Gå til innhold

Boligblokker uten sentralvarme i en uke på grunn av DDoS-angrep

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
tommyb

tommyb

Skrevet
Skrevet (endret)

Jeg føler at jeg må og kan advare og øke oppmerksomheten på den retninga vi er på vei, med at en hvilken som helst enhet skal kunne hackes og brukes mot oss. Derfor klipper jeg et lite utdrag fra kildeartikkelen, så kan det stå som en advarsel:

IoT embeds connectivity to many house-hold electronics such as fridges, lamps and washing machine. Manufacturers and developers of these products are often ill-equipped and compromise by using tools not suitable for high availability automation systems and have limited motive for long term maintenace.

Endret av tommyb
  • Liker 2
Lenke til kommentar
nessuno

nessuno

Skrevet
Skrevet

IMHO ikke et spørsmål om "hvor sikker bør systemet være?" men heller "hvorfor må systemet være tilknyttet internet?".

 

Jeg skjønner godt at mange entusiaster i IT-bransjen synes det er aldri nok teknologi i hverdagen, men helt seriøst: hvorfor skal et sentralvarmesystem være tilknyttet nettet? Hvorfor skal man ha "internet of things", er det liksom slik at man ikke klarte seg kjempefint ned brødristere, kjøleskap og vaskemaskiner uten tilknytning til internet frem til dagens dato?

På toppen av det hele kommer utgifter ifbm utvikling (og verdlikehold, og service, og og og...) av slik teknologi.

  • Liker 2
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

IMHO ikke et spørsmål om "hvor sikker bør systemet være?" men heller "hvorfor må systemet være tilknyttet internet?".

 

Jeg skjønner godt at mange entusiaster i IT-bransjen synes det er aldri nok teknologi i hverdagen, men helt seriøst: hvorfor skal et sentralvarmesystem være tilknyttet nettet? Hvorfor skal man ha "internet of things", er det liksom slik at man ikke klarte seg kjempefint ned brødristere, kjøleskap og vaskemaskiner uten tilknytning til internet frem til dagens dato?

På toppen av det hele kommer utgifter ifbm utvikling (og verdlikehold, og service, og og og...) av slik teknologi.

 

Sentralvarmesystem kan være svært fornuftig å ha på nettet, fordi det betyr at det kan "sentralstyres" uten fysisk oppmøte. Dette kan være en betydelig administrativ fordel. 

 

Vaskemaskiner kan være en fordel fordi man slipper å legge inn en reminder på klokka.

 

Brødristeren for å ha noe å snakke om på jobb, og fordi da blir prisen uansett så høy at man kan få inn bedre temperatur-styring. 

 

For de to siste ser jeg ikke at fordelen kan rettferdiggjøre risikoen, så høy som den er i dag. Men for sentralvarmesystemet kunne jeg ønsket tilkoblingen, og heller legge inn en brannmur el.l. et sted i bildet. Avhengig av en vurdering av totalkostnader. 

 

 

 

 

Kunne de ikke bare koblet fra nett og latt anlegget gå offline til problemet var over eller løst, eller viste de ikke at DDoS var årsaken?

 

Du går bare ut fra at det var en "de" som bare kunne koblet fra nettet. Hvem skulle "de" være, beboerne? Huseierne? Vaktmesteren? Jeg vet ikke hvor mange vaktmestere som vet hva DDoS betyr, men det er kanskje ikke alle. Men et bygg har garantert ikke en IT-support og sikkerhetsavdeling. 

Endret av tommyb
  • Liker 2
Lenke til kommentar
nessuno

nessuno

Skrevet
Skrevet
Sentralvarmesystem kan være svært fornuftig å ha på nettet, fordi det betyr at det kan "sentralstyres" uten fysisk oppmøte. Dette kan være en betydelig administrativ fordel.

 

Jeg ser ikke hvordan dette kan være "svært fornuftig". Det er ingenting en trenger å styre i sentralvarme-system, omtrent som man vanligvis ikke styrer varmeovner og/eller varmepumper. Man programmerer inn en del verdier, og systemet styrer seg selv. Utenom det så antar jeg at i år 2000++ så kan man ha systemer som sørger for å drive seg selv etter behov, f.eks. om det blir veldig kaldt kan systemet yte mer, levere mer varme/varmt vann etc, avhengig av det og faktisk forbruk.

 

Hvis man da har behov for noe som helst funksjon så må det være feilmeldiger. Dette kan kjempefint fungere en vei, eks sende en automatisert epost eller enda mer idiotsikkert - sende en SMS til vakthavende selskap.

 

Som sagt, kompleksitet bør være etter behov, her ser jeg ikke behovet i det hele tatt.

 

Vaskemaskiner kan være en fordel fordi man slipper å legge inn en reminder på klokka.

 

 

Reminder for hva, at den er ferdig å vaske? Jøss, brennde behov der ja, for de som husker ingening. Og flott økning i farepotensialen: la hackere styre hvitevarene i huset ditt.

 

Men et bygg har garantert ikke en IT-support og sikkerhetsavdeling.

 

Og der kommer sannheten egentlig frem: hvis det er noe såpass viktig som varme i hele huset, garasjeporter etc uansett hva man kan komme på å ha tilkoblet internett - så må man egentlig ha IT-support og sikkrhet med i pakkeløsningen, som artikkelen tydelig forklarer.

Så her er valgene: ha ENDA en felleskostnad forbundet med dette (pris av systemet + hjelp/vedlikehold for IT biten), eller gjøre det "kjedelig og gammeldagst" og ikke ha et system tilknyttet noe som helst.

 

Jeg skjønner at du ser ikke noe positivt med denne argumenteringen, så jeg for min del krysser fingrene og håper at a) folk lærer av slike tilfeller og b) der folk har skjønt at det er unødvendig gimmick (akkurat som dyre kjøleskap med nett/huskeliste etc) og unngår det fordi kompleksiteten ikke byr på noen fordeler og bare koster mer.

 

 

  • Liker 3
Lenke til kommentar
8OVI7VAB

8OVI7VAB

Skrevet
Skrevet

Tviler egentlig på at de ble angrepet av et DDOS angrep. Mer trolig at de deltok i et DDOS angrep mot andre med et system som stod så åpent at de kunne brukes til et slik angrep. Enten var de med i et refleksjonsangrep, direkte angrep andre etter et innbrudd eller hadde en sårbarhet som kunne videresende et angrep. Trafikken overbelastet systemet så det ble ubrukelig til å styre varmen.

Lenke til kommentar
Sandormen

Sandormen

Skrevet
Skrevet

Tviler egentlig på at de ble angrepet av et DDOS angrep. Mer trolig at de deltok i et DDOS angrep mot andre med et system som stod så åpent at de kunne brukes til et slik angrep. Enten var de med i et refleksjonsangrep, direkte angrep andre etter et innbrudd eller hadde en sårbarhet som kunne videresende et angrep. Trafikken overbelastet systemet så det ble ubrukelig til å styre varmen.

 

Faktisk meget sannsynlig at systemet ble brukt i et bot-net, ja. Tror ikke noen shady mennesker egentlig ville kjørt systemet helt ned for å teste... ...det ville være 'i mot hensikten'.
Lenke til kommentar
Roger Pettersen

Roger Pettersen

Skrevet
Skrevet

Klarer ikke helt å se for meg hvorfor DDoS skal ta ned styringssystemet? Ligger logikken på en sentral server?

 

DDoS vil jo bare sperre tilgangen til internett, ikke ødelegge maskinvaren og programmet som kjører på serveren.

 

Og generelt, kjøre slike ting rett ut på internett har aldri vært en god ide. Kjør det i lukkede tuneller(VPN) eller med remote brannmur, så er man en god del hakk tryggere.

Lenke til kommentar
perpyro

perpyro

Skrevet
Skrevet

 

Kunne de ikke bare koblet fra nett og latt anlegget gå offline til problemet var over eller løst, eller viste de ikke at DDoS var årsaken?

 

Du går bare ut fra at det var en "de" som bare kunne koblet fra nettet. Hvem skulle "de" være, beboerne? Huseierne? Vaktmesteren? Jeg vet ikke hvor mange vaktmestere som vet hva DDoS betyr, men det er kanskje ikke alle. Men et bygg har garantert ikke en IT-support og sikkerhetsavdeling.

 

Jeg tar det for gitt at en boligkompleks av en viss størrelse og med avanserte styringsystemer har servicefolk eller i det minste en vaktmester som kunne begynt å ta noen telefoner etter at anlegget hadde vært nede noen timer.

Jeg kjenner i hvertfall til gjennom jobben at det er firmaer som har serviceavtaler på drift for boretslag, sammeier og eiendomsselskaper som ville handlet problemet over til noen som kunne startet feilsøkingen ganske kjapt.

Her var anlegget nede i ei hel uke så "noen" måtte da drive feilsøking på anlegget.

Ingen sitter og bare venter når varmen har vært borte noen dager.

Lenke til kommentar
Kahuna

Kahuna

Skrevet
Skrevet

IMHO ikke et spørsmål om "hvor sikker bør systemet være?" men heller "hvorfor må systemet være tilknyttet internet?".

 

Jeg skjønner godt at mange entusiaster i IT-bransjen synes det er aldri nok teknologi i hverdagen, men helt seriøst: hvorfor skal et sentralvarmesystem være tilknyttet nettet?

...

Det er veldig praktisk å ha sånne ting online, da kan systemet melde fra om feil selv, tekniker kan omprogrammere anlegget uten å reise ut, overstyre manuelt hvis det er nødvendig.. osv.

 

Samtidig kjenner jeg at dette pirker i en av mine fordommer, jeg har lenge mistenkt at de dummeste ingeniørstudentene ender opp på ventilasjonslinja. Litt for ofte hører jeg om ventilasjonsanlegg som trenger et *år* på å kjøres inn, ikke takler væromslag eller *må* styres manuelt i 'spesialtilfeller' som ikke er det minste spesielle! Nå skal altså de samme folka sette ting på nett..

