روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ یکی از عجیبترین سخنرانیها در کنفرانس DEF CON 29–برگزارشده در اوایل آگست- در مورد آسیبپذیریهای تجهیزات کشاورزی بود. این سخنرانی توسط محققی استرالیایی ارائه شد. آسیبپذیریهایی که روی دو تولیدکننده اصلی با نامهای John Deere و Case IH تأثیر گذاشته بودند در تراکتورها یا ماشینهای کمباین نبودند بلکه مشکل از وب سرویسها بود. این آسیبپذیریها در حقیقت اجازه میدهد مجرمان سایبری روی تجهیزات سنگین و گران قیمت نظارت کامل و کنترل مستقیم داشته باشند. در ادامه با ما همراه باشید تا مبسوط به این موضوع بپردازیم.
ماشینهای مدرن کشاورزی
برای آن دسته از کسانی که با مفهوم کشاورزی مدرن آشنا نیستند باید بگوییم قیمت ماشینآلات کشاورزی نجومی است. این محقق که سیک کدز نام دارد در سخنرانی خود توضیح داد چرا تراکتورها و کمباینها انقدر گران هستند. بهترین نمونههای ماشینآلات کشاورزی از نوع رایانشی و اتومات هستند. برای مثال سری 9000 دستگاه درو علوفه جان دگری. موتور 24 لیتری و قیمت 6 رقمی حتی مسئلهی کنونی ما نیست- این نوع تبلیغات قابلیتهای فنی دستگاه را شرح میدهند: سیستم جهتگیری فضا، سیستم خودکار حمل و بالا بر، حسگرهای موقعیت مکانی و همگامسازی با کامیونی که کارش دریافت دانههای بریدهشده است. سیک کدز برای این قابلیتها حتی کنترل ریموت و توانایی در اتصال خودکار پشتیبانی فنی به هاروسترها را نیز برای عیبیابی اضافه میکند. اینجاست که ادعای بزرگ مطرح میشود: کشاورزی مدرن تماماً به اینترنت متکی است.
مدل تهدید ماشینآلات کشاورزی
جای تعجبی نیست که ماشینآلات مدرن پر هستند از فناوری مدرن؛ از جیپیاس قدیمی گرفته تا موقعیتیابی نسل 3 و 4 و التیای و سیستمهای ارتباطی تا متودهای کاملاً عجیب نویگیشن داخلی برای تعیین موقعیت زمین با دقت در سطح سانتیمتر! این مدل تهدید مبتنی بر مفاهیم آیتی است و وقتی در واقعیت اجرایی میشود بسیار خطرناک و تهدیدآمیز است. حمله DoS در یک زمین کشاورزی چگونه خواهد بود؟ بیایید اینطور فرض کنیم که میتوانیم برای اسپری کردن کود روی خاک و افزایش دوز آن در طی چند بار، متغیرها را در نرمافزار تغییر دهیم. میتوانیم براحتی سالها آن زمین را از شرایط مساعد برای کشاورزی خارج کنیم (حتی دهها سال). نظرتان در مورد یک متغیر سادهتری فرضی چیست: تحت کنترل درآوردن یک ماشین کمباین و استفاده از آن برای آسیب رساندن به فرضاً یک خط برق. یا هک خود هاروستر یا اختلال در پروسه برداشت محصول که میتواند خسارات غیرقابلجبرانی به کشاورز بزند. در مقیاس ملی، چنین تهدیدهایی میتواند امنیت غذا را به خطر بیاندازد. تجهیزات شبکهای کشاورزی بنابراین میتواند زیرساخت بسیار مهمی قلمداد شود. به نقل از کدز محقق، هنوز تأمینکنندگان در بخش زیرساخت و فناوری حوزه کشاورزی خیلی کارها مانده انجام دهند. در ادامه یافتههای این محقق و همکارانش را خواهیم داشت:
جستجوی فراگیر نام کاربری و هاردکد کردن پسورد و ...
برخی از آسیبپذیریهای زیرساخت John Deer که در این کنفرانس ارائه شد نیز در مقالهای در وبسایت این محقق شرح داده است. سیک کدز ابتدا کار را با SIGN UP کردن یک اکانت قانونی توسعهدهنده روی وبسایت شرکت شروع کرد (گرچه آنطور که خودش مینویسد، او بعدها نامی را که استفاده کرده بود فراموش کرد). او که سعی داشت نام را به خاطر بیاورد با چیزی غیرمنتظره مواجه شد: API هر بار که او کاراکتری را تایپ میکرد نام کاربری را جستجو میکرد. با کمی بررسی او متوجه شد نام کاربریهایی که از قبل در سیستم بودند میتوانند مورد حمله جستجوی فراگیر قرار گیرند. محدودیت سنتی روی تعداد درخواستها از یک آدرس IP در چنین سیستمهایی هنوز راهاندازی نشده بود. در عرض چند دقیقه سیک کدز 1000 درخواست فرستاد –درخواست بررسی نامهای کاربری- که در نهایت 192 مچ دریافت کرد. آسیبپذیری دیگر در سرویس داخلی یافت شد که به مشتریان اجازه میداد آمار تجهیزات خریداریشده را بگیرند و اقلام را ثبت کنند. طبق یافتههای سیک کدز، هر کسی که به این ابزار دسترسی پیدا کند میتواند در مورد هر تراکتور یا هاروستری در پایگاه اطلاعات، داده جمع کند. حقوق دسترسی به چنین دادههایی بررسی نشده است. افزون بر این، این اطلاعات نسبتاً محرمانه هم بودهاند: صاحب دستگاه، موقعیت مکانی و غیره. در کنفرانس DEF CON 29 سیک بیش از آنچه در وبسایتش قید کرده بود از دانستههایش پرده برداشت. برای مثال ذکر کرد که سعی داشته برای مدیریت تجهیزات دمو با تاریخچه کامل شرح و دادههای شخصی کارمندان شرکت به این سرویس دسترسی پیدا کند. در آخر همکاران او در سرویس سازمانی Pega Chat Access Group آسیبپذیریای را شناسایی کردند (در قالب پسورد ادمین هاردکد شده). از این طریق او توانست به رمزهای اکانت کلاینت John Deere دسترسی پیدا کند. درست است که سیک کدز نگفته دقیقاً این رمز چه چیزی را باز میکند اما ظاهراً این هم مجموعه دیگریست از سرویسهای داخلی. سیک برای ایجاد کمی تعادل همچنین به برخی آسیبپذیریها در شرکت رقیب به نام Case IH پرداخت (حریف قدیمی و اروپایی شرکت جان دیر). دراین بخش او توانست به سرور ناامن Java Melody دسترسی پیدا کند و برخی از سرویسهای این تولیدکننده را مورد نظارت قرار دهد. او در سخنرانی خود اشاره کرد به طور تئوری احتمال سرقت هر اکانتی و اطلاعات شخصی هر کاربری در زیرساخت شرکت وجود دارد.
تماس با این شرکتها
برای رعایت جانب انصاف هم که شده باید اشاره کنیم که سیک کدز هیچ ارتباط مستقیمی برای تهدیدهایی که در فوق ذکر شد با آسیبپذیریهایی که شناسایی کرده قائل نمیشود. شاید برای اینکه کشاورزان معمولی به خطر نیافتند یا شاید هم اصلاً ارتباطی بین این دو مقوله ندیده بوده است. اما بر اساس نقایص امنیتی ارائه شده او اینطور نتیجهگیری میکند که امنیت در این شرکتها پایین است و همین به ما اجازه میدهد فرض کنیم نظارت مستقیم روی کمباینها به طو مشابهی محافظت میشود. اما این هنوز در حد فرضیه مانده است. همه آسیبپذیریهای داخل سرویسهای جان دیر از آن زمان بسته شده است اما تحت یک سری شرایط. این تولیدکننده برای گزارش آسیبپذیریها هیچ کانال تماس خاصی نداشته است. سیک کدز با مدیر شبکه اجتماعی شرکت John Deere تبادل کوتاهی داشت که بعدش از او خواسته شد این آسیبپذیریها را با یک برنامه پاداش (پاداش در ازای پیدا کردن باگ[1]) روی سرویس HackerOne گزارش دهد (البته چنین سرویسی وجود خارجی نداشت). برنامه پاداش مربوطه نهایتاً معرفی شد اما شرکتکنندگان ملزم بودند به امضای تعهدنامه عدم افشای اطلاعات بودند.
[1] bug-bounty program
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
