Trend Micro - Securing Your Journey to the Cloud

one site fits all

Gefährliche Roboter: Austesten
der Sicherheitsgrenzen Industrieroboters

Das Forward-looking Threat Research (FTR) Team von Trend Micro in Zusammenarbeit mit den Forschern des Politecnico di Milano (POLIMI)

Gefährliche Roboter: Austesten der Sicherheitsgrenzen Industrieroboters Vorführung von Angriffen auf Industrieroboter in heutigen Smart Factories

Die moderne Welt setzt bereits häufig Industrieroboter ein. Doch ist das derzeitige Roboter-Ökosystem sicher genug, um Cyberangriffen widerstehen zu können?


Können Roboter kompromittiert werden?


Industrieroboter haben in vielen umfangreichen Produktions- und Fertigungsaktivitäten die Menschen ersetzt, sind sie doch effizienter, genauer und sicherer. Diese mechanischen, programmierbaren Geräte sind mittlerweile in allen Industriebereichen im Einsatz – im Automobilbau, bei der Fertigung von Flugzeugteilen, beim Zusammensetzen von Nahrungsmitteln und sogar in der öffentlichen Dienstleistung.

In naher Zukunft werden Roboter ein allgegenwärtiger Teil moderner Fabriken sein. Deshalb müssen wir uns bereits jetzt die Frage stellen, ob das derzeitige Ökosystem der Industrieroboter sicher genug ist, um Cyberattacken abzuweisen. Dieser Frage ist das Forward-looking Threat Research (FTR) Team gemeinsam mit Forschern des Politecnico di Milano (POLIMI) nachgegangen und hat die Angriffsfläche heutiger Industrieroboter untersucht. Mehr noch, die beiden Teams zeigten, dass es tatsächlich möglich ist, die Systeme zu kompromittieren.

Der Angriff, der in folgendem Video dokumentiert ist, wurde unter Laborbedingungen mit einem tatsächlich funktionierenden Roboter vorgenommen. Der für die Angriffsvorführung gewählte Roboter ist aufgrund der architektonischen Gemeinsamkeiten zwischen den meisten modernen Industrierobotern und dem Vorhandensein von strengen Standards repräsentativ für eine breite Klasse von Industrierobotern.

Ein Industrieroboter ist ein „automatisiert kontrollierter, reprogrammierbarer, Mehrzweck-Manipulator, der mit drei oder mehr Achsen programmiert und entweder fest oder mobile in industriellen Automatisierungsanwendungen eingesetzt werden kann”.

Welche roboterspezifischen Angriffe sind möglich?

Für das Funktionieren eines Industrieroboters müssen mehrere Teile korrekt zusammenarbeiten. Ein Programmierer oder Bediener kontrolliert das Gerät normalerweise durch High-Level Befehle über ein Netzwerk (über eine Remote Zugangsschnittstelle) an einen Controller. Dieser Controller, der nichts Anderes als ein Computer ist, übersetzt dann die Befehle in Low-Level Inputs für die verschiedenen Komponenten des Roboterarms, der sie interpretiert und ausführt.

Industrieroboter sollen eine hochgradig sichere, genaue und einheitliche Leistung bringen. Jede Abweichung von diesen betrieblichen Anforderungen, sollte sie durch einen digitalen Angriff ausgelöst sein, kann es einem Angreifer ermöglichen, die Kontrolle über den Roboter zu übernehmen. Wir konnten fünf Angriffsklassen festlegen, wenn ein Angreifer es schafft, eine von mehreren, in den Architekturen und Implementierungen der Roboter entdeckten Schwächen auszunutzen.

In unserer umfassenden Sicherheitsanalyse stellten wir fest, dass die in Industrierobotern laufende Software veraltet ist, auf angreifbaren Betriebssystemen und Bibliotheken beruht, manchmal auf obsolete oder schwache Verschlüsselungsbibliotheken vertraut und schwache Authentifizierungssysteme einsetzt mit standardmäßigen, nicht zu verändernden Zugangsinformationen. Darüber hinaus fand das Trend Micro FTR Team zehntausende Industriegeräte (engl.), die unter öffentlichen IP-Adressen zu finden waren, die Industrieroboter der Gefahr aussetzen könnten, dass ein Angreifer darauf zugreift und sie kompromittiert. Die Anbieter, mit denen wir eng zusammengearbeitet haben, nahmen unsere Ergebnisse sehr ernst und zeigten sich geneigt, die heutige und künftige Generation von Industrierobotern besser zu sichern.

Angriffsklassen und deren Beschreibung

Angriff 1: Ändern der Parameter des Controllers

Der Angreifer ändert das Kontrollsystem, sodass der Roboter dem Willen des Angreifers gehorchend unerwartete oder ungenaue Aktionen ausführt.
Konkrete Auswirkungen: Schadhafte oder geänderte Produkte
Missachtete Anforderungen: Sicherheit, Integrität, Genauigkeit

Wird geladen ...
Wiedergabe

Angriff 2: Manipulieren der Kalibrierungsparameter

Der Angreifer ändert die Kalibrierung, damit der Roboter dem Willen des Angreifers gemäß unvorhergesehene oder ungenaue Bewegungen ausführt.
Konkrete Auswirkungen: Schaden am Roboter
Missachtete Anforderungen: Sicherheit, Integrität, Genauigkeit

Wird geladen ...
Wiedergabe

Angriff 3: Ändern der Produktionslogik

Der Angreifer manipuliert das Programm, das der Roboter ausführt, um Fehler in das Werkstück einzufügen.
Konkrete Auswirkungen: Schadhafte oder geänderte Produkte
Missachtete Anforderungen: Sicherheit, Integrität, Genauigkeit

Wird geladen ...
Wiedergabe

Angriff 4: Ändern des für den Bediener relevanten Roboterstatus

Der Angreifer ändert die Statusinformationen, dass der Bediener den wahren Status des Roboters nicht kennt.
Konkrete Auswirkungen: Verletzung des Bedieners
Missachtete Anforderungen: Sicherheit

Wird geladen ...
Wiedergabe

Angriff 5: Ändern des Status des Roboters

Der Angreifer ändert den wahren Status des Roboters, sodass der Bediener die Kontrolle verliert oder verletzt werden kann.
Konkrete Auswirkungen: Verletzung des Bedieners
Missachtete Anforderungen: Sicherheit

Wird geladen ...
Wiedergabe

Welche Ziele verfolgen diese Angriffe?

Über obige Angriffe sind die folgenden Szenarien möglich:

  • Verändertes Produktionsergebnis oder Sabotage: Belikovetsky, et al. konnten zeigen, wie das Einfügen von praktisch unsichtbaren Defekten in ein Produkt zu einer Fehlfunktion führt.
    3D-gedruckter Drohnenrotor (oben: nicht sabotiert, unten: sabotiert von Belikovetsky, et al.)
  • Ransomware-artige Vorhaben: Angreifer könnten Produkte ändern, dann den Hersteller kontaktieren und mit der Drohung die beschädigten Produkte zu veröffentlichen erpressen.
  • Physischer Schaden: Ein Angreifer, der einen Roboter kontrolliert, kann seine Teile beschädigen oder gar Menschen verletzen, die damit arbeiten, wenn er beispielsweise Sicherheitsgeräte außer Kraft setzt oder sie stark verändert.

    (links: ein typischer Tablet-Bildschirm, der einen Roboterarm kontrolliert; rechts: derselbe Bildschirm, der zeigt, dass der Roboter in „motor off” oder „manual mode” ist, wenn er im „auto” oder „motor on”-Modus ist)
  • Eingriff in den Prozess einer Produktionslinie: Ein Angreifer kann bewirken, dass ein Roboterarm sich fehlerhaft verhält, und damit Schäden an den in der Produktionsstraße hergestellten Teilen hervorrufen oder auch einen Flaschenhals verursachen, der dann finanzielle Auswirkungen hat.
  • Exfiltrierung kritischer Daten: Roboter speichern manchmal kritische Daten (z. B. Source Code oder Informationen über Produktionszeitpläne und -mengen) einschließlich von Betriebsgeheimnissen.

Welche Maßnahmen sind möglich?

Standards für Industrieroboter müssen Bedrohungen der Cybersicherheit genauso mit einbeziehen, wie es der ICS- und Automotive Bereich getan hat. Netzwerkverantwortliche müssen ein tiefgehendes Verständnis für die herausragende Position von Industrierobotern entwickeln, um sie absichern zu können. Roboter haben eine sehr lange Lebensdauer, und das bedeutet, dass Hersteller in der Lage sein müssen, Sicherheits-Updates für alle aktuell eingesetzten Versionen zu liefern, was nicht immer der Fall sein könnte. Darüber hinaus könnte es zu Problemen mit Ausfällen oder potenziellen Verzögerungen bei Software-Updates kommen, sodass die Systeme nicht schnell genug die Patches erhalten.

Trend Micros technisches Whitepaper (PDF) behandelt noch weitere Herausforderungen und gibt Empfehlungen für eine verbesserte Sicherheitsstrategie für Industrieroboter-Ökosysteme. Im Zusammenhang mit der Beschäftigung mit der Sicherheit für Roboter in Industrie 4.0-Umgebungen nahm Trend Micro auch Kontakt zu Herstellern auf. Vor allem ABB Robotics nahm unsere Empfehlungen gern auf und startete bereits ein Projekt, das die aktuelle Produktlinie zeitnah betrifft.

Weitere technische Details aus der Forschung, einschließlich der entdeckten Schwachstellen (die den Herstellern gemeldet wurden), werden beim Symposium on Security and Privacy in San Jose des Institute of Electrical and Electronics Engineers (IEEE) publiziert.