DEF CON 29: Sicherheit in der Agrartechnik

Auf der IT-Security-Konferenz DEF CON 29 erklärte ein Forscher, warum moderne Landtechnik als kritische Infrastrukturen betrachtet werden sollte und wies auf Schwachstellen bei den Systemen der Hersteller für Landmaschinen hin.

Bei einer der ungewöhnlichsten Präsentationen auf der IT-Security-Konferenz DEF CON 29 diesen August ging es um landwirtschaftliche Maschinen und deren Schwachstellen, die von einem australischen Forscher von Sick Codes enthüllt wurden.

Die Schwachstellen bei John Deere und Case IH, die zu den größten Herstellern von Landtechnik zählen, wurden nicht bei Traktoren und Mähdrescher gefunden, sondern in den Webdiensten, mit denen sich die Forscher bestens auskennen. Über diese Dienste war es möglich, die direkte Kontrolle über tonnenschwere und teure Landmaschinen zu übernehmen, was eine sehr große Gefahr darstellt.

Moderne Landmaschinen

Für alle, die sich nicht mit moderner Landtechnik, bzw. Agrartechnik auskennen, scheinen Landmaschinen horrende Preise zu haben. In seiner Präsentation erklärt der Sprecher von Sick Codes, warum Traktoren und Mähdrescher so teuer sind. Die besten Modelle der modernen Agrartechnik sind weitgehend computerisiert und automatisiert. Das wird am selbstfahrenden Feldhäcksler der Serie 9900 von John Deere verdeutlicht, der folgendermaßen vermarktet wird:

Der leistungsstarke 24,2 Liter V12 Liebherr-Motor und das sechsstellige Preisschild sind noch nicht einmal die wichtigsten Aspekte – im Werbevideo werden besonders die technischen Fähigkeiten der Maschine hervorgehoben: Technologie zur optimalen Orientierung, automatischer Erntegutfluss und Ortungssensoren, die mit dem Lastwagen synchronisiert sind, der mit dem Erntegut beladen wird. Abgesehen von diesen Funktionen, unterstreicht Sick Codes die Steuerung aus der Ferne und die Fähigkeit der Maschine sich automatisch mit dem technischen Support für Fehlerbehebung in Verbindung zu setzen. Zu diesem Punkt macht der Sprecher eine kühne Aussage: Moderne Landwirtschaft ist inzwischen vollkommen vom Internet abhängig.

Das Bedrohungsmodell der Agrartechnik

Es ist nicht überraschend, dass moderne Landmaschinen mit einer Menge an modernen Technologien ausgestattet sind, die von herkömmlichem GPS über die Ortung per 3G und 4G bis hin zu äußerst exotischen Navigationssystemen reichen, mit denen die Position zentimetergenau bestimmt werden kann. Das Bedrohungsmodell von Sick Codes basiert auf IT-Konzepte und hört sich recht gefährlich an, wenn es auf die Realität übertragen wird.

Wie würde ein DoS-Angriff auf einem Feld aussehen? Gehen wir davon aus, dass es möglich sei einige Variablen in der Software zu verändern, über die das Sprühen von Dünger kontrolliert wird. Dann könnten wir beispielsweise die Menge an Düngemittel beliebig vervielfachen und das Ackerland über viele Jahre und sogar Jahrzehnte hinweg unfruchtbar machen.

Es gibt aber auch simplere Sabotage-Varianten: Wir könnten beispielsweise die Kontrolle eines Mähdreschers übernehmen und damit, sagen wir mal, eine Überlandleitung beschädigen. Oder wir hacken direkt den Mähdrescher und unterbrechen den Erntevorgang, wodurch der Landwirt große finanzielle Verluste erleiden würde. Auf nationaler Ebene könnten solche „Experimente“ eine Bedrohung für die Lebensmittelversorgungskette darstellen. Vernetze Landmaschinen zählen unter diesem Gesichtspunkt also unbestreitbar zu den kritischen Infrastrukturen.

Der Sprecher von Sick Code weist außerdem darauf hin, dass der Schutz, den die Anbieter für diese Technologie und Infrastruktur bieten, viel zu wünschen übrig lässt. Lesen Sie weiter und entdecken Sie, was das Team von Sick Codes alles herausgefunden hat.

Hartcodierte Passwörter, Diebstahl von Benutzernamen usw.

Einige der Schwachstellen der Infrastruktur von John Deere, die auf der Konferenz erläutert wurden, werden auch in einem Artikel auf der Webseite von Sick Codes beschrieben. Der Forscher begann mit der Anmeldung für ein legitimes Entwickler-Konto auf der Website des Unternehmens. Nach Angaben des Sprechers, vergaß er später den verwendeten Namen. Während er versuchte sich an den Benutzernamen des Kontos zu erinnern, stieß er auf etwas Unerwartetes: Die API führte bei jeder Buchstabeneingabe automatisch eine Benutzernamensuche durch. Eine schnelle Überprüfung bestätigte seine Vermutung: Ja, die gespeicherten Benutzernamen konnten kinderleicht gestohlen werden.

Brute-Force-Angriff zum Knacken von Benutzernamen Quelle.

Die Einschränkung der Anzahl an Anfragen von einer IP-Adresse, die bei solchen Systemen normalerweise angewendet wird, war nicht eingerichtet. Sick Codes konnte innerhalb von wenigen Minuten 1.000 Anfragen schicken, um an die Benutzernamen von Fortune-1000-Unternehmen heranzukommen und erhielt insgesamt 192 Treffer.

Die nächste Schwachstelle wurde in einem internen Service entdeckt, der den Kunden einen Überblick über die gekauften Maschinen bietet. Sick Codes fand heraus, dass jeder, der Zugriff auf dieses Tool hat, die Informationen über alle Traktoren und Mähdrescher in der Datenbank einsehen kann. Die Zugriffsrechte auf diese Daten wurden nicht überprüft. Und das, obwohl es sich hier um recht vertrauliche Daten handelt: Landmaschinenbesitzer, Standorte usw.

Auf der DEF CON 29 enthüllte der Sprecher von Sick Codes auch Informationen, die nicht auf der Website angegeben sind. Zum Beispiel schaffte er es auch Zugriff auf den Service für die Verwaltung der Vorführmaschinen mit vollständigen Informationen über den Vorführverlauf und den personenbezogenen Daten von Mitarbeitern zu erhalten. Seine Kollegen entdeckten außerdem eine Sicherheitslücke im Pega Chat Access Group-Portal, in Form eines hartcodierten Administratoren-Passwortes. Darüber hinaus erhielt das Team die Zugriffsschlüssel zur Betriebszentrale von John Deere. Sick Codes gibt zwar nicht an, was im Detail alles mit den Schlüsseln geöffnet werden kann, aber anscheinend handelt es sich um eine weitere Reihe an internen Diensten.

Um fair zu sein, präsentierte Sick Codes auch einige Schwachstellen bei Case IH, dem europäischen Konkurrenten von John Deere. Dort war das Team in der Lage auf einen ungesicherten JavaMelody-Server zuzugreifen, der einige Dienste des Herstellers überwacht. Dort fanden sie detaillierte Informationen über Benutzer und zeigten, dass es theoretisch möglich war jedes beliebige Konto zu hacken.

Kontaktaufnahme mit dem Unternehmen

Fairerweise müssen wir dazu sagen, dass Sick Codes keine direkte Verbindung zwischen den oben genannten Bedrohungen und den gefundenen Schwachstellen erstellt. Vielleicht, um andere Landwirte nicht in Gefahr zu bringen. Oder vielleicht, weil einfach keine Verbindung gefunden wurde. Basierend auf den erläuterten Sicherheitsfehlern, kommt Sick Codes zu dem Schluss, dass die Sicherheitskultur bei diesen Landmaschinenherstellern äußerst niedrig ist. Aus diesem Grund kann man ebenso davon ausgehen, dass die Kontrolle über die Mähdrescher auch unzureichend geschützt ist. Das ist allerdings nur eine Annahme.

