Het op afstand hacken van industriële productierobots die in fabrieken worden gebruikt kunnen grote financiële gevolgen hebben, zo waarschuwen onderzoekers van anti-virusbedrijf Trend Micro en de Italiaanse universiteit Politecnico di Milano. De onderzoekers hebben een rapport en video gepubliceerd waarin ze de hack van een ABB IRB140-robot demonstreren (pdf).

De onderzoekers slagen erin om de arm van de robot, waarmee een lijn wordt getekend, op afstand te besturen. Vervolgens wordt er een minuscule aanpassing doorgevoerd. Dit lijkt onschuldig, maar dit zou in het echt grote gevolgen kunnen hebben. Vorig jaar liet een andere onderzoeker zien hoe een kleine aanpassing in het ontwerp van een drone er uiteindelijk voor zorgt dat het apparaat in de lucht naar beneden stort. "Een klein, onopgemerkt defect kan grote financiële gevolgen voor een bedrijf hebben als het producten moet terugroepen of geleden schade moet vergoeden”, aldus de onderzoekers. Ze waarschuwen voor de gevolgen als er bijvoorbeeld een robot wordt gehackt die bij de productie van auto’s, vliegtuigen, voedsel of medicijnen wordt ingezet

Het hacken van robots is volgens de onderzoekers niet vergezocht. De software op industriële robots blijkt namelijk verouderd en is gebaseerd op kwetsbare besturingssystemen en softwarebibliotheken, waarbij er soms van overbodige encryptiebibliotheken gebruik wordt gemaakt. Ook zijn de authenticatiesystemen zwak en werken met standaard, niet te veranderen wachtwoorden. Verder onderzoek wees uit dat sommige robots direct via internet benaderbaar zijn. Een aanvaller kan echter ook eerst het bedrijfsnetwerk hacken en daarvandaan de robots aanvallen of de machine waarmee de robots worden bestuurd.

In totaal beschrijven de onderzoekers vijf soorten aanvallen op robots waarbij bijvoorbeeld de instellingen van de machine worden aangepast. Naast het veroorzaken van defecten kan een aanvaller ook de statusinformatie van de robot of de status van de robot zelf manipuleren. Daardoor lijkt het bijvoorbeeld dat een machine staat uitgeschakeld, terwijl dit niet het geval is, wat tot fysiek letsel bij de operator kan leiden.

"Standaarden voor robots moeten op dezelfde manieren rekening houden met cyberdreigingen zoals standaarden in de ICS- en automobielsector zich hebben ontwikkeld", aldus de onderzoekers. Ze doen in hun rapport verschillende aanbevelingen, waaronder het ontwikkelen van veiligere software en het implementeren van beveiligingsmaatregelen, zoals het gebruik van gesigneerde code, ASLR en DEP en ervoor zorgen dat de robots geen debuginformatie geven. Meer technische informatie over het onderzoek, waaronder gevonden kwetsbaarheden, worden tijdens het Institute of Electrical and Electronics Engineers (IEEE) Symposium over Security en Privacy in mei gepresenteerd.