image

Duizenden onbeveiligde 3d-printers toegankelijk via internet

woensdag 29 augustus 2018, 16:37 door Redactie, 5 reacties

Duizenden 3d-printers zijn zonder wachtwoord toegankelijk via het internet en kunnen bijvoorbeeld opdrachten krijgen om voorwerpen te printen. Dat laat Xavier Mertens weten, handler bij het Internet Storm Center (ISC). Mertens vond ruim 3700 OctoPrint-interfaces waarvoor geen enkele authenticatie is vereist. OctoPrint is een webinterface voor het bedienen en monitoren van 3d-printers.

Via de interface is het mogelijk om 3d-objecten in de printer te laden. Doordat de printers zonder wachtwoord toegankelijk zijn zou een aanvaller bijvoorbeeld ingeladen ontwerpen via de interface kunnen achterhalen. Een andere mogelijkheid is het printen van een 3d-object. Mertens wijst naar verhalen waarbij goedkope 3d-printers in brand vlogen. Een andere mogelijkheid is dat een aanvaller een ontwerp dat door de printer is geladen downloadt, aanpast en vervolgens weer uploadt. Op deze manier zou de printer een voorwerp printen dat bijvoorbeeld minder veilig is.

Verder biedt OctoPrint een monitoringfeature die van een embedded webcam gebruikmaakt. Op deze manier kan een aanvaller kijken wat het slachtoffer aan het doen is. De handleiding van OctoPrint adviseert gebruikers die de webinterface via internet toegankelijk maken om altijd de toegangscontrole in te schakelen. De meeste webinterfaces die Mertens ontdekte bevinden zich in de Verenigde Staten, gevolgd door Duitsland en Frankrijk.

Image

Reacties (5)
29-08-2018, 17:08 door Anoniem
Ik begrijp dat Mertens de printers geen opdracht heeft gegeven om in 3D te printen "your printer is not safe" of een "dildo" om de gebruikers te waarschuwen. Het is immers verboden.
Maar ik zie nu door het openbaarmaken de kans voor scriptkiddies om "lollige" objecten te printen bij niets vermoedende eigenaren die vervolgens iets uit te leggen hebben aan hun partner(s)
29-08-2018, 17:43 door Anoniem
Jemig... als het zo doorgaat, kunnen we beter het internet offline halen.... Iedereen pleurt alles maar online en vind het dan gek dat het gehackt wordt.... Wordt tijd dat we het internet zelf maar offline halen :P

TheYOSH
29-08-2018, 19:55 door johanw
Leuk, ik heb net de ontwerpen voor dat plastic pistool van Defense Distributed gedownload. Laten printen en dan de politie tippen dat ze terroristen zijn.
30-08-2018, 00:27 door Anoniem
Door Anoniem: Ik begrijp dat Mertens de printers geen opdracht heeft gegeven om in 3D te printen "your printer is not safe" of een "dildo" om de gebruikers te waarschuwen. Het is immers verboden.
Maar ik zie nu door het openbaarmaken de kans voor scriptkiddies om "lollige" objecten te printen bij niets vermoedende eigenaren die vervolgens iets uit te leggen hebben aan hun partner(s)

Vroeger, toen we zwarte A4-tjes (met plakband aan elkaar) als rol door de fax gooide om iemands papier en toner op te maken. Vroeger, toen kon dat nog gewoon.

Ik heb wel eens wat (geautomatiseerde) printopdrachten naar poort 9100's gestuurd, op NL IP-space. Netjes beperkt tot 1 pagina met uitleg van de situatie. Daar is geen brandgevaar (of andere menselijke veiligheid) bij van toepassing. En in mijn ogen valt dat niet onder inbraak (print server print, net als een web server webt, daar is het internet voor uitgevonden). Een maand later stonden er een stuk minder open. En wie bel je anders voor je responsible disclosure (wie is de gebruiker van IP x?)? Ik print het wel voor ze, goeie en directe communicatie!

Wegens mogelijk brandgevaar bij dergelijke 3D printers weet ik niet of ik ze (ongecontroleerd) durf te hacken. Dat is het zelfde als ik niet aan de apparatuur van ProRail durf te komen (hack the railway.... let's not! human safety first!).
30-08-2018, 13:33 door Anoniem
Sluit zo'n printer aan als je iets wil printen. Hou 'm de rest van de tijd off line en uit. Kan er niets gebeuren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.