“Cibercrime rural”: brecha permite invadir sistemas de tratores conectados
Por Felipe Demartini | Editado por Claudio Yuge | 16 de Agosto de 2022 às 17h20
Em um mundo em que tudo é conectado, os tratores também podem ser. A tecnologia é uma aliada importante dos agricultores, mas também pode representar vias de controle para fabricantes de veículos e ameaças cibernéticas a negócios essenciais, como a indústria de alimentos. Um desbloqueio apresentado por um especialista em segurança trafega entre essas duas vertentes, além de revelar falhas críticas de segurança.
- Golpe de e-commerce popular no Brasil vira campanha global de roubo de cartões
- Três gangues de ransomware realizaram ataques consecutivos contra mesma vítima
A prova de conceito apresentada pelo hacker que se autointitula como Sick Codes neste final de semana, na conferência DefCon, mostrou como a raiz do sistema de tratores da marca John Deere & Co. pode ser acessada diretamente a partir da tela sensível ao toque disponível em modelos mais modernos. Ao destravar a tecnologia, ele fez o que qualquer especialista do tipo faria: mostrou que é possível rodar o game de tiro Doom, bem como outros tipos de softwares criados especialmente para a plataforma.
A fala de Sick Codes se relaciona diretamente ao “direito ao reparo”, um conceito bastante popular na indústria de tecnologia americana, principalmente, por se referir à dificuldade de conserto de dispositivos modernos fora de centros autorizados pelos fabricantes. A segurança é a razão mais citada para tais impedimentos, que normalmente acompanham altos preços, enquanto os usuários e até discussões judiciais pedem por mais abertura a outros especialistas.
Ao se debruçar sobre a questão, o hacker analisou as placas de circuito de modelos mais recentes de tratores da John Deere, encontrando aberturas nas travas colocadas por revendedores oficiais da marca até conseguir reiniciar a tela sensível ao toque às suas configurações de fábrica. Antes disso, ele notou mais de 1,5 GB de registros de erros e problemas que poderiam ser acessados apenas por centros de reparo especializados e auxiliariam na detecção de falhas do sistema.
Depois, bastou soldar um controlador para ter acesso à raiz e ao terminal de desenvolvimento, o que permitiria a instalação de softwares customizados e, o intuito real, a realização do jailbreak nos tratores. No processo, ele também disse ter encontrado uma série de vulnerabilidades de segurança que poderiam levar a ataques mais devastadores do que o seu processo de desbloqueio, em algo que deveria levantar a preocupação de setores de proteção digital ligados às empresas de infraestrutura e serviços básicos.
A ideia de Sick Codes é que todo o processo, que levou três meses para ser completado, possa ser simplificado por meio de chips e instalações diretas, aos moldes do que acontece com consoles de vídeo game, por exemplo. Mais do que isso, seu objetivo é dar mais liberdade aos agricultores na manipulação dos próprios veículos, ainda que, como já dá para imaginar, a própria fabricante vá agir contra esse tipo de movimento; ela ainda não se pronunciou sobre a apresentação.
Anteriormente, em resposta aos clamores dos proprietários dos tratores, a John Deere já havia anunciado que disponibilizaria softwares de reparo e soluções customizadas de softwares para os consumidores até 2023. O principal foco está na aplicação de atualizações pelos próprios donos, sem a necessidade de levar os veículos a concessionárias ou centros de assistência técnica; possibilidades de acesso mais profundo, entretanto, não foram confirmadas.