De vrij kleine IRB 140

Het wordt misschien wel een beetje flauw, maar het kan niet vaak genoeg gezegd worden dat hoe meer web hoe grotere de digitale onveiligheid is. Vooral het internet-der-dingen is link. Voor een deel komt dat doordat bij het verbinden van dingen met het wereldwijde web het met de veiligheid niet zo nauw genomen wordt, maar ook doordat we daarmee (voor de mens) cruciale zaken  blootstellen aan de ondernemingszin van webboeven. Wetenschappelijke e-krakers van het bedrijf Trend Micro en de polytechnische hogeschool in Milaan  hebben nu laten zien hoe je een industriële robot van een paar miljoen saboteert of zelfs overneemt, met alle kwalijke gevolgen van dien. Later deze maand zullen ze over hun onderzoek kond doen op een bijeenkomst van de IEEE.
Het ‘slachtoffer’ was de ABB IRB140-robot.  Die wordt veel gebruikt in de industriële productie van auto’s, voeding en farmaca. De onderzoekers vonden een hele reeks kwetsbaarheden in de besturende computer. Dat maakte het hun mogelijk een hele serie verschillende aanvallen te lanceren, zoals het veranderen van het besturingssysteem van de zo’n 70 000 euro kostende robot met een usb-staaf in de computer tot het ‘fiedelen’ met de gegevens.
Ze slaagden er ook in hun eigen commando’s door te geven aan de robot via internet. “Als je er je eigen code op zet, dan kun je alles veranderen, fouten introduceren, de productie stoppen, wat dan ook”, zegt Frederico Maggi, voorheen van de polytechnische hogeschool in Milaan, maar tegenwoordig actief voor Trend Micro. “Als je dat eenmaal kan dan is je verbeelding de grens.” Zelfs mensen verwonden is dan niet uitgesloten. Ook zou een aanvaller de robot kunnen vernietigen. Om budgettaire redenen hebben ze dat zelf niet uitgeprobeerd. Ook subtielere vormen van sabotage zijn, uiteraard, mogelijk, die economisch net zo hard kunnen uitpakken.

De onderzoekers hebben fabrikant ABB op de hoogte gesteld van hun bevindingen en dat bedrijf zou de lekken hebben gedicht. Volgens Maggi betekent die snelle reparatie niet dat het probleem de wereld uit is. Als hij en zijn collega’s in staat waren om zulke basale fouten te vinden in de IRB 140-besturing, dan zal het bij andere robots wel niet veel anders gesteld zijn, is zijn redenering.
Het bijwerken van programmatuur om, bijvoorbeeld, lekken te dichten, betekent dat die robot op dat moment niet kan produceren en tijd is geld. Bedrijven zouden er daarom vaak voor kiezen om niet bij te werken, zegt Maggi. Daardoor blijven dat soort kwetsbaarheden jaren lang ‘hangen’. Hij denkt dat soortgelijke dingen ook spelen bij krachtiger robots zoals de IRB 460. “We hebben gekeken naar één robot van één fabrikant en vonden kinderlijke kwetsbaarheden, hele simpele. We kunnen onze aanvallen ook op andere robots uitproberen.”

Lekken

Deze onderzoekers zijn niet de eersten die mankementen constateren in de digitale beveiliging van robots. Eerder dit jaar vonden onderzoekers van het adviesbedrijf IOActive  diverse digitale lekken bij industrierobots. Dan ging het om problemen met identificering, zwakke versleuteling, onveilige standaardprogrammatuur en dergelijke. IOActive wilde, uiteraard, niet vrijgeven om welke robots het ging.

Dat alles doet, weer eens, de vraag rijzen waarom prijzige en potentieel gevaarlijke robots aan het wereldwijde web worden gehangen. Gemak(zucht) zal de reden wel zijn, vermoeden de onderzoekers.  Daarmee worden die dure machines blootgesteld aan de risico’s van de verbondenheid zonder dat de digitale veiligheid van die machines daarop is afgesteld. “Je ziet dat met ketels, sloten en lampen”, zegt Mark Nunnikhoven van Trend Micro, “maar hier gaat om heel wat meer.  De werkelijkheid is dat als iets met internet verbonden kan worden dan gebeurt dat ook. Dit onderzoek geeft aan hoe groot de problemen dan zijn.”

Bron: Wired