Gli ambienti di programmazione per robotica industriale nascondono pericolosi difetti e vulnerabilità
Il settore dell’automazione è impreparato a gestire queste criticità. Trend Micro e il Politecnico di Milano rivelano nuovi rischi e rilasciano una guida pratica per lo sviluppo sicuro di infrastrutture OT
-
- Tweet
- Pin It
- Condividi per email
-
Trend Micro e il Politecnico di Milano presentano una nuova ricerca che rivela alcune pericolose funzionalità nei linguaggi di programmazione per robotica industriale e una guida pratica per ridurre la superficie di attacco grazie a un codice più sicuro, riducendo così le interruzioni di business negli ambienti OT.
La ricerca, dal titolo “Rogue Automation: Vulnerable and Malicious Code in Industrial Programming”, vede come autore principale il ricercatore italiano Federico Maggi di Trend Micro Research ed è stata condotta in collaborazione con Marcello Pogliani del gruppo di sicurezza informatica del Politecnico di Milano. La ricerca descrive come alcune caratteristiche — poco discusse nel mondo della cybersecurity — dei linguaggi di programmazione per robotica industriale possano portare a programmi di automazione vulnerabili e, d’altra parte, possono permettere a un aggressore di creare nuove tipologie di malware persistente.
Questi punti deboli possono consentire agli attaccanti di prendere il controllo dei robot industriali e simili macchinari al fine di danneggiare linee di produzione o impossessarsi di proprietà intellettuale. In base alla ricerca, il mondo dell’automazione potrebbe essere impreparato a rilevare e prevenire queste criticità, perché finora non sono mai state affrontate. Inoltre, è fondamentale che il settore inizi ad adottare e seguire le best practice, per mettere in sicurezza il codice, che sono state condivise con gli industry leader come risultato di questa ricerca.
“Una volta che i sistemi OT sono collegati alla rete, applicare patch o aggiornamenti è quasi impossibile ed è per questo che una sicurezza a priori diventa un fattore critico”. Ha affermato Bill Malik, vice president of infrastructure strategies for Trend Micro. “Al giorno d’oggi, la spina dorsale dell’automazione industriale si basa su tecnologie legacy che troppo spesso contengono vulnerabilità latenti come Urgent/11 e Ripple20, o varietà di difetti nell’architettura come ad esempio Y2K. Non vogliamo limitarci a sottolineare queste sfide, ma ancora una volta assumere la guida della security nell’Industry 4.0, offrendo una guida concreta per la progettazione, la scrittura del codice, la verifica e la manutenzione attraverso strumenti in grado di scansionare e bloccare codici maligni e vulnerabilità”.
Linguaggi di programmazione che possiamo considerare “legacy”— in quanto cuore delle moderne catene di produzione — come ad esempio RAPID, KRL, AS, PDL2 e PacScript sono stati progettati senza considerare un aggressore attivo. Sviluppati decenni fa, sono ora diventati essenziali per le attività critiche di automazione nei settori automotive come nelle filiere alimentari e nell’industria farmaceutica, ma non possono essere messi al sicuro facilmente.
Le vulnerabilità non sono l’unica preoccupazione nei programmi di automazione che utilizzano questi linguaggi. I ricercatori hanno dimostrato come una nuova tipologia di malware in grado di auto-propagarsi potrebbe essere creata utilizzando uno di questi linguaggi come esempio.
Trend Micro Research ha lavorato a stretto contatto con il Robotic Operating System (ROS) Industrial Consortium — un’autorità internazionale in campo di robotica industriale — per proporre delle raccomandazioni con l’obiettivo di ridurre l’impatto delle criticità identificate .
“Molti robot industriali sono progettati per reti di produzione isolate e utilizzano linguaggi di programmazione legacy”. Ha affermato Christoph Hellmann Santos, Program Manager, ROS-Industrial Consortium Europe. “Possono essere vulnerabili agli attacchi nel momento in cui sono connessi a una rete IT. Per questa ragione, ROS-Industrial e Trend Micro hanno collaborato per sviluppare delle line guida per un corretto e sicuro settaggio delle reti per il controllo dei robot idustriali, attraverso il Robotic Operating System”.
“Lavorare con questi sistemi è un po’ come fare un tuffo nel passato: vulnerabilità adesso rare nei tradizionali sistemi IT (come le applicazioni web, ad esempio), si ripresentano attraverso questi linguaggi di programmazione, poco conosciuti ma estremamente critici”. Afferma Federico Maggi, e continua: “Nei prossimi anni il mondo dell’automazione industriale dovrà affrontare le sfide delle vulnerabilità che il mondo IT ha gestito negli ultimi 20 anni”.
Come dimostrano le linee guida, i programmi di automazione industriale, seppur basati su linguaggi “legacy”, possono essere scritti in diversi modi per ridurne i rischi.
