Dünyanın dört bir yanındaki çiftçiler, üreticilerin araçlarına dayattığı dijital kilitleri atlayabilmek için traktör korsanlığına yöneldi. İnsülin pompası “döngüsü” ve iPhone jailbreak’i gibi, bu da çiftçilerin işleri için hayati önem taşıyan pahalı ekipmanları analog traktörlerde olduğu gibi değiştirmelerine ve onarmalarına olanak tanır. Cumartesi günü Las Vegas’taki DefCon güvenlik konferansında Sick Codes olarak bilinen bilgisayar korsanı, John Deere & Co. traktörleri için dokunmatik ekranları aracılığıyla birden fazla modelin kontrolünü ele geçirmesini sağlayan yeni bir jailbreak sunuyor.
Bulgu, onarım hakkı hareketinin güvenlik etkilerinin altını çiziyor. Sick Codes’in ortaya çıkardığı traktör istismarı uzaktan bir saldırı değil, ancak ilgili güvenlik açıkları, kötü niyetli aktörler tarafından istismar edilebilecek veya potansiyel olarak diğer güvenlik açıklarıyla zincirlenebilecek cihazlarda temel güvensizlikleri temsil ediyor. 2021 JBS Meat fidye yazılımı saldırısı gibi olayların gösterdiği gibi, tarım endüstrisini ve gıda tedarik zincirini güvence altına almak çok önemlidir. Aynı zamanda, Sick Codes’in bulduğu gibi güvenlik açıkları, çiftçilerin kendi ekipmanlarıyla yapmaları gereken şeyi yapmalarına yardımcı olur.
John Deere, WIRED’in araştırma hakkında yorum yapma talebine yanıt vermedi.
Asya’da yaşayan bir Avustralyalı olan Sick Codes, 2021’de DefCon’da traktör uygulama programlama arayüzleri ve işletim sistemi hataları hakkında sunum yaptı. Araştırmasını halka açıkladıktan sonra, John Deere dahil olmak üzere traktör şirketleri bazı kusurları düzeltmeye başladı. WIRED’e “Onarım hakkı tarafı, yapmaya çalıştığım şeye biraz karşı çıktı” diyor. “Bazı çiftçilerden duydum; bir adam bana e-posta gönderdi ve ‘Bütün eşyalarımızı bok ediyorsun!’ gibiydi. Bu yüzden paramı ağzımın olduğu yere koyacağımı ve çiftçilere cihazları köklendirebileceklerini kanıtlayacağımı düşündüm.”
Bu yıl, Sick Codes, öncelikle dünya gıda güvenliği ve hassas tarım ekipmanlarından kaynaklanan maruziyet ile ilgilenirken, çiftçilerin kendi ekipmanlarını tam olarak kontrol etmelerine izin vermenin de önemli bir değer gördüğünü söylüyor. “Traktörleri serbest bırakın!” diyor.
ABD’de bir kişinin satın aldığı ekipmanı “onarım hakkı” konusunda yıllarca süren tartışmalardan sonra, hareket bir dönüm noktasına ulaşmış görünüyor. Beyaz Saray, geçen yıl Federal Ticaret Komisyonu’nu dış onarım garantilerini geçersiz kılmak gibi uygulamalar üzerindeki yaptırım çabalarını artırmaya yönlendiren bir yürütme emri çıkardı. Bu, New York eyaletinin kendi onarım hakkı yasasını çıkarması ve yaratıcı eylemci baskısı ile birleştiğinde, hareket için eşi görülmemiş bir ivme yarattı.
Artan baskıyla karşı karşıya kalan John Deere, Mart ayında onarım yazılımının daha fazlasını ekipman sahiplerinin kullanımına sunacağını duyurdu. Şirket aynı zamanda, John Deere’in yamaları tek taraflı olarak uzaktan uygulaması veya çiftçileri uygulamaya zorlamak yerine, müşterilerin ve teknisyenlerin Deere ekipmanı için resmi yazılım güncellemelerini kendileri indirip uygulayabilmeleri için gelecek yıl “gelişmiş bir müşteri çözümü” yayınlayacağını söyledi. ürünleri yetkili satıcılara
“Çiftçiler sadece güvenilirlik istedikleri için eski ekipmanları tercih ediyor. Sick Codes, “Yılın en önemli döneminde, bir şeyleri yerden kaldırmak zorunda kaldıklarında işlerin ters gitmesini istemiyorlar” diyor. “Yani hepimizin de istemesi gereken şey bu. Çiftçilerin, işler ters gittiğinde eşyalarını tamir edebilmelerini istiyoruz ve bu, artık traktörlerindeki yazılımı tamir edebilmek veya bu yazılım hakkında karar alabilmek anlamına geliyor.”
Sick Codes, jailbreak’ini geliştirmek için sayısız John Deere traktör kontrol dokunmatik ekranlı konsol nesline sahip oldu. Ancak nihayetinde sunduğu istismar için yaygın olarak kullanılan 2630 ve 4240 modelleri de dahil olmak üzere birkaç modele odaklandı. John Deere’in bayi kimlik doğrulama gereksinimlerine geçişleri bulmak için aylarca bir dizi dokunmatik ekran devre kartı üzerinde deneyler yaptı, ancak sonunda Sick Codes, cihazı sertifikalı bir bayi tarafından erişiliyormuş gibi geri yüklemek için bir yeniden başlatma kontrolü yapabildi.
Sistem böyle bir ortamda olduğunu düşündüğünde, yetkili servis sağlayıcıların sorunları teşhis etmesine yardımcı olmak amacıyla 1,5 GB değerinden daha fazla günlük sunacağını buldu. Günlükler ayrıca daha derin erişim sağlayabilecek başka bir potansiyel zamanlama saldırısının yolunu da ortaya çıkardı. Sick Codes, denetleyicileri doğrudan devre kartına lehimledi ve sonunda sistemin korumalarını atlamak için saldırıya geçti.
Sick Codes bir bilgisayarın komut satırı arayüzüne erişmek için kullanılan program hakkında “Saldırıyı başlattım ve iki dakika sonra bir terminal belirdi” diyor. “Deere ülkesinde nadir görülen kök erişimim vardı.”
Yaklaşım, devre kartına fiziksel erişim gerektiriyor, ancak Sick Codes, jailbreak’i daha kolay yürütmek için güvenlik açıklarına dayalı bir araç geliştirmenin mümkün olacağını söylüyor. Çoğunlukla John Deere’in nasıl tepki vereceğini merak ettiğini söylüyor. Şirketin tam disk şifrelemesi uygulamadan kusurları ne kadar kapsamlı bir şekilde düzeltebileceğinden emin değil; bu, yeni traktör tasarımlarında önemli bir sistem revizyonu anlamına gelecek ve muhtemelen mevcut ekipmana yerleştirilmeyecekti.
İlk öncelik? Özel çiftlik temalı koşu kıyamet tabii ki traktörde.
Bu hikaye başlangıçta kablolu.com’da yayınlandı.