Een robot gezicht van een 3D printer, weergegeven door Vodafone op de technologiebeurs CEBIT in Hannover, Duitsland, juni 2018.Afbeelding: AP
Beveiliging deskundigen hebben vastgesteld dat duizenden gevallen waarin eigenaren van 3D-printers hebben hun apparaten online beschikbaar zijn en zonder dat het nodig is voor authenticatie. Dat maakt zeker van op afstand toegang tot 3D-printers handig, maar wow, wat een verschrikkelijk idee gegeven het enorme potentieel voor misbruik.
SANS Internet Storm Center (ISC) heeft een waarschuwing gepubliceerd voor gebruikers van OctoPrint, een open-source web-interface voor 3D-printers. Dit product geeft gebruikers toegang tot hun 3D-printers, waardoor ze de controle en toezicht op alle functies van de printer uit de verte, zo lang als zij toegang hebben tot het internet.
De OctoPrint logoImage: OctoPrint
Het is super handig, maar de ISC heeft ontdekt ten minste 3,759 gevallen waarin gebruikers hebben bewust hun 3D-printers toegankelijk is via het internet zonder dat verificatie (d.w.z. in te loggen met een gebruikersnaam en wachtwoord). Het grootste deel van deze gebruikers (42 procent) zijn in de Verenigde Staten, de andere in Duitsland, Frankrijk, het verenigd koninkrijk en Canada. Het opsporen van onbeveiligde printers, of onbeveiligde apparaat voor die kwestie, is het relatief eenvoudig dankzij tools als Shodan, een zoekmachine voor het internet aangesloten apparaten. Dat is precies hoe de ISC gedetecteerd dat deze 3,759 onbeveiligde machines.
“Dus, wat kan er mis gaan met dit soort interface? Het is gewoon een andere niet-geverifieerde toegang tot een online-apparaat”, schrijft de ISC in haar alert. “Zeker, maar de printer eigenaren kunnen worden geconfronteerd met de zeer slechte situaties.”
Slechte situaties, inderdaad. Onzeker 3D-printers te introduceren tal van prikkelende mogelijkheden voor de gewetenloze hacker.
Bijvoorbeeld, de OctoPrint interface kan worden gebruikt voor het downloaden van de print instructies geladen in een 3D-printer, die is in niet-gecodeerde G-code-indeling. Dit betekent dat gevoelige print instructies en bedrijfsgeheimen kan gemakkelijk worden gestolen. Ook met authenticatie volledig uitgeschakeld, kan een hacker zou kunnen uploaden van een G-code bestand naar een printer en, uitgaande van de machine is geladen en klaar om te gaan, drukt u een gewenste 3D-object. Word wakker in de ochtend te vinden dat uw 3D-printer werd gebruikt voor het produceren van een pistool of een seks speeltje.
Maar dit is geen grap—het probleem met kwetsbare 3D-printers is eigenlijk veel ernstiger. Schrijven in antwoord op de ISC-alert, de ontwikkelaars van OctoPrint had te zeggen dit:
Zet OctoPrint naar het openbare internet is een vreselijk idee, en ik kan niet genoeg benadrukken dat genoeg. Laten we denken over dit voor een moment of twee, of zelfs drie. OctoPrint is aangesloten op een printer, compleet met motoren en verwarmingselementen. Als sommige hacker ergens wilde doen wat schade, ze konden. De meeste printers kunnen hun firmware geflashed via USB. Dus zodra de doos hosting OctoPrint in gevaar wordt gebracht, er gaan niet kluis ingebouwd in de firmware. Zou het te maken hebben, is flash een nieuwe, kwaadaardige firmware met geen garanties, via USB, en dan vertellen de printer te houden verwarming, leiden tot katastrofisch mislukking. Natuurlijk zijn er andere redenen om niet op een OctoPrint exemplaar beschikbaar op het openbare internet, zoals gevoelige gegevens te stelen, maar catastrofale mislukking is veruit het slechtste geval hier.
Eigenlijk zijn er zelfs slechter scenario ‘ s te overwegen.
Omdat de G-code bestand kan worden gedownload, aangepast kan worden, en weer geüpload naar dezelfde printer. De gewijzigde instructies kan resulteren in verschillende fysieke parameters voor het geprinte object, afbreuk te doen aan de integriteit en veiligheid van het eindproduct. Nogmaals, 3D geweren komen voor de geest, maar ook stukken voor drones of elk ander mechanisch apparaat vereisen een stabiele, betrouwbare onderdelen.
Dit is een probleem van slechte configuratie van de zijde van de gebruiker, en niet op een storing van de OctoPrint software (hoewel een sterk argument kan worden gemaakt dat gebruikers niet moeten hebben van de optie van het maken van OctoPrint beschikbaar op het openbare internet zonder dat verificatie). Het bedrijf eigenlijk waarschuwt haar gebruikers met toegang zonder verificatie; dit niveau van onbeveiligde toegang is niet de standaard modus, waarin de gebruiker op hebben specifiek gekozen.
Maar zelfs in die gevallen waar access control is ingeschakeld, kunnen anonieme gebruikers nog steeds zie de read-only onderdelen van de gebruikersinterface, en dat is niet ideaal. In plaats daarvan, OctoPrint de ontwikkelaars raden gebruikers denken over een andere vorm van toegang op afstand, zoals de OctoPrint Overal plug-in, Polar Cloud, Vpn ‘ s, en andere oplossingen.
“Dit heeft alleen betrekking op OctoPrint, natuurlijk, dat verhoogt de mogelijkheid dat eigenaren met andere 3D-printer monitoring software kan maken van dezelfde fout,” John E. Dunn, een schrijver op Naked Security, treffend punten uit.
Zonder twijfel, de huidige situatie met zichtbare 3D-printers kunnen veel erger zijn dan deze 3,759 gevallen, en met meer en meer dingen verbinding maken met het internet, dan is het duidelijk dat de gebruikers nodig hebben om hun act samen als het gaat om het beveiligen van hun apparaten. Maar ontwikkelaars hebben een rol te spelen in deze, ook door het opleiden van hun consumenten en het elimineren van gevaarlijke beveiligingsinstellingen.
Het nalaten dit te doen kan leiden tot een aantal ernstige problemen, zowel nu en in de toekomst. Stel je voor, in een gruwelijke hypothetische voorbeeld, een scenario waarin duizenden van ongedekte 3D bioprinters werden gehackt en gemaakt om te produceren dodelijke overdraagbare virussen, vonken van een wereldwijde pandemie.
Zoals ik al zei, dit is geen grap.
[Via Naked Security]