Riesgo de Seguridad en Impresión 3D

Espías, riesgos e impresión 3D

Robando modelos con ingeniería inversa

La seguridad en la impresión 3D es un asunto importante cuando se trata de crear prototipos para proyectos originales llevados a cabo por empresas o equipos de investigación, es por esta razón que los archivos necesarios para el trabajo de impresión (los G-Code), están cifrados y es una tarea difícil poder violarlos por mucho trabajo que un hacker haga en ellos. Pero, ¿habías imaginado que los sonidos que produce una impresora 3D durante el proceso son una posible fuente indeseada de información para espías tecnológicos?

Pues sí, los sonidos que produce una impresora 3D, son muy característicos de este tipo de tecnología y por ello, así como es posible hacer que la impresora produzca el sonido de cualquier canción imaginable con un patrón de movimientos, también es posible obtener mucho más que un esbozo del objeto que se está imprimiendo con tan solo grabar todos los sonidos que el aparato haga durante su funcionamiento.

riesgo-de-seguridad-en-impresion-3d

Lo anterior no es una especulación, el profesor Mohammad Al Faruque, es el líder de un grupo de investigación denominado Advanced Integrated Cyber-Physical Systems de la “Universidad de California, Irvine” el cual, junto con un equipo de investigadores, demostraron que con un Smartphone, o cualquier dispositivo con capacidad de grabación de audio, se puede recoger información bastante precisa acerca de la dirección y cantidad de movimientos que ha realizado una impresora 3D, para ser procesados posteriormente y obtener mediante ingeniera inversa la forma del objeto en cuestión, dejando en claro que se puede robar propiedad intelectual, información confidencial o cualquier clase de información que representen las figuras impresas.

El equipo ha realizado algunas pruebas obteniendo modelos que mantienen una similitud de hasta el 90% con respecto al objeto original. Esto es grave para empresas que quieran conservar en secreto los prototipos de sus productos antes de ser lanzados incluso como conceptos.

El modelo de ataque acústico es como se ha descrito la filtración de la información:

riesgo-de-seguridad-en-impresion-3d-2

Como se ha dicho antes, todo inicia con la grabación de los sonidos, pero la parte que revela todos los secretos es el “aprendizaje automático”, o aprendizaje de máquina. Esto quiere decir que el atacante deberá desarrollar algoritmos capaces de predecir el comportamiento del cabezal, a partir de la información no estructurada, para descifrar en qué coordenada se realizaron los movimientos, basados en la frecuencia de onda que haya presentado el sonido en cada instante de tiempo. Posteriormente se obtiene el G-Code con las instrucciones que debe seguir la impresora 3D y con ello, es posible obtener una copia 90% acertada del objeto impreso originalmente.

Al Faruque ha advertido que en la mayoría de empresas que manejan este tipo de tecnología, no se monitorea ni a los empleados encargados de la impresión ni a los que frecuentan el área, por lo que obtener las grabaciones es relativamente fácil y si esto llega a suceder, las empresas víctimas se verían gravemente comprometidas tanto intelectual como económicamente, provocándoles grandes pérdidas, al mismo tiempo que las empresas de impresión pierden confianza ante los clientes, cayendo en una potencial amenaza de espionaje corporativo e incluso espionaje gubernamental en casos donde el Estado esté involucrado en el proceso de impresión 3D.

-“No hay manera de proteger estos sistemas de un ataque de este tipo hoy en día, pero posiblemente habrá manera en el futuro.”- dice el profesor Mohammad Al Faruque.

El equipo explica que el problema fue planteado durante el verano de 2015, aun cuando la seguridad no era el área de su interés, pues ellos trabajaban en la relación entre el flujo de información y energía. El profesor Al Faruque hace énfasis que como la ley de la conservación de la energía indica, esta no puede ser destruida, es decir, no puede desaparecer simplemente, pues lo único que sucede es que se transforma en otro tipo de energía, es sus propias palabras:

– La energía electromagnética (se transforma) en energía cinética, por ejemplo. Algunas formas de energía se traducen en otras significativas y útiles; otras se convierten en emisiones, que pueden revelar involuntariamente, información secreta- ”

Así fue que llegaron a la conclusión de que seguir sobre este análisis aportaría un trabajo sobre seguridad muy útil para la Universidad de California Irvine, para muchas agencias de seguridad y para todos los tecnólogos interesados en la impresión 3D. La manera en que dieron a conocer mundialmente su investigación fue presentándola al público el 14 de abril de 2016, en Viena, Austria, en la Conferencia Internacional sobre Sistemas de Ciberfísicos, exponiendo al mundo, la importancia de proteger el sonido que provocan las impresoras 3D al trabajar.

Por último, se plantean algunas posibilidades para resguardar la información, desde ideas ya realizables como la adición de ruido blanco a la impresión para que dificulte su interpretación, hasta la construcción de nuevas impresoras que no emitan sonido alguno al imprimir. Cualquiera de ellas tendrá que ser bastante analizada, pues con la primera, la seguridad sigue sin garantizarse ya que implementando al modelo de ataque acústico una etapa de filtrado adaptativo con algoritmo LMS o RMS, sería factible nuevamente tener el sonido original emitido, incluso con redes neuronales con aprendizaje artificial se obtendrían resultados satisfactorios para el espía. Crear una impresora que no emita ruido, por otra parte, requiere de un tiempo de desarrollo que deja el problema descubierto a mediano plazo, por lo que las soluciones inmediatas son evitar la cercanía de cualquier clase de dispositivo con capacidad de grabación con la impresora, o aislar el ruido manteniendo las impresoras lejos y evitar el contacto con cualquier persona que no tenga que estar estrictamente en al área de impresión.

Los delitos del futuro son cada día más reales, y la seguridad es un tema que avanza tan vertiginosamente como la tecnología misma, por eso se ha convertido en un campo con tanto potencial, pero con mucho riesgo si no se obtienen los resultados esperados. Por ahora, queda reflexionar qué otras amenazas inesperadas surgen del simple descuido humano, del ingenio que se aprovecha de las vulnerabilidades o de los detalles pocas veces percibidos como importantes.

Para conocer la investigación presentada por el equipo de la Universidad de California, Irvine ver el siguiente video:

Acoustic Side Channel Attack – Additive Manufacturing (3D-Printer)


Escrito por: Mario Alberto Aguilar Olea

Para mayor información relacionada con Advanced Integrated Cyber-Physical Systems visita:

http://aicps.eng.uci.edu/

Video “Acoustic Side Channel Attack – Additive Manufacturing (3D-Printer)” perteneciente al canal de YouTube AICPS.

Figura 1: Obtenida de la página de Kóndoro, sección Galeria,/Prototipos. http://kondoro.com/galeria/

Figura 2: Obtenida del video ” Acoustic Side Channel Attack – Additive Manufacturing (3D-Printer) ” en YouTube: https://www.youtube.com/watch?v=DlOHnp_gpGs