{"id":26237,"date":"2021-10-18T16:10:44","date_gmt":"2021-10-18T14:10:44","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26237"},"modified":"2021-10-18T16:10:44","modified_gmt":"2021-10-18T14:10:44","slug":"hacking-agriculture-defcon29","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/hacking-agriculture-defcon29\/26237\/","title":{"rendered":"La seguridad del equipo de agricultura en la DEF CON 29"},"content":{"rendered":"<p>Una de las presentaciones m\u00e1s inusuales en la conferencia DEF CON 29, que se realiz\u00f3 a principios de agosto, abarc\u00f3 las vulnerabilidades del equipo de agricultura <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"noopener nofollow\">que encontr\u00f3<\/a> un investigador australiano que se hace llamar <a href=\"https:\/\/twitter.com\/sickcodes\" target=\"_blank\" rel=\"noopener nofollow\">Sick Codes<\/a>.<\/p>\n<p>Estas vulnerabilidades que afectan a los grandes fabricantes John Deere y Case IH no se encontraron en los tractores y cosechadoras, sino en los servicios web que son m\u00e1s conocidos para los investigadores. Mediante estos, fue posible obtener el control directo sobre los costosos y pesados equipos, lo que supone un peligro especial.<\/p>\n<h2>La maquinaria de la agricultura moderna<\/h2>\n<p>Para quienes no est\u00e1n familiarizados con la agricultura moderna, el precio de la maquinaria resulta astron\u00f3mico. En su presentaci\u00f3n, Sick Codes explic\u00f3 por qu\u00e9 los tractores y cosechadoras son tan caros. Los mejores ejemplos de maquinaria de la agricultura moderna se computarizan y automatizan en un grado bastante alto. Esto se ilustra en el ejemplo de la picadora de forraje John Deere Serie 9000, que se anuncia de la siguiente forma:<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/pc8NAKoXoRg?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>El motor V12 de 24 litros y el precio de seis cifras ni siquiera es lo principal; este anuncio en particular enumera las capacidades t\u00e9cnicas de la m\u00e1quina: sistema de orientaci\u00f3n espacial, recolecci\u00f3n autom\u00e1tica en hileras y sensores de ubicaci\u00f3n y sincronizaci\u00f3n con el tractor que recibe el grano picado. A estas capacidades, Sick Codes a\u00f1ade el control remoto y la habilidad para conectar de forma autom\u00e1tica el soporte t\u00e9cnico directamente con la picadora para poder solucionar los posibles problemas. Y aqu\u00ed es donde afirma que la agricultura moderna depende completamente de Internet.<\/p>\n<h2>El modelo de amenazas en la maquinaria de agricultura<\/h2>\n<p>Como era de esperar, la maquinaria moderna est\u00e1 llena de tecnolog\u00eda moderna, desde posicionamiento y sistemas de comunicaci\u00f3n convencionales con GPS y 3G\/4G\/LTE hasta <a href=\"https:\/\/es.wikipedia.org\/wiki\/RTK_(navegaci%C3%B3n)\" target=\"_blank\" rel=\"noopener nofollow\">m\u00e9todos de navegaci\u00f3n por inercia<\/a> bastante ex\u00f3ticos para determinar la ubicaci\u00f3n en el suelo con cent\u00edmetros de exactitud. El modelo de amenazas concebido por Sick Codes se basa en conceptos inform\u00e1ticos y suena bastante amenazador cuando se aplica a la realidad.<\/p>\n<p>\u00bfC\u00f3mo es un ataque DoS en el campo? Vamos a suponer que podemos cambiar un par de variables en el <em>software<\/em> para rociar fertilizante en el suelo e incrementar la dosis varias veces. F\u00e1cilmente podr\u00edamos arruinar ese terreno para la agricultura durante los siguientes varios a\u00f1os, o d\u00e9cadas incluso.<\/p>\n<p>O qu\u00e9 tal una variante te\u00f3rica m\u00e1s simple: tomamos el control de una cosechadora y la utilizamos para da\u00f1ar, digamos, una l\u00ednea el\u00e9ctrica. O <em>hackeamos<\/em> la cosechadora, interrumpimos el proceso de cosecha causando grandes p\u00e9rdidas para el agricultor. A escala nacional, estos \u201cexperimentos\u201d podr\u00edan amenazar la seguridad alimentaria. Por tanto, podemos afirmar que el equipo de agricultura en red representa toda una infraestructura cr\u00edtica.<\/p>\n<p>Y, de acuerdo con Sick Codes, la protecci\u00f3n implementada por los proveedores de esta misma tecnolog\u00eda e infraestructura deja mucho que desear. Esto es lo que encontraron \u00e9l y su equipo.<\/p>\n<h2>La obtenci\u00f3n por fuerza bruta del nombre de usuario, la codificaci\u00f3n de la contrase\u00f1a, etc.<\/h2>\n<p>Algunas de las vulnerabilidades de la infraestructura de John Deere que se presentaron en la conferencia se describen en un <a href=\"https:\/\/sick.codes\/leaky-john-deere-apis-serious-food-supply-chain-vulnerabilities-discovered-by-sick-codes-kevin-kenney-willie-cade\/\" target=\"_blank\" rel=\"noopener nofollow\">art\u00edculo en el sitio web del investigador<\/a>. El primer paso de Sick Codes fue registrar una cuenta de desarrollador leg\u00edtima en el sitio web de la empresa (aunque, seg\u00fan \u00e9l mismo describe, m\u00e1s tarde se le olvid\u00f3 el nombre de usuario que eligi\u00f3). Al tratar de recordarlo, se encontr\u00f3 con algo inesperado: la API realizaba b\u00fasquedas de nombres de usuarios cada vez que tecleaba un car\u00e1cter. Una verificaci\u00f3n r\u00e1pida revel\u00f3 que, s\u00ed, los nombres de usuario que ya estaban en el sistema pod\u00edan obtenerse por fuerza bruta.