Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Introducción a las vulnerabilidades del sistema de gestión de edificios

En diciembre de 2018, el FBI advirtió que los dispositivos sin parches en las redes estaban expuestos a los piratas informáticos a través de un puerto abierto utilizado para comunicarse con los sistemas de control.

La alerta fue específica para el puerto 1911 y el protocolo Fox asociado que se usa para los sistemas de administración de edificios (BMS). Se centró en un protocolo y un puerto abierto en Internet. Este es otro ejemplo de problemas de seguridad con BMS y controles de edificios inteligentes.

Ha habido algunos ciberataques de alto perfil en empresas a través de un sistema de gestión de edificios. Un caso fue el ataque a las tiendas Target en 2013. Los delincuentes obtuvieron acceso al software del sistema de punto de venta (POS) de Target para obtener los datos de tarjetas de crédito y débito asociados con más de 110 millones de cuentas.

Sin embargo, los delincuentes no atacaron directamente el POS, sino que comenzaron a robar las credenciales de inicio de sesión utilizadas por el proveedor de calefacción, ventilación y aire acondicionado de Target cuando se conectaron a las aplicaciones web de Target. A través de este vector, los atacantes obtuvieron acceso al Active Directory de Target y, en última instancia, al sistema de POS de Target, donde podían recopilar números de tarjetas de crédito y otros datos confidenciales.

En otro ejemplo de 2014, un pirata informático irrumpió en el sistema de control del edificio de un hotel de cinco estrellas en Shenzhen, China, para manipular los sistemas de control de habitaciones y robar datos de los clientes.

¿Qué es un sistema de gestión de edificios?

Un sistema de gestión de edificios también se conoce como sistema de automatización de edificios, sistema de control y gestión de edificios, control digital directo y control de edificios. Un sistema de gestión de edificios es una red de controlador inteligente basada en microprocesadores que se instala para monitorear y controlar los sistemas y servicios técnicos de un edificio, como su aire acondicionado, ventilación, iluminación e hidráulica.

Los BMS son más que simples sistemas de control de temperatura, y pueden integrarse directamente con una amplia gama de servicios de construcción, que incluyen control de acceso, seguridad, energía, iluminación, sistemas contra incendios, controles de ascensores y escaleras mecánicas, pizarras inteligentes y sistemas clínicos. Un sistema de gestión de edificios puede ser propiedad de un proveedor que utilice protocolos como C-Bus y Profibus o puede utilizar conexiones analógicas y en serie o protocolos de Internet.

El uso ampliado de BMS es impulsado por la búsqueda de una mayor automatización de edificios para ahorrar recursos. Algunos gobiernos requieren controles de construcción avanzados para lograr los objetivos ambientales, y la certificación de construcción ecológica LEED requiere controles óptimos. Según ASIS International, el uso de sistemas de gestión de edificios está creciendo aproximadamente entre un 15% y un 34% anual. Para 2022, se espera que la industria de sistemas de gestión de edificios tenga un valor de alrededor de $ 104 mil millones.

Un sistema de gestión de edificios es de naturaleza modular

Una forma sencilla de ver un BMS es considerarlo una serie de bloques de construcción o componentes que están conectados y en red para lograr controles de construcción óptimos. Un BMS puede variar desde un simple termostato habilitado para IP en su hogar hasta sistemas de edificios grandes, automatizados e inteligentes que rastrean el movimiento y el acceso de los empleados.

Los cuatro módulos clave de un sistema de gestión de edificios incluyen gestión, automatización, dispositivos de campo y comunicaciones. El nivel de gestión incluye la interfaz hombre-máquina, software empresarial, estaciones de trabajo, servidores y, a veces, conmutadores de red.

La automatización es el control principal de los dispositivos de campo. Un ejemplo de equipo de automatización son los controladores lógicos programables.

