Arvutitel on viirusetõrjed, aga robotite turvaauke alles hakatakse lappima

0
Sõbralik kuni esimese häkkimiseni: teeningusrobor Pepper (Foto: Tokumeigakarinoaoshima / Wikipedia)

Me oleme juba harjunud teadetega, kuidas mõni veebiserver langeb rünnaku ohvriks või kuskil häkitakse massiliselt koduarvutitesse ning paroolid lekivad. Tegelikult on arvutimaailm kiiresti arenevate robotite maailmaga, kus olukord on küberturbe-ekspertide arvates kohati ikka väga hull, hästi turvatud. Kirjutab Kaido Einama.

Halvaks teeb olukorra see, et robotid on sisuliselt tarkvara abil juhitav metall, mille häkkimise korral võib lisaks mainekahjule ja andmete lekkele juhtuda palju muudki. Keegi ei välista, et pahatahtliku ründaja üle võetud robotmanipulaator või humanoidrobot hakkab füüsiliselt midagi lõhkuma või mis veel halvem – inimeste tervist ja elu ohustama. Paraku on see kõik juba võimalik, kui turvalisusele endiselt tähelepanu ei pöörata.

Sõbralik robot Pepper

Sõbralik teenindusrobot Pepper, mida on katsetanud ja kasutanud ka Elisa ja Telia, sattus hiljuti Skandinaavia turvaekspertide tõsise kriitika alla.

Pepperile on üsna lihtsalt võimalik administraatorkasutajana ligi pääseda, riistvaras kasutatakse protsessorit, mis on haavatav Meltdown/Spectre rünnakuga ning administreerimine käib üle krüpteerimata HTTP protokolli. See tähendab, et andmevahetus on pealtkuulatav ja vajadusel ka manipuleeritav. Paljud ettevõtted kasutavad Pepperit vaikimisi juursalasõnaga, mis teeb samuti roboti ründajale väga lihtsaks saagiks.

Örebro Ülikooli teadur Alberto Giaretta otsustas koostöös Michele De Donno ja Nicola Drgoniga Taani Tehnikaülikoolist läbi viia mõned elementaarsed rünnakud robotile. Nad avastasid, et roboti kaitse on auklik nagu Šveitsi juust – lekib pea igalt poolt. Lisaks sellele, et juurkasutaja salasõna oli kasutajajuhendis ära toodud ja seda ei saanud niisama lihtsalt muuta, oli võimalik robotit töövõimetuks teha ülekoormusrünnakutega (DoS) näiteks vale parooliga massiliselt pommitades. Pepper API abil on võimalik ligi pääseda Java rakenduste kaudu kõigile sensoritele, kaameratele, mikrofonidele ja liikuvatele osadele, mis teadlaste arvates on väga ebaturvaline ka inimestele, kes sellise ülevõetud roboti lähedusse satuvad. Lisaks on võimalik üle võrgu kaamerate ja mikrofonidega Pepperi ümbruses toimuvat salaja jälgida.

Väljapressimised muutuvad mõjukamaks

Juba 2017. aastal hoiatas Venemaa turvatarkvara tootja Kaspersky Lab, et robotite nõrk turvalisus võib anda uue hoo sisse väljapressimistarkvaradele. Mis oleks, kui keegi teatab, et vajadusel võivad robotid tema tehase või esindussalongi ära lõhkuda, kui lunaraha ei maksta? Tõestuseks teeb mõni tööstusrobot midagi kergemat katki, aga kui lunaraha ei maksta, lõhub tootmisliinil midagi tõsisemalt ära. Või mobiilioperaatorite juures populaarne sõbralik humanoidrobot hakkab esialgu näiteks ropendama, aga kui selle peale lunarahanõuet ei rahuldata, ründab juba salongis olevaid kliente ning suudab neile ka kehavigastusi tekitada.

Sel teemal kirjutasid möödunud aastal uurimistöö ka IOActive´i tehnoloogiajuht Cesar Cerrudo ning vanem-turvakonsultant Lucas Apa. Nende uurimuse pealkiri on hoiatamapanev: „Hacking Robots Before Skynet“ (Robotite häkkimine enne Skyneti). Skynet on Terminaatori filmides esinev tehisintellekt, mis võtab lõpuks üle robotid ja kõik võrku ühendatud seadmed.

Uurimistöö tulemusena leiti suuremaid ja väiksemaid turvaprobleeme terves reas kodu-, äri- ja tööstusrobotites, sealhulgas:

  • SoftBank Roboticsi NAO ja Pepperi kodu- ja teenindusrobotites
  • UBTECH Roboticsi Alpha 1S ja Alpha 2 robotites
  • ROBOTIS OP2 ja THORMANG3 robotites
  • Universal Robotsi UR3, UR5, UR10 tööstusrobotites
  • Rethink Roboticsi Baxter ja Sawyer tööstusrobotites
  • Asratec Corporationi V-Sido tehnoloogiat kasutavates robotites
Sõbralikuks disainitud Baxteri robot võib kurjami juhtimisel pahaks muutuda (Foto: U.S. Department of Energy / Wikipedia)

Millised on robotite põhilised turvaprobleemid?

Robotite turvaprobleemid võib üldiselt jagada kuude ossa:

  1. Ebaturvaline andmeside ja kommunikatsioon. Kui masinat saab üle võrgu juhtida ja seda ümber programmeerida, siis on väga oluline, et see toimuks turvaliselt. Robotile saab turvamata andmesidega valesid käsklusi anda või hoopis tarkvarauuendust tehes kogu tarkvara üle kirjutada.

Enamik roboteid suhtleb praegu üle avalike kanalite turvamata andmesidega, näiteks üle WiFi, Bluetoothi või külge ühendatud võrgukaabliga.

  1. Autentimisvead ja lohakused. Kui administraator logib roboti süsteemidesse, siis peab see olema turvaline ja hästi kaitstud. Põhivead on vaikimisi juurkasutaja parool, mida ei saa muuta või see on väga keeruline, samuti üldse salasõnaga kaitsmata roboti seadistamise osad, juhtkäsklustele allumine ilma käskluste andja turvalise autentimiseta jne.
  2. Nõrk krüpteerimine või selle puudumine. Eelmiste turvaprobleemidega tihedalt seotud krüpteerimisprobleemid tähendavad, et üle avaliku võrgu saadetud andmed on kas täiesti krüpteerimata või on krüpteering liiga nõrk, et kaitsta levinud nuuskimisvõtete eest. Ka robotid võivad hoida olulist infot, mille edastamine ja leke teeb ettevõttele või inimesele kahju. Väga oluline on krüpteerida ka tarkvarauuenduste kanal, et olla kindel usaldusväärsete uuenduste allalaadimises.
  3. Privaatsusprobleemid. Robotid tegutsevad ka näiteks meditsiinis ja teenindussfääris, kus töödeldakse kasutajate isiklikku infot. Euroopa Liidu uus andmekaitsedirektiiv, mis tuntud GDPR-i nime all, määrab andmelekete eest väga suured trahvid. Kui turvamata robot andmeid lekitab, siis see ei vabasta firmat vastutusest.
  4. Nõrk vaikimisi seadistus. Kui paljudel robotitel on turvaliseks ühenduseks ja andmekaitseks vahendid olemas, siis mõnikord ei ole need kasutajal sisse lülitatud, sest tootja on otsustanud vaikimisi seadetes turvavahendid välja lülitada. Selle põhjuseks on tagada kasutajale mugav roboti esialgne seadistamine. Hiljem aga ei pruugi kasutajal enam meeles olla või ta ei oska turvaseadeid aktiivseks teha.
  5. Kasutatakse turvaprobleemidega avatud lähtekoodi. Robotitööstus uueneb aeglasemalt kui tarkvaravaldkond ja üsna tihti jõuavad robotite juhttarkvarasse vabavaralised avatud lähtekoodiga programmid väga palju aega hiljem, kui neist on leitud juba turvaaugud ja need ära lapitud. Paraku robotitootja neid uuendusi ei pruugi kasutada ja keevitab tarkvarasse aastaid vana turvaohtudega programmikoodi.

Näiteks kasutatakse palju robotite operatsioonisüsteemi Robot Operating System (ROS), millel on olnud ohtralt turvaprobleeme. Ka üsna värsked operatsioonisüsteemi versioonid on saanud turvatäiendusi, mida alati kõik tootjad oma robotitel ei uuenda.

Sama ohtlik kui tuumapomm

Just sel põhjusel, et robootikas pole veel kõik 100-protsendiliselt turvaline ning lisaks muidugi sel põhjusel, et robotite kasutaja võib muuta need masinad inimeste jaoks ebaturvaliseks, kirjutasid mitmed tuntud tehnoloogiategelased eelmise aasta augustis alla avatud kirjale, et ÜRO keelustaks tapvad robotrelvad. Kui nunnu robotmänguasi väljub kontrolli alt ja hakkab laste ees ebatsensuurselt käituma, siis see on mõistagi ka probleem. Kui aga drooniparved või liikuvad humanoidrobotid pöörduvad inimeste vastu mõne turvaaugu kaudu neid üle võtnud pahalase juhtimisel, siis on kõige halvemad ulmefilmistsenaariumid juba pärisellu jõudnud.

 

Jäta kommentaar

Antud lehekülg kasutab küpsiseid, et parandada teie kasutuskogemust. Lehe sirvimise jätkamisel nõustud meie küpsiste kasutamise tingimustega. Sain aru Loe lähemalt