开源工具扫描网络上的可黑客机器人
这个工具被称为aztarna(巴斯克语中的“足迹”),它允许安全研究人员审计连接到网络的机器人,定位和识别机器人及其组件,不仅在开放的互联网上,而且在机器人操作的工业环境中。
作为一个示范,公司表示,使用Aztarna的第一次扫描透露接近9000个不安全的工业路由器,可能托管更多连接的脆弱机器人。在一个名为“Aztarna,一个机器人的足迹工具, Alias Robotics的研究人员详细介绍了1586个不安全的路由器在欧洲,其中法国和西班牙的错误配置设备排名第一,分别为63%和54%。美国和加拿大等北美国家也有很大比例的工业路由器配置错误。
从伊斯兰,麦克萨,威斯特里姆和塞拉无线制造商的最受欢迎的工业路由器被扫描,因为它们现在代表了大多数工业路由器。发现了26801个路由器,其中8958(惊人的33%)被标记为不安全。结果表明,大多数国家在正确配置和错误配置的设备之间遵循类似的平衡,哥伦比亚是具有26个连接设备的最不安全的国家/地区,其中100%正在使用默认凭据。
关于具有更多连接路由器的欧洲国家,法国突出了误报设备的比例,报告显示总共416个设备,261个设备(63%)根据该研究揭露默认凭据。西班牙遵循54%的学习工业路由器,配置了默认凭据。北美国家显示出检测到的工业路线量最高,安全设置差36%,加拿大路由器中有41%。
别名机器人团队通过整个Internet地址空间在11311端口搜索Open ROS Master进行了两种不同的扫描。然后,Aztarna被用来验证主机是否实际上与运行ROS的机器相对应。在美国(52)和韩国中的大多数人(52)和韩国(16)中都被发现了一个引人注目的106个ROS系统。发现的一些ROS实例与空系统或模拟相对应,但识别了相当大比例的真实机器人。包括一系列研究面向机器,也是工业环境中的一系列机器人。
作者警告说,作为网络攻击的潜在目标,机器人“需要尽快得到保护”,并补充说,尽管最终用户开始意识到这个问题,但到目前为止,制造商还没有做出回应。
去年夏天,布朗大学发表了关于互联网上机器人可见性的研究。扫描互联网,他们发现超过100个运行的互联网连接机器人,这些机器人是网络犯罪和恶作剧的潜在目标。这种大规模的安全问题得到了大型国际回声。六个月后,机器人网络安全启动的研究人员别名的机器人没有变化:数百个机器人仍然与互联网连接并潜在地阻塞。
此外,别名机器人的进攻团队已经将扫描扩展到未运行ROS的其他机器人。“我们的目标是改善,系统化和扩大以前研究的结果。我们不仅瞄准由机器人操作系统(ROS)提供支持的机器人,还瞄准其他设置(SRO,ROS 2.0)和技术。除了机器人架构之外,我们的工作还针对其他不一定雇用这些流行的偏航的机器人“,别名机器人首席执行官大卫市长说。
发现机器人和阿兹塔娜在一起。
研究显示,所有这些被检测到的工业目标都配置了默认证书,并且完全不受保护。正如布朗大学(University of Brown)的研究团队所做的那样,Alias Robotics的作者一旦遇到易受攻击的机器人,就会通知机器人的主人。但他们也更进一步:他们开放了代码。
“我们反对通过模糊的方法来实现安全,相反,我们提倡通过持续的评估来实现机器人的安全,包括软件的质量保证实践。当然,我们绝不鼓励对机器人系统进行未经授权的篡改。相反,我们重视授权安全研究人员的重要性,并旨在通过发布这个机器人安全审计工具来提高机器人专家的安全意识。”Mayoral解释道。
该研究发表于预印刷服务器上arXiv的部分披露和描述如何再现工作,以及Aztarna如何允许通过其模块化架构来允许未来的扩展。作者认为,这些工具的释放是机器人制造商对安全和网络安全的一般缺乏关注的自然结果。
“这不仅是因为当我们警告他们时,他们修补自己的缺陷非常缓慢。许多人根本不在乎,他们说:我们知道我们的机器人有一系列报告的漏洞,但我们把安全问题留给最终用户。”
来自Alias Robotics的研究人员邀请捐款,以扩展aztarna的审计能力。这家初创公司正在积极招募员工,并组织机器人漏洞赏金计划和公开机器人漏洞披露计划。
Alias Robotics sll -www.aliasrobotics.com.
相关文章:
