Gli ambienti di programmazione per robotica industriale nascondono pericolosi difetti e vulnerabilità

Il settore dell’automazione è impreparato a gestire queste criticità. Trend Micro e il Politecnico di Milano rivelano nuovi rischi e rilasciano una guida pratica per lo sviluppo sicuro di infrastrutture OT

Pubblicato il 19 agosto 2020

Trend Micro e il Politecnico di Milano presentano una nuova ricerca che rivela alcune pericolose funzionalità nei linguaggi di programmazione per robotica industriale e una guida pratica per ridurre la superficie di attacco grazie a un codice più sicuro, riducendo così le interruzioni di business negli ambienti OT.

La ricerca, dal titolo “Rogue Automation: Vulnerable and Malicious Code in Industrial Programming”, vede come autore principale il ricercatore italiano Federico Maggi di Trend Micro Research ed è stata condotta in collaborazione con Marcello Pogliani del gruppo di sicurezza informatica del Politecnico di Milano. La ricerca descrive come alcune caratteristiche — poco discusse nel mondo della cybersecurity — dei linguaggi di programmazione per robotica industriale possano portare a programmi di automazione vulnerabili e, d’altra parte, possono permettere a un aggressore di creare nuove tipologie di malware persistente.

Questi punti deboli possono consentire agli attaccanti di prendere il controllo dei robot industriali e simili macchinari al fine di danneggiare linee di produzione o impossessarsi di proprietà intellettuale. In base alla ricerca, il mondo dell’automazione potrebbe essere impreparato a rilevare e prevenire queste criticità, perché finora non sono mai state affrontate. Inoltre, è fondamentale che il settore inizi ad adottare e seguire le best practice, per mettere in sicurezza il codice, che sono state condivise con gli industry leader come risultato di questa ricerca.

“Una volta che i sistemi OT sono collegati alla rete, applicare patch o aggiornamenti è quasi impossibile ed è per questo che una sicurezza a priori diventa un fattore critico”. Ha affermato Bill Malik, vice president of infrastructure strategies for Trend Micro. “Al giorno d’oggi, la spina dorsale dell’automazione industriale si basa su tecnologie legacy che troppo spesso contengono vulnerabilità latenti come Urgent/11 e Ripple20, o varietà di difetti nell’architettura come ad esempio Y2K. Non vogliamo limitarci a sottolineare queste sfide, ma ancora una volta assumere la guida della security nell’Industry 4.0, offrendo una guida concreta per la progettazione, la scrittura del codice, la verifica e la manutenzione attraverso strumenti in grado di scansionare e bloccare codici maligni e vulnerabilità”.
Linguaggi di programmazione che possiamo considerare “legacy”— in quanto cuore delle moderne catene di produzione — come ad esempio RAPID, KRL, AS, PDL2 e PacScript sono stati progettati senza considerare un aggressore attivo. Sviluppati decenni fa, sono ora diventati essenziali per le attività critiche di automazione nei settori automotive come nelle filiere alimentari e nell’industria farmaceutica, ma non possono essere messi al sicuro facilmente.

Le vulnerabilità non sono l’unica preoccupazione nei programmi di automazione che utilizzano questi linguaggi. I ricercatori hanno dimostrato come una nuova tipologia di malware in grado di auto-propagarsi potrebbe essere creata utilizzando uno di questi linguaggi come esempio.
Trend Micro Research ha lavorato a stretto contatto con il Robotic Operating System (ROS) Industrial Consortium — un’autorità internazionale in campo di robotica industriale — per proporre delle raccomandazioni con l’obiettivo di ridurre l’impatto delle criticità identificate .
“Molti robot industriali sono progettati per reti di produzione isolate e utilizzano linguaggi di programmazione legacy”. Ha affermato Christoph Hellmann Santos, Program Manager, ROS-Industrial Consortium Europe. “Possono essere vulnerabili agli attacchi nel momento in cui sono connessi a una rete IT. Per questa ragione, ROS-Industrial e Trend Micro hanno collaborato per sviluppare delle line guida per un corretto e sicuro settaggio delle reti per il controllo dei robot idustriali, attraverso il Robotic Operating System”.

“Lavorare con questi sistemi è un po’ come fare un tuffo nel passato: vulnerabilità adesso rare nei tradizionali sistemi IT (come le applicazioni web, ad esempio), si ripresentano attraverso questi linguaggi di programmazione, poco conosciuti ma estremamente critici”. Afferma Federico Maggi, e continua: “Nei prossimi anni il mondo dell’automazione industriale dovrà affrontare le sfide delle vulnerabilità che il mondo IT ha gestito negli ultimi 20 anni”.

Come dimostrano le linee guida, i programmi di automazione industriale, seppur basati su linguaggi “legacy”, possono essere scritti in diversi modi per ridurne i rischi.
Di seguito la checklist essenziale che Trend Micro e Politecnico di Milano propongono per la scrittura di programmi di automazione industriale sicuri:

  • – Trattare i macchinari industriali come se fossero computer e i task program come codice sorgente potenzialmente pericoloso
  • Autenticare ogni comunicazione
  • Implementare policy per il controllo degli accessi
  • Eseguire sempre la validazione degli input
  • Eseguire sempre la sanificazione degli output
  • Implementare una gestione degli errori senza esporre i dettagli
  • Implementare una configurazione appropriata e procedure di deployment

Inoltre, Trend Micro Research e Politecnico di Milano hanno sviluppato uno strumento per rilevare codice maligno o vulnerabilità all’interno dei task program, prevenendo eventuali danni al momento della loro esecuzione.

Come risultato di questa ricerca, sono state identificate feature critiche per la sicurezza nelle principali otto piattaforme di programmazione di robot industriali e un totale di 40 istanze di vulnerabilità di codice open source. Un vendor ha rimosso il proprio programma di automazione vulnerabile e altri due sono stati avvisati, dando il via a discussioni per migliorare i propri strumenti. I dettagli delle vulnerabilità sono stati condivisi anche dal ICS-CERT alla propria community, attraverso un alert.

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA e verranno illustrati anche alla conferenza ACM AsiaCCS conference a Taipei nel mese di ottobre.

Il report completo è disponibile a questo link



Contenuti correlati

  • Cybersecurity da 4.0 a 5.0

    La protezione di impianti e macchine nell’industria come nelle utility costituisce un ‘must’ per garantire il successo dei processi di digitalizzazione in ottica 4.0 e, in un futuro ormai prossimo, 5.0 Leggi l’articolo

  • Verso una nuova era della robotica

    Robot collaborativi, robot mobili e di servizio: il mondo della robotica industriale tradizionale sta cambiando, aprendo a nuove tecnologie e applicazioni. I robot al servizio dell’uomo, sempre più facili da usare, sono i protagonisti della nuova fase...

  • Alla scoperta dei punti deboli delle macchine a controllo numerico

    La quarta rivoluzione industriale, più comunemente nota come Industry 4.0, ha cambiato il modo di operare delle fabbriche, dove l’adozione di tecnologie relativamente nuove, tra cui i macchinari industriali come le macchine a controllo numerico computerizzato (CNC), consente...

  • Verso una nuova era della robotica – versione integrale

    Robot collaborativi, robot mobili e di servizio: il mondo della robotica industriale tradizionale sta cambiando, aprendo a nuove tecnologie e applicazioni. I robot al servizio dell’uomo, sempre più facili da usare, sono i protagonisti della nuova fase di Industria 5.0....

  • Allianz Risk Barometer 2023: i rischi più sentiti dalle aziende

    L’Allianz Risk Barometer 2023 parla di stabilità e cambiamenti. Per il secondo anno consecutivo, gli Incidenti informatici e l’Interruzione delle attività rappresentano i principali timori delle aziende (entrambi con il 34% delle risposte). Tuttavia, i Cambiamenti macroeconomici come...

  • OnRobot guida la crescita del mercato con D:PLOY

    Nel rispetto della propria missione di abbattere le barriere dell’automazione e portarne i vantaggi ad aziende di ogni dimensione, OnRobot introduce D:PLOY, la prima piattaforma automatizzata del settore per la creazione, esecuzione, monitoraggio e ridistribuzione di applicazioni...

  • MindSphere World insieme al Politecnico di Milano premia l’innovazione per l’Industria 4.0

    Si è concluso lo Student Contest indetto dall’Associazione promotrice della digitalizzazione industriale MindSphere World, insieme al Laboratorio Industria 4.0 “Marco Garetti” del Dipartimento di Ingegneria Gestionale del Politecnico di Milano e alla Fondazione Politecnico di Milano. Un’iniziativa...

  • Hacking dei server ICS Historian: punto di snodo dalla rete IT ai sistemi OT

    I server historian vengono utilizzati all’interno delle reti aziendali ormai da molto tempo. Questi database critici, infatti, non solo archiviano i dati raccolti dai sistemi di controllo industriale, ma si estendono anche alla rete aziendale condividendo le...

  • Cybersecurity e protezione dei dati: due facce della stessa medaglia

    Nella Relazione Annuale presentata a luglio 2022, il Garante per la protezione dei dati personali ha evidenziato che dal 1° gennaio 2021 al successivo 31 dicembre sono state notificate 2.071 violazioni dei dati personali, il 50,5% da...

  • 2023: il tema cruciale è la cybersicurezza

    La sicurezza dei dati è oramai uno dei pilastri portanti delle aziende. L’escalation delle cyber-minacce continua a crescere con preoccupante costanza anno per anno. Ad esempio, poche settimane fa avevamo analizzato e spiegato l’ultima tipologia di minaccia...

Scopri le novità scelte per te x

  • Cybersecurity da 4.0 a 5.0

    La protezione di impianti e macchine nell’industria come nelle utility costituisce un ‘must’ per garantire il successo...

  • Verso una nuova era della robotica

    Robot collaborativi, robot mobili e di servizio: il mondo della robotica industriale tradizionale sta cambiando, aprendo a...