Reactie gewijzigd door Mr_gadget op 24 juli 2024 10:11]

Golodh @Mr_gadget • 21 oktober 2012 18:58

Niets vreemds aan. De * ontwerpers* willen daar best rekening mee houden en de boel dichttimmeren.

Hun *management* echter wil dat niet. Het is namelijk geen *eis* dat e.e.a. versleuteld wordt en daar is ook niet voor gebudgetteerd. Geen manager die daar dus nog voor tekent (die tekent immers zijn eigen brevet van onvermogen als 'ie het wel doet). Beveliging staat misschien nog wel in de specs, maar hoe goed die moet zijn staat er niet bij. Er wordt dus gestuurd op taakstellend budget voor beveiliging. De een of andere procesmanager heeft dan het hokje "beveliging" afgevinkt omdat er frequency hopping plaatsvindt. Weet hij/zij veel?

Tsja, zo steekt zoiets in elkaar bij grote organisaties. Iedereen houdt zijn eigen budgetje in de gaten en geeft specificaties en opdrachten door. Geen hond, maar dan ook echt geen hond, is eindverantwoordelijk.

Als er dan wat misgaat is fase 1 van het zwartepieten: "wie heeft niet aan zijn specs voldaan". Dat is dan niemand, want "beveiliging" stond wel in de specs maar versleuteling niet. Die oenige en kennisloze procesmanager die het hokje heeft afgevinkt is afgegaan op een memo van een engineer. Heeft die engineer de juiste vraag voorgelegd gekregen? Heeft die voldoende budget gekregen? Heeft die een klein palet van maatregeleopgesteld waaruit anderen (b.v. een werkgroep) vervolgens de allergoedkoopste (en ondeugdelijke) variant uitgehaald hebben. Blijkbaar is er in die communicatie dan wat misgegaan. Communicatiestoornis meneertje! Er moet zorgvuldiger gecommuniceerd worden.

Gevolg: er worden meer richtlijnen opgesteld om de communicatie te bevorderen. Zinloze verspilling van tijd en geld natuurlijk maar formeel gezien is het probleem onderkend en aangepakt. Het aanstellen van mensen die inhoudelijk op de hoogte zijn en een project kunne overzien is immers achterhaald, want te duur.

Lollig om te zien wel, behalve als je van dat soort klunzen afhankelijk bent (en dat zijn we allemaal).

latka @Golodh • 21 oktober 2012 21:14

Geweldig en zeer herkenbaar ;-) Reden geweest om weg te gaan bij mijn vorige werkgever waar de processengineers de overhand hadden gekregen.

arnem_ @Mr_gadget • 21 oktober 2012 15:51

Het is misschien goed dat het beveiligd zou zijn maar dat het een automatisme zou moeten zijn snap ik dan weer niet.

Met een broodmes kun je een moord plegen, moet je dan alleen maar broodmessen gaan verkopen waarmee je geen moord kan plegen? Hoe zien die er uit?
En hoe lossen we dat op met stoeptegels?
Niet alles wat beveiligd kan worden, hoeft ook daadwerkelijk beveiligd te worden.
Het kan zelfs averechts werken. Als mensen maar vertrouwen op automatisering en/of beveiliging, wordt er misschien wel minder en minder-logisch nagedacht.

Als een inbreker wil kijken of iemand thuis is, kan hij ook kijken of er een berg meuk achter de brievenbus ligt. Als er een meterstand te hoog wordt doorgegeven, ziet de klant dat ook wel op de rekening.

[Reactie gewijzigd door arnem_ op 24 juli 2024 10:11]

TD-er

@arnem_ • 21 oktober 2012 19:11

Niet alles wat beveiligd kan worden, hoeft ook daadwerkelijk beveiligd te worden.

Ik weet niet hoe het zit met de "slimme meters" in de VS, maar hier gaat de communicatie 2 richtingen op.
Zo kun je ook remote de meter afsluiten.
Denk e eens in wat er kan gebeuren als je dat met een hele stad doet, een paar keer aan en uit.
Dan ligt het hele land plat en misschien wel meer.

Prima ingang voor terrorisme, dus een beveiliging lijkt me wel wenselijk.

Als je bij het ontwerp van zaken altijd rekening houd met het gegeven dat input van buiten altijd compromised kan zijn, dan krijg je vanzelf veel betere producten en als het een gewoonte is om daar over na te denken, dan kost het ook nauwelijks meer dan een slecht ontworpen product.
Als je naar buiten gaat, draai je toch ook de deur op slot?
Als je inlogt op een Linux-machine gebruik je toch ook geen telnet meer, maar ssh? Zelfs voor thuisgebruik.
Bankzaken doe je toch ook alleen maar via HTTPS?

MClaeys @TD-er • 22 oktober 2012 08:33

Persoonlijk hoop ik dat de beveiliging hier beter is, in België beginnen ze die ondingen ondertussen wat te pushen. Wie zonnepanelen heeft kan binnenkort waarschijnlijk kiezen tussen 200 euro forfait betalen of een slimme energiemeter plaatsen (wat duurder zal uitkomen, ook al zeggen ze van niet). Met wat zoeken is het misschien net zoals de beveiliging van die pacemakers, je maakt een custom firmware en die zend je uit terwijl je wat rondrijd. De firmware stuurt enkel 0 door naar de leverancier, de hacker krijgt automatisch een signaal als de persoon niet thuis is (verbruik onder een bepaald niveau) en op cruciale momenten valt de stroom uit (niet definitief, maar gewoon voor het plezier overal om 12 uur op oudejaar de stroom uit ofzo, misschien nog wat andere feesten wanneer veel mensen samenkomen). Ik wil dit toch liever niet meemaken, maar iets zegt me dat de beveiliging hier ook niet zo super zal zijn.

