Ağustos ayı başlarında düzenlenen DEF CON 29 konferansındaki en sıra dışı sunumlardan biri, Sick Codes takma adını kullanan Avustralyalı bir araştırmacı tarafından ortaya çıkarılan çiftlik ekipmanı güvenlik açıklarına ilişkin sunumdu.
Büyük tarım ekipmanları üreticileri John Deere ve Case IH’yi etkileyen güvenlik açıkları, traktörlerde ve biçerdöverlerde değil, araştırmacıların daha yakından bildiği web hizmetlerinde yer alıyordu. Bu açıklar aracılığıyla oldukça pahalı olan tonlarca ağırlıktaki ekipman üzerinde doğrudan kontrol elde etmek mümkün oluyor, ki bu da büyük bir tehlike anlamına geliyor.
Modern tarım makineleri
Modern çiftçilikle pek ilgili olmayanlar için tarım makineleri astronomik fiyatlara sahip gibi gelebilir. Sick Codes sunumunda, traktör ve biçerdöverlerin neden bu kadar pahalı olduğundan bahsetti. Modern tarım makinelerine ilişkin en iyi örnek, bilgisayarlı ve oldukça yüksek derecede otomatize edilmiş makineler. Aşağıdaki videoda tanıtılan John Deere 9000 Serisi silaj makinesini bu makinelere örnek gösterebiliriz:
https://www.youtube.com/watch?v=pc8NAKoXoRg
Asıl olay 24 litrelik V12 motor ve altı haneli fiyat etiketi de değil — tanıtımda bu özel makinenin sahip olduğu yetenekler şu şekilde sıralanıyor: Uzamsal yönlendirme sistemi, otomatik sıra toplama ve konum sensörleri ve tahıl arabası veya römork çeken traktör ile senkronizasyon. Sick Codes bunlara, uzaktan kontrol ve sorun giderme için teknik desteğin otomatik olarak doğrudan hasat makinesine bağlama yeteneğini de ekliyor. Sick Codes’un çarpıcı bir iddiada bulunduğu yer de tam burası: Modern çiftçilik artık tamamen internete bağlı.
Tarım makineleri tehdit modeli
Şaşırtıcı olmayan bir şekilde, modern makineler, geleneksel GPS ve 3G/4G/LTE konumlandırma ve iletişim sistemlerinden, yeryüzündeki konumu santimetre seviyesindeki bir doğrulukla belirlemeyi sağlayan oldukça ilginç ataletsel navigasyon yöntemlerine kadar bir çok modern teknolojiyle dolu. Sick Codes tarafından tasarlanan tehdit modeli, BT kavramlarına dayanıyor ve gerçek hayata uygulandığında oldukça tehdit edici görünüyor.
Peki bir arazide gerçekleştirilen DoS saldırısı nasıl bir şey? Toprağa gübre atarken kullandığımız yazılımda birkaç değişkeni değiştirip dozu birkaç kat artırabildiğimizi varsayalım. Bu şekilde kolayca bir tarlayı yıllarca, hatta on yıllar boyunca tarıma elverişsiz hale getirebiliriz.
Ya da daha basit, teorik bir örnek düşünelim: Bir biçerdöverin kontrolünü ele geçirebilir ve onu örneğin bir elektrik hattına zarar vermek için kullanabiliriz. Ya da hasat makinesinin kendisini hackler ve hasat sürecini bozarak çiftçi için büyük kayıplara neden olabiliriz. Ulusal ölçekte bakıldığında, bu tür “deneyler” en nihayetinde gıda güvenliğini tehdit edebilir. Bu nedenle ağa bağlı çiftlik ekipmanları gerçekten kritik bir altyapı konumundadır.
Ve Sick Codes’a göre bu teknoloji ve altyapı tedarikçileri tarafından halen uygulanan koruma, istenenden oldukça uzak seviyede. İşte o ve onun gibi düşünen ekibinin bulmayı başardıkları.
Kullanıcı adının zorla giriş yöntemiyle ele geçirilmesi, gömülü parola kullanımı vb.
Konferansta gösterilen bazı John Deere altyapı güvenlik açıkları, araştırmacının internet sitesindeki bir makalede de yer alıyor. Sick Codes işe, şirketin internet sitesinden yasal bir geliştirici hesabı açarak başlıyor (yazdığına göre kullandığı bu kullanıcı adını sonradan unutmuş). Hatırlamaya çalışırken beklenmedik bir şeyle karşılaşıyor: API, yazdığı her karakterde kullanıcı adı aramaları yapıyordu. Yapılan hızlı bir kontrolle, sistemde halihazırda bulunan kullanıcı adları üzerinde zorla giriş yöntemi (brute-force) uygulanabileceğini ortaya çıktı.
Klasik şekilde bu tür sistemlerde bir IP adresinden yapılan istek sayısına getirilen sınır burada belirlenmemişti. Sick Codes sadece birkaç dakika içinde, Fortune 1000 şirketlerinin adlarıyla eşleşen kullanıcı adlarını kontrol eden 1.000 sorgu gönderdi ve 192 sonuç aldı.
Bir sonraki güvenlik açığı, müşterilerin satın alınan ekipmanın kayıtlarını tutmasına olanak tanıyan dahili bir hizmette keşfedildi. Sick Codes’un öğrendiği gibi, bu araca erişimi olan herkes, veritabanındaki herhangi bir traktör veya biçerdöver hakkındaki bilgileri görüntüleyebiliyordu. Bu tür verilere ilişkin erişim hakları kontrol edilmiyordu. Dahası bu bilgiler, araç sahibi, konum vb. gibi oldukça gizli bilgilerdi.
