Тысячи 3D-принтеров могут выдать производственные тайны

Как сообщили исследователи SANS ISC Ричард Портер (Richard Porter) и Ксавье Мартенс (Xavier Mertens), порядка 3,8 тыс. 3D-принтеров доступны через интернет без какой-либо парольной защиты.

Связующим звеном между всеми устройствами является проект с открытым исходным кодом OctoPrint. Проект представляет собой бесплатный web-интерфейс для удаленного доступа к принтерам, который многие производители встраивают в свои устройства. OctoPrint обладает рядом функций, в частности позволяет загружать в/из Сети 3D-модели (например, файлы .gcode) и просматривать видео с камеры (если у принтера есть такая функция).

По словам исследователей SANS ISC, тысячи принтеров с интерфейсом OctoPrint доступны через интернет, и любой желающий может модифицировать их настройки и украсть загружаемые через интерфейс 3D-модели. Эти модели не зашифрованы, и злоумышленнику не составит труда с помощью ПО для 3D-рендеринга восстановить оригинальные компоненты, что потенциально ставит под угрозу конфиденциальную и проприетарную информацию о еще невыпущенных продуктах.

Хищение производственных секретов – лишь один из возможных сценариев. Второй возможный вариант – саботаж. Недобросовестный производитель может похитить 3D-модель продукта своего конкурента, внести небольшие изменения и снова загрузить ее через незащищенный интерфейс OctoPrint. В результате жертва напечатает сотни, а то и тысячи бракованных продуктов.

Доступ к камере также позволяет злоумышленникам подглядывать за производственным процессом и узнавать детали, не указанные в файле 3D-модели.

Команда OctoPrint опубликовала рекомендации для пользователей по защите принтеров от неавторизованного доступа, сохраняя при этом возможность удаленного доступа для авторизованных пользователей.