34
TeleTrusT-Informationstag "IT-Sicherheit im Smart Home und der Gebäudeautomation" Berlin, 12.11.2014 Security und Gebäudeautomatisierung Wolfgang Kastner Technische Universität Wien Automation Systems Group [email protected], www.auto.tuwien.ac.at

Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 1

TeleTrusT-Informationstag "IT-Sicherheit im Smart Home und der Gebäudeautomation"

Berlin, 12.11.2014

Security und Gebäudeautomatisierung Wolfgang Kastner Technische Universität Wien Automation Systems Group [email protected], www.auto.tuwien.ac.at

Page 2: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 2 12.11.2014 2

Automation Systems Group

Computer Engineering/Software Engineering □ System analysis and system design □ Networked embedded systems □ Information modelling □ (Enterprise) System interfaces □ Advanced control strategies □ Safety AND Security □ International Security Lab (iSecLab)

Distributed Automation

□ Building automation (wired/wireless) □ Home automation/Smart homes □ Cyber-physical production systems □ Internet of Things

Page 3: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 3

Gebäudeautomation

„System aus Produkten und Dienstleistungen für automatische

Steuerung und Regelung, Überwachung, Optimierung, Betrieb

sowie für manuelle Eingriffe und Management zum energieeffizienten,

wirtschaftlichen und sicheren Gebäudebetrieb“

Instandhaltung

Beleuchtung Kälte-

maschinen Heizkessel

Raum- automation

Zutrittskontrolle

Verschattung

Fernabfrage

Brandmelde- technik

Trending

Einbruch- meldetechnik

ISO 16484-3

Page 4: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 4

Safety

Systeme der technischen Gebäudeausrüstung

Gebäudeleittechnik

Heizung Klima Lüftung

Security Beleuchtung Verschattung

Internet

Automationsnetze

Page 5: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 5

Home Server (Set-top box)

Haustechnik

Weisse Ware

Unterhaltungs- elektronik

Internet

Tele-Care Monitoring

Automations- und IT-Netze

Smart Home Systeme

Page 6: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 6

Prozess „Gebäude“

Gebäudeinneres (und Umfeld) Unkritisches Zeitverhalten

□ Keine hochfrequenten Regelkreise □ Systemträgheit im HLK Bereich groß □ Ausnahme: Beleuchtungssteuerung

Verfügbarkeit, Zuverlässigkeit: Mittlere Anforderungen □ Höhere Erwartung bei Basisfunktionen □ Maßstab: Dependability der klassischen Installations- und

HLK-Technik □ Graceful Degradation □ Allerdings sehr hohe Zuverlässigkeit für Safety/Security

Page 7: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 7

Herausforderungen

Stochastische Störgrößen □ Wechselnde Witterungsverhältnisse, Personenanzahl, Verhalten,

Geräteabwärme (PCs, Beleuchtung) □ Oft händischer Eingriff nötig (z.B. Luftumwälzung Hörsaal)

Kostensensitiv Lange Lebenszyklen

□ Technisch konservativ (aber zukunftssicher) □ Ausschreibungen verlangen oft Normenkonformität

Potentiell außerordentlich große Ausdehnung □ Lokalität der Daten hoch Dezentraler Ansatz

Page 8: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 8

Klassisches 3-Ebenen-Modell

Page 9: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 9

-RF

2-stufige Architekturen/Topologien

Page 10: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 10

Sichere Gebäudeautomation?

Ist Security wirklich wichtig für Gebäudeautomation? Sicherheitskritische Services

□ Alarmsysteme, Zutrittskontrollsysteme □ Ja, höchste Wichtigkeit!

Traditionelle Gebäudeautomation (HLK, Licht)? □ “Warum sollte es mich stören, wenn jemand mein Licht ein- oder

ausschaltet?“ □ “Wenn jemand wissen will, wie meine aktuelle Raumtemperatur

ist, kein Problem!” □ Aber: Vandalismus, Massenpanik im öffentlichen Bereich,

Attacken im Zweckbau (Bürogebäude, Spitäler, ...), Zugangspunkt zu anderen Netzwerken und Diensten!

Page 11: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 11

Sichere Gebäudeautomation!

http://mummelie.de/wp-content/uploads/2012/04/gebaeude_tetris_mit.jpg

http://www.greentechmedia.com/articles/read/hackers-penetrate-googles-building-management-system

http://threatpost.com/fbi-memo-shows-hackers-accessed-commercial-hvac-systems-121312/77317

Page 12: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 12

Target Analyse □ Welche Systeme/Komponenten sind betroffen

Angriffsvektoren □ Welche unteschriedlichen Angriffsszenarien gibt es?

Anforderungsanalyse □ Funktionale Anforderungen □ Domänenspezifische Anforderungen

State-of-the-art Analyse □ Sind existierende Technologien sicher?

