Duizenden onbeveiligde domoticasystemen aangesloten op internet
Duizenden domoticasystemen voor woning- en gebouwautomatisering zijn voor iedereen toegankelijk omdat ze geen authenticatie vereisen én op internet zijn aangesloten. Dat meldt it-bedrijf Computest op basis van eigen onderzoek. Een onderzoeker van het bedrijf vond op internet ruim 17.000 op de KNX-standaard gebaseerde domoticasystemen, waarvan ruim 1300 in Nederland.
De KNX-standaard wordt binnen kantoren en woningen gebruikt voor onder andere het beheren van de verlichting, zonwering, verwarming, ventilatie, airconditioning, beveiliging, persoonlijke alarmering en energiebeheer. De standaard bevat geen authenticatie. Als installateurs deze systemen zonder aanvullende maatregelen op het internet aansluiten, bijvoorbeeld om die op afstand te kunnen configureren, zijn ze vervolgens voor iedereen toegankelijk.
"Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit", zegt ethisch hacker Daan Keuper. "Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is." Gebouweigenaren en installateurs wordt dan ook aangeraden om deze systemen niet aan het internet te hangen als het niet nodig is.
Om ze remote te kunnen beheren? Waarschijnlijk is het teveel werk, of ontbreekt de kennis, om dit in te regelen via een VPN. Flikker die IOT devices in een VLAN en leg een VPN verbinding aan om ze vanaf afstand te beheren, problem solved.
Om ze remote te kunnen beheren? Waarschijnlijk is het teveel werk, of ontbreekt de kennis, om dit in te regelen via een VPN. Flikker die IOT devices in een VLAN en leg een VPN verbinding aan om ze vanaf afstand te beheren, problem solved.
Zo doen wij het. Eigenlijk niet eens een VLAN, maar separate switches en verbindingen. Je wilt natuurlijk voorkomen dat je de deur naar je computerruimte niet open gaat, omdat iemand een DDoS uitvoert op je normale netwerk. ;-)
Maar nog steeds blijkt in de praktijk een wereld van verschil tussen IT en facilitair management. Wij hebben dat aparte netwerk vorige eeuw ingericht op verzoek van facilitair management, maar nog steeds komen we ieder jaar wel situaties tegen waarbij een installateur een nieuw device op de verkeerde outlet aansluit. Of een ADSL aansluiting regelt, omdat "ze dat altijd zo doen".
Nu maakt dat niet zo veel uit als het een vermogensmeter betreft voor een apparaat, maar als die ook de mogelijkheid biedt om de spanning uit te schakelen van de afzuiging, heb je een probleem. Veel installateurs gebruiken devices waar ze niet alle features van gebruiken, nodig hebben of zelfs maar kennen. Dat zie je vooral bij niet-electrische installateurs. Het valt volkomen buiten hun kennisgebied.
Peter
Dit soort installaties wordt aangelegd door installateurs, lees elektro en wtb monteurs van het niveau pijpenbuiger en stekkerpiloot. Even heel oneerbiedig gezegd wordt deze pijpenbuig en stekkerpiloot apen wordt vervolgens het kunstje van een RJ45 stekker van deze apparaten in een internet router stoppen geleerd evenals het open zetten van poorten op deze routers.
Hoe het verder allemaal werkt snappen ze niet laat staan dat ze dus de risico's doorzien.
Daarnaast nog kwalitatief slechte software in deze apparaten maakt het dus tot wat het nu is.
Dat leidt tot de vraag: is er wel een infobeveiligingsopleiding voor faciltaire technici/elektrotechnici/... in Nederland???
Welke scholen hebben dit in het pakket?
KNX = Knowledge Not eXecuted ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
