«Взлом» теплосчетчиков: правда и вымысел

Д. Л. Анисимов, главный специалист ООО «Диамер», автор сайта «Теплопункт»

Человеку свойственно на всякое «за» находить свои «против» – чаще из прагматических соображений, но иногда и просто из спортивного интереса. Поэтому совершенно неудивительно то, что как только появляется прибор учета, придумываются и способы его «обмануть». Об этих способах начинают открыто говорить и писать, но если специалисты делают это для того, чтобы обратить на проблему внимание других специалистов и найти способ защиты, то неспециалисты зачастую толкуют такие разговоры и статьи превратно. Так, в частности, случилось со статьями А. Г. Лупея «О запрещенных методах «метрологического обслуживания» коммерческих узлов учета тепловой энергии» и В. П. Каргапольцева «О фальсификациях при приборном учете тепла и воды»². Читатели «зацепили» только ту информацию, что лежала на поверхности: теоретически любое микропроцессорное устройство (каковым и является теплосчетчик) может быть перепрограммировано в процессе эксплуатации, и на практике зафиксированы случаи, когда такое свойство некоторых типов приборов использовалось недобросовестными эксплуататорами для фальсификации результатов учета. И вот через какое-то время пошли разговоры и даже появились статьи о том, что любой теплосчетчик можно «взломать» и все всегда так и делают. Вот уж верно: нам не дано предугадать, как слово наше отзовется! Запомнилось высказывание одного из участников интернет-форума сайта «Теплопункт»: «…программное обеспечение, в частности, вычислителей СПТ знакомый программер ломает при помощи кнопок на панели… минут за семь». А совсем недавно участник форума сайта «Ростепло», называющий себя «научным редактором» некоего технического журнала, на полном серьезе заявил, будто бы «при желании можно через любую кнопку вычислителя виброкодом (азбукой Морзе) ввести нужный код: затрат на тысячу, воровства на миллион». Но как все обстоит на самом деле, а именно: можно ли «взломать» теплосчетчик и стоит ли заниматься этим на практике?

Начнем с того, что на «взломе» теплосчетчиков (или тепловычислителей) очень легко и удобно спекулировать. Во-первых, никто толком не понимает и не может объяснить, что именно имеется в виду под этим самым «взломом». Во-вторых, все знают, что тепловычислитель – это вроде как маленький компьютер, а о «взломе» компьютеров говорят сплошь и рядом. В-третьих, большинство пользователей теплосчетчиков представление об их «начинке» (равно, впрочем, как и об устройстве компьютеров) имеют весьма приблизительное. Благодатная почва для распространения слухов о «хакерах от теплоучета». Но правомочны ли в данном случае аналогии с миром компьютеров? С «компьютерными взломами» все понятно: они связаны, как правило, с проникновением в систему извне (через какой-либо интерфейс) путем подбора (расчета) нужной кодовой комбинации (пароля) с последующим считыванием или изменением каких-либо хранящихся в этой системе данных. При этом нужно понимать, что «взломать компьютер» хакер может потому, что:

– он знаком с операционной системой;

– он знаком с интерфейсом;

– доступ к данным и возможность их изменения средствами операционной системы через некий интерфейс существует в принципе, т. е. предусмотрена разработчиком.

А что же в случае с теплосчетчиком?

Во-первых, мы не имеем не только стандартных и изученных [хакерами] операционных систем – мы не имеем операционных систем вообще. Можно говорить о рабочей программе, но эта программа у каждого типа теплосчетчика своя, и вряд ли кто-то, кроме разработчика-производителя, располагает ее исходными текстами и способен найти в ней некие «лазейки» для последующего «взлома».

Во-вторых, мы не имеем стандартных интерфейсов – речь здесь не о разъемах и электрических сигналах, а о протоколах. Впрочем, при незнании «хакером» операционной системы наличие этих интерфейсов вряд ли ему поможет.

В-третьих... а что, собственно, будет делать хакер, «проникнув внутрь» вычислителя?

При помощи кнопок на панели вычислителей многих типов (СПТ, ВКТ, КАРАТ и пр.) можно изменять настроечные параметры, т. е. всевозможные коэффициенты и признаки, определяющие логику работы прибора. Но это – общедоступная и задокументированная функция. Так что же тогда «ломает» «знакомый программер» их выше процитированного высказывания? Да еще целых семь минут? Может он подбирает забытый пароль для изменения настроечных данных, чтобы «сэкономить» потом путем изменения какого-либо коэффициента? Но зачастую как, например, в случае с СПТ, доступ к настроечным данным защищен не паролем, а механически – переключателем, расположенным под опломбированной крышкой. Но даже если изменить коэффициент, то и на табло вычислителя он будет высвечиваться в измененном виде, т. е. зафиксировать факт подтасовки будет проще простого. Так в чем тогда вообще смысл этого «взлома»?

Очевидно, смысл есть лишь тогда, когда взломщик либо знает, как изменить коэффициент в памяти прибора, оставив его неизменным при индикации, либо он меняет вовсе не коэффициенты, а данные в архивах. Теоретически возможно и то и другое – но только при том обязательном условии, что производитель прибора специально такую возможность предусмотрел, а наш хакер о способе реализации этой возможности узнал. При этом вбивать при помощи кнопок (их у вычислителей мало, у некоторых образцов – вообще одна-две), а то еще и азбукой Морзе огромные массивы взаимосвязанных архивных данных, занятие, определенно, не для слабонервных. Производитель скорее обеспечил бы возможность перепрограммирования (под этим термином можно понимать и изменение рабочей программы, и изменение содержимого архивов) при помощи внешнего устройства (компьютера, пульта) через интерфейс передачи данных без нарушения пломб и оставления следов. «Польза» от наличия такой возможности может заключаться в том, чтобы «в случае чего» «заметать следы» собственных недоработок, приводящих к некорректной работе или отказам прибора. Может пригодиться эта возможность и сервисным организациям в тех же случаях – фальсифицируя данные учета, они могут и «обелить» производителя, чью продукцию внедряют, и сохранить собственное лицо; могут они таким образом маскировать и свои огрехи в монтаже приборов. Но соответствующие знания и необходимые спецсредства (программные и/или аппаратные) им может предоставить только производитель теплосчетчика. Разговоры же о неких «посторонних» хакерах, которые «взламывают» любой прибор «при помощи кнопок» – несостоятельны. Тем более, что ни один «очевидец» так и не смог объяснить автору, что именно «взламывают» в теплосчетчике, другими словами – в чем суть сего действа?

Но вернемся к искажению данных учета при помощи спецсредств. Дипломатично выражаясь, допускаем, что такое возможно. Но можно ли пользоваться этим широко и постоянно? Современный теплосчетчик – это средство учета тепла и теплоносителя, анализирующее и фиксирующее в своих архивах значения многих взаимосвязанных параметров за большие интервалы времени. «Грамотно» подтасовать все эти данные весьма сложно – фальсификация обнаруживается, что, собственно, и было показано в упомянутой выше статье А. Г. Лупея. Задача фальсификатора осложняется еще и тем, что согласно требованиям Правил учета содержимое архивов теплосчетчиков считывается и сохраняется на электронных или бумажных носителях с периодичностью, меньшей, чем глубина архивов. Другими словами, ежедневно или еженедельно данные переписываются в журнал. Очевидно, что при помощи журнала отследить произведенное в какой-то момент «насильственное» изменение хранимых в вычислителе данных становится совсем просто. Производители теплосчетчиков понимают это лучше потребителей, поэтому не в их интересах реально использовать «фальсификационные» функции и уж совершенно глупо открывать их кому-либо, обучать кого-то ими пользоваться. Ведь ясно, что любой достоверно выявленный факт изменения данных в приборе учета однозначно свидетельствует о том, что в деле замешан производитель.

В заключение дадим иллюстрацию реальной защищенности теплосчетчиков от «взломов» и фальсификаций. Несколько лет назад на конференции в Екатеринбурге В. С. Казачков из г. Омска докладывал о разработанной им системе поквартирного учета тепла. Один из слушателей задал вопрос: что будет, если накрыть датчик температуры воздуха в квартире грелкой, чтобы его показания практически не отличались от показаний датчика температуры радиатора отопления? Ведь чем меньше разница температур радиатора и воздуха, тем меньше потребление тепла: Q = f(Dt). Докладчик ответил просто блестяще: система учета анализирует все параметры, и если она «увидит», что температура воздуха в квартире настолько возросла, то подаст сигнал на пульт пожарной сигнализации и «к вам приедут»! Мораль этой истории такова: можно обмануть отдельный датчик, но почти невозможно – целую систему. А теплосчетчик – это именно система, измеряющая и фиксирующая целый ряд взаимосвязанных параметров. Знание этих взаимосвязей позволяет анализировать архивы прибора и выявлять не только фальсификации, но и «нечаянные» отклонения в работе прибора, например, вызванные несовершенством его конструкции или низким качеством изготовления.

Таким образом, рассказы о том, будто бы «любой вычислитель можно взломать при помощи его же кнопок» – это выдумка, миф, придуманный потребителями. Поэтому не стоит утверждать, что «весь учет фальсифицирован». Конечно, информация о том, что теплосчетчики некоторых типов могут быть «перепрограммированы» при помощи спецсредств непосредственно в узле учета, не лишена оснований, но нужно знать, что раскрываются подобные фальсификации достаточно просто – для этого нужно только знать физику происходящих в системе теплоснабжения процессов и не лениться анализировать архивы «подозрительных» теплосчетчиков.

¹ Статья опубликована в журнале «Энергосбережение» 2007. № 3. С. 46–48.

² Текст статей можно найти на сайте www.teplopunkt.ru.