Как попасть в чужую гостиную через 3D-принтер на «облаке»
Сегодня все больше людей подключают свои 3D-принтеры к интернету, и многие проекты, как с открытой архитектурой, так и коммерческие, стараются сделать свои 3D-принтеры более удобными для работы через облака данных. Но задумывался ли кто-нибудь о сетевой безопасности? О том, насколько легко может быть для кого-нибудь найти дыру в облачных данных и подключиться к этим устройствам (например, к RaspberryPi на котором работает OctoPrint) чтобы контролировать ваши принтеры?
Флориан Хорш, создатель различных проектов с большим опытом и его коллеги в компании ERNW, специализирующейся на IT-безопасности, исследовали безопасность таких облачных решений, как OctoPrint. Целью Флориана было повысить общую безопасность и предупредить пользователей о возможности несанкционированного использования таких сервисов. Вот что он пишет:
Я попросил своего коллегу Никлауса Шисса уделить пристальное внимание популярному проекту, под названием OctoPrint. Идея заключалась в том, чтобы найти общедоступные ресурсы в Интернет и посмотреть, как далеко мы сможем зайти, используя их. Днем позже он прислал ответ, в котором подробно изложил все то, что можно сделать при помощи сканирования портов. Ну, это довольно скучно. Гораздо интересней была его заметка о том, что существует гораздо более элегантный способ взлома через Google!
Джина Хаусге, автор идеи и главный разработчик OctoPrint, включила плагин GitHubcommitID в качестве сервиса для быстрого и простого устранения проблем пользователей. Поскольку большинство новичков рады установить его на свои машины, они не слишком заморачиваются по поводу разрешения управления доступом. И что же мы получаем в результате: незащищенных и легко обнаруживаемых пользователей OctoPrint в джунглях дикого Интернета!
Собирая общедоступные образцы кода вверения доступа и затем запуская их поиск через Google при помощи команды Intext, вы сможете найти несколько таких пользователей.
Изображения предоставлены Флориан Хорш
Как ни странно, но Никлаус нашел не просто каких-то случайных пользователей сервера OctoPrint, а одного из фанатиков 3D-печати, с которым Флориан лично знаком в сообществе, посвященном 3D-проектам. При помощи всего лишь единственного поиска и нажав кнопку, они смогли заглянуть в гостиную друга Флориана.
Добавив камеру Pi (или любую другую веб-камеру) на свою панель Raspberry, вы можете организовать прямой эфир через OctoPrint, чтобы контролировать процесс печати. Даже еще круче: вы можете автоматически создавать интервальную (замедленную) съемку процесса печати.
Кроме того, вы можете контролировать все, что было бы вам доступно, будь вы рядом с самим принтером: перемещение осей, запуск и остановка печати, запуск специальных машинных кодов (например, управление поведением встроенных программ), а также выставление температуры печатающей головки.
Поверьте, контроль температуры печатающей головки – это не та функция, управление которой стоит делать общедоступным. К примеру, если производитель вашего 3D-принтера неправильно выставил максимально допустимые температурные пределы, то злоумышленник может набрать такое значение температуры, которое будет выше, чем точка плавления тефлона (который обычно используется в печатающих головках, чтобы расплавленный пластик не прилипал к внутренней стороне желоба). Уже лишь при 300° C (учитывая, что некоторые из популярных филаментов нагреваются в процессе печати до 260° С) из разогретой головки начинают испаряться токсичные полимерные пары. Их воздействие (также известное, как Тефлоновый грипп) может привести к тяжелым травмам легких в течение нескольких секунд.
К счастью, Джина быстро отреагировала и включила принудительный контроль доступа на всех новых версий OctoPrint. Кроме того, она внесла некоторые изменения в устанавливаемый по умолчанию фаил robots.txt (для предотвращения индексации через Google), а также предотвращения запуска начинающими пользователями программы OctoPrint с правами суперпользователя.
Но, не смотря на это, рекомендуется использовать дополнительные меры для улучшения защиты вашего принтера от доступа неавторизованных пользователей. Например, при помощи правильной конфигурации файла .htaccess и выставления ограничений доступа в настройках брандмауэра на вашем домашнем маршрутизаторе.
Если все перечисленное выше – лишь минимально необходимые меры безопасности для начинающих любителей 3D-печати, может стоит задуматься (хотя бы еще разок): стоит ли подключать каждый свой новый гаджет к Интернету?
Статья подготовлена для 3dtoday.ru
Еще больше интересных статей
Российская молодежь на передовой 3D-печати
Подпишитесь на автора
Подпишитесь на автора, если вам нравятся его публикации. Тогда вы будете получать уведомления о его новых статьях.
Отписаться от уведомлений вы всегда сможете в профиле автора.
Создан первый отечественный 3D-биопринтер
Подпишитесь на автора
Подпишитесь на автора, если вам нравятся его публикации. Тогда вы будете получать уведомления о его новых статьях.
Отписаться от уведомлений вы всегда сможете в профиле автора.
Русский инженер собрал стереолитографический 3D-принтер из оптических приводов стоимостью 10000 рублей
Подпишитесь на автора
Подпишитесь на автора, если вам нравятся его публикации. Тогда вы будете получать уведомления о его новых статьях.
Отписаться от уведомлений вы всегда сможете в профиле автора.
Комментарии и вопросы
Люди у которых есть деньги пок...
Именно так я и планирую сделат...
Привет. Мало того, что ведро з...
Всем привет, может кто знает п...
Приветствую, начал знакомится...
Здравствуйте. Имеется стоковый...
Всем доброго! По поводу жидкой...