Uma equipa de investigadores liderada pela empresa espanhola Alias Robotics , especializada em cibersegurança robótica, juntamente com especialistas em cibersegurança de várias multinacionais e profissionais de cibersegurança de vários governos, descobriram cerca de quinze vulnerabilidades perigosas, algumas críticas, no Robot Operating System (ROS) e nos protocolos de comunicação DDS que afetam sistemas industriais e robôs, além de áreas como saúde e defesa. Se essas vulnerabilidades são usadas por cibercriminosos podem trazer “consequências devastadoras", segundo os pesquisadores da Alias Robotics.
Profissionais de robótica e segurança de TI da empresa Alias Robotics na Espanha colaboraram nos últimos meses com especialistas em segurança de todo o mundo na detecção de vulnerabilidades de segurança no Robot Operating System (ROS) e no middleware de comunicações de software DDS (“Data Distribution Service ”), presente em muitos sistemas (carros autônomos, braços robóticos industriais, sistemas aeroespaciais, equipamentos militares, infraestrutura crítica, e outros), bem como em robôs industriais.
Em particular, as vulnerabilidades afetam o DDS, um 'software intermediário' (chamado middleware) que é o principal barramento de comunicação entre diferentes dispositivos robóticos, ou seja,o núcleo do ROS 2 (Robot Operating System), que é usado pela maioria dos engenheiros de robótica para todos os tipos de robôs industriais atuais ou futuros, com aplicações no mundo empresarial, no campo industrial, mas também no mundo da saúde, como é o caso dos robôs cirúrgicos. Um estudo independente sugere que o uso de ROS crescerá significativamente nos próximos anos e que até 2024, 55% dos robôs comercializados usarão ROS.
O DDS é uma tecnologia de comunicação de middleware ainda amplamente insegura, usada em áreas onde a segurança é muito importante, portanto, o investimento em segurança cibernética é necessário imediatamente, diz a empresa de segurança cibernética. Ela também considera que os tempos de resposta dos fabricantes de DDS são muito longos, “o que expõe muito esses sistemas a ataques cibernéticos”, diz Víctor Mayoral-Vilches, pesquisador líder em segurança cibernética de robôs da Alias Robotics e fundador da startup.
Continua depois da publicidade |
Em sua opinião, “os cibercriminosos podem hoje usar essas vulnerabilidades para paralisar robôs e infraestruturas críticas em todo o mundo aproveitando o DDS”. A empresa vitoriana alerta que é necessário que as empresas de robótica e automação invistam em cibersegurança e cooperem “com grupos qualificados em cibersegurança de robôs”.
De acordo com os pesquisadores, boa parte dessas vulnerabilidades “não foram corrigidas ou mitigadas pelos fabricantes que atendem as empresas de robótica hoje”.
A equipe de pesquisadores chegou a detectar até 13 vulnerabilidades de segurança - alguns classificados como "críticos" por especialistas em segurança cibernética -, o que pode afetar tanto os trabalhadores quanto os usuários que lidam com robôs industriais que incluem este software DDS. Com base na imaturidade de segurança do DDS, o aparecimento de novas vulnerabilidades que afetam o DDS nos próximos meses não é descartado.
Uma das conclusões é que essas vulnerabilidades estão presentes em quase 650 dispositivos diferentes usados em diversas áreas de aplicação ao redor do mundo. A equipe da Alias Robotics detectou dispositivos afetados por essas vulnerabilidades em organizações como a NASA, mas também em data centers globais (Huawei Cloud Service), grandes multinacionais industriais (Siemens), além de hospitais, bancos e universidades em 34 países, afetando 100 organizações por meio de 89 Provedores de Serviços de Internet (ISPs) .
Essas vulnerabilidades detectadas podem levar à perda de controle do dispositivo robótico, sua total perda de segurança, a negação de serviços por força bruta, a possibilidade de facilitar o acesso ao dispositivo por meio da exploração de serviços remotos, problemas na cadeia de suprimentos ou o fato de que os invasores abusam dos próprios protocolos de segurança para criar um canal de comando e controle eficiente .
Os autores do estudo, descobriram que muitas dessas vulnerabilidades de segurança - algumas mesmo com o código-fonte (proprietário) exposto ao público - estão abertas "há muito tempo, até anos, então hoje os cibercriminosos podem usá-las para paralisar infraestrutura em todo o mundo”, segundo Víctor Mayoral-Vilches.
"Muitos fabricantes de dispositivos robóticos ainda priorizam o desenvolvimento de seus negócios e continuam ignorando a segurança cibernética”, diz Mayoral-Vilches. O pesquisador destaca que muitos dos fabricantes se recusam a resolver os problemas “porque se o fizessem não estariam de acordo com a norma/especificação DDS”. "Este é um problema de magnitude”, enfatiza, “já que a revisão do padrão DDS pode levar anos para ser devidamente revisada”.
Gostou? Então compartilhe: