Gerbang
Pintu masuk kami ialah tulang belakang infrastruktur SensorFlow. Tujuan utama mereka adalah dua kali ganda. Mereka berfungsi sebagai proksi untuk penderia kami untuk memajukan data penderia yang direkodkan ke awan serta menyampaikan arahan kepada penderia yang diterima daripada papan pemuka. Kedua, mereka menempatkan enjin pembuat keputusan kami yang bertanggungjawab mengawal peralatan berinstrumen berdasarkan maklumat penderia yang direkodkan (cth tiada sesiapa di dalam bilik -> matikan AC) Kami memilih pendekatan ini atas dua sebab utama:
1. Keselamatan: Berkali-kali kami menemui cerita dalam berita mengenai peranti Internet of Things (IOT) yang diserang oleh penggodam. Cerita ini mempunyai penyebut yang sama: Vendor menyambungkannya terus ke Internet tetapi gagal menyedari bahawa keupayaan terhad peranti menyebabkan mereka terdedah kepada serangan canggih dan/atau mereka mengambil jalan pintas dalam pelaksanaan lapisan keselamatan peranti IOT. Atas sebab inilah, kami memilih untuk melindungi peranti kami di belakang pintu masuk kami untuk mengehadkan permukaan serangan dan membolehkan semua komunikasi melalui peranti yang lebih canggih yang boleh melaksanakan protokol keselamatan terkini dengan mudah.
2. Prestasi sistem: Internet of Things sepatutnya menjadikan bangunan lebih pintar, walau bagaimanapun, kami sering mendapati pembekal terlalu bergantung pada awan dan sambungan internet yang menonjol. Untuk mengelakkan bangunan pintar bertukar menjadi bangunan bodoh sebaik sahaja internet jatuh, kami mereka bentuk sistem kami dengan cara semua keputusan automasi dibuat di pintu masuk dan bukan di awan. Oleh itu, walaupun tanpa sambungan Internet, semua peralatan akan tetap dipantau dan diautomatikkan, data yang direkodkan akan disimpan pada get laluan dan distrim kembali ke awan SensorFlow sebaik sahaja internet kembali dalam talian.
Penderia IOT SensorFlow berkomunikasi secara eksklusif dengan gerbang SensorFlow menggunakan protokol Airlink proprietari kami. Komunikasi ini berlaku pada jalur sub GHz, biasanya antara 920-925 MHz bergantung pada negara dan dengan itu tidak mengganggu infrastruktur Bluetooth atau WiFi sedia ada. Setiap pintu masuk boleh menyokong sehingga 960 Nod penderia, tetapi dalam amalan, kami mendapati bahawa kami biasanya menyambung tidak lebih daripada 300 nod setiap get laluan, bergantung pada julat wayarles yang boleh dicapai, disebabkan oleh reka letak dan bahan bangunan. Biasanya, kami memasang tidak lebih daripada 15 Gerbang setiap tapak, dengan purata bilangan get laluan yang dipasang berjumlah sekitar 7-8.
Keperluan Gerbang
Gerbang kami bergantung pada infrastruktur internet tapak dan boleh disambungkan melalui WiFi atau ethernet, dengan ethernet menjadi pilihan pilihan. Kami tidak membuka sebarang port ke luar dan semua komunikasi dimulakan keluar menggunakan permintaan biasa atau sambungan VPN. Kami tidak menggunakan sebarang infrastruktur proksi. Pengurangan tambahan permukaan serangan boleh dicapai jika pelanggan menyediakan sub rangkaian untuk pintu masuk kami untuk disambungkan. Dengan ini, kami boleh mengasingkan komunikasi kami daripada rangkaian hotel. Sebarang infrastruktur tembok api harus dilaksanakan oleh rangkaian pelanggan yang disediakan dan tidak akan menjejaskan Gerbang kami kerana semua komunikasi keluar. Gerbang tersebut memerlukan port berikut dibuka pada tembok api untuk komunikasi keluar:
Keperluan Lebar Jalur
Keperluan lebar jalur untuk get laluan adalah sangat rendah, kerana ia terutamanya memajukan data IOT dalam bentuk mesej json pendek serta mesej log untuk tujuan diagnostik. Jumlah volum muat naik Gateways adalah sekitar 2MB sejam, bergantung pada pemasangan sebenar. Aliran data hiliran akan diabaikan dalam operasi biasa dan tidak akan melebihi beberapa kilo bait sehari.
Keperluan Protokol
Gerbang berinteraksi dengan 3 perkhidmatan luaran:
1. Perkhidmatan Web Amazon (AWS)- Menjalankan semua infrastruktur awan yang membentuk analisis SensorFlow dan bahagian belakang papan pemuka. Semua interaksi dijamin menggunakan AWS Cognito, perkhidmatan yang menyediakan pengesahan, kebenaran dan pengurusan pengguna. (https://aws.amazon.com/cognito)
2. Balena.io-https://Balena.io/
Balena digunakan sebagai pengurusan armada untuk pintu masuk. Ia melaporkan status get laluan dan menguruskan sebarang kemas kini/tampalan pada get laluan. BalenaOS ialah sistem pengendalian asas pintu masuk. Aplikasi utama berjalan dalam bekas Docker pada OS. Penerangan terperinci tentang pelaksanaan keselamatan berkaitan Balena boleh didapati di sini:https://www.balena.io/docs/learn/welcome/security/
Komunikasi Balena: 1. VPN untuk masa operasi sistem pelaporan dan penghantaran log 2. Perkhidmatan pengundian untuk menyemak sama ada terdapat sebarang kemas kini
1. Papertrail-https://papertrailapp.com
Data log dari gerbang dihantar ke papertrail untuk pengurusan log. Ini digunakan untuk membaca log yang mudah untuk sebarang isu penyelesaian masalah. Log boleh dicari selama 2 minggu dan diarkibkan selama satu tahun. (Storan asas ialah AWS S3).
Rajah 1memperincikan komponen yang berkomunikasi di tapak dan cara ia berinteraksi.
Rajah 1: Gambaran keseluruhan rangkaian yang memperincikan saluran komunikasi antara nod, pintu masuk dan perkhidmatan luaran kami.
Papan pemuka
Papan pemuka kami membolehkan pelanggan melihat data yang direkodkan serta mengawal sistem AC berinstrumen. Ia boleh diakses dari mana-mana pelayar web dan dibenarkan melalui log masuk nama pengguna dan kata laluan. Ia dihoskan di Google Firebase dan terdiri daripada gabungan html, javascript dan pelbagai imej. Semua komunikasi adalah dengan awan AWS melalui TLS.
Pengesahan dan kebenaran untuk papan pemuka juga menggunakan perkhidmatan kognito AWS (https://aws.amazon.com/cognito). Kami akan membuat akaun pengguna atas permintaan pelanggan untuk memberi hanya kakitangan yang berkaitan akses ke papan pemuka.
Tugas Pengawal AWS (https://aws.amazon.com/guardduty/) digunakan untuk memantau akaun awan untuk sebarang aktiviti luar biasa atau mencurigakan.
Simpanan data
Data yang dihantar ke awan AWS disimpan dalam DynamoDB (pangkalan data NoSql) untuk tujuan perkhidmatan aplikasi. Data juga disimpan dalam Pangkalan Data siri masa berprestasi tinggi (sambungan Postgres + TimeScaleDB) untuk tujuan sains data. Kedua-dua pangkalan data dihoskan oleh AWS. DynamoDB berjalan sebagai perkhidmatan terurus daripada AWS dan pangkalan data siri masa kami dihoskan pada tika AWS EC2.
Sokongan dan Penyelenggaraan
Kami bercita-cita untuk menyediakan perkhidmatan hujung ke hujung kepada pelanggan kami dan mempunyai sokongan khusus dalam keadaan siap sedia untuk menangani isu sistem melalui keupayaan penyelenggaraan jauh kami. Ini termasuk keupayaan untuk mengemas kini perisian tegar nod penderia menggunakan proses kemas kini melalui udara antara pintu masuk dan penderia. Kami menggunakan ini untuk menyampaikan kemas kini keselamatan, pembetulan pepijat atau ciri baharu kepada penderia kami. Tambahan pula, kami mempunyai keupayaan untuk mengemas kini perisian gerbang kami dari jauh serta memulakan, memulakan semula dan menutup pintu masuk menggunakan perkhidmatan balena.io. Dalam kes yang jarang berlaku, jika semua langkah jauh gagal, kami akan meminta bantuan daripada jurutera hotel di lokasi. Ini kebanyakannya untuk penggantian bateri atau pertukaran perkakasan yang rosak atau rosak. Sekiranya tugas di tangan terlalu rumit untuk dilaksanakan oleh jurutera di tapak, kami akan menghantar salah seorang pengurus projek pemasangan berdedikasi kami untuk melakukan kerja yang diperlukan. Ini akan dinilai berdasarkan kes demi kes.
Keselamatan Gerbang
Hanya gerbang SensorFlow disambungkan terus ke rangkaian pelanggan, manakala nod sensor hanya akan berkomunikasi dengan gerbang kami dan tidak sekali-kali dengan internet secara langsung. Oleh itu, hanya pintu masuk yang berpotensi terdedah kepada serangan siber jauh melalui internet. Kami biasanya menyambungkan pintu masuk kami ke rangkaian yang sama yang disambungkan oleh tetamu hotel. Ini bermakna bahawa dari sudut reka bentuk rangkaian, risiko keselamatan yang dikaitkan dengan pintu masuk kami boleh dianggap sama dengan mana-mana peranti yang mungkin disambungkan oleh tetamu ke rangkaian hotel. Walaupun penyerang mendapat akses atau kawalan penuh ke atas get laluan SensorFlow, akibatnya adalah minimum dan terpencil kepada get laluan berkenaan.
Akibat Serangan Gerbang
1. (Minor) Gangguan atau penyahaktifan automasi: Ini akan menyebabkan kehilangan penjimatan dan beberapa kehilangan data dalam bilik yang diservis oleh get laluan ini. Ini akan berlaku jika penyerang menghentikan aplikasi SensorFlow yang berjalan pada get laluan.
2. (Minor) Kesan pada keselesaan tetamu: Ini boleh berlaku jika penyerang berjaya mematikan FCU selepas mendapat akses ke pintu masuk. Walau bagaimanapun, ini adalah sangat tidak mungkin kerana penyerang perlu menterbalikkan sepenuhnya protokol proprietari rahsia kami untuk dapat menghantar arahan yang sah ke peranti kami yang akan menjadi usaha kejuruteraan yang serius. Kerosakan juga boleh dikawal dengan mudah dengan mematikan pintu masuk yang terjejas, pada ketika itu termostat kami akan menyambung semula operasi luar talian yang normal. Ia tidak mungkin untuk menahan tebusan infrastruktur secara kekal melalui vektor serangan ini.
3. (Minor) Akses kepada rangkaian hotel: Penyerang yang mendapat kawalan ke atas get laluan boleh menggunakan get laluan untuk mendengar trafik rangkaian atau menyekat rangkaian dengan bunyi bising. Akibat daripada senario ini bergantung terutamanya pada persediaan rangkaian hotel. Kami biasanya mencadangkan agar pintu masuk disambungkan ke subnet terpencil mereka sendiri atau ke rangkaian yang sama yang disambungkan oleh tetamu hotel, dengan keistimewaan dan sekatan yang sama. Oleh itu, persediaan rangkaian yang direka dengan baik tidak akan membenarkan peranti pada rangkaian pintu masuk atau rangkaian tetamu mengakses infrastruktur rangkaian hotel yang penting.
Serangan Jauh Terus pada Pelabuhan Gerbang Terbuka
Senario ini menerangkan penyerang yang cuba mendapatkan akses jauh ke pintu masuk melalui port terbuka.
Kemungkinan: Mustahil
Vektor serangan ini dianggap mustahil kerana pintu masuk tidak mendengar sebarang port di luar dan sebarang komunikasi dimulakan keluar dari pintu masuk. Tingkah laku ini diwarisi daripada BalenaOS, sistem pengendalian yang membentuk asas perisian get laluan. Penerangan terperinci tentang pelaksanaan keselamatan berkaitan Balena dan cara mereka mengurus komunikasi dan kebenaran boleh didapati di sini:
Kami menjalankan aplikasi SensorFlow di dalam bekas docker di atas BalenaOS, yang berinteraksi dengan infrastruktur awan SensorFlow. Semua komunikasi dengan Cloud kami sekali lagi keluar dan tiada port dibuka jadi aplikasi kami sendiri tidak menambah permukaan serangan tambahan ke pintu masuk.
Disebabkan perkara di atas adalah mustahil untuk penyerang mencari dan menyerang gerbang kami dari jauh tanpa melanggar infrastruktur rangkaian pelanggan terlebih dahulu. Ini benar terutamanya jika get laluan dilindungi tambahan oleh tembok api yang menyekat akses kepada rangkaian pelanggan. Walaupun mereka berjaya melalui tembok api, mereka masih tidak akan menemui sebarang port terbuka untuk menyerang pintu masuk kami.
Lelaki di Tengah Serangan di Gerbang
Satu-satunya cara untuk menyerang pintu masuk ialah penyerang menyamar sebagai awan Balena atau awan SensorFlow. Penyerang yang berjaya boleh cuba menghantar arahan kepada termostat yang disambungkan atau menukar perisian tegar get laluan dengan perisian tegar mereka sendiri.
Kemungkinan: Jarang
Kami menganggap senario serangan ini sangat tidak mungkin berjaya kerana semua API kami dijamin melalui penyulitan HTTPS TLS standard dan kebenaran berasaskan sijil dan pengesahan. Ini benar untuk titik akhir perkhidmatan yang dibentangkan oleh Balena untuk kawalan dan penyelenggaraan jauh serta semua API awan SensorFlow yang dilindungi oleh perkhidmatan AWS Cognito. Oleh itu, penyerang perlu berjaya mencuri sijil akar SensorFlow atau Balena untuk berjaya dengan vektor serangan ini.
Serangan Fizikal Di Pintu Gerbang
Sekiranya penyerang mendapat akses fizikal ke pintu masuk, mereka boleh cuba menggantikan perisian tegar get laluan kami dengan menukar keluar kad SD yang menyimpan sistem pengendalian dan oleh itu, mencipta peranti pada rangkaian hotel di bawah kawalan mereka dan kemungkinan besar disenarai putih untuk menyambung tanpa perlu melalui portal tawanan.
Kemungkinan: Jarang
Memandangkan ini adalah serangan di premis yang memerlukan pengetahuan teknikal, kami menganggap kemungkinan serangan ini sangat jarang berlaku. Terutamanya memandangkan had infrastruktur rangkaian yang dinyatakan di atas yang sepatutnya digunakan pada semua peranti pada gerbang atau rangkaian tetamu. Untuk melakukan serangan seperti ini, adalah lebih mudah bagi penyerang untuk hanya menyambungkan peranti secara terus ke rangkaian hotel, dan bukannya melalui gerbang SensorFlow.
Keselamatan Nod
Nod sensor kami hanya menyambung ke pintu masuk kami melalui protokol proprietari kami yang dipanggil AirLink. Oleh itu, mereka tidak dapat dihubungi dan tidak dapat ditemui dari luar dan oleh itu tidak boleh diserang secara langsung. Nod kami tidak bercakap sebarang protokol berasaskan IP dan oleh itu, tidak dapat berinteraksi secara langsung dengan infrastruktur rangkaian hotel. Keupayaan lebar jalur mereka juga sangat terhad oleh reka bentuk, menjadikannya tidak sesuai untuk sebarang serangan ke atas infrastruktur rangkaian hotel. Ini adalah akibat daripada menggunakan LoRa vs WiFi atau Bluetooth. Semua komunikasi berlaku dalam bentuk binari, menjadikan percubaan kejuruteraan terbalik protokol kami sangat sukar.
Akibat Serangan Pada Nod
1. (Minor) Kesan pada keselesaan tetamu: Sekiranya penyerang berjaya menyambungkan nod penyangak atau mengawal sepenuhnya nod, dia boleh menghantar data penghunian palsu yang kemudiannya boleh mempengaruhi gelagat FCU dalam bilik tersebut. Ini boleh menyebabkan ketidakselesaan haba kepada tetamu. Kesannya boleh dikurangkan dengan mudah dengan mematikan Gerbang SensorFlow atau menyenaraihitamkan nod daripada rangkaian Gerbang.
2. (Minor) Gangguan atau penyahaktifan automasi: Sekiranya penyerang berjaya menyahaktifkan atau memutuskan sambungan nod sensor, automasi akan dilumpuhkan yang membawa kepada kehilangan penjimatan dan kehilangan data.
Memasang Nod Penyangak
Dalam kes ini, penyerang cuba memasang nod berniat jahat pada harta itu.
Kemungkinan: Jarang
Memandangkan protokol kami adalah proprietari dan tidak diterbitkan, seseorang perlu melengkapkan latihan kejuruteraan terbalik sepenuhnya bagi protokol wayarles kami untuk cuba menyambungkan nod penyangak kepada sistem SensorFlow. Ini memerlukan penyerang berada di tapak selama beberapa hari atau minggu untuk mengumpul maklumat yang mencukupi daripada komunikasi biasa untuk mempunyai peluang jauh untuk mentafsir protokol.
Selain itu, semua nod kami mengandungi nombor id unik, dipanggil alamat MAC, yang kami rekod sebelum kami membawa peralatan di tapak. Gerbang kami akan menolak sebarang nod yang tidak mempunyai alamat MAC yang diiktiraf. Alamat MAC nod hanya ditukar semasa proses sambungan awal menjadikannya amat sukar bagi penyerang untuk melancarkan serangan yang disasarkan. Sekiranya penyerang melalui semua usaha ini, satu-satunya kerosakan yang boleh dia capai ialah mengawal FCU di bilik hotel tanpa keterlihatan bilik yang mereka kawal. Melalui semua usaha ini, mereka hanya boleh menyebabkan gangguan kecil kepada tetamu. Walaupun penyerang cuba menyebabkan kerosakan dengan menggunakan serangan ulang tayang pada komunikasi kami, mereka perlu mendapatkan pemahaman terperinci tentang pemasaan komunikasi rangkaian kami yang akan sangat mengehadkan kejayaan vektor serangan ini.
Serangan Melalui Fungsi Peningkatan Perisian Tegar
Nod penderia kami dinaik taraf dari jauh. Gerbang kami mencetuskan peningkatan ini.
Kemungkinan: Jarang
Memandangkan kami bercakap mengenai protokol proprietari antara penderia dan pintu masuk kami, penyerang perlu mengawal pintu masuk kami atau membawa perkakasan yang setara di tapak. Selepas itu, mereka juga perlu mengubahsuai protokol peningkatan perisian tegar lengkap kami yang akan menjadi usaha kejuruteraan yang sangat canggih dengan hasil yang minimum.
Kesesakan Rangkaian
Setiap rangkaian wayarles terdedah kepada serangan gangguan rangkaian. Jadi penyerang di tapak boleh berjaya memutuskan sambungan beberapa nod dengan menyekat frekuensi yang sistem SensorFlow beroperasi. Tiada apa yang boleh dilakukan untuk menghalang perkara ini, bagaimanapun, satu-satunya keputusan ialah menyahaktifkan automasi dan menyebabkan kehilangan data.
Kemungkinan: Jarang
Serangan Fizikal Pada Nod
Semua perkara di atas memerlukan usaha kejuruteraan terbalik untuk berjaya. Cara terpantas untuk melakukan ini ialah cuba memuat turun perisian tegar dari nod kami dan kemudian cuba menyahkompilasinya.
Kemungkinan: Jarang
Ini adalah mustahil kerana kami mengunci nod kami selepas pengaturcaraan, bermakna menyambungkan alat untuk memuat turun perisian tegar memerlukan membuka kunci nod yang memadamkan perisian tegar dengan serta-merta.