image

Duizenden onbeveiligde domoticasystemen aangesloten op internet

donderdag 21 februari 2019, 09:58 door Redactie, 5 reacties
Laatst bijgewerkt: 21-02-2019, 10:18

Duizenden domoticasystemen voor woning- en gebouwautomatisering zijn voor iedereen toegankelijk omdat ze geen authenticatie vereisen én op internet zijn aangesloten. Dat meldt it-bedrijf Computest op basis van eigen onderzoek. Een onderzoeker van het bedrijf vond op internet ruim 17.000 op de KNX-standaard gebaseerde domoticasystemen, waarvan ruim 1300 in Nederland.

De KNX-standaard wordt binnen kantoren en woningen gebruikt voor onder andere het beheren van de verlichting, zonwering, verwarming, ventilatie, airconditioning, beveiliging, persoonlijke alarmering en energiebeheer. De standaard bevat geen authenticatie. Als installateurs deze systemen zonder aanvullende maatregelen op het internet aansluiten, bijvoorbeeld om die op afstand te kunnen configureren, zijn ze vervolgens voor iedereen toegankelijk.

"Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit", zegt ethisch hacker Daan Keuper. "Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is." Gebouweigenaren en installateurs wordt dan ook aangeraden om deze systemen niet aan het internet te hangen als het niet nodig is.

Reacties (5)
21-02-2019, 10:54 door Anoniem
Ik zal het wel niet snappen, maar waarom zou je zoiets aan internet hangen? Wat is het doel???
21-02-2019, 11:02 door Bonerhead - Bijgewerkt: 21-02-2019, 11:03
Door Anoniem: Ik zal het wel niet snappen, maar waarom zou je zoiets aan internet hangen? Wat is het doel???

Om ze remote te kunnen beheren? Waarschijnlijk is het teveel werk, of ontbreekt de kennis, om dit in te regelen via een VPN. Flikker die IOT devices in een VLAN en leg een VPN verbinding aan om ze vanaf afstand te beheren, problem solved.
21-02-2019, 11:39 door Anoniem
Door Bonerhead:
Door Anoniem: Ik zal het wel niet snappen, maar waarom zou je zoiets aan internet hangen? Wat is het doel???

Om ze remote te kunnen beheren? Waarschijnlijk is het teveel werk, of ontbreekt de kennis, om dit in te regelen via een VPN. Flikker die IOT devices in een VLAN en leg een VPN verbinding aan om ze vanaf afstand te beheren, problem solved.

Zo doen wij het. Eigenlijk niet eens een VLAN, maar separate switches en verbindingen. Je wilt natuurlijk voorkomen dat je de deur naar je computerruimte niet open gaat, omdat iemand een DDoS uitvoert op je normale netwerk. ;-)

Maar nog steeds blijkt in de praktijk een wereld van verschil tussen IT en facilitair management. Wij hebben dat aparte netwerk vorige eeuw ingericht op verzoek van facilitair management, maar nog steeds komen we ieder jaar wel situaties tegen waarbij een installateur een nieuw device op de verkeerde outlet aansluit. Of een ADSL aansluiting regelt, omdat "ze dat altijd zo doen".

Nu maakt dat niet zo veel uit als het een vermogensmeter betreft voor een apparaat, maar als die ook de mogelijkheid biedt om de spanning uit te schakelen van de afzuiging, heb je een probleem. Veel installateurs gebruiken devices waar ze niet alle features van gebruiken, nodig hebben of zelfs maar kennen. Dat zie je vooral bij niet-electrische installateurs. Het valt volkomen buiten hun kennisgebied.

Peter
21-02-2019, 15:16 door Anoniem
Het grote probleem wat hier speelt is het volgende:

Dit soort installaties wordt aangelegd door installateurs, lees elektro en wtb monteurs van het niveau pijpenbuiger en stekkerpiloot. Even heel oneerbiedig gezegd wordt deze pijpenbuig en stekkerpiloot apen wordt vervolgens het kunstje van een RJ45 stekker van deze apparaten in een internet router stoppen geleerd evenals het open zetten van poorten op deze routers.

Hoe het verder allemaal werkt snappen ze niet laat staan dat ze dus de risico's doorzien.

Daarnaast nog kwalitatief slechte software in deze apparaten maakt het dus tot wat het nu is.
22-02-2019, 00:05 door Anoniem
CIO's en infobeveiligingmanagers hebben geen flauw idee dat ze ook eens in de kelder moeten kijken bij facilitaire zaken. Laat staan dat ze de goedwillende technici (niet apen!) een goede opleiding laten geven ...

Dat leidt tot de vraag: is er wel een infobeveiligingsopleiding voor faciltaire technici/elektrotechnici/... in Nederland???
Welke scholen hebben dit in het pakket?


KNX = Knowledge Not eXecuted ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.