Как попасть в чужую гостиную через 3D-принтер на «облаке»

6 Декабря 2013
8871
0

Друзья, небольшое вступление!
Перед прочтением новости, позвольте пригласить вас в крупнейшее сообщество владельцев 3D-принтеров. Да, да, оно уже существует, на страницах нашего проекта!
Подробнее >>>

 Сегодня все больше людей подключают свои 3D-принтеры к интернету, и многие проекты, как с открытой архитектурой, так и коммерческие, стараются сделать свои 3D-принтеры более удобными для работы через облака данных. Но задумывался ли кто-нибудь о сетевой безопасности? О том, насколько легко может быть для кого-нибудь найти дыру в облачных данных и подключиться к этим устройствам (например, к RaspberryPi на котором работает OctoPrint) чтобы контролировать ваши принтеры?

 Флориан Хорш, создатель различных проектов с большим опытом и его коллеги в компании ERNW, специализирующейся на IT-безопасности, исследовали безопасность таких облачных решений, как OctoPrint. Целью Флориана было повысить общую безопасность и предупредить пользователей о возможности несанкционированного использования таких сервисов. Вот что он пишет:

 Я попросил своего коллегу Никлауса Шисса уделить пристальное внимание популярному проекту, под названием OctoPrint. Идея заключалась в том, чтобы найти общедоступные ресурсы в Интернет и посмотреть, как далеко мы сможем зайти, используя их. Днем позже он прислал ответ, в котором подробно изложил все то, что можно сделать при помощи сканирования портов. Ну, это довольно скучно. Гораздо интересней была его заметка о том, что существует гораздо более элегантный способ взлома через Google!

network-security-challenge-1

 Джина Хаусге, автор идеи и главный разработчик OctoPrint, включила плагин GitHubcommitID в качестве сервиса для быстрого и простого устранения проблем пользователей. Поскольку большинство новичков рады установить его на свои машины, они не слишком заморачиваются по поводу разрешения управления доступом. И что же мы получаем в результате: незащищенных и легко обнаруживаемых пользователей OctoPrint в джунглях дикого Интернета!

 Собирая общедоступные образцы кода вверения доступа и затем запуская их поиск через Google при помощи команды Intext, вы сможете найти несколько таких пользователей.

network-security-challenge-2

Изображения предоставлены Флориан Хорш

 Как ни странно, но Никлаус нашел не просто каких-то случайных пользователей сервера OctoPrint, а одного из фанатиков 3D-печати, с которым Флориан лично знаком в сообществе, посвященном 3D-проектам. При помощи всего лишь единственного поиска и нажав кнопку, они смогли заглянуть в гостиную друга Флориана.

 Добавив камеру Pi (или любую другую веб-камеру) на свою панель Raspberry, вы можете организовать прямой эфир через OctoPrint, чтобы контролировать процесс печати. Даже еще круче: вы можете автоматически создавать интервальную (замедленную) съемку процесса печати.

 Кроме того, вы можете контролировать все, что было бы вам доступно, будь вы рядом с самим принтером: перемещение осей, запуск и остановка печати, запуск специальных машинных кодов (например, управление поведением встроенных программ), а также выставление температуры печатающей головки.

 Поверьте, контроль температуры печатающей головки – это не та функция, управление которой стоит делать общедоступным. К примеру, если производитель вашего 3D-принтера неправильно выставил максимально допустимые температурные пределы, то злоумышленник может набрать такое значение температуры, которое будет выше, чем точка плавления тефлона (который обычно используется в печатающих головках, чтобы расплавленный пластик не прилипал к внутренней стороне желоба). Уже лишь при 300° C (учитывая, что некоторые из популярных филаментов нагреваются в процессе печати до 260° С) из разогретой головки начинают испаряться токсичные полимерные пары. Их воздействие (также известное, как Тефлоновый грипп) может привести к тяжелым травмам легких в течение нескольких секунд.

 К счастью, Джина быстро отреагировала и включила принудительный контроль доступа на всех новых версий OctoPrint. Кроме того, она внесла некоторые изменения в устанавливаемый по умолчанию фаил robots.txt (для предотвращения индексации через Google), а также предотвращения запуска  начинающими пользователями программы OctoPrint с правами суперпользователя.

 Но, не смотря на это, рекомендуется использовать дополнительные меры для улучшения защиты вашего принтера от доступа неавторизованных пользователей. Например, при помощи правильной конфигурации файла .htaccess и выставления ограничений доступа в настройках брандмауэра на вашем домашнем маршрутизаторе.

 Если все перечисленное выше – лишь минимально необходимые меры безопасности для начинающих любителей 3D-печати, может стоит задуматься (хотя бы еще разок): стоит ли подключать каждый свой новый гаджет к Интернету?

Статья подготовлена для 3dtoday.ru

Данная новость перенесена в архив новостей.

Следите за развитием технологии в блогах пользователей 3D-принтеров.
Самые интересные новости индустрии 3D-печати теперь расположены в новостных блогах.
6 Декабря 2013
8871
0

Написать комментарий

Последние распечатанные 3D модели

Thirteen
Распечатано на: Anet A6
vin4ester
Распечатано на: Prusa i3

Новые 3D-модели

Катушка D70 mm. на подшипниках с трещоткой.
igorexa161rus
Катушка D70 mm. на подшипниках с...Катушка D70 mm. на подшипниках с трещоткой.
Коплер/муфта для блендера  HB700000 (Seb,Moulinex,Tefal)
chus
Коплер/муфта для блендера HB700...Коплер/муфта для блендера HB700000 (Seb,Moulinex,Tefal)
Форма для печенья "Колокольчик" 12 см.
DonKOS
Форма для печенья "Колоколь...Форма для печенья "Колокольчик" 12 см.
Шестерни главного привода токарного станка "Корвет 401"
vladchis
Шестерни главного привода токарн...Шестерни главного привода токарного станка "Корвет 401"