Cerca nel blog

2018/09/07

Stampanti 3D vulnerabili via Internet, che male possono mai fare?

Su Internet ci sono varie migliaia di stampanti 3D non protette e quindi comandabili a distanza. Una delle principali autorità di sicurezza informatica, il SANS Internet Storm Center, ha infatti pubblicato un avviso per chi usa stampanti 3D con OctoPrint, un’interfaccia di controllo remoto.

OctoPrint è comodissima per comandare a distanza la stampante e sorvegliarla durante il lungo processo di creazione di oggetti tridimensionali, ma va protetta con una password, altrimenti chiunque può prendere il comando della stampante via Internet.

Trovare le stampanti vulnerabili è facilissimo, grazie agli appositi motori di ricerca come Shodan: ce ne sono 45 in Svizzera, 77 in Italia, e in totale 4170 nel mondo.

Magari vi state chiedendo che rischio ci possa mai essere nel lasciare una stampante 3D accessibile a chiunque via Internet. Il massimo che possono fare è stampare qualcosa di scurrile per farvi uno scherzo e consumarvi un po’ di materiali, no?

Non proprio. È importante esercitare la creatività per capire come ragionano e cosa possono fare gli aggressori informatici. Per esempo, tramite Octoprint un intruso può scaricarsi le istruzioni di stampa contenute nella stampante: se la stampante appartiene a un’azienda che la usa per stampare prototipi di nuovi prodotti, per esempio macchine per caffé o smartphone, il ficcanaso potrebbe portarsi via segreti industriali oppure alterare le istruzioni in modo poco visibile per sabotare il prodotto.

Ma si puo fare di peggio: una stampante 3D ha motori e resistenze di riscaldamento. Un intruso potrebbe riprogrammare questi componenti (il firmware è spesso aggiornabile da remoto) e farli surriscaldare, danneggiando irreparabilmente la stampante o dandole fuoco.

Va detto che questa vulnerabilità è colpa dell’utente: OctoPrint infatti avvisa esplicitamente di non attivare l’accesso via Internet non protetto, che non è affatto l’impostazione predefinita. Anzi, l’utente deve sceglierla intenzionalmente.

Nessun commento: