Noll
Xavier Mertens/SANS ISC
Nästan 3,800 3D-skrivare har lämnats synliga på internet utan ett lösenord, två säkerhetsforskare från SANS ISC organisation har varnat för i förra veckan.
Den gemensamma länken mellan alla skrivare som är ett open-source projekt som heter OctoPrint. Detta projekt är en gratis webb-gränssnitt för att vissa 3D-skrivare tillverkarna har bäddat med sina enheter för att tillåta användare fjärråtkomst utskrift stationer.
Den OctoPrint-gränssnittet erbjuder ett brett utbud av funktioner, till exempel möjligheten att ladda ner och ladda upp 3D-modeller (som .gcode-filer), men också förmågan att visa webbkamera foder, om 3D-skrivare som stöder en sådan funktion.
Men SANS ISC forskarna Richard Porter och Xavier Mertens säga att tusentals 3D-skrivare sporting en OctoPrint gränssnitt har varit slarvigt utsatta på nätet, så att vem som helst att ändra skrivarens inställningar.
De två menar att ett sådant beslut från enheternas ägare är fullständig dårskap. Vem som helst kan få tillgång till dessa skrivare och stjäla 3D-modeller laddas upp på OctoPrint gränssnitt.
Dessa 3D-modeller inte är krypterade, och angripare kunde mycket lätt att använda 3D-rendering programvara för att rekonstruera den ursprungliga komponenter, eventuellt avslöja privat eller konfidentiell information om outgivna produkter.
Se även: 1990-talet teknik utsätter 32,000 smarta hem och företag att utnyttja
Men företag stöld är bara en av de möjliga scenarier. Sabotage är en annan. Porter och Mertens också hävda att en illvillig konkurrent kan ladda ner en rival 3D-modell, göra en liten ändring, och åter ladda upp modellen på den exponerade OctoPrint gränssnitt, lämnar offret att skriva ut hundratals eller tusentals felaktiga eller trasiga produkter.
Dessutom, tillgång till en 3D-skrivare webbkamera kan också avslöja ytterligare detaljer om tillverkningsprocessen, detaljer som man normalt inte avslöjas genom att ladda ner en 3D-modell fil, och som också kan avslöja diverse annan tillverkning hemligheter.
De två forskarna är inte fearmongering. Akademisk forskning som publiceras i 2016 förutspådde och lyfte fram de risker som kommer från spridning av Internet-ansluten 3D-skrivare bland dagens tillverkningsindustrin. Porter och Mertens iakttagelser bara bekräfta vad akademiker har förutspått år innan.
Se också: Nya Hakai IoT botnet tar fasta på D-Link, Huawei, och Realtek-routrar
Men den största frågan är att söka efter utsatt skrivare är relativt enkelt tack vare verktyg som Shodan, en sökmotor för Internet-anslutna enheter.
Hitta 3D-skrivare som har en utsatt OctoPrint gränssnitt kräver en noggrant utformad sökfråga, men resultaten kommer att innehålla information som IP-adresser och nätverket namn, vilket ger en angripare en allmän uppfattning om skrivaren befinner sig. Nästan 3,800 3D-skrivare med OctaPrint gränssnitt finns tillgängliga online idag.
Mertens/SANS ISC
Visa den faktiska OctoPrint gränssnitt kräver endast att komma åt IP-adress på port 5000, standard OctoPrint web interface-port.
Detta är egentligen inte så komplicerat. En hastig sökning genom denna reporter snabbt identifierat två 3D-skrivare hör till två AMERIKANSKA tillverkare, som belyser faran med att som vissa företag och systemadministratörer är att utsätta sig själva.
CNET: IoT-attacker är värre — och ingen lyssnar
“Saker som skrivare, oavsett om det skrivs ut i 2D-eller 3D – inte hör hemma på internet,” Gina Häußge, skaparen och upprätthållaren av OctoPrint projektet, berättade ZDNet i en intervju.
“Tyvärr många användare aktivt ignorera sådana rekommendationer”, tillade hon. “Vi måste utbilda användare, så att de inte tar onödiga risker för enkelhetens skull.”
För sin del, OctoPrint publicerade ett blogginlägg denna vecka med goda råd för 3D-skrivare ägarna om hur de kunde skydda sina enheter mot obehörig åtkomst, men ändå tillåta fjärråtkomst till behörig personal.
Men blogginlägg påpekar också att stöld av immateriell egendom är inte heller det värsta som kunde hända. Till exempel, för angripare utifrån kunde uppflamning enhetens firmware och göra skada på 3D-skrivaren själv. Om detta resulterar i en brand, som det hände innan med 3D-skrivare, kan detta också leda till förstörelse av hela fabriker om bränder få ut av kontroll.
Men saker och ting behöver inte når detta stadium om enhet ägarna att agera och säkert någon utsätts instrumentpaneler innan det är för sent.
Samma råd gäller för alla enheter, inte bara 3D-skrivare. Det finns inget bra som kan komma från att någon admin panel för varje typ av anordning som utsätts online.
Relaterade Ämnen:
Internet of Everything
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0