Как стать автором
Обновить

Комментарии 35

Уже лет 10 как идёт такая потеха. Развитые страны (США) взламывают софт, выпускаемый развитыми странами (США), которые недоразвитые страны (Иран) используют для автоматизации своей промышленности. Всё на глобальном государственном уровне.
а почему нельзя оставить комп(ы), где делаются важные детали без подключения в Интернету? Ну вот есть КБ, у всех на компах условный SolidWorks, между ними локалка, есть сервер локальный, куда все скидывают на хранение и бэкап результаты своей работы, и всё, никаких угроз. Объясните, пожалуйста!
Можно и нужно. Но всегда в числе персонала (или даже начальников) найдётся «самый умный/»мневсёможнояначальник" деятель, который «волшебным образом» запорет все усилия ИБшников. Способов масса. И невнимательный конструктор, который не смотрит на дату правки своих же файлов, не проверяя их перед сдачей в продакшен тоже. Будет целесообразно взламывать- взломают.
Дату изменения файла в большинстве случае подделать проще простого. Её проверка ничего не гарантирует.

Что-то гарантировать может только цифровая подпись в том или ином виде. Для начала хотя бы хранение проектных файлов в VCS.
На практике возникают сотни ситуаций: заказчику необходимо оперативно отправлять конструкторам изменения в ТЗ, конструкторам необходимо согласовывать с заказчиком чертежи (отправить рендеры и получить ответ), гуглить в сложных ситуациях как решить ту или иную проблему, необходимость обновлять софт, потребность использовать облачные функции САПР, бухгалтерия требует отчетность по материалам, а конструктора по наличию на складе и т.д. По началу проблема решается бесконечными флешками. Потом устанавливается второй компьютер с интернетом (возможно с удаленным доступом к нему), постепенно вся работа переходит на этот компьютер, начинается бардак и озлобленные инженеры обращаются к руководству с просьбой вернуть интернет на рабочие места «и вообще сделайте как у людей».
По сути эта атака — фальсификация технической документации. Такая атака может быть выполнена и на бумажную документацию без компьютеров и интернета.
В Иране так и было. Проблема в том, что зловреды типа Stuxnet вовсе не нуждаются в Internet, им достаточно флешек.
Про хакера и солонку 2016.
Надеюсь, никто не будет слушать этих чудаков и встраивать шифрования в 3D принтеры. И так у многих моделей процессор загружен настолько, что во время печати интерфейс тормозит.
Деревенский вариант: Никто не запирает нужники! Если прокрасться к чужому нужнику, можно срать бесплатно!
Но я и так могу срать не снимая свитер!

image
Согласен. Пару месяцев назад был ещё пост про передачу данных с компьютера путём изменения скорости вращения кулера и подслушивания его шума, со скоростью пару байт в минуту. Правда, для этого нужно подсунуть подслушивающее устройство, отсылающую и вертящую кулер программу, да ещё и компьютер с кулерами (привет неттопам и ультрабукам). Практическая ценность плющит ноль, теоретическая — троллейбус из хлеба или удаление гланд через зад («ну ведь смогли же!»).

Так и тут.
Атаки бывают разные, иногда есть только односторонний канал а хочется получить результат — тогда и становятся актуальными методы вроде передачи данных через кулер или путём управления энергопотреблением системы, чтобы считать данные в более доступном и менее охраняемом месте — энергораспределителе.
То есть не отредактированный распечатанный на 3d принтере пропеллер проработал бы дольше? Ишь, до чего техника дошла, а…
Случай интересный, только вряд ли его можно считать прецедентом. Классический промышленный саботаж, только реализован он посредством взлома компьютера, видимо поэтому случай можно причислить к «информационной безопасности».
А к шифрованию в 3D принтерах это не имеет никакого отношения — экспериментаторы просто поменяли сохраненную на компьютере пропеллера, на принтер модель отправлялась в абсолютно неизменном относительно компьютера состоянии.
Т.е. по сути дела «хакеры» получили доступ к фалам проекта и заменили их на специально отредактированные с внесенными конструктивными изменениями влияющими на механические свойства детали, причем изменения вносили ручками. Ну тут, как то заголовок «Взлом 3D-печати деталей для саботажа работы будущего устройства» не вяжется… банальная замена файлов проекта. Так можно и «Взлом 1С: Предприятия для саботажа работы ООО Рога и Копыта» осуществить получив доступ к БД предприятия и там банально подправив зарплаты сотрудников.

1) Станки ЧПУ используются уже очень давно. Что мешает изменить программу работы какого-нибудь ЧПУ фрезерника и получить тот же эффект? По сути дела технология производства (3D-печать, фрезерование, лазерная резка, что-то ещё) тут не принципиальна, только доступ злоумышленника к компьютеру и наличие уязвимости (в данном случае помимо прочего использована социальная инженерия).
2) Раз уж получен доступ к компьютеру, то можно, например, было подредактировать прошивку заливаемую в дрона/пульт управления. В этом случае эффект можно сделать куда интереснее.


По факту статья "если получить доступ к компьютеру, управляющий производством чего-либо, то можно это что-либо испортить". Мне кажется или похоже на высказывание К. О.?

Какой вообще смысл в подобной атаке? 3д-принтеры это инструменты прототипирования а не производства, и понятно, что после того, как прототип грохнется, деталь пофиксят с риском обнаружить факт вмешательства.
3д-принтеры есть и для изготовления деталей из металла (не для прототипирования) и здоровенные для постройки домов (где-то на гиктаймсе кажется о таком пробегала статья).
С теслой зачет, а вот проблема принтера притянута за уши. Вид атаки стар, как .exe.
Я не понимаю, каким способом взлом компьютера и правка файла на нем стало взломом 3D-принтера?

Я понимаю, если бы они прошивку подправили, чтобы она вносила изменения в печать для строго определенных моделей, но то что описано в статье к 3D-печати имеет отношение только с точки зрения умения редактирования изделий в редакторе с целью ухудшения их механических характеристик…
Смысл в том что ломают не принтер а подрывают саму идею 3D-печати. отправляя файл на принтер ты уже не будешь уверен что в него не внесли изменения, которые заметить очень непросто. Особенно если модель очень сложна и каждый её элемент строго просчитан на компьютере, естественно что даже пристальное исследование модели человеком до печати или после не выявит ничего необычного — то может сделать лишь повторный расчет модели и сверка с прототипом.
Мы слишком доверяем компьютерам, а в особенности неизменности и неприкосновенности их памяти.
п.с. Контрольную сумму чтоли сверять каждый раз перед печатью модели… причем контрольку должен сам принтер просчитать и отобразить, отдельным контроллером перепрограммирование которого недоступно.
Ничего не подрывает, очередной «вопрос гигены» как мыть руки и чистить куки, тот-же Солид Воркс имеет в комплекте утилиты для расчета прочности и упругости детали. Просто для важных деталей, или параноики — для всех, перед печатью будут прогонять чертеж через проверку а потом сравнивать параметры с «контрольным замером» (для надежности распечатанным на бумажке).
Стоит заметить, что это уже будет не просто «взял и распечатал». Проблема в том что когда у вас крадут деньги из кошелька или пытаются расплатится белорусскими рублями вместо долларов это очевидно, а вот с печатью моделей — нет, нужно будет постоянно проверять не изменилась ли модель, а если её постоянно меняют(совершенствуют), где уверенность что одно из изменений не несёт вредоносную функцию?
Не нужно проверять изменилась ли модель или нет, нужно проверять ее ТТХ исходя из заданных параметров, а в этом не вижу особенно большой проблемы, в программировании спокойно цепляют на хуки гита автоматический прогон тестов, в принтерах есть встроенная проверка не печатают ли купюры, добавят и в софт 3д принтеров предпечатный прогон прочности с ворнингом «Ваша деталь вращения лопнет на оборотах Х в секунду при смене угла атаки убив всех окружающих, продолжить? Да/Нет».
Анализ свойств деталей слишком сложен чтобы его однозначно автоматизировать, а вдруг это и есть деталь безопасности которая должна при определённых условиях разрушится? Как специальный шов на баллонах или клапаны на электролитических конденсаторах…

Хотя… это откроет новый рынок — рынок антивирусных продуктов для… 3D-принтеров!
Таки да. А вообще для эмуляции прогнозируемого разрушения действительно понадобится софт получше, хотя на ПЕРВИЧНУЮ экспертизу хватит того, что до значения срабатывания прогнозируемого разрушения ничего не разрушается. В общем очередная гонка технологий защиты и нападения, хотя теперь более красочная и эффектная чем раньше кто кому документ ворда завирусит.
Почемы бы просто не подписывать файлы 3д моделей?
Когда идёт постоянная их доработка? Это не вариант…
Тут скорей СКВ поможет, тогда хотябы можно будет определить момент внедрения вредоносных изменений.
если инструменты будут удобными, почему бы и не подписывать… если устройство подписи и контроля за целостностью (перед подписью выдается лог изменений с прошлой подписи) будет находиться 'на теле' разработчика, защищенное и не подключенное к сети, а не в этом компьютере.

но таковых не наблюдается
Неразрушающий и разрушающий контроли были есть и будут… И даже самые точные детали проходят контроль качества…
Самые точные и ответственные детали обязательно проходят ОТК. А китайские игрушки в лучшем случае на глазок осматривают :)
Это ещё что. Вот если бы произошёл взлом одной машины которая записывает прошивку 3D принтеров… Или произошло заражение источника ПО (установочные диски или прошивка) машин которые записывают прошивку 3D принтеров…
т.е. на обычный контроль версий все наплевали?
например, у нас, чтобы финальный файл испортить — надо взломать комп админа и подменить 3Д детали (ну или станка, но у него нету постоянного и-нета, фиг попадешь)

п.с. обычный юзверь ака конструктор, после «выпуска/финализации 3Д» поменять уже деталь/сборку не может (только официальный путь — извещение об изменении, но тут хакеры сломаются о бюрократию :) )
Раньше были безобидные вирусы, выводящие на экран что-нибудь весёлое. Скоро они будут самостоятельно печатать на 3D-принтерах всякую фигню.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.