Za pořízení robotů utratily loni firmy z celého světa necelých 100 miliard dolarů, do tří let bude tato suma podle analytické společnosti IDC více než dvojnásobná. Stovky tisíc robotů už se uplatňují v továrnách, kde nahrazují lidské pracovníky. V západní Evropě nebo v USA jsou navíc tito pomocníci k vidění i v některých obchodech nebo ve školách, kde radí zákazníkům nebo žákům ve výuce.

S rostoucím počtem robotů ale souvisí i zvýšené riziko jejich napadení hackery, na což nyní upozornil vůbec první hackerský útok na robota, za nímž stojí americká bezpečnostní firma IOActive. Její výzkumník Lucas Apa na bezpečnostní konferenci organizované antivirovou firmou Kaspersky Lab v mexickém Cancúnu názorně předvedl, jak lze během několika málo sekund robota nakazit virem, díky němuž nad ním útočník získá plnou kontrolu a může po majiteli zařízení následně vymáhat výkupné za vrácení přístroje do původního stavu.

"Náš virus dokáže zcela změnit chování robota. V případě robotů, kteří slouží jako prodejní asistenti v obchodech, můžeme změnit jejich hlas a na displej na jejich hrudi vysílat třeba pornografický obsah. U všech typů robotů navíc dokážeme přenastavit pohybování jejich paží tak, aby začali zraňovat lidi ve svém okolí. K tomu svedeme robota zcela vyřadit z provozu," říká v rozhovoru pro HN Lucas Apa z IOActive.

Jeho společnost se zabývá takzvaným etickým hackingem. Po dohodě se svými firemními zákazníky na jejich weby či zařízení provádí cvičné kybernetické útoky, aby je upozornila na možné bezpečnostní díry v jejich systémech. Také zmiňovaný útok na robota je pouze demonstrativní.

"Náš výzkum k tomuto tématu chce pouze poukázat na slabiny v zabezpečení robotů. Není to tak, že bychom na něm bezprostředně profitovali," říká Apa. Jeho firma už loni zveřejnila studii zaměřenou na zabezpečení robotů, ve které odhalila 50 bezpečnostních slabin u šesti světových výrobců. "Žádná z těchto firem ale na naše upozornění nereagovala, a proto jsme se rozhodli rizika spojená s roboty předvést na názorném příkladu útoku. Při něm jsme tyto bezpečnostní díry v robotickém softwaru využili," vysvětluje výzkumník, který napadení robota na bezpečnostní konferenci předvedl na předem natočeném videu.

Dej mi bitcoiny, nebo zemřeš!

Ve videu vystoupil robot Nao japonské společnosti SoftBank Robotics, který v bankách nebo obchodech supluje lidskou obsluhu. V krátkém spotu Nao svým strojovým hlasem úslužně přivítá zákazníka, poprosí ho o oskenování jeho tváře, aby se podíval na jeho nákupní historii, a nabízí mu slevu. Potud robot funguje přesně podle nastavení. Pak ale hacker přistupuje k nedalekému počítači, jehož prostřednictvím do robota nahrává virus, a Naovi se během několika sekund zcela změní hlas i chování. "Ahoj zákazníku. Chci si zahrát hru. Byl jsem napaden hackery. Potřebuju bitcoiny! Miluju bitcoiny! Hned mi dej bitcoiny, nebo zemřeš," vyhrožuje najednou robot ovládaný hackerem.

IOActive se při tvorbě svého útoku inspirovalo takzvanými ransomwary, vyděračskými viry, jež útočí na počítače, kterým zašifrují disky. Uživatel, který nechce přijít o svá data, pak hackerovi za příslib odblokování jeho dat raději zaplatí výkupné v bitcoinech nebo jiné digitální měně.

"Přemýšleli jsme, co by hacker z útoku na robota měl. Roboti typicky jen plní příkazy, příliš informací neschraňují, a tak by bylo zašifrování jejich dat pro útočníky neúčelné. Průmyslové firmy ale roboty nahrazují lidské pracovníky. Když tedy virus robota zcela vyřadí z provozu nebo jeho chování změní tak, že začne být pro své okolí nebezpečný, podnik tím ztrácí pracovní sílu, do které draze investoval. Když pak hackeři poškozené firmě slíbí, že jí robota za úplatu vrátí do původního nastavení, je pravděpodobné, že dostanou své výkupné," uvádí Apa.

Virus jeho firmy prý dovede v řídicím programu robota vypnout mechanismus, který ho dovoluje resetovat. "Jediná šance, jak stroj znovu zprovoznit, spočívá v jeho přenastavení přímo u výrobce. Ten ale sídlí třeba ve Spojených státech, a než ho tam poškozená firma dopraví a zase dostane zpět, může to trvat i měsíc. To ale podnik nemusí akceptovat, protože mu kvůli chybějícímu robotovi třeba stojí část výroby," dodává výzkumník IOActive.

Apa přiznává, že dosud nebyl zdokumentovaný jediný případ, kdy by hackeři na robota zaútočili. I tak má podle něj nynější cvičný útok jeho firmy smysl. "Hackeři se soustřeďují na technologie a služby, které jsou ve světě rozšířené, aby na svých útocích vydělali co nejvíce. Roboti jsou zatím velmi drazí, a tak si je nemůže dovolit každý. Je ale zjevné, že jejich cena bude v příštích letech klesat, což jejich význam i počty podstatně zvýší. Proto mě zaráží, že výrobci robotů zatím jejich zabezpečení příliš neřeší," míní.

Hacker se může vydávat za vývojáře

V již zmiňované studii IOActive americká společnost třeba odhalila, že vzdálená komunikace vývojářů s roboty, které přes své počítače nastavují, mnohdy probíhá na nešifrovaných internetových sítích, do nichž se mohou hackeři nabourat. Přístup vývojářů k řídicímu programu robota navíc nebývá zabezpečen heslem nebo je identifikace nedostatečná a útočníci ji mohou snadno obejít.

"U takzvaných kolaborativních robotů, kteří pracují s lidmi, je zase problém v zajištění jejich bezpečnostního mechanismu. Součástí řídicího softwaru robota je i funkce, která mu brání, aby dělal prudké pohyby nebo překročil určitou hranici, kdy by mohlo jeho rameno blízkého člověka zranit. Když se ale hacker zmocní řídicího programu robota, jednoduše tohle bezpečnostní opatření vyřadí z provozu. Ideální by přitom bylo, aby byla tahle funkce ještě speciálně chráněna a oddělena," dodává zástupce IOActive.

Jeho firma si pro svůj cvičný útok vybrala robota japonské společnosti SoftBank, protože patří k nejrozšířenějším přístrojům svého druhu na světě. "Vzhledem k chybám, které jsme objevili i u dalších pěti světových výrobců, by ale virus v pozměněné podobě fungoval i na jejich zařízeních," uvádí Apa.

Mezi takové firmy patří i dánský výrobce kolaborativních robotů Universal Robots, který své přístroje dodává i do továren v Česku. Šéf tuzemské pobočky společnosti Pavel Bezucký přiznává, že roboti Universal Robots v sobě nemají zabudované bezpečnostní prvky. "Jde to ale snadno a spolehlivě ošetřit pomocí externího firewallu a zabezpečení IT v celém podniku, který roboty používá," říká Bezucký. Podle Apy z IOActive ale taková opatření nestačí a zabezpečení robotů je třeba řešit již při jejich výrobě.