Development

Security
Robots

5 redenen waarom robots veiligheid bedreigen

Robots blijken gemakkelijker objecten om te hacken en leveren meer gevaar dan andere IoT-apparaten

12 april 2017

Robots blijken gemakkelijker objecten om te hacken en leveren meer gevaar dan andere IoT-apparaten

De inzet van robots in verschillende aspecten van het maatschappelijk leven groeit de komende jaren spectaculair. Omdat de roep om veiligheid 'vanaf het ontwerp' tegenwoordig steeds vaker klinkt, verwacht je dat bij een relatief nieuwe technologie als robots dat aspect veel aandacht krijgt. Dat blijkt niet het geval.

Over drie jaar wordt er wereldwijd 188 miljard dollar uitgegeven aan robotics, verwacht IDC. De ontwikkeling in robotica gaat ook razendsnel, als de groei in beschikbaar risicodragend kapitaal daar maat voor is. In 2016 werd 1,9 miljard dollar geïnvesteerd in nieuwe projecten tegen 587 miljoen in 2015. Al die aandacht zorgt er niet voor dat de nieuwe technologie ook veilig is, constateert IOActive in het rapport Hacking robots before Skynet.

De auteurs Cesar Cerrudo en Lucas Apa van het IT-beveiligingsbedrijf onderzochten in hoeverre een variatie aan robots voor gebruik in huis, bij bedrijven en in de industrie te hacken zijn. "Je ziet nu al dat er forse cybersecurityproblemen zijn als gevolg van apparaten die het internet of Things (IoT) vormen. Wanneer je denkt aan robots als computers met armen, benen of wielen, zijn het opeens IoT-apparaten die ook nog eens veel kinetische energie hebben. Daardoor kan de impact van een hack groter zijn dan we ooit hebben meegemaakt. 

Robot-ecosysteem biedt enorm aanvalsvlak

De robots bestaan bovendien uit een heel ecosysteem: het fysieke apparaat, de firmware, de software, de besturing op afstand, de netwerkaanbieder en clouddiensten. "Het volledige ecosysteem biedt een enorm aanvalsvlak met talloze opties voor hackers", stellen de auteurs.

IOActive vond in het onderzoek 50 kwetsbaarheden. Dat lijkt een substantieel aantal, maar het is belangrijk er op te wijzen dat onze test zeker geen diepe, extensieve security audit is, waarschuwen de auteurs. "Ons doel was een idee op hoofdlijnen te krijgen hoe onveilig robots vandaag zijn", stellen ze in hun blog. Het rapport moet bijdragen aan een betere beveiliging en helpen te voorkomen dat bedrijfsleven en consumenten ernstig schade wordt berokkend.

Dit zijn de 5 belangrijkste groepen gevaren die zijn vonden:

Onveilige communicatie

Veel robots versturen hun informatie onveilig. Als er al encryptie wordt toegepast, is het een zwakke vorm van encryptie of waren er problemen met de inrichting.

Authenticatie

Veel van de onderzochte robots hadden geen of een zwakke manier om te voorkomen dat anderen dan de eigenaren toegang krijgen tot de apparaten. De auteurs vonden robots waarbij het niet nodig was een gebruikersnaam en wachtwoord op te geven alvorens de robot te programmeren of er opdrachten naar te verzenden. In sommige gevallen waar wel sprake was van authenticatie, was het mogelijk toegang te krijgen met een fout wachtwoord.

Autorisatie

De meeste robots die wel over authenticatie beschikken, maken geen verschil tussen de gebruikers. Op die manier kan iedereen die de robot gebruikt, deze ook zonder toestemming voorzien van nieuwe software en deze volledig controleren.

Privacy problemen

De auteurs kwamen verschillende keren tegen dat robots zonder toestemming te vragen aan de gebruiker, privacygevoelige informatie over de gebruikers naar externe servers sturen. Dan gaat het bijvoorbeeld over locatiegegevens en informatie over het mobiele netwerk. De gebruiker moet volgens de auteurs altijd op de hoogte zijn van gegevensoverdracht ten behoeve van monitoring.

Default configuratie

Veel robots bevatten standaard instellingen met onveilige instellingen die niet of niet makkelijk kunnen worden aangepast of beter beveiligd. Het gaat bijvoorbeeld om wachtwoord-instellingen.

Het volledige onderzoeksrapport is als pdf te downloaden van de site van IOActive.

Zie ook Development op AG Connect Intelligence
Reactie toevoegen