Zolang er niet teveel mensen zijn die zo een meter hebben zal het risico nog meevallen, maar eens dit aantal groeit zal het wat anders zijn. Het doet me wat denken aan de uitleg in dit filmpje van Ted: Smart failure for a fast changing world. Men kijkt gewoonweg niet vooruit of men laat cruciale zaken liggen omdat ze naar hun zin te duur zijn.

cuylfrits @arnem_ • 21 oktober 2012 16:42

Als een inbreker wil kijken of iemand thuis is, kan hij ook kijken of er een berg meuk achter de brievenbus ligt.

Klopt, maar dat is een stuk arbeidsintensiever / risicovoller dan met een auto door 5 wijken heen te rijden en overal de meterstanden uit te lezen.

Het is misschien goed dat het beveiligd zou zijn maar dat het een automatisme zou moeten zijn snap ik dan weer niet.

Persoonlijk vind ik dat je anno 2012 mag aannemen dat uitgebrachte producten redelijkerwijs van beveiliging voorzien mag zijn. Het probleem hierin is de definitie van beveiliging, de relevantie en aannemelijkheid dat hier iets mee kan gebeuren.

In dit specifieke geval heeft men eerst voor circa $1,000.- aan hardware moeten aanschaffen en via opensource software het protocol moeten re-engineren. In mijn opinie is deze investering + vereiste kennis te hoog om daadwerkelijk in gezet te worden door een huis, tuin en keukendief.

Gezien deze inschatting, had de leverancier dan nog extra maatregels moeten nemen?

Joris @cuylfrits • 21 oktober 2012 16:56

Let er wel op dat het hier om apparatuur gaat die algemeen inzetbaar is en bruikbaar is voor de analyse van de signalen. Het is niet ondenkbaar dat hetzelfde kan voor een tiende van de prijs. Zelfde als dat je een oscilloscoop (vrij prijzig) kunt gebruiken om radiosignalen te bestuderen, maar dat je met een radio van €5 er al naar kunt luisteren.

BlaDeKke @cuylfrits • 22 oktober 2012 10:10

En als deze persoon een How To publiceert? Of moet dat ook verboden worden? Zodat je zelf al niet weet wat er mis is met deze toestellen.

Het had misschien niet in de media mogen komen, zodat iedere crimineel hier gebruik van kan maken zonder we dit weten.?

Top-Rob @arnem_ • 21 oktober 2012 17:19

Niet alles wat beveiligd kan worden, hoeft ook daadwerkelijk beveiligd te worden.

Dat ben ik op zich wel met je eens, maar het feit dat iedereen zomaar energiemeters kan uitlezen vind ik toch wel risicovol. Bovendien vind ik het niet aan de energiemaatschappij om te bepalen dat dat soort zaken *niet* afgeschermd hoeven te worden. ZIJ zijn het immers die graag digitale meters willen hebben: de consument heeft hier helemaal geen voordeel aan. Nou is het helemaal niet erg dat de consument er geen baat bij heeft, maar blijkbaar hebben ze er dus wel last van en dat gaat me dan een stap te ver.

Als een inbreker wil kijken of iemand thuis is, kan hij ook kijken of er een berg meuk achter de brievenbus ligt.

Nee hoor, dat is iets wat je zelf in de hand hebt => veel mensen vragen sowieso aan de buren/vrienden/familie of zij de plantjes water willen geven en dan meteen de post op tafel kunnen neerleggen. Daarnaast zijn ook nog mensen die een timer voor de lamp kopen zodat die iedere avond aan springt, waardoor het huis bewoont lijkt. Wat moeten diezelfde mensen in de toekomst: ook maar de vaatwasser en de verwarming aanzetten en de rekening op laten lopen voor niks om maar proberen extra energiewaardes te genereren?

SgtElPotato @Mr_gadget • 21 oktober 2012 15:17

En vooral tegenwoordig waar cyber criminaliteit heel erg hot is verwacht je steeds beter wordende beveiliging.
Nou zal 90% hier niks mee kunnen / willen doen, maar ik bedoel voor bijvoorbeeld wiettelers is dit erg interessant, als ze de meterstand op komen nemen, ding spoofen en lagere meterstand doorgeven.

walletje-w @SgtElPotato • 21 oktober 2012 15:54

Ik word er zelfs een beetje bang van. We lezen hier op tweakers wat er gebeurd, wat er bekend gemaakt wordt en wat er bedacht is door 'goede' mensen. Stel dat je kwalijke gedachten hebt dan kun je toch helemaal los gaan. Als je er een beetje verstand van hebt volgens mij kun je dan zoveel dingen voor elkaar krijgen waar nog bijna niemand aan gedacht heeft en wat gewoon nog niet publiekelijk gemaakt is. Wellicht stoplichten, verpakkingen met verkeerde materialen, transport systemen, magnetron, augmented reality. Dit zijn zomaar wat voorbeelden waar ik nog niets over gehoord heb maar waar met wat creativiteit zo een gevaar kan opduiken.

