Sicurezza delle attrezzature agricole al DEF CON 29

Al DEF CON 29, un ricercatore ha spiegato perché le macchine agricole dovrebbero essere considerate infrastrutture critiche e ha indicato le vulnerabilità nelle attrezzature dei principali produttori.

Una delle presentazioni più insolite alla conferenza DEF CON 29, tenutasi all’inizio di agosto, ha riguardato le vulnerabilità delle attrezzature agricole trovate da un ricercatore australiano, conosciute come Sick Codes.

Le vulnerabilità che colpiscono i produttori principali John Deere e Case IH sono state trovate non in trattori e mietitrebbie, ma in servizi web più familiari ai ricercatori. Attraverso di essi, è stato possibile ottenere il controllo diretto su attrezzature da multi-tonnellate e molto costose, il che rappresenta un certo pericolo.

Macchinari agricoli moderni

Per coloro che non hanno familiarità con l’agricoltura moderna, il prezzo dei macchinari potrebbe sembrare astronomico. Nella sua presentazione, Sick Codes ha spiegato il loro costo.  I migliori esempi di macchinari agricoli moderni sono computerizzati e automatizzati ad un livello abbastanza alto. Questo è illustrato dall’esempio della mietitrice John Deere serie 9000, che è pubblicizzata come segue:

Il motore V12 da 24 litri e il prezzo a sei cifre non sono nemmeno la cosa principale, infatti, questo particolare spot enumera le capacità tecniche della macchina: sistema di orientamento spaziale, sensori automatici di raccolta e localizzazione delle file e sincronizzazione con il camion che riceve il grano tagliato. A queste capacità, Sick Codes aggiunge il controllo remoto e la capacità di collegare automaticamente il supporto tecnico direttamente alla mietitrice per la risoluzione dei problemi. È qui che fa un’affermazione audace: l’agricoltura moderna dipende interamente da Internet.

Modello a rischio nei macchinari agricoli

Non sorprende che i macchinari attuali siano dotati di tecnologia moderna, dai convenzionali sistemi di posizionamento e comunicazione GPS e 3G/4G/LTE ai particolari metodi di navigazione inerziale, per determinare la posizione sul terreno con precisione centimetrica. Il modello di minaccia concepito da Sick Codes è basato su concetti informatici, e sembra piuttosto minaccioso se applicato alla realtà.

Che aspetto ha un attacco DoS su un campo? Supponiamo di poter cambiare un paio di variabili nel software per spruzzare il fertilizzante sul terreno e aumentare più volte la dose. Potremmo facilmente rendere il campo inadatto all’agricoltura per anni, o addirittura decenni.

O che ne dite di una ipotesi più semplice? Prendiamo il controllo di una mietitrebbia e la usiamo per danneggiare, per esempio, una linea elettrica. Oppure hackeriamo la mietitrice stessa, interrompendo il processo di raccolta e causando enormi perdite per l’agricoltore. Su scala nazionale, tali “esperimenti” potrebbero alla fine minacciare la sicurezza alimentare. L’attrezzatura agricola in rete è, quindi, una vera e propria infrastruttura critica.

E secondo Sick Codes, la protezione messa in atto dai fornitori di questa stessa tecnologia e infrastruttura lascia molto a desiderare. Ecco ciò che hanno trovato il ricercatore e il suo team.

Forzare il nome utente, codifica della password e così via

Alcune delle vulnerabilità dell’infrastruttura di John Deer presentate alla conferenza sono anche descritte in un articolo sul sito web del ricercatore. Sick Codes ha iniziato iscrivendosi come account legittimo di sviluppatore sul sito web della società (anche se, come sostiene, ha poi dimenticato il nome utilizzato). Cercando di ricordare, ha incontrato qualcosa di inaspettato: l’API ha fatto ricerche sul nome utente ogni volta che ha digitato un carattere e un rapido controllo ha rivelato che, effettivamente, i nomi utente già presenti nel sistema potevano essere forzati.

Forzare i nomi utente. Fonte.

Il limite tradizionale sul numero di richieste da un indirizzo IP in tali sistemi non era impostato. In appena un paio di minuti, Sick Codes ha inviato 1.000 query, controllando i nomi utente corrispondenti ai nomi delle aziende Fortune 1000, ottenendo 192 risultati.

La successiva vulnerabilità è stata scoperta in un servizio interno che permette ai clienti di tenere i registri delle attrezzature acquistate. Come ha scoperto Sick Codes, chiunque abbia accesso a questo strumento può visualizzare le informazioni su qualsiasi trattore o mietitrebbia nel database. I diritti di accesso a tali dati non sono controllati. Per di più, le informazioni sono abbastanza riservate: proprietario del veicolo, posizione, ecc.

Al DEF CON 29, Sick Codes ha rivelato un po’ di più di quello che ha scritto sul suo sito web. Per esempio, è riuscito anche ad accedere al servizio di gestione delle apparecchiature demo, con la storia completa delle dimostrazioni e i dati personali dei dipendenti dell’azienda. Infine, i suoi colleghi hanno rilevato una vulnerabilità nel servizio aziendale Pega Chat Access Group, sotto forma di una password admin hardcoded. Attraverso questo, è stato in grado di ottenere le chiavi di accesso all’account cliente di John Deere. È vero, Sick Codes non ha detto cosa apre esattamente questa chiave, ma sembra essere un altro insieme di servizi interni.

Per un po’ di equilibrio, Sick Codes ha anche presentato alcune vulnerabilità che riguardano il concorrente europeo di John Deere, Case IH. Lì, è stato in grado di accedere a un server Java Melody non protetto che controlla alcuni servizi del produttore, che ha dato informazioni dettagliate sugli utenti e ha mostrato la possibilità teorica di hackerare qualsiasi account.

Contattare le compagnie

Per correttezza, dovremmo notare che Sick Codes non traccia alcun collegamento diretto tra le minacce sopra menzionate e le vulnerabilità che ha rilevato, forse per non mettere in pericolo gli agricoltori comuni; o forse, non ha trovato alcun legame del genere. Tuttavia, basandosi sulle banali falle di sicurezza presentate, conclude che la cultura della sicurezza in queste aziende è bassa, il che ci permette di supporre che il controllo diretto sulle mietitrebbie sia altrettanto protetto. Ma questa rimane una supposizione.

Tutte le vulnerabilità nei servizi John Deere sono state riparate, ma con alcune riserve. Il produttore non ha avuto alcun canale di contatto speciale per segnalare le vulnerabilità. Sick Codes ha avuto un breve scambio con il social media manager di John Deere, dopo il quale gli è stato chiesto di segnalare le vulnerabilità attraverso il programma bug-bounty sul servizio HackerOne, tuttavia non è stato trovato alcun servizio del genere. Alla fine è stato introdotto un programma di ricompense per la segnalazione di vulnerabilità, ma i partecipanti sono tenuti a firmare un accordo di non divulgazione.

I problemi con il sito web dell’azienda sono stati risolti senza una parola di risposta ai messaggi dei ricercatori; o meglio, una risposta c’è stata, ma è stata una risposta strana. Dopo che le vulnerabilità hanno fatto notizia nell’aprile di quest’anno, un messaggio criptico è stato pubblicato sull’account Twitter ufficiale della società: “le previsioni di questa settimana: da uno a tre pollici di sciocchezze”. Allo stesso tempo, si pubblicizzava un posto disponibile come ingegnere della sicurezza con la data di inizio (ADESSO) scritta in maiuscolo.

Il diritto alla riparazione

Nel 2017, la rivista Vice ha scritto dei problemi affrontati dai proprietari di attrezzature agricole John Deere. Numerosi blocchi software e hardware impediscono agli utenti di riparare le attrezzature da soli. Tecnicamente, ogni pezzo di ricambio dovrebbe essere “registrato” nel computer di controllo della mietitrice o nel database del venditore, ma i rivenditori ufficiali sono lenti e costosi. Così gli agricoltori spesso optano per un firmware sottobanco che permette loro di slegare la macchina dal suo costruttore.

Questo è un buon esempio del dibattito sul diritto alla riparazione: si scopre che i clienti dell’azienda non sono proprietari di ciò che comprano. Essi effettivamente noleggiano l’attrezzatura (ma a prezzo pieno), e devono utilizzare i servizi di manutenzione del produttore, anche se non vogliono. Il venditore spesso cita la sicurezza come ragione, in particolare la necessità di impedire che un’unità di controllo non autorizzata prenda il controllo di una macchina complessa. Ma Sick Codes si chiede giustamente: che livello di sicurezza è presente, se ci sono falle così evidenti nel loro software?

Alla fine del report, Sick Codes ha dimostrato il modulo di controllo John Deere con chip cellulare Qualcomm, e ha elencato una lunga lista di vulnerabilità critiche trovate recentemente al suo interno. Questo, naturalmente, è un argomento debole: le vulnerabilità devono ancora essere sfruttate, e il fatto stesso che siano stati trovati dei bug dice poco.

Non è il numero di vulnerabilità che conta, piuttosto la capacità di individuarle e inserire delle patch il più rapidamente possibile. Sick Codes cerca di convincere il pubblico che le macchine agricole sono protette tanto male quanto le attrezzature mediche. Indipendentemente da quanto questo sia vero, il problema deve ancora essere affrontato, a partire dall’apertura di un dialogo con i produttori. Non può che essere nell’interesse di questi ultimi ascoltare gli avvertimenti dei cybercriminali etici, prima che i criminali informatici entrino in azione.

Consigli