Security and Safety for Building Automation and Control Systems

Abstract

Building Automation and Control Systems (BACS) are traditionally based on specialized communications protocols, such as KNX or BACnet, and dedicated sensing and actuating devices. Despite the increased awareness about the security risks associated with BACS, there is generally a need for more security tools for protecting this particular breed of cyber-physical systems. These threats are further aggravated as general-purpose security tools typically cannot cope with specific BACS requirements and technologies, thus calling for the development of domain-specific approaches, as is the case for the KNX Secure initiative, led by the KNX Association.Nevertheless, despite the advances brought by KNX Secure and similar initiatives, there is still a considerable gap between the security needs of BACS and the solutions available.This thesis addresses this gap by proposing a Network Intrusion Detection System (NIDS) designed specifically for BACS. This NIDS is protocol-agnostic and can potentially support different BACS protocols and technologies, such as KNX, BACnet, Modbus or mixed ecosystems, without loss of generality. We also present a specific proof-of-concept implementation of this NIDS concept for KNX – one of the more widespread BACS protocols. To this purpose, a real-world KNX deployment was used to showcase and evaluate the proposed approach.The present work also explored the vulnerability of using a BACS network to exfiltrate sensitive data from an air-gapped space. There are presented and validated two different methodologies and discussed possible countermeasures to mitigate the identified problem.

Os sistemas de automação e controle de edifícios são tradicionalmente baseados em protocolos de comunicação especializados, como KNX ou BACnet, e dispositivos especificos de detecção e atuação. Apesar da maior conscientização sobre os riscos de segurança associados a estes sistemas, genéricamente existe uma falta de ferramentas de segurança para proteger esse tipo específico de sistemas ciberfísicos. Essas ameaças são agravadas ainda mais, pois as ferramentas de segurança de uso geral normalmente não conseguem lidar com os requisitos e tecnologias específicas da automação de edifícios. Assim, tem-se verificado a necessidade de conceber abordagens específicas para este domínio – a iniciativa KNX Secure desenvolvida pela Associação KNX é um desses exemplos.No entanto, apesar dos avanços trazidos pelo KNX Secure e iniciativas semelhantes, ainda existe uma lacuna considerável entre as necessidades de segurança e as soluções disponíveis na automação de edifícios. Esta tese aborda esta lacuna, propondo um Sistema de Detecção de Intrusão de Rede, projetado explicitamente para a domótica de edifícios. Este sistema é agnóstico ao protocolo e pode potencialmente suportar, sem perda de generalidade, diferentes protocolos e tecnologias de domótica, como KNX, BACnet, Modbus ou ecossistemas mistos. Também apresentamos, como prova de conceito, uma implementação específica do sistema proposto, para KNX – um dos protocolos mais difundidos na automação de edifícios. A implementação e validação recorreu a um casa de habitação real na qual existe uma instalação de domótica baseada em KNX.O presente trabalho também identificou e explorou a vulnerabilidade de recorrer à rede de automação do edifício para exfiltrar dados confidenciais de um espaço potêncialmente seguro devido ao seu isolado das redes de dados. São apresentadas e validadas duas metodologias distintas e discutidas possíveis contramedidas para mitigar o problema identificado.