Segundo o hacker, seria possível até mesmo jogar um trator em um rio ou alterar os parâmetros da pulverização, além de derrubar totalmente a rede, impedindo o trabalho
Um hacker chamado Sick Codes invadiu e auditou a rede da John Deere e da Case New Holland durante o período de três meses, revelando diversas vulnerabilidades de segurança. Todo o trabalho virou uma apresentação da DEF CON, o maior evento do mundo para hackers e empresas de segurança realizado em Las Vegas, EUA, no início de agosto.
O Sick Codes é do time dos “hackers do bem” e comunicou as empresas sobre as descobertas. Acompanhado de um time de especialistas, ele descobriu que seria potencialmente possível:
- Fazer upload de arquivos para os dispositivos dos produtores rurais e mudar diversos parâmetros, como as coordenadas do GPS durante o trabalho;
- Alterar a dosagem nos sistemas que controlam a pulverização;
- Jogar um trator em um obstáculo reconhecido como uma estrada movimentada, penhasco ou rio;
- Desligar totalmente a comuniação com as propriedades;
- Apagar arquivos;
- Colocar em risco todo o sistema de produção de alimentos dos Estados Unidos e outros países, fazendo qualquer coisa com o Centro de Operações da John Deere.
Em suma, o hacker fez barba, cabelo e bigode e poderia ter feito ainda mais (palavras dele), mas parou por confiar na empresa e que tudo seria melhorado.
A John Deere negou todas as “acusações” e disse que o hacker está errado, que os problemas de segurança não permitiriam o acesso a contas de usuários, dados agronômicos e informações sobre revendas.
Nós não vamos alongar muito na parte técnica da coisa, mas sendo verdade tudo o que o hacker falou (e mostrou para a maior comunidade de hackers do mundo oficialmente) o cenário seria de completo caos se um grupo criminoso realizasse o mesmo trabalho destes investigadores.
Em resumo: na linguagem da TI, o hacker teve root access na John Deere e conseguiu também simular credenciais para entrar em qualquer sistema. Todas as vulnerabilidades foram corrigidas pela empresa.
Hacker invade a John Deere – abaixo, o vídeo completo da apresentação, em inglês:
Usuários brasileiros da Case IH teriam sido expostos
A Case IH e New Holland também foram alvo da pesquisa, por possuirem sistemas semelhantes e grande controle remoto sobre o maquinário. E sobrou para os brasileiros!
Segundo o hacker, um servidor da Case IH com falhas de segurança permitiu a visualização de dados de produtores brasileiros. Nas tabelas, nome de usuário, nome e sobrenome, endereço IP e sessão, permitindo que o hacker entrasse no sistema usando estas credenciais, se passando pelo cliente.
Acima: dados de um agricultor brasileiro presente nos servidores da Case IH: os dados que identificam a pessoa foram riscados.
Resumindo
Os hackers mostraram profunda preocupação com a produção mundial de alimentos e a possibilidade de um grupo criminoso promover ataques contra a estrutura das empresas pesquisadas. Como não são da área, demonstram na apresentação uma profunda preocupação com “máquinas gigantes e com serras na frente” sendo controladas remotamente de forma maliciosa (eles mostram uma ensiladeira John Deere no Power Point). Também ficaram apavorados com o grau de amadorismo em TI dos administradores das redes, com erros muito básicos.
Onde ler mais sobre o ocorrido
Hacker Says He Found a ‘Tractorload of Vulnerabilities’ at John Deere
Flaws in John Deere Systems Show Agriculture’s Cyber Risk
DEF CON: Security Holes in Deere, Case IH Shine Spotlight on Agriculture Cyber Risk
John Deere Harvests Def Con Mockery for Lax Web Security