روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ یکی از عجیب‌ترین سخنرانی‌ها در کنفرانس DEF CON 29–برگزارشده در اوایل آگست- در مورد آسیب‌پذیری‌های تجهیزات کشاورزی بود. این سخنرانی توسط محققی استرالیایی ارائه شد. آسیب‌پذیری‌هایی که روی دو تولیدکننده اصلی با نام‌های John Deere و Case IH تأثیر گذاشته بودند در تراکتورها یا ماشین‌های کمباین نبودند بلکه مشکل از وب سرویس‌ها بود. این آسیب‌پذیری‌ها در حقیقت اجازه می‌دهد مجرمان سایبری روی تجهیزات سنگین و گران قیمت نظارت کامل و کنترل مستقیم داشته باشند. در ادامه با ما همراه باشید تا مبسوط به این موضوع بپردازیم.

ماشین‌های مدرن کشاورزی

برای آن دسته از کسانی که با مفهوم کشاورزی مدرن آشنا نیستند باید بگوییم قیمت ماشین‌آلات کشاورزی نجومی است. این محقق که سیک کدز نام دارد در سخنرانی خود توضیح داد چرا تراکتورها و کمباین‌ها انقدر گران هستند. بهترین نمونه‌های ماشین‌آلات کشاورزی از نوع رایانشی و اتومات هستند. برای مثال سری 9000 دستگاه درو علوفه جان دگری. موتور 24 لیتری و قیمت 6 رقمی حتی مسئله‌ی کنونی ما نیست- این نوع تبلیغات قابلیت‌های فنی دستگاه را شرح می‌دهند: سیستم جهت‌گیری فضا، سیستم خودکار حمل و بالا بر، حسگرهای موقعیت مکانی و همگام‌سازی با کامیونی که کارش دریافت دانه‌های بریده‌شده است. سیک کدز برای این قابلیت‌ها حتی کنترل ریموت و توانایی در اتصال خودکار پشتیبانی فنی به هاروسترها را نیز برای عیب‌یابی اضافه می‌کند. اینجاست که ادعای بزرگ مطرح می‌شود: کشاورزی مدرن تماماً به اینترنت متکی است.

مدل تهدید ماشین‌آلات کشاورزی

جای تعجبی نیست که ماشین‌آلات مدرن پر هستند از فناوری مدرن؛ از جی‌پی‌اس قدیمی گرفته تا موقعیت‌یابی نسل 3 و 4 و ال‌تی‌ای و سیستم‌های ارتباطی تا متودهای کاملاً عجیب نویگیشن داخلی برای تعیین موقعیت زمین با دقت در سطح سانتیمتر! این مدل تهدید مبتنی بر مفاهیم آی‌تی است و وقتی در واقعیت اجرایی می‌شود بسیار خطرناک و تهدیدآمیز است. حمله DoS در یک زمین کشاورزی چگونه خواهد بود؟ بیایید اینطور فرض کنیم که می‌توانیم برای اسپری کردن کود روی خاک و افزایش دوز آن در طی چند بار، متغیرها را در نرم‌افزار تغییر دهیم. می‌توانیم براحتی سال‌ها آن زمین را از شرایط مساعد برای کشاورزی خارج کنیم (حتی ده‌ها سال). نظرتان در مورد یک متغیر ساده‌تری فرضی چیست: تحت کنترل درآوردن یک ماشین کمباین و استفاده از آن برای آسیب رساندن به فرضاً یک خط برق. یا هک خود هاروستر یا اختلال در پروسه برداشت محصول که می‌تواند خسارات غیرقابل‌جبرانی به کشاورز بزند. در مقیاس ملی، چنین تهدیدهایی می‌تواند امنیت غذا را به خطر بیاندازد. تجهیزات شبکه‌ای کشاورزی بنابراین می‌تواند زیرساخت بسیار مهمی قلمداد شود. به نقل از کدز محقق، هنوز تأمین‌کنندگان در بخش زیرساخت و فناوری حوزه کشاورزی خیلی کارها مانده انجام دهند. در ادامه یافته‌های این محقق و همکارانش را خواهیم داشت:

جستجوی فراگیر نام کاربری و هاردکد کردن پسورد و ...

برخی از آسیب‌پذیری‌های زیرساخت John Deer که در این کنفرانس ارائه‌ شد نیز در مقاله‌ای در وبسایت این محقق شرح داده است. سیک کدز ابتدا کار را با SIGN UP کردن یک اکانت قانونی توسعه‌دهنده روی وبسایت شرکت شروع کرد (گرچه آنطور که خودش می‌نویسد، او بعدها نامی را که استفاده کرده بود فراموش کرد). او که سعی داشت نام را به خاطر بیاورد با چیزی غیرمنتظره مواجه شد: API هر بار که او کاراکتری را تایپ می‌کرد نام کاربری را جستجو می‌کرد. با کمی بررسی او متوجه شد نام کاربری‌هایی که از قبل در سیستم بودند می‌توانند مورد حمله جستجوی فراگیر قرار گیرند. محدودیت سنتی روی تعداد درخواست‌ها از یک آدرس IP در چنین سیستم‌هایی هنوز راه‌اندازی نشده بود. در عرض چند دقیقه سیک کدز 1000 درخواست فرستاد –درخواست بررسی نام‌های کاربری- که در نهایت 192 مچ دریافت کرد. آسیب‌پذیری دیگر در سرویس داخلی یافت شد که به مشتریان اجازه می‌داد آمار تجهیزات خریداری‌شده را بگیرند و اقلام را ثبت کنند. طبق یافته‌های سیک کدز، هر کسی که به این ابزار دسترسی پیدا کند می‌تواند در مورد هر تراکتور یا هاروستری در پایگاه اطلاعات، داده جمع کند. حقوق دسترسی به چنین داده‌هایی بررسی نشده است. افزون بر این، این اطلاعات نسبتاً محرمانه هم بوده‌اند: صاحب دستگاه، موقعیت مکانی و غیره. در کنفرانس DEF CON 29 سیک بیش از آنچه در وبسایتش قید کرده بود از دانسته‌هایش پرده برداشت. برای مثال ذکر کرد که سعی داشته برای مدیریت تجهیزات دمو با تاریخچه کامل شرح و داده‌های شخصی کارمندان شرکت به این سرویس دسترسی پیدا کند. در آخر همکاران او در سرویس سازمانی Pega Chat Access Group آسیب‌پذیری‌ای را شناسایی کردند (در قالب پسورد ادمین هاردکد شده). از این طریق او توانست به رمزهای اکانت کلاینت John Deere دسترسی پیدا کند. درست است که سیک کدز نگفته دقیقاً این رمز چه چیزی را باز می‌کند اما ظاهراً این هم مجموعه دیگریست از سرویس‌های داخلی. سیک برای ایجاد کمی تعادل همچنین به برخی آسیب‌پذیری‌ها در شرکت رقیب به نام Case IH پرداخت (حریف قدیمی و اروپایی شرکت جان دیر). دراین بخش او توانست به سرور ناامن Java Melody دسترسی پیدا کند و برخی از سرویس‌های این تولیدکننده را مورد نظارت قرار دهد. او در سخنرانی خود اشاره کرد به طور تئوری احتمال سرقت هر اکانتی و اطلاعات شخصی هر کاربری در زیرساخت شرکت وجود دارد.

تماس با این شرکت‌ها

برای رعایت جانب انصاف هم که شده باید اشاره کنیم که سیک کدز هیچ ارتباط مستقیمی برای تهدیدهایی که در فوق ذکر شد با آسیب‌پذیری‌هایی که شناسایی کرده قائل نمی‌شود. شاید برای اینکه کشاورزان معمولی به خطر نیافتند یا شاید هم اصلاً ارتباطی بین این دو مقوله ندیده بوده است. اما بر اساس نقایص امنیتی ارائه شده او اینطور نتیجه‌گیری می‌کند که امنیت در این شرکت‌ها پایین است و همین به ما اجازه می‌دهد فرض کنیم نظارت مستقیم روی کمباین‌ها به طو مشابهی محافظت می‌شود. اما این هنوز در حد فرضیه مانده است. همه آسیب‌پذیری‌های داخل سرویس‌های جان دیر از آن زمان بسته شده است اما تحت یک سری شرایط. این تولیدکننده برای گزارش آسیب‌پذیری‌ها هیچ کانال تماس خاصی نداشته است. سیک کدز با مدیر شبکه اجتماعی شرکت John Deere تبادل کوتاهی داشت که بعدش از او خواسته شد این آسیب‌پذیری‌ها را با یک برنامه پاداش (پاداش در ازای پیدا کردن باگ[1]) روی سرویس HackerOne گزارش دهد (البته چنین سرویسی وجود خارجی نداشت). برنامه پاداش مربوطه نهایتاً معرفی شد اما شرکت‌کنندگان ملزم بودند به امضای تعهدنامه عدم افشای اطلاعات بودند.

[1] bug-bounty program

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.