<\/p>\n<div id=\"attachment_26240\" style=\"width: 1150px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-26240\" class=\"wp-image-26240 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2021\/10\/18102213\/hacking-agriculure-defcon29-logins.png\" alt=\"\" width=\"1140\" height=\"570\"><p id=\"caption-attachment-26240\" class=\"wp-caption-text\">As\u00ed consiguen los nombres de usuario por fuerza bruta. <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"noopener nofollow\">Fuente<\/a><\/p><\/div>\n<p>El l\u00edmite tradicional en la cantidad de solicitudes de una direcci\u00f3n IP en dichos sistemas no estaba activado. En tan solo un par de minutos, Sick Codes env\u00edo 1000 solicitudes en las que comprobaba nombres de usuarios que concordaran con los nombres de las empresas dentro de la lista Fortune 1000, y obtuvo 192 coincidencias.<\/p>\n<p>La siguiente vulnerabilidad se descubri\u00f3 en un servicio interno que permit\u00eda que los clientes guardaran registros del equipo comprado. Como averigu\u00f3 Sick Codes, cualquiera con acceso a esta herramienta pod\u00eda ver la informaci\u00f3n sobre cualquier tractor o cosechadora en la base de datos. Los derechos de acceso a estos datos no se verifican. Es m\u00e1s, la informaci\u00f3n apenas es confidencial: propietario del veh\u00edculo, ubicaci\u00f3n, etc.<\/p>\n<p>En la DEF CON 29, Sick Codes revel\u00f3 algo m\u00e1s de informaci\u00f3n de la descrita en su sitio web. Por ejemplo, tambi\u00e9n pudo acceder al servicio para gestionar el equipo de demostraci\u00f3n, con historial completo de demostraciones y datos personales de los empleados de la empresa. Por \u00faltimo, sus colegas detectaron una <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=2021-27653\" target=\"_blank\" rel=\"noopener nofollow\">vulnerabilidad<\/a> en el servicio corporativo Pega Chat Access Group, en forma de una contrase\u00f1a de administrador codificada. Mediante esto, pudo obtener acceso a las claves de la cuenta de cliente de John Deere. Y, aunque Sick Codes no dijo lo que esta clave abre exactamente, parece ser otro conjunto de servicios internos.<\/p>\n<p>Para mantener el equilibrio, Sick Codes tambi\u00e9n present\u00f3 algunas vulnerabilidades que afectan a la competencia europea de John Deere, Case IH. Ah\u00ed pudo acceder a un servidor Java Melody no asegurado que monitoriza algunos de los servicios del fabricante, lo que arroj\u00f3 informaci\u00f3n detallada sobre los usuarios y mostr\u00f3 la posibilidad te\u00f3rica de secuestrar la cuenta.<\/p>\n<h2>C\u00f3mo fue el contacto con las empresas<\/h2>\n<p>Para ser justos, cabe destacar que Sick Codes no establece un v\u00ednculo directo entre las amenazas mencionadas anteriormente y las vulnerabilidades que detect\u00f3. Tal vez con el fin de no poner en peligro a los agricultores ordinarios. O tal vez no encontr\u00f3 dicha relaci\u00f3n. Pero con base en los errores de seguridad triviales que encontr\u00f3, concluye que la cultura de seguridad en estas empresas es baja, lo que nos permite asumir que el control directo de las cosechadoras tiene una protecci\u00f3n similar. Pero esto sigue siendo una suposici\u00f3n.<\/p>\n<p>Todas las vulnerabilidades en los servicios de John Deere ya fueron cerradas, pero con algunas condiciones. El fabricante no ten\u00eda un canal de contacto especial para informar de las vulnerabilidades. Sick Codes tuvo un intercambio corto con el gerente de las redes sociales de John Deere, despu\u00e9s del cual se le pidi\u00f3 que informara de las vulnerabilidades mediante el programa de caza de <em>bugs<\/em> en el servicio HackerOne; sin embargo, no se encontr\u00f3 dicho servicio. S\u00ed que se introdujo m\u00e1s tarde un programa de recompensas para informar de las vulnerabilidades, pero los participantes necesitan firmar un acuerdo de confidencialidad.<\/p>\n<p>Los problemas con el sitio web de la empresa se arreglaron sin dar respuesta a los mensajes de los investigadores. O, m\u00e1s bien, hubo una respuesta extra\u00f1a. Despu\u00e9s de que las vulnerabilidades <a href=\"https:\/\/www.vice.com\/en\/article\/4avy8j\/bugs-allowed-hackers-to-dox-all-john-deere-owners\" target=\"_blank\" rel=\"noopener nofollow\">salieran en las noticias<\/a> en abril de este a\u00f1o, se public\u00f3 un <a href=\"https:\/\/twitter.com\/JohnDeere\/status\/1383925815092518918\" target=\"_blank\" rel=\"noopener nofollow\">mensaje cifrado<\/a> en la cuenta oficial de Twitter de la empresa: \u201cEl pron\u00f3stico de esta semana: de una tres pulgadas de tonter\u00edas\u201d. Al mismo tiempo, se public\u00f3 una vacante de ingeniero de seguridad con la fecha de inicio escrita en letras may\u00fasculas: INMEDIATAMENTE.