К такому неутешительному выводу пришли исследователи Politecnico di Milano и Trend Micro в ходе аудита дизайна систем информационной безопасности ряда повсеместно используемых промышленных роботов. Исследователи, в частности, обнаружили, что устройства можно без особых стараний перепрограммровать со злым умыслом. 

В частности, можно корректировать параметры безопасности робота, например, установить допустимые моменты силы или пределы скорости на уровнях, превышающих безопасные. Также можно заставить робота выдавать неверную телеметрию, что введет в заблуждение операторов. Системы аварийного отключения могут быть отключены или "спрятаны". Без особых уведомлений робота можно переключить из режима ручного управления оператором в режим автоматического функционирования, что опасно в случае резких и сильных движений робота для всех, кто окажется от него поблизости. И, наконец, почти любая из внесенных в программное обеспечение робота корректировок, может привести к порче выпускаемых изделий, их придется переделывать или списывать.  

Все эти деструктивные вмешательства возможны потому, что система управления промышенными роботами, как правило, не имеет даже базовых элементов безопасности, например, пароли в ней хранятся практически не зашифрованными.  Контроллеры видны процессу FTP во время загрузки, когда системаа получает обновления ПО, не требуя аутентификации. Команды сетевого уровня не шифруются и не подписываются цифровыми сертификатами. Контрллеры защищены хранящимися в их памяти без шифрования логинами и паролями. Атаки, основанные на повреждении содержимого памяти легко осуществимы и приводят к серьезным последствиям. Процессы исполнения управляющих инструкций плохо изолированы от других процессов, можно перечислять и перечислять выявленные недочеты.  

Промышленные роботы собрали, похоже, все проблемы, присущие темам IoT. Оператор промышленных роботов, как правило не имеют достаточных знаний и опыта в области компьютерной безопасности, системы редко обновляются, а их дизайн оставляет желать много лучшего. Но если для того, чтобы убить кого-то с помощью IoT сегодня нужно придумывать что-то типа отключения в холода системы отопления дома, то промышленные роботы куда более подходят на роль машин-убийц. Особенно, если они обретут мобильность. 

В ходе аудита было показало, что хакер может скомпроментировать контроллер робота и получить возможность полного контроля над роботом, что позволяет изменить производственный процесс. Исследователи планируют продолжить аудит, проверив контроллеры других производителей, а также производства с несколькими роботами, коллаборативных роботов и изменения уровня безопасности, связанные с внедрением беспроводного подключения.

Кому интересно - ознакомиться с обзором можно здесь, 18 страниц, англ., .pdf.  

+ +