Как попасть в чужую гостиную через 3D-принтер на «облаке»

 Сегодня все больше людей подключают свои 3D-принтеры к интернету, и многие проекты, как с открытой архитектурой, так и коммерческие, стараются сделать свои 3D-принтеры более удобными для работы через облака данных. Но задумывался ли кто-нибудь о сетевой безопасности? О том, насколько легко может быть для кого-нибудь найти дыру в облачных данных и подключиться к этим устройствам (например, к RaspberryPi на котором работает OctoPrint) чтобы контролировать ваши принтеры?

 Флориан Хорш, создатель различных проектов с большим опытом и его коллеги в компании ERNW, специализирующейся на IT-безопасности, исследовали безопасность таких облачных решений, как OctoPrint. Целью Флориана было повысить общую безопасность и предупредить пользователей о возможности несанкционированного использования таких сервисов. Вот что он пишет:

 Я попросил своего коллегу Никлауса Шисса уделить пристальное внимание популярному проекту, под названием OctoPrint. Идея заключалась в том, чтобы найти общедоступные ресурсы в Интернет и посмотреть, как далеко мы сможем зайти, используя их. Днем позже он прислал ответ, в котором подробно изложил все то, что можно сделать при помощи сканирования портов. Ну, это довольно скучно. Гораздо интересней была его заметка о том, что существует гораздо более элегантный способ взлома через Google!

 Джина Хаусге, автор идеи и главный разработчик OctoPrint, включила плагин GitHubcommitID в качестве сервиса для быстрого и простого устранения проблем пользователей. Поскольку большинство новичков рады установить его на свои машины, они не слишком заморачиваются по поводу разрешения управления доступом. И что же мы получаем в результате: незащищенных и легко обнаруживаемых пользователей OctoPrint в джунглях дикого Интернета!

 Собирая общедоступные образцы кода вверения доступа и затем запуская их поиск через Google при помощи команды Intext, вы сможете найти несколько таких пользователей.

Изображения предоставлены Флориан Хорш

 Как ни странно, но Никлаус нашел не просто каких-то случайных пользователей сервера OctoPrint, а одного из фанатиков 3D-печати, с которым Флориан лично знаком в сообществе, посвященном 3D-проектам. При помощи всего лишь единственного поиска и нажав кнопку, они смогли заглянуть в гостиную друга Флориана.

 Добавив камеру Pi (или любую другую веб-камеру) на свою панель Raspberry, вы можете организовать прямой эфир через OctoPrint, чтобы контролировать процесс печати. Даже еще круче: вы можете автоматически создавать интервальную (замедленную) съемку процесса печати.

 Кроме того, вы можете контролировать все, что было бы вам доступно, будь вы рядом с самим принтером: перемещение осей, запуск и остановка печати, запуск специальных машинных кодов (например, управление поведением встроенных программ), а также выставление температуры печатающей головки.

 Поверьте, контроль температуры печатающей головки – это не та функция, управление которой стоит делать общедоступным. К примеру, если производитель вашего 3D-принтера неправильно выставил максимально допустимые температурные пределы, то злоумышленник может набрать такое значение температуры, которое будет выше, чем точка плавления тефлона (который обычно используется в печатающих головках, чтобы расплавленный пластик не прилипал к внутренней стороне желоба). Уже лишь при 300° C (учитывая, что некоторые из популярных филаментов нагреваются в процессе печати до 260° С) из разогретой головки начинают испаряться токсичные полимерные пары. Их воздействие (также известное, как Тефлоновый грипп) может привести к тяжелым травмам легких в течение нескольких секунд.

 К счастью, Джина быстро отреагировала и включила принудительный контроль доступа на всех новых версий OctoPrint. Кроме того, она внесла некоторые изменения в устанавливаемый по умолчанию фаил robots.txt (для предотвращения индексации через Google), а также предотвращения запуска  начинающими пользователями программы OctoPrint с правами суперпользователя.

 Но, не смотря на это, рекомендуется использовать дополнительные меры для улучшения защиты вашего принтера от доступа неавторизованных пользователей. Например, при помощи правильной конфигурации файла .htaccess и выставления ограничений доступа в настройках брандмауэра на вашем домашнем маршрутизаторе.

 Если все перечисленное выше – лишь минимально необходимые меры безопасности для начинающих любителей 3D-печати, может стоит задуматься (хотя бы еще разок): стоит ли подключать каждый свой новый гаджет к Интернету?

Статья подготовлена для 3dtoday.ru