<\/p>\n<h2>El derecho a la reparaci\u00f3n<\/h2>\n<p>En el 2017, la revista <em>Vice<\/em> <a href=\"https:\/\/www.vice.com\/en\/article\/xykkkd\/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware\" target=\"_blank\" rel=\"noopener nofollow\">escribi\u00f3<\/a> sobre los problemas a los que se enfrentan los propietarios del equipo de agricultura de John Deere. Varios bloqueos de <em>software<\/em> y <em>hardware<\/em> evitan que los usuarios reparen el equipo por ellos mismos. T\u00e9cnicamente, se supone que cada pieza de recambio est\u00e1 \u201cregistrada\u201d en el ordenador de control de la cosechadora o en la base de datos del proveedor. Pero los distribuidores oficiales son lentos y costosos. As\u00ed que los agricultores optan por un <em>firmware<\/em> bajo la manga que les permita desvincular la m\u00e1quina de su fabricante.<\/p>\n<p>Este es un buen ejemplo del debate del derecho a reparar: resulta que los clientes de la empresa no son propietarios de lo que compran. Efectivamente alquilan el equipo (pero a precio completo) y tienen que usar los servicios de mantenimiento del fabricante, incluso aunque no quieran hacerlo. El proveedor con frecuencia justifica esto en aras de la seguridad, espec\u00edficamente la necesidad de evitar que, por ejemplo, una unidad de control no autorizada tome control de una m\u00e1quina compleja. Pero Sick Codes pregunta y con raz\u00f3n: \u00bfqu\u00e9 seguridad existe en realidad cuando se encuentran unos agujeros impresionantes en su <em>software<\/em>?<\/p>\n<p>Al final del informe, Sick Codes mostr\u00f3 el m\u00f3dulo de control de John Deere con el chip celular Qualcomm y desgran\u00f3 una larga lista de vulnerabilidades cr\u00edticas que recientemente se han encontrado. Esto, por supuesto, es un argumento d\u00e9bil: a\u00fan es necesario que las vulnerabilidades sean explotadas, y el hecho de que se encontraran <em>bugs<\/em> dice muy poco.<\/p>\n<p>No es la cantidad de vulnerabilidades lo que importa, sino la capacidad de detectar y parchearlas r\u00e1pidamente. Sick Codes intenta convencer a la audiencia de que el nivel deficiente de protecci\u00f3n de la maquinaria de agricultura est\u00e1 a la par de la del equipo m\u00e9dico. Independientemente de esto, queda claro que este problema debe abordarse, empezando con abrir el dialogo con los fabricantes, que se beneficiar\u00edan si prestaran atenci\u00f3n a las advertencias de los <em>hackers<\/em> \u00e9ticos, antes de que los ciberdelincuentes se involucren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En la DEF CON 29, un investigador explic\u00f3 por qu\u00e9 la maquinaria para la agricultura debe considerarse infraestructura cr\u00edtica y demostr\u00f3 vulnerabilidades en el equipo de los principales fabricantes.<\/p>\n","protected":false},"author":665,"featured_media":26239,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[893,878,784],"class_list":{"0":"post-26237","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-def-con","10":"tag-infraestructura-critica","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacking-agriculture-defcon29\/26237\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacking-agriculture-defcon29\/23486\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacking-agriculture-defcon29\/18963\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacking-agriculture-defcon29\/25561\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacking-agriculture-defcon29\/23632\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacking-agriculture-defcon29\/23075\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacking-agriculture-defcon29\/25771\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacking-agriculture-defcon29\/31695\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacking-agriculture-defcon29\/10154\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacking-agriculture-defcon29\/42402\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacking-agriculture-defcon29\/17891\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacking-agriculture-defcon29\/18279\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacking-agriculture-defcon29\/15409\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacking-agriculture-defcon29\/27575\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacking-agriculture-defcon29\/31802\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hacking-agriculture-defcon29\/27713\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacking-agriculture-defcon29\/24476\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacking-agriculture-defcon29\/29838\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacking-agriculture-defcon29\/29636\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/def-con\/","name":"DEF CON"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26237","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=26237"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26237\/revisions"}],"predecessor-version":[{"id":26242,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26237\/revisions\/26242"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/26239"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=26237"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=26237"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=26237"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}