Forskningsrobotter efterlades undertiden usikrede på internettet, undersøgelse finder

Robotforskere ville ikke drømme om at lade døren være ulåst, når de forlader laboratoriet om natten, men en ny undersøgelse viser, at forskningsrobotter ofte efterlades eksponeret på en anden måde:usikrede på internettet.

Et team af forskere fra Brown University kørte for nylig en verdensomspændende scanning på jagt efter værter, der kører Robot Operating System (ROS), en populær forskningsrobotikplatform. Under scanningen, som blev udført over tre forskellige perioder i 2017 og 2018, de fandt hele 100 udsatte systemer, der kører ROS, op til 19 af dem blev anset for at være fuldt operationelle robotter. Forskerne viste, at det er muligt at fjernstyre disse robotter - at spionere efter kamerafeed og endda sende kommandoer for at flytte robotterne rundt.

"Selvom et par usikrede robotter måske ikke ligner et kritisk problem, vores undersøgelse har vist, at en række forskningsrobotter er tilgængelige og kontrollerbare fra det offentlige internet, "skriver forskergruppen." Det er sandsynligt, at disse robotter kan aktiveres eksternt på måder [der er] farlige for både robotten og de menneskelige operatører. "

Resultaterne er en påmindelse, siger forskerne, at alle skal være opmærksomme på sikkerhed i en stadig mere forbundet digital verden.

Forskningen blev præsenteret i juni som en del af Adversarial Robotics Workshop på konferencen "2018 Robotics:Science and Systems" i Pittsburgh.

ROS er den dominerende platform, der bruges inden for forskningsrobotik. Det kan tænkes som en robots centralnervesystem. Platformen samler alle en robots forskellige komponenter - dens kameraer, sensorer og aktuatorer - og knytter dem til en central computerknude. Gennem en ekstern computer og en netværksforbindelse, en operatør opretter forbindelse til den centrale knude for at give kommandoer til robotten.

"ROS er et fantastisk værktøj til robotforskning, men designerne overlod eksplicit sikkerheden til slutbrugerne, "sagde Stefanie Tellex, en robotiker hos Brown og en medforfatter af et studie. "Det kræver ingen godkendelse at oprette forbindelse til en ROS -master, hvilket betyder, at hvis du kører ROS, og det ikke er bag en firewall, alle kan oprette forbindelse til din robot. "

Det fik Tellex og hendes Brown robotkollega George Konidaris til at spekulere på, hvor mange robotter, der kører ROS, der er tilgængelige og tilgængelige via internettet. At finde ud af, de henvendte sig til to andre brune kolleger, sikkerhedsekspert Vasileios Kemerlis og netværksekspert Rodrigo Fonseca.

"Vores gruppe har evnen til stort set at lave en verdensomspændende scanning af internettet, "Fonseca sagde." Så vi begyndte at tænke på, hvordan vi kunne scanne efter ROS -enheder på en måde, der ikke ville være forstyrrende, men ville give os en idé om, hvad der er derude. "

Nicholas DeMarinis, en kandidatstuderende, der arbejder med Fonseca, ledet scanningsproceduren. Forskerne sendte forespørgsler til mere end fire milliarder IP -adresser verden over, leder efter programmer, der kører på TCP -porten (overførselskommunikationsprotokol), som ROS normalt bruger. Når de havde en liste over IP -adresser, der reagerede på den port, de sendte passive ROS -kommandoer for at afgøre, om programmet i den anden ende faktisk var ROS.

Forskerne udførte scanningen ved tre forskellige lejligheder og fandt omkring 100 udsatte systemer, der kører ROS. Da ROS også bruges til virtuelle robotter i simulerede miljøer og andre applikationer, der ikke nødvendigvis er komplette robotter, forskerne kiggede på hver ROS -instans for at afgøre, hvilke der sandsynligvis ville være rigtige robotter. De fandt 19 robotter ved deres første scanning og omkring et dusin hver på de næste to scanninger. Teamet kontaktede ejerne af alle de registrerede robotter og andre ROS -forekomster for at lade forskerne og netværksadministratorer vide, at deres systemer blev afsløret.

En af de opdagede robotter viste sig at være i laboratoriet hos en af ​​Tellex 'samarbejdspartnere, Siddhartha Srinivasa, en datalogiprofessor ved University of Washington. For at finde ud af, om det faktisk var muligt at tage kontrol over en robot på afstand, Tellex kontaktede Srinivasa og bad sit team om at forlade nogle af robotens funktioner online til en test. Tellex viste, at hun faktisk kunne få adgang til robotens kamera, flytte nakken og endda få robotten til at tale ved hjælp af en ROS -talefunktion.

Den slags adgang kan være farlig, siger forskerne.

"Disse robotter kan potentielt flyttes på måder, der er i fare for robotten, såvel som til de mennesker, der driver robotten, "Sagde Tellex.

"Dette er meget rettidig og vigtigt arbejde af Stefanie og hendes team, og vi er beærede over at samarbejde, "Srinivasa sagde." Som forskere, vi er dybt engagerede i at forstå og afbøde sikkerhedsrisici ved nye teknologier, vi skaber. I U.W. vi har arbejdet sammen med sikkerhedseksperter for at skabe sikker kunstig intelligens, og dette arbejde understreger yderligere behovet for sådanne tværfaglige samarbejder. "

Forskerne siger, at de udførte undersøgelsen for ikke at pege fingeren mod individuelle laboratorier, men for at understrege, at sikkerhedshullerne i ROS let kan overses. Faktisk, en af ​​de robotter, der blev fundet under scanningen, var på Tellex eget laboratorium. De havde lagt det på internettet til en ekstern demonstration og glemte simpelthen at låse det tilbage.

Den gode nyhed er, at det ikke er særlig svært at sikre disse robotter. De skal bare køre bag en firewall eller på et virtuelt privat netværk. Men det kræver, at brugerne er opmærksomme på sikkerhed, og forskerne håber, at denne undersøgelse vil opmuntre folk til at være netop det. De håber også, at arbejdet kan tilskynde sikkerhedsovervågningstjenester som Shodan til at begynde at lave deres egne scanninger efter ROS.

"Når du har software skrevet uden sikkerhed i tankerne kombineret med folk, der ikke tænker på sikkerhed, det er en farlig kombination "Sagde Fonseca." Vi kan tænke på dette i den større kontekst af tingenes internet, hvor vi skal tænke på sikkerhed i alle faser af et produkt, fra udviklings- og opgraderingscyklussen til den måde, hvorpå brugere implementerer enhederne. "