智慧應用 影音
IBM
event

趨勢科技:連網工業機器人易遭駭客入侵

遭網路駭客攻擊的工業機器人,可能導致產品瑕疵,引發事故或災難。法新社

工業機器人可程式化(Programmable)、具備高精確度、安全性及效率,已逐步應用於各產業領域的生產自動化。物聯網(IoT)及工業4.0(Industry 4.0)的發展,使得連網的工業機器人日益增加,因此產業界應該嚴肅檢視工業機器人是否能承受網路攻擊,並從標準及設計層面修補安全漏洞。

據recode報導,趨勢科技前瞻威脅研究(Forward-looking Threat Research;FTR)小組與米蘭理工大學(Politecnico di Milano)合作,探索目前工業機器人可能存在的安全漏洞,進行實際入侵測試,並於2017年5月發表技術報告《Rogue Robots: Testing the Limits of an Industrial Robot’s Security》,為工廠及機器人製造商提供改善安全的對策及可行的建議。

工業機器人必須精確的依照工廠為其編制的程序指令作業,方能製造出可靠的產品。假設機器人在製造某個汽車零件時,發生一個小錯誤,那怕僅是與原始設計差之毫釐,即可能導致車輛發生故障或意外事故。

隨著近年來物聯網及工業4.0(發展,越來越多工廠讓機器人連上網際網路,以利進行遠端監測操控及軟韌體更新,然而網際網路並不永遠是安全的,任何連線的裝置,包括機器人都可能遭受駭客攻擊。

FTR小組對工業機器人主要製造商艾波比(ABB)、發那科(Fanuc)、川崎重工(KHI)、三菱電機(Mitsubishi)及安川電機(Yaskawa)的產品進行詳盡的安全性分析,發現主要漏洞存在於工業機器人運行的軟體,包括作業系統(OS)及程式庫(Library)、採用預設且無法改變的安全認證(Credential),使得工業機器人容易遭受以下幾類攻擊。

第一類攻擊,駭客入侵機器人的控制系統,更改控制器(Controller)參數,使得機器人無法依照原本編程的指令運作,導致產品出現缺陷或被改造,進而影響安全性、完整性及準確性。

第二類攻擊,駭客入侵機器人,竄改其校正(Calibration)參數,使得機器人的運作產生誤差或不正常,導致機器人損壞,進而影響產品的安全性、完整性及準確性。

第三類攻擊,駭客竄改工廠原本編程的製造邏輯(Production Logic)指令,可能使得生產中的半成品有瑕疵或產生製程瓶頸,除了導致財務損失,產品亦會出現缺陷或被改造,進而影響安全性、完整性及準確性。

第四類攻擊,駭客變更機器人工作狀態的顯示資訊,使得生產線的操作員得到錯誤的機器人狀態,可能導致操作員受傷,影響安全性。

第五類攻擊,駭客變更機器人實際的工作狀態,使得生產線的操作員無法控制機器人或掌握正確的機器人狀態,可能導致操作員受傷,影響安全性。

此外FTR小組發現包括工業機器人在內,有數萬工業裝置使用公共IP(Public IP),這些暴露於公開網路的裝置將更容易被駭客入侵。對於要求高度安全性、完整性、可靠性及準確性的產品,駭客的破壞即使只是造成幾乎無法察覺的細微缺陷,都可能導致故障。

而就像勒索軟體(Ransomware)的伎倆,駭客可能會以透露遭其入侵而受影響的產品訊息為條件,向製造者進行勒索。此外駭客入侵可能導致儲存在機器人的敏感資料外洩,包括原始碼、生產時程、產量資訊及其他產業機密等。

雖然僅ABB實際出借機器人供FTR小組測試,但由於現代工業機器人在架構上有共通性,且須遵守嚴格的工業標準,因此可能的安全漏洞應該大同小異。FTR小組首先編程讓ABB的工業機器人畫一條直線,接著透過不安全的網路連線入侵機器人,改變編制的程序指令,導致機器人畫直線時偏離2公釐。

若機器人正在焊接車輛底盤或飛機機翼,2公釐的誤差就可能釀成大災難。ABB非常重視FTR小組的研究成果,除了立即著手修補目前發現的安全漏洞,並對確保未來世代工業器人的安全性表現積極開放態度。

趨勢科技發現,許多機器人的安全漏洞其實並不難修補,但有部分問題則主要跟機器人當初並未設計為要連上網路有關;此外有些工業機器人系統使用不需變更的預設使用者名稱及密碼,有的則是完全不需密碼。因此工業機器人標準必須將網路安全威脅及存取認證的安全性列入考量。

上述認證問題使得工業機器人容易遭受如Mirai之類的惡意軟體攻擊,正因全球數十萬連上網際網路的裝置,均有硬體編碼的使用者名稱及密碼,以至於Mirai得以感染這些裝置遂行攻擊。

網路防護程式必須深入了解工業機器人在安全顧慮的獨特性,由於工業機器人的生命週期極長,製造商須為目前部署的所有版本提供即時安全更新,此外亦須考慮客戶對Downtime或軟體更新可能帶來變化的疑慮,以致未能及時修補系統漏洞的情況。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 趨勢科技 工業機器人