{"id":25771,"date":"2021-10-15T10:18:09","date_gmt":"2021-10-15T08:18:09","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25771"},"modified":"2021-10-15T10:18:09","modified_gmt":"2021-10-15T08:18:09","slug":"hacking-agriculture-defcon29","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/hacking-agriculture-defcon29\/25771\/","title":{"rendered":"Sicurezza delle attrezzature agricole al DEF CON 29"},"content":{"rendered":"<p>Una delle presentazioni pi\u00f9 insolite alla conferenza DEF CON 29, tenutasi all\u2019inizio di agosto, ha riguardato le vulnerabilit\u00e0 delle attrezzature agricole <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"noopener nofollow\">trovate<\/a> da un ricercatore australiano, conosciute come <a href=\"https:\/\/twitter.com\/sickcodes\" target=\"_blank\" rel=\"noopener nofollow\">Sick Codes<\/a>.<\/p>\n<p>Le vulnerabilit\u00e0 che colpiscono i produttori principali John Deere e Case IH sono state trovate non in trattori e mietitrebbie, ma in servizi web pi\u00f9 familiari ai ricercatori. Attraverso di essi, \u00e8 stato possibile ottenere il controllo diretto su attrezzature da multi-tonnellate e molto costose, il che rappresenta un certo pericolo.<\/p>\n<h2>Macchinari agricoli moderni<\/h2>\n<p>Per coloro che non hanno familiarit\u00e0 con l\u2019agricoltura moderna, il prezzo dei macchinari potrebbe sembrare astronomico. Nella sua presentazione, Sick Codes ha spiegato il loro costo.\u00a0 I migliori esempi di macchinari agricoli moderni sono computerizzati e automatizzati ad un livello abbastanza alto. Questo \u00e8 illustrato dall\u2019esempio della mietitrice John Deere serie 9000, che \u00e8 pubblicizzata come segue:<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/pc8NAKoXoRg?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Il motore V12 da 24 litri e il prezzo a sei cifre non sono nemmeno la cosa principale, infatti, questo particolare spot enumera le capacit\u00e0 tecniche della macchina: sistema di orientamento spaziale, sensori automatici di raccolta e localizzazione delle file e sincronizzazione con il camion che riceve il grano tagliato. A queste capacit\u00e0, Sick Codes aggiunge il controllo remoto e la capacit\u00e0 di collegare automaticamente il supporto tecnico direttamente alla mietitrice per la risoluzione dei problemi. \u00c8 qui che fa un\u2019affermazione audace: l\u2019agricoltura moderna dipende interamente da Internet.<\/p>\n<h2>Modello a rischio nei macchinari agricoli<\/h2>\n<p>Non sorprende che i macchinari attuali siano dotati di tecnologia moderna, dai convenzionali sistemi di posizionamento e comunicazione GPS e 3G\/4G\/LTE ai particolari <a href=\"https:\/\/it.wikipedia.org\/wiki\/Cinematica_in_tempo_reale\" target=\"_blank\" rel=\"noopener nofollow\">metodi di navigazione inerziale, <\/a>per determinare la posizione sul terreno con precisione centimetrica. Il modello di minaccia concepito da Sick Codes \u00e8 basato su concetti informatici, e sembra piuttosto minaccioso se applicato alla realt\u00e0.<\/p>\n<p>Che aspetto ha un attacco DoS su un campo? Supponiamo di poter cambiare un paio di variabili nel software per spruzzare il fertilizzante sul terreno e aumentare pi\u00f9 volte la dose. Potremmo facilmente rendere il campo inadatto all\u2019agricoltura per anni, o addirittura decenni.<\/p>\n<p>O che ne dite di una ipotesi pi\u00f9 semplice? Prendiamo il controllo di una mietitrebbia e la usiamo per danneggiare, per esempio, una linea elettrica. Oppure hackeriamo la mietitrice stessa, interrompendo il processo di raccolta e causando enormi perdite per l\u2019agricoltore. Su scala nazionale, tali \u201cesperimenti\u201d potrebbero alla fine minacciare la sicurezza alimentare. L\u2019attrezzatura agricola in rete \u00e8, quindi, una vera e propria infrastruttura critica.<\/p>\n<p>E secondo Sick Codes, la protezione messa in atto dai fornitori di questa stessa tecnologia e infrastruttura lascia molto a desiderare. Ecco ci\u00f2 che hanno trovato il ricercatore e il suo team.<\/p>\n<h2>Forzare il nome utente, codifica della password e cos\u00ec via<\/h2>\n<p>Alcune delle vulnerabilit\u00e0 dell\u2019infrastruttura di John Deer presentate alla conferenza sono anche descritte in un <a href=\"https:\/\/sick.codes\/leaky-john-deere-apis-serious-food-supply-chain-vulnerabilities-discovered-by-sick-codes-kevin-kenney-willie-cade\/\" target=\"_blank\" rel=\"noopener nofollow\">articolo sul sito web del ricercatore<\/a>. Sick Codes ha iniziato iscrivendosi come account legittimo di sviluppatore sul sito web della societ\u00e0 (anche se, come sostiene, ha poi dimenticato il nome utilizzato). Cercando di ricordare, ha incontrato qualcosa di inaspettato: l\u2019API ha fatto ricerche sul nome utente ogni volta che ha digitato un carattere e un rapido controllo ha rivelato che, effettivamente, i nomi utente gi\u00e0 presenti nel sistema potevano essere forzati.<\/p>\n<div id=\"attachment_25776\" style=\"width: 1150px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-25776\" class=\"wp-image-25776 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2021\/10\/15101535\/hacking-agriculure-defcon29-logins.png\" alt=\"\" width=\"1140\" height=\"570\"><p id=\"caption-attachment-25776\" class=\"wp-caption-text\">Forzare i nomi utente. <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"nofollow noopener\">Fonte.<\/a><\/p><\/div>\n<p>Il limite tradizionale sul numero di richieste da un indirizzo IP in tali sistemi non era impostato. In appena un paio di minuti, Sick Codes ha inviato 1.000 query, controllando i nomi utente corrispondenti ai nomi delle aziende Fortune 1000, ottenendo 192 risultati.<\/p>\n<p>La successiva vulnerabilit\u00e0 \u00e8 stata scoperta in un servizio interno che permette ai clienti di tenere i registri delle attrezzature acquistate. Come ha scoperto Sick Codes, chiunque abbia accesso a questo strumento pu\u00f2 visualizzare le informazioni su qualsiasi trattore o mietitrebbia nel database. I diritti di accesso a tali dati non sono controllati. Per di pi\u00f9, le informazioni sono abbastanza riservate: proprietario del veicolo, posizione, ecc.<\/p>\n<p>Al DEF CON 29, Sick Codes ha rivelato un po\u2019 di pi\u00f9 di quello che ha scritto sul suo sito web. Per esempio, \u00e8 riuscito anche ad accedere al servizio di gestione delle apparecchiature demo, con la storia completa delle dimostrazioni e i dati personali dei dipendenti dell\u2019azienda. Infine, i suoi colleghi hanno rilevato una <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=2021-27653\" target=\"_blank\" rel=\"noopener nofollow\">vulnerabilit\u00e0<\/a> nel servizio aziendale Pega Chat Access Group, sotto forma di una password admin hardcoded. Attraverso questo, \u00e8 stato in grado di ottenere le chiavi di accesso all\u2019account cliente di John Deere. \u00c8 vero, Sick Codes non ha detto cosa apre esattamente questa chiave, ma sembra essere un altro insieme di servizi interni.<\/p>\n<p>Per un po\u2019 di equilibrio, Sick Codes ha anche presentato alcune vulnerabilit\u00e0 che riguardano il concorrente europeo di John Deere, Case IH. L\u00ec, \u00e8 stato in grado di accedere a un server Java Melody non protetto che controlla alcuni servizi del produttore, che ha dato informazioni dettagliate sugli utenti e ha mostrato la possibilit\u00e0 teorica di hackerare qualsiasi account.<\/p>\n<h2>Contattare le compagnie<\/h2>\n<p>Per correttezza, dovremmo notare che Sick Codes non traccia alcun collegamento diretto tra le minacce sopra menzionate e le vulnerabilit\u00e0 che ha rilevato, forse per non mettere in pericolo gli agricoltori comuni; o forse, non ha trovato alcun legame del genere. Tuttavia, basandosi sulle banali falle di sicurezza presentate, conclude che la cultura della sicurezza in queste aziende \u00e8 bassa, il che ci permette di supporre che il controllo diretto sulle mietitrebbie sia altrettanto protetto. Ma questa rimane una supposizione.<\/p>\n<p>Tutte le vulnerabilit\u00e0 nei servizi John Deere sono state riparate, ma con alcune riserve. Il produttore non ha avuto alcun canale di contatto speciale per segnalare le vulnerabilit\u00e0. Sick Codes ha avuto un breve scambio con il social media manager di John Deere, dopo il quale gli \u00e8 stato chiesto di segnalare le vulnerabilit\u00e0 attraverso il programma bug-bounty sul servizio HackerOne, tuttavia non \u00e8 stato trovato alcun servizio del genere. Alla fine \u00e8 stato introdotto un programma di ricompense per la segnalazione di vulnerabilit\u00e0, ma i partecipanti sono tenuti a firmare un accordo di non divulgazione.<\/p>\n<p>I problemi con il sito web dell\u2019azienda sono stati risolti senza una parola di risposta ai messaggi dei ricercatori; o meglio, una risposta c\u2019\u00e8 stata, ma \u00e8 stata una risposta strana. Dopo che le vulnerabilit\u00e0 <a href=\"https:\/\/www.vice.com\/en\/article\/4avy8j\/bugs-allowed-hackers-to-dox-all-john-deere-owners\" target=\"_blank\" rel=\"noopener nofollow\">hanno fatto notizia<\/a> nell\u2019aprile di quest\u2019anno, un <a href=\"https:\/\/twitter.com\/JohnDeere\/status\/1383925815092518918\" target=\"_blank\" rel=\"noopener nofollow\">messaggio criptico<\/a> \u00e8 stato pubblicato sull\u2019account Twitter ufficiale della societ\u00e0: \u201cle previsioni di questa settimana: da uno a tre pollici di sciocchezze\u201d. Allo stesso tempo, si pubblicizzava un posto disponibile come ingegnere della sicurezza con la data di inizio (ADESSO) scritta in maiuscolo.<\/p>\n<h2>Il diritto alla riparazione<\/h2>\n<p>Nel 2017, la rivista <em>Vice<\/em> ha <a href=\"https:\/\/www.vice.com\/en\/article\/xykkkd\/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware\" target=\"_blank\" rel=\"noopener nofollow\">scritto<\/a> dei problemi affrontati dai proprietari di attrezzature agricole John Deere. Numerosi blocchi software e hardware impediscono agli utenti di riparare le attrezzature da soli. Tecnicamente, ogni pezzo di ricambio dovrebbe essere \u201cregistrato\u201d nel computer di controllo della mietitrice o nel database del venditore, ma i rivenditori ufficiali sono lenti e costosi. Cos\u00ec gli agricoltori spesso optano per un firmware sottobanco che permette loro di slegare la macchina dal suo costruttore.<\/p>\n<p>Questo \u00e8 un buon esempio del dibattito sul diritto alla riparazione: si scopre che i clienti dell\u2019azienda non sono proprietari di ci\u00f2 che comprano. Essi effettivamente noleggiano l\u2019attrezzatura (ma a prezzo pieno), e devono utilizzare i servizi di manutenzione del produttore, anche se non vogliono. Il venditore spesso cita la sicurezza come ragione, in particolare la necessit\u00e0 di impedire che un\u2019unit\u00e0 di controllo non autorizzata prenda il controllo di una macchina complessa. Ma Sick Codes si chiede giustamente: che livello di sicurezza \u00e8 presente, se ci sono falle cos\u00ec evidenti nel loro software?<\/p>\n<p>Alla fine del report, Sick Codes ha dimostrato il modulo di controllo John Deere con chip cellulare Qualcomm, e ha elencato una lunga lista di vulnerabilit\u00e0 critiche trovate recentemente al suo interno. Questo, naturalmente, \u00e8 un argomento debole: le vulnerabilit\u00e0 devono ancora essere sfruttate, e il fatto stesso che siano stati trovati dei bug dice poco.<\/p>\n<p>Non \u00e8 il numero di vulnerabilit\u00e0 che conta, piuttosto la capacit\u00e0 di individuarle e inserire delle patch il pi\u00f9 rapidamente possibile. Sick Codes cerca di convincere il pubblico che le macchine agricole sono protette tanto male quanto le attrezzature mediche. Indipendentemente da quanto questo sia vero, il problema deve ancora essere affrontato, a partire dall\u2019apertura di un dialogo con i produttori. Non pu\u00f2 che essere nell\u2019interesse di questi ultimi ascoltare gli avvertimenti dei cybercriminali etici, prima che i criminali informatici entrino in azione.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Al DEF CON 29, un ricercatore ha spiegato perch\u00e9 le macchine agricole dovrebbero essere considerate infrastrutture critiche e ha indicato le vulnerabilit\u00e0 nelle attrezzature dei principali produttori.<\/p>\n","protected":false},"author":665,"featured_media":25772,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[1169,2148,584],"class_list":{"0":"post-25771","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-def-con","11":"tag-infrastruttura-critica","12":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacking-agriculture-defcon29\/25771\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacking-agriculture-defcon29\/23486\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacking-agriculture-defcon29\/18963\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacking-agriculture-defcon29\/25561\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacking-agriculture-defcon29\/23632\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacking-agriculture-defcon29\/23075\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacking-agriculture-defcon29\/26237\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacking-agriculture-defcon29\/31695\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacking-agriculture-defcon29\/10154\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacking-agriculture-defcon29\/42402\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacking-agriculture-defcon29\/17891\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacking-agriculture-defcon29\/18279\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacking-agriculture-defcon29\/15409\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacking-agriculture-defcon29\/27575\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacking-agriculture-defcon29\/31802\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hacking-agriculture-defcon29\/27713\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacking-agriculture-defcon29\/24476\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacking-agriculture-defcon29\/29838\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacking-agriculture-defcon29\/29636\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/def-con\/","name":"def con"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25771","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=25771"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25771\/revisions"}],"predecessor-version":[{"id":25778,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25771\/revisions\/25778"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/25772"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=25771"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=25771"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=25771"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}