SANS警告說，近3800臺3D打印機暴露在攻擊之下？其實早有解決方案

類似于其他任何計算機控制的設備，3D打印機可能被黑客入侵。鑒于3D打印機目前正被用于創(chuàng)建諸如飛機部件和醫(yī)療植入物之類的物品，打印作業(yè)受影響的結果可能是災難性的——特別是如果從外部看不到故障。根據(jù)SANS互聯(lián)網(wǎng)風暴中心（ISC）的兩位安全研究人員Xavier Mertens和Richard Porter的博客文章，將近3800臺3D打印機開放，沒有任何訪問控制或認證要求。

暴露的3D打印機正在使用名為OctoPrint的開源項目。它是3D打印機的Web界面，允許您從網(wǎng)絡上的幾乎任何瀏覽器輕松控制和監(jiān)控3D打印機和3D打印作業(yè)。該軟件為各地的制造商提供了一種有效的方式來跟蹤他們的打印品，無論他們是否站在他們的3D打印機前。它可以讀取G代碼文件，查看網(wǎng)絡攝像頭源，查看打印機狀態(tài)和終端輸出等。但是，無需驗證，這意味著隨機攻擊者也可以修改打印機的設置。

攻擊者可以下載未加密的G代碼項目文件，告訴打印機要打印什么。 “可以下載G代碼文件并導致潛在的商業(yè)秘密數(shù)據(jù)泄露，”研究人員寫道。 “事實上，許多公司研發(fā)部門正在使用3D打印機來開發(fā)和測試他們未來產品的某些部分�！�

Porter和Mertens還認為，匿名人員可以向打印機發(fā)送惡意G代碼文件，并指示在沒有人在場的情況下打印它并可能引發(fā)火災。其他可能濫用G代碼文件包括未經授權訪問3D打印機的網(wǎng)絡攝像頭，這可能會影響遠程用戶隱私，或使用經過修改的G代碼文件來破壞最終產品或導致3D打印機故障。

他們寫道：“通過更改G代碼指令，您將指示設備打印對象，但更改的對象將不具有相同的物理功能，并且一旦使用就可能成為潛在的危險�！� “想想3D打印的槍支，還有無人機中使用的3D打印物體。無人機用戶是自我打印硬件的忠實粉絲�！癝hodan搜索顯示，有超過3,700個OctoPrint接口可在線獲得，其中包括美國近1,600個。

不過對于上述的問題，早有解決方案了 ，之前南極熊報道過，羅格斯大學和佐治亞理工學院的科學家研發(fā)了一個新的系統(tǒng)，可以判斷3D打印機是否被黑客入侵。SANS ISC研究人員建議用戶在OctoPrint中啟用訪問控制功能。 OctoPrint的文檔中的警告顯示：“如果您打算通過互聯(lián)網(wǎng)訪問您的OctoPrint實例，請始終啟用訪問控制，理想情況下不要讓所有人通過互聯(lián)網(wǎng)訪問，而是使用VPN或至少使用HTTP基本在OctoPrint上面的一層上進行身份驗證�！�


“將OctoPrint放在互聯(lián)網(wǎng)上是危險的。如果你必須這樣做，請利用OctoPrint中內置的ACL系統(tǒng)，更好的是，在前面提供另一種形式的身份驗證。即使設置插件或VPN /反向代理似乎是額外的工作，也值得，“他們指出�！叭魏斡锌赡軣龤�你房子的東西都應該得到極其謹慎的對待。這樣似乎更方便......但它真的值得嗎？“

首先，當打印機正在打印“正確”版本的物品時，這個系統(tǒng)將記錄打印機的聲音。當隨后打印物體的其他副本時，將這些打印作業(yè)的聲音記錄與初始參考記錄進行比較。如果有顯著差異，則表示打印機可能正在運行惡意軟件。

其次，該系統(tǒng)跟蹤打印機組件的運動，例如其擠出機套件。如果該運動模式與最初的“正確”模式不一致，那么打印機可能不是正常運行。
最后，可以將微小的金納米棒與長絲材料混合。這些不影響成品的完整性，并且可以使用拉曼光譜分析和計算機斷層攝影來確定它們在物品內的位置。以這種方式，可以通過定位納米棒來檢測諸如內部孔的隱藏缺陷等。

科學家們已經證明3D打印機可以被黑客入侵，而且他們已經成功在三種不同類型的打印機上試用了這種系統(tǒng)�？茖W家將于本周五在溫哥華的USENIX安全研討會上展示他們的研究成果。

并且，據(jù)南極熊了解，美國跨國航空巨頭波音公司與以色列軟件公司Assembrix簽署協(xié)議，以保證其3D打印零件的數(shù)據(jù)安全。3D打印數(shù)據(jù)安全至關重要！波音已經開始行動

部分來源：3D智造網(wǎng)