Hàng nghìn máy in 3D trực tuyến bị rò rỉ thiết kế sản phẩm

Gần 3.800 máy in 3D với giao diện OctaPrint được để lộ trực tuyến mà không có xác thực mật khẩu, vô tình làm rò rỉ các mô hình 3D và nguồn cấp dữ liệu webcam.

Gần 3.800 máy in 3D đã được tiếp xúc trực tuyến mà không cần mật khẩu, hai nhà nghiên cứu bảo mật từ tổ chức SANS ISC đã cảnh báo tuần trước. Liên kết chung giữa tất cả các máy in là một dự án mã nguồn mở có tên là OctoPrint. Dự án này là một giao diện web miễn phí mà một số nhà sản xuất máy in 3D đã nhúng vào thiết bị của họ để cho phép người dùng truy cập từ xa vào các trạm in.

Giao diện OctoPrint cung cấp nhiều tính năng, chẳng hạn như khả năng tải xuống và tải lên các mô hình 3D (dưới dạng tệp .gcode), nhưng cũng có khả năng xem nguồn cấp dữ liệu webcam, nếu máy in 3D hỗ trợ tính năng này.

Tuy nhiên, các nhà nghiên cứu Richard Porter và Xavier Mertens của SANS nói rằng hàng ngàn máy in 3D có giao diện OctoPrint đã được tiếp xúc bất cẩn trực tuyến, cho phép bất cứ ai sửa đổi cài đặt của máy in.

Hai người cho rằng quyết định như vậy từ chủ sở hữu thiết bị là hoàn toàn điên rồ. Bất cứ ai cũng có thể truy cập các máy in này và ăn cắp các mô hình 3D được tải lên trên giao diện OctoPrint.

Các mô hình 3D này không được mã hóa và kẻ tấn công có thể dễ dàng sử dụng phần mềm dựng hình 3D để tái tạo lại các thành phần gốc, có khả năng tiết lộ thông tin riêng tư hoặc độc quyền về các sản phẩm chưa được phát hành.

Nhưng hành vi trộm cắp của công ty chỉ là một trong những tình huống có thể xảy ra. Phá hoại ngầm là một nguy cơ khác. Porter và Mertens cũng cho rằng một đối thủ độc hại có thể tải xuống mô hình 3D của đối thủ, sửa đổi nhỏ và tải lại mô hình trên giao diện OctoPrint tiếp xúc, để nạn nhân in ra hàng trăm hoặc hàng nghìn sản phẩm không chính xác hoặc bị lỗi.

Hơn nữa, việc truy cập webcam của máy in 3D cũng có thể tiết lộ thêm chi tiết về quy trình sản xuất, chi tiết không tiết lộ thông thường bằng cách tải xuống tệp mô hình 3D và cũng có thể tiết lộ nhiều bí mật sản xuất khác.

Hai nhà nghiên cứu không hoang mang. Nghiên cứu học thuật được công bố vào năm 2016 dự đoán và nhấn mạnh những nguy hiểm đến từ sự gia tăng của máy in 3D kết nối Internet trong ngành sản xuất hiện nay. Những phát hiện của Porter và Mertens chỉ xác nhận những gì các học giả đã dự đoán nhiều năm trước.

Nhưng vấn đề lớn nhất là tìm kiếm các máy in tiếp xúc tương đối dễ dàng nhờ các công cụ như Shodan, một công cụ tìm kiếm cho các thiết bị kết nối Internet.

Việc tìm kiếm các máy in 3D có giao diện OctoPrint đòi hỏi phải có một truy tìm cẩn thận, bao gồm các chi tiết như địa chỉ IP và tên mạng, những thông tin khiến kẻ tấn công biết được vị trí của máy in. Có gần 3.800 máy in 3D với giao diện OctaPrint.

Giao diện OctoPrint thực tế chỉ yêu cầu truy cập địa chỉ IP trên cổng 5000, cổng giao diện web OctoPrint mặc định.

Điều này thực sự không phức tạp. Một tìm kiếm nhanh chóng xác định hai máy in 3D thuộc về hai nhà sản xuất Mỹ, nhấn mạnh mối nguy hiểm mà một số công ty đang phải đối mặt.

"Máy in – bất kể định dạng 2D hay 3D không nên dùng mạng công cộng" Gina Häußge, người sáng tạo và người duy trì dự án OctoPrint, nói với ZDNet trong một cuộc phỏng vấn.

"Đáng buồn là rất nhiều người dùng bỏ qua các khuyến nghị như vậy", cô nói thêm. "Chúng tôi phải hướng dẫn người dùng, để có thể ý thức được tầm quan trọng của vấn đề".

Về phần mình, OctoPrint đã xuất bản một bài đăng trên blog trong tuần này với lời khuyên dành cho chủ sở hữu máy in 3D về cách họ có thể bảo mật thiết bị của họ khỏi bị truy cập trái phép, nhưng vẫn cho phép truy cập từ xa.

Bài đăng trên blog cũng chỉ ra rằng hành vi trộm cắp tài sản trí tuệ không phải là hậu quả duy nhất. Kẻ tấn công có thể cài lại phần mềm thiết bị và phá hủy máy in 3D. Nếu điều này dẫn đến hỏa hoạn,  toàn bộ nhà máy sẽ bị cháy nếu không thể kiểm soát được.

Nhưng mọi thứ sẽ không quá tệ nếu chủ thiết bị có những hành động bảo mật các bảng điều khiển.

Lời khuyên tương tự cũng xảy ra đối với mọi thiết bị, không chỉ cho máy in 3D. Phải bảo vệ thiết bị khi sử dụng trực tuyến.