Attack detection in industrial robot controllers using Arm TrustZone

In the last few decades, technological progress has led to a spike in the adoption of robots by the manufacturing industry. With the new “Industry 4.0” paradigm, companies strive to automate their production processes by interconnecting and integrating different industrial systems. The resulting increase in complexity contributes to a new, larger attack surface, opening the way to attacks that used to be infeasible. In the context of cyber-physical systems, consequences include economic and physical damage, as well as harm to human workers. In this thesis, we present an attack detection system specifically aimed at the low-level controller of industrial robots, which is one of the most critical components and, at the same time, one of the most difficult to protect. At the core of our approach is a novel way of using TrustZone — a security extension of Arm microcontrollers — to guarantee the integrity of the detection system even in case the controller software is fully compromised. We implement our system in a simulated robot and evaluate it against several different attacks. Test results are promising and show that our approach is effective at detecting most of the attacks, in some cases even if they cause a deviation of less than a millimeter from the nominal trajectory.

I progressi tecnologici degli ultimi decenni hanno portato a un aumento considerevole dell’utilizzo di robot nel settore manifatturiero. Con il nuovo paradigma dell’“Industria 4.0”, le aziende puntano ad automatizzare i processi produttivi tramite l’integrazione e l’interconnessione di sistemi diversi fra loro. L’aumento di complessità che ne deriva porta a un allargamento della superficie di attacco, e apre la strada ad attacchi che in passato non erano fattibili. Nell’ambito dei sistemi ciber-fisici, le conseguenze possono includere danni economici e materiali, ma anche lesioni al personale. In questa tesi presentiamo un sistema di rilevazione degli attacchi specifico per il controllore di basso livello dei robot industriali; uno dei componenti più critici e, allo stesso tempo, più difficili da proteggere. Nel nostro approccio assume un ruolo fondamentale l’utilizzo di TrustZone — un’estensione di sicurezza dei microcontrollori Arm — per garantire l’integrità del sistema di rilevazione anche nel caso in cui il software del controllore sia completamente compromesso. Implementiamo il nostro sistema in un robot simulato e ne valutiamo l’efficacia nei confronti di diversi attacchi. I risultati dei test sono promettenti, e mostrano che la nostra strategia consente di rilevare efficacemente la maggior parte degli attacchi, in alcuni casi anche se causano una deviazione dalla traiettoria corretta inferiore al millimetro.