ha accidentalmente autorizzato la stampa 3D sulle macchine di altri utenti
Un notevole errore di configurazione del software ha consentito temporaneamente agli utenti di Spaghetti Detective di stampare in 3D su apparecchiature di altre persone.
Spaghetti Detective è un sistema di intelligenza artificiale basato su cloud che utilizza l’input visivo per determinare se una stampa 3D ha avuto esito negativo. Il tipico scenario di errore si verifica quando una stampa perde adesione dalla superficie di stampa e ne risulta una gigantesca pila di “spaghetti” di estrusione di filamenti. Spaghetti Detective identificherà questa situazione e sospenderà rapidamente il processo di stampa non riuscito e invierà avvisi. Questo spiega anche il nome insolito del servizio.
Spaghetti Detective è implementato come plug-in Octoprint, un popolare strumento open source che consente il controllo remoto intelligente di stampanti 3D desktop altrimenti “stupide”. Octoprint gestisce le azioni di pausa quando viene attivato da
Ma per funzionare, le stampanti 3D partecipanti devono essere controllate tramite il sistema cloud di The Spaghetti Detective, dove avviene tutta l’elaborazione dell’intelligenza artificiale. Il sistema cloud accetta quindi le richieste di tutti i sistemi partecipanti quando sono attivi.
Durante un aggiornamento software di routine, i tecnici di The Spaghetti Detective hanno accidentalmente configurato male il sistema di bilanciamento del carico che indirizza le richieste in arrivo ai propri server. Questo è stato ignorato da tutti fino a quando non è successo qualcosa di molto insolito.
Un utente di Reddit ha pubblicato l’immagine in alto, dicendo che è stata trovata inaspettatamente una mattina sulla sua stampante 3D presumibilmente inattiva e ha chiesto alla community cosa stesse succedendo. La misteriosa stampa 3D ha detto:
TSD non è sicuro
Mi sono connesso a caso
Scusa ho dovuto informare
“TSD” significa “Il detective degli spaghetti”. Evidentemente un utente TSD casuale è stato in grado di connettersi al dispositivo del poster e letteralmente avviare – e completare – una stampa 3D. Questo è forse il metodo più insolito che abbia mai visto per informare qualcuno di un problema di sicurezza.
Com’era prevedibile, la comunità di Reddit ha immediatamente sospettato che un super-hacker avesse fatto irruzione a The Spaghetti Detective e presumibilmente avesse avuto accesso a tutte le stampanti 3D sulla loro rete.
La verità, come al solito, si è rivelata molto più semplice e meno malvagia: The Spaghetti Detective aveva commesso un errore di configurazione.
Kenneth Jiang di The Spaghetti Detective si è subito reso conto dell’errore (un indirizzo IP fuori luogo) e ha corretto la situazione. In un post sul blog lungo ed eccellentemente trasparente, Jiang ha scritto:
“Ho sbagliato. È stata la prima violazione della sicurezza che The Spaghetti Detective ha avuto in 2 anni della sua esistenza. Ma è stata una cosa imbarazzante che non riesco a perdonare a me stessa.
Ieri sera ho commesso uno stupido errore quando ho riconfigurato il cloud TSD per renderlo più efficiente e correre più veloce. Il mio errore ha creato una vulnerabilità di sicurezza per circa 8 ore. Gli utenti che in quel momento stavano collegando una stampante sono stati in grado di vedere la stampante dell’altro tramite il rilevamento automatico e sono stati anche in grado di collegarsi a loro! Siamo stati informati di un caso in cui un utente ha avviato una stampa sulla stampante di qualcun altro.
Di conseguenza, 73 utenti sono stati colpiti. Non è un numero enorme. Ci sono bug che colpiscono molti più utenti. Ma la conseguenza è molto grave. Nessuno vuole che le proprie stampanti siano collegate e controllate da un altro account.
Ho creato The Spaghetti Detective per consentire a tutti gli appassionati di stampa 3D di avere un modo per monitorare in sicurezza le proprie stampanti da qualsiasi luogo. E questo è uno dei peggiori errori che posso fare. Le mie sincere scuse alla nostra comunità per questo orribile errore”.
Tutti i 73 utenti sono stati contattati da TSD e questi partecipanti devono riconnettere le loro stampanti 3D alla rete. TSD ha anche avviato un audit di sicurezza per identificare eventuali falle simili nella loro rete.
Questo è forse l’errore più terribile che potrebbe fare un servizio cloud, ma fortunatamente questo tipo di servizio non sembra esporre dati che potrebbero essere andati persi. Tuttavia, avere persone a caso che eseguono lavori sulla tua stampante 3D è una cosa seria, in particolare se avevano cattive intenzioni. Potrebbe essere possibile danneggiare una stampante 3D in diversi modi se viene inviato un file GCODE appositamente progettato.
L’altra buona notizia è che i ragazzi di TSD hanno gestito l’incidente come si poteva sperare. La loro trasparenza e le spiegazioni dettagliate meritano la revisione da parte di altre organizzazioni per vedere come dovrebbero essere fatte. Ti incoraggio a leggere il loro post dettagliato.
Infine, non c’è niente come un incidente per provocare il cambiamento. In questo caso è molto probabile che TSD implementerà procedure aggiuntive che potrebbero ridurre la probabilità di problemi simili quasi a zero.