Скрытая опасность — 3D принтеры, подключенные к интернету

Сегодня все больше и больше людей подключают свои 3D принтеры к интернету. Всё большее число открытых и коммерческих проектов постарались сделать 3D принтеры более доступными в сети. А кто-нибудь задумывался о сетевой безопасности? Как легко будет кому-то найти дыру в этих сетевых услугах и подключиться к ним, чтобы получить контроль над вашими принтерами?

Флориан Хорск, опытный конструктор, со своими коллегами из высокопрофессиональной компании по IT безопасности ERNW изучал уровень безопасности таких сетевых решений как OctoPrint. Идея Флориана заключалась в том, чтобы усовершенствовать общую безопасность и рассказать пользователям о возможных злоупотреблениях. Вот, что он написал:

«Я попросил у своего коллеги Никлауса Ниесса присмотреться к самому популярному проекту под названием OctoPrint. Идея заключалась в том, чтобы отыскать некоторые примеры в интернете и посмотреть, к чему это приведет в дальнейшем. Через день он ответил и детально описал, к чему может привести сканирование портов. Ну, это не интересно. Что более интересно, он сказал, что существует довольно элегантный способ сделать это с помощью взлома Google».

Джина Хобге, изобретатель и главный разработчик OctoPrint, включила в GitHub обязательный ID в качестве примера для более простого устранения проблем пользователей. Поскольку многие новички плохо разбираются во всех нюансах работы своих устройств, они не задумываются о том, как предотвратить доступ к их системе. В итоге получается, что незащищенные, доступные примеры OctoPrint абсолютно открытые.

Собрав эти общедоступные версии и поискав их с помощью командной строки Google можно легко найти несколько примеров.

Никлаус нашел несколько случайных работающих серверов OctoPrint. С помощью одного поиска в интернете и нажатия одной клавиши можно посмотреть на гостиную хозяина 3д принтера. Подключив Pi камеру (или любую другую вебкамеру) к Raspberry вы сможете получить живой поток через OctoPrint, чтобы контролировать печать своего изделия. Что еще интересней: вы можете автоматически записывать на видео процесс печати.

Вы можете контролировать то, что делает сам принтер: перемещение осей, начало и завершение печати, запуск лицензионных кодов, а также вы можете устанавливать температуру печатающей головки. Вряд ли вы захотите, чтобы к управлению температурой печатной головки у всех был публичный доступ! Если ваш 3D принтер не установит предельную температуру автоматически правильно, несанкционированный пользователь может повысить температуру, установив такую, которая превышает предел плавления тефлона. Когда температура доходит до 300 °C, начинают выделяться токсичные полимерные пары. В результате всего в течение всего нескольких секунд можно получить серьезные повреждения легких.

Джина очень быстро действовала и закрыла доступ к управлению всеми новыми версиями OctoPrint. Вдобавок она внесла еще несколько изменений robots.txt по умолчанию, а также запретила новым неопытным пользователям использовать OctoPrint в качестве сетевого пользователя. Тем не менее, рекомендуется использовать дополнительные меры, чтобы в дальнейшем защитить свой 3D принтер от несанкционированного доступа. Например, с помощью правильной конфигурации .htaccess и ограничивающих настроек браузера на вашем домашнем роутере. Если все это превышает возможности начинающих пользователей 3D принтером, тогда снова возникает вопрос: стоит ли каждый новый гаджет подключать к интернету?



Представляем Kayan: эксклюзивный 3D печатный абажур для Plumen

United Nude представляет коллекцию 3D печатной обуви от Захи Хадид и Бена ван Беркеля

Алексис Уолш представляет новую модную коллекцию LYSIS Collection, созданную с помощью 3D печати