Di seguito la checklist essenziale che Trend Micro e Politecnico di Milano propongono per la scrittura di programmi di automazione industriale sicuri:
- – Trattare i macchinari industriali come se fossero computer e i task program come codice sorgente potenzialmente pericoloso
- Autenticare ogni comunicazione
- Implementare policy per il controllo degli accessi
- Eseguire sempre la validazione degli input
- Eseguire sempre la sanificazione degli output
- Implementare una gestione degli errori senza esporre i dettagli
- Implementare una configurazione appropriata e procedure di deployment
Inoltre, Trend Micro Research e Politecnico di Milano hanno sviluppato uno strumento per rilevare codice maligno o vulnerabilità all’interno dei task program, prevenendo eventuali danni al momento della loro esecuzione.
Come risultato di questa ricerca, sono state identificate feature critiche per la sicurezza nelle principali otto piattaforme di programmazione di robot industriali e un totale di 40 istanze di vulnerabilità di codice open source. Un vendor ha rimosso il proprio programma di automazione vulnerabile e altri due sono stati avvisati, dando il via a discussioni per migliorare i propri strumenti. I dettagli delle vulnerabilità sono stati condivisi anche dal ICS-CERT alla propria community, attraverso un alert.
I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA e verranno illustrati anche alla conferenza ACM AsiaCCS conference a Taipei nel mese di ottobre.
Il report completo è disponibile a questo link
Contenuti correlati
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezioneMoxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550 del padiglione 4.1 ispirandosi al tema “Forging Mobility Ahead” (definire lo sviluppo futuro della mobilità). L’azienda presenterà il primo router...
-
Giochi olimpici di Parigi 2024: il fattore sicurezzaDopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Olimpiadi 2024: come evitare le cyber truffeLe Olimpiadi di Parigi 2024 stanno per iniziare. Sono più di 10.000 gli atleti che parteciperanno alla competizione e miliardi le persone che seguiranno questo grande evento. Tra questi, anche i cyber truffatori purtroppo, che ne approfitteranno...
-
Le innovazioni dei controllori industrialiI controllori industriali continuano a occupare una posizione strategica nell’era della trasformazione digitale. In particolare, le tecnologie basate su IoT, Edge computing, AI, robotica e virtualizzazione ne stanno elevando le potenzialità a un nuovo livello. Leggi l’articolo
-
Security Summit sbarca a CagliariL’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
Di qui al 2035: i futuri desiderabili dell’Osservatorio FuturesNel 2035 la maggior parte delle tecnologie sarà intelligente e generativa, in grado di rendere più efficienti le attività e migliorare il benessere delle persone, dalla cura personale all’alimentazione, dall’intrattenimento alla socialità. Oltre all’Intelligenza Artificiale Generativa, altre...
-
Controllo remoto di mobile robot: Roboverse Reply premiata all’Elrob 2024Roboverse Reply, società del Gruppo Reply specializzata in scenari di integrazione tra robotica e reality capture con mixed reality, è stata premiata come “Best Performance” nella Recon Challenge durante la European Land Robot Trial (Elrob) 2024, il...
-
Osservatorio Life Science Innovation: l’AI rivoluzionerà la medicina entro 5 anniGià oggi strumenti digitali per il monitoraggio a domicilio del paziente, come sensori, App per la salute e real-world data, entro breve l’Intelligenza artificiale applicata alla medicina personalizzata e le cosiddette “terapie digitali” (DTx), soluzioni digitali validate...
-
Collaborazione tra RoboDK e Keba Industrial AutomationRoboDK, azienda fondata in Canada nel 2015, specializzata nella programmazione e nella simulazione offline, ha ufficialmente annunciato che collaborerà con Keba, realtà che vanta oltre 30 anni di esperienza nella robotica industriale e che, con la piattaforma di automazione...
-
Formazione multi-brand con Sacchi in automazione industrialeSacchi Elettroforniture, azienda di riferimento nella distribuzione di materiale elettrico e rinnovabili del Nord Italia, prosegue nel suo programma di formazione dedicato a tutti i professionisti del settore elettrico, con l’obiettivo di formare i prossimi esperti e...
Scopri le novità scelte per te
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezione
Moxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora...
Notizie Tutti ▶
-
Economia circolare, Siemens e Osai GreenTech al recupero dei metalli preziosi dai RAEENell’economia lineare l’estrazione, la lavorazione e lo smaltimento dei metalli preziosi comportano un consumo...
-
1° ottobre, appuntamento con la II edizione dell’IO-Link DaySulla scia del successo della prima edizione, torna l’evento di Consorzio PI Italia dedicato...
-
Hewlett Packard e Danfoss insieme per ridurre il consumo energetico nei data centerHewlett Packard Enterprise e Danfoss collaborano per la fornitura di HPE IT Sustainability Services...
Prodotti Tutti ▶
-
Sensori di corrente a rilevamento magnetico di Allegro per industria, automotive ed energie rinnovabiliAllegro MicroSystems ha sviluppato i sensori di corrente ad alta potenza ACS37220 e ACS37041,...
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezioneMoxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024...
-
Refrigeratori di acqua di processo ecologici di Parker a basso GWPParker Hannifin ha sviluppato Hyperchill Plus-E, un nuovo refrigeratore ecologico per processi industriali utilizzato...
