Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
IoT Hackerları ‘Akıllı’ Çiftçileri ve Veterinerleri Hayvan Refahı Konusunda Kandırmak İçin Veri Enjekte Edebilir
Mathew J. Schwartz (euroinfosec) •
27 Kasım 2023
Süt inekleri bile nesnelerin internetindeki kusurlara karşı güvende görünmüyor.
Ayrıca bakınız: OT-CERT: KOBİ’lerin Siber Güvenlik Risklerini Ele Almalarına Olanak Sağlıyoruz
Çiftçiler, birçok farklı türde tarımsal uygulamayı daha kolay yönetmeye ve izlemeye yardımcı olmak için sensörler kullanırken, Bristol Üniversitesi’nden oluşan üçlü siber-fiziksel güvenlik araştırmacıları, “akıllı” tarım cihazlarının, şifreleme ve güvenlik önlemleri kullanılarak korunmadıkları sürece dijital güvenlik riskleri oluşturabileceği konusunda uyarıyor. sıklıkla eksik kalan diğer güvenlik önlemleri.
Çiftçiler Holstein Friesian’larını Jersey’lerinden veya Guernsey’lerinden tanıyorlar ancak hangi tarım teknolojisi ürünlerinin tasarım açısından güvenli olduğunu veya herhangi bir güvenlik kontrolünün ne kadar etkili olabileceğini bilmelerinin hiçbir yolu yok.
Bu, araştırmacı Sam Barnes-Thornton’un Pazar günü Kopenhag’da düzenlenen 5. CPS ve IoT Güvenliği ve Gizliliği Ortak Çalıştayında sunduğu “Güvensiz İneklerin İnterneti – Süt Çiftçiliği için Kullanılan Kablosuz Akıllı Cihazların Güvenlik Analizi” makalesinden bir çıkarımdır. Danimarka.
Bristol siber-fiziksel sistem araştırmacıları, hayvanların sağlığı hakkındaki bilgileri yazılım izleme araçlarını besleyen bir alıcıya yönlendirmek için inşa edilmiş bir marka inek izleme tasması üzerinde çalıştı. Sistemin şifrelenmemiş verilere dayanan kablosuz protokollerine ters mühendislik uygulayabildiklerini, böylece alıcılara sahte veriler göndermelerine ve sensörler tarafından paylaşılan verileri izlemelerine olanak sağladığını bildirdiler.
Rustik şöhretine rağmen tarım, ağ bağlantılı sensörlerin benimsenmesinde ön sıralarda yer alıyor. Sigorta pazarı devi Lloyds ve University College London, 2018’de yaptıkları bir araştırmada, çiftçilerin verimleri daha iyi yönetmek için “toprak, hava durumu ve makine sensörlerinin bir kombinasyonu yoluyla” büyük veri ve kullanımla desteklenen IoT cihazlarının benimsenmesinde hızlı bir artış öngördü. Kalıpları tespit etmek ve uygulamaları iyileştirmeye yardımcı olmak için yapay zekanın kullanılması.
Teknolojinin bu şekilde benimsenmesi, siber güvenlik risklerine ilişkin farkındalıkla eşleşmiyor. Araştırmacılar tarım teknolojisi cihazlarındaki ciddi güvenlik açıklarını bulmaya ve bildirmeye devam ediyor. 2021’de bir araştırmacı, John Deere tarafından geliştirilen çiftlik yönetimi yazılımında, bir saldırganın bağlı bir püskürtücüden salınan kimyasalların miktarını uzaktan değiştirmesine veya traktör devi olmasına rağmen traktörü engellere veya nehirlere sürmesine olanak sağladığını söylediği kusurlar buldu. bu bulgulara itiraz etti (bkz: John Deere Sistemlerindeki Kusurlar Tarımın Siber Riskini Gösteriyor).
Bristol araştırmacıları, bu tür bir dinlemenin, bir saldırganın hayvanların sağlık verilerini toplamasına izin verebileceği konusunda uyardı; ancak bu, herhangi bir risk teşkil ediyor gibi görünüyor.
Verilerin inek izleme yazılımına enjekte edilmesinin “daha ciddi” sonuçlara yol açabileceğini söylediler. “Saldırılar çiftçilere ve veterinerlere yanlış bilgi verilmesine neden oluyor” dediler ve saldırının hayvanları doğrudan etkilemediğini vurguladılar.
“Faaliyet verileri sağlığı izlemek için kullanılıyor ve özellikle hayvanların en iyi şekilde yetiştirilmesine olanak sağlamak için kızgınlık tespitinin bir parçası olarak kullanılıyor” dediler. “Bu verilerin tahrif edilmesi, çiftçilerin ve veterinerlerin bu tür izleme sistemlerinin sağladığı avantajları kaybetmesine yol açabilir ve bu da çok dar marjlara sahip bir sektörde gelir kaybına yol açabilir.”
Birleşik Krallık hükümeti, yerli tarım da dahil olmak üzere gıda tedarikini, kritik ulusal altyapıyı oluşturan 13 sektörden biri olarak görüyor. Birleşik Krallık’taki arazinin yaklaşık %69’u tarım amaçlı kullanılıyor ve 2021 itibarıyla Birleşik Krallık, ev tabaklarında görünen gıdanın yaklaşık %54’ünü üretiyordu.
Kötü niyetli aktörler süt ürünleri izleme sistemine yanlış veri eklemeye çalışsa da çalışmasa da, araştırma, bu tür güvenlik önlemlerinin kolayca entegre edilebileceği bir durumda, hiçbir güvenlik önleminin onları bunu yapmaktan alıkoymadığını vurguluyor.
Araştırmacılar, “nispeten basit güvenlik açıklarını” Mart ayında üreticiye bildirdiklerini ve üreticinin aynı gün yanıt verdiğini ve cihazın gelecekteki sürümlerinin tüm verileri şifreleyeceğini söylediğini ancak bunun ne zaman gerçekleşebileceği belirsizliğini koruduğunu söyledi. Mevcut tasmalar güncellenemez; yalnızca bunların değiştirilmesi çiftçilere daha güvenli bir sürüm sağlayacaktır. “Bu potansiyel gecikme ve hayvan refahına yönelik potansiyel risk nedeniyle satıcı ve ürünlere ilişkin ayrıntıları bu yazıda saklamaya karar verdik” dediler.
Araştırmacılar, her bir tasmanın her iletimi saymasına ve ona sürekli kod görevi görebilecek benzersiz, artan bir sayı atamasına dayalı olarak kullanılabilecek geçici bir güvenlik tekniği buldular. “Veri kullanılmayan bir sayaçla enjekte edilirse, eninde sonunda tasma aynı sayaçla meşru bir paket iletecektir” dediler. “Sistem yinelenen sayaçlar tespit ederse, sisteme veri enjekte edildiğini belirten bir alarm verilebilir.”
Araştırmacılar, üreticinin bir tarım teknolojisi hata ödülