Forældet software. Dårlig kryptering af filer. Genbrugte certifikater. Og en meget løssluppen brug af default-passwords.
Det var en ren Pandoras Æske, som en gruppe forskere fra Milanos polytekniske Universitet, Politecnico di Milano, fik åbnet for, da de sammen med it-sikkerhedsfirmaet Trend Micro for nylig satte sig for at teste, hvor let det egentlig er at hacke en industrirobot.
Forskergruppen har testet sårbarheden i en række gængse robotsystemer fra førende producenter som Fanuc, ABB, Kawasaki og Mitsubishi, og resultatet er mildt sagt ikke specielt opløftende, konkluderer forskerne i en ny rapport.
Blandt andet viste en række selv forholdsvis overfladiske analyser, at robotternes styresystem kører på ofte forældet og dermed sårbar software som Linux 2.6 og Microsofts .NET SDK 3.5 med mangelfulde digitale signaturer i form af dårligt beskyttede admin-passwords.
Ydermere fandt forskerne, at mange robotter kunne hackes via såkaldte servicebokse, som et stigende antal robotter på markedet er koblet op på. De gør det muligt for producenten at opnå fjernadgang til robottens data eller udføre vedligehold online. Men disse servicebokse fungerer grundlæggende som routere, der kan hackes og bruges til såkaldte botnet-angreb, hvor en større gruppe af netopkoblede enheder inficeres med spyware.
I en anden undersøgelse fandt Trend Micro således titusindvis af enheder på nettet, som benyttede sig af offentlige IP-adresser.
Og hvad så? Hvad skade kan en enkelt hacket robot gøre?
Jo, som forskergruppen selv beskriver det i rapporten, regner International Federation of Robotics med, at der i 2018 kan være 1,3 millioner industrirobotter i brug på verdensplan. Og allerede i dag benyttes industrirobotter til fremstilling af potentielt kritiske emner inden for defence-, pharma- og bilindustrien.
Det kan få konsekvenser hele vejen ned gennem værdikæden, hvis en hacker eksempelvis får held til at hacke en industrirobot på en bilfabrik og programmere den til at lave eksempelvis graverings- eller svejsefejl.
Helt konkret lykkedes det for forskergruppen at hacke en ABB-robot ved at lave reverse-engineering på controller-softwaren RobotWare og RobotStudio-softwaren, så robotten blev programmeret til at tegne en 2 millimeter skæv linje frem for en helt lige linje.
Derudover nævner rapporten, at en hacker kan have held til at pille ved eksempelvis en robotcontrollers kalibreringsindstillinger, så robotten bevæger sig irrationelt med risiko for personskader – et potentielt voksende problem, i takt med at flere og flere industrirobotter – blandt andre Universal Robots’ robotceller – i dag anvendes uden afskærmning i produktioner.
Endelig nævnes risikoen for industrispionage. Eller at en fabrik bliver udsat for et ransomware-angreb og skal betale en løsesum for at frigivet én eller flere hackede robotter.
Forskerne understreger i øvrigt, at flere af de robotproducenter, som omtales i rapporten – herunder ABB – i mellemtiden har lappet hullerne i deres respektive software.
