{"id":27575,"date":"2021-10-19T09:58:33","date_gmt":"2021-10-19T07:58:33","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27575"},"modified":"2022-05-05T14:20:00","modified_gmt":"2022-05-05T12:20:00","slug":"hacking-agriculture-defcon29","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hacking-agriculture-defcon29\/27575\/","title":{"rendered":"DEF CON 29: Sicherheit in der Agrartechnik"},"content":{"rendered":"<p>Bei einer der ungew\u00f6hnlichsten Pr\u00e4sentationen auf der IT-Security-Konferenz DEF CON 29 diesen August ging es um landwirtschaftliche Maschinen und deren Schwachstellen, die von einem australischen Forscher von <a href=\"https:\/\/twitter.com\/sickcodes\" target=\"_blank\" rel=\"noopener nofollow\">Sick Codes<\/a> <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"noopener nofollow\">enth\u00fcllt<\/a> wurden.<\/p>\n<p>Die Schwachstellen bei John Deere und Case IH, die zu den gr\u00f6\u00dften Herstellern von Landtechnik z\u00e4hlen, wurden nicht bei Traktoren und M\u00e4hdrescher gefunden, sondern in den Webdiensten, mit denen sich die Forscher bestens auskennen. \u00dcber diese Dienste war es m\u00f6glich, die direkte Kontrolle \u00fcber tonnenschwere und teure Landmaschinen zu \u00fcbernehmen, was eine sehr gro\u00dfe Gefahr darstellt.<\/p>\n<h2>Moderne Landmaschinen<\/h2>\n<p>F\u00fcr alle, die sich nicht mit moderner Landtechnik, bzw. Agrartechnik auskennen, scheinen Landmaschinen horrende Preise zu haben. In seiner Pr\u00e4sentation erkl\u00e4rt der Sprecher von Sick Codes, warum Traktoren und M\u00e4hdrescher so teuer sind. Die besten Modelle der modernen Agrartechnik sind weitgehend computerisiert und automatisiert. Das wird am selbstfahrenden Feldh\u00e4cksler der Serie 9900 von John Deere verdeutlicht, der folgenderma\u00dfen vermarktet wird:<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/pc8NAKoXoRg?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Der leistungsstarke 24,2 Liter V12 Liebherr-Motor und das sechsstellige Preisschild sind noch nicht einmal die wichtigsten Aspekte \u2013 im Werbevideo werden besonders die technischen F\u00e4higkeiten der Maschine hervorgehoben: Technologie zur optimalen Orientierung, automatischer Erntegutfluss und Ortungssensoren, die mit dem Lastwagen synchronisiert sind, der mit dem Erntegut beladen wird. Abgesehen von diesen Funktionen, unterstreicht Sick Codes die Steuerung aus der Ferne und die F\u00e4higkeit der Maschine sich automatisch mit dem technischen Support f\u00fcr Fehlerbehebung in Verbindung zu setzen. Zu diesem Punkt macht der Sprecher eine k\u00fchne Aussage: Moderne Landwirtschaft ist inzwischen vollkommen vom Internet abh\u00e4ngig.<\/p>\n<h2>Das Bedrohungsmodell der Agrartechnik<\/h2>\n<p>Es ist nicht \u00fcberraschend, dass moderne Landmaschinen mit einer Menge an modernen Technologien ausgestattet sind, die von herk\u00f6mmlichem GPS \u00fcber die Ortung per 3G und 4G bis hin zu \u00e4u\u00dferst exotischen <a href=\"https:\/\/de.wikipedia.org\/wiki\/Echtzeitkinematik\" target=\"_blank\" rel=\"noopener nofollow\">Navigationssystemen<\/a> reichen, mit denen die Position zentimetergenau bestimmt werden kann. Das Bedrohungsmodell von Sick Codes basiert auf IT-Konzepte und h\u00f6rt sich recht gef\u00e4hrlich an, wenn es auf die Realit\u00e4t \u00fcbertragen wird.<\/p>\n<p>Wie w\u00fcrde ein DoS-Angriff auf einem Feld aussehen? Gehen wir davon aus, dass es m\u00f6glich sei einige Variablen in der Software zu ver\u00e4ndern, \u00fcber die das Spr\u00fchen von D\u00fcnger kontrolliert wird. Dann k\u00f6nnten wir beispielsweise die Menge an D\u00fcngemittel beliebig vervielfachen und das Ackerland \u00fcber viele Jahre und sogar Jahrzehnte hinweg unfruchtbar machen.<\/p>\n<p>Es gibt aber auch simplere Sabotage-Varianten: Wir k\u00f6nnten beispielsweise die Kontrolle eines M\u00e4hdreschers \u00fcbernehmen und damit, sagen wir mal, eine \u00dcberlandleitung besch\u00e4digen. Oder wir hacken direkt den M\u00e4hdrescher und unterbrechen den Erntevorgang, wodurch der Landwirt gro\u00dfe finanzielle Verluste erleiden w\u00fcrde. Auf nationaler Ebene k\u00f6nnten solche \u201eExperimente\u201c eine Bedrohung f\u00fcr die Lebensmittelversorgungskette darstellen. Vernetze Landmaschinen z\u00e4hlen unter diesem Gesichtspunkt also unbestreitbar zu den kritischen Infrastrukturen.<\/p>\n<p>Der Sprecher von Sick Code weist au\u00dferdem darauf hin, dass der Schutz, den die Anbieter f\u00fcr diese Technologie und Infrastruktur bieten, viel zu w\u00fcnschen \u00fcbrig l\u00e4sst. Lesen Sie weiter und entdecken Sie, was das Team von Sick Codes alles herausgefunden hat.<\/p>\n<h2>Hartcodierte Passw\u00f6rter, Diebstahl von Benutzernamen usw.<\/h2>\n<p>Einige der Schwachstellen der Infrastruktur von John Deere, die auf der Konferenz erl\u00e4utert wurden, werden auch in einem <a href=\"https:\/\/sick.codes\/leaky-john-deere-apis-serious-food-supply-chain-vulnerabilities-discovered-by-sick-codes-kevin-kenney-willie-cade\/\" target=\"_blank\" rel=\"noopener nofollow\">Artikel auf der Webseite von Sick Codes beschrieben<\/a>. Der Forscher begann mit der Anmeldung f\u00fcr ein legitimes Entwickler-Konto auf der Website des Unternehmens. Nach Angaben des Sprechers, verga\u00df er sp\u00e4ter den verwendeten Namen. W\u00e4hrend er versuchte sich an den Benutzernamen des Kontos zu erinnern, stie\u00df er auf etwas Unerwartetes: Die API f\u00fchrte bei jeder Buchstabeneingabe automatisch eine Benutzernamensuche durch. Eine schnelle \u00dcberpr\u00fcfung best\u00e4tigte seine Vermutung: Ja, die gespeicherten Benutzernamen konnten kinderleicht gestohlen werden.<\/p>\n<div id=\"attachment_27576\" style=\"width: 1150px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-27576\" class=\"wp-image-27576 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2021\/10\/18133945\/hacking-agriculure-defcon29-logins.png\" alt=\"\" width=\"1140\" height=\"570\"><p id=\"caption-attachment-27576\" class=\"wp-caption-text\">Brute-Force-Angriff zum Knacken von Benutzernamen <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"noopener nofollow\">Quelle<\/a>.<\/p><\/div>\n<p>Die Einschr\u00e4nkung der Anzahl an Anfragen von einer IP-Adresse, die bei solchen Systemen normalerweise angewendet wird, war nicht eingerichtet. Sick Codes konnte innerhalb von wenigen Minuten 1.000 Anfragen schicken, um an die Benutzernamen von Fortune-1000-Unternehmen heranzukommen und erhielt insgesamt 192 Treffer.<\/p>\n<p>Die n\u00e4chste Schwachstelle wurde in einem internen Service entdeckt, der den Kunden einen \u00dcberblick \u00fcber die gekauften Maschinen bietet. Sick Codes fand heraus, dass jeder, der Zugriff auf dieses Tool hat, die Informationen \u00fcber alle Traktoren und M\u00e4hdrescher in der Datenbank einsehen kann. Die Zugriffsrechte auf diese Daten wurden nicht \u00fcberpr\u00fcft. Und das, obwohl es sich hier um recht vertrauliche Daten handelt: Landmaschinenbesitzer, Standorte usw.<\/p>\n<p>Auf der DEF CON 29 enth\u00fcllte der Sprecher von Sick Codes auch Informationen, die nicht auf der Website angegeben sind. Zum Beispiel schaffte er es auch Zugriff auf den Service f\u00fcr die Verwaltung der Vorf\u00fchrmaschinen mit vollst\u00e4ndigen Informationen \u00fcber den Vorf\u00fchrverlauf und den personenbezogenen Daten von Mitarbeitern zu erhalten. Seine Kollegen entdeckten au\u00dferdem eine <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=2021-27653\" target=\"_blank\" rel=\"noopener nofollow\">Sicherheitsl\u00fccke<\/a> im Pega Chat Access Group-Portal, in Form eines hartcodierten Administratoren-Passwortes. Dar\u00fcber hinaus erhielt das Team die Zugriffsschl\u00fcssel zur Betriebszentrale von John Deere. Sick Codes gibt zwar nicht an, was im Detail alles mit den Schl\u00fcsseln ge\u00f6ffnet werden kann, aber anscheinend handelt es sich um eine weitere Reihe an internen Diensten.<\/p>\n<p>Um fair zu sein, pr\u00e4sentierte Sick Codes auch einige Schwachstellen bei Case IH, dem europ\u00e4ischen Konkurrenten von John Deere. Dort war das Team in der Lage auf einen ungesicherten JavaMelody-Server zuzugreifen, der einige Dienste des Herstellers \u00fcberwacht. Dort fanden sie detaillierte Informationen \u00fcber Benutzer und zeigten, dass es theoretisch m\u00f6glich war jedes beliebige Konto zu hacken.