 

Automatiseringskunnskapene til denne gjengen har aldri imponert meg og jeg er ikke det minste overrasket at de sliter med nettverk. Den siste biten bør det med andre ord overlate til andre(for eksempel skykonsulentene vi er så glade i)

  • Liker 1
Lenke til kommentar
RRhoads

RRhoads

Skrevet
Skrevet (endret)

Det er veldig praktisk å ha sånne ting online, da kan systemet melde fra om feil selv, tekniker kan omprogrammere anlegget uten å reise ut, overstyre manuelt hvis det er nødvendig.. osv.

 

Samtidig kjenner jeg at dette pirker i en av mine fordommer, jeg har lenge mistenkt at de dummeste ingeniørstudentene ender opp på ventilasjonslinja. Litt for ofte hører jeg om ventilasjonsanlegg som trenger et *år* på å kjøres inn, ikke takler væromslag eller *må* styres manuelt i 'spesialtilfeller' som ikke er det minste spesielle! Nå skal altså de samme folka sette ting på nett..

 

Automatiseringskunnskapene til denne gjengen har aldri imponert meg og jeg er ikke det minste overrasket at de sliter med nettverk. Den siste biten bør det med andre ord overlate til andre(for eksempel skykonsulentene vi er så glade i)

Nå driver ikke jeg mye med ventilasjon, men jeg driver mye med fjernvarme og kuldeanlegg. Det er veldig fint å kunne styre anlegg som ligger online uten å reise ut til kunde. Det vi gjør er å logge oss på over nett til en PC som står på anlegget som sender input til styringa av maskina. Det er aldri selve PCen som styrer maskina. PCen er kun en klient. Et angrep vil ikke ha noe betydning, siden det aldri kommer i nærheten av styringa til maskina. Det eneste som kan skje er at vi får en alarm om at PCen er nede.

 

Når det gjelder det at ventilasjonsanlegg trenger "år" på å kjøres inn, så er ikke jeg kjent med det. Noen kuldemedier sliter litt ved væromslag, speselt hvis det blir veldig kaldt og temperaturen faller under kokepunktet til kuldemediet, men det er veier rundt dette.

Endret av RRhoads
  • Liker 1
Lenke til kommentar
joffeloff

joffeloff

Skrevet
Skrevet

Joda, det er sant nok, men fysisk skille mellom systemet og internett er heller ikke nok. Det er nok at en luring kommer med sin USB-stick av en eller annen meningsløs grunn, noe folk gjør hele tiden uten å lære, så er systemet fucket opp. Denne gangen var det DDOS, og da ville det hjulpet, men neste gang er det en eller annen form for malware som koser seg på de ekstremt utdaterte softwaresystemene disse såkalte 'smarte' husene kjører.

 

Systemet må være bygd med sikkerhet som grunnstein, uavhengig av internettilkobling. Dessverre er det ingen i markedet som bryr seg om dette, det handles heller inn komponenter og møkk fra Kina til billigste pris, tut og kjør, tenk ikke på konsekvensene.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Det er opp til media å faktisk fortsette å vise når dårlig sikkerhet ikke lønte seg, i stedet for å bli vant til det og ignorere det etter det har skjedd 4 ganger på rad. Det er ikke at det skjer som får leverandørene til å tenke seg om to ganger, det er når kundene begynner å spørre dem om det - hver gang. 

Lenke til kommentar
nessuno

nessuno

Skrevet
Skrevet

Det er veldig praktisk å ha sånne ting online, da kan systemet melde fra om feil selv, tekniker kan omprogrammere anlegget uten å reise ut, overstyre manuelt hvis det er nødvendig.. osv.

 

Ja, som jeg sa er det mange måter å gi feilmeldinger UTEN at systemet kan egentlig styres, uansett hvilken måte den formidler disse meldingene på.

Ang feil, så ser jeg ikke noe god nok grunn til å styre noe som helst. Algoritmene i systemet styrer regulering, evt changeover til andre varmekilder (for eksempel) eller hva det ellers måtte være, automatikk er der av en god grunn slik at mennesker enten ikke trenger å blande seg inn hele tiden, eller i det aller minste utelukke behovet så godt som helt. Alt dette kan kjempefint planlegges og programmeres inn på forhånd slik at de eneste betydelige feilene eller situasjonene der man må endre noe blir oppdrag hvor teknikeren må reise ut uansett.

Finnes et helt hav av systemer som *kunne* vært online (heiser, garasjeporter, belysning, dører med el. lås, etc) som klarer seg veldig fint uten noe online funksjonalitet, hva er den livsviktige grunnen å ha det her?

 

Lessons learned biten her der folk er uten varme så lenge er en mye tyngre argument for å ikke ha mulighet for fjernstyring enn å ha en tvilsom "kjekt å ha" type opplegg som førte til nettopp en slik situasjon.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...