Oct 09, 2023
Indústria 4.0: Riscos de segurança de máquinas CNC Parte 2
Ameaças cibernéticas Esta série de blog em três partes explora os riscos associados ao CNC
Ameaças cibernéticas
Esta série de blog em três partes explora os riscos associados às máquinas CNC
Por: Trend Micro 01 de dezembro de 2022 Tempo de leitura: ( palavras)
Salvar no Fólio
Na primeira parte, discutimos o que as máquinas de controle numérico fazem e seus conceitos básicos. Esses conceitos são importantes para entender melhor as máquinas, oferecendo uma visão mais ampla de suas operações. Também descrevemos como avaliamos os fornecedores escolhidos para nossa pesquisa.
Neste blog, continuaremos discutindo nossos fornecedores avaliados e destacando as descobertas que descobrimos durante nossa pesquisa.
Haas
A Haas foi o primeiro fornecedor em que nos concentramos devido à rápida disponibilidade de seu controlador. Iniciamos nossa análise realizando varredura de portas no simulador do controlador e identificando os protocolos expostos pelo controlador. Em seguida, avaliamos as opções com as quais um invasor poderia abusar dos protocolos para realizar ataques voltados à segurança da máquina e verificamos esses ataques na prática em uma instalação de máquina do mundo real.
Ler
A Okuma se destaca no mercado de controladores CNC por uma característica interessante: a modularidade de seu controlador. Embora o fornecedor ofereça na forma mais simples do dispositivo um pequeno controlador, ele também fornece um mecanismo, chamado THINC API, para personalizar altamente as funcionalidades do controlador. Com essa tecnologia, qualquer desenvolvedor pode implementar um programa que, uma vez instalado, roda no contexto do controlador, na forma de uma extensão. Esta abordagem é muito semelhante à forma como uma aplicação móvel, uma vez instalada, pode estender as funcionalidades de um smartphone.
Heidenhain
No espírito do paradigma da Indústria 4.0, a Heidenhain oferece a interface Heidenhain DNC para integrar máquinas em lojas modernas e digitais. Entre os muitos cenários, Heidenhain DNC permite a troca automática de dados com sistemas de aquisição de dados de produção e máquina (MDA/PDA), planejamento de recursos empresariais (ERP) de nível superior e sistemas de execução de manufatura (MESs), sistemas de gerenciamento de inventário, design auxiliado por computador e sistemas de manufatura (CAD/CAM), sistemas de controle de atividades de produção, ferramentas de simulação e sistemas de gerenciamento de ferramentas
Em nossa avaliação, tivemos acesso à biblioteca disponibilizada pela Heidenhain aos integradores para desenvolver interfaces para o controlador. O fabricante fornece esta biblioteca, chamada RemoTools SDK,35 apenas para parceiros selecionados.
fanuc
Assim como a Heidenhain, a Fanuc oferece uma interface, chamada FOCAS,36 para a integração de máquinas CNC em ambientes de rede inteligentes. Embora essa tecnologia ofereça um conjunto restrito de possibilidades de chamadas remotas em comparação com as de outros fornecedores (ou seja, um número limitado de recursos de gerenciamento), nossos experimentos mostraram que um malfeitor poderia realizar ataques como dano, DoS e sequestro.
O que encontramos
Como nossa avaliação identificou 18 ataques diferentes (ou variações), os agrupamos em cinco classes: comprometimento, dano e negação de serviço (DoS):
Verificou-se que fabricantes de controladores como Haas, Okuma e Heidenhain têm um número semelhante de problemas, cerca de 15. Fanuc teve 10 ataques confirmados. Infelizmente, nossa pesquisa mostra que esse domínio carece de consciência em relação à segurança e privacidade. Isso cria problemas sérios e convincentes.
A necessidade de recursos voltados para a automação, como configuração remota da geometria da ferramenta ou programação paramétrica com valores determinados por recursos em rede, está se tornando mais comum na fabricação.
Com essas descobertas, determinamos contramedidas que as empresas podem adotar para mitigar esses riscos, que discutiremos em nossa instalação final. Na última parte, também discutiremos nosso processo de divulgação responsável.
Trend Micro
Pesquisa, notícias e perspectivas