Nauja „John Deere“ traktorių jailbreak užkariauja teisę remontuoti

Nauja „John Deere“ traktorių jailbreak užkariauja teisę remontuoti

Į ją kreipėsi viso pasaulio ūkininkai traktoriaus įsilaužimas kad jie galėtų apeiti skaitmeninės spynos kuriuos gamintojai nustato savo transporto priemonėms. Kaip ir insulino pompos „kilpas“ ir „iPhone“ išjungimas, tai leidžia ūkininkams modifikuoti ir taisyti brangią įrangą, kuri yra gyvybiškai svarbi jų darbui, taip, kaip jie galėtų su analoginiais traktoriais. Šeštadienį Las Vegase vykusioje „DefCon“ saugumo konferencijoje įsilaužėlis, žinomas kaip „Sick Codes“, pristato naują „John Deere & Co. traktoriai, leidžiantys per jutiklinius ekranus valdyti kelis modelius.

Ši išvada pabrėžia judėjimo „Teisė į remontą“ poveikį saugumui. Traktoriaus išnaudojimas, kurį atskleidė „Sick Codes“, nėra nuotolinė ataka, tačiau susiję pažeidžiamumai rodo esminį įrenginių nesaugumą, kurį gali išnaudoti kenkėjiški veikėjai arba kuriuos gali susieti kiti pažeidžiamumai. Žemės ūkio pramonės ir maisto tiekimo grandinės apsauga yra labai svarbi, nes tokie incidentai kaip 2021 m. JBS Meat ransomware ataka parodė. Tačiau tuo pačiu metu pažeidžiamumas, kaip antai tie, kuriuos nustatė Ligos kodai, padeda ūkininkams daryti tai, ką reikia daryti su savo įranga.

John Deere neatsakė į WIRED prašymą pakomentuoti tyrimą.

Sick Codes, australas, gyvenantis Azijoje, pristatytas DefCon 2021 metais apie traktorių taikomųjų programų programavimo sąsajas ir operacinės sistemos klaidas. Po to, kai jis paskelbė savo tyrimą, traktorių kompanijos, įskaitant John Deere, pradėjo taisyti kai kuriuos trūkumus. „Remonto teisė buvo šiek tiek priešinga tam, ką aš bandžiau padaryti“, – sako jis WIRED. „Girdėjau iš kai kurių ūkininkų; vienas vaikinas man atsiuntė el. laišką ir pasakė: „Tu sušikni visus mūsų daiktus!“ Taigi aš sugalvojau, kad padėsiu savo pinigus ten, kur mano burna, ir iš tikrųjų įrodysiu ūkininkams, kad jie gali išnaikinti įrenginius.

Šiais metais „Sick Codes“ teigia, kad nors jam pirmiausia rūpi pasaulinis maisto saugumas ir pažeidžiamos žemės ūkio įrangos keliamas pavojus, jis taip pat mato didelę vertę leisti ūkininkams visiškai valdyti savo įrangą. “Išlaisvinkite traktorius!” jis sako.

Po ilgus metus trukusių ginčų JAV dėl „teisės remontuoti“ įsigytą įrangą, judėjimas, atrodo, pasiekė lūžio tašką. Baltieji rūmai išleido an vykdomasis įsakymas praėjusiais metais nurodė Federalinei prekybos komisijai padidinti vykdymo pastangas per tokias praktikas kaip išorės remonto garantijų panaikinimas. Tai, kartu su Praeina Niujorko valstija savo teisės į taisymą įstatymas ir kūrybinis aktyvistų spaudimasjudėjimui suteikė precedento neturintį pagreitį.

Montavimo slėgis, John Deere paskelbė kovo mėn., kad įrangos savininkams bus prieinama daugiau savo taisymo programinės įrangos. Tuo metu bendrovė taip pat teigė, kad kitais metais išleis „patobulintą klientų sprendimą“, kad klientai ir mechanikai galėtų patys atsisiųsti ir pritaikyti oficialius „Deere“ įrangos programinės įrangos atnaujinimus, o ne „John Deere“ vienašališkai pritaikyti pataisas nuotoliniu būdu arba priversti ūkininkus atsinešti. produktus įgaliotiems atstovams.

„Ūkininkai renkasi senesnę techniką vien todėl, kad nori patikimumo. Jie nenori, kad dalykai suklystų svarbiausiu metų laiku, kai jie turi traukti daiktus iš žemės“, – sako Sick Codes. „Taigi mes visi turėtume to norėti. Mes norime, kad ūkininkai galėtų taisyti savo daiktus, kai kas negerai, o dabar tai reiškia, kad jie galės taisyti arba priimti sprendimus dėl savo traktorių programinės įrangos.

Sick Codes, siekdamas sukurti savo įkalinimo įstaigą, panaudojo daugybę John Deere traktorių valdymo jutiklinio ekrano konsolių kartų. Tačiau galiausiai jis sutelkė dėmesį į kelis modelius, įskaitant plačiai naudojamus 2630 ir 4240 modelius, skirtus jo pristatomam išnaudojimui. Prireikė daug mėnesių eksperimentuoti su daugybe jutiklinio ekrano plokščių, kad apeitų John Deere pardavėjo autentifikavimo reikalavimus, tačiau galiausiai „Sick Codes“ sugebėjo atlikti pakartotinio paleidimo patikrinimą, kad atkurtų įrenginį taip, lyg jį pasiektų sertifikuotas pardavėjas.

Jis nustatė, kad kai sistema manė esanti tokioje aplinkoje, ji siūlo daugiau nei 1,5 GB vertės žurnalų, skirtų padėti įgaliotiems paslaugų teikėjams diagnozuoti problemas. Žurnalai taip pat atskleidė kelią į kitą galimą laiko ataką, kuri galėtų suteikti gilesnę prieigą. Sick Codes prilitavo valdiklius tiesiai ant plokštės ir galiausiai gavo savo puolimą apeiti sistemos apsaugą.

„Aš pradėjau ataką, o po dviejų minučių pasirodo terminalas“, – sako Sick Codes apie programą, naudojamą prieigai prie kompiuterio komandinės eilutės sąsajos. „Turėjau šakninę prieigą, o tai reta Deere žemėje.

Šis metodas reikalauja fizinės prieigos prie grandinės plokštės, tačiau „Sick Codes“ teigia, kad būtų galima sukurti įrankį, pagrįstą pažeidžiamumu, kad būtų lengviau vykdyti „jailbreak“. Dažniausiai jis sako, kad jam įdomu sužinoti, kaip John Deere reaguos. Jis nežino, kaip visapusiškai įmonė gali pataisyti trūkumus neįdiegusi visiško disko šifravimo, o tai reikštų reikšmingą sistemos kapitalinį remontą naujose traktorių konstrukcijose ir greičiausiai nebus įdiegta esamoje įrangoje.

Pirmas prioritetas? Veikia pagal individualų ūkio temą Lemtis ant traktoriaus, žinoma.

Ši istorija iš pradžių pasirodė wired.com.

Leave a Reply

Your email address will not be published.