NOS HAN HACKEADO UNA OBRA KNX POR PUERTO 3671

Bueno, suena duro reconocerlo, parece algo que aparentemente se debería ocultar cara a clientes para parecer más profesionales y más formales. Pero nosotros no lo vemos así. Que hayamos sido una de las empresas atacadas no es fortuito, eso no le pasa a una empresa que tiene en su haber 4 ó 5 obras KNX finalizadas. Por supuesto que no, ahí la estadística cuenta, y mucho.

En nuestra empresa tenemos muchas decenas de obras con KNX finalizadas, desde el año 2005 en que empezamos a trabajar, desde pequeñas obras con menos de 5 equipos, hasta obras muy grandes con más de 250 equipos KNX dentro, así que se pueden imaginar.

Hackers KNX secure puerto 3671

Por supuesto desde hace mucho todo lo nuevo lo trabajamos de forma segura nunca dejando el puerto oficial KNX abierto en remoto y todas las precauciones que se han de tomar:

  • No dejar puerto oficial abierto
  • Uso de equipos SECURE de las nuevas gamas que casi todos los fabricantes ya trabajan
  • Uso de equipos específicos KNX IP que limitan el acceso solo a identidades conocidas o con contraseña.

Y esto lo hacemos desde el primer momento en que empezaron a llegarnos algún mail de fabricante o las propias newsletter de la asociación KNX, nacional e internacional alertando de esos hackeos.

Pero claro, cuidar lo nuevo es bastante sencillo, pero tener en cuenta absolutamente todo lo que hemos hecho en estos años atrás lleva su tiempo; y si bien reconocemos que teníamos una lista clara y concisa de asistir a esas obras a ir dejando todo en orden, precisamente la falta de tiempo es el gran problema de la época actual y pasó.

Así que como el cuento de Pedro y el Lobo, en el bypass de ir atendiendo poco a poco esas obras para dejar todo en orden de ese listado de decenas de obras KNX con posible puerto 3671 abierto, nos llegó la fatídica llamada.

Un muy antiguo cliente nos indica que en la casa no puede controlar las persianas y las luces, algunas le van pero la mayoría no responde. En nuestras mentes no vino el fantasma de la seguridad, ni mucho menos, sino por la experiencia lo primero a pensar fue:

  • Fuente de Alimentación KNX en alguna zona cascada
  • Cortocircuito en bus KNX en alguna zona
  • Equipo averiado que genera corto
  • Alguna fuga de humedad que se encontró con el bus o tema eléctrico y está haciendo la puñeta

No deja de ser curioso que nos sucedió en la primera obra KNX finalizada de nuestra empresa. La primera.

Pues al llegar nuestro técnico para revisar la obra, nos informa a todos de una situación rarísima. No puede descargar en la mayoría de los equipos que están dando problemas, no le deja descargar, le pide contraseñas.

Huston, tenemos problemas

se hizo eco en nuestras cabezas

En ese momento se nos vino a todos los técnicos esos emails de seguridad. Esos mails que sonaban a «cosas que estaban pasando en otros sitios lejanos«, como cuando sonaban los primeros casos del COVID que parece que no iba con nosotros en lo cercano.

Pues sí que fue, y dejó durante toda una larga mañana al cliente sin poder usar la casa y a nosotros con un nudo en la garganta de si iban a quedar inservibles esos equipos por el hackeo e íbamos a tener un marrón muy gordo para resolverlo al cliente.

Por suerte, por mucha suerte que tuvimos, en esa obra el fabricante era de esos que tienen un servicio de soporte exquisito. Además de ser un fabricante de primer nivel en el que ya habían sufrido en sus equipos internacionalmente esos ataques.

¿Y la solución?

Pues sorprendentemente la solución nos sorprendió igual de impactante que el propio susto.

Resulta que esos ataques muchas veces no tienen afán de fastidiar permanentemente la instalación -que podría ser- sino es más afán por tocar la moral, un «jugueteo» en muchas ocasiones de hackers que quieren conseguir dar los sustos que dan. Luego existen unas listas de múltiples contraseñas ya contrastadas con estos fabricantes -que además no son contraseñas complejas, sino imagínense 123admin o similares- donde el soporte del fabricante nos indicó de probarlas todas que seguro iban a funcionar, y sorprendentemente funcionaron y pudimos dejar toda la casa funcionando con los mismos equipos y el mismo archivo ETS.

Ni que decir tiene que ese puerto abierto remoto 3671 que se había quedado abierto se cerró ese día, y que esa misma semana sí nos forzamos a terminar de dedicar el tiempo necesario para que todas las obras quedaran correctamente seguras, con lo caliente que teníamos aún el susto.

Concusiones que sacamos:

  • No dejes para mañana lo que puedas hacer hoy (sobre todo en temas de seguridad)
  • El KNX, lo bueno de que esté tan extendido mundialmente lo convierte en la diana de posibles externos que quieran hacer daño en cualquiera de sus debilidades, y sobre todo al estar tan extendido y ser una norma tan estricta: si oyes que están pasando cosas raras con instalaciones KNX aunque sea de lejos, tenerlo en cuenta porque puedes ser el siguiente.
Share Button

3 respuestas a «NOS HAN HACKEADO UNA OBRA KNX POR PUERTO 3671»

  1. Yo he «heredado» una instalacion Hackeada y desde luego es un autentico dolor de cabeza. Si de verdad existen esas listas os agradeceria poder disponer de ellas para intentar recuperar la instalacion.

    1. Hola Lucas. te recomendaría encarecidamente contactes con el fabricante de la marca que tengas en la obra, o si son varias la que más afectada tengas de la instalación heredada, estoy seguro te podrán dar la lista y un feedback incluso más actual de cómo enfocarlo. Honestamente no me parece correcto publicar esas listas de contraseñas posibles, simplemente porque publicarlas cara a los hackers o los propios robots de búsquedas les pueda ayudar a esconder o complicar aún más esa maniobra.
      Suerte, espero lo puedas solventar.

  2. Ya, te entiendo pero la respuesta del fabricante ha sido la esperada. Irreparable. Comprar aparatos nuevos. La idea no era publicar las listas si no simplemente compartirlas en algun correo o similar. Las mas comunes que se me han ocurrido ya estan probadas sin exito. No obstante entiendo tu postura Leonardo, Gracias por responder.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *