'Knx-standaard voor domotica is onveilig bij koppeling met internet' - update

De knx-standaard voor domotica wordt vaak gebruikt voor systemen van huizen en gebouwen die op internet zijn aangesloten, maar volgens Computest is dat door gebrek aan authenticatie onveilig. Het zou om duizenden gebouwen en woningen gaan.

Bij een online scan van automatiseringstoepassingen op basis van knx-standaard vond Daan Keuper van Computest wereldwijd 17.444 locaties. Omdat knx geen authenticatie biedt, zijn deze systemen volgens de beveiligingsonderzoeker vatbaar voor overname door kwaadwillenden. Van de systemen ging het om 1322 die zich in Nederland bevinden. Op de kaart met de resultaten is te zien dat ook in België veel gebouwen met kwetsbare knx-systemen zijn uitgerust. Het vermoeden is dat knx-systemen aan internet gehangen worden voor beheer op afstand en mogelijkheden met mobiele apps.

Volgens Keuper gaan gebruikers er te gemakkelijk van uit dat knx wel veilig is, omdat het een veelgebruikte standaard is. Belangenorganisatie Cyberveilig Nederland is in gesprek met de installatiebranche om de mogelijkheden voor verbetering te bespreken. "Er is nog veel werk te verrichten in het bewust maken van de installatiebranche van de risico’s die deze slimme systemen met zich meebrengen", verklaart Petra Oldengarm, directeur van van Cyberveilig Nederland.

Computest vindt dat de verantwoordelijkheid bij zowel de leverancier, de installateur als bij de consument ligt: "De consument moet de installateur kunnen aanspreken op de beveiliging van hetgeen wordt geïnstalleerd." Het beveiligingsbedrijf heeft een Knxscan ontwikkeld waarmee gebruikers kunnen controleren of hun systeem vatbaar is voor misbruik.

De bevindingen doen denken aan problemen met betrekking tot scada-systemen voor industriële automatisering. Scada staat voor supervisory control and data acquisition en omdat ook deze systemen in het verleden vaak zonder beveiliging aan internet werden gekoppeld, leidde dat tot beveiligingsrisico's.

Update, 14.50: KNX Nederland noemt het 'jammer' dat het gebruik van technologie om gebouwen slim te maken negatief in het nieuws komt en de organisatie verklaart dat knx prima te beveiligen is: "Knx werkt wereldwijd samen met tientallen universiteiten en heeft studies op gebied van veiligheid in 2014 en 2016 opgeleverd. Op basis daarvan zijn al diverse maatregelen genomen zowel op gebied van het inbouwen van security mechanismen in het protocol, als in het bewustmaken van de gebruikers van knx. Voorbeelden hiervan zijn de Knx security checklist en de Knx security positioning paper die verspreid zijn. Verder hebben Knx Nederland en Techniek Nederland met elkaar afgesproken dat zij marktpartijen gaan informeren over het belang en de mogelijkheden om veilige woning- en gebouwautomatisering te realiseren.

KNX scan Computest

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 21-02-2019 09:22
45 • submitter: breinonline

21-02-2019 • 09:22

45

Submitter: breinonline

Lees meer

Dirigenten voor het domotica-orkest

4 apr 2015

Dirigenten voor het domotica-orkest

Smarthome-controllers en software bekeken

62
Doe-het-zelf-domotica

28 mrt 2015

Doe-het-zelf-domotica

Het nieuwe tweaken

115
Onderzoekers: zestig slecht beveiligde Nederlandse scada-systemen op internet
Onderzoekers: zestig slecht beveiligde Nederlandse scada-systemen op internet Nieuws van 5 augustus 2019
Homey krijgt ondersteuning voor knx
Homey krijgt ondersteuning voor knx Nieuws van 6 juli 2018
Meer producten en artikelen
Beveiliging en antivirus Smarthome Authenticatie knx

Reacties (45)

-Moderatie-faq
45
42
29
6
0
6
Wijzig sortering
CyBeRSPiN 21 februari 2019 09:33
Mooie reclame voor dit bedrijf, maar er zijn nogal wat open deurtjes in te trappen.
Dit heeft m.i. niet zoveel met KNX te maken, maar meer met het gebrek aan kennis bij installateurs en het gebrek aan security awareness bij (ik vermoed met name) non-IT bedrijven. Hier heeft dus iemand bewust een port-forward ingesteld vanaf de internet router naar de KNX module, want lijkt me sterk dat dit soort modules voorzien zijn van uPnP.
Webcams, routers met admin/admin wachtwoord, wifi die open staat of te kraken is en die dan toegang biedt tot het bedrijfsnetwerk, genoeg te verbeteren dus opzich positief dat er weer eens aandacht voor komt.
De kans dat een dief de KNX hackt en dan inbreekt door de sloten via internet te ontgrendelen is nagenoeg 0.. Het zijn namelijk 2 verschillende skillsets en mindsets.. De een wil voor de lol hacken, de ander gaat voor de snelle kraak.

Deze actie is vergelijkbaar met wat de politie in de zomervakantie soms doet: briefje in de bus als blijkt dat ramen en deuren niet goed gesloten zijn of voorzien zijn van te simpele sloten.

[Reactie gewijzigd door CyBeRSPiN op 23 juli 2024 01:12]

HyperBart
@CyBeRSPiN21 februari 2019 13:00
Exact dit dus. Een KNX systeem is per definitie niet toegankelijk vanaf het internet, dat wil dan dan zeggen dat iemand de IP-interface heeft ge-NAT'ed naar buiten toe. Deze boodschap en het artikel kan je dan ook vergelijken met een titel waarbij men zegt "Insert eender welke applicatie zonder authenticatie is onveilig bij koppeling internet". Ja... Maar dat is inherent aan het feit dat er geen authenticatie is.

Je zet toch ook niet je torrent web interface zonder authenticatie open naar het internet? Of RDP met autologin naar je Windows machine? Dit situeert zich op hetzelfde niveau en zorgt voor een grote FUD rond KNX.

KNX is hiervoor ook niet bedoeld, je kan met visualisatie-systemen dit WEL op een veiligere manier naar "naar buiten" open zetten. Vaak impliceert dit dan wel een vorm van een cloud-service waarbij je met een app of browser connect naar een portal waarbij je KNX systeem via een tussenliggende component ook naar diezelfde portal of cloud service verbindt...

Een beetje kader en gezond verstand dient bij dit artikel meegenomen te worden.
Verwijderd @HyperBart21 februari 2019 14:00
"Insert eender welke applicatie zonder authenticatie is onveilig bij koppeling internet".
Applicaties zonder authenticatie horen niet te bestaan.
Het is ten slotte 2019.
We leven niet meer in de jaren tachtig.
Verwijderd @CyBeRSPiN21 februari 2019 13:57
maar meer met het gebrek aan kennis bij installateurs en het gebrek aan security awareness
Ja, schuif het maar af op een ander.
Als je een product maakt, moet je je afvragen hoe je gebruikers het gaan gebruiken. En dan moet je ze helpen om het makkelijk bruikbaar te maken. En qua security moet je jezelf afvragen: wat kan er allemaal fout gaan ? Ook hier. Zeker hier.
want lijkt me sterk dat dit soort modules voorzien zijn van uPnP.
Assumption is the mother of all fuckups.
De kans dat een dief de KNX hackt en dan inbreekt door de sloten via internet te ontgrendelen is nagenoeg 0.. Het zijn namelijk 2 verschillende skillsets en mindsets.. De een wil voor de lol hacken, de ander gaat voor de snelle kraak.
Tsja.
Ik kan me nog herinneren dat een security-expert me vertelde dat de meeste banken encryptie-apparatuur gebruikten op hun "leased lines". Dat was bijna 30 jaar geleden. (Weet er nog iemand wat "leased lines" waren ? :)) Maar dat ze allemaal de standaard sleutels/passwords gebruikten. Als de banken die sleutels allemaal gingen veranderen, dan werd alles alleen maar lastiger. En lastig, daar houdt niemand van. En bovendien, boeven waren veel te dom om zich met dit soort techniek bezig te houden !! Banken hoefden zich eigenlijk helemaal niet druk te maken over encryptie. Dat was wel duidelijk.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:12]

tss68nl
@Verwijderd22 februari 2019 10:47
[quote]Ja, schuif het maar af op een ander.[quote]

Zeker. KNX is geen consumerspul zo blijkt ook wel weer uit dit artikel.

Je verwacht van een fabrikant dat er beveiliging voor internet is geïmplementeerd, terwijl het hele protocol niet bedoeld is om aan het internet te hangen. Wie hangt het aan internet? Consumenten of installateurs. Uit gemakzucht of onwetendheid veelal.

Vergelijk KNX met de RS232 poort op je audio/video apparatuur. Als jij zo onhandig bent om een RS232/IP interface op je internet vlan + wifi te hangen of erger nog een poort open te zetten naar buiten dan moet je niet verbaasd zijn dat je audio/video apparatuur ineens open staat voor hacken. Dan schrijven we toch ook niet het bedrijf aan wat de specificatie voor RS232 maakt dat er een onveilige situatie is ontstaan en dat zij verantwoordelijk zijn? Degene die zo duf is geweest om de RS232/IP interface te implementeren zonder beveiliging kan je beter aanspreken, eens?

Hoe werkt KNX dan wel?
Met KNX is het dus *exact* hetzelfde. KNX is een protocol wat hetzelfde werkt als RS232, en is bedoeld om in een gesloten systeem onderdelen met elkaar te laten samenwerken. Natuurlijk bestaan er KNX/IP koppelingen. Maar je bent wel echt een duffe harrie als je die rechtstreeks op je internet vlan + wifi zet. En er is geen enkele reden om dat te doen: er bestaan genoeg producten zoals visualisaties die een secure internet gateway hebben en enkel de visualisatie naar buiten beschikbaar stellen.

Waar die KNX/IP gateways voor bedoeld zijn? Twee dingen:
  • Programmeren van je KNX componenten, maar dat doe je dus op een afgeschermd vlan alléén bereikbaar vanuit één specifiek socket op een switch of in de muur. Bedraad dus. En anders pak je maar een KNX/USB interface.
  • Anderzijds het koppelen van meerdere KNX lijnen (wat in een woonhuis niet noodzakelijk is, tenzij je een bus buiten legt). Je koppelt dan meerdere buslijnen via IP via KNX IP Routers. De naam zegt het al: in de router geef je exact aan welk verkeer er van binnen naar buiten en andersom mag zodat je ook met toegang tot de fysieke kabel niets kan. Het IP gedeelte gaat altijd op een gescheiden vlan (omdat er geen enkele reden is om het op hetzelfde netwerk of wifi te zetten), of het best zelfs een fysiek gescheiden netwerk. Hoe moeilijk is het? Twee UTP kabels en een losse switch. Opgelost.
Strekking van het verhaal
Eigenlijk zegt deze onderzoeker dat KNX verkeerd geïmplementeerd wordt door onkunde. Maar toch wordt de toon op één of andere manier gezet dat KNX onveilig zou zijn. De boodschap zou heel helder moeten zijn dat steeds meer gebruikers zo onhandig zijn KNX op een verkeerde manier in te zetten. Dat is wel degelijk zorgwekkend.

Maar laten we nu niet met z'n allen gaan roepen dat KNX beveiligd moet worden omdat gebruikers het verkeerd inzetten. Dat is echt de omgekeerde wereld.
Verwijderd @tss68nl22 februari 2019 14:59
Alles wat een IP-adres heeft, is in principe bereikbaar vanuit de hele wereld. Dat een protocol-developer zegt: "ja maar mijn protocol moet je alleen over secure VLANs doen" maakt niks uit. Die protocol-developer is clueless. In 2019 moeten alle protocollen fatsoenlijke security hebben. Simpel zat. Jullie kunnen allemaal roepen: "ja maar, dat is de gebruiker z'n schuld". Nee.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:12]

tss68nl
@Verwijderd22 februari 2019 18:24
Alles wat een IP-adres heeft, is in principe bereikbaar vanuit de hele wereld. Dat een protocol-developer zegt: "ja maar mijn protocol moet je alleen over secure VLANs doen" maakt niks uit. Die protocol-developer is clueless. In 2019 moeten alle protocollen fatsoenlijke security hebben. Simpel zat. Jullie kunnen allemaal roepen: "ja maar, dat is de gebruiker z'n schuld". Nee.
Ik snap even niet waar je het over hebt. KNX is een gebouwautomatiserings-systeem. Het hele systeem is niet bedoeld om aan UTP te koppelen. Dus het protocol hoeft niet te voldoen aan standaarden die in de UTP/internet wereld van toepassing zijn.

De thermostaat in miljoenen huishoudens heeft een heel simpel digitaal protocol om te communiceren met de ketel: Aan/uit. Maar er zijn producten waarmee je een relais op UTP kan koppelen. Omdat iemand zo duf is om dat te doen.... is meteen het huis te klein voor de verwarmingsleverancier? Want ja, alle protocollen in 2019 moeten voorzien zijn van beveiliging?

Dat probleem ligt toch niet bij de verwarmingsleverancier die de thermostaat levert met een aan/uit protocol? Dat probleem zit bij degene die een relais/UTP koppeling maakt en dat niet over een gescheiden netwerk doet.

Nogmaals, laten we stoppen met KNX in een kwaad daglicht te stellen omdat het geen beveiliging heeft. KNX heeft geen beveiliging nodig. En waar je wil koppelen over een medium als UTP zijn er legio mogelijkheden om dit beveiligd te doen. Dat er mensen zijn die dat willens en wetens onveilig doen, dat is zorgwekkend, maar daar kan je ze moeilijk voor behoeden.

"Stop geen kat in deze magnetron om te drogen." 8)7
Verwijderd @tss68nl24 februari 2019 14:40
Hoi. Ik heb eventjes gelezen over KNX.
Dit is de informatie die ik vond:
https://en.wikipedia.org/wiki/KNX_%28standard%29

https://en.wikipedia.org/...8standard%29#KNX_standard
KNX installations can use several physical communication media:
...
Ethernet (also referred to as EIBnet/IP or KNXnet/IP)
KNXnet/IP doet me sterk vermoeden dat KNX gewoon over TCP/IP kan.
En dat het deel uit maakt van de standaard.
Verder googlen gaf me:

https://www2.knx.org/no/k...ices/ip-devices/index.php
A KNXnet/IP node basically consists of the following elements:
...
The system software of a KNXnet/IP device consists of two protocol- stacks. Communication via Ethernet requires an IP Stack with UDP (User Datagram Protocol) because of the fact that KNXnet/IP is based on connectionless communication. Unicast as well as multicast telegrams are transmitted via UDP. The KNX Stack is put on top of the IP/UDP Stack.
Dat is van de website knx.org.
Dus het lijkt me duidelijk: KNX kan volgens de spec gewoon over IP.
En mijn mening is: zodra je iets over IP doet tegenwoording, MOET je goede encryptie en authenticatie doen. Anders krijg je op de lange termijn alleen maar problemen.

Ik begrijp wel hoe het gegaan is.
Iemand heeft iets leuks gebouwd.
Daar wordt op doorgeborduurd.
Concurrent gaan compatible dingen bouwen.
Of dingen die op jouw techniek lijken.
Er komt een effort om alles compatible te maken.
Er komt een standaard.
De standaard probeert zo veel mogelijk compatible te zijn met bestaande zaken.
Alle oude flaws van de bestaande techniek blijven er in zitten.

Het feit dat dat begrijpelijk is, wil niet zeggen dat het ook gewenst of acceptabel is. :)
tss68nl
@Verwijderd24 februari 2019 16:12
IP is geen internet. Men gebruikt het IP medium voor een KNX systeem backbone. Die backbone is geen internet. Hoor je ook nooit op internet aan te sluiten.
  • Een kat past in een magnetron toch? Denk je dat het daarom de bedoeling is om die kat in de magnetron te stoppen?
  • Een benzinetankpistool past ook in een dieselauto. Denk je dat het de bedoeling is om benzine te tanken in een diesel?
  • Een mes is gemaakt om mee te snijden. Is het daarom de bedoeling om er mensen mee dood te steken? Dat er veel messen worden gebruikt om anderen schade toe te brengen wil niet zeggen dat het slim is om daar ieder mes voor te gebruiken.
Dat is ongeveer het niveau van deze discussie: KNX kan over IP als je wil, dus het moet beveiliging hebben, want je kán het aansluiten op internet?

KNX/IP op internet aansluiten is dom. Heel erg dom. Dat particulieren en slechte installateurs dit doen verbaast me niets. Maar er is niets mis met KNX, er is iets mis met die mensen.
CyBeRSPiN @Verwijderd21 februari 2019 14:04
Ja, schuif het maar af op een ander.
Dus de fabrikant is aansprakelijk volgens jou? KNX is geen consumentenspul en zeer duidelijk niet bedoeld voor public internet (ik vermoed, maar dat is de moeder van .., dat jij geen idee hebt wat KNX precies is.. ;)). Dus ja als een installateur dat gaat exposen naar buiten dan is dat echt geen 'afschuiven' meer, maar gewoon een wanprestatie van de installateur.
Zelfde als een timmerman die een voordeur maakt met een draaiknop ipv sleutelgat aan de buitenkant. Is de fabrikant van het slot dan de boosdoener?
Verwijderd @CyBeRSPiN21 februari 2019 22:29
Aansprakelijk weet ik niet. Ik ben geen jurist. Maar verantwoordelijkheid heeft een fabrikant zeker.

En inderdaad, ik heb geen flauw idee wat een KNX is. Echter, ik heb wel enigzins benul van hoe een protocol te ontwerpen. En protocollen zonder authenticatie zijn niet meer van deze tijd. Zelfs voor iets domotica. Je kunt wel roepen "daar is het helemaal niet voor ontworpen". Maar dat is geen excuus. Alle nieuwe techniek moet robust zijn. Dat heeft het verleden ons wel geleerd.
DanielG @CyBeRSPiN21 februari 2019 09:38
Dat is toch ook zo een beetje de conclusie op de website? "De verantwoordelijkheid voor een goede beveiliging van de systemen ligt volgens Computest zowel bij de leverancier, de installateur als bij de consument."
fo0 @DanielG21 februari 2019 10:43
'Knx-standaard voor domotica is onveilig bij koppeling met internet'
doet toch echt anders vermoeden.
Cergorach
@fo021 februari 2019 11:47
De originele titel is iets anders"
Research: Thousands of homes and offices vulnerable to hackers due to insecure domotics
En daarmee iets genuanceerder dan wat Tweakers.net er van maakt.
tss68nl
@Cergorach22 februari 2019 11:45
Ook in de Engelse titel wordt gesproken over onveilige domotica.

Maar het is niet de domotica die onveilig is. De titel zou moeten lezen: "Thousands of homes and offices vulnarable to hackers due to improper implementation of domotics."
Kaalus 21 februari 2019 09:36
Heel raar is dit niet vanuit het ICT vlak gezien. Wanneer je weet dat de dienst die je aanbied geen authenticatie heeft zul je die dus op een andere manier aan moeten brengen, bijvoorbeeld met een firewall of VPN. Van KNX is prima bekend dat het geen authenticatie op IP niveau heeft, dus diegene die het implementeert moet daar rekening mee houden. KNX <> IP interfaces zijn in eerste plaats ontwikkeld om de backbone van het netwerk sneller te maken, niet voor toegang van buitenaf.
Punt waarop het hier waarschijnlijk foutloopt is dat KNX door (elektra) installateurs wordt geplaatst, die dan ook de IP koppeling tot hun rekening nemen. Gezien dat vaak geen IT'ers zijn wordt de boel gewoon aan het net gehangen/geportfoward. Ze willen ten slotte geen nee verkopen als de klant graag de boel op afstand beheert...