<\/p>\n<h2>Kontaktaufnahme mit dem Unternehmen<\/h2>\n<p>Fairerweise m\u00fcssen wir dazu sagen, dass Sick Codes keine direkte Verbindung zwischen den oben genannten Bedrohungen und den gefundenen Schwachstellen erstellt. Vielleicht, um andere Landwirte nicht in Gefahr zu bringen. Oder vielleicht, weil einfach keine Verbindung gefunden wurde. Basierend auf den erl\u00e4uterten Sicherheitsfehlern, kommt Sick Codes zu dem Schluss, dass die Sicherheitskultur bei diesen Landmaschinenherstellern \u00e4u\u00dferst niedrig ist. Aus diesem Grund kann man ebenso davon ausgehen, dass die Kontrolle \u00fcber die M\u00e4hdrescher auch unzureichend gesch\u00fctzt ist. Das ist allerdings nur eine Annahme.<\/p>\n<p>Alle Schwachstellen bei den Diensten von John Deere wurden inzwischen behoben, doch bestehen weiterhin einige Vorbehalte. Der Hersteller verf\u00fcgte \u00fcber keinen Kommunikationskanal, der speziell zum Melden von Schwachstellen diente. Sick Codes sprach kurz mit dem Social-Media-Manager von John Deere und wurde dann gebeten, die Informationen zu den Schwachstellen \u00fcber das Bug-Bounty-Programm auf der Plattform von HackerOne zu kommunizieren. \u00dcber Bug-Bounty-Programme werden Belohnungen f\u00fcr das Aufdecken von kritischen Sicherheitsl\u00fccken vergeben. Es stellte sich aber heraus, dass John Deere gar kein Belohnungsprogramm hatte. Nach einiger Zeit wurde letztendlich ein Bug-Bounty-Programm f\u00fcr das Unternehmen ins Leben gerufen, aber f\u00fcr die Teilnahme ist es erforderlich eine Verschwiegenheitsvereinbarung zu unterschreiben.<\/p>\n<p>Die Probleme mit der Website des Unternehmens wurden behoben, ohne auf die Nachrichten der Forscher zu antworten. Oder besser gesagt, es gab eine Reaktion, die aber eher komisch ausfiel. Nachdem die Schwachstellen letzten April <a href=\"https:\/\/www.vice.com\/en\/article\/4avy8j\/bugs-allowed-hackers-to-dox-all-john-deere-owners\" target=\"_blank\" rel=\"noopener nofollow\">in die Schlagzeilen kamen<\/a>, ver\u00f6ffentlichte das Unternehmen eine <a href=\"https:\/\/twitter.com\/JohnDeere\/status\/1383925815092518918\" target=\"_blank\" rel=\"noopener nofollow\">kryptische Nachricht<\/a> auf seinem offiziellen Twitter-Konto: \u201eThis week\u2019s forecast: one to three inches of nonsense. (Die Prognose f\u00fcr diese Woche: Ein bis drei Zoll Unsinn)\u201c. Zur selben Zeit wurde eine Stelle f\u00fcr einen Sicherheitsingenieur ausgeschrieben und in der Beschreibung wurde der Eintrittstermin in Gro\u00dfbuchstaben angegeben: JETZT SOFORT.<\/p>\n<h2>Das Recht auf Reparatur<\/h2>\n<p>2017 <a href=\"https:\/\/www.vice.com\/en\/article\/xykkkd\/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware\" target=\"_blank\" rel=\"noopener nofollow\">ver\u00f6ffentlichte das VICE Magazine einen Artikel<\/a>, bei dem es um die Probleme ging, mit denen sich die Besitzer von Landmaschinen der Marke John Deere auseinandersetzen m\u00fcssen. Zahlreiche Sperren f\u00fcr sowohl Software als auch Hardware hindern die Benutzer daran die Maschinen selbst zu reparieren. Auf technischer Ebenen muss jedes Ersatzteil im Kontrollcomputer des M\u00e4hdreschers oder in der Datenbank des Verk\u00e4ufers \u201eregistriert\u201c werden. Aber offizielle Verk\u00e4ufer sind langsam und teuer. Aus diesem Grund entscheiden sich Landwirte oft f\u00fcr nicht offizielle Firmware, die es ihnen erm\u00f6glicht die Maschine vom Hersteller zu trennen.<\/p>\n<p>Das ist ein gutes Beispiel f\u00fcr die Debatte rund um das Thema \u201eRecht auf Reparatur\u201c: Denn in diesem Fall stellte sich heraus, dass die Kunden nicht vollkommen im Besitz der gekauften Maschinen sind. Die Maschinen wurden eigentlich nur \u201egemietet\u201c (allerdings zum Kaufpreis) und die Benutzer sehen sich gezwungen den Wartungsservice des Herstellers in Anspruch zu nehmen, auch wenn sie das gar nicht m\u00f6chten. Der Hersteller gibt oft die Sicherheit als Grund f\u00fcr dieses Verfahren an, besonders bez\u00fcglich der Notwendigkeit eine nicht zugelassene Kontrolleinheit daran zu hindern, beispielsweise die Kontrolle einer komplexen Maschine zu \u00fcbernehmen. Aber Sick Codes stellt sich vollkommen berechtigt folgende Frage: Welche Sicherheit kann eine Software bieten, die solche schwerwiegenden Sicherheitsl\u00fccken enth\u00e4lt?