Dat is het grote probleem met deze ingewikkelde, gecompliceerde maatschappij, je kunt niet overal aan denken hoe ga je dan al deze potentiële gevaren dekken?

laptopleon @walletje-w • 22 oktober 2012 01:35

Als je kwaad wil, heb je niet veel kennis nodig hè? Paar Verpakkingen frituurolie in een bocht... aanmaakblokje in een autobumper... stoeptegel van een viaduct... etc. Maar zeg nou zelf, hoe vaak gebeurt dat echt? Gelukkig maar zelden. Je kan overal wel bang voor zijn. Ik zeg niet dat je roekeloos moet leven maar je moet je ook niet al te sappel maken over wat er allemaal mis kan gaan. Een mens lijdt het meest, van het lijden dat hij vreest.

Anoniem: 399807 @laptopleon • 22 oktober 2012 09:37

Maar de dingen die jij noemt worden zelden gedaan omdat mensen een ethisch kompas hebben. Men kan zich voorstellen wat er met een menselijk lichaam gebeurt als je het in een auto uit de bocht laat vliegen. Dan denk je aan jezelf en hoe dat zou voelen.

Internet is een abstractie. Je doet mensen wat aan zonder dat je hun gezicht ziet. Dat maakt het makkelijker. Het fysiek plaatsen van iets dat ongelukken veroorzaakt en letsel en leed is dus wel wat anders dan iemand naaien op een factuur van de energie maatschappij. Zelfs identiteitsdiefstal blijft abstract, het is makkelijker over de gevolgen heen te stappen. Het gaat immers slechts om geld? En de dader kan bedenken dat het slachtoffer het best weer voor elkaar krijgt, nieuw paspoort, nieuwe account, het kost allen tijd en moeite.

Bovendien pak je met een stoeptegel een auto, dan ren je weg. Internet gaat niet over individuen maar over hele massa's mensen die genaaid kunnen worden. De schaalvergroting kan lopen tot in de miljoenen mensen.

Ik vind het gevaar van internet, van alles digitaliseren, van netwerken het gevaarlijkste potentieel in de moderne wereld. We moeten minder netwerken, minder gegevens draadloos verzenden. Niet alles analoog is slecht of ouderwets.

Ik snap niet wat voor paradigma verschuiving bepaalt dat oud slecht is en nieuw altijd goed. De enige reden is de reden waarom Kroes onlangs zei dat netwerken sneller moeten. Ofwel, commercie. Alle veligheid en gezond verstand wordt opgeofferd aan massa-hyper-consumptie.

Websites zoals dit doen daaraan mee. Hier verzamelen zich mensen zonder veel technorealisme, die elkaar als startmotortjes aanjagen, die werken in de ICT en helemaal geen zin hebben te moeten horen dat ze medeverantwoordelijk zijn voor het verlies van privacy en het verhogen van de risico's voor mensen in de maatschappij.

Er is NIETS mis met een ouderwetse energiemeter en er is GEEN voordeel van een slimme meter, behalve voor de electriciteitsleveranciers, die besparen op kosten maar daarvan niets teruggeven aan de klant. Daarnaast kunnen ze weer complexe hackbare websites bouwen waarop klanten kunnen inloggen om zo online hun gebruik te bekijken, uitgaande van de energie meters, elke 15 minuten dat er data werd verzonden. Dus men komt met allerlei tooltjes en aan te vinken opties, zodat je een mailtje krijgt als je op een bepaald gebruik komt, je kunt een grafiekje zien en downloaden, allemaal handigheidjes die niemand wil, niemand nodig heeft en je vooral weer profileren.

Verder is het mooi voor de overheid want die kan nog beter zogenaamd criminelen opsporen. Alsof de overheid zich ooit aan enige restrictie houdt m.b.t. technologie.

Lang Leve Analoog!

the-dark-force @SgtElPotato • 21 oktober 2012 17:21

ik dacht eerder aan een hackende inbreker die in de kinderwagen een laptop heeft en rond de vakantietijden gewoon even een rondje maakt om te kijken wie er op vakantie is...

edit: roemeen maakt het zo generaliserend

[Reactie gewijzigd door the-dark-force op 24 juli 2024 10:11]

Anoniem: 64119 @Mr_gadget • 21 oktober 2012 22:31

@Mr gadget: (off topic)

Pacemakers is een beetje een verhaal apart, die dingen worden al zo lang gebruikt (ruim 40 jaar) dat mensen die nu nog met een oud exemplaar rondlopen vanzelfsprekend kwetsbaarder zijn dan mensen die nu de nieuwste versies krijgen. Alleen van recente types zou je mogen verwachten dat ze beter beveiligt zijn.

Backontopic:

Zelf heb ik een Youless welke op mijn eigen bedraad netwerk zit. (mijn bewuste keuze)
Fabrikanten en leveranciers hebben voornamelijk interesse in eigen belang en gemak.
De klant komt ano 2012 gewoon op de allerlaatste plaats. (niet mijn bewuste keuze)
Dan zijn dit soort onderzoeks resultaten gewoon gegarandeerd.

peak @Mr_gadget • 21 oktober 2012 23:45

De ontwikkeling van een meter van design tot daadwerkelijke implementatie is complexer en uitgebreider dan je denkt. Deze meters zijn jaren in gebruik, toen er nog niet zulke geavanceerde methodes waren en men het risico niet begreep/inzag.

Voor wat betreft Nederland pakken ze het wel goed aan. (zoek maar op "netbeheer nederland privacy en security")

Voor NL zijn er strenge eisen gesteld aan de meters en de netbeheerders worden jaarlijks gecontroleerd.

Dat iedereen zelf een meter kan kopen wil je eigenlijk niet. Dan loop je weer het risico dat iemand de meter uit elkaar haalt en reverse engineering gaat toepassen... soms heb je gewoon liever proprietary die je ook echt voor een groot deel geheim wilt houden

Anoniem: 135995 21 oktober 2012 14:54

Benieuwd of dat hier in NL beter geregeld is. Ze zeggen vast van wel - maar het zal wel vast van niet...

Dit is in ieder geval wel de reden dat ik tot nu toe geen enkele poging gedaan heb om zo'n meter aan te vragen. Het nut weegt niet op tegen de risico's. Nog even los van de hack-gevoeligheid zit ik er ook niet op te wachten dat medewerkers van het energiebedrijf zo maar bij mijn data kunnen. Zo lang hier geen enkele garanties voor afgegeven worden (of eerst maar eens transparantie) komt zo'n meter er bij mij niet in!

Dual Infinity @Anoniem: 135995 • 21 oktober 2012 17:22

Benieuwd of dat hier in NL beter geregeld is. Ze zeggen vast van wel - maar het zal wel vast van niet...

Er wordt in Europa in ieder geval wel over nagedacht:
http://privacybydesign.ca...bd-smartmeters-europe.pdf

Ik heb zelf geen elektronische elektriciteitsmeter, maar misschien kunnen zij die dat wel hebben kijken naar de case studies (zie bijv. pagina 17).
Daar wordt ingegaan op de security van Vattenfall-meters in Duitsland. Nuon is (tegenwoordig?) ook van Vattenfall, dus misschien dat er overeenkomsten zijn.

SA007 Moderator Tweaking @Dual Infinity • 21 oktober 2012 19:11

Ik heb eens door dat document gescanned, er staan wel wat leuke ideen in.

Maar ik zie nergens dat deze ook echt toegepast worden, het is een soortvan 'best practices' concept.
Als ik kijk naar echt toepassingen van slimme meters binnen nederland volgens de NTA8150, de NTA8130 en EN50470 (de normen die erop van toepassing zijn) schetst dat een heel ander beeld.
Als ontwerper van electriciteitsmeters ben ik direct betrokken bij implementatie daarvan en dat is een stuk minder goed beveiligd. De belangrijkste norm hierin is de EN50470 (MID - Measurement Instruments Directive), hierin staat beschreven hoe een meter getest en beschermd dient te worden, ook qua software.
Hieruit is door welmec een lijst van bepalingen ervoor gekomen die vrij beschikbaar zijn op http://www.welmec.org/ .
Intressant is Welmec 7.2 (Software).

Een paar quotes voor apparaten die onder B/C risk class vallen (meeste electiciteitsmeters vallen daaronder):
Bladzijde 44 - T3.
"The legally relevant transmitted data must be protected against intentional changes with software tools."
"Example of an Acceptable Solution:"
"An acceptable solution is the CRC-16 algorithm."

Als het naar een hogere risk class gaat is wel verwacht dat het minimaal 128 bit encrypted wordt, maar volgens mij is dat nog niet van toepassing op electriciteitsmeters, in ieder geval niet de ontwerpen die bij ons goedgekeurd zijn.

Terrier529

@Anoniem: 135995 • 21 oktober 2012 15:27

Het is ook niet zozeer de vraag of ji zo,n meter wil hebben, maar de energie maatschappij zal op korte termijn, een zogenaamde slimme meetinrichting, bij je gaan plaatsen.
Want dit gaat landelijk gebeuren, heeft onze regering beslist.
En het gros van het publiek laat dat gewoon toe, want ja, dan hoef je zelf geen meterstanden na te kijken, dat wordt n.l. op afstand door de energiemaatschappij gedaan.

Maar de huidige generatie meters, zijn qua beveiliging nog zo brak, dat ik in ieder geval weiger.

Het is niet alleen dat uitlezen wat op afstand gedaan kan worden, maar ook het uitschakelen van de Gas en Elektra toevoer kan op afstand gedaan worden, en dat gebeurd dus nu ook al bij wanbetaling, en ook wanneer er geen leverancier bekend is bij het netbedrijf.

Kwaadwillenden kunnen hier wellicht ook gebruik van maken, al is dat voorzover ik weet nog niet voorgekomen, maar ook dit zal een kwestie van tijd worden.

Maar goed zoals ik al zei, je mag zo,'n slimme meetinrichting weigeren.

basst85 @Terrier529 • 21 oktober 2012 16:09

Wij hebben ook sinds enkele dagen een slimme energiemeter. Deze verstuurd de meterstanden automatisch via GSM/GPRS technologie naar de netbeheerder.

perry1 @basst85 • 21 oktober 2012 17:09

Als je het signaal wilt blokkeren, dan bouw je er toch een kastje omheen dat het signaal afvangt?

arjankoole

Verenigde staten

@perry1 • 21 oktober 2012 17:24

Volgens mij mag dat niet ;-) als het ding niet naar huis belt om z'n data af te leveren zal er vast even gecontroleerd gaan worden. Zo had een vriend van me onlang een tijd gratis stroom omdat de stroommeter van dat ding niets meer kon meten. Nu hebben ze de meter maar even vervangen.

Anoniem: 468760 @perry1 • 21 oktober 2012 17:39

Ik heb een tijdje geleden wat vragen gesteld aan enexis over de slimme meter.
Over de beveiliging kreeg alleen maar wat standaard "non-antwoorden".

Maar ik heb ook gevraagd wat er gebeurd als de meter voor langere tijd geen verbinding maakt. ( Misschien vind ik het wel leuk om mijn meterkast te behangen met alu-folie en kippengaas, ofzo) .
Daar kreeg ik natuurlijk wel een duidelijk antwoord op: De meter wordt op storing gezet, en dan komt er dus een monteur langs.
Ik kan wel raden voor wie die rekening zal zijn.

Voor mij ook geen slimme meter dus. Als ze niet kunnen/willen vertellen hoe die beveiligd is, ga ik maar uit van het ergste.

Anoniem: 399807 @Anoniem: 468760 • 22 oktober 2012 09:45

Ik hoop dat je ook teruggekoppeld hebt dat hun antwoorden onbevredigend waren en dat jij geen slimme meter zult accepteren zolang zij vaag blijven. Die bedrijven moeten wel weten dat er weerstand is.

Anoniem: 274610 @Anoniem: 468760 • 22 oktober 2012 15:03

Daar wij nogal last hebben van electromagnetische straling hebben we onze meterkast, incl. muren, al 30 jaar voorzien van een kooi van Farraday!
Operatiekamers, mijnenvegers, kritische meetruimtes, e.d. zijn op dezelfde manier "ingepakt".
Waarom geen meterkast?

m00 @Terrier529 • 21 oktober 2012 15:37

Je mag inderdaad weigeren, maar als je verhuist en in je nieuwe huis zit toevallig al zo'n onding krijg je hem niet meer omgewisseld voor een normale meter. Op termijn zal iedereen er toch aan moeten geloven.

dcl! @m00 • 21 oktober 2012 20:01

Weer iets wat de huizenprijzen doet kelderen, de aanwezigheid van een slimme meter. Wie weet kunnen de prijzen van huizen met een antieke meter nu gaan stijgen

lezzmeister @Anoniem: 135995 • 22 oktober 2012 01:09

Niet alleen elektra, je kan erop wachten tot de water en gasleveranciers ook lekker digitaal en nieuw willen gaan. Ik hou mijn hart al vast.

Komen ze bij mij aan de deur. "Nu €1400 lappen of we sluiten het water af meneer." Niet mee te praten, bellen of het fout is doen ze niet aan. Dat heb ik niet contant in huis, mobiel pinnen dat kan niet, en pinnen bij de bank is minder dan €1400 per dag. Ja en dan?
Hang je een uur aan de telefoon, blijkt dat de naam wel klopte, maar het adres en de gemeente niet. "Oeps foutje hihi". Vieze vuile....
Maar wil je per direct aangesloten worden moet je wel over de brug komen met de €1400 plus extra kosten voor heraansluiten, want "dat zijn nu eenmaal de regels meneer, en het personeel kost ook geld". Maar als ik een weekje geduld had was dat onterechte bedrag wel uit het systeem en kon ik worden aangesloten voor alleen de heraansluitingskosten. Of het nu terecht is of niet, betalen moet je toch. En dan sleep je ze voor de rechter en dan zijn ze boos ook nog.

Service he? En stel het je voor met digitale meters overal.

Help!!!!

21 oktober 2012 14:43

What else is new.

Zoveelste faal om dingen maar even snel handig te willen doen, maar moet natuurlijk wel goedkoop. EPG, info op paspoort, ov chip, toegangskaarten/chip ministeries......

Heerlijk zo'n oude analoge meter. Verdedig hem met mijn leven!!

Anoniem: 296652 @Help!!!! • 21 oktober 2012 18:03

In mijn ogen heb je gelijk, alhoewel........

Als ze zijn uit te lezen moet het ook mogelijk zijn een spooksignaal te genereren. Als je dus geen zin hebt om de volle pot te betalen aan je leverancier (ik juich het niet toe....) dan zendt je je eigen waardes naar de meteropnemer....

(of je hackt de waardes van die lastige buurman die dan een rekening van € 8.500.000.000.000.000,- gaat krijgen...)

TD-er

@Anoniem: 296652 • 21 oktober 2012 18:50

Zoek maar eens op Youtube naar filmpjes over de invoer van dit soort meters in de VS.
Een van de argumenten was oa. dat het zendvermogen van die meters behoorlijk hoog was, maar dat zou wegvallen doordat er maar heel even gezonden wordt.
Nu is het een mesh-systeem, dus je stuurt ook de berichten van de buren en diens buren door, dus in drukke gebieden zit je constant te zenden.
Gooi er een stoorzender tegenaan en je zit met nog veel meer zendvermogen. Dus je verergert het nog meer dan.
Daarnaast zijn er nu al heel veel mensen in de VS die aangeven een veel hogere rekening te hebben sinds de invoering van dergelijke meters, dus best mogelijk dat gebrek aan encryptie (en dus foutdetectie) nu al problemen oplevert in de transport van de data.

Ander punt is dat de meters in de VS aan de buitenkant van de huizen hangen, dus als bewoner kun je er weinig aan doen dat de nieuwe meter opgehangen wordt.
Deuren naar gezamelijke ruimtes met meters voor een heel blok, worden opengebroken door de metervervangers.
De lokale overheden hebben aangegeven dat meters niet vervangen mogen worden tot duidelijk is of de klachten gegrond zijn, maar de metervervangingen gaan gewoon door.

Ook lijkt het erop dat de vergunningen onterecht zijn gegeven, doordat de tests op totaal andere apparaten is uitgevoerd.

Hopelijk komt er door dit soort onderzoeken eindelijk eens een beetje bezinning, ook hier in Europa. Maar ik vrees dat het grote geld toch voorrang krijgt en vervangingen/upgrades worden toch wel betaald door de burger, dus dat is niet de zorg van de maatschappijen die de huidige meters leveren.

Ramoncito @TD-er • 22 oktober 2012 01:48

Tsja, in mijn ogen is het heel simpel: 40 miljoen maal 50 cent licentiekosten voor een encryptieprotocol besparen..

PiepPiep @Ramoncito • 22 oktober 2012 08:33

Volgens mij is AES gratis om te gebruiken, dan is het niet zo moeilijk om het veilig te maken dus.

[Reactie gewijzigd door PiepPiep op 24 juli 2024 10:11]

Remus @PiepPiep • 22 oktober 2012 12:42

Gebruik dan TLS (SSL). Dan heb je gelijk authenticatie (dmv certificaat).

Kevinp @Help!!!! • 21 oktober 2012 20:28

Persoonlijk weet ik dat een netbeheerder (in ieder geval enexis) een slome loge trage, en daardoor gewoon slechte organisatie is.

Volgens hun gegevens hangt mijn meter bij de buurman (en zo de hele straat een verkeerd). Inmiddels 4 weken geleden gemeld. Nog geen brief gehad telefoontje of iets. En opgelost kan het niet zijn zonder dat ze de serienummers controleren.

Soms hoef je dus niet moeilijk te doen om totaal verkeerde waardes te krijgen. Leuk zo'n slimme energie meter, maar met de oude kan zoiets niet mis gaan. Ik ben op zich wel voor vooruitgang. Maar alleen als je het zelf duidelijk kan controleren. Want je moet er maar vanuit gaan dat je meter de goede is. Terwijl als je steeds zelf de standen door geeft is er niks aan de hand.

TD-er

@Kevinp • 21 oktober 2012 23:17

Leuk zo'n slimme energie meter, maar met de oude kan zoiets niet mis gaan.

Administratief kan er bij de oude meter net zoveel mis gaan.
Echter daarbij zijn de gevolgen iets minder groot.
Bij een "niet slimme meter" komt er nog iemand aan de deur die je kunt overtuigen van de fout in de administratie.
Bij een "slimme meter" kun je de draadloze pakketjes niet zo makkelijk overtuigen dat ze bij de buren moeten zijn om de boel af te sluiten.

Gezien de beroerde administratie van de netbeheerders zou ik persoonlijk nog even vasthouden aan de "domme meter".

Anoniem: 399807 @Help!!!! • 22 oktober 2012 09:22

Jij en ik samen. Ik wil geen 'slimme meter'. En als ik gedwongen wordt wil ik op het contract vermeld hebben dat ik niet aansprakelijk kan worden gehouden voor eventuele criminaliteit en dat elke schade die ik daarvan ondervind voor rekening is van het energiebedrijf.

Quad

21 oktober 2012 14:48

Wat ik mij dan afvraag, ter invoering van deze apparaten hebben ze toch wel getest of data te ontfutselen valt?
Hoe kom je erop om uberhaupt geen encryptie te gebruiken?

Erg jammer maar weer.

perry1 @Quad • 21 oktober 2012 17:05

Waarom zuden ze dat uberhaupt testen?

Het doel van de energiebedrijven was een meter die makkelijk uit te lezen was. Het is ze helemaal niet te doen om privacy of security.

Dat ook anderen deze meters kunnen uitlezen en de informatie zouden kunnen misbruiken, tja dat is "collatoral damage". En waarschijnlijk zal er wel ergens in de contracten met de klanten staan dat de energiebedrijven daar niet verantwoordelijk voor zijn.

TD-er

@perry1 • 21 oktober 2012 18:56

Encryptie toevoegen kost geld en bij een paar-100-miljoen apparaten telt elke cent mee.

Het later moeten aanpassen is wederom iets wat je kunt verkopen en de burger betaalt toch wel.
Zo hebben bedrijven baat bij dat projecten falen.

Wat veel erger is, is dat de toezichthouders het niet als eis opgenomen hebben.
Dergelijke meters moeten enkele tientallen jaren mee, dus je moet bij het vaststellen van de eisen wel rekening houden met toekomstige problemen.
Helaas moet er waarschijnlijk iets grondig mis gaan wil men dergelijke eisen op tafel leggen.

Tot die tijd zou ik er ook niet vanuit gaan dat de "slimme meters" hier veel beter zijn qua beveiliging.
Dezelfde wetmatigheden gelden namelijk hier ook.

PiepPiep @TD-er • 22 oktober 2012 08:37

Ik snap wel dat elke cent op die meter meetelt als er veel van die dingen gebruikt worden, maar eigenlijk is het ook wel een beetje raar.
Ik geloof dat de gemiddelde electriciteitskosten iets van 800 euro per jaar is ofzo, zeg dat zo'n meter 10 jaar mee gaat, dan meet hij dus voor 8000 euro aan electra. 50 cent extra is dan opeens toch niet zo heel veel meer, ik zou het er iig wel voor over hebben.

Waah @TD-er • 22 oktober 2012 08:52

hoeveel denk je datr de energiebedrijven besparen? ze hoeven enkel met een busje door de wijk te rijden en hebben alle meterstanden. dat is goedkoper dan brieven sturen, mensen langs de deuren laten gaan en controleren etc.

Dit is dus gewoon een investering om dit laten dubbel en dwars terug te verdienen.

