The objective of this thesis was to get a general view in the information security of the protocols and transmission media used in building automation (BA) systems. Traditionally different building control systems were all separate but a continuing trend of integration has been noticed. The systems are melted together and more and more internet connectivity is required of them. This evolution brings about new threats and risks in the building control world. Similar development has already been seen in the realm of industrial automation and work on the information security aspects has begun there a few years ago. The work on information security of BA systems is just starting.

This thesis is based on literary research aimed to define the status quo of the research field. The protocols studied in this work are: ModBUS, LonTalk, BACnet and oBIX. Their information security characteristics were determined through a thorough examination of the international and other standards which define said protocols. A hands-on point of view on the subject was acquired from interviews with two BA specialists. After creating the theoretical base and charting the information security aspects, the protocols' and media's ability to withstand certain attacks was put to test. These theoretical scenarios consisted of a denial of service attack, a packet sniffing attack and a spoofing attack. When the technical vulnerabilities and applicable threats were charted a synthesis in the form of a check list was created. It is a collection of matters that should be considered while evaluating the information security level of a building automation system - be it an existing one or one in its initial planning phases. The list is designed to be universal and extensive and therefore only to be used in conjunction with the results of a risk analysis. They define the value and importance of each point.

The results from the analysis of the protocols were mostly expectable. ModBUS contained no features supporting information security and all its traffic is in plain text. In LonTalk the only service related to information security is the possibility to authenticate the sender of certain types of messages. However, it is not used in real life applications. The process is not entirely trustworthy and it can even be used in a denial of service attack. LonTalk's traffic is also plain text. BACnet offers several information security services, e.g. encrypted messages and authentication of both the sender and the receiver of certain types of messages. They are, however, based on now-obsolete DES - which is only 56 bits strong and thus not considered adequately safe anymore. Surprisingly all the security features were intentionally left unspecified in the oBIX standard. It is possible to use the services provided by HTTP and HTTPS but they are limited at best. The reviewed protocols can not be used iii any application which requires heightened levels of security. They simply can not fulfil those kinds of requirements. The analysis of the transmission media provided no great surprises. It was noticed that their information security depends on two factors: the signal's ability to pass through walls and how easy it is to connect to the medium. The two most unsafe media were power line communications and radio network. Safest option was the optic cable. This work validated the assumption regarding the state of the information security of BA systems. There is a lot of work to be done in the field. The requirements for information security have to be defined. Otherwise, rational decisions about them can not be made

@mastersthesis{Kokkinen2009:INSSI38918,
  author = {Kokkinen, Atte},
  title = {Information security of building automation},
  year = {2009},
  school = {Helsinki University of Technology},
  address = {Espoo, Finland},
  abstract = {Tämän diplomityön tarkoituksena oli tutkia
    rakennusautomaatiojärjestelmissä käytettävien protokollien ja
    siirtomedioiden tietoturvallisuutta. Rakennusten perinteiset
    erillisjärjestelmät integroituvat keskenään ja Internetin kanssa. Tästä
    syntyy uudenlaisia uhkakuvia ja riskitekijöitä. Vastaava kehitys on
    havaittu teollisuusautomaation maailmassa ja siellä onkin ryhdytty
    tutkimaan järjestelmien tietoturvallisuutta jo muutama vuosi sitten.
    Rakennusautomaatiopuolella tietoturvallisuuden tutkimus on kuitenkin vielä
    alussa.
    
    Diplomityö pohjautuu kirjallisuustutkimukseen, jossa selvitettiin alan
    tutkimuksen nykytilanne. Työssä käsiteltävien protokollien (ModBUS,
    LonTalk, BACnet ja oBIX) tietoturvallisuusominaisuudet on arvioitu
    tutkimalla standardeja, joissa protokollat on määritelty. Käytännön
    näkökulmaa työhön on saatu kahdesta asiantuntijahaastattelusta.
    Teoriapohjan luomisen ja tietoturvaominaisuuksien kartoituksen jälkeen
    työssä tutkittiin protokollien ja siirtomedioiden kykyä torjua tiettyjä
    hyökkäyksiä. Nämä hyökkäysskenaariot ovat: palvelunesto, salakuuntelu ja
    pakettien väärennys. Kun järjestelmien tekniset haavoittuvuudet ja
    käytännölliset uhkakuvat oli kartoitettu, voitiin luoda synteesinomainen
    tietoturvallisuuden tarkistuslista. Siinä on lueteltu
    rakennusautomaatiojärjestelmän tietoturvallisuuden tilaa arvioitaessa
    käsiteltäviä asioita. Listan sisältämiä kohtia on syytä pohtia myös uusien
    järjestelmien suunnittelun yhteydessä. Lista on suunniteltu yleispäteväksi
    ja kattavaksi, jolloin riippuu erillisen riskianalyysin tuloksista, kuinka
    kriittisesti sen eri asiakohtiin tulee suhtautua kulloisessakin
    rakennuskohteessa.
    
    Protokollien analyysin tulokset olivat melko pitkälti odotetun kaltaiset.
    ModBUS-protokollassa ei ollut lainkaan tietoturvallisuutta tukevia
    ominaisuuksia ja sen liikenne on selväkielistä. LonTalk-protokollassa ainoa
    tietoturvallisuuspalvelu on mahdollisuus käyttää eräissä viestityypeissä
    viestinlähettäjän autentikointia. Menettelyä ei kuitenkaan ole toteutettu
    käytännön sovelluksissa. Se ei ole täysin luotettava, ja sitä on jopa
    helppoa käyttää palvelunestohyökkäyksen välineenä. LonTalk-protokollan
    kaikki liikenne on selväkielistä. BACnet-protokolla tarjoaa useita
    tietoturvallisuutta tukevia palveluita, esimerkiksi liikenteen salauksen ja
    viestien lähettäjän sekä vastaanottajan autentikoinnin. Niiden pohjana on
    kuitenkin 56-bittinen Des-salaus, jota ei nykypäivänä enää voi pitää
    kovinkaan turvallisena. Oli yllättävää havaita, että oBIX-protokollasta on
    jätetty tarkoituksellisesti kaikki tietoturvallisuuteen liittyvät palvelut
    pois. Siinä on mahdollista hyödyntää HTTP- ja HTTPS-protokollien tarjoamia
    tietoturvapalveluita, mutta nekin ovat hyvin rajallisia. Käsitellyt
    protokollat soveltuvat nykyisellään melko huonosti esimerkiksi
    turvallisuusjärjestelmien toteutukseen, koska ne eivät voi kunnolla täyttää
    sellaisille asetettuja vaatimuksia. Siirtomedioiden analyysi ei tarjonnut
    suuria yllätyksiä. Havaittiin, että niiden tietoturvallisuus riippuu
    kahdesta tekijästä: signaalin kyvystä läpäistä seiniä, ja siirtotielle
    liittymisen helppoudesta. Näillä perusteilla turvattomimmat olivat sähkö-
    ja radioverkko ja tietoturvallisin vaihtoehto oli valokaapeli.
    
    Työ vahvisti käsitystä rakennusautomaatiojärjestelmien tietoturvallisuuden
    kehnosta tilasta. Alalla tarvitaan vielä paljon työtä. Järjestelmien
    tietoturvallisuustarpeet pitää määritellä jotta voidaan tehdä tietoisia
    ratkaisuja niiden täyttämiseksi}
}