导语:曾经有一部美剧《黑客军团》,主角艾略特潜入钢铁山公司,拆下温控器植入树莓派,搭起通往内网的秘密桥梁——目标系统是物理隔离的,远程入侵进不去,但物理接触一个智能开关就够了。现实中,楼宇管理系统(BMS)正在把这种攻击路径变成真实威胁。一旦黑客进入智能建筑,内网往往比想象中容易得多。
一、什么是楼宇管理系统(BMS)
从名字就能猜到,BMS(Building Management System)就是管理楼宇的系统。但你可能不知道它有多普遍。很多人以为BMS只存在于机场、工厂或摩天大楼——当然这些地方确实有,但这只是冰山一角。一个普通的智能Wi-Fi插座,也可能属于楼宇管理系统的一部分。一旦你开始用这个视角看现代建筑,就会发现物联网领域的安全问题在这里同样存在,而且这并非巧合——安全问题的模式是相通的。
二、BMS是如何工作的
下面这张图很好地说明了BMS的架构。
BMS大致可以分为多个层级。最底层是现场层(Field Level),负责实际的感知和执行。这里有运动传感器、光照传感器、温度传感器、继电器、阀门、电机、自动扶梯驱动器,甚至大型风机。这一层相当于系统的”眼睛、耳朵和手”——感知楼宇发生的一切,并做出物理响应。
往上是自动化层(Automation Layer),可编程逻辑控制器(PLC)就工作在这一层。根据设计不同,这些控制器可能相互连接,也可能分成多个小组。它们的职责是收集现场设备的信号,并将信号转化为具体的动作——房间太热了需要降温,灯需要打开,或者水泵需要启动——这些逻辑都在这一层处理。
金字塔顶端是管理层(Management Layer)。这是楼宇运营者和管理者看”大局”的地方:大楼用了多少电、哪里在浪费能源、如何降低成本……技术细节服务于商业决策。
三、家庭和中小企业的BMS
大多数读者大概没有在迪拜拥有一栋摩天大楼,所以让我们把目光转向更熟悉的环境。对于热爱技术的普通人来说,智能楼宇系统可以出现在家庭、小型办公室等日常空间里。
能源监控
一个很实用的例子是能源监控。有些系统可以在电压超出安全范围时自动断开公寓内的电器负载,防止电涌损坏家电。同时,系统会记录事件并生成报告,方便用户事后分析——可能是电工把相位接错了,也可能是供电本来就不稳定。不管是哪种情况,设备保住了,用户拿到了一份事故记录,而不是一台报废的电视、冰箱和电脑。
安防系统
安防系统是一个更广泛的领域,正在各地积极推进。现实中,这通常意味着使用廉价的硬件——而这些硬件往往安全性堪忧。选项从简单的”运动传感器+警报器”组合,到完整的视频监控系统、报警平台,以及检测到异常时推送消息的联动方案,应有尽有。
漏水保护
漏水造成的损失可以在极短时间内变得极其昂贵。一根坏掉的管子、老化的水管或安装不当的接口,都可能引发洪水。有人开玩笑说,对漏水的恐惧几乎已经成为现代人的标配焦虑。楼宇管理系统可以帮你认真解决这个问题。
气候控制
对于住公寓的人来说,BMS可能更像一个有趣的爱好,而非必需品。但对于独栋住宅,尤其是燃气或电费不断上涨的情况下,自动化就开始变得非常实用了。智能气候系统可以在你外出时降低温度,并在你回来之前提前升温。
当然,同一套技术也带来了安全风险。如果黑客获得了系统访问权,温度可以被恶意操控作为一种破坏手段。现实中确实有过这样的案例——滥用权限的人是一位前夫,他仍然保留了访问凭证。
四、BMS的两个关键特性
理解BMS有两个重要特性。
第一是去中心化。这很容易理解——服务一层楼的HVAC系统不一定需要和另一层交互。一个区域的照明回路不需要知道大楼另一侧的情况。这种模块化设计让架构更容易扩展和维护。
第二个特性是:BMS通常不像工业控制系统(ICS)那样要求严格的实时性。如果一台通风机停了,工程师一分钟后才知道,这当然不方便,但通常不会造成灾难性后果。而在ICS环境中,这样的延迟可能是个严重问题。在BMS中,容错空间要大得多。
五、大型建筑中的BMS
到目前为止,我们讨论的主要是小型智能环境。现在让我们想象一栋有数百层楼的摩天大楼、一个大型购物中心,或一家豪华酒店——规模改变了一切。
迪拜是个很好的例子,因为很多建筑内部充满了复杂的工程系统,需要被监控和控制。以下是一些常见的工程系统类型:
暖通空调系统(HVAC)
照明系统
HVAC和照明只是开始。许多客户还要求门禁控制、消防系统、漏水检测、占用率监控、能源分析等等。正如那句话所说:每平方米自动化的成本,可以从几乎为零到接近天价。
现在想象黑客攻破了这样的建筑。如果通风系统故障导致空气变得沉闷,如果酒店门禁被干扰导致房卡失灵,如果一家知名写字楼随机断电——人们会很快注意到这些异常。楼宇的声誉会受损,入驻企业的业务也会受影响。
BMS的经济账
一个值得问的问题是:这一切值得花这么多钱吗?很多时候,答案是肯定的。
想象一栋大型建筑,每天早上有人要穿过好几个配电室才能把灯全部打开,晚上再走一遍把它们关掉。这是大量的体力劳动,日积月累,成本高昂且效率低下。智能系统可以通过自动化日常任务来降低这些成本。
还有一个问题:水管。在很多建筑中,管线走在吊顶上方或高架地板下方,这意味着一旦发生泄漏,损坏往往是隐蔽的,可能迅速扩大。如果管道爆裂,业主不仅要面对维修费用,还可能面临租户因货物或设备损坏提出的索赔。所以,自动化也是风险管理的一部分。
六、实战:聚焦KNX协议
要对所有建筑自动化技术做完整盘点,一篇文章远远不够。因此这里我们把重点放在KNX(也称KNX/EIB)上。选择KNX是因为我们的研究正是围绕KNX安全展开的。在下一篇文章中,我们将详细讨论研究结果,而在这里先介绍KNX系统本身。
简单来说,KNX是一种非常昂贵但应用极其广泛的建筑自动化技术。
新加坡亚洲广场
KNX/EIB被应用在亚洲广场、迪拜国际机场的某个航站楼、科威特贸易中心等地方。现在想象一下这个场景:你坐在机场咖啡厅等飞机,突然整栋楼的灯全灭了。即使只是很短的时间,也会让人心神不宁。这是一个很简单的例子,但它说明了一点——为什么楼宇自动化值得从安全角度认真研究。
回到BMS金字塔,KNX支持种类繁多的末端设备,包括运动传感器、恒温器、电动阀、多位开关、光照传感器等。这个生态系统的连接往往只需要两根线,这也是它对建筑商和集成商极具吸引力的原因之一。
这种灵活性使得优化能源使用、控制暖通空调系统、监测室内空气质量、支持多种继电器功能等成为可能。
ABB等公司也推出了将KNX与酒店门禁系统集成的解决方案。在下一篇文章中我们会深入讨论这个话题,因为一旦门禁控制和自动化开始交互,安全含义就变得更加耐人寻味了。
架构与灵活性
在小住宅中使用KNX时,配置方式可能类似于传统布线——每个开关控制特定区域,每个传感器有固定任务。这种方式在小型公寓或住宅里效果不错,但灵活性欠佳。
左:KNX的基本应用(如小型住宅)。右:KNX的高级应用(如大型建筑)
但购物中心就是另一回事了。店铺会换租户,空间会被重新配置,布局会不断演变。如果系统用硬连线方式布线,每次变更都需要昂贵的重新布线。KNX通过将电力布线和低压数据总线分离来解决这个问题。电力走到需要的地方,设备通过共享总线通信。这在施工期间可能需要更多规划,但回报是巨大的——一旦基础设施就位,将一个按钮切换到控制不同区域,通常只需在软件中操作,而不需要砸墙。另外一个好处是,智能开关与220V电力网络是隔离的,这提高了安全性,也简化了系统逻辑。
通信方式
KNX顺应现代趋势,支持通过KNX-IP(也称KNXnet/IP)走以太网。但它并不局限于以太网。KNX-TP(使用双绞线布线)也非常常见。
这种双绞线可以同时承载数据总线和电力。此时总线使用两根导线,提供24V直流电。KNX-TP的速率只有约9600 Kbit/s,听起来不快,但对于基本建筑控制来说已经绰绰有余。这些系统传输的通常是状态、命令和小型的控制消息,而不是大文件。
其他通信模式也存在。KNX-RF使用868MHz射频,KNX-PL使用电力线通信。最后这种方式为不寻常的攻击场景打开了大门。例如,在酒店大堂,某人可能把笔记本电脑插到电源插座上,假装只是在充电,同时试图通过电力网络与楼宇系统进行交互。
技术细节
像智能开关这样的简单设备,通常只需要两根线就可以连接。虽然示意图上可能画出更多线,但实际中两根线对于基本的按钮或调光器就够了,因为总线可以同时承载电力和数据。线路工作电压约为30V直流电。
这有点不寻常,因为很多工业系统以24V直流电为标准。在KNX中,数据通过调制线路来传输。逻辑1对应稳定的30V直流信号,而逻辑0则是对该信号的短暂干扰。
这也意味着使用测量工具时要小心。强烈建议不要将逻辑分析仪直接连接到KNX-TP线路上,否则有可能损坏设备。建筑自动化从表面看似乎简单,但电气层面同样值得敬畏。
七、总结
在下一篇文章中,我们将深入KNX的命令结构,并分享实验结果。先给你一个预告:如果一名黑客入住酒店房间后发现了一个智能开关,而系统安全性很差,那么造成整栋楼严重干扰是完全现实的。
楼宇管理系统既方便又高效,但它们同时也是攻击面的一部分。建筑越智能化,把它当作真正的联网环境来对待就越重要。
出处:本文译自Hackers Arise,原文链接:
- 上部:https://hackers-arise.com/smart-home-hacking-hacking-skyscrappers-part-1-building-management-systems-and-knx/
- 下部:https://hackers-arise.com/smart-home-hacking-hacking-skyscrappers-part-2-working-with-knx/
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容