Эксперты: Роботы способны шпионить за хозяевами и наносить им вред

Безопасность
мобильная версия
, Текст: Антон Труханов

Согласно данным нового исследования, современные роботы, применяющиеся в разных областях, крайне уязвимы для атак хакеров. Злоумышленники могут использовать уязвимости в этих устройствах для кражи данных или даже причинения физического ущерба.


Большинство современных роботов уязвимы для атак хакеров

Многие современные роботы с недостаточной системой защиты от хакеров могут быть взломаны и использованы для того, чтобы причинить физический ущерб владельцу или же шпионить за ним. Об этом говорится в новом отчете от компании IOActive Labs.

Согласно данным отчета, в рамках которого эксперты компании исследовали десять роботов, предназначенных для использования в различных сферах, от домашних устройств до индустриальных и сервис-роботов, многие из них имеют серьезные уязвимости, которые делают их легкими целями для целенаправленных атак хакеров или случайных утечек данных.

По оценке экспертов IOActive Labs, проверенные ими роботы обладали целым рядом уязвимостей, среди которых незащищенные каналы связи, проблемы с аутентификацией, слабая криптография и отсутствие авторизации. По словам Сезара Серрудо (Cesar Cerrudo), технического директора IOActive Labs, многие современные роботы страдают от тех же проблем с отсутствием должных систем безопасности, что и устройства интернета вещей, медицинские девайсы, «умные» машины и роботы-игрушки.

Уязвимости, обнаруженные у роботов: незащищенные каналы связи, проблемы с аутентификацией, слабая криптография и отсутствие авторизации

«Мы обнаружили около пятидесяти уязвимостей кибербезопасности в компонентах экосистемы роботов, многие из которых являются весьма распространенными», — говорится в отчете IOActive Labs. В рамках своего исследования специалисты IOActive проанализировали технические компоненты роботов, а также программное обеспечение, которое используется для их работы.

Роботы поставляются со слабыми системами защиты по умолчанию

В частности, отметил Серрудо, весьма распространенной проблемой в безопасности роботов оказались слабо защищенные конфигурации по умолчанию, которые делают роботов уязвимыми для утечек данных и DDoS-атак. «Мы обнаружили роботов с незащищенными функциями, которые нельзя было легко отключить или заблокировать, а также с простыми паролями, заданными по умолчанию, которые было трудно или вообще невозможно поменять», — сказал он.

В ходе более подробного исследования экосистем роботов выяснилось, что многие их них используют открытые фреймворки и библиотеки, которые обладают множеством широко известных уязвимостей. «В сообществе производителей роботов весьма распространен обмен программными фреймворками, библиотеками, операционными системами и прочими компонентами разработки и программирования этих устройств. Это не плохо само по себе, если такое ПО безопасно, но, к сожалению, это не наш случай», — говорится в отчете IOActive Labs.

Роботов могут использовать для причинения физического ущерба

Эксперты также отмечают, что опасности, связанные со взломом роботов, достаточно уникальны, так как многие такие устройства частично автономны и могут самостоятельно передвигаться, а также непосредственно воздействовать на окружение. «Сейчас их опасность ограничена по сравнению с тем, на что роботы будут способны в будущем. Взломанный автономный робот может передвигаться по помещению до тех пор, пока это позволяет батарея. Таким образом, хакеры могут воровать ценные данные или даже наносить физический вред объектам или людям», — отметил Серрудо.

«На сегодняшний день нам неизвестны случаи взломов роботов. Но безопасность тех роботов, которые подверглись нашему тестированию, оказалась очень слабой. Мы ожидаем, что в будущем, когда роботы станут более распространены, киберпреступники будут осуществлять атаки на них с целью заработка», — говорят авторы исследования.

«Действительно, можно согласиться с авторами отчета и опрошенными специалистами в том, что угрозы безопасности для различной робототехники вполне реальны. Смотря на вопрос шире, можно отметить, что роботы являются частью процессов автоматизации производственной деятельности и, как следствие, выступают объектами воздействия для различных автоматизированных систем управления технологическими процессами (АСУТП), представляющих собой в современных условиях достаточно сложно устроенные и порой весьма крупные и разветвленные сетевые инфраструктуры с большим количеством различных устройств в своем составе и большими объемами передачи информации», — прокомментировал Дмитрий Купецкий, системный инженер компании Fortinet.

Как отметил эксперт, системы АСУТП являются высококритичными с точки зрения чувствительности к задержкам в передаче данных, обеспечению постоянной связности узлов сети, отсутствия сбоев и других параметров. Это обусловлено тем, что любое нарушение в работе такой системы может привести к самым тяжелым последствиям: от технологических и техногенных аварий до экологических катастроф и т.д. С другой стороны, различные устройства, образующие инфраструктуру АСУТП, в том числе и разного рода промышленные роботы, весьма ограничены в своих собственных вычислительных ресурсах – производители делают упор на максимальную надежность и простоту, стараясь не вносить лишние возможные точки отказа в работу таких систем и не делая акцент на возможных защитных механизмах. Применяются наиболее доступные, простые и нетребовательные операционные системы и ПО, не имеющие в своем составе каких-либо надежных средств защиты, а ресурсы системы в целом не позволяют развернуть дополнительные средства.

«Стоит отметить, что при обучении обслуживающего системы АСУТП персонала, акцент также делается не на обеспечение безопасности (с точки зрения данных), а в первую очередь на надежность и безотказность работы технологического процесса, обслуживаемого системой. Это приводит к тому, что не применяются даже самые элементарные механизмы защиты, такие как смена паролей по умолчанию, закрытие неиспользуемых протоколов передачи, контроля административного доступа и прочее. Совокупность этих факторов дает свой закономерный результат: высокая критичность работы систем АСУТП с одной стороны, не позволяющая зачастую вносить какие-либо изменения в процесс работы, и низкие возможности по реализации каких-либо механизмов защиты непосредственно для узлов, составляющих такие системы – с другой стороны, приводят к весьма низкому уровню защищенности и высокой уязвимости системы в целом и отдельных ее узлов в частности», — считает Дмитрий Купецкий.