Ein Roboter-Gesicht aus einem 3D-Drucker, angezeigt durch Vodafone auf der Technologie-Messe CEBIT in Hannover, Deutschland, Juni 2018.Bild: AP
Security-Experten haben festgestellt, Tausende von Fällen, in denen Besitzer von 3D-Druckern Ihre Geräte online verfügbar und ohne die Notwendigkeit für die Authentifizierung. Das macht remote-Zugriff auf 3D-Drucker, die bequem, aber wow, was für eine schreckliche Idee gegeben, das enorme Potenzial für Missbrauch.
SANS Internet Storm Center (ISC) hat eine Warnung herausgegeben für die Nutzer von OctoPrint, eine open-source-web-interface für 3D-Drucker. Dieses Produkt gibt dem Benutzer remote-Zugriff auf Ihre 3D-Drucker, so dass Sie Steuern und überwachen alle Funktionen des Druckers aus der Ferne, so lange wie Sie Zugang zum internet haben.
Die OctoPrint logoImage: OctoPrint
Es ist super bequem, aber der ISC entdeckt hat mindestens 3,759 Fälle, in denen Benutzer haben bewusst Ihre 3D-Drucker über das internet erreichbar sein, ohne die Notwendigkeit für die Authentifizierung (D. H. die Anmeldung mit einem Benutzernamen und Passwort). Der Großteil der Nutzer (42 Prozent) sind in den Vereinigten Staaten, die anderen sind in Deutschland, Frankreich, Großbritannien und Kanada. Erkennen ungesicherten Drucker, oder jedem ungesicherten Gerät für diese Angelegenheit, ist relativ einfach, Dank tools wie Shodan, eine Suchmaschine für internet-verbundene Geräte. Das ist genau wie die ISC erkannt diese 3,759 ungesicherten Maschinen.
“Also, was kann schief gehen mit dieser Art von Schnittstelle? Es ist nur ein weiteres, nicht authentifizierten Zugriff auf ein online-Gerät”, schreibt der ISC in seiner Warnung. “Sicher, aber die Drucker-Besitzer könnte es sich sehr schlecht Situationen.”
Schlechte Situationen, in der Tat. Unsicher 3D-Drucker einzuführen, die eine Vielzahl von verlockenden Möglichkeiten für skrupellose hacker.
Zum Beispiel, die OctoPrint-Schnittstelle kann verwendet werden, um laden Sie die print-Anweisungen geladen, im inneren ein 3D-Drucker, die in unverschlüsselten G-code-format. Dies bedeutet, dass sensible print-Anweisungen und Geschäftsgeheimnisse könnten leicht gestohlen werden. Auch mit Authentifizierung komplett deaktiviert, könnte ein hacker hochladen eine G-code Datei an einen Drucker und, vorausgesetzt, die Maschine ist geladen und bereit zu gehen, drucken Sie eine gewünschte 3D-Objekt. Imagine waking up in den morgen zu finden, dass Ihr 3D-Drucker wurde verwendet, um produzieren eine Pistole oder ein sex-Spielzeug.
Aber das ist kein Witz—das problem mit der anfälligen 3D-Drucker ist eigentlich viel ernster. Schreiben in Reaktion auf das ISC aufmerksam, die Entwickler von OctoPrint hatte dies zu sagen:
Setzen OctoPrint auf das öffentliche internet ist eine schreckliche Idee, und ich kann wirklich nicht oft genug sagen. Lassen Sie uns darüber nachdenken für einen moment, oder zwei, oder sogar drei. OctoPrint ist ein Drucker angeschlossen, komplett mit Motoren und Heizungen. Wenn ein hacker irgendwo wollte, einen Schaden zu tun, Sie konnte. Die meisten Drucker können Ihre firmware geflasht über USB. Also sobald die box hosting OctoPrint ist beeinträchtigt, es gehen alle scheitern safes in die firmware integriert. Alles würde man tun müssen, ist flash eine neue, bösartige firmware mit keine Sicherheiten, über USB, und dann sagen Sie dem Drucker zu halten, die Heizung, was zu einem katastrophalen Versagen. Es gibt natürlich noch andere Gründe, um nicht eine OctoPrint-Instanz zur Verfügung, die auf das öffentliche internet, wie sensible Daten vor Diebstahl, aber katastrophalen Fehler ist bei weitem der Schlimmste Fall hier.
Tatsächlich, es gibt noch schlimmere Szenarien zu prüfen.
Da die G-code-Datei heruntergeladen werden kann, könnte es sein, angepasst und hochgeladen, wieder in den gleichen Drucker. Die geänderten Anweisungen könnte dazu führen, dass verschiedene physikalische Parameter für das gedruckte Objekt, Gefährdung der Integrität und Sicherheit der Endprodukte. Wieder einmal, 3D-Waffen in den Sinn kommen, aber auch Stücke für Drohnen oder andere mechanische Gerät erfordert stabile, zuverlässige Teile.
Dies ist eine Frage, die schlechte Konfiguration seitens des Benutzers, und nicht um einen Fehler der software OctoPrint (obwohl ein starkes argument gemacht werden kann, dass Benutzer sollte nicht die Möglichkeit haben, machen OctoPrint verfügbar über das öffentliche internet ohne Authentifizierung). Die Firma eigentlich warnt den Benutzer vor dem Zugriff ohne Authentifizierung; das Niveau der ungesicherten Zugang ist nicht der Standard-Modus, dass der Benutzer zu haben, die speziell ausgewählt wurden.
Aber auch in Fällen, in denen access control aktiviert ist, werden anonyme Benutzer können immer noch die gelesen-nur Teile der Benutzer-Schnittstelle, die ist nicht ideal. Stattdessen OctoPrint die Entwickler empfehlen, dass Benutzer betrachten eine andere form der remote-Zugriff, wie die OctoPrint-Anywhere-plug-in, Polar Cloud, VPNs und andere Lösungen.
“Das deckt nur OctoPrint, natürlich, das erhöht die Möglichkeit, dass die Eigentümer mit anderen 3D-Drucker-monitoring-software sein könnte, den gleichen Fehler,” John E. Dunn, Autor bei Naked Security, treffend feststellt.
Kein Zweifel, die aktuelle situation ausgesetzt 3D-Drucker können noch viel schlimmer als diese 3,759 Instanzen, und mit mehr und mehr Zeug, immer mit dem internet verbunden, ist es klar, dass die Nutzer müssen sich zusammenreißen, wenn es um die Sicherung Ihrer Geräte. Aber die Entwickler haben eine Rolle zu spielen, auch durch die Erziehung Ihrer Verbraucher und die Beseitigung der gefährlichen Sicherheits-Einstellungen.
Andernfalls könnte es dazu führen, dass einige schwerwiegende Probleme, jetzt und in der Zukunft. Vorstellen, in einem schrecklichen hypothetisches Beispiel, ein Szenario, in dem Tausende von ungesicherten 3D bioprinters gehackt wurden und zu produzieren tödlichen übertragbaren Viren, Funken eine Globale Pandemie.
Wie ich schon sagte, das ist kein Witz.
[Über Naked Security]