Het verbinden van een gebouwsysteem met internet zorgt voor gebruiksgemak, maar het levert ook risico’s op. Hoe voorkom je dat hackers de boel overnemen? Installateurs lijken het probleem nog altijd niet serieus te nemen. Daarom zijn KNX en Techniek Nederland met een nationale voorlichtingscampagne gestart.
Lees verder
Amerikaanse hackers slaagden er onlangs in de slimme thermostaten van een aantal gebouwen over te nemen. Dat lukte door een virus te installeren op de SD-kaart, waarna ze door middel van ransomware de gebouweigenaar voor een keuze konden stellen: 500 dollar betalen of anders ging de thermostaat omhoog naar de maximale stand van 37 graden Celsius.
In dit geval boften de gebouweigenaren, want de inbraak werd gepleegd door zogenoemde ‘ethische hackers’. Maar dat Internet of Things (IoT) kwetsbaar is, maakte de hack pijnlijk duidelijk. Het bericht enige tijd geleden dat ook domotica-toepassingen met de KNX-standaard makkelijk te kraken kunnen zijn, onderstreept dat nog eens. Een ethische hacker van Computest ontdekte dat hij in duizenden gebouwen met deze veelgebruikte standaard voor woning- en gebouwautomatisering de bediening kon overnemen.
Het ging om ruim 17.000 gebouwen wereldwijd, waarvan zo’n 1.300 in Nederland. Klinkt als een verbijsterend aantal. “Maar die getallen verbazen mij helemaal niet”, reageert Aiko Pras, hoogleraar Internet Security. “Het gaat ook helemaal niet om de KNX-standaard, dit kan bij elke standaard gebeuren. De kern van het probleem ligt bij de installateurs. Zij zijn gewend iets af te leveren dat na oplevering klaar is. Maar bij IoT is dat helemaal niet zo, daar blijft security áltijd hoofdzaak.”
Hoe goed systemen ook bedacht zijn, in de miljoenen regels code bevinden zich altijd fouten, stelt Pras. En dat betekent ook dat er altijd kwetsbaarheden in zitten. Maar meestal hoeven hackers helemaal niet op zoek naar dergelijke missers in de code, het probleem zit meestal bij de internetkoppeling.
Besturingssystemen voor gebouwen kunnen intern communiceren, maar zijn niet per definitie verbonden met het internet. Dat gebeurt pas als er een gateway tussen wordt gehangen. Makkelijk voor iedereen, want dan hoeft er geen busje met een monteur voor te rijden als er problemen zijn. Maar wordt de koppeling gelegd zonder beperking, dan is het voor een hacker een koud kunstje om binnen te komen.
Pras: “Je moet het daarom aan een Virtual Private Network (VPN) hangen met meerdere lagen van beveiliging, net als bij een middeleeuws fort, want de eerste muur kan altijd vallen.”
Te vaak nog gebeurt dat niet. Want wat moet een hacker met de besturing van een woning? De lampen aan- en uitzetten? De tv naar een andere zender schakelen? Dat is niet zo spannend. Het wordt interessanter als bewoners of organisaties hun voordeur via internet op afstand gaan bedienen. Een Zweedse slotenmaker stak er in een reclamespotje de draak mee. De video toont een man die zijn hele huis, inclusief voordeur, online bedient met behulp van stemcontrole. Wanneer hij terugkeert van de tandarts en vanwege een dikke wang nauwelijks kan praten, laat de computer hem zijn eigen huis niet in. Pras: “Lachen natuurlijk. Maar als een hacker de voordeur wél open kan krijgen, heb je een probleem.”
Doen ontwikkelaars van standaarden voor gebouwautomatisering dan niets om indringers buiten te houden? Jazeker, ze werken zelfs voortdurend aan verbetering van hun protocollen. Bij KNX Nederland zijn ze geschrokken van de commotie die de bevindingen van Computest veroorzaken. De hacker kwam waarschijnlijk de KNX-bus binnen doordat sommige klanten nog steeds geforward worden naar 3671 – de standaardpoort voor opbouwen van een KNX/IP tunnel, vermoeden ze.
KNX-secretaris Rob van Mil vindt het overigens niet eerlijk dat de ethische hacker zich alleen richtte op de – ISO, EN en NEN-genormeerde – KNX-standaard. “Bij andere standaarden zou je een soortgelijk resultaat krijgen. Zonder een veilige koppeling met het internet is het altijd riskant om je systeem via smartphone of tablet te bedienen. Helaas ontbreekt het vaak aan kennis bij installateurs en fabrikanten over hoe dat moet.”