El nivel de dispositivo de campo incluye dispositivos físicos como sensores y actuadores de válvulas / persianas conectados al equipo real. Los ejemplos incluyen ventiladores; sensores de temperatura, presión y nivel; e interruptores de luz.

La comunicación se puede realizar a través de los protocolos más comunes basados ​​en Ethernet e IP o sistemas de comunicaciones patentados. Los protocolos comunes incluyen BACnet, LonWorks, DeviceNet y Modbus.

Vulnerabilidades comunes del sistema de gestión empresarial

Los BMS avanzados son sistemas informáticos que envían y reciben señales en una red para controlar dispositivos de campo. Estos sistemas son como cualquier dispositivo de TI o sistema de control industrial donde existen numerosas oportunidades para que existan vulnerabilidades físicas y cibernéticas.

Por ejemplo, se puede instalar un BMS con puertos abiertos y expuestos que se pueden utilizar como vector de ataque. Para el protocolo Fox utilizado por algunos BMS, una consulta de Shodan identificó 20.000 componentes conectados directamente a Internet a través del puerto 1911, según un informe de CyberScoop.

Otra vulnerabilidad común de BMS es el acceso remoto controlado de manera ineficaz a los sistemas. El hack de Target demostró cómo el acceso remoto, si no se controla rígidamente, puede usarse contra los clientes.

Una tercera vulnerabilidad es la falta o la protección de seguridad física incompleta de los dispositivos de campo, controladores y estaciones de trabajo de BMS. Los gabinetes de control abiertos y desbloqueados y los controladores lógicos programables son una oportunidad para que un atacante se conecte a una red BMS e inyecte malware o sabotee los dispositivos.

Una última vulnerabilidad, que a menudo se pasa por alto, es un BMS envejecido. Muchos edificios todavía tienen BMS heredados instalados que podrían estar sujetos a ataques simples, aunque algunos de los sistemas más antiguos están basados ​​en analógicos y no son tan fáciles de piratear como los sistemas modernos basados ​​en Ethernet. Independientemente, los sistemas antiguos pueden tener contraseñas predeterminadas que se pueden encontrar en Internet y que no se pueden cambiar ni parchear. Estos sistemas antiguos también pueden tener puertos abiertos que no se pueden bloquear a menos que instale una actualización o modernización importante y costosa.

Para obtener más información sobre los ataques y las protecciones del sistema de gestión de edificios, consulte la segunda parte. de esta serie.

También te puede interesar...

Uso de las herramientas de terceros adecuadas

Al igual que muchos administradores de bases de datos, tengo problemas de ajuste del rendimiento de SQL. Puedo recordar los días de antaño cuando tenía una biblioteca llena de scripts y esperaba que la biblioteca

¿Qué es el CD-ROM? – Definición de Krypton Solid

CD-ROM (disco compacto, memoria de solo lectura) es una adaptación del CD que está diseñada para almacenar datos informáticos en forma de texto y gráficos, así como sonido estéreo de alta fidelidad. El estándar de

¿Qué es Microsoft Storage Replica?

Microsoft Storage Replica es una característica de Windows Server 2016 que proporciona replicación síncrona a nivel de bloque y basada en volumen para necesidades de alta disponibilidad y recuperación ante desastres. Storage Replica se puede

¿Qué es Adobe Experience Platform?

Adobe Experience Platform, anteriormente conocida como Adobe Cloud Platform, es un conjunto de servicios y herramientas de gestión de la experiencia del cliente (CEM). La suite admite servicios como Adobe Experience Cloud, Marketing Cloud, Document

Ciudades inteligentes: la prueba está en el pudín

Hay mucha anticipación sobre cómo será el futuro de la ciudad inteligente, y con razón: las tecnologías avanzadas como la inteligencia artificial, el aprendizaje automático y la robótica están preparadas para tener un impacto dramático

IoT masivo: la seguridad es vital

Si bien son los primeros días para 5G, una cosa está clara: la seguridad y la privacidad seguirán siendo requisitos fundamentales, y es probable que los cambios previstos para 5G amplíen la gama de objetivos

Cómo instalar una LAN inalámbrica para empresas

Las conexiones inalámbricas están saliendo de las salas de conferencias de las empresas y se están convirtiendo en un método principal de conexión a Internet en la oficina, dicen los expertos. Pero si bien colocar

Las capas de virtualización de escritorio

Los administradores de TI piensan en la mayoría de las tecnologías en el centro de datos como capas. Existen las siete capas del modelo de red de interconexión de sistemas abiertos, las capas de administración

Cinco pasos para implementar un programa MDM

¿Cuáles son los pasos iniciales que los gerentes de programas deben tomar al establecer e implementar un programa de MDM? Cualquier programa de gestión de datos maestros (MDM) debe comenzar con una evaluación de la

Ganadores del premio Modern Infrastructure Impact

Comparta este artículo con su red: Descargar Infraestructura moderna es una revista digital que cubre la convergencia de tecnologías, desde la computación en la nube hasta la virtualización y los dispositivos móviles, y el impacto

¿Qué es SAP Basis? – Definición de Krypton Solid

SAP Basis es la base técnica que permite el funcionamiento de las aplicaciones SAP. Consiste en herramientas y programas de middleware que respaldan la interoperabilidad y portabilidad de las aplicaciones SAP entre sistemas y bases

Alfresco CMS ahora usa IA, ML para extraer y organizar datos

Alfresco Software anunció sus nuevos servicios de inteligencia que brindan a las empresas un método para extraer y organizar el contenido almacenado en múltiples documentos, imágenes, videos y fotografías. El módulo de servicios de inteligencia

Evaluación de RHEV 3.0 en un entorno de prueba

Ejecutar RHEV 3.0 en un entorno de prueba es una excelente manera de evaluar la plataforma de virtualización antes de tomar decisiones costosas. Con los requisitos mínimos de hardware de RHEV 3.0 y Red Hat

Nuevas tendencias de seguridad de RSAC 2021

Escuche este podcast La analista Carla Roncato de Enterprise Strategy Group interviene en la Conferencia RSA y las nuevas empresas de seguridad presentadas durante la competencia Innovation Sandbox del programa. De esta semana Riesgo y

¿Qué es el análisis ABC (análisis de Pareto)?

El análisis ABC, también conocido como análisis de Pareto, es un método utilizado para categorizar algo de acuerdo con su importancia o valor en un contexto dado. La práctica se usa comúnmente en TI (tecnología

Las aplicaciones Fusion son mejores para las empresas

En 2013, las «aplicaciones de fusión» móviles harán cosas que la mayoría de las aplicaciones móviles empresariales no hacen ahora. Combinarán datos clave de más de una fuente y presentarán esa información de manera significativa

Evite que los empleados se enganchen

fabioberti.it – ​​stock.adobe.com Los ataques de phishing son cada vez más sofisticados, complejos y comunes. Según un estudio de Proofpoint de 2020, el 90% de las organizaciones experimentaron ataques de phishing en 2019. Además, el

¿Qué es Microsoft Office 365 Grupos?

Grupos de Microsoft Office 365 es una función de colaboración en la nube para la comunicación, la coordinación de esfuerzos grupales y el intercambio de información. Disponible a través del conjunto de servicios en la

VDI en VMware Infraestructura 3

La integración del bróker con un servicio de directorio back-end puede desempeñar un papel importante en muchas de las decisiones sobre cómo se implementa un entorno de infraestructura de escritorio virtual (VDI) en VMware Infrastructure

Cinco temas de migración a la nube en IBM Think

La conferencia IBM Think proporcionará información sobre la agenda de la nube actual y futura de Big Blue, que ahora se centra en escenarios privados y de múltiples nubes. Al igual que muchos proveedores de

Deja un comentario