Przemysłowe roboty są złożonymi systemami cyberfizycznymi (CyberPhysical System – CPS), które obejmują wiele mechanicznych komponentów. Zależnie od wykorzystania, należą do nich: siłowniki, kontrolery, czujniki i urządzenia do interakcji z ludźmi (HMI – Human Machine Interface). W tym kontekście rosnąca integracja komputerowego monitorowania fizycznych procesów produkcyjnych prowadzi do połączenia robotów z innymi maszynami i usługami zewnętrznymi. W wizji Industry 4.0 system zarządzania całą organizacją może rekonfigurować zrobotyzowane linie produkcyjne i otrzymywać aktualizacje dotyczące ich statusu operacyjnego.

Obecnie roboty przemysłowe łączy się z sieciami komputerowymi głównie w celach programistycznych i konserwacyjnych. Można już zauważyć pewien nacisk na bogatsze i bardziej złożone programowanie w celu integracji robotów z fabrycznym ekosystemem IT. Niektórymi robotami można już sterować za pomocą aplikacji na smartfonie. Wpisuje się to w trend Internet of Things, o którym w ujęciu przemysłowym, pisaliśmy tutaj.

Roboty przemysłowe, jako element infrastruktury informatycznej, mogą posłużyć do przeprowadzenia ataku cybernetycznego.

Integracja robotów przemysłowych z pozostałymi komponentami sieci przemysłowej przekłada się na znaczną poprawę wydajności oraz skrócenia czasu realizacji poszczególnych zadań. Jednak zwiększenie złożoności i wzajemnych połączeń systemów przemysłowych i robotycznych oferuje nowe możliwości ataku cybernetycznego. Motywacja takich hakerów może sięgać nawet scenariusza cyberwojny, gdyż przejęcie kontroli nad maszynami ma wpływ na krytyczne systemy i operacje. Takie działania już opisywaliśmy – wówczas zagrożone były firmy z sektora paliwowego i energetycznego. Dziś przyjrzymy się robotom przemysłowym. Firma Trend Micro we współpracy z Politechniką Mediolańską opublikowała raport pt.”Rogue Robots: Testing the Limits of an Industrial Robot’s Security”. Stanowi on obszerną publikację, w którą zaangażowali się również niektórzy producenci rozwiązań. Dzięki temu analitycy mogli podzielić się wynikami badań, ukazującymi świat bezpieczeństwa cybernetycznego robotów przemysłowych.

Routery przemysłowe wystawione w Internecie

Niedawno słyszeliśmy o tym, że NASA padła ofiarą wyrafinowanego ataku przez nieodpowiednio zabezpieczone urządzenie Rapsberry PI. Skoro nawet takim gigantom zdarzają się wpadki, oznacza to, że podobne scenariusze mogą wystąpić w organizacjach działających na mniejszą skalę. Bezpośrednia ekspozycja w Internecie krytycznego zasobu infrastruktury wcale nie należy do rzadkości. Badacze z Trend Micro i Politechniki Mediolańskiej opisali kilka przypadków, świadczących o skrajnej nieodpowiedzialności organizacji przemysłowych. Wykorzystując skanowanie sieci znaleziono routery przemysłowe, które zapewniały nieograniczony dostęp do sieci przemysłowej z wyłączonym uwierzytelnianiem. Oznacza to, że każdy, przy użyciu anonimowych danych, mógł znaleźć się w sieci, w której pracują m.in. roboty przemysłowe.

Coraz więcej robotów przemysłowych wyposażanych jest w urządzenia zdalnego dostępu, dedykowane monitorowaniu i konserwacji na odległość. Są to zasadniczo routery przemysłowe, często nazywane „skrzynkami serwisowymi”. Pozwalają zdalnym użytkownikom łączyć się z robotem tak, jakby byli w sieci lokalnej. Połączenie między skrzynką a zdalnym centrum serwisowym może wykorzystywać różne technologie np. wirtualną sieć prywatną (VPN) lub sieć GPRS (General Packet Radio Service). Druga opcja będzie korzystać z karty SIM oraz używać nazw punktów dostępu dostarczanych przez dostawców (APN). Istnieje ryzyko, że jeśli nie zostanie odpowiednio skonfigurowana, wszystkie miejsca gdzie pracują roboty tych samych firm, będą udostępniać takie APN i „widzieć się” przez sieć.

Routery przemysłowe zapewniają interesującą powierzchnię ataku, z naciskiem na uzyskanie dostępu do sterownika robota i innych maszyn przemysłowych. Na przykład napastnicy mogą atakować producenta urządzeń czy technologii odsprzedawanych dalej innym dostawcom w ramach partnerstwa OEM. Wówczas każda podatność znajdująca się w głębokiej warstwie sprzętu lub oprogramowania urządzenia pierwotnego, będzie powielana dalej w każdym jego zmodyfikowanym modelu u innego dostawcy. Nietrudno sobie wyobrazić, jakie to może mieć konsekwencje, zwłaszcza w świetle kolejnych cyber-wyzwań.

Oprogramowanie kluczowym czynnikiem bezpieczeństwa – po raz kolejny

Jedną z pierwszych podatności wykrytych podczas pracy nad raportem były podatności związane z oprogramowaniem dla robotów przemysłowych. W wielu przypadkach okazuje się ono przestarzałe, oparte na wrażliwych systemach operacyjnych i bibliotekach (np. Linux 2.6, .NET SDK 3.5). Zdarzają się też uszkodzone biblioteki kryptograficzne i słabe mechanizmy uwierzytelniania z domyślnymi, niezmiennymi poświadczeniami. Dobrze, jeśli dostawcy stosują zapewniają poprawki do systemów będących długo na rynku, jednakże nie jest to reguła.

Robot marki Mitsubishi w odizolowanym miejscu pracy

Roboty przemysłowe są tradycyjnie zaprojektowane do działania w tzw. klatce czyli będąc fizycznie oddzielonymi od miejsca pracy ludzi. Na tym polu zaczynają następować zmiany. Producenci zaczynają wprowadzać modele robotów współpracujących (boty). Mają one być w stanie pracować w fizycznej bliskości ludzi (np. YuMi ABB, CR-35iA 13 FANUC, różne modele Universal Robots). To, wraz z wejściem w życie filozofii Industry 4.0 zwiększa znaczenie kwestii bezpieczeństwa fizycznego. Wykorzystując podatności oprogramowania, atakujący mogą nie tylko zakłócić pracę robota ale stworzyć zagrożenie dla operatorów. Zapewne, według wszelkich norm i wytycznych stanowiska z robotami mają wbudowane liczne mechanizmy typu safety, mające na celu ochronę ludzi przebywających w pobliżu. Należy jednak pamiętać, że nie ma gwarancji, że na etapie projektowania robotów przewidziano każdy możliwy scenariusz. Zazwyczaj nikt nie zakłada, że sterowanie maszyn zostanie przejęte przez zewnętrznego atakującego a przynajmniej nie jest to oczywiste podejście.

Spora część sektorów przemysłu korzysta obecnie z robotów przemysłowych. Cyberprzestępcy wiedzą, że pracują one zazwyczaj w obszarach mających kluczowe znaczenie nawet dla całych państw:

  • Motoryzacja,
  • Przemysł lotniczy
  • Alternatywna energia
  • Obrona (zastosowania w operacjach wojskowych)
  • Elektronika
  • Produkcja szkła i metalu
  • Przemysł spawalniczy, drzewny, spożywczy, farmaceutyczny, papierniczy
  • Pakowanie i paletyzacja
  • Centra dystrybucyjne

Atakujący mogą wykorzystać obecność robotów przemysłowych w krytycznych sektorach, które dystrybuują usługi publiczne, aby wzmocnić wpływ ich działań. Bez wątpienia, przez to roboty przemysłowe stają się jeszcze atrakcyjniejszym celem ataku. W połączeniu z lukami w oprogramowaniu, bezpieczeństwo tych maszyn okazuje się stać pod znakiem zapytania.