PiepPiep @Waah • 22 oktober 2012 10:10

Ik snap wel dat ze die slimme meters willen, daar ben ik ook niet op tegen. Maar waar ik op doelde was het verschil van slimme meter of slimme meter met encryptie.

latka @TD-er • 21 oktober 2012 21:12

Ik vraag me af of het erg is dat de toezichthouder het niet als eis had: toezichthouders zijn er om excessen de kop in te drukken. Als bedrijven fatsoenlijk zouden handelen zouden er geen toezichthouders nodig zijn. Mijn mening is dan ook: toezichthouders afschaffen. Van ieder bedrijf wat onetisch handeld (of verzuimd gebleken onethische zaken zeer snel op te lossen) de CEO standrechtelijk executeren. Moet je eens kijken wat dat aan kosten zal schelen qua toezichthouders (en toezichthouders op toezichthouders en handhavers en weet ik wat meer) als de ballen van de CEO op de pijnbank gaan ipv. de anonieme BV/NV waarachter men kan verschuilen.

Justhim 21 oktober 2012 14:59

Ik kan me niet voorstellen dat er tijdens de ontwikkeling van deze producten niet aan de beveiliging is gedacht. Er moet uiteindelijk iemand hebben besloten om het eruit te laten. Meestal is dat dan iemand die niet in ziet wat hiervan het 'gevaar' kan zijn.
In dit geval is het gevaar nog wel redelijk te overzien, alleen ik weet niet of die apparaten dus alleen een signaal uitzenden, of ook signaal accepteren? Zodra ze dus ook een signaal accepteren is het dus ook nog mogelijk dat er nog een lek zit in de firmware waarmee de hele meter overgenomen kan worden.

Bartjezz @Justhim • 21 oktober 2012 15:14

in een straal van 300 meter werden 485 energiemeters gevonden - maar ook gemanipuleerd worden. Zo zouden via spoofing verkeerde meterstanden doorgegeven kunnen worden als het energiebedrijf met een handlezer de standen wil opnemen.

Het lijkt me dus dat de meters ook "overgenomen" kunnen worden om er andere meterstanden in te programmeren.

enigmafan @Bartjezz • 21 oktober 2012 15:47

Het lijkt me dus dat de meters ook "overgenomen" kunnen worden om er andere meterstanden in te programmeren.

De beveiliging is slecht, maar het aanpassen van de meterstand, daar zal dan wel aan gedacht zijn, om dat te beveiligen...

SirBlade @enigmafan • 21 oktober 2012 20:34

Dat zal niet zo moelijk zijn. Het energiebedrijf kan de wijkmeters uitlezen en ze weten welke huizen aan iedere meter verbonden zijn. De optelsom van al die huismeters moet ongeveer gelijk zijn aan die van de wijkmeter (er zal een klein beetje verlies zijn ivm met warmte tijdens transport, maar ook dat is in te calculeren). Om energie te laten stelen moet je dus je eigen meter minder laten rapporteren en die van je buren meer. Als je alleen de rapportage aanpast zullen ze er vroeger of later achterkomen dat de 2 niet overeen komen.

Daarnast doet het energiebedrijf aan trendanalyse. Als ze zien dat opeens het verbruik van een bepaalde aansluiting veel hoger/lager is dan sturen ze een controlleur langs. En als ze continue monitoren wordt het nog simpeler de fraudeurs eruit te pikken.

Ik gok dat we meer te maken zullen krijgen met vandalisme dan fraude.

Het @SirBlade • 22 oktober 2012 10:37

Het hangt van je wijk af. Ik kan me voorstellen dat als je buren dichtbij genoeg zitten, je de meterstanden van een tiental buren een klein beetje kunt ophogen om zelf een flinke hoeveelheid meer energie te verbruiken en de papieren trend niet te laten aanslaan (desnoods verhoog je alle meterstanden met 10% en draai je van dat extra verbruik een wietplantage oid)

Vaevictis_ @enigmafan • 21 oktober 2012 18:44

Dat is een aanname! Ben er niet gerust op...

Justhim @Bartjezz • 21 oktober 2012 15:51

Dit spoofing zal wel gewoon een extra zender zijn die met dezelfde identiteit een andere meterstand uit stuurt.

Hoewel ik er niet van sta te kijken als het aanpassen van de meterstand ook nog eens mogelijk wordt.

Vaevictis_ @Justhim • 21 oktober 2012 18:43

Dat lijkt me echt een blunder, zeker als je ziet dat het om 40 miljoen meters gaat.

Lijkt me dat zo'n systeem secure-by-design moet zijn. Het zal vast wel heel goedkoop gemaakt worden dus een (firmware) update zal hier ook niet kunnen worden uitgevoerd.

SirBlade @Vaevictis_ • 21 oktober 2012 20:41

Als iemand een device fysiek kan benaderen kan bijna iedere beveiliging omzeilt worden. Je kan er dus ook voor kiezen om je beveiliging in te bouwen in de backend.

YDh @Justhim • 21 oktober 2012 16:39

Ik kan me niet voorstellen dat er tijdens de ontwikkeling van deze producten niet aan de beveiliging is gedacht.

Het zou me eerlijk gezegd verbazen als daar wel aan gedacht is. De basis van dit soort projecten is meestal terug te leiden tot een 'hobby-project' van één van de medewerkers. En in dat soort hobby-projecten is er (terecht) geen interesse in veiligheid. Het is enkel een onderzoek naar wat er met de technologie mogelijk is.

Het is pas als het bedrijf het project oppikt om er een commercieel product van te maken dat er eventueel naar beveiliging wordt gekeken. Maar vaak vertrekt men van het bestaande prototype bij de ontwikkeling van een commercieel product en dat is dus meestal vragen om beveligingsproblemen.

