O lado obscuro da impressão 3D: desafios, riscos e usos maliciosos (parte 2)

ElevenPaths    4 julio, 2019
O lado obscuro da impressão 3D: desafios, riscos e usos maliciosos (parte 2)

A tecnologia de impressão 3D está revolucionando os processos de fabricação e seus entusiastas imaginam um futuro onde cada lar e empresa tenha ao menos um desses dispositivos, o que transformaria a maneira como produzimos, consumimos e reciclamos os objetos. Mas, que riscos de cibersegurança são os mais prováveis de acontecer nesse cenário? Espionagem, malware, destruição, criação de armas. Depois de analisar os riscos relacionados à modificação não autorizada dos arquivos e firmware, vamos conhecer os outros nesse post.

Exposição à internet ou redes inseguras

Ao conectar uma impressora 3D à internet ela se converterá automaticamente em um dispositivo da Internet das Coisas (IoT). Qualquer novo acesso à rede, seja diretamente ou através de middleware, se aumenta a superfície de ataque, expondo novas debilidades de segurança.

Um exemplo prático deste problema é o Octoprint, um projeto open source para administração web remota de impressoras 3D. O software se conecta a impressora e permite desde iniciar novos trabalhos de impressão até ver e gravar uma impressão atual usando uma webcam. Recentemente foi encontrada uma falha de segurança na aplicação, quando ela não for bem configurada e exposta à internet na qual um usuário não autorizado poderia obter acesso de administrador ao controlador e à impressora 3D. Para além dos problemas inerentes na indústria, imagine uma impressora doméstica que, invadida, poderia ser reprogramada para sobreaquecer, criar um curto-circuito ou ficar fora de serviço. Ela também poderia ser utilizada para carregar arquivos de impressão maliciosos como o mencionado na vulnerabilidade de firmware Marlin, que permitiram a tomada de controle do equipamento.

Roubos de modelos e arquivos de impressão confidenciais

Os projetos de impressão 3D em indústrias como a de aviação ou automóveis tem desenvolvimento complexo, custos altíssimos e características muito específicas, que demandam tempo e esforço de projeto, prototipagem, testes de resistência e integridade antes de chegar à versão final. Esses modelos são confidenciais e o problema é que a maioria doas arquivos de impressão 3D não contam com criptografia nativa, um atacante com acesso não autorizado poderia compartilhar tais projetos, vende-los no mercado negro ou mesmo reproduzi-los em outro equipamento gerando prejuízos econômicos e de reputação à empresa vítima do ataque.

As armas fabricadas através de impressão 3D também são uma preocupação crítica já que, se um atacante tiver aceso aos seus desenhos, a empresa dona do projeto poderia ser responsabilizada se ele fosse roubado e usado indevidamente para imprimir uma arma para ser utilizada em algum tipo de ataque (ainda que, claro, isso dependa da legislação de cada país).

Impressão de peças com fins maliciosos

Os pesquisadores e especialistas em segurança da informação seguem encontrando maneiras cada vez mais criativas da utilização de impressoras 3D. Uma pesquisadora, por exemplo, já utilizou esse tipo de equipamento para produzir um compartimento secreto em seus sapatos que podem ocultar ferramentas de hacking. Outro utilizou uma cabeça impressa em 3D para burlar o sistema de reconhecimento facial do Android, já em sites de impressão 3D como o Thingiverse se pode encontrar desde drones desenhados para pentesters até o famoso cartão de Kevin Mitnick com michas.

Criminosos também podem utilizar a tecnologia de impressão 3D para imprimir armas ou peças potencialmente perigosas como as seguintes:

  • Skimmers: um carder é um tipo de criminoso focado na fraude com cartões de crédito, que tenta roubar a informação digital ou física dos cartão seja em terminais de pagamento ou em caixas automáticos para criar cópias falsas. Com uma impressora 3D, é muito mais fácil criar um dispositivo que clone cartões de crédito que se pareça com um leitor de cartões normal.
  • Duplicação de chaves normais ou mestras: na Alemanha uma impressora 3D foi usada para reproduzir chaves que eram consideradas ter alta segurança. Em uma experiência no MIT, bastou fazer uma tomografia para imprimir cópias de chaves de uma marca que diz ser impossível de copiar. Também são conhecidos desenhos 3D que podem imprimir chaves mestras de bagagem aprovadas pela TSA, inclusive no Thingiverse pode-se encontrar projetos de decodificadores de chave para duplicar chaves domiciliares. Disponibilizar os projetos não é ilegal, mas criminosos poderiam utilizar suas especificações para cometer algum crime.
  • Distribuição de drogas: grupos de traficantes, como o DougHefferman, usam impressão 3D para produzir cartuchos de tinta, caixas de maquiagem e cartuchos de jogos falsos para esconder e entregar drogas aos seus usuários sem despertar suspeitas.
  • Falsificação: a impressão 3D permite materializar quase qualquer objeto de acordo com um modelo desenhado por seu usuário local, baixado da internet ou copiado. Como explicado acima, se esses modelos são roubados de empresas legítimas, compartilhados ou vendidos por criminosos, podem ser usados para falsificação e pirataria de produtos.

Conclusões e Recomendações

Parte da solução deve vir da própria indústria de impressão 3D que deveria adotar as melhoras práticas de desenvolvimento seguro para software e firmware que evitem vulnerabilidades. Empresas e proprietários individuais destes equipamentos também desempenham um papel importante na proteção do seu dispositivos e podem tomar as seguintes atitudes:

  • Utilizar corretamente um firewall, configurado para além das políticas padrão que limite o acesso à impressora na rede em que ela se encontra. Se possível, não se deve conectar a impressora 3D à Internet e caso isso não possa ser evitado, deve-se utilizar pelo menos uma VPN e um segundo fator de autenticação para garantir que só usuários autorizados tenham acesso ao equipamento.
  • Atualizar periodicamente o firmware da impressora 3D e o software utilizado para cada uma das etapas do processo de impressão
  • Proteger os arquivos de impressão e modelos críticos ou confidenciais com controles de acesso adequados, criptografando seu conteúdo e verificando sempre sua integridade antes de utilizá-los para impressão de peças, podendo assim detectar modificações não autorizadas.

A maioria das impressoras 3D são simplesmente computadores com um propósito especial e, por isso, tem os mesmos riscos que qualquer equipamento desse tipo. Ao conectar a impressora à Internet, elas são convertidas em um equipamento IoT e estão expostos ao mundo, podendo ser usadas para atacar outros equipamentos mais críticos da rede.  Em ambientes industriais, as impressoras 3D são ativos extremamente sensíveis, já que fabricam objetos em que se precisa confiar e que, via de regra, são projetos confidenciais. Antes que todos os lares e empresas tenham uma impressora 3D, a indústria deve encontrar uma maneira de mitigar esses riscos de segurança.

Primeira parte do artigo: O lado obscuro da impressão 3D – Parte I

Yamila Levalle
@ylevalle
Innovación y Laboratorio
yamila.levalle@11paths.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *