Duizenden onbeveiligde domoticasystemen aangesloten op internet
Duizenden domoticasystemen voor woning- en gebouwautomatisering zijn voor iedereen toegankelijk omdat ze geen authenticatie vereisen én op internet zijn aangesloten. Dat meldt it-bedrijf Computest op basis van eigen onderzoek. Een onderzoeker van het bedrijf vond op internet ruim 17.000 op de KNX-standaard gebaseerde domoticasystemen, waarvan ruim 1300 in Nederland.
De KNX-standaard wordt binnen kantoren en woningen gebruikt voor onder andere het beheren van de verlichting, zonwering, verwarming, ventilatie, airconditioning, beveiliging, persoonlijke alarmering en energiebeheer. De standaard bevat geen authenticatie. Als installateurs deze systemen zonder aanvullende maatregelen op het internet aansluiten, bijvoorbeeld om die op afstand te kunnen configureren, zijn ze vervolgens voor iedereen toegankelijk.
"Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit", zegt ethisch hacker Daan Keuper. "Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is." Gebouweigenaren en installateurs wordt dan ook aangeraden om deze systemen niet aan het internet te hangen als het niet nodig is.
Om ze remote te kunnen beheren? Waarschijnlijk is het teveel werk, of ontbreekt de kennis, om dit in te regelen via een VPN. Flikker die IOT devices in een VLAN en leg een VPN verbinding aan om ze vanaf afstand te beheren, problem solved.
Om ze remote te kunnen beheren? Waarschijnlijk is het teveel werk, of ontbreekt de kennis, om dit in te regelen via een VPN. Flikker die IOT devices in een VLAN en leg een VPN verbinding aan om ze vanaf afstand te beheren, problem solved.
Zo doen wij het. Eigenlijk niet eens een VLAN, maar separate switches en verbindingen. Je wilt natuurlijk voorkomen dat je de deur naar je computerruimte niet open gaat, omdat iemand een DDoS uitvoert op je normale netwerk. ;-)
Maar nog steeds blijkt in de praktijk een wereld van verschil tussen IT en facilitair management. Wij hebben dat aparte netwerk vorige eeuw ingericht op verzoek van facilitair management, maar nog steeds komen we ieder jaar wel situaties tegen waarbij een installateur een nieuw device op de verkeerde outlet aansluit. Of een ADSL aansluiting regelt, omdat "ze dat altijd zo doen".
Nu maakt dat niet zo veel uit als het een vermogensmeter betreft voor een apparaat, maar als die ook de mogelijkheid biedt om de spanning uit te schakelen van de afzuiging, heb je een probleem. Veel installateurs gebruiken devices waar ze niet alle features van gebruiken, nodig hebben of zelfs maar kennen. Dat zie je vooral bij niet-electrische installateurs. Het valt volkomen buiten hun kennisgebied.
Peter
Dit soort installaties wordt aangelegd door installateurs, lees elektro en wtb monteurs van het niveau pijpenbuiger en stekkerpiloot. Even heel oneerbiedig gezegd wordt deze pijpenbuig en stekkerpiloot apen wordt vervolgens het kunstje van een RJ45 stekker van deze apparaten in een internet router stoppen geleerd evenals het open zetten van poorten op deze routers.
Hoe het verder allemaal werkt snappen ze niet laat staan dat ze dus de risico's doorzien.
Daarnaast nog kwalitatief slechte software in deze apparaten maakt het dus tot wat het nu is.
Dat leidt tot de vraag: is er wel een infobeveiligingsopleiding voor faciltaire technici/elektrotechnici/... in Nederland???
Welke scholen hebben dit in het pakket?
KNX = Knowledge Not eXecuted ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.