Een remote access server welke de authenticatie en automatisering voor zijn rekening neemt is hier de oplossing voor. Bijvoorbeeld een Schneider Homelynk of Homey kunnen dit.

[Reactie gewijzigd door Kaalus op 23 juli 2024 01:12]

MacFreek @Kaalus21 februari 2019 10:17
Homey gebruikt overigens een KNX-to-IP gatway van Weinzierl.

Op zich kan KNX goed beveiligd zijn omdat het over het bedrade (elektriciteits)netwerk gaat, en je dus fysieke toegang moet hebben. Ik denk dan ook dat het niet zozeer KNX is dat onveilig is, maar de gateways. Dat is wel opmerkelijk. Dank voor je uitleg dat het bedoeld is als backbone, niet als gateway. Dat verklaart wel de onveiligheid.

Maar op zich is de onveiligheid van domotica niet echt iets nieuws. Een beetje off-topic, maar ik verbaas me er over dat mensen zo makkelijk klik-aan-klik-uit (KIKA) gebruiken. Draadloos en totaal geen authenticatie. Beter is om Z-Wave of Zigbee te gebruiken, ook al zijn die een stukje duurder. Wellicht dat protocollen als Bluetooth LE (zoals gebruikt bij Apple Homekit), wifi, of 6LoWPAN (zoals gebruikt door Nest) door grotere volumes wel én veilig én goedkoop blijken.
Kaalus @MacFreek21 februari 2019 10:37
KNX is niet perse onveilig. Het gaat er vanuit dat externe toegang geregeld wordt via een apart systeem. De bus is ontwikkeld om apparaten te koppelen en dat is exact wat het doet. De IP interfaces zijn om extreem grote netwerken meer bandbreedte te geven door stukken over IP te laten lopen. Dat deze vervolgens ge(mis?)bruikt worden voor externe toegang ligt bij de partij welke de installatie implementeert.

Overigens kan Homey ook gebruik maken van andere KNX interfaces zolang er een tunnel verbinding ondersteund wordt.
amigob2 @Kaalus21 februari 2019 11:47
Dus je hebt maar op 1 plek fysiek toegang nodig om access tot het hele systeem te hebben.
Klinkt toch echt niet veilig.
AiR60 @MacFreek21 februari 2019 12:55
Klikaanklikuit gaat ook kapot binnen 2 jaar, tenminste hun dimmers...goedkoop is duurkoop...bovendien geen feedback en beveiliging is 0, het is louter geschikt voor niet afhankelijke temperatuursensoren of een deurbel. Heb het een tijdje gehad, ben nu bezig om alles de deur uit te flikkeren. Beetje offtopic maar die dimmers gaan na 2 jaar en een maand oid gewoon stuk. En dat merk je dat een lamp op maximaal gaat branden en niet meer uit te zetten is (enkel door stop eruit of module loskoppelen) dat + de beveiliging is een slechte combi...maarja who knows :) en dat is gelijk met de beveiligng van cameras en domotica en alles op it gebied : bewustwording van beveiliging!
friend 21 februari 2019 11:52
Zeker een beveiligingsbedrijf die zich weer eens wil profileren. Alsof je witbrood wilt gebruiken om lekken in je dak te stoppen, daar is het gewoon niet voor bedoeld.
KNX is in eerste instantie helemaal niet opgezet voor koppeling aan het internet, direct de IP router poort forwarden naar een extern IP adres is zo'n beetje het domste was je kunt doen. Dit zijn installatiefouten, geen beveiligingsprobleem met KNX.

De afgelopen jaren is voor veilige connecties om gebouwen onderling te koppelen het voor het verkrijgen van externe toegang een encryptielaag toegevoegd aan het bestaande KNX protocol, KNX Secure:
https://www.knx.org/knx-e...fits/knx-secure/index.php
Waarom zit ik hier helemaal niets van terug in het artikel? Blijft wel het feit dat veel installateurs wat dit betreft echt niet weten waar ze mee bezig zijn is wel duidelijk en daar moet ook iets aan gebeuren. Maar zeg niet dat KNX onveilig is, want dat is het gewoon niet, zolang je het maar toepast zoals het bedoeld is en gebruik KNX Secure voor externe toegang of gebruik gewoon een VPN.

[Reactie gewijzigd door friend op 23 juli 2024 01:12]

LauPro @friend21 februari 2019 15:11
KNX is even 'onveilig' als bijvoorbeeld een analoge wisselschakeling. Trek je een lasdoos open, dan kan je een elektra-installatie ook 'hacken'.

En aangaande de koppelingen met internet is al genoeg over gesproken. Deze dienen altijd met enige zorg te worden gedaan. Ik kan mij bijna niet voorstellen dat er mensen zijn die een KNX-IP-interface direct aan internet hangen. Als dat wel zo is lijkt het mij vaak voor dat 'beveiligingsbedrijf' om eens die installateurs aan te spreken die dit doen.
proatjeboksem 21 februari 2019 10:12
Aan de andere kant moet je je ook afvragen of je alles wilt beveiligen.

Mijn buurvrouw vond het 30 jaar geleden al vervelend dat ze een afstandsbediening kreeg voor de TV, want "dan konden de buren jouw televisie op een ander net zetten"

Als ze via KNX je server uit kunnen zetten, of je beveiliging uit kunnen schakelen lijkt me dat wel uitermate vervelend idd. Maar het lijkt me dat je ook geen bedrijfskritische zaken gaat domotizeren, maar vooral zaken als de verwarming en verlichting oid.

Daarbij moet ik altijd denken aan deze review:
https://www.amazon.com/review/R3IMEYJFO6YWHD
RJG-223 @proatjeboksem21 februari 2019 12:41
Aan de andere kant moet je je ook afvragen of je alles wilt beveiligen.

Mijn buurvrouw vond het 30 jaar geleden al vervelend dat ze een afstandsbediening kreeg voor de TV, want "dan konden de buren jouw televisie op een ander net zetten"

Als ze via KNX je server uit kunnen zetten, of je beveiliging uit kunnen schakelen lijkt me dat wel uitermate vervelend idd. Maar het lijkt me dat je ook geen bedrijfskritische zaken gaat domotizeren, maar vooral zaken als de verwarming en verlichting oid.
Er is wel een fundamenteel verschil tussen dat iemand die door jouw straat loopt met een afstandsbediening bij zich, terwijl jouw gordijnen open staan, en enkel jouw televisie dus aan of uit kan zetten (wat een lol), en iedere crimineel in een ver land, die via internet jouw domitica kan hacken, en jou dan kan bespioneren, jouw devices bitcoin kan laten minen, met jouw devices DDOS aanvallen kan uitvoeren, vaststellen wanneer jij met vakantie bent (en die informatie verkopen), etc. etc.

En als het kán, dan zal het gebeuren, zeker als er tzt miljoenen, of zelfs miljarden kwetsbare devices zijn. Dan is het als criminele organistatie zeer rendabel om daar veel moeite in te stoppen.

En jij vindt jouw verwarming niet kritisch ? Stel dat ene onverlaat 'voor de grap', die verwarming uitzet terwijl jij op wintersport bent, zodat als jij terugkomt het water uit jouw gesprongen leidingen als een mooie waterval van de trap stroomt, en jij in je kelder ineens een zwembad hebt. Of er breekt brand uit omdat een ander systeem bij jou thuis gehackt is, en bepaalde softwarematige beveiligingen daardoor onbedoeld niet goed functioneren (dwz: dat was niet de bedoeling van de hackers, maar ja, hun kwaliteitscontrole op de geschreven en/of ingekochte hack-software is niet optimaal...)

En zo kan ik nog wel even doorgaan met voorbeelden van zaken die jij vast niet erg vindt...
proatjeboksem @RJG-22321 februari 2019 13:22
Bitcoins minen op mijn thermostaat of veelkleurige ledlamp zal niet veel opbrengen, denk ik.
Mij bespioneren lijkt me inderdaad wel vervelend, al kan ik niet veel spanning en sensatie beloven.
En als iemand er op uit is om je huis de vernieling in te helpen, gaat een veilige IoT ook niet helpen, denk je wel?

maar dat bedoel ik ook met bedrijfskritische zaken domotizeren: je moet zorgen dat je niet rendabel bent voor criminelen. Of beter: je moet minder rendabel zijn dan de buren.
RJG-223 @proatjeboksem21 februari 2019 14:27
Bitcoins minen op mijn thermostaat of veelkleurige ledlamp zal niet veel opbrengen
Dat spul krijgt steeds meer functies, en steeds snellere processoren. Het zal natuurlijk nooit top-of-the-line zijn, maar als je op 10 miljoen thermostaat-processoren bitcoin kunt minen (als het er geen 100 miljoen worden), dan levert waarschijnlijk dat toch wel redelijk wat op.
Mij bespioneren lijkt me inderdaad wel vervelend, al kan ik niet veel spanning en sensatie beloven
Die spanning en sensatie krijg jij wel als je na je vakantie thuis komt en je electronische apparatuur is weg. Of als je een mailtje in je mailbox krijgt, met een pikante foto, of een interessante geluidsopname, en het verzoek zoveel bitcoin over te maken naar een adres.

Als dit soort criminaliteit mogelijk wordt door onveilige devices, dan weet je zeker dat het ook zal gebeuren.
En als iemand er op uit is om je huis de vernieling in te helpen, gaat een veilige IoT ook niet helpen, denk je wel?
Niemand is er waarschijnlijk op uit om specifiek jouw huis in de vernieling te helpen.

Er zijn helaas wel script-kiddies of zo, die het leuk vinden om dat bij zomaar iemand te doen. Maakt niet veel uit wie. De minister president, of de buurman, is natuurlijk wel veel leuker dan een willekeurig iemand...

En er zullen ook hackers zijn die jouw IoT software voor hun eigen doelen 'upgraden', waarna een ongeplande bug schade veroorzaakt. Gesprongen leidingen door een om die reden niet-functionerende verwarming is dan helemaal niet zo ver gezocht. En dat is dan dus helemaal niet de opzet geweest. Noem het 'collateral damage'.
maar dat bedoel ik ook met bedrijfskritische zaken domotizeren: je moet zorgen dat je niet rendabel bent voor criminelen.
10 of 100 miljoen keer niet rendabel is wél rendabel, als je dat allemaal kunt automatiseren. En dat kunnen ze meestal wel.
Of beter: je moet minder rendabel zijn dan de buren
Dat geldt alleen voor niet-digitale criminaliteit. Want het gaat niet om die ene inbreker die in een straat rond loopt om een makkelijk doelwit te zoeken. Het gaat om criminele organistaties die actief op zoek zijn naar elke kwetsbare device dat ze vie internet kunnen vinden. Het gaat om een heel leger 'inbrekers' die in alle straten tegelijk rondlopen. En ze zullen iedereen proberen. Minder kwetsbaar is dan niet voldoende. Dan pakken ze je toch.

Het enige wat voldoende is, is als de onvermijdelijke kwetsbaarheden in jouw huis zeldzaam genoeg zijn, dat het voor criminelen niet, of amper rendabel is om die te misbruiken.
Verwijderd 21 februari 2019 10:18
Echt veilig wordt het als je de spullen gewoon niet op internet aansluit. Het hele IoT is een belachelijke gedachte. Waarom wil je in hemelsnaam alles aansluiten op internet.
T-men @Verwijderd21 februari 2019 10:48
Waarom wil je in hemelsnaam alles aansluiten op internet.
Het geeft mijn vrouw een hoop rust op vakantie wanneer ze kan checken dat ze de verwarming niet is vergeten laag te zetten.
Op afstand mijn server aan en uit kunnen zetten scheelt mij een lastige wandeling naar de kelder waar het ding herrie staat te maken.

En zo heeft elk zijn eigen goede reden.

Oh... en het is ook gewoon leuk ! :+
We zijn tenslotte tweakers !
WhiteDog @Verwijderd21 februari 2019 18:57
In combinatie met de cloud is het wel "gemakkelijk" dat je jouw huis kan volzetten en volhangen met dingen die zelf met het internet praten en waar je "niets" moet aan instellen. Je oven haalt nieuwe recepten binnen, je hoeft geen wifi te voorzien voor je camera achter in de tuin, ... je hoeft en nieuw apparaat alleen maar even aan jouw account te koppelen in de fabrikant zijn cloud (wat nu ook al veel is met allerlei toestellen). Dat al die apparaten op hun eigen manier beveiligd zijn kan ook een voordeel zijn.
Verwijderd @WhiteDog21 februari 2019 22:35
het enige recept dat jouw oven snapt is een kant en klaar maaltijd. wil je iets anders dan zul je toch ook zelf wat moeten doen. en dan wil je helemaal niet dat de oven zelf besluit hoelang het op welke temperatuur staat. Ik heb het vermoeden dat jij geen oven hebt of hem zelf nooit gebruikt?
stresstak @Verwijderd21 februari 2019 13:37
Waarom wil je in hemelsnaam alles aansluiten op internet.
'Alles ' is wat overdreven, maar er wordt geadverteerd en gelokt met 'gemak'. Zet nu vast de verwarming aan dan is het lekker warm als je thuiskomt. Die dingen.
RJG-223 @stresstak21 februari 2019 14:33
[...]

'Alles ' is wat overdreven, maar er wordt geadverteerd en gelokt met 'gemak'. Zet nu vast de verwarming aan dan is het lekker warm als je thuiskomt. Die dingen.
Niet alleen dat. In de toekomst zullen veel IoT devices vermoedelijk afhankelijk zijn van de cloud, en een continue internetverbinding met de fabrikant. Om wat voor (onofficiële) reden dan ook (vendor-lock in bijvoorbeeld).
Koen Hendriks 21 februari 2019 09:39
Dit zelfde probleem hadden wij ook met een opdracht voor een KNX ingericht huis. Ik denk niet dat dit per se aan KNX systemen ligt maar meer aan de implementatie ervan.

Ja de standaard mist zeker authenticatie mogelijkheden maar dat zegt nog niet dat het onveilig hoeft te zijn. Wij hebben het opgelost door er voor te zorgen dat de verbinding met de KNX IP module alleen via een VPN mogelijk was.
_ferry_ Moderator CM 21 februari 2019 09:47
Klinkt heel spannend zo'n scan, maar via Shodan hoef je alleen maar te zoeken op KNX en je krijgt dus ongeveer het aantal resultaten waar ze het in de publicatie over hebben. Als als die KNX modules dezelfde zwakke plek hebben, dan heb je je onderzoekje snel klaar. Zag wel dat het aantal per land daar anders verdeeld is, maar het vinden is in ieder geval niet moeilijk. Goed dat ze dit aan de kaak stellen in ieder geval. Dat de systemen compleet geen authenticatie hebben is nogal een fail.

[Reactie gewijzigd door _ferry_ op 23 juli 2024 01:12]

dbram 21 februari 2019 10:04
Oplossing, (eenvoudig en )goedkoop.

- gebruik Openhab of iets gelijkaardig
- zet er een nginx met authenticatie voor
- of laat enkel VPN verbinding toe
- zet de KNX lan bridge op een aparte vlan en laat enkel noodzakelijke protocollen toe.

Waarom zou je het anders opzetten ?
LxxFxx @dbram21 februari 2019 10:43
Ik ben wel geïnteresseerd in die nginx, kan je mij in de juiste richting duwen met een linkje ofzo, evt wat online leesvoer?
!GN!T!ON @LxxFxx21 februari 2019 11:19
https://developer.okta.co.../08/28/nginx-auth-request
jaybrown 21 februari 2019 13:11
Ik ben redelijk zeker dat het huis van mijn schoonouders op die kaart staat (enige in een klein dorp). Ik regel daar de IT dus ben zeker dat er geen portforwarding is ingesteld. De kaart laat volgens mij dus de potentieel onveilige installaties zien, en niet degene die effectief kunnen geïnfecteerd worden.
totaalgeenhard 21 februari 2019 09:27
Dit bedrijf heeft in 2015 Pine overgenomen beter bekend van security.nl en minder bekend van hun aftap oplossing.

Je zou dus denken dat deze mensen moeten weten dat een pogingsdelict verre van ethisch is.
BartOtten @totaalgeenhard21 februari 2019 09:40
Pine Digital Security had geen enkele zeggenschap over die website en ontwikkelde ook geen aftap oplossingen. Computest heeft die activiteiten dan ook nooit over kunnen nemen. Mijn collega's zijn ethical hackers, secure development specialisten en sinds de overname ook performance analisten die zich bezighouden met ontwikkelen en testen; aftappen is daar niet bij.

Ik weet uit ervaring dat ethiek bovenaan het lijstje staat, evenals trainingen om bedrijven en consumenten bewust te maken van de gevaren.

Vriendelijke groet,
1 van die mensen ;)

edit: typo

[Reactie gewijzigd door BartOtten op 23 juli 2024 01:12]

BartOtten @totaalgeenhard21 februari 2019 10:56
Als de laatste keer dat je kijkt elke keer in het internet archief is, dan begrijp ik goed hoe je tot je stelling komt :Y) Maar in het heden kan ik lezen:
2012: split off as Pine Lawful Interception to focus solely on LI products and services. The security services unit continued as Pine Digital Security
2015: Pine Digital Security was sold
Kortom: Computest heeft nooit Interception ingekocht. Mark en Patrick ken ik niet, maar ik kwam dan ook pas na 2012 bij Pine Digital Security .

Fijne dag nog,
mij

[Reactie gewijzigd door BartOtten op 23 juli 2024 01:12]

BartOtten @totaalgeenhard21 februari 2019 11:54
Dit wordt een eindeloos gesprek, dus dit wordt mijn laatste reactie op je, nu je een volgend onderwerp opent.

Punt 1:
Als je Pine/Computest niet hebt bijgehouden na 2002, dan lijkt het me niet verstandig te posten alsof je alles weet van het bedrijf.

Punt 2:
Ik weet wat een strafbare poging bij formele delicten is, mocht je daar op doelen. Je bent dus voorbarig met je conclusie dat je anno 2019 mij dit moet uitleggen.

Zoals gezegd heeft Computest meerdere takken. Security, Performance en Automated Functional testing. Security is nog eens opgesplits in Development en Security Testing. Het lijkt mij genoeg dat die laatste tak weet wat een pogingsdelict is. Aangezien ik niet in die tak werk, zou ik het dan ook niet hoeven weten. Net zoals 60% van de rest van het personeel. Onze baliemedewerkster werkt ook bij dit bedrijf en "werkt dus bij security" volgens jouw beredenering. Het lijkt mij verre van ondenkbaar dat je haar dit jaar nog moet uitleggen wat strafbaar en onethisch is (als dat je missie is).

Punt 3:
Je pogingen om het bedrijf waar ik werk in een kwaad daglicht te stellen dan wel onze ethics te betwijfelen vind ik jammer, en ik vraag me af waarom je de aandrang voelt. Maar erop reageren zal ik niet meer; voel je vrij een vlammend slotpleidooi hieronder te posten.

edit: puntsgewijs gemaakt.

[Reactie gewijzigd door BartOtten op 23 juli 2024 01:12]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq