El lado oscuro de la impresión 3D: desafíos, riesgos y usos maliciosos (II)

4 de marzo de 2019
La tecnología de impresión 3D está revolucionando los procesos de fabricación y sus entusiastas imaginan un futuro donde cada hogar y empresa tenga al menos uno de estos dispositivos, lo que transformaría la forma en que producimos, consumimos y reciclamos los objetos. Ahora bien… ¿Qué riesgos de ciberseguridad son los más probables en este escenario? Espionaje, malware, destrucción, creación de armas… Tras analizar la modificación no autorizada de archivos de impresión y la modificación de software o firmware, veamos el resto.
Exposición a internet o redes inseguras
Al conectar una impresora 3D a Internet, se convierte automáticamente en un dispositivo IoT. Cualquier acceso a la red que posea, ya sea directamente o a través de un middleware, aumenta la superficie de ataque y la expone a nuevas debilidades de seguridad. Como ejemplo de lo anterior podemos mencionar Octoprint, que es un proyecto open source para la administración web remota de impresoras 3D. Este software se conecta a la impresora y permite desde iniciar nuevos trabajos de impresión hasta ver y grabar una impresión actual desde una cámara web. Recientemente se reportó a Octoprint un fallo en su software de administración de impresoras por el cual si Octoprint está expuesto a Internet y no bien configurado, un usuario no autorizado podría obtener acceso de administrador a este software y, en consecuencia, a la impresora 3D. Al margen de los problemas en la industria, imaginemos por si fuera poco que una impresora 3D en el hogar, en manos de atacantes que modifiquen malintencionadamente su configuración, podría sobrecalentarse, fundirse, generar un cortocircuito o quedar fuera de servicio. También podría ser usada para cargar archivos de impresión maliciosos como el mencionado en la vulnerabilidad del Firmware Marlin, que permitieran tomar control de equipo.
Software Octoprint imagen
Robo de modelos y archivos de impresión confidenciales
Los proyectos de impresión 3D en industrias como la aviación o la fabricación de autopartes suelen ser costosos e incluir el diseño de modelos muy específicos, que llevan tiempo y esfuerzo de diseño, prototipado y pruebas de resistencia e integridad antes de llegar a su versión final. Estos modelos suelen ser críticos y confidenciales. El problema es que la mayoría de los archivos de impresión 3D no poseen cifrado nativo, si un atacante pudiera acceder a ellos, podría sustraerlos y compartirlos públicamente, venderlos en el mercado negro o reproducir el objeto en otro dispositivo de impresión 3D con las consecuentes perdidas económicas y de reputación para la empresa víctima del ataque.
Las armas fabricadas a través de impresión 3D también son un área preocupante para sus fabricantes, dado que si un atacante logra obtener los diseños y los comparte, el fabricante podría ser considerado legalmente responsable en caso de que alguna persona se descargue el archivo, imprima el arma y la utilice en algún tipo de ataque (aunque claro, esto depende de la legislación de cada país).
Arma Impresa en 3D "The Liberator" imagen Arma Impresa en 3D "The Liberator"
Impresión de Piezas con Fines Maliciosos:
Los investigadores y especialistas en seguridad informática siguen encontrando formas cada vez más creativas de utilizar las impresoras 3D en esta área. Por ejemplo, una investigadora utilizó una impresora 3D para hacer un compartimiento oculto en sus zapatos para ocultar herramientas de hacking. Otro investigador utilizó una cabeza impresa en 3D para burlar el sistema de reconocimiento facial de Android y en sitios de modelos de impresión 3D como Thingiverse se pueden encontrar desde drones diseñados para pentesters hasta la famosa tarjeta de Kevin Mitnick con ganzúas. Cabeza impresa 3D para burlar sistemas de identificación facial imagen Cabeza impresa 3D para burlar sistemas de identificación facial
Pero los criminales también pueden utilizar la tecnología de impresión 3D para imprimir armas o piezas potencialmente peligrosas como las siguientes:
  • Skimmers: un carder es un tipo de delincuente que se centra en el fraude con tarjetas de crédito, intenta robar la información digital o física de las tarjetas ya sea en los dispositivos POS o en los cajeros automáticos para crear luego copias falsas. Con una impresora 3D, resulta mucho más fácil incluso para un criminal de escasos recursos crear un dispositivo para clonar tarjetas de crédito (denominado skimmer) que parezca un lector de tarjetas normal y simule creíblemente ser parte del cajero automático.
  • Duplicación de llaves y master keys: en Alemania utilizaron una impresora 3D para reproducir llaves de esposas de alta seguridad. En el MIT realizaban tomografías computadas de llaves y luego utilizaban los escaneos para imprimir llaves maestras en 3D de una marca de llaves "no duplicables". También se conocen diseños imprimibles en 3D para llaves maestras de equipaje aprobadas por la TSA, incluso actualmente en Thingiverse pueden encontrarse Key Decoders para duplicar llaves de hogares. Lo mencionado anteriormente no es ilegal, pero los delincuentes podrían adoptar estos métodos para usos indebidos.
  • Distribución de drogas: distintos grupos de distribución de drogas utilizan la impresión 3D, como por ejemplo el grupo DougHeffernan, que imprimía cartuchos de inyección de tinta, contenedores falsos, cajas de maquillaje y cartuchos de juegos para ocultar drogas en su interior y entregarlas a sus clientes sin despertar sospechas.
  • Falsificación: la impresión 3D permite materializar casi cualquier objeto de acuerdo a un modelo de diseño creado por el usuario, descargado de internet o copiado. Como se explicó en el punto anterior, si estos modelos son sustraídos a empresas legítimas y compartidos o vendidos por parte de criminales, podrían usarse para la falsificación de productos.
Conclusiones y recomendaciones Parte de la solución proviene de la industria de la impresión 3D que debe tener en cuenta las mejores prácticas en el desarrollo de software y firmware para evitar vulnerabilidades, pero las empresas y los propietarios individuales de impresoras 3D pueden desempeñar un papel importante en la protección de su dispositivo de la siguiente manera:
  • Utilizando un cortafuegos correctamente, configurado además de la propia configuración del dispositvo que permita limitar el acceso para proteger la impresora y la red en la que se encuentra. Si es posible, no conectar la impresora 3D a Internet, y en caso de ser indispensable, utilizando al menos una VPN y un segundo factor autenticación para proteger las comunicaciones y asegurarse que solo los usuarios autorizados tengan acceso a su administración.
  • Actualizando periódicamente el firmware de la impresora 3D y el software utilizado para las distintas etapas del proceso de impresión.
  • Protegiendo los archivos de impresión y modelos críticos o confidenciales con controles de acceso adecuados, cifrando su contenido y verificando su integridad antes de ser utilizados para la impresión de piezas, pudiendo así detectar modificaciones no autorizadas.
La mayoría de las impresoras 3D son simplemente ordenadores de propósito especial y, por lo tanto, tienen los mismos riesgos potenciales de seguridad que cualquier otro equipo. Al conectarlas a Internet se convierten en dispositivos de IoT y se exponen al mundo, por lo cual podrían usarse como plataforma para atacar más fácilmente a otros equipos críticos en la red o también podrían ser atacadas directamente y fundirse, sobrecalentarse o quedar fuera de servicio. En entornos industriales las impresoras 3D son activos altamente sensibles puesto que fabrican objetos físicos en los que se necesita confiar y que a menudo se basan en un diseño o modelo confidencial. Antes de que todos los hogares y empresas tengan una impresora 3D, la industria necesita encontrar una manera de abordar estos riesgos de seguridad.
Primera parte del análisis: » El lado oscuro de la impresión 3D: desafíos, riesgos y usos maliciosos (I)