Fynske robotter kan afpresses med ransomware

10 kommentarer.  Hop til debatten
Fynske robotter kan afpresses med ransomware
Illustration: Bernie123/Bigstock.
Et spansk sikkerhedsfirma viser, hvordan de kan overtage kontrollen med robotter fra danske Universal Robots ved hjælp af ransomware-software, der er målrettet flere år gamle sårbarheder.
Reportage27. december 2019 kl. 07:00
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Verdens første afpresningssoftware målrettet industrirobotter har set dagens lys, og det første mål er fynske Universal Robots.

Det spanske sikkerhedsfirma Alias Robotics, der er specialiseret i it-sikkerhed for industrirobotter, viste, hvordan de med et USB-stick kan kryptere og overtage kontrollen med en UR3, som er den første generation af den danske robotproducent Universal Robots' samarbejdende robot.

Det skete på robotkonferencen ROS-Industrial Europe Conference i Stuttgart i midten af december.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
10 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
10
31. marts 2020 kl. 15:58

This action is motivated by our mission to Eliminate Zero Days from robotics, and all inaction of manufacturers in cybersecurity. Contributions are more than welcome. As somebody said above (from my dansk translate), let's stop this April's fools before a serious incident happens.

9
31. marts 2020 kl. 15:56

Hey there,

I hope all is well in Denmark and you stay healthy amidst this pandemics. Its Endika, from Alias Robotics.

Long story short and after a series of interactions with Universal Robots A/S no action has been taken to fix any of the security vulnerabilities that we showcased above. In an action to create awareness in the rest of the players of the value chain, Alias Robotics is launching this week the "Universal Robots bug week" where all these security flaws will be showcased daily and open for the public once our Responsible Disclosure period has ended.

Find more here: https://news.aliasrobotics.com/week-of-universal-robots-bugs-exposing-insecurity/

7
17. januar 2020 kl. 09:40

Hello Peter,

Malware is also actionable via adjacent networks. Of course, this is provided the robot is connected to any.

6
17. januar 2020 kl. 09:35

Hello everyone,

This is Víctor from Alias Robotics, the company behind the publication of Akerbeltz. Our team noticed this discussion, went through some of the claims and I must say we're terribly dissapointed with the reaction from the vendor so far. We notified last year Universal Robots several vulnerabilities and later after a period of inactivity (as it's usual with UR and happened in the past, refer to IOActive's work), we demonstrated it publicly. Akerbeltz is actionable via physical attack vectors (e.g. a USB) and also via adjacent networks. Any industrial internal network where such a robot is connected is currently vulnerable given how easy is to compromise these robots.

After several non-assertive answers from the vendor, we decided to further report publicly about this behavior at a robotics industrial conference. See https://news.aliasrobotics.com/alias-robotics-talks-security-at/ for the whole speech.

We kindly ask users of Universal Robots' technology to refer to https://arxiv.org/pdf/1912.07714.pdf for further insight. Reproducing some basic form of our work does not require high technical skills. We encourage Universal Robots to adopt a more serious attitude towards security and specially, to stop ignoring proactive and responsible security reports from researchers in this community.

5
30. december 2019 kl. 19:34

Det med "en ansat" og en USB-pind er der jo et ret kendt eksempel på ;-). Det vigtige her er, at det (formodentlig) kræver fysisk adgang til robotten at foretage angrebet. Det er en kraftig tærskel, sammenlignet med at være sårbar over (inter)nettet. Hvis robotten opdager angrebet og dens reaktion på et angreb så er at den begår "harakiri", så er der ikke noget sikkerhedsproblem her. Der er selvfølgelig et problem for virksomheden når de står og mangler en robot, men det er grundlæggende et rent økonomisk problem. Derudover kan der dog være en "kattelem" ind. Nogle sysztemer er i stand til at tilgå en USB-lagerenhed på en server, som sad den direkte på udstyret. Hvis det er tilfældet her så er der et problem. Det kan meget vel være at at det er et ægte kundekrav at man skal kunne lægge et nyt program på robotten ved bare at sætte en USB-pind i, uden at der skal gøres mere. Hvis det er tilfældet står vi overfor det velkendte behaelighed <-> sikkerhed skisma.

4
30. december 2019 kl. 17:07

Svaret fra UR ligner til forveksling en aprilsnar.

Mvh Lars C PL Brake

3
27. december 2019 kl. 17:41

Bare for at læse artiklen. Ikke på nærværende tidspunkt noget om brugerbetaling. (Ved godt at det med brugerbetaling gør sig gældende for visse andre artikler) Hvad er mon meningen med, at denne artikel kræver login? Er det for (nemmere) at kunne hente oplysninger på jeres brugere? Big brother lurer stadig derude et sted :-(

2
27. december 2019 kl. 16:18

Kan sårbarheden udnyttes via netværket eller kun via USB?

Hvis den kun kan udnyttes via USB så kræver det fysisk adgang til robotten. Og hvis man har fysisk adgang til robotten og har planer om at udføre hærværk så kan man jo også bare tage en hammer og smadre robotten.

Med mindre angriberen tænkes at snyde en ansæt til at sætte en inficeret USB i robotten?

1
27. december 2019 kl. 11:39

Kan sårbarheden udnyttes via netværket eller kun via USB?