Entwurf neuer Sicherheitsmechanismen

Methodik

Page 13: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 13

Target Analyse

Page 14: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 14 12.11.2014 14

Target Analyse

Wolfgang Granzer: Secure Communication in Home and Building Automation Systems. PhD thesis, Vienna University of Technology, Automation Systems Group, 2010

Page 15: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 15

Funktionale Anforderungen

Management- und Prozessdaten Authentication

- Sender - Receiver(s) - Key Management

Secure Channel

- Confidentiality - Integrity - Freshness

Page 16: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 16

Domänen-spezifische Anforderungen

Eingeschränkte Ressourcen □ Wenig Rechenleistung □ Limitierter Speicherplatz □ → Anwendbarkeit von IT Technologie?

Skalierbarkeit □ Tausende Knoten □ Installation und Updates □ → Anleihen bei Wireless Sensor

Networks (WSN) Technologie?

Kompatibilität!

Page 17: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 17

Weitere Anforderungen

Kommunikationsmodelle □ Unicast (client/server) □ Multicast (producer/consumer, publish/subscribe)

Non-IP Automationsnetze □ Feldbussysteme sind nicht IP basierend

QoS Parameters □ Zuverlässigkeit (integrity, no duplicates, liveness) □ Message ordering (single source FIFO, causal, total)

Page 18: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 18

Offene Systeme

Feldebene

Automationsebene

Managementebene

JCI N2 SBT P1

Web Services

Page 19: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 19

KNX

Batibus (Batiment bus) □ Elektrische Installationstechnik, HLK

EIB (Europäischer Installationsbus) □ Installationsbus (Insta, Siemens, Merten), populär in D-A-CH □ Elektrische Installationstechnik, HLK

EHS (European Home System) □ Integration von weißer und brauner Ware

KNX (EN 50090, ISO/IEC 14543)

Typisch: Automations- und Feldfunktion integriert Einheitliches Konfigurationstool;

interoperable „Easy-Modes“ ohne PC

Page 20: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 20

Ursprünglich keine sicheren Kommunikationsdienste (Rudimentärer) Zugriffsschutz für das Management

von Geräten (Engineering) 4 Byte (unverschlüsseltes) Passwort

Security in KNX

A:Source B:Sink

sd KNXAccessControl

A_Authorize_Request

A_Authorize_Response Verify password

A_Connect

Page 21: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

utom

atio

n Sy

stem

s G

roup

, TU

Vie

nna

12.11.2014 21

KNX Sicherheitskonzept

KNX IP Secure □ Verschlüsselter und

authentifizierter Übertragungskanal

□ Berücksichtigt spezielle Anforderungen IP-basierter Systeme

□ Sichert KNXnet/IP Konfigurations- und Managementdienste

Basierend auf zwei Säulen

KNX Data Security □ Verschlüsselung und

Authentifizierung auf Applikationsschicht

□ Medien-unabhängige Verschlüsselung

□ Feingranulare Autorisierung auf Datenpunktebene

Page 22: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 22

KNX Data Security

KNX IP PL110TP1 RF

Data Link Layer

KNX Network Layer

KNX Transport Layer

Secure Application Layer

Application

DLL Services

NL Services

TL Services

AL Services

Application Interface Layer

Objects

Plain Application Layer

Secure Application Interface Layer

Autorisierung auf Objektebene

Authentifizierung & Verschlüsselung

Page 23: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 23 12.11.2014 23

KNX IP Secure

Sichere Kapselung von KNXnet/IP Paketen

□ Authentifizierung & Verschlüsselung (AES+CCM)

□ Unicast via TCP oder UDP (KNXnet/IP Tunnelling)

□ Multicast via UDP (KNXnet/IP Routing)

Data Link Layer (z.B. Ethernet)

IP

Multicast Unicast

TCPUDP UDP

KNX

Multicast Security Services Unicast Security Services

KNXnet/IP Routing, KNX IP

KNXnet/IP Tunnelling, Remote Configuration

Page 24: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 24

LonWorks

Entworfen von Echelon Inc. als allgemein anwendbares, ereignisgesteuertes Embedded-Netzwerk für Steuerungszwecke

LonTalk-Protokoll (ANSI/EIA/CEA-709, EN 14908): „CNP“

„Neuron“-Chip

Network Management Tool (LNS); ISI (Interop. Self Install.)

Netzwerkvariablen

Interoperabilität: LonMark

Page 25: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 25

A:Source B:Sink

sd LonTalkAuthentication

Four step challenge-response protocol □ Überprüfung des Senders

□ Data integrity

□ Data freshness

Security in LonWorks

Request (Auth=1)

Challenge

Reply

Response

Generate

random

number

Generate

hash and

compare it

Generate

hash

Page 26: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 26

BACnet

„Building Automation and Control Network“

American Society of Heating, Refrigerating and Air-Conditioning Engineers (ASHRAE)

ANSI/ASHRAE 135 ISO 16484-5

BACnet Interest Groups, BACnet International, Testing Labs

Kann lizenzfrei implementiert werden

Netzwerkneutral (auch IP)

Objekte und Dienste

Page 27: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 27

Verwendet AES und HMAC in Kombination mit MD5 und SHA

Trusted Keyserver zur Schlüsselverteilung

6 verschiedene Schlüssel werden unterschieden:

□ General-Network-Access, User-Authenticated, Application-Specific, Installation, Distribution, Device-Master

Dienste für sicheren Datentransfer und Schlüsselaustausch

□ Plain-Non-Trusted; Plain-Trusted, Signed-Trusted, Encrypted-Trusted

Definition von Vertrauensstufen (Trust Levels) und Sicherheitsrichtlinien (Security Policies)

Security in BACnet

Page 28: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 28 12.11.2014 28

Sichere Installationen?

Angriffsvektor

Page 29: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 29 12.11.2014 29

Ergebnisse

Page 30: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 30

Attack prevention

□ Integration von Security in den Lebenszyklus

□ Definition von Security Policies

□ Firewalls, Datenverschlüsselung, …

Attack detection

□ Falls präventive Maßnahmen nicht möglich sind, müssen Attacken zumindest erkannt werden

□ Intrusion Detection Systems

Hybride Ansätze

Maßnahmen

Page 31: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 31 12.11.2014 31

KN

X

Zig

Be

e

Eth

ern

et

Lo

nW

ork

s

1

2

6

.

.

.

3

Application Programming Interface (API)

7

High-level communication interface

IP

Security Abstraction Layer (SAL)

Application Specific Layer (ASL)

Network

Specific

Layer (NSL)

User

application

User

application8

… other

technologies

User

application

User

application

Low-level communication interface

Generisches Konzept zur sicheren Datenübertragung

Sichere Gebäudeautomation

www.auto.tuwien.ac.at/seBAS

Page 32: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 32 12.11.2014 32

SAC

Enhanced application layer

Management

Device

Configuration

Binary

Control network

System Software

Sandbox

Control Application

User APIManagement API

Application

objectsPolicy

Hardware Abstraction

Data point

mapping

Network pluginsNetwork pluginsNetwork plugins System ComponentsSystem ComponentsSystem Components

Network interface Process interface

Ontology

Sichere Gebäudeautomation

Sandboxing

Anomaly based intrusion detection

Static code analysis

Security- measures

www.auto.tuwien.ac.at/seBAS

Page 33: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 33 12.11.2014 33

Zusammenfassung

Sicherheit betrifft das ganze „System“ Gebäude!

Netzwerk- UND Gerätesicherheit

Integrative Ansätze!

Ausbildung?

Awareness?

Safety & Security!

Page 34: Security und Gebäudeautomatisierung - TeleTrusT · Kompatibilität! ... Zuverlässigkeit ( integrity, no duplicates, liveness) Message ordering (single source FIFO, causal, total)

A

uto

mation S

yste

ms G

roup, T

U V

ienna

12.11.2014 34

Referenzen

Security in Building Automation, FWF (P19673) https://www.auto.tuwien.ac.at/seBAS/

Wolfgang Kastner, Lukas Krammer, and Andreas Fernbach. State of the Art in Smart Homes and Buildings, CRC Press, 2014.

Wolfgang Kastner, Markus Jung, and Lukas Krammer. Future Trends in Smart Homes and Buildings, CRC Press, 2014.

Fritz Praus, and Wolfgang Kastner. Identifying unsecured building automation installations. Proc. 19th IEEE International Conference on Emerging Technologies and Factory Automation (ETFA'2014), 1-4, September 2014.

Aljosha Judmayer, Lukas Krammer, and Wolfgang Kastner. On the security of security extensions for IP-based KNX networks. In Proc. of the 10th IEEE International Workshop on Factory Communication Systems (WFCS 2014), 1-10, May 2014.

Lukas Krammer, Steven De Bruyne, Wolfgang Kastner, and Wolfgang Granzer. Security Erweiterung für den KNX Standard , innosecure, 1-10, September 2013.

Wolfgang Granzer, Fritz Praus, and Wolfgang Kastner. Security in Building Automation Systems. IEEE Transactions on Industrial Electronics, 57(11):3622-3630, November 2010.

Wolfgang Granzer and Wolfgang Kastner. Security Analysis of Open Building Automation Systems. Proc. 29th International Conference on Computer Safety, Reliability and Security (SAFECOMP '10), 303-316, September 2010.