從智能寵物喂食器到支持網絡連接的智能恒溫器，現代家居均配有大量互連設備。近年來，這些產品的市場急劇增長。根據Statista的2020年數字市場展望，到2025年，估計全球將有4.81億個智能家居設備。

這些智能設備使房主能夠提高效率并最大程度地減少其碳足跡，但是，這些基于互聯(lián)網的技術為網絡攻擊和犯罪活動創(chuàng)造了全新的漏洞。佐治亞理工學院最近的一項研究表明，公用事業(yè)公司和某些機構可以通過各種方式大規(guī)模使用這些設備來操縱能源市場等等。

[[339335]]

物聯(lián)網僵尸網絡，電網和市場操縱

在智能家居時代，撥動開關并從電網獲取能量現在僅是一個數字按鈕。在特有的能源供需市場中，這些意味著金錢。通過為大量設備供電，能源供應商或公用事業(yè)公司可以人為地增加需求以增加利潤。這個想法是由美國佐治亞理工學院研究人員Tohid Shekari和Raheem Beyah領導的“ Black Hat USA 2020”研究項目的核心。

Shekari說：“類似的類比是，您正在參與股票市場，并且知道第二天會發(fā)生什么，因為您對第二天和下周的市場有某種控制和操縱。”

在最近的一次電話采訪中，Shekari使用標準的家用電動汽車(EV)充電器來說明這些設備如何驅動能源市場操縱。

“攻擊者可以使用EV電池(僅占可用的易受傷害的高功率設備的一小部分)對它們進行充電或從市場上放電，只是稍微增加和減少系統(tǒng)的負載。較小的能源操縱，例如系統(tǒng)負載的1%，會嚴重影響能源市場價格和其參與者的經濟收益或損失。”Shekari說。

與恒溫器或傳統(tǒng)烤箱不同，為車庫中的EV充電器通電可能不會產生太多容易識別的數字入侵。由于許多組織和機構在新冠病毒大流行期間已過渡到遠程工作和在線教育，因此需要注意這一重要事項。

但是，Shekari解釋說，通過監(jiān)視和分析這些設備的常規(guī)使用，個人可以確定房主的日程安排，然后在這些參數內工作。

攻擊者可以按照一周或一個月的時間間歇性地進行攻擊，而不是按照設定的每日時間表觸發(fā)這些設備，以最大程度地降低被發(fā)現或引起懷疑的風險。這種精心策劃的攻擊不需要每天進行大量的能量操縱就能以各種方式保持高利潤。實際上，一年之中通過各種時間窗口進行間隙操縱可能會產生可觀的利潤。

Shekari解釋說，一家小型發(fā)電廠的所有者每年可以額外獲得2400萬美元的利潤，而一個國家的參與者則可能對市場造成十億美元的經濟損失。

數據透明度和潛在的濫用

為了完成這種類型的市場操縱，攻擊者當然需要一個被入侵的僵尸營，但是，也必須全面了解典型的能耗和這些每日預測中的波動。一旦知道正常變化的范圍，一個實體就可以在這些范圍內工作而不會顯著地增加能耗。

“想象一下，您查看了市場歷史數據，并提取了一年內的正常負荷波動和負荷預測的正常偏差。例如，您知道總需求波動的2%相當正常。并且如果有人查看受攻擊的負載配置文件，他會認為“好吧，這是正常的負載預測錯誤”，并且沒有任何攻擊或操縱的跡象，” Shekari說。

目前，有關預期能耗的數據可隨時在線獲得。這種透明性實質上詳細說明了在不引起懷疑的情況下可以操縱該特定市場的范圍。盡管信息共享在表面上可能是好的，但是了解這些詳細數字可以幫助掩蓋市場欺騙。

“這種無所畏懼和不必要的數據共享是可能導致對市場造成巨大金融攻擊的主要代碼。之所以這樣做，是因為他們?yōu)槭袌龇治鋈藛T和研究人員提供了研究模式的機會。在市場上提高出價或增加市場上的經濟利潤，”Shekari說。

Shekari認為，這些數據的可用性可能使某些機構能夠在預測誤差范圍內進行秘密攻擊。

為了降低與此類攻擊相關的風險，Shekari建議發(fā)布處理后的數據而不是原始市場數據，并與市場共享數據，而不是讓公眾容易獲得這些信息。此外，Shekari認為，注冊這些智能家居設備可以幫助識別可疑活動，并且可以使用機器學習來識別大量數據中的攻擊。盡管目前的數據不足以進行此類分類。

[[339336]]

物聯(lián)網僵尸網絡攻擊：過去、現在和未來

近年來，利用大量受損的物聯(lián)網設備進行的僵尸網絡攻擊已造成廣泛破壞。 2016年，Mirai僵尸網絡在美國和歐洲掀起了一波網絡攻擊，造成大規(guī)?；ヂ?lián)網中斷。該特定攻擊利用了超過60萬個IoT設備。根據Shekari的說法，佐治亞理工學院研究中詳細介紹的能源市場操縱將需要Mirai僵尸網絡的15%的容量，從而將這種方案完全置于已證明的可能性范圍內。

自從Black Hat研究發(fā)布以來，聯(lián)邦能源管理委員會(FERC)的代表就研究結果與研究小組聯(lián)系。 Shekari表示，他們有興趣與研究人員合作，以更好地了解和發(fā)現潛在的市場操縱行為。 Shekari解釋說，2018年，FERC調查了許多潛在的能源市場操縱案件，由于缺乏足夠的證據，其中一些案件沒有采取任何行動而結案。

“如果您看到某人每年可以賺取200%的利潤，那真是太不可思議了。因此，市場上有一些參與者正在像這樣賺錢，但是(FERC)沒有證據可以檢測到這些并找出這個市場出了什么問題，”Shekari說。 “也許他們知道一些更好的預測算法。也許他們正在操縱某些東西。”