Oczekiwania względem robotów przemysłowych

Istotnie, podatności w oprogramowaniu sterującym robotów przemysłowych a także zaniedbania w obrębie podstawowych polis cyberbezpieczeństwa mają kluczowe znaczenie. Począwszy od życia ludzkiego, które może stać się celem przestępców po pracę całej fabryki lub innego obiektu przemysłowego. Nierzadko celem ataków jest paraliż całej organizacji i straty materialne. Przygotowując się do włamania w sieć przemysłową, hakerzy doskonale zdają sobie sprawę z rangi maszyn i ich zadań. Nie dość, że roboty przemysłowe wykorzystuje się w sektorach krytycznych, to jeszcze wykonują bardzo istotne funkcje. Zostały bowiem zaprojektowane w celu spełnienia najwyższych standardów i wymagań, takich jak:

Dokładność – robot powinien odczytywać precyzyjne pomiary z czujników i wydawać prawidłowe i dokładne polecenia siłownikom, aby ruchy były wykonywane w dopuszczalnych marginesach błędu.

Bezpieczeństwo – robot powinien ujawnić wystarczające i poprawne informacje, aby umożliwić operatorom podejmowanie bezpiecznych i świadomych decyzji, zezwolenie operatorom na wykonywanie procedur awaryjnych i ich wykonywanie szybko i bezpiecznie.

Integralność – Sterownik robota powinien minimalizować możliwość, że źle napisany kod programu sterującego może spowodować uszkodzenie fizycznych części robota.

Z pewnością, oczekiwania te przekładają się na fizyczne możliwości robota. Jeśli naruszenie któregokolwiek z tych wymagań zostało zainicjowane atakiem cyfrowym, może doprowadzić do tego, że robot będzie kontrolowany przez atakującego. Przejdziemy teraz do omawiania typów atakujących a w kolejnej części samych ataków, charakterystycznych dla robotów przemysłowych.

Uproszczony schemat sieci przemysłowej, pokazujący położenie atakujących względem robota przemysłowego

Jakie strategie mają atakujący na środowiska przemysłowe?

W idealnym scenariuszu Industry 4.0 roboty przemysłowe byłyby podłączone do dedykowanej podsieci i odizolowane od innych punktów końcowych. W praktyce wiemy, że takie podsieci są często dostępne zdalnie na różne sposoby. Zazwyczaj roboty są fizycznie podłącza się do sieci za pośrednictwem kontrolera, który można zobrazować jako komputer. Jego zadaniem jest kontrola operacji i podsystemów robota, za pośrednictwem których pracuje (np. joysticki, przełączniki, porty diagnostyczne). Oczywiście ta architektura może być dużo bardziej rozbudowana, co przekłada się i na pozytywne i na negatywne aspekty bezpieczeństwa. Z jednej strony mnogość systemów i komponentów utrudnia podejście atakującym, z drugiej jednak czasem wystarczy jeden mały błąd by uzyskać wgląd w krytyczne zasoby.

Atakujący z poziomu sieci

Atakujący z tego poziomu jest ograniczony do komunikowania się z kontrolerem robota tylko za pośrednictwem połączenia sieciowego. To, że robot może nie być bezpośrednio wystawiony na działanie Internetu z zewnątrz, nie stanowi problemu. Podłączone są do niego inne urządzenia (np. kontrolery), które mogą mieć luki lub błędne konfiguracje. Haker może bazować na technikach wykorzystywanych zazwyczaj do uzyskania dostępu do sieci. Może też wykorzystać inne punkty wejścia, aby złamać zabezpieczenia przemysłowego komputera, a nawet skorzystać z metod offline. Przykładem jest zainfekowanie kontrolera sterującego za pomocą pamięci USB. Kiedy wirus po cichu wykona swoją pracę, atakujący ma pełny dostęp do infrastruktury IT.

Atakujący mający fizyczny dostęp do robota

Najprostszym i najczęstszym profilem osoby atakującej fizycznie jest operator robota, który używa interfejsu HMI do regularnego pilotowania i programowania robota. W tym wypadku interfejs ten można określić również jako HRI – Human Robot Interface. Może mieć on joystick z ekranem dotykowym, który umożliwia operatorowi ręczne lub automatyczne sterowanie ramieniem robota za pomocą za pomocą wyświetlacza. Bardziej zaawansowanym profilem jest „przypadkowy” napastnik, który – umyślnie lub w skutek manipulacji – podłącza urządzenie do otwarcie dostępnego portu. Zapewnia w ten sposób pełny dostęp do komputera – sterownika robota dla atakującego z zewnątrz (po sieci). Przede wszystkim, jako zagrożenie wewnętrzne taki atakujący ma lepszą znajomość obiektu i infrastruktury sieciowej. Oznacza to, że może wykorzystać kolejne wektory, takie jak wewnętrzne interfejsy wejścia / wyjścia, których kontroler używa do bezpośredniej komunikacji z komponentami robota (np. DeviceNet przez CANbus, jak w kontrolerach ABB). Wnioskując – ze względu na fizyczne aspekty ten profil jest znacznie silniejszy niż atakujący z poziomu sieci.

Dostęp do sprzętu i testowanie ataku

Niektórzy producenci udostępniają oprogramowanie kontrolera bezpłatnie do pobrania ze swoich stron internetowych (np. oprogramowanie kontrolera dla robotów ABB zawiera się w RobotWare, części pakietu oprogramowania RobotStudio). Dzięki temu, cyberprzestępcy mają zapewniony łatwy dostęp do oprogramowania i inżynierii wstecznej oraz wykrycie luk w zabezpieczeniach. Co więcej, mogą oni pokusić się o testy exploitów ponieważ wielu dostawców dystrybuuje symulatory niektórych części kontrolera (jak w przypadku pakietu oprogramowania ABB). Stwarza to atakującym warunki do uruchomienia symulowanych wersji oprogramowania działającego w rzeczywistości na kontrolerze robota.

Niektórzy dostawcy (np. COMAU i Kuka) dostarczają swoje oprogramowanie tylko klientom. To już stanowi pewne wyzwanie bowiem aby zgrać oprogramowanie z samego kontrolera potrzeba co najmniej tymczasowego fizycznego dostępu. Ale i to utrudnienie jest do obejścia. W wielu przypadkach, w celu ułatwienia konserwacji i aktualizacji software’u jest on załadowywany z wymiennej karty pamięci, takiej jak MultiMediaCard (MMC). Rodzi to potencjalną możliwość wycieku zawartości przez firmę, która ma dostęp do oprogramowania robota w ramach umowy o pomoc techniczną. Warto odnotować, że niekoniecznie wymaga to podniesionych uprawnień ani zaawansowanych kompetencji. Wiedza na temat uzyskania tych informacji i krótkoterminowego dostępu do fabrycznej sieci robotów jest zwykle wystarczająca.

W przypadkach starannie zaplanowanych operacji, atakujący mogą pokusić się o zakup fizycznych części robotów bądź ich kontrolerów. Badacze z Trend Micro i Politechniki Mediolańskiej twierdzą, że nie jest to wcale takie trudne ani kosztowne. Wystarczy wiedzieć, gdzie szukać. Jako że na ataki na infrastrukturę przemysłową porywają się głównie doświadczeni przestępcy, prawdopodobnie posiadają dobre rozeznanie w temacie tego co mogą zdobyć. Co więcej, przy zewnętrznym finansowaniu, koszty przestają grać główną rolę.

Koniec części pierwszej

W części drugiej omówimy ataki specyficzne dla robotów przemysłowych, przedstawimy możliwe scenariusze zagrożeń i rekomendacje odnośnie poprawy bezpieczeństwa w środowiskach przemysłowych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *