{"id":23075,"date":"2021-10-13T14:26:37","date_gmt":"2021-10-13T20:26:37","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23075"},"modified":"2021-10-13T14:26:37","modified_gmt":"2021-10-13T20:26:37","slug":"hacking-agriculture-defcon29","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/hacking-agriculture-defcon29\/23075\/","title":{"rendered":"Seguridad del equipo para agricultura en DEF CON 29"},"content":{"rendered":"<p>Una de las presentaciones m\u00e1s inusuales en la conferencia DEF CON 29, que se realiz\u00f3 a principios de agosto, cubri\u00f3 las vulnerabilidades del equipo de agricultura <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"noopener nofollow\">que encontr\u00f3<\/a> un investigador australiano quien se hace llamar <a href=\"https:\/\/twitter.com\/sickcodes\" target=\"_blank\" rel=\"noopener nofollow\">Sick Codes<\/a>.<\/p>\n<p>Las vulnerabilidades afectan a los grandes fabricantes John Deere y Case IH no se encontraron en los tractores y cosechadoras, sino en los servicios web que son m\u00e1s conocidos para los investigadores. Mediante estos, fue posible obtener control directo sobre los costosos y pesados equipos, lo cual supone un peligro especial.<\/p>\n<h2>Maquinaria para agricultura moderna<\/h2>\n<p>Para quienes no est\u00e1n familiarizados con la agricultura moderna, el precio de la maquinaria parece astron\u00f3mico. En su presentaci\u00f3n, Sick Codes explic\u00f3 por qu\u00e9 los tractores y cosechadores son tan caros.\u00a0 Los mejores ejemplos de maquinaria para agricultura moderna se computarizan y automatizan en un grado bastante alto. Esto se ilustra en el ejemplo de la picadora de forraje John Deere Serie 9000, la cual se anuncia de la siguiente manera:<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/pc8NAKoXoRg?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>El motor V12 de 24 litros y precio de seis cifras ni siquiera es lo principal; este anuncio en particular enumera las capacidades t\u00e9cnicas de la m\u00e1quina: sistema de orientaci\u00f3n espacial, recolecci\u00f3n autom\u00e1tica en hileras y sensores de ubicaci\u00f3n y sincronizaci\u00f3n con el tractor que recibe la pastura picada. A estas capacidades, Sick Codes a\u00f1ade control remoto y la capacidad de conectar de forma autom\u00e1tica soporte t\u00e9cnico directamente a la picadora para soluci\u00f3n de problemas. A esto, hace una audaz afirmaci\u00f3n: la agricultura moderna depende completamente del Internet.<\/p>\n<h2>Modelo de amenazas en maquinaria para agricultura<\/h2>\n<p>Como era de esperarse, la maquinaria moderna est\u00e1 llena de tecnolog\u00eda moderna, desde posicionamiento y sistemas de comunicaci\u00f3n convencionales con GPS y 3G\/4G\/LTE hasta <a href=\"https:\/\/es.wikipedia.org\/wiki\/RTK_(navegaci%C3%B3n)\" target=\"_blank\" rel=\"noopener nofollow\">m\u00e9todos de navegaci\u00f3n por inercia<\/a> bastante ex\u00f3ticos para determinar la ubicaci\u00f3n en el suelo con cent\u00edmetros de exactitud. El modelo de amenazas concebido por Sick Codes se basa en conceptos inform\u00e1ticos, y suena bastante amenazador cuando se aplica a la realidad.<\/p>\n<p>\u00bfC\u00f3mo se ve un ataque DoS en un campo? Vamos a suponer que podemos cambiar un par de variables en el software para rociar fertilizante en el suelo e incrementar la dosis varias veces. F\u00e1cilmente podr\u00edamos arruinar el campo para la agricultura durante los siguientes varios a\u00f1os, o d\u00e9cadas incluso.<\/p>\n<p>O qu\u00e9 tal una variante te\u00f3rica m\u00e1s simple: tomamos el control de una cosechadora y la utilizamos para da\u00f1ar, digamos, una l\u00ednea el\u00e9ctrica. O hackeamos la cosechadora, interrumpimos el proceso de cosecha causando grandes p\u00e9rdidas para el agricultor. A escala nacional, estos \u201cexperimentos\u201d podr\u00edan amenazar la seguridad alimentaria. Por lo tanto, el equipo para agricultura en red es genuinamente infraestructura cr\u00edtica.<\/p>\n<p>Y de acuerdo con Sick Codes, la protecci\u00f3n implementada por los proveedores de esta misma tecnolog\u00eda e infraestructura deja mucho que desear. Esto es lo que encontraron \u00e9l y su equipo con ideas afines.<\/p>\n<h2>Obtenci\u00f3n por fuerza del nombre de usuario, codificaci\u00f3n de la contrase\u00f1a, etc.<\/h2>\n<p>Algunas de las vulnerabilidades de la infraestructura de John Deere que se presentaron en la conferencia se describen en un <a href=\"https:\/\/sick.codes\/leaky-john-deere-apis-serious-food-supply-chain-vulnerabilities-discovered-by-sick-codes-kevin-kenney-willie-cade\/\" target=\"_blank\" rel=\"noopener nofollow\">art\u00edculo en el sitio web del investigador<\/a>. El primer paso de Sick Codes fue registrar una cuenta de desarrollador leg\u00edtimo en el sitio web de la empresa (aunque, seg\u00fan escribe, m\u00e1s tarde se le olvid\u00f3 el nombre de usuario que eligi\u00f3). Al tratar de recordarlo, se encontr\u00f3 con algo inesperado: la API hacia b\u00fasquedas de nombres de usuarios cada vez que tecleaba un car\u00e1cter. Una verificaci\u00f3n r\u00e1pida revel\u00f3 que, s\u00ed, los nombres de usuario que ya estaban en el sistema pod\u00edan obtenerse por la fuerza.<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<div id=\"attachment_23080\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23080\" class=\"wp-image-23080 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2021\/10\/13122225\/hacking-agriculure-defcon29-logins-1024x512.png\" alt='Nombre de usuarios forzados. &lt;a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"nofollow\"&gt;Fuente.&lt;\/a&gt;' width=\"1024\" height=\"512\"><p id=\"caption-attachment-23080\" class=\"wp-caption-text\">Nombre de usuarios forzados. <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"nofollow noopener\">Fuente.<\/a><\/p><\/div>\n<p>\u00a0<\/p>\n<p>El l\u00edmite tradicional en la cantidad de solicitudes de una direcci\u00f3n IP en dichos sistemas no estaba activado. En tan solo un par de minutos, Sick Codes env\u00edo 1,000 solicitudes en las que verificaba nombres de usuarios que concordaran con los nombres de las empresas dentro de la lista Fortune 1000, y obtuvo 192 coincidencias.<\/p>\n<p>La siguiente vulnerabilidad se descubri\u00f3 en un servicio interno que permit\u00eda que los clientes guardaran registros del equipo comprado. Como averigu\u00f3 Sick Codes, cualquiera con acceso a esta herramienta pod\u00eda ver la informaci\u00f3n sobre cualquier tractor o cosechadora en la base de datos. Los derechos de acceso a estos datos no se verifican. Es m\u00e1s, la informaci\u00f3n apenas es confidencial: propietario del veh\u00edculo, ubicaci\u00f3n, etc.<\/p>\n<p>En la DEF CON 29, Sick Codes revel\u00f3 un poco m\u00e1s de lo que escribi\u00f3 en su sitio web. Por ejemplo, tambi\u00e9n pudo acceder al servicio para gestionar el equipo de demostraci\u00f3n, con historial completo de demostraciones y datos personales de los empleados de la empresa. Por \u00faltimo, sus colegas detectaron una <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=2021-27653\" target=\"_blank\" rel=\"noopener nofollow\">vulnerabilidad<\/a> en el servicio corporativo Pega Chat Access Group, en forma de una contrase\u00f1a de administrador codificada. Mediante esto, pudo obtener acceso a las claves de la cuenta de cliente de John Deere. Cierto, Sick Codes no dijo lo que est\u00e1 clave abre exactamente, pero parece ser otro conjunto de servicios internos.<\/p>\n<p>Para guardar el equilibrio, Sick Codes tambi\u00e9n present\u00f3 algunas vulnerabilidades que afectan a la competencia europea de John Deere, Case IH. Ah\u00ed pudo acceder a un servidor Java Melody no asegurado que monitorea alguno de los servicios del fabricante, lo que arroj\u00f3 informaci\u00f3n detallada sobre los usuarios y mostr\u00f3 la posibilidad te\u00f3rica de secuestrar la cuenta.<\/p>\n<h2>Contacto con las empresas<\/h2>\n<p>Para ser justos, cabe destacar que Sick Codes relaciona las amenazas antes mencionadas y las vulnerabilidades que detect\u00f3. Tal vez con el fin de no poner en peligro a los agricultores ordinarios. O tal vez no encontr\u00f3 dicha relaci\u00f3n. Pero con base en las fallas de seguridad triviales que encontr\u00f3, concluye que la cultura de seguridad en estas empresas es baja, lo que nos permite asumir que el control directo de las cosechadoras tiene una protecci\u00f3n similar. Pero esto sigue siendo una suposici\u00f3n.<\/p>\n<p>Todas las vulnerabilidades en los servicios de John Deere ya fueron cerradas, pero con algunas condiciones. El fabricante no ten\u00eda un canal de contacto especial para informar las vulnerabilidades. Sick Codes tuvo un intercambio corto con el gerente de medios sociales de John Deere, despu\u00e9s del cual se le pidi\u00f3 que informara las vulnerabilidades mediante el programa de caza de <em>bugs<\/em> en el servicio HackerOne; sin embargo, no se encontr\u00f3 dicho servicio. Un programa de recompensas para informar vulnerabilidades se introdujo m\u00e1s tarde, pero los participantes necesitan firmar un acuerdo de confidencialidad.<\/p>\n<p>Los problemas con el sitio web de la empresa se arreglaron sin dar respuesta a los mensajes de los investigadores. O, m\u00e1s bien, hubo una respuesta extra\u00f1a. Despu\u00e9s de que las vulnerabilidades <a href=\"https:\/\/www.vice.com\/en\/article\/4avy8j\/bugs-allowed-hackers-to-dox-all-john-deere-owners\" target=\"_blank\" rel=\"noopener nofollow\">salieron en las noticias<\/a> en abril de este a\u00f1o, un <a href=\"https:\/\/twitter.com\/JohnDeere\/status\/1383925815092518918\" target=\"_blank\" rel=\"noopener nofollow\">mensaje cr\u00edptico<\/a> se public\u00f3 en la cuenta oficial de Twitter de la empresa: \u201cEl pron\u00f3stico de esta semana: de una tres pulgadas de tonter\u00edas.\u201d Al mismo tiempo, se public\u00f3 una vacante de ingeniero de seguridad con la fecha de inicio escrita en letras may\u00fasculas: INMEDIATAMENTE.<\/p>\n<h2>El derecho a la reparaci\u00f3n<\/h2>\n<p>En el 2017, la revista <em>Vice<\/em> <a href=\"https:\/\/www.vice.com\/en\/article\/xykkkd\/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware\" target=\"_blank\" rel=\"noopener nofollow\">escribi\u00f3<\/a> sobre los problemas que enfrentaban los propietarios del equipo de agricultura de John Deere. Varios bloqueos de software y hardware evitan que los usuarios reparen el equipo por ellos mismos. T\u00e9cnicamente, se supone que cada pieza de recambio est\u00e1 \u201cregistrada\u201d en la computadora de control de la cosechadora o en la base de datos del proveedor. Pero los distribuidores oficiales son lentos y costosos. As\u00ed que los agricultores optan por <em>firmware<\/em> bajo el agua que les permita desvincular la m\u00e1quina de su fabricante.<\/p>\n<p>Este es un buen ejemplo del debate del derecho a reparar: resulta que los clientes de la empresa no son propietarios de lo que compran. Efectivamente rentan el equipo (pero a precio completo), y tienen que usar los servicios de mantenimiento del fabricante, incluso si no quieren hacerlo. El proveedor con frecuencia justifica esto en aras de la seguridad, espec\u00edficamente la necesidad de evitar que una unidad de control no autorizada, digamos, tome control de una m\u00e1quina compleja. Pero de manera justificada, Sick Codes pregunta: \u00bfqu\u00e9 seguridad existe en realidad cuando se encuentran agujeros impresionantes en su software?<\/p>\n<p>Al final del informe, Sick Codes demostr\u00f3 el m\u00f3dulo de control de John Deere con el chip celular Qualcomm, y desgran\u00f3 una larga lista de vulnerabilidades cr\u00edticas que recientemente se encontraron ah\u00ed. Esto, por supuesto, es un argumento d\u00e9bil: a\u00fan es necesario que las vulnerabilidades sean explotadas, y el hecho de que se encontraran <em>bugs<\/em> dice muy poco.<\/p>\n<p>No es la cantidad de vulnerabilidades lo que importa, sino la capacidad de detectar y parchearlas r\u00e1pidamente. Sick Codes intenta convencer a la audiencia de que el nivel deficiente de protecci\u00f3n de la maquinaria para agricultura est\u00e1 a la par de la del equipo m\u00e9dico. Independientemente de qu\u00e9 tan cierto sea esto, el problema todav\u00eda debe abordarse, iniciando con abrir el dialogo con los fabricantes. A estos \u00faltimos solo pueden beneficiarse de prestar atenci\u00f3n a las advertencias de los <em>hackers<\/em> \u00e9ticos, antes de que los cibercriminales se involucren.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kfa-download\">\n","protected":false},"excerpt":{"rendered":"<p>En la DEF CON 29, un investigador explic\u00f3 por qu\u00e9 la maquinaria para agricultura debe considerarse infraestructura cr\u00edtica y demostr\u00f3 vulnerabilidades en el equipo de los principales fabricantes.<\/p>\n","protected":false},"author":665,"featured_media":23077,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[1349,1808,647],"class_list":{"0":"post-23075","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-def-con","10":"tag-infraestructura-critica","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacking-agriculture-defcon29\/23075\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacking-agriculture-defcon29\/23486\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacking-agriculture-defcon29\/18963\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacking-agriculture-defcon29\/25561\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacking-agriculture-defcon29\/23632\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacking-agriculture-defcon29\/26237\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacking-agriculture-defcon29\/25771\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacking-agriculture-defcon29\/31695\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacking-agriculture-defcon29\/10154\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacking-agriculture-defcon29\/42402\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacking-agriculture-defcon29\/17891\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacking-agriculture-defcon29\/18279\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacking-agriculture-defcon29\/15409\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacking-agriculture-defcon29\/27575\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacking-agriculture-defcon29\/31802\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hacking-agriculture-defcon29\/27713\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacking-agriculture-defcon29\/24476\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacking-agriculture-defcon29\/29838\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacking-agriculture-defcon29\/29636\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/def-con\/","name":"DEF CON"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=23075"}],"version-history":[{"count":8,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23075\/revisions"}],"predecessor-version":[{"id":23085,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23075\/revisions\/23085"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/23077"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=23075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=23075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=23075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}