Hé, waar gaat mijn mobiele robot naartoe?

Met de digitale transformatie naar Smart Industry groeit het belang van cybersecurity in industriële omgevingen. Veel bedreigingen en aanvallen komen op ons af. Denk aan malware, ransomware, gerichte aanvallen door cybercriminelen of door de staat gesponsorde hackers, scriptkiddies die systeemkwetsbaarheden blootleggen en denial-of-service-aanvallen.

Logistieke robots worden steeds vaker toegepast in industriële omgevingen. Tweedejaars Fontys ICT & Cybersecurity-studenten hebben onder begeleiding van een docent een beveiligingsanalyse opgezet en uitgevoerd op een automatisch geleid voertuig (agv). Ze brachten verschillende ernstige problemen aan het licht.

Kwetsbaarheden

Een agv is een logistieke robot die wordt aangestuurd door zogeheten fleetmanagementsoftware. Deze stuurt transportopdrachten naar de robot, dat wil zeggen: de coördinaten voor de missie die het voertuig moet uitvoeren. De agv kan navigeren met behulp van kaarten die in zijn geheugen zijn opgeslagen. Hij is uitgerust met veiligheidssystemen zoals contactbumpers en lidar om te voorkomen dat hij onderweg tegen obstakels of mensen botst.

Een van de bevindingen van de studenten was dat de communicatie tussen de fleetmanagementsoftware en de agv niet was versleuteld en zonder enig authenticatiemechanisme gebeurde. Dit maakt man-in-the-middle-aanvallen en het invoeren van valse coördinaten mogelijk. Als gevolg hiervan zouden kwaadwillenden de robot naar willekeurige locaties kunnen sturen.

Na wat experimentjes ontdekten de studenten dat de controleberichten waren samengesteld uit een x- en y-coördinaat en een rotatie, opgeslagen als hexadecimaal opgemaakte 64-bits double values. Met behulp van eenvoudige scripts konden ze de agv volledig geautomatiseerd besturen. Hiermee hadden de studenten de mogelijkheid om het logistieke proces in gevaar te brengen of de agv zelfs te stelen. Andere aanvallen waren ook mogelijk, zoals het aanpassen of verwijderen van kaartinformatie of het toevoegen van missies bestaande uit meerdere bestemmingen die worden opgeslagen en vervolgens zelfstandig worden uitgevoerd.

Er was wel authenticatie nodig om toegang te krijgen tot de fleetmanagementsoftware, maar deze werd in platte tekst over het netwerk verzonden. Een aanvaller die op het netwerk meeluistert, kan het wachtwoord dus eenvoudig achterhalen en in de software inbreken, waardoor hij de instellingen en het beheer van de hele agv-vloot kan overnemen.

Ook het besturingssysteem en de configuratie van het agv-systeem hadden te kampen met zwakke plekken in de beveiliging. Toegang tot het systeem was mogelijk via SSH, Telnet en FTP. De laatste twee communicatieprotocollen zijn echter allebei onveilig omdat ze geen encryptie en authenticatie hebben. Met behulp van wachtwoordaanvallen konden de studenten via Telnet- en FTP-toegang krijgen. Via FTP kunnen aanvallers de opgeslagen omgevingskaarten aanpassen, waardoor ze de agv een verkeerd beeld van zijn omgeving kunnen geven.

Er draaiden ook ongebruikte services op het systeem, zoals een webserver met een paar webpagina’s. Deze webfunctionaliteit werd niet vermeld in de systeemdocumentatie en leek geen enkel doel te dienen. Zulke onnodige systeemservices vergroten de aanvalsmogelijkheden en het risico op kwetsbaarheden in de software.

Alle gevonden kwetsbaarheden zijn gecommuniceerd naar de ontwikkelaar van de agv, die actie heeft ondernomen om de beveiliging te verbeteren. De draadloze router op de mobiele robot is geconfigureerd zodat onnodige poorten zijn geblokkeerd en er zijn richtlijnen toegevoegd aan de gebruikershandleiding, inclusief advies over het gebruik van sterke wachtwoorden en netwerkscheiding. Dit lost de niet-versleutelde communicatie zelf niet op, maar verkleint de kans dat een aanvaller toegang krijgt tot het netwerk en de agv. De leveranciers van de software en componenten zijn ook benaderd met het verzoek om de communicatie en systeembeveiliging te verbeteren.

Beveiligingsverbetering

Het toenemende gebruik van robots in industriële en logistieke omgevingen zorgt voor nieuwe cybersecurity-gerelateerde eisen en uitdagingen. Smart Industry-ontwikkelingen stellen in het algemeen steeds meer eisen aan internetconnectiviteit en gegevensbescherming. De industrie is gewend om te werken met formeel veiligheidsbeheer om fysieke schade, milieuschade en menselijk letsel te voorkomen, maar als de beveiliging niet kan worden gegarandeerd, kan de veiligheid ook in gevaar komen. Daarom moeten standaard it-beveiligingsprincipes, beveiligingsprocessen en beveiligingscontroles worden toegepast in deze operationele technologie-omgevingen, van authenticatie en sterk wachtwoordbeleid tot firewallbescherming en veilig beheer op afstand.

De beschikbare opties en oplossingen voor beveiligingsbedreigingen verschillen in ot- en it-omgevingen. In ot zijn realtimeprestaties belangrijk, onderhoudstijden beperkt en schaars, en software-updates en updateprocedures een stuk zeldzamer. Met deze beperkingen is de beveiliging meer afhankelijk van aanvullende beveiligingscontroles, zoals netwerkscheiding met strikte firewallfiltering tussen it- en ot-netwerken. Beveiligingsmonitoring en inbraakdetectie helpen ook om te beschermen, zelfs zonder de realtimeprestaties te verstoren, maar om dit helemaal van scratch op te bouwen, kost tijd en moeite.

De sleutelcomponenten bij het verbeteren van de beveiliging zijn beveiligingsbewustzijn in alle organisatielagen, regelmatige penetratietests, risicoanalyse, incidentregistratie en een plan-do-check-act-cyclus in beveiligingsbeheer. De beveiligingsanalyse van Fontys laat ook zien dat het een gecombineerde verantwoordelijkheid is van componentenleveranciers, systeemintegratoren en de operationele organisatie die de agv’s gebruikt. Er zijn beveiligingslekken gevonden, maar met deze input zijn ook acties ondernomen om de beveiliging te verbeteren.

Casper Schellekens, Teade Punter, Ron Mélotte, Tom Broumels en Lake Lakeman maken deel uit van de onderzoeksgroep High Tech Embedded Software van Fontys Hogescholen in Eindhoven.