اهمیت زیرساخت کشاورزی و آسیب‌پذیری‌های تجهیزات تولیدکنندگان

25 مهر 1400 اهمیت زیرساخت کشاورزی و آسیب‌پذیری‌های تجهیزات تولیدکنندگان

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ یکی از عجیب‌ترین سخنرانی‌ها در کنفرانس DEF CON 29–برگزارشده در اوایل آگست- در مورد آسیب‌پذیری‌های تجهیزات کشاورزی بود. این سخنرانی توسط محققی استرالیایی ارائه شد. آسیب‌پذیری‌هایی که روی دو تولیدکننده اصلی با نام‌های John Deere و Case IH تأثیر گذاشته بودند در تراکتورها یا ماشین‌های کمباین نبودند بلکه مشکل از وب سرویس‌ها بود. این آسیب‌پذیری‌ها در حقیقت اجازه می‌دهد مجرمان سایبری روی تجهیزات سنگین و گران قیمت نظارت کامل و کنترل مستقیم داشته باشند. در ادامه با ما همراه باشید تا مبسوط به این موضوع بپردازیم.

ماشین‌های مدرن کشاورزی

برای آن دسته از کسانی که با مفهوم کشاورزی مدرن آشنا نیستند باید بگوییم قیمت ماشین‌آلات کشاورزی نجومی است. این محقق که سیک کدز نام دارد در سخنرانی خود توضیح داد چرا تراکتورها و کمباین‌ها انقدر گران هستند. بهترین نمونه‌های ماشین‌آلات کشاورزی از نوع رایانشی و اتومات هستند. برای مثال سری 9000 دستگاه درو علوفه جان دگری. موتور 24 لیتری و قیمت 6 رقمی حتی مسئله‌ی کنونی ما نیست- این نوع تبلیغات قابلیت‌های فنی دستگاه را شرح می‌دهند: سیستم جهت‌گیری فضا، سیستم خودکار حمل و بالا بر، حسگرهای موقعیت مکانی و همگام‌سازی با کامیونی که کارش دریافت دانه‌های بریده‌شده است. سیک کدز برای این قابلیت‌ها حتی کنترل ریموت و توانایی در اتصال خودکار پشتیبانی فنی به هاروسترها را نیز برای عیب‌یابی اضافه می‌کند. اینجاست که ادعای بزرگ مطرح می‌شود: کشاورزی مدرن تماماً به اینترنت متکی است.

مدل تهدید ماشین‌آلات کشاورزی

جای تعجبی نیست که ماشین‌آلات مدرن پر هستند از فناوری مدرن؛ از جی‌پی‌اس قدیمی گرفته تا موقعیت‌یابی نسل 3 و 4 و ال‌تی‌ای و سیستم‌های ارتباطی تا متودهای کاملاً عجیب نویگیشن داخلی برای تعیین موقعیت زمین با دقت در سطح سانتیمتر! این مدل تهدید مبتنی بر مفاهیم آی‌تی است و وقتی در واقعیت اجرایی می‌شود بسیار خطرناک و تهدیدآمیز است. حمله DoS در یک زمین کشاورزی چگونه خواهد بود؟ بیایید اینطور فرض کنیم که می‌توانیم برای اسپری کردن کود روی خاک و افزایش دوز آن در طی چند بار، متغیرها را در نرم‌افزار تغییر دهیم. می‌توانیم براحتی سال‌ها آن زمین را از شرایط مساعد برای کشاورزی خارج کنیم (حتی ده‌ها سال). نظرتان در مورد یک متغیر ساده‌تری فرضی چیست: تحت کنترل درآوردن یک ماشین کمباین و استفاده از آن برای آسیب رساندن به فرضاً یک خط برق. یا هک خود هاروستر یا اختلال در پروسه برداشت محصول که می‌تواند خسارات غیرقابل‌جبرانی به کشاورز بزند. در مقیاس ملی، چنین تهدیدهایی می‌تواند امنیت غذا را به خطر بیاندازد. تجهیزات شبکه‌ای کشاورزی بنابراین می‌تواند زیرساخت بسیار مهمی قلمداد شود. به نقل از کدز محقق، هنوز تأمین‌کنندگان در بخش زیرساخت و فناوری حوزه کشاورزی خیلی کارها مانده انجام دهند. در ادامه یافته‌های این محقق و همکارانش را خواهیم داشت:

جستجوی فراگیر نام کاربری و هاردکد کردن پسورد و ...

برخی از آسیب‌پذیری‌های زیرساخت John Deer که در این کنفرانس ارائه‌ شد نیز در مقاله‌ای در وبسایت این محقق شرح داده است. سیک کدز ابتدا کار را با SIGN UP کردن یک اکانت قانونی توسعه‌دهنده روی وبسایت شرکت شروع کرد (گرچه آنطور که خودش می‌نویسد، او بعدها نامی را که استفاده کرده بود فراموش کرد). او که سعی داشت نام را به خاطر بیاورد با چیزی غیرمنتظره مواجه شد: API هر بار که او کاراکتری را تایپ می‌کرد نام کاربری را جستجو می‌کرد. با کمی بررسی او متوجه شد نام کاربری‌هایی که از قبل در سیستم بودند می‌توانند مورد حمله جستجوی فراگیر قرار گیرند. محدودیت سنتی روی تعداد درخواست‌ها از یک آدرس IP در چنین سیستم‌هایی هنوز راه‌اندازی نشده بود. در عرض چند دقیقه سیک کدز 1000 درخواست فرستاد –درخواست بررسی نام‌های کاربری- که در نهایت 192 مچ دریافت کرد. آسیب‌پذیری دیگر در سرویس داخلی یافت شد که به مشتریان اجازه می‌داد آمار تجهیزات خریداری‌شده را بگیرند و اقلام را ثبت کنند. طبق یافته‌های سیک کدز، هر کسی که به این ابزار دسترسی پیدا کند می‌تواند در مورد هر تراکتور یا هاروستری در پایگاه اطلاعات، داده جمع کند. حقوق دسترسی به چنین داده‌هایی بررسی نشده است. افزون بر این، این اطلاعات نسبتاً محرمانه هم بوده‌اند: صاحب دستگاه، موقعیت مکانی و غیره. در کنفرانس DEF CON 29 سیک بیش از آنچه در وبسایتش قید کرده بود از دانسته‌هایش پرده برداشت. برای مثال ذکر کرد که سعی داشته برای مدیریت تجهیزات دمو با تاریخچه کامل شرح و داده‌های شخصی کارمندان شرکت به این سرویس دسترسی پیدا کند. در آخر همکاران او در سرویس سازمانی Pega Chat Access Group آسیب‌پذیری‌ای را شناسایی کردند (در قالب پسورد ادمین هاردکد شده). از این طریق او توانست به رمزهای اکانت کلاینت John Deere دسترسی پیدا کند. درست است که سیک کدز نگفته دقیقاً این رمز چه چیزی را باز می‌کند اما ظاهراً این هم مجموعه دیگریست از سرویس‌های داخلی. سیک برای ایجاد کمی تعادل همچنین به برخی آسیب‌پذیری‌ها در شرکت رقیب به نام Case IH پرداخت (حریف قدیمی و اروپایی شرکت جان دیر). دراین بخش او توانست به سرور ناامن Java Melody دسترسی پیدا کند و برخی از سرویس‌های این تولیدکننده را مورد نظارت قرار دهد. او در سخنرانی خود اشاره کرد به طور تئوری احتمال سرقت هر اکانتی و اطلاعات شخصی هر کاربری در زیرساخت شرکت وجود دارد.

تماس با این شرکت‌ها

برای رعایت جانب انصاف هم که شده باید اشاره کنیم که سیک کدز هیچ ارتباط مستقیمی برای تهدیدهایی که در فوق ذکر شد با آسیب‌پذیری‌هایی که شناسایی کرده قائل نمی‌شود. شاید برای اینکه کشاورزان معمولی به خطر نیافتند یا شاید هم اصلاً ارتباطی بین این دو مقوله ندیده بوده است. اما بر اساس نقایص امنیتی ارائه شده او اینطور نتیجه‌گیری می‌کند که امنیت در این شرکت‌ها پایین است و همین به ما اجازه می‌دهد فرض کنیم نظارت مستقیم روی کمباین‌ها به طو مشابهی محافظت می‌شود. اما این هنوز در حد فرضیه مانده است. همه آسیب‌پذیری‌های داخل سرویس‌های جان دیر از آن زمان بسته شده است اما تحت یک سری شرایط. این تولیدکننده برای گزارش آسیب‌پذیری‌ها هیچ کانال تماس خاصی نداشته است. سیک کدز با مدیر شبکه اجتماعی شرکت John Deere تبادل کوتاهی داشت که بعدش از او خواسته شد این آسیب‌پذیری‌ها را با یک برنامه پاداش (پاداش در ازای پیدا کردن باگ[1]) روی سرویس HackerOne گزارش دهد (البته چنین سرویسی وجود خارجی نداشت). برنامه پاداش مربوطه نهایتاً معرفی شد اما شرکت‌کنندگان ملزم بودند به امضای تعهدنامه عدم افشای اطلاعات بودند.

 

 

[1] bug-bounty program

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد