KNX als weltweiter Standard für Gebäudeleitsysteme ist angreifbar. Wir haben mit Antagos Erebos - dem ersten professionellen KNX-Hacking Tool- diese Angriffe erfolgreich durchgeführt und damit aus grauer Theorie bewiesene Praxis gemacht.

Daraus ergeben sich nun verschiedene Angriffs- und damit Schadensszenarien, denen es vorzubeugen gilt. Welche dies sind, wie Erebos funktioniert und wie man KNX sichern kann, darauf möchten wir im Folgenden eingehen.

Sicherheit von Gebäudeleitsystemen und Smart Homes

Die Zeiten klassischer Verkabelungen, bei welchen Strippen von Schaltern zu Aktoren gezogen werden, sind längst vorbei. Leitsysteme haben die Architektur moderner Gebäude durchdrungen. Eine der verbreitetsten Lösungen und europaweiter bzw. weltweiter Standart ist dabei sicherlich EIB (Europäischer Installations Bus) bzw. sein Nachfolger KNX. Diese Bus-Technologien erlauben dynamische Gestaltungen von Funktionen und lassen die Gebäude ein wenig smarter werden.

Neben der primären Verkabelung ist die Anbindung des Gebäudes an die EDV durch die Leitsysteme wesentlich leichter geworden. Es ist nunmehr keine Zauberei mehr, Gebäude am PC zu überwachen und zu steuern. Doch welche Risiken birgt dieser Wandel?

Wie sicher sind Gebäudeleitsysteme?

Sicherheit ist aktuell ein häufig verwendetes Wort. Doch was heisst Sicherheit überhaupt und was bedeutet das für den Alltag von Installateuren, Architekten, Besuchern und Eigentümern moderner Gebäude?

Um diese Frage zu beantworten, betrachten wir im ersten Schritte die Angriffsvektoren für Gebäudeleitsysteme.

Welche Angriffs-Vektoren existieren?

Grundsätzlich existieren 2 Angriffsvektoren für Gebäudeleitsysteme, der Bus selbst und die steuernde EDV. Beide sind im Rahmen von Sicherheitsbetrachtungen zu berücksichtigen. Im Detail gilt es die folgenden Punkte zu beachten:

EDV

Netzarchitektur
Netztrennung
Netzzugangskontrolle
Firewalling
Patchmanagement
Zugriff zur Visualisierung
…

BUS

Netzarchitektur
Netztrennung
Netzzugangskontrolle
...

Während Angriffe auf IT-Infrastrukturen weltweit an der Tagesordnung und damit auch bekannt und durch vielfältige Maßnahmen zu vermeiden oder zumindest einzudämmen sind, sieht es in der Welt des Bus anders aus.

Zur Steuerung von Gebäuden auf der Ebene des "Klingeldrahts" gedacht, war Sicherheit bei der Entwicklung von Bus-Systemen nie ein großes Thema. Über Angriffs-Szenarien wurde kaum geforscht und daher auch keine entsprechenden Lösungen für solche Angriffe entwickelt. In Folge ist der Bus ernsthaften Angriffen wie zum Beispiel durch Erebos weitgehend schutzlos ausgeliefert, wenn nicht einige Aspekte bei der Umsetzung der Systeme beachtet werden. Doch wie auch in der Welt der IT, so bedeutet mehr Sicherheit auch und vor allem in der Welt des Bus mögliche Einschränkungen der Funktion und des Komforts.

Der Spagat zwischen Funktion und Sicherheit

Die Sicherheit eines jeden Systems läuft nahezu immer konträr zu dessen Benutzbarkeit. Möchten wir beispielsweise von jedem Schalter aus jede Lampe steuern können, so kann prinzipiell auch ein Angreifer von diesem Schalter aus jede Lampe steuern. Befinden sich diese Lampen dann auch noch in unterschiedlichen Linien, braucht der Schalter für seine eigentliche Funktion natürlich auch Zugriff auf die anderen Linien, um die dort festgelegten Gruppenadressen erreichen zu können. Selbstredend kann ein Angreifer damit auch Linien-übergreifend agieren, mit aller Tragweite, die diese Möglichkeit birgt.

Wie real sind Angriffe auf Gebäudeleitsysteme?

Aktuell wird das Thema Sicherheit von Gebäudeleitsystemen heisser diskutiert als je zuvor. Doch was ist bisher tatsächlich passiert?

Wirklich bekannt sind noch keine Angriffe auf Gebäudeleitsysteme. Doch liegt dies wahrscheinlich hauptsächlich daran, dass wir solche Angriffe kaum erkennen würden.

Von der Problemklasse vergleichbar sind allerdings Angriffe auf SCADA-Systeme, die darüber hinaus über eine größere Tragweite verfügen als Gebäudeleitsysteme. SCADA-Systeme steuern in der Regel Industrieanlagen, verfügen aber über ähnliche Angriffsvektoren wie Gebäudeleitsysteme. In der Vergangenheit sind eine Vielzahl von Angriffen auf solche Systeme bekannt geworden, wie auch in der Presse nachzulesen war.

Mehr Sicherheit für EIB / KNX

Um sich zukünftig solchen Problematiken zu stellen, gilt es, die Möglichkeiten die EIB / KNX zum eigenen Schutz bietet, strategisch zu nutzen. Dies beginnt sinnvoller Weise bereits in der Planungsphase der Systeme. Zu diesem Thema bietet die Antago erstmals spezielle Schulungen zur Sicherheit von EIB / KNX an.

Darüber hinaus ist davon auszugehen, dass mit zunehmender Öffentlichkeit der Thematik die Hersteller vermehrt an Lösungen zur Sicherheit von EIB / KNX arbeiten werden.

Mit dem von uns entwickelten KNX-Hacking Tools Erebos und Thanathos haben wir es uns zum Ziel gesetzt, die Thematik stärker in den Fokus zu rücken und so zur EIB/KNX-Sicherheit einen kleinen Beitrag zu leisten.

Disclaimer

Die im Verlauf der jeweiligen White Paper beschriebenen Komponenten „Thanatos“ als auch „Erebos“ stehen nicht zum Verkauf. Die Software wurde und wird nicht veröffentlicht. Ebenso wird die genaue technische Umsetzung der Angriffe nicht publiziert oder kommuniziert. Der Zweck von „Thanatos“ und von „Erebos“ ist es, die Angreifbarkeit des EIB/KNX Bus aufzuzeigen um daraus neue, bessere Schutzmechanismen abzuleiten. Es ist nicht das Ziel die Kompromittierung von Gebäuden in der „freien Wildbahn“ zu ermöglichen.

Für weitere Informationen einfach auf die jeweiligen Punkte klicken. Hier stehen jeweils auch die White Paper zum Download zur Verfügung.

Weiterführende Informationen

Why hack a thermostat in a hotel?

Nach Social-Media, Online-Handel und Automobilen vernetzt man nun die neue Generation der "Internet Dinge". Denn im "Internet der Dinge" (Internet of Things, IoT) kommuniziert alles mit allem. Bloß ohne Menschen. Schätzungen zu Folge werden bis 2020 rund 50 Milliarden Geräte wie Sensoren, Sicherheitskameras, Fahrzeuge und Produktionsmaschinen miteinander vernetzt sein. Und auch in der Hotellerie sehen wir erste Adaptionen von IoT. Jalousien und Türen sowie ganze Gästezimmer-Management-Technologien werden bereits seit Jahren durch die Gebäudeautomation gesteuert.
Das größte Problem dabei ist die Sicherheit.

Warum also einen Thermostat hacken?

Dieser Artikel beschreibt die Anfälligkeit von Gebäuden, einschließlich Hotels, welche Produkte auf Basis des KNX-Protokolls, das sich schätzungsweise von mehr als 400 Herstellern von Gebäudeautomation weltweit in Benutzung befindet, verwenden.

Artikel zu -Why hack a thermostat in a hotel?- downloaden

Angreifbarkeit des GIRA Home- und Facilityservers

Im Rahmen verschiedener Forschungsprojekte beschäftigt sich die Antago GmbH seit einigen Jahren neben klassischen digitalen Einbrüchen auch mit der Sicherheit von EIB/KNX-basierten Systemen.

Trotz der weitreichenden Möglichkeiten von Erebos und Thanatos bedurfte es immer dem einmaligen, physikalischen Zugriff auf das anzugreifende Gebäude. Als logische Konsequenz ergab sich der Wunsch, die gleichen Angriffe auf Licht-, Klima- und Alarmsysteme, auch aus dem Internet heraus, ausführen zu können. Die Vision war es, mit automatisierter Software von überall auf der Welt zentral auf tausende Gebäudesteuerungen administrativ zugreifen zu können.

Einer der größten Anbieter für im Internet vernetzte Smart Buildings ist die Firma Gira. So war es naheliegend, deren Produkt auf Angreifbarkeit zu untersuchen. Ein solcher Angriff wurde nach unserem Kenntnisstand in dieser Form noch nie flächendeckend durchgeführt und ist somit absolut aktuell und gefährlich.