<\/p>\n<p>Gegen Ende seines Berichtes, zeigte der Sprecher von Sick Codes das Kontrollmodul mit Qualcomm-Chip f\u00fcr mobile Endger\u00e4te und z\u00e4hlte eine lange Liste mit kritischen Sicherheitsl\u00fccken auf, die erst vor Kurzem darin gefunden wurden. Das ist nat\u00fcrlich kein starkes Argument, denn die Schwachstellen wurden bisher noch nicht f\u00fcr Exploits genutzt und die Tatsache, dass Softwarefehler gefunden wurden, sagt nicht allzu viel aus.<\/p>\n<p>Denn von Bedeutung ist nicht die Anzahl der Sicherheitsl\u00fccken, sondern die F\u00e4higkeit diese schnell zu finden und umgehend zu beheben. Sick Codes versucht das Publikum davon zu \u00fcberzeugen, dass moderne Landmaschinen genauso schlecht gesch\u00fctzt sind, wie medizinische Ger\u00e4te. Ungeachtet dessen, wie viel Wahrheit darin steckt, handelt es sich um ein Problem, das in Angriff genommen werden muss, beginnend mit einem offenen Gespr\u00e4ch mit den Herstellern. Es kann eigentlich nur vom Interesse der Landmaschinenhersteller sein, die Warnungen der ethischen Hacker ernst zu nehmen und darauf zu reagieren, bevor sich die Cyberkriminellen in den Kampf st\u00fcrzen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auf der IT-Security-Konferenz DEF CON 29 erkl\u00e4rte ein Forscher, warum moderne Landtechnik als kritische Infrastrukturen betrachtet werden sollte und wies auf Schwachstellen bei den Systemen der Hersteller f\u00fcr Landmaschinen hin.<\/p>\n","protected":false},"author":2706,"featured_media":27577,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1585,1114,3894,1498],"class_list":{"0":"post-27575","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-def-con","11":"tag-kritische-infrastruktur","12":"tag-prazisionslandwirtschaft","13":"tag-schwachstellen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacking-agriculture-defcon29\/27575\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacking-agriculture-defcon29\/23486\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacking-agriculture-defcon29\/18963\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacking-agriculture-defcon29\/25561\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacking-agriculture-defcon29\/23632\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacking-agriculture-defcon29\/23075\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacking-agriculture-defcon29\/26237\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacking-agriculture-defcon29\/25771\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacking-agriculture-defcon29\/31695\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacking-agriculture-defcon29\/10154\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacking-agriculture-defcon29\/42402\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacking-agriculture-defcon29\/17891\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacking-agriculture-defcon29\/18279\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacking-agriculture-defcon29\/15409\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacking-agriculture-defcon29\/31802\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hacking-agriculture-defcon29\/27713\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacking-agriculture-defcon29\/24476\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacking-agriculture-defcon29\/29838\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacking-agriculture-defcon29\/29636\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/def-con\/","name":"DEF CON"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27575","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27575"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27575\/revisions"}],"predecessor-version":[{"id":27593,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27575\/revisions\/27593"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27577"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27575"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}