在我们看来传统的工业机械人是很无趣的。平日情形下,它们单独或许在人类的指点下在制作和临盆情况中履行反复性的,法式化的义务。它们常常被用来履行风险或不合适人类去干的义务,是以,它们的任务情况常常与人类或许其他有价值的机械隔分开来。
然则最新一代的协同机械人(“cobots”)并不是如斯。在相符平安尺度的同时,他们与人类或许其他机械在配合的情况中任务。这一代机械人与人类联袂并进,协助人类完成任务,而不只仅是履行主动化的,风险性的操作。 Cobots可以进修挪动,经由过程高清摄像机“看”,或经由过程麦克风“听到”来完成任务。
是以,Cobots比传统的工业机械人出现出了更加风趣的进击研讨。然则,Cobots只限于工业运用?不,他们也能够被集成到其他装配中!
客岁二月,Cesar Cerrudo和我揭橥了一篇非技巧论文“Hacking Robots Before Skynet”,在这篇论文中我们对来自多家著名厂商的几款家用,商用和工业机械人停止了研讨,在这些机械人中我们发明了近50个症结的平安破绽。在Cobots这部门机械人部门,我们对包含来自Rethink Robotics的Baxter / Sawyer和Universal的UR机械人停止了研讨,这些都是工业机械人行业的引导者。
Baxter / Sawyer:针对这款机械人,我们发明其存在身份验证破绽,采取不平安的协定传输和默许的安排设置装备摆设,易遭到物理进击和应用了一个存在多个平安破绽的框架-ROS,该公司曾经在2017年2月修复了我们申报的重要成绩。
UR:我们在很多掌握协定中发明了身份验证成绩、易遭到物理进击、内存损坏破绽和不平安的通讯传输等平安破绽。一切这些成绩在最新版本(3.4.2.65,2017年5月)的体系中中仍未修补。
依据IOActive收集平安公司破绽表露的政策,我们曾经在客岁1月份与供给商获得了接洽,所以他们有足够的时光来修复这些破绽并告诉客户。我们的目的是使cobots机械人更平安,避免进击者应用破绽对企业,员工和四周情况形成严轻伤害。我真的愿望这篇文章可以推进cobots机械人的平安机能够向前成长,使得我们可以平安地应用如今的这些机械人和后续更多代的机械人。
在这篇文章中,我将评论辩论进击者若何经由过程cobot(例如UR3,UR5,UR10 - Universal Robots)机械人的多个破绽来长途修正平安设置,违背实用的平安原则,经由过程挪动机械人对其四周的任务人员形成身材上的损害。经由过程这个例子我们可以看到假如这些体系被黑客进击或许掌握能够会给人类形成何等严重的效果,把持平安限制和禁用紧迫按钮能够直接威逼到人的性命。在这个例子中,我们应用了cobot机械人的六个破绽来转变其平安限制,并经由过程长途收集禁用平安面板和紧迫按钮/传感器,演示视频可以鄙人面这个url中看到:
问:这些机械人真的可以损害一小我吗?
答:是的,加拿年夜蒙特利尔(ETS)技巧研讨所的掌握和机械人试验室的一项研讨清晰地注解,即便是较小的UR5模子,其壮大到足以严轻伤害一小我。即便是在慢速挪动中,他们的力气也足以形成颅骨骨折
问:等等,他们有无平安功效,避免他们损害邻近的人类?
A:是的,然则黑客可以长途入侵,我将鄙人一个技巧部门告知你黑客是若何入侵机械人体系的。
问:这些机械人安排在哪里?
A:世界各地,天天在多个临盆情况中都无机器人在任务。
集成约定义一切平安装配
Universal Robots公司是UR机械人的制作商,然则在特定运用中装置UR机械人的公司是集成商,一个机械人只要集成和装置以后才被以为是一个完全的机械。 UR机械人的集成商担任确保清除全部机械人体系的任何严重风险,这包含但不限于:
1. 对全部体系停止风险评价,在很多国度,这是司法划定的的需要流程。
2. 假如风险评价以为平安,则衔接其他机械和其他平安装配
3. 在Polyscope软件(掌握面板)中设置响应的平安设置,确保用户不会应用“平安暗码”来修正任何平安办法。
4. 验证全部体系的设计和装置能否准确
Universal Robots公司曾经认识到集成商必需斟酌机械人存在的潜伏的严重伤害例如:
1. 机械人对象或许对象衔接器上的锐利的刀边或许刀尖有能够刺伤皮肤;
2. 机械人轨道邻近的妨碍物上的锐利刀边或许刀尖有能够刺伤皮肤;
3. 由机械人的碰撞惹起的瘀伤;
4. 由机械人繁重的机械零件或许资料外面之间的碰撞而发生的扭伤或骨折;
5. 因为未经受权更改平安设置装备摆设参数而招致的毛病
一些平安相干功效是专为cobot运用而设计的,这些功效包含:
1. 力和功率限制:用于在机械人和操作员之间碰撞的情形下,削减机械人在活动偏向上施加的夹紧力和压力;
2. 动量限制:经由过程下降机械人的速度,用于在机械人和操作者之间碰撞的情形下削减高瞬态能量和冲击力;
3. 刀具定向限制:防止锐利的刀边指向操作者;
4. 速度限制:用于确保机械人手臂低速运转;
5. 平安界限:用于限制机械人的任务空间,强迫其逗留在界说的虚拟立体的准确一侧,而不克不及经由过程它们。
6. 平安I/O:当触发此输出平安功效(经由过程紧迫按钮,传感器等)时,向输出端发送低旌旗灯号,并使平安体系转换到“减小”形式。
平安设置可以有用避免很多潜伏风险事宜。然则,假如歹意进击者绕过这些平安办法,把持机械人来威逼人类性命,那能够会产生些甚么呢?
UR用户指南的声明
长途更改平安设置装备摆设
“平安设置装备摆设只能依据集成商停止的风险评价停止更改。假如转变了平安参数,机械人的全部体系应该被以为是新的,这意味着包含风险评价在内的全部平安审批流程应当响应的更新“。
长途更改平安设置装备摆设的进程以下所示:
步调1.经由过程在UR Dashboard Server上应用身份验证破绽来确认长途机械人体系的版本信息;
步调2.经由过程在UR Modbus TCP办事中应用基于客栈的缓冲区溢露马脚取得对体系的掌握权限,并以root身份履行敕令;
步调3.修正security.conf文件,该文件将笼罩一切的通用平安限制,接头限制,界限和平安I/O值限制;
步调4.强迫绕过盘算校验和值,并上传新文件。我们须要捏造这个校验和值,由于平日集成商极可能在硬件上写入以后的校验和值;
步调5.从新启念头器人,以便更新平安设置装备摆设;
步调6.经由过程应用UR掌握办事上的认证成绩,以随意率性风险的方法操作机械人。
经由过程逆向剖析ursys-CB3.1-3.3.4-310.img这个体系镜像,我晓得了机械人的进口点和许可收集上的其他机械与操作体系停止交互的办事法式。关于此演示,我应用供给商供给的URSim模仿器,该模仿器包括了机械人镜像中年夜部门焦点的二进制文件。虽然这个示例应用模仿器可以更加清晰展现进击后果,但我照样修正了这个二进制文件,修正后的文件部门代码可以在Linux机械上正常运转。URControl这个二进制文件中导出了许多分歧的收集办事,这些收集办事的公有协定在完成上都没有应用壮大的认证机制。例如,收集上的任何用户都可以向个中一个办事收回敕令,并获得正在运转的过程的长途操作体系的版本(步调1):
如今我曾经验证了长途目的运转着一个易受进击的体系ursys-CB3.1-3.3.4-310(UR3,UR5或UR10),下一步我预备应用收集办事破绽来损坏这个机械人体系(步调2)。因为UR Modbus TCP办事(端口502)不支撑对敕令源的认证机制,是以,收集进击者能够会在掌握的进程中损坏机械人体系。与机械人IP衔接的进击者可以收回Modbus读/写要求,并部门更改机械人的状况或向操作人员发送要求,以更改掌握链接的状况。发送Modbus写要求其实不能转变机械人的任何平安设置,但是,我们在在UR Modbus TCP吸收器(URControl内核的一个二进制文件)中发明了一个基于客栈的缓冲区溢出。
UR Modbus TCP办事法式的recv函数存在客栈缓冲区溢露马脚,进击者经由过程该函数可以向法式的缓冲区写入超越其长度的内容,形成缓冲区的溢出,从而损坏法式的客栈,使法式转而履行其他的指令,以到达进击的目标,这是一个很罕见的客栈缓冲区破绽。
在停止破绽应用之前,我们先来看一下破绽应用的将要面对的障碍。机械人的Linux内核被设置为客栈随机化(randomize_va_space = 1 => ASLR),VDSO(virtual dynamic shared object page)和内存区域同享。另外,因为内核中的"No eXecute" (NX) 被置位,是以该内核文件是弗成写和弗成履行的。
当对目的缓冲区停止溢出操作时,我们也须要要对指向函数参数的指针履行溢出操作。在函数前往之前,这些参数在其他函数挪用中被应用,所以我们必需要为这些函数挪用供给有用的实参。不然,我们永久不克不及找到函数的前往点和掌握函数的履行流程。