White Paper zum GIRA Hack
(1,4mb .pdf)
White Paper zum GIRA Hack - english version -
(1,4mb .pdf)

Erebos - Antagos Gott der Dunkelheit

Erebos - Antagos Gott der Dunkeltheit - KNX-Hacking-Tool

entwickelt Frühjahr 2014 als Proof of Concept, um die Angreifbarkeit von EIB/KNX basierten Systemen zu demonstrieren
erste öffentliche Präsentation auf der Sicherheits Expo München am 02.07.2014 im Rahmen des Vortrags "Livehacking: Angriffsvektoren auf Gebäudeleitsysteme"
Strom-autark bis zu einem Tag
WLAN und UMTS Schnittstelle
Command and Control Funktion
Erebos Control Center zur Verwaltung des Tools
gehärtet mit anti-forensischen Methoden

Erebos ist ein eigenständiges System, welches den EIB/KNX Bus direkt angreift.

Es vereint die gängigen Funktionen von etablierten Programmen zum Steuern und Verwalten von EIB/KNX-Systemen und ist um eine Vielzahl von Programmen zum Angriff erweitert worden. Erebos ist bis zu einem Tag Strom-autark zu betreiben und erlaubt es dem Angreifer, per WLAN oder UTMS, bequem Gebäude fernzusteuern. Erebos als Werkzeug besteht aus gängigen Artikeln der Elektrotechnik und lässt sich mit geringen finanziellen Mitteln nachempfinden.

Darüber hinaus ist Erebos um die Funktion des Command and Control erweitert. Wir haben somit die Möglichkeit geschaffen, Erebos über im Internet stehende Server fern zu steuern. So ermöglichen wir es beispielsweise, dass die in „freier Wildbahn“ befindlichen Erebos Instanzen zentral verwaltet werden und eigene Entscheidungen treffen können. Um final der Anzahl von kompromittierten Gebäuden/Steuerungen Herr zu werden, existiert ein Erebos Control Center (kurz ECC), welches die zentrale Verwaltung, Statusabfrage und Manipulation von beliebig vielen Erebos und damit Gebäuden und Steuerungen ermöglicht.

Da Erebos als möglichst reales Angriffswerkzeug konzipiert wurde, hören die Funktionen bei dem reinen Angriff nicht auf. Durch den Hintergrund der Antago im Bereich der IT-Forensik, speziell Linux Server Forensik, wurde Erebos mit nahezu Allem an Anti-Forensik ausgestattet, was aktuell technisch möglich ist.

Somit verfügt Erebos neben der zentralen Verwaltung und allen Möglichkeiten zum Angriff auf Gebäude auch über die Funktion, dass auf die eigentlichen Daten des Angreifers nicht zugegriffen werden kann. Selbst wenn das Opfer die Hardware entdeckt, sind keine Rückschlüsse auf den Urheber (im Rahmen von hohen bis sehr hohen Aufwänden) möglich.

White Paper zu Erebos downloaden
(3,8mb .pdf)

Thanatos - Gott des Todes

Thanatos - Gott des Todes - KNX-Hacking-Tool

entwickelt im November 2014 als Proof of Concept, um die Angreifbarkeit von EIB/KNX basierten Systemen mit noch kleinerer Hardware als Erebos zu demonstrieren
Stören des BUS
Zerstören der Funktionalität des BUS-Ankopplers

Thanatos ist - wie Erebos - ein eigenständiges System, welches den EIB/KNX Bus direkt angreift.

Ziel der neuen Entwicklung ist es, einen noch schlankeren, günstigeren Angriff zu realisieren, welcher dennoch über enorme Schlagkraft verfügt. Dabei wurde eine spezielle Software entwickelt und auf eine Bauform zurückgegriffen, welche es ermöglicht „Thanatos“ hinter bspw. Lichtschaltern zu verstecken.

White Paper zu Thanatos downloaden
(8,0mb .pdf)

Videos, Foren und Webartikel

Videos, Foren und Webartikel zu EIB/KNX

KNX.org www.knx.org/knx-de/
KNX User Forum knx-user-forum.de/knx-eib-forum/
Computerbild Ausgabe 10.2014: Smarte Einbrecher
VdS s+s report, Ausgabe 04/2014: Angriffe auf Gebäudeleitsysteme
Elektro (de), Ausgabe Nov 2014: Verwundbare KNX-Installationen - Angriffe auf Gebäudeleitsysteme http://www.elektro.net/41290/angriffe-auf-gebaeudeleitsysteme/
WELT.de vom 05.11.2014: Smarte Häuser öffnen Einbrechern Tür und Tor, http://www.welt.de/wirtschaft/webwelt/article134010313/Smarte-Haeuser-oeffnen-Einbrechern-Tuer-und-Tor.html
ITespresso vom 18.11.2015: Deutsche Sicherheitsexperten hacken Smart Home Server erstmals aus der Ferne, http://www.itespresso.de/2015/11/18/deutsche-sicherheitsexperten-hacken-smart-home-server-erstmals-aus-der-ferne/

KNX-Security