DEF CON 29’da Sick Codes, internet sitesinde yazdıklarından biraz daha fazlasını gösterdi. Örneğin, tüm tanıtım geçmişi ve şirket çalışanlarının kişisel verileriyle birlikte demo ekipmanı yönetme hizmetine de erişmeyi başardı. Son olarak çalışma arkadaşları, Pega Chat Access Group kurumsal hizmetinde, gömülü yönetici parolası kullanılması şeklinde bir güvenlik açığı tespit etti. Bu sayede John Deere’in müşteri hesabına erişim anahtarlarını elde edebildiler. Evet bu doğru, Sick Codes, bu anahtarın tam olarak neyi açtığını söylemese de başka bir dahili hizmet grubu gibi görünüyor.
Eşitlik sağlamak adına Sick Codes, John Deere’in Avrupalı rakibi Case IH’yi etkileyen bazı güvenlik açıkları da sundu. Orada da, üreticinin bazı hizmetlerini izleyen, kullanıcılar hakkında ayrıntılı bilgi veren ve teorik olarak herhangi bir hesabı ele geçirme olasılığını gösteren güvenli olmayan bir Java Melody sunucusuna erişmeyi başardı.
Şirketlerle iletişime geçilmesi
Adil olmak gerekirse, Sick Codes’in yukarıda belirtilen tehditler ile tespit ettiği güvenlik açıkları arasında doğrudan bir bağlantı kurmadığını belirtmeliyiz. Belki bunu çiftçileri tehlikeye atmamak için yaptı. Belki de böyle bir bağlantı bulamadı. Ancak sunulan önemsiz güvenlik hatalarına dayanarak, Sick Codes, bu şirketlerdeki güvenlik kültürünün düşük olduğu sonucuna varıyor ve bu da biçerdöverler üzerindeki doğrudan kontrolün benzer şekilde korunduğunu varsaymamıza neden oluyor. Ama bu bir varsayım olarak kalıyor.
Bazı koşullara bağlı olarak, John Deere hizmetlerindeki tüm güvenlik açıkları kapatılmıştır. Üretici, güvenlik açıklarının bildirilmesi için herhangi bir özel iletişim kanalına sahip değildi. Sick Codes, John Deere’in sosyal medya yöneticisiyle kısa bir görüşme yaptı ve kendisinden HackerOne hizmetindeki hata tespit ödülü programı aracılığıyla güvenlik açıklarını bildirmesi istendi – ancak böyle bir hizmet yoktu. Sonuç olarak güvenlik açıklarını bildirilmesine ilişkin bir ödül programı oluşturulsa da bunun için katılımcıların bir gizlilik sözleşmesi imzalamaları gerekiyor.
Şirketin internet sitesindeki sorunlar, araştırmacıların mesajlarına yanıt verilmeden düzeltildi. Daha doğrusu bir cevap geldi ama bu oldukça garipti. Güvenlik açıklarının bu yıl Nisan ayında haber olmasının ardından, şirketin resmi Twitter hesabına şifreli bir mesaj gönderildi: “Bu haftanın tahmini: bir ila üç inç saçmalık.” Aynı zamanda, başlangıç tarihi büyük harflerle yazılmış bir güvenlik mühendisi ilanı verildi: HEMEN.
Onarım hakkı
2017’de Vice dergisi, John Deere çiftlik ekipmanı sahiplerinin karşılaştığı sorunları yazdı. Çok sayıda yazılım ve donanım kilidi, kullanıcıların ekipmanı kendilerinin tamir etmesini engelliyor. Teknik olarak, her bir yedek parçanın biçerdöverin kontrol bilgisayarında veya satıcının veri tabanında “kayıtlı” olması gerekiyor. Ancak yetkili satıcılar yavaş ve pahalıdır. Bu nedenle çiftçiler genellikle makineyi üretici kısıtlamasından kurtarmalarına olanak tanıyan resmi olmayan ürün yazılımlarını tercih ediyorlar.
Bu, onarım hakkı tartışmasına güzel bir örnek: Şirketin müşterilerinin satın aldıkları şeyin sahibi olmadıkları ortaya çıktı. Tam anlamıyla ekipmanı kiralıyorlar (ancak ürünün satış fiyatıyla) ve istemeseler bile üreticinin bakım hizmetlerini kullanmak zorunda kalıyorlar. Satıcı genellikle bunun nedeninin güvenlik olduğunu, özellikle de yetkisiz bir kontrol biriminin, örneğin karmaşık bir makinenin kontrolünün ele geçirilmesinin önüne geçmek olduğunu belirtiyor. Ancak Sick Codes da haklı olarak şunu soruyor: Yazılımlarında bu kadar göze batan açıklar varken hangi güvenlik?
Raporun sonunda, Sick Codes Qualcomm hücresel çipli John Deere kontrol modülünü gösterdi ve yakın zamanda bu modülde tespit edilen kritik güvenlik açıklarına ilişkin uzun bir liste çıkardı. Bu oldukça zayıf bir argüman; güvenlik açıklarının bulunmasının gerekmesi ve hataların bulunduğu gerçeği çok az şey ifade ediyor.
Önemli olan güvenlik açıklarının sayısı değil, bunları tespit edebilme ve hızla düzeltebilme becerisidir. Sick Codes, izleyicileri tarım makinelerinin tıbbi ekipman kadar kötü korunduğuna ikna etmeye çalışıyor. Bu ne kadar doğru olursa olsun, sorunun yine de üreticilerle diyalog kurularak ele alınması gerekiyor. Siber suçlular tartışmaya katılmadan önce, etik hackerların uyarılarını dikkate almak yalnızca diğer tarafın çıkarına olabilir.