Duizenden onbeveiligde domoticasystemen aangesloten op internet
Duizenden domoticasystemen voor woning- en gebouwautomatisering zijn voor iedereen toegankelijk omdat ze geen authenticatie vereisen én op internet zijn aangesloten. Dat meldt it-bedrijf Computest op basis van eigen onderzoek. Een onderzoeker van het bedrijf vond op internet ruim 17.000 op de KNX-standaard gebaseerde domoticasystemen, waarvan ruim 1300 in Nederland.
De KNX-standaard wordt binnen kantoren en woningen gebruikt voor onder andere het beheren van de verlichting, zonwering, verwarming, ventilatie, airconditioning, beveiliging, persoonlijke alarmering en energiebeheer. De standaard bevat geen authenticatie. Als installateurs deze systemen zonder aanvullende maatregelen op het internet aansluiten, bijvoorbeeld om die op afstand te kunnen configureren, zijn ze vervolgens voor iedereen toegankelijk.
"Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit", zegt ethisch hacker Daan Keuper. "Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is." Gebouweigenaren en installateurs wordt dan ook aangeraden om deze systemen niet aan het internet te hangen als het niet nodig is.
Om ze remote te kunnen beheren? Waarschijnlijk is het teveel werk, of ontbreekt de kennis, om dit in te regelen via een VPN. Flikker die IOT devices in een VLAN en leg een VPN verbinding aan om ze vanaf afstand te beheren, problem solved.
Om ze remote te kunnen beheren? Waarschijnlijk is het teveel werk, of ontbreekt de kennis, om dit in te regelen via een VPN. Flikker die IOT devices in een VLAN en leg een VPN verbinding aan om ze vanaf afstand te beheren, problem solved.
Zo doen wij het. Eigenlijk niet eens een VLAN, maar separate switches en verbindingen. Je wilt natuurlijk voorkomen dat je de deur naar je computerruimte niet open gaat, omdat iemand een DDoS uitvoert op je normale netwerk. ;-)
Maar nog steeds blijkt in de praktijk een wereld van verschil tussen IT en facilitair management. Wij hebben dat aparte netwerk vorige eeuw ingericht op verzoek van facilitair management, maar nog steeds komen we ieder jaar wel situaties tegen waarbij een installateur een nieuw device op de verkeerde outlet aansluit. Of een ADSL aansluiting regelt, omdat "ze dat altijd zo doen".
Nu maakt dat niet zo veel uit als het een vermogensmeter betreft voor een apparaat, maar als die ook de mogelijkheid biedt om de spanning uit te schakelen van de afzuiging, heb je een probleem. Veel installateurs gebruiken devices waar ze niet alle features van gebruiken, nodig hebben of zelfs maar kennen. Dat zie je vooral bij niet-electrische installateurs. Het valt volkomen buiten hun kennisgebied.
Peter
Dit soort installaties wordt aangelegd door installateurs, lees elektro en wtb monteurs van het niveau pijpenbuiger en stekkerpiloot. Even heel oneerbiedig gezegd wordt deze pijpenbuig en stekkerpiloot apen wordt vervolgens het kunstje van een RJ45 stekker van deze apparaten in een internet router stoppen geleerd evenals het open zetten van poorten op deze routers.
Hoe het verder allemaal werkt snappen ze niet laat staan dat ze dus de risico's doorzien.
Daarnaast nog kwalitatief slechte software in deze apparaten maakt het dus tot wat het nu is.
Dat leidt tot de vraag: is er wel een infobeveiligingsopleiding voor faciltaire technici/elektrotechnici/... in Nederland???
Welke scholen hebben dit in het pakket?
KNX = Knowledge Not eXecuted ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