Alle Schwachstellen bei den Diensten von John Deere wurden inzwischen behoben, doch bestehen weiterhin einige Vorbehalte. Der Hersteller verfügte über keinen Kommunikationskanal, der speziell zum Melden von Schwachstellen diente. Sick Codes sprach kurz mit dem Social-Media-Manager von John Deere und wurde dann gebeten, die Informationen zu den Schwachstellen über das Bug-Bounty-Programm auf der Plattform von HackerOne zu kommunizieren. Über Bug-Bounty-Programme werden Belohnungen für das Aufdecken von kritischen Sicherheitslücken vergeben. Es stellte sich aber heraus, dass John Deere gar kein Belohnungsprogramm hatte. Nach einiger Zeit wurde letztendlich ein Bug-Bounty-Programm für das Unternehmen ins Leben gerufen, aber für die Teilnahme ist es erforderlich eine Verschwiegenheitsvereinbarung zu unterschreiben.

Die Probleme mit der Website des Unternehmens wurden behoben, ohne auf die Nachrichten der Forscher zu antworten. Oder besser gesagt, es gab eine Reaktion, die aber eher komisch ausfiel. Nachdem die Schwachstellen letzten April in die Schlagzeilen kamen, veröffentlichte das Unternehmen eine kryptische Nachricht auf seinem offiziellen Twitter-Konto: „This week’s forecast: one to three inches of nonsense. (Die Prognose für diese Woche: Ein bis drei Zoll Unsinn)“. Zur selben Zeit wurde eine Stelle für einen Sicherheitsingenieur ausgeschrieben und in der Beschreibung wurde der Eintrittstermin in Großbuchstaben angegeben: JETZT SOFORT.

Das Recht auf Reparatur

2017 veröffentlichte das VICE Magazine einen Artikel, bei dem es um die Probleme ging, mit denen sich die Besitzer von Landmaschinen der Marke John Deere auseinandersetzen müssen. Zahlreiche Sperren für sowohl Software als auch Hardware hindern die Benutzer daran die Maschinen selbst zu reparieren. Auf technischer Ebenen muss jedes Ersatzteil im Kontrollcomputer des Mähdreschers oder in der Datenbank des Verkäufers „registriert“ werden. Aber offizielle Verkäufer sind langsam und teuer. Aus diesem Grund entscheiden sich Landwirte oft für nicht offizielle Firmware, die es ihnen ermöglicht die Maschine vom Hersteller zu trennen.

Das ist ein gutes Beispiel für die Debatte rund um das Thema „Recht auf Reparatur“: Denn in diesem Fall stellte sich heraus, dass die Kunden nicht vollkommen im Besitz der gekauften Maschinen sind. Die Maschinen wurden eigentlich nur „gemietet“ (allerdings zum Kaufpreis) und die Benutzer sehen sich gezwungen den Wartungsservice des Herstellers in Anspruch zu nehmen, auch wenn sie das gar nicht möchten. Der Hersteller gibt oft die Sicherheit als Grund für dieses Verfahren an, besonders bezüglich der Notwendigkeit eine nicht zugelassene Kontrolleinheit daran zu hindern, beispielsweise die Kontrolle einer komplexen Maschine zu übernehmen. Aber Sick Codes stellt sich vollkommen berechtigt folgende Frage: Welche Sicherheit kann eine Software bieten, die solche schwerwiegenden Sicherheitslücken enthält?

Gegen Ende seines Berichtes, zeigte der Sprecher von Sick Codes das Kontrollmodul mit Qualcomm-Chip für mobile Endgeräte und zählte eine lange Liste mit kritischen Sicherheitslücken auf, die erst vor Kurzem darin gefunden wurden. Das ist natürlich kein starkes Argument, denn die Schwachstellen wurden bisher noch nicht für Exploits genutzt und die Tatsache, dass Softwarefehler gefunden wurden, sagt nicht allzu viel aus.

Denn von Bedeutung ist nicht die Anzahl der Sicherheitslücken, sondern die Fähigkeit diese schnell zu finden und umgehend zu beheben. Sick Codes versucht das Publikum davon zu überzeugen, dass moderne Landmaschinen genauso schlecht geschützt sind, wie medizinische Geräte. Ungeachtet dessen, wie viel Wahrheit darin steckt, handelt es sich um ein Problem, das in Angriff genommen werden muss, beginnend mit einem offenen Gespräch mit den Herstellern. Es kann eigentlich nur vom Interesse der Landmaschinenhersteller sein, die Warnungen der ethischen Hacker ernst zu nehmen und darauf zu reagieren, bevor sich die Cyberkriminellen in den Kampf stürzen.

Tipps