Embedded system security: attacks, impacts & defenses

Embedded systems and Internet-enabled devices are nowadays part of our everyday life, and play a huge role in raising the quality of our life: smartphones, home appliances, ICS (Industrial Control Systems), medical devices, and can be found even in cars. The security of embedded systems have been studied and tested extensively giving birth to best practices, and considering the automotive environment for example, to standards that need to be applied in order to guarantee a baseline for the cyber-security of IT and OT (Operative Technology) systems that are part of a car. Yet, there is one class of embedded devices that is still lagging behind: Industrial Control Systems, in particular Industrial Robots. Up to now, there has been no in-depth, hands-on research that demonstrates to what extent robots can actually be compromised, and we hope our work will pave the way for more scrutiny and attention to their security. Industrial Robots are multipurpose manipulators (i.e., mechanical arms) widely used across several industries: automotive, aerospace, and pharmaceutical to name a few. This work demonstrates how these system, once not thought to be interconnected, now face new threats in the wake of the Industry 4.0 revolution, as this envisions CPS (cyber-physical systems) to be extremely interconnected, and working alongside humans in a collaborative way. The powerful features that enriches currently available Industrial Robots, unlocks a broad attack surface, and creates novel venues for attacks. Depending on the actual setup and security posture of these devices, an attacker could trigger attacks with consequences ranging from massive financial damage, to affecting critical goods production, and up to jeopardizing the safety of human workers. In this dissertation we thoroughly analyze the attack surface of Industrial Robots, also considering the presence of typical IIoT (Industrial Internet of Things) devices associated with the robot. In order to quantify the impact of an attack, we devised three fundamental "laws" --accurately "read" from physical world through sensors and "write" through motors and tools, refuse to execute self-damaging commands, and most importantly, never harm humans. By combining a set of vulnerabilities that we discovered, we also show a concrete chain of vulnerabilities that can be used by a remote attacker to violate these fundamental laws. We further expand this results to a popular collaborative robot--one that usually cooperate with human, with minimal or no physical safeguards separating the operator and the robot. Another contribution is looking into attacks and vulnerabilities originating from user interaction and the interconnection of end effectors and IIoT devices to the controller. Many techniques and concepts related to the security of these devices can be "ported" from one kind of device to another. Some systems however display peculiar characteristics and challenges. So, rather than proposing a classic checklist for ICS vendors, we reflect on reasons why robots are so vulnerable to attacks, and propose a series of research and engineering challenges that we believe will make a difference in the journey to secure the smart factories of the future. Since "Apps" are nowadays ubiquitous, both on robots, and consumer devices, in both cases, developers often need a guarantee of the confidentiality of their code, while maintaining ease of development and seamless execution. To solve this problem we propose Tarnhelm: a system that allows for transparent execution of arbitrary parts of an unmodified application, while being flexible and providing confidentiality for the code.

I sistemi embedded in generale, e in particolar modo quelli connessi ad Internet, questi hanno un ruolo importante nel migliorare la qualita’ della nostra vita, e la loro pervasivitá é molto alta: smartphones, elettrodomestici, Sistemi di Controllo Industriale, sistemi medicali, persino sistemi connessi ad automobili. La sicurezza di sistemi embedded e’ stata studiata e testata estensivamente dando luogo a best practices: considerando le automobili ad esempio, sono nati degli standard, la cui applicazione é necessaria per garantire un livello minimo di sisucrezza per la sicurezza dei sistemi IT e OT (Operative Technology) che sono parte di un automobile. Nonostante tutto, alcune classi di device embedded, non sono ancora state studiate estensivamente, e tra queste rientrano i sistemi di controllo industriale (ICS). In particular modo i robot industriali. Fino ad ora, non esisteva uno studio approfondito, e pratico che dimostri qualitativamente, e quantitativamente, come questi robot possano essere compromessi. Lo scopo di questo lavoro, e’ di spianare la strada per uno scrutinio approfondito di questi strumenti, con particolare attenzione alla loro sicurezza. I robot industriali sono manipolatori polivalenti, (i.e., bracci meccanici) ampiamente usati in differenti campi industriali: autoveicolo, aerospazio, e farmaceutico tra i tanti. Questo lavoro dimostra come questi sistemi, un tempo pensati per lavorare disconnessi dalle reti, debbano adesso affrontare nuove sfide, e nuove minacce, alla luce della rivoluzione industriale 4.0. In questo contesto, i sistemi cyber-fisici (CPS – cyber-physical systems) sono estremamente interconnessi, e sono pensati per lavorare al fianco dell’operatore umano, in maniera collaborativa. Le caratteristiche di cui sono dotati i Robot Industriali attualmente disponibili sul mercato, forniscono a potentiali malintenzionati una vasta superficie di attacco, e creano nuove potenzialita’ che possono esser sfruttate per sviluppare nuovi attacchi. A seconda del setup, e della postura di sicurezza di questi congegni, un attaccante puo’ dare il via a una serie di attacchi con conseguenze che includono ingenti danni economici, l’introduzione di difetti nella produzione di beni critici, fino addirittura a mettere a repentaglio la sicurezza del lavoratore umano. In questa tesi, analizziamo nel dettaglio la superficie di attacco degi robot industriali, tenendo anche conto della presenza di tipici strumenti IIoT (In- dustrial Internet of Things) il cui uso e’ associato ai robot. Per quantificare l’impatto di questi attacchi, abbiamo concepito tre leggi fondamentali che un robot deve rispettare: accuratezza, cioé “leggere“ dal mondo fisico tramitesensori e “scrivere“ tramite attuatori, integritá, rifiutando di eseguire comandi che possano portare a un danno fisico, e –l’aspetto piú importante– mai arrecare danno a un utente. Combinando un insieme di vulnerabilita’ che abbiamo scoperto, dimostriamo nel pratico come questa catena di azioni puo’ portare nel concreto a una compromissione di queste leggi fondamentali da parte di un attaccante. I risultati sono stati poi estesi a un robot collaborativo, pensato per collaborare con gli umani, con poche o nessuna protezione, che possano separare l’operatore umano, e il robot. Un ulteriore contributo di questo lavoro e’ di esplorare gli attacchi e le vulnerabilitá che possono scaturire dalla interazione dell’utente, sia con il robot che con gli strumenti IIoT associati ad esso. Molte delle tecniche e dei concetti relativi alla sicurezza di questi sistemi possono essere applicate a diversi tipi di strumenti. Alcuni sistemi, mostrano peró peculiari caratteristche e relative sfide. Quindi, invece di proporre una classica “checklist“ per i produttori di sistemi ICS, in questo lavoro riflettiamo sulle motivazioni per cui questi strumenti sono altamente vulnerabili ad attacchi informatici, e proponiamo una serie di sfide di ricerca e sviluppo, che crediamo possano fare la differenza negli anni a venire per garantire una maggiore protezione. Notando che le cosiddette “App“ sono diffuse ormai, non solo su oggetti di consumo, ma anche sui robot, e che gli sviluppatori spesso presentano la necessitá di proteggere la confidenzialitá del loro codice, mantenendo al contempo la semplicita’ di sviluppo, completiamo il lavoro di questa tesi sviluppando Tarnhelm: un sistema che permette di eseguire in maniera trasparente parti arbitrarie di una applicazione –senza apportare pesanti modifiche– , mantenendo la necessaria flessibilitá di sviluppo, e la confidenzialita’ per il codice.