Industria 4.0, i rischi per la robotica connessa

Il Politecnico di Milano e Trend Micro mettono in luce rischi e minacce per la robotica industriale in un lavoro di ricerca che ha dimostrato la possibilità di attaccare un braccio meccanico e alternarne il comportamento

Roma – È chiamata Industria 4.0, altro non è che la tendenza di portare l’automazione e i processi di controllo industriali verso un modello smart , con lo scopo di migliorare la produttività degli impianti e la qualità dei prodotti. Questo processo comporta la necessità di effettuare una riconversione dei tradizionali sistemi di produzione, al fine di connetterli alla rete Internet per effettuare operazioni di monitoraggio, manutenzione e controllo remoto: una connessione che naturalmente li espone al potenziale sfruttamento di eventuali problemi di sicurezza.

Lo si è dimostrato in una pubblicazione effettuata unitamente dal Politecnico di Milano e da Trend Micro : è possibile per un malintenzionato condurre attacchi mirati al fine di compromettere l’integrità, la sicurezza e l’accuratezza di robot e macchinari industriali.
I ricercatori hanno discusso come sia possibile alterare il funzionamento di un braccio meccanico al fine di produrre danni difficilmente percettibili in fase di controllo della qualità ma con impatti imprevedibili sul funzionamento del prodotto finale.

In particolare, il robot attaccato, prodotto da ABB ed equipaggiato con il software Roboware , era programmato per disegnare una linea perfettamente retta. Tramite tecniche di reverse engineering, i ricercatori sono riusciti ad introdurre mediante un attacco remoto un errore di ben due millimetri , più che sufficienti per creare danni ingenti ad un’intera catena produttiva.
ABB ha prontamente risposto ai ricercatori dimostrandosi disponibile a risolvere le vulnerabilità sfruttate .

La robotica industriale è costituita da dispositivi nativamente concepiti per essere isolati : l’introduzione della connettività internet nel loro ciclo di funzionamento comporta notevoli problemi di sicurezza informatica non contemplati nella realizzazione degli stessi. L’aspetto della connettività viene generalmente gestito tramite delle service box (più di 80000 quelle individuate nella ricerca), ovvero dei dispositivi integrati che espongono i robot in rete come un qualunque router . Costituiscono una vera e propria superficie di attacco: come illustrato nel rapporto di Trend Micro , sono perlopiù caratterizzati da software non aggiornati, credenziali di default mai modificate o talvolta non modificabili, meccanismi di autenticazione deboli e interfacce web implementate in modo non sicuro; niente che un esperto di sicurezza non sia abituato a vedere.
In ambito industriale, tuttavia, vulnerabilità che potrebbero sembrare banali acquisiscono una connotazione interessante: si tratta di un settore in cui i concetti di safety (salvaguardia della salute dell’utente) e di security (salvaguardia del macchinario stesso) si incontrano.

Per meglio trattare questi aspetti, Punto Informatico ha contattato Stefano Zanero , professore associato del Politecnico di Milano che ha partecipato attivamente alla ricerca in oggetto, il quale ci ha gentilmente concesso un ulteriore parere.
Egli ha innanzitutto sottolineato come il ruolo della sicurezza informatica non debba essere quello di blindare la tecnologia impedendone il progresso, bensì quello di permetterne una naturale evoluzione pur mantenendo accettabile il livello di rischio: l’accesso a Internet è una funzionalità fortemente voluta dal modello di business dell’industria 4.0, tuttavia nel momento in cui si decide di adottare questo approccio e di gestire alcuni meccanismi di safety con un approccio software, la valutazione della security acquisisce un ruolo fondamentale.

La compromissione di un robot potrebbe portare a scenari di sabotaggio , alterando il funzionamento dei macchinari o causando un disservizio con l’azionamento di un meccanismo a tutela della salute dell’operatore, ma anche di spionaggio industriale , poiché la semplice lettura di alcuni parametri potrebbe costituire segreto.
A ciò si aggiunge il rischio di danno fisico e la tipologia di minaccia che da diversi anni tiene sotto scacco il settore IT: i ransomware .

Per Zanero l’introduzione di sistemi di monitoraggio in grado di rilevare anomalie di funzionamento può essere un’arma vincente, così come l’adeguamento dell’ assetto normativo e l’adozione di standard ad-hoc possono giocare un ruolo fondamentale. Come specificato anche nel report Trend Micro , per implementare in modo efficace la sicurezza basterebbe agire sulle service box re-ingegnerizzando i protocolli di sicurezza. Gli stessi produttori, tuttavia, una volta venduto il dispositivo, ne perdono spesso il controllo e difficilmente possono intervenire con eventuali patch.

I risultati della ricerca saranno presentati alla prossima conferenza IEEE Security and Privacy 2017 in programma dal 22 al 24 maggio a San Josè. Ulteriori dettagli sono disponibili sul sito RoboSec.org .

Patrizio Tufarolo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Digital Coach Italia scrive:
    H3G
    H3G mi fa pagare 15 euro ogni mese solare e non ogni 28 giorni. Mi da 30 gb al mese e chiamate illimitate.... Rimane ancora il più conveniente per chi cerca più GB di navigazione.
  • dam76 scrive:
    errata corrige
    1,95 *euro*
  • Sapientino scrive:
    Tariffa Scrocco
    la mia tariffa si chiama SCROCCO (il wifi del mio vicino)
  • Mago scrive:
    comando colonizzazione

    colonizzazione Italia -rviColonizzazione in corso 87%premere per velocizzare1 immigrazione2 euro ed europa3 controllo mass media4 corruzione5 globalizzazione 6 capitalismo selvaggio
    • capitan harlock scrive:
      Re: comando colonizzazione
      ti sei dimenticato il capitolo precedente ,quello della preparazione1 prima guerra mondiale2 seconda guerra mondiale3 poverta dilagante ed emigrazione forzata di massa
  • il fischiaro scrive:
    advertising
    in salsa pi
  • MicroShit Supporter scrive:
    CoopVoce
    "Seppur un po' in difetto con la fatturazione ogni 4 settimane (solo Kena Mobile è rimasta fedele al mese completo),"Balle.CoopVoce continua a fatturare "al mese" e non ogni 28 giorni come si sono inventati gli strozzini della telefonia
    • Skywalker scrive:
      Re: CoopVoce
      Non solo:- non fa parte del consorzio Mobilepay (quindi i link ad "abbonamenti" truffaldini non trovano appigli per addebitare la SIM)- la scorsa estate ha implementato le nuove norme di Eurotariff così come previsto dalla normativa europea, senza inventare "pacchetti di roaming a 4 Euro al giorno" attivati "automaticamente"Non sarà un MVNO "cool", ma decisamente più rilassante.
  • ottomano scrive:
    Statene lontani!
    Mi sono trovato malissimo con fastweb mobile. Disservizi di ogni tipo, assistenza telefonica pessima, zero attenzione al cliente.Sto ancora aspettando che mi ridiano i soldi del credito telefonico indietro, dopo che nella portabilità hanno dichiarato che avevo 0 euro!Mai più!E comunque anche TIM fa un'offerta da 1.50 /mese (per la precisione 36 per 24 mesi) con 30 min, 30 SMS e 100 MB (con navigazione che poi scende a 64 kb/s). Uso questa tariffa su un mio secondo numero come emergenza.
    • iRoby scrive:
      Re: Statene lontani!
      Io ho avuto esperienza opposta.Ma io vengo trattato bene forse per un altro motivo. Lavoro per una società che fornisce ai provider fibre ottiche sotto le autostrade e connettività...
      • rockroll scrive:
        Re: Statene lontani!
        - Scritto da: iRoby
        Io ho avuto esperienza opposta.

        Ma io vengo trattato bene forse per un altro
        motivo. Lavoro per una società che fornisce ai
        provider fibre ottiche sotto le autostrade e
        connettività...Io sono un utente normalissino ma di vecchia data, e vengo trattato benissimo.L'offerta Mobile 250 di FastWeb di cui parla l'articolo mi è stata proposta già in febbraio, e l'ho colta al volo, e volendo avrei potuto approfittare di prezzi stracciati e forme pagamento particolari per acquisto contestuale di smartphone 4G.Non capisco chi si lamenta del servizio e dell'assistenza..-----------------------------------------------------------Modificato dall' autore il 09 maggio 2017 20.45-----------------------------------------------------------
        • iRoby scrive:
          Re: Statene lontani!
          A me non hanno onorato l'offerta "porta un amico" con la quale avrei risparmiato 50 euro, e altri 50 il mio amico.Per il resto, tecnicamente è una VDSL molto stabile e performante, nei limiti del mio doppino che aggancia 77/29.Poi sono passato a loro per il cellulare. Prende ovunque ed ho 500 minuti e 3GB al mese a 6 euro. Prima con la Tre spendevo molto di più, specie per chiamare.Sono tutti ladri in Italia, ma Fastweb sta mostrando un minimo di serietà.
Chiudi i commenti