Populær open source-software til robotter er plaget af sårbarheder
Når talen falder på robotsikkerhed, er der som regel tale om de fysiske sikkerhedsforanstaltninger, der gør, at du ikke bliver kørt over af en mobil robot, eller får en tung robotarm i hovedet.
I dag har et utal af sensorer og avancerede sikkerhedsløsninger gjort det muligt at flytte robotterne ud af deres afskærmede bure og ud blandt medarbejdere i industrien.
Til gengæld halter det noget mere med cybersikkerheden. I hvert fald hvis man spørger den spanske Alias Robotics, der har specialiseret sig i cybersikkerhed for robotter.
Senest har Alias Robotics dokumenteret en stribe sårbarheder i det populære open source-system ROS. Selvom ROS står for Robot Operating System, så er det ikke et traditionelt styresystem..
Det er snarere et stort softwarebibliotek og en række åbne værktøjer til at bygge robotapplikationer med, som derefter let kan afvikles på de properitære operativsystemer, som de enkelte leverandører har udviklet.
»Navnet er lidt et levn fra gamle dage. Det er snarere et software- framework og bliver også kaldt for middleware, fordi det forbinder hardwaren, f.eks. motorer og sensorer, med den software, der er udviklet specifikt til en applikation. ROS gør det let for udviklere at afprøve nye applikationer på tværs af forskellige operativsystemer og hardwareleverandører,« siger Kasper Camillus Jeppesen, specialist i robotteknologi ved Teknologisk Institut.
ROS er oprindelig udviklet på Stanford University i USA i 2007 og var de første år primært et værktøj for robotforskere og studerende på tværs af universiteter. Siden er der kommet en bedre struktur på udviklingen af kernemodulerne i ROS, og kvaliteten er nu så høj, at det kan bruges i kommercielle robotter.
Navnlig den seneste opgradering til ROS2, der blev frigivet i 2020, har øget brugen af ROS, og i dag er det sjældent at købe en kommerciel robot uden en ROS-driver. ROS er utrolig udbredt, bl.a. fordi det bruges af alle universiteter, der arbejder med mekatronik, hvor hardware i form af sensorer og motorer skal programmeres med software.
»Fordi ROS er open source, vil det også ofte være det foretrukne valg for startups, og mange kender det allerede fra universitetet,« siger Kasper Camillus Jeppesen.
Robot Operating System er et middleware-system bestående af en lang række softwarebiblioteker og værktøjer til at bygge robotapplikationer med. ROS er skrevet i programmeringssprogene C og Python og er open source under en BSD-licens. Systemet vedligeholdes af organisationen Open Robotics.
Opdatering gav bagslag
De mest kritiske sårbarheder i ROS2 er fundet i implementeringen af den nye kommunikationsprotokol, Data Distribution Service (DDS), som ellers er udpeget som en af de største fordele ved opgraderingen til ROS2.
DDS er en standard udviklet til distribution af data mellem realtidskritiske systemer og bruges i dag i eksempelvis fly, trafikstyringssystemer og medicinske applikationer – og nu også i robotter.
»ROS1 var efterhånden præget af rigtig mange funktioner og features, hvilket gjorde det svært at opretholde kvalitetssikring af de mange biblioteker. ROS2 er designet til at være langt mere robust, bl.a.fordi man bruger DDS, som er en afprøvet kommunikationsprotokol, der anvendes i industrien i forvejen,« siger Kasper Camillus Jeppesen.
Det betyder at det fremover bliver lettere at udvikle applikationer til multirobotkommunikation. Men som Alias Robotics påpeger, er der også en bagside ved at introducere DDS.
Sammen med andre sikkerhedsforskere på universiteter og i virksomheder har Alias Robotics fundet 13 sårbarheder, hvoraf nogle er kategoriseret som kritiske.
Konkret er sårbarhederne fundet på tæt ved 650 enheder, som befinder sig i 34 forskellige lande og fordeler sig over forskellige brancher og virksomheder. Det er alt lige fra Nasa i USA til kinesiske cloudtjenester hos Huawei, den tyske industrigigant Siemens og en række universiteter.
I alt er 100 organisationer omfattet. Og det er bare de kendte eksempler, som er fundet via den åbne søgemaskine Shodan. Her kan man se, at forkerte DDS-implementeringer betyder, at man kan få adgang til private IP-adresser og URL’er, der burde være hemmelige.
»DDS er en middleware, som i vid udstrækning må betragtes som en usikker kommunikationsteknologi, der anvendes på områder, hvor sikkerhed er meget vigtig,« siger Víctor Mayoral-Vilches, CEO i Alias Robotics.
Sårbarhederne betyder, at udefrakommende eksempelvis vil kunne lave såkaldte denial of service-angreb med det formål at overbelaste robotten, ligesom det er muligt at sikre adgang til enheder via fjernadgang, hvis robotten er udstyret med en IP-adresse, der er forbundet med det åbne internet.
Det er i sig selv ikke nyt eller nødvendigvis bekymrende, at der findes sårbarheder og bugs i softwareværktøjer som ROS. Ifølge Alias Robotics er problemet snarere, at det tager lang tid, fra en sårbarhed bliver kendt, til den lukkes af robotproducenter, integratorer eller slutbrugere.
»Flere af sårbarhederne har været kendt længe, endda i årevis, så cyberkriminelle kunne bruge dem til at paralysere kritisk infrastruktur med verden over. Robotproducenterne prioriterer deres forretning og fortsætter med at ignorere cybersikkerhed,« siger Víctor Mayoral-Vilches.
Ifølge Alias Robotics tager det i gennemsnit mellem to og fem år at få lukket en sårbarhed. Selv hvis der findes en offentlig patch, der lukker en sårbarhed, er det langtfra sikkert, at slutbrugeren får implementeret den, fordi der ikke er faste procedurer for jævnlige sikkerhedsopdateringer af robotter. Alias Robotics understreger, at situationen ikke er særegen for den danske robotindustri, men snarere er udtryk for en mere generel umodenhed over for cybersikkerhed i robotindustrien.
Fynske robotter kan hackes
Det er ikke første gang, at Alias Robotics kritiserer det tempo, som robotindustrien lukker sårbarheder med. I 2019 præsenterede selskabet en række sårbarheder og bugs, som de mener gør robotter fra fynske Universal Robots til oplagte mål for hackere og cyberkriminelle. Den information har virksomheden delt med Universal Robots ad flere omgange.
Dengang viste Alias Robotics hvordan de med et USB-stik kunne kryptere og overtage kontrollen med en UR3-robot fra Universal Robots. Det skete på robotkonferencen ROS-Industrial Europe Conference, hvor de demonstrerede, at den type angreb også er mulige, hvis en hacker har adgang til et netværk, der fysisk er forbundet med robotten og altså ikke kun via et USB-stik. Den software har fået navnet Akerbeltz og er den første kendte ransomware, som er målrettet industrirobotter.
Universal Robots var dengang ikke umiddelbart imponerede over Alias Robotics’ fremgangsmåde og forklarede, at virkeligheden i industrien ikke er, som Alias Robotics beskrev den.
»Vores robotter bliver betjent i lukkede netværk i produktionsmiljøer uden forbindelse til omverdenen via åbne netværk. Vores robot er en slags værktøj, der supplerer produktionslinjen. Hvis du køber en robot og sætter et USB-stik i den, så kan du godt demonstrere, at man kan tilegne sig adgang til robotten, men sådan en situation opstår ikke i praksis,« fortalte Thomas Stensbøl, daværende kommunikationschef i Universal Robots til Ingeniøren i 2020. Den situation er fortsat gældende i dag, lyder vurderingen fra Teknologisk Institut.
Den danske robot- og automationsindustri omsatte i 2021 for 21,1 milliarder kroner. Den største virksomhed er Universal Robots, der fremstiller små robotarme, der også er kendt som samarbejdende robotter, der kan arbejde uden afskærmning. Den næststørste er MiR, der fremstiller mobile robotter til logistik.
»Langt hovedparten af de robotter, uanset om det er robotarme eller mobile robotter, er kun koblet på lukkede netværk uden adgang til omverdenen, og vi har endnu ikke set ransomwareangreb målrettet robotter,« siger Kasper Camillus Jeppesen.
Den lokale netværksarkitektur skyldes ikke kun it-sikkerhed, men også udfordringer med trådløse forbindelser.
I dag er hovedparten af mobile robotter ikke forbundet med cloudtjenester, da de trådløse netværksforbindelser ikke er stabile nok til at kunne levere de nødvendige garanterede svartider. Derfor er regnekraften placeret lokalt ude på robotten, som kun har behov for at hente opgavelister ind fra den centrale flådestyring over wi-fi.
Selv hvis en udefrakommende hacker skulle få held til at overtage flådestyringen, ville det være umuligt at overskrive de gældende sikkerhedsregler, da de kun kan betjenes lokalt på robotten og derfor kræver fysisk tilstedeværelse ved robotten.
I et nyt stort forskningsprojekt arbejder Aalborg Universitet sammen med en projektpartner på at udvikle lokale edge-løsninger, hvor robotterne kommunikerer med en lokal edge-server over 5G. Det forudsætter dog, at det bliver et lukket privat 5G-net uden direkte opkobling til teleselskabernes offentlige mobilnetværk.
Alias Robotics har ikke offentliggjort detaljerne af de sårbarheder, der er fundet i DDS-implementeringen, men det burde ikke være umuligt at få patchet sårbarheden, så længe der er tale om ROS- eller leverandørimplementeringen og ikke selve standarden, mener Kasper Camillus Jeppesen.
»DDS er en bred standard, og det er kun dele af funktionaliteten der er implementeret i ROS2 via DDS-leverandører. Hvis der er en sårbarhed i implementeringen på ROS2-siden, vil det være op til Open Robotics (den organisation, der vedligeholder ROS og ROS2, red.), og hvis det er en sårbarhed i en bestemt DDS-implementering, vil det være op til DDS-leverandøren at få lukket hullet,« siger robotspecialisten fra Teknologisk Institut.
Version2 byder endnu engang it-ansvarlige og -specialister velkommen til to spændende dage i København med 100 seminarer og mere end 3.000 deltagere, der mødes for at blive opdateret på den nyeste viden om it-sikkerhed, cloudløsninger og compliance.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
