filmov
tv
Attenzione a quei robot! - Federico Maggi & Marcello Pogliani - HackInBo® Winter Edition 2020
Показать описание
Attenzione a quei robot! Vulnerabilità nei programmi di automazione industriale e come trovarle.
Vogliamo parlarvi di robot industriali. Proprio di quelli usati per assemblare aerei, automobili, produrre o confezionare cibo e medicinali, o maneggiare materiale sanitario. Grandi player di settore, tra cui ABB e Kuka, hanno costruito negli anni molteplici piattaforme proprietarie, molto diverse tra loro, che formano la spina dorsale dell'automazione industriale: una tecnologia di fatto legacy divenuta critica per il mondo moderno. Nel corso di questa ricerca abbiamo notato che, anche quando perfettamente aggiornato, il software a bordo di questi macchinari può comunque "nascondere" vulnerabilità. Infatti, i linguaggi usati per programmare questi robot permettono di accedere, a bassissimo livello, alle risorse di sistema: file, rete e addirittura invocare funzioni dinamicamente o modificare codice a runtime. Chiunque abbia mai programmato in qualsiasi linguaggio sa bene che queste funzionalità sono pericolose senza una corretta separazione dei permessi, perché creano i presupposti per vulnerabilità sfruttabili da un aggressore per alterare il funzionamento originale del programma a vari livelli, fino all'accesso completo al sistema in questione. Senz'altro utili, queste funzionalità così come implementate negli 8 linguaggi per automazione industriale che abbiamo analizzato, possono indurre i programmatori a commettere gli errori più comuni. Errori che effettivamente abbiamo trovato in una cinquantina di repository GitHub pubblici, scambiati nei forum e in alcune estensioni di ROS (Robot Operating System), il più popolare sistema operativo "open" per robotica industriale. La mancanza di un meccanismo di separazione di privilegi permette ad un programmatore malevolo di sfruttare le funzionalità di basso livello per creare programmi malevoli che ad oggi nessuna tecnologia di rilevazione automatica è in grado di riconoscere. La collaborazione fra Trend Micro Research e il Politecnico di Milano ha dato vita ad un prototipo in grado di individuare automaticamente la presenza di vulnerabilità o funzionalità malevole analizzando il codice sorgente di un programma di automazione industriale. Oltre ad una demo del prototipo, vi mostreremo gli effetti di un malware che si propaga in un impianto industriale simulato, e concluderemo con delle linee guida di programmazione sicura, pensate specificatamente per chi si occupa di automazione industriale. A questa ricerca hanno contribuito anche: Davide Quarta e Stefano Zanero (Politecnico di Milano), Marco Balduzzi, Rainer Vosseler e Martin Rösler (Trend Micro Research)
If you're looking for a new event to sponsor, a little unconventional one and organized with a deep passion, maybe it's time to write me an email...
HackInBo® - All Right Reserved 2013-2020 - Tutti i Diritti Riservati.
Vogliamo parlarvi di robot industriali. Proprio di quelli usati per assemblare aerei, automobili, produrre o confezionare cibo e medicinali, o maneggiare materiale sanitario. Grandi player di settore, tra cui ABB e Kuka, hanno costruito negli anni molteplici piattaforme proprietarie, molto diverse tra loro, che formano la spina dorsale dell'automazione industriale: una tecnologia di fatto legacy divenuta critica per il mondo moderno. Nel corso di questa ricerca abbiamo notato che, anche quando perfettamente aggiornato, il software a bordo di questi macchinari può comunque "nascondere" vulnerabilità. Infatti, i linguaggi usati per programmare questi robot permettono di accedere, a bassissimo livello, alle risorse di sistema: file, rete e addirittura invocare funzioni dinamicamente o modificare codice a runtime. Chiunque abbia mai programmato in qualsiasi linguaggio sa bene che queste funzionalità sono pericolose senza una corretta separazione dei permessi, perché creano i presupposti per vulnerabilità sfruttabili da un aggressore per alterare il funzionamento originale del programma a vari livelli, fino all'accesso completo al sistema in questione. Senz'altro utili, queste funzionalità così come implementate negli 8 linguaggi per automazione industriale che abbiamo analizzato, possono indurre i programmatori a commettere gli errori più comuni. Errori che effettivamente abbiamo trovato in una cinquantina di repository GitHub pubblici, scambiati nei forum e in alcune estensioni di ROS (Robot Operating System), il più popolare sistema operativo "open" per robotica industriale. La mancanza di un meccanismo di separazione di privilegi permette ad un programmatore malevolo di sfruttare le funzionalità di basso livello per creare programmi malevoli che ad oggi nessuna tecnologia di rilevazione automatica è in grado di riconoscere. La collaborazione fra Trend Micro Research e il Politecnico di Milano ha dato vita ad un prototipo in grado di individuare automaticamente la presenza di vulnerabilità o funzionalità malevole analizzando il codice sorgente di un programma di automazione industriale. Oltre ad una demo del prototipo, vi mostreremo gli effetti di un malware che si propaga in un impianto industriale simulato, e concluderemo con delle linee guida di programmazione sicura, pensate specificatamente per chi si occupa di automazione industriale. A questa ricerca hanno contribuito anche: Davide Quarta e Stefano Zanero (Politecnico di Milano), Marco Balduzzi, Rainer Vosseler e Martin Rösler (Trend Micro Research)
If you're looking for a new event to sponsor, a little unconventional one and organized with a deep passion, maybe it's time to write me an email...
HackInBo® - All Right Reserved 2013-2020 - Tutti i Diritti Riservati.
0:59:48
0:00:19
0:00:55
0:34:43
0:08:43
2:19:24
0:17:06
0:25:56
1:02:42
1:36:10
0:21:40
1:56:57
0:10:20
1:30:20
1:52:40
0:32:41
0:17:19
0:16:17
0:13:23
0:10:12
0:58:52
0:12:37
0:06:36
0:09:56