Nu ja, je moet mij maar eens uitleggen hoe je dit soort gegevens kan beveiligen. Als je met encryptie werkt moet je nog altijd een sleutel hebben om alle meters uit te lezen. Eens die op straat ligt (en hoe lang duurt zo iets) is het natuurlijk weer gedaan met je veiligheid.

Anoniem: 407157 21 oktober 2012 16:00

wij hebben een slimme meter thuis, en wat ik begrepen had van de installateur is dat de data via gprs verzonden wordt.

thof

@Anoniem: 407157 • 21 oktober 2012 17:24

Het gebruik van GPRS vind ik best een apparte keuze. Er hangt steeds meer apparatuur in de meterkast. Ljkt mij de kans op storing best groot. Stel dat ze dit ook door gaan voeren voor de andere meters, zoals bijvoorbeeld water. Water zit bij mij in de kelder, ik wens ze veel succes met daar een signaal krijgen. Misschien hadden ze het beter optioneel kunnen maken. De Slimme meters voorzien van een rj45 ethernet connector. Zo kun je er voor kiezen om hem wel of niet op het internet aan wil sluiten voor automatische meterstanden. Gaat het ook niet meer direct door de lucht en verlaagt ook nog eens de last op de GSM/GPRS masten.

Anoniem: 407157 @thof • 22 oktober 2012 00:44

die worden aangesloten met kabel naar de slimme meter en gaan ook via gprs.

laptopleon 22 oktober 2012 01:27

Inbrekers… Zouden die zoveel moeite doen en zo intelligent te werk gaan??

Afgezien daarvan, ben ik de enige die het een tikkeltje overkill / energieverspilling vind om 40 miljoen draadloze netwerken 24/7 in de lucht te houden, om ze één keer per jaar uit te lezen?!

Sorry hoor maar wat is er mis met een kartje of mailtje sturen of je even de stand door wil geven? Bij extreme waarden komt de controleur langs, maar die blijf je toch nodig houden, want ook met een draadloos aanspreekbare meter valt te knoeien.

mvd64 @laptopleon • 22 oktober 2012 08:40

Grootzakelijke meters worden minimaal dagelijks uitgelezen, zodat het verbruik snel te bekijken/monitoren is. Windmolens uiteraard vaker, omdat je snel wil weten hoeveel energie er is opgewekt (om evt een centrale bij te moeten schakelen als er niets/te weinig is opgewekt).
Het uitlezen gebeurt veelal dmv modems, die inbellen op de modems van de energiemeters (uitgerust met een datasim, of in een enkel geval gewoon gekoppeld aan een vaste lijn).

[Reactie gewijzigd door mvd64 op 24 juli 2024 10:11]

Titan_Fox 21 oktober 2012 14:58

Ik vraag me eerlijk gezegd hoe het zit met die digitale metertjes die ze op radiatoren plaatsen.

Zelf woon ik in een appartementencomplex met een centraal ketelhuis waar alle huurders op aangesloten zitten. In het begin zaten daar nog glazen buisjes op met een rode vloeistof die verdampt naar mate men stookt in huis.

Een jaar of twee terug hebben ze deze vervangen door een digitale variant die van buitenaf kan worden uitgelezen met een scanner. Zo hoeft diegene die de standen opneemt niet meer binnen te komen waardoor je daar niet voor hoeft thuis te blijven.

Ik heb dus geen enkel idee in hoeverre die dingen beveiligd zijn. Het zou knap lullig zijn als er een of andere grapjas met die dingen zit te rommelen waardoor je een incorrecte afrekening krijgt aan het eind van het jaar ...

Zet sowieso mijn vraagtekens bij de nauwkeurigheid van die dingen ... het zal allemaal wel kloppen ... Ben blij dat ik geen "slimme" energiemeter in huis heb. Van dit soort berichten wordt je wel paranoia.

tinus73 @Titan_Fox • 22 oktober 2012 09:47

Tsja, als je dat wilt doen licht je dus direct je buren op. Het is maar waar je zin in hebt.
Mijn inziens is dit gewoon prima, het draadloze netwerk wat deze apparaatjes onderhouden zijn goedkoper dan brievensturen, mensen die langskomen, je moet zelf thuis zijn etc etc.

Edit: Voor die anderen die het systeem niet kennen. Je gaat natuurlijk nooit meer betalen dan er daadwerkelijk is verstookt door de centrale voorziening. De meters geven alleen een verdeelsleutel van de kosten.

Mbt versleuteling denk ik dat de belangrijkste reden is om het niet te doen, is wanneer het , inde toekomst, mogelijk blijkt de gekozen versleuteling te kraken, de druk groter is om alle apparaatjes te vervangen (misschien een update)

[Reactie gewijzigd door tinus73 op 24 juli 2024 10:11]

Gammort 21 oktober 2012 15:54

Wordt dit systeem ook in Nederland gebruikt? Bij ons komen ze in ieder geval nog gewoon de meterstanden uitlezen met pen en papier (en een spiegel voor de enorm onhandige locatie van de gasmeter).

Mochten wij een digitaal systeem met draadloze gegevensoverdracht gaan invoeren stel ik voor dit met bijvoorbeeld NFC te doen om mensen buiten je huis geen toegang te geven tot je gegevens

Anoniem: 127111 21 oktober 2012 18:27

In nederland zijn energiemeters traditioneel in het huis gemonteerd. In veel landen is het echter normaal dat de meters vanaf de straat afleesbaar zijn.

Op dit item kan niet meer gereageerd worden.

Onderzoekers leggen kwetsbaarheden in energiemeters bloot

Lees meer

IT-banen

Reacties (83)

Sorteer op:

Weergave: