En robot ansigt fra en 3D-printer, der vises af Vodafone på teknologimessen CEBIT i Hannover, Tyskland, juni 2018.Billede: AP
Sikkerhed eksperter har kortlagt tusindvis af tilfælde, hvor ejere af 3D-printere, der har gjort deres enheder, som er tilgængelige online og uden brug af godkendelse. Der helt sikkert giver remote adgang til 3D-printere, der er praktisk, men wow, hvad en forfærdelig idé i betragtning af det enorme potentiale for misbrug.
SANS Internet Storm Center (ISC) har udsendt en advarsel til brugere af OctoPrint, en open-source web-interface for 3D-printere. Dette produkt giver eksterne brugere adgang til deres 3D-printere, giver dem mulighed for at styre og overvåge alle funktioner i deres printer langvejs fra, så længe de har adgang til internettet.
Den OctoPrint logoImage: OctoPrint
Det er super praktisk, men ISC har opdaget mindst 3,759 tilfælde, hvor brugerne har bevidst sat op deres 3D-printere til at være tilgængelige via internettet uden brug af godkendelse (dvs logge ind med brugernavn og adgangskode). Hovedparten af disse brugere (42 procent) er i Usa, hvor de andre er i Tyskland, Frankrig, STORBRITANNIEN og Canada. Påvisning af usikrede printere, eller nogen usikrede enhed for den sags skyld, er forholdsvis let takket være værktøjer som Shodan, en søgemaskine til internet-tilsluttede enheder. Der er netop, hvordan ISC opdaget disse 3,759 usikrede maskiner.
“Så, hvad der kan gå galt med denne form for interface? Det er bare en anden ikke-autoriseret adgang til et online enhed,” skriver ISC i sin indberetning. “Sikker, men printeren ejere kunne ansigt meget dårlige situationer.”
Dårlige situationer, faktisk. Usikre 3D-printere indføre et væld af spændende muligheder for skrupelløse hackere.
For eksempel, OctoPrint grænsefladen kan bruges til at hente udskrive vejledningen er lagt inde i en 3D-printer, som er i ukrypteret G-code-format. Dette betyder, følsomme udskriv anvisninger og forretningshemmeligheder kunne nemt blive stjålet. Også, med godkendelse deaktiveret helt, en hacker kan uploade en G-code-fil til en printer, og, forudsat, at maskinen er læsset og klar til at gå, udskrive den ønskede 3D-objekt. Forestil dig at vågne op i morgen for at finde ud af, at din 3D-printer, der anvendes til at fremstille en pistol eller en sex-legetøj.
Men dette er ingen joke—problemet med sårbare 3D-printere er faktisk meget mere alvorlig. Du skriver i et svar til ISC alarm, udviklerne af OctoPrint havde dette at sige:
At sætte OctoPrint på det offentlige internet er en forfærdelig idé, og jeg kan virkelig ikke understrege det nok. Lad os tænke over det et øjeblik, eller to eller tre. OctoPrint er tilsluttet til en printer, komplet med motorer og varmeapparater. Hvis nogle hacker et eller andet sted ønskede at gøre nogle skade, de kunne. De fleste printere kan have deres firmware blinkede over USB. Så snart max hosting OctoPrint er blevet kompromitteret, vil der gå nogen undlader pengeskabe er bygget ind i firmwaren. Alle ville man være nødt til at gøre, er flash en ny, ondsindet firmware med ingen garantier, over USB, og derefter fortæller printeren, for at holde varme, der fører til katastrofale fejl. Selvfølgelig er der andre grunde til ikke at have en OctoPrint eksempel på det offentlige internet, sådan som følsomme data, tyveri, men katastrofal fiasko er langt den værste fald her.
Faktisk, der er endnu værre scenarier til at overveje.
Fordi G-code-fil kan downloades, det kunne være justeret og uploadet tilbage i den samme printer. Den ændrede instruktioner kan resultere i forskellige fysiske parametre for den trykte objekt, og som kan kompromittere integriteten og sikkerheden af det endelige produkt. Igen, 3D kanoner kommer til at tænke, men også i stykker, og droner, eller enhver anden mekanisk anordning, som kræver en stabil, pålidelig dele.
Dette er et spørgsmål om dårlig konfiguration på den del af brugeren, og ikke en fejl af OctoPrint software (selv et stærkt argument kan gøres, at brugerne ikke har mulighed for at gøre OctoPrint er tilgængelige på det offentlige internet uden godkendelse). Virksomheden faktisk advarer sine brugere mod at muliggøre adgang uden godkendelse; dette niveau af usikrede adgang er ikke standard tilstand, der kræver, at brugeren har specifikt valgt det.
Men selv i de tilfælde, hvor access control er aktiveret, anonym brugerne kan stadig se read-only dele af brugergrænsefladen, der ikke er ideelle. I stedet, OctoPrint ‘ s udviklere anbefaler, at brugere overveje en anden form for remote access, som OctoPrint Overalt plug-in, Polar Cloud, Vpn og andre løsninger.
“Det dækker kun OctoPrint, selvfølgelig, hvilket øger muligheden for, at ejere hjælp andre 3D-printer overvågning software kunne være at gøre den samme fejl,” John E. Dunn, en forfatter på Nøgne Sikkerhed, rammende påpeger.
Ingen tvivl om, at den nuværende situation med synlige 3D-printere, vil muligvis være meget værre end disse 3,759 tilfælde, og med flere og flere ting bliver forbundet til internettet, er det klart, at brugerne har brug for at få deres handling sammen, når det kommer til at sikre deres enheder. Men udviklerne har en rolle at spille i dette, for, ved at uddanne deres forbrugere og fjerne farlige sikkerhedsindstillinger.
Undladelse af at gøre dette kan resultere i nogle alvorlige problemer, både nu og i fremtiden. Forestil dig, i en rædselsvækkende hypotetisk eksempel, et scenarie, hvor tusindvis af usikrede 3D bioprinters blev hacket og lavet til at producere dødelige smitsomme vira, gnister en global pandemi.
Som jeg sagde, det er ingen joke.
[Via Naked Security]