Via een VPN is dat prima voor elkaar te krijgen, maar het vergt wel enige IT-kennis. Als je de poort open laat staan en het VPN niet op orde hebt, loopt je gebouwsysteem een risico. Aangezien niet iedereen dat voor elkaar krijgt, heeft KNX een IP Secure Gateway bedacht. Dat is een stukje hardware dat er bij het leggen van een verbinding met internet automatisch voor zorgt dat elk bericht wordt versleuteld. Alleen wie de sleutel heeft, komt erin.
Er is één probleem: KNX/IP Secure Gateway is pas in 2018 geïntroduceerd, de meeste operationele gebouwautomatiseringssystemen stammen van voor die tijd. Die zijn dus nog steeds aangewezen op een VPN. Hebben ze een zwak of helemaal geen wachtwoord, dan zijn ze eenvoudig te kraken. “Dan nog moet je nog heel wat IT-kennis en speciale software hebben om die KNX-bus te kunnen lezen, maar je zit er wel in”, zegt Van Mil.
KNX heeft er workshops en netwerkbijeenkomsten over georganiseerd, maar kennelijk is dat niet voldoende. Gateways beveiligen was geen onderdeel van de KNX basistraining. Dat wordt het in de toekomst wel.
Techniek Nederland zet ook in op dergelijke verbeteringen. De brancheorganisatie maakte al eens een stappenplan waaraan installateurs zich zouden moeten houden bij koppeling van gebouwinstallaties aan het internet. Naar aanleiding van de melding van Computest steken Techniek Nederland, KNX Nederland en brancheorganisatie Gebouw Automatisering nu de koppen bij elkaar. De drie partijen denken aan het organiseren van een promotiecampagne om installateurs bewust te maken van de gevaren van onvoldoende beveiliging van internetkoppelingen.
Ondertussen blijft het een vreemd verhaal dat er nog onvoldoende bewustzijn in branche is over de gevaren van hackactiviteit. Het probleem speelt niet alleen in Nederland. Een Duits computerblad slaagde er enkele jaren geleden in de bediening van de deuren van een gevangenis en een brandweerkazerne over te nemen.
Hoe kan het toch dat professionele installateurs onveilige beheerssystemen blijven afleveren? Aiko Pras – zelf 60 jaar – vermoedt dat er een generatiekloof is die een rol speelt. “Een installateur van 55 heeft op school niet geleerd hoe hij een internetbeveiliging installeert, terwijl de jeugd precies weet hoe je daar misbruik van maakt. Mensen hebben gewoon meer bijscholing nodig.”
De Tweede Kamer nam in december 2017 een motie aan om de haalbaarheid van een cybersecurity onderzoeksinstituut te onderzoeken. Gaat dat iets opleveren? Pras: “Het probleem is dat we te weinig gekwalificeerde mensen hebben om dergelijke plannen daadwerkelijk uit te voeren. Jaarlijks leveren Nederlandse universiteiten honderd ict’ers af met specialiteit cyber security. Dat is veel te weinig voor de behoeften van het bedrijfsleven.”
Gezien de tsunami aan nieuwe IoT-toepassingen zal dat tekort alleen maar nijpender worden, verwacht hij. Installateurs zijn niet de enigen die daardoor steken laten vallen. Fabrikanten kunnen er ook wat van. Zo bleken omvormers voor zonnepanelen die als ‘beveiligd’ werden verkocht, in de praktijk geen authenticiteitscheck uit te voeren. Ook ‘slimme’ wasmachines blijken gevoelig voor hacken. Het levert niet alleen risico’s op voor het functioneren, gehackte mini-computers in apparaten kunnen ook onderdeel worden van een botnet. Op die manier zijn ze weer bruikbaar voor Ddos-aanvallen. Hoeveel mensen zijn zich bewust van dát gevaar?
“En dan hebben we het nog niet gehad over veel grotere gevaren: dat vreemde mogendheden of terroristische organisaties vitale infrastructuur hacken bijvoorbeeld of mensen op afstand vermoorden met behulp van een gehackt systeem”, zegt Pras. “We moeten ons veel beter bewust worden van de gevaren van onze afhankelijkheid van het internet. Elk ict-systeem wordt op een dag gehackt, dat is een natuurwet.”
Computest heeft een website waarop gebouwbeheerders en consumenten kunnen controleren of hun KNX-installatie veilig is.
KNX Nederland heeft een KNX Security Checklist die vakmensen helpt met een stapsgewijze beveiliging.
Edo Beerda is freelance journalist. Dit artikel verscheen eerder op de website van Installatiejournaal.
