Hacker invade a John Deere e a CNH e revela vários erros de segurança Blog do Farmfor

hacker invade a john deere

Hacker invade a John Deere e a CNH e revela vários erros de segurança

hacker invade a john deere

Segundo o hacker, seria possível até mesmo jogar um trator em um rio ou alterar os parâmetros da pulverização, além de derrubar totalmente a rede, impedindo o trabalho

 

Um hacker chamado Sick Codes invadiu e auditou a rede da John Deere e da Case New Holland durante o período de três meses, revelando diversas vulnerabilidades de segurança. Todo o trabalho virou uma apresentação da DEF CON, o maior evento do mundo para hackers e empresas de segurança realizado em Las Vegas, EUA, no início de agosto.

O Sick Codes é do time dos “hackers do bem”  e comunicou as empresas sobre as descobertas. Acompanhado de um time de especialistas, ele descobriu que seria potencialmente possível:

  • Fazer upload de arquivos para os dispositivos dos produtores rurais e mudar diversos parâmetros, como  as coordenadas do GPS durante o trabalho;
  • Alterar a dosagem nos sistemas que controlam a pulverização;
  • Jogar um trator em um obstáculo reconhecido como uma estrada movimentada, penhasco ou rio;
  • Desligar totalmente a comuniação com as propriedades;
  • Apagar arquivos;
  • Colocar em risco todo o sistema de produção de alimentos dos Estados Unidos e outros países, fazendo qualquer coisa com o Centro de Operações da John Deere.

Em suma, o hacker fez barba, cabelo e bigode e poderia ter feito ainda mais (palavras dele), mas parou por confiar na empresa e que tudo seria melhorado.

A John Deere negou todas as “acusações” e disse que o hacker está errado, que os problemas de segurança não permitiriam o acesso a contas de usuários, dados agronômicos e informações sobre revendas. 

Nós não vamos alongar muito na parte técnica da coisa, mas sendo verdade tudo o que o hacker falou (e mostrou para a maior comunidade de hackers do mundo oficialmente) o cenário seria de completo caos se um grupo criminoso realizasse o mesmo trabalho destes investigadores.

Em resumo: na linguagem da TI, o hacker teve root access na John Deere e conseguiu também simular credenciais para entrar em qualquer sistema. Todas as vulnerabilidades foram corrigidas pela empresa.

Hacker invade a John Deere – abaixo, o vídeo completo da apresentação, em inglês:

Usuários brasileiros da Case IH teriam sido expostos

hackers na CASE IH

A Case IH e New Holland também foram alvo da pesquisa, por possuirem sistemas semelhantes e grande controle remoto sobre o maquinário. E sobrou para os brasileiros!

Segundo o hacker, um servidor da Case IH com falhas de segurança permitiu a visualização de dados de produtores brasileiros. Nas tabelas, nome de usuário, nome e sobrenome, endereço IP e sessão, permitindo que o hacker entrasse no sistema usando estas credenciais, se passando pelo cliente.

usuario brasileiro

Acima: dados de um agricultor brasileiro presente nos servidores da Case IH: os dados que identificam a pessoa foram riscados. 

Resumindo

Os hackers mostraram profunda preocupação com a produção mundial de alimentos e a possibilidade de um grupo criminoso promover ataques contra a estrutura das empresas pesquisadas. Como não são da área, demonstram na apresentação uma profunda preocupação com “máquinas gigantes e com serras na frente” sendo controladas remotamente de forma maliciosa (eles mostram uma ensiladeira John Deere no Power Point). Também ficaram apavorados com o grau de amadorismo em TI dos administradores das redes, com erros muito básicos.

Onde ler mais sobre o ocorrido

Hacker Says He Found a ‘Tractorload of Vulnerabilities’ at John Deere 

Flaws in John Deere Systems Show Agriculture’s Cyber Risk 

Being “root” on two Agriculture Companies (in Good Faith). Maxing out the John Deere Operations Center Worldwide and Case Industrial in Brazil [AgriculturaL Security & Hacking]

DEF CON: Security Holes in Deere, Case IH Shine Spotlight on Agriculture Cyber Risk

John Deere Harvests Def Con Mockery for Lax Web Security 

 

 


Receba nosso conteúdo no e-mail!

Nosso canal no Telegram é gratuito. Participe!

Telegram do Farmfor

Publicidade