Security
IT-Sicherheit in vernetzten Gebäuden
Was kann man noch retten, wenn langlebigen Strukturen grundlegende Sicherheitskonzepte fehlen?
Ein automatisiertes Gebäude ist schön, komfortabel und praktisch. Doch das wäre nicht Thema für einen Vortrag beim CCCamp, wenn es nicht einige gravierende Schwachstellen in den Bussystemen gäbe. Der Vortrag bietet eine Einführung in die Funktionalität von vernetzten Gebäuden am Beispiel des KNX Standards. Ohne dass ihr großes Vorwissen benötigt, berichte ich euch von Sicherheitsproblemen und möglichen Lösungsansätzen zur nachträglichen Steigerung der Sicherheit solcher Gebäudeautomatisierungssysteme.
Feldbusse wie KNX werden in modernen Gebäuden eingesetzt, um typische Vorteile der Gebäudeautomation zu erzielen. Man verspricht sich Komfortgewinn, Kosteneinsparungen und Flexibilität. Klassische Schutzziele wurden beim Design dieser Bussysteme hintenangestellt und IT-Sicherheit so sträflich missachtet. Funktionalitäten wie Verschlüsselung oder Authentifikation der Kommunikationsteilnehmer sucht man bisweilen vergeblich. Sind die Gebäude erst einmal gebaut, wird die installierte Infrastruktur über Jahrzehnte betrieben. Das Licht des Kollegen im Nachbarbüro zu schalten ist ebenso leicht, wie das Steuern einer an den Feldbus angebundenen Heizung. Was im Büro noch verhältnismäßig harmlos erscheint, wird bedrohlich, wenn man bedenkt, dass auch Kraftwerke und andere kritische Infrastrukturen ähnliche Systeme nutzen.
Nach einer Einführung in den KNX Bus geht der Vortrag auf Schwachstellen und deren mögliche Folgen in automatisierten Gebäuden ein. Es wird gezeigt, dass sich aus scheinbar harmlosen Sensoraktivitätsdaten bereits intime, personenbezogene Informationen herausarbeiten lassen.
Um die Sicherheit bereits installierter, langlebiger Gebäudeinfrastrukturen dennoch zu erhöhen, werden bereits bekannte Verfahren aus der IP-Welt auf Feldbusse übertragen. Netzwerksegmentierung, IDS und Filterung sind erste Ansätze, auf die der Vortrag eingeht. Es werden deren Möglichkeiten und Grenzen beschrieben.
Darüber hinaus wird ein entwickelter Testdatensatz zur Evaluierung solcher und anderer Ansätze vorgestellt.
Additional information
| Type | lecture |
|---|---|
| Language | German |
More sessions
| 8/21/19 |
The talks shows the security model of Kubernetes and how to detect and fight security weaknesses with a few lines of scripting.
|
| 8/21/19 |
Seldom have DNS protocol changes sparked such fierce debate as happen in the case of DNS-over-HTTPs (Doh) and it's little cousin, DNS-over-TLS (DoT). While for many people it is a matter of black and white, the reality out there is various shades of grey ;) This talk will discuss the technical and political aspects of these DNS privacy protocols, where they come from, who is implementing DoH/DoT (both in the browser space and otherwise) and why it is a [good|bad] idea to support these protocol ...
|
| 8/21/19 |
Typical home networks use a closed-source Internet Service Provider supplied router/firewall and contain no restrictions on communications between clients within the network. The widespread deployment of network-connected appliances, control systems, lighting, etc, means that this design is insecure. This talk will cover the basics of networking, including why and how segregation of different types of network clients and traffic can be achieved to increase privacy and security.
|
| 8/21/19 |
We have learned that Math might be our last defence line against a real existing all-encompassing surveillance. One central challenge in this conflict is to combine authentication and anonymity. Number theory provides us many tools to create really surprising technologies for social communication. A lot of these technologies have not yet been brought to the world of concrete implementations. This has the implication that some ideas which have been presented years ago are not covered by patents ...
|
| 8/21/19 |
Remember the good old fun sport, where people bought random hard drives from ebay and did forensics on them? Did you know you can do the same thing with used IoT devices too? Most end-users have no idea what kind of information their devices are storing and how to securely clean their devices (if that even is possible). Lets explore together what the risks are and how we can extract that data.
|
| 8/22/19 |
This case study of NoScript’s UX redesign showcases tried and true design principles that make security tools usable to a wider range of audiences.
|
| 8/22/19 |
i'll show how the average developer (like me) can secure their software and systems by automatically checking for known vulnerabilities and security issues as part of their CI-Toolchain. The Talk will introduce basic security knowhow, then show how you can use Open Source Frameworks to check for vulnerable dependencies, containers and (web-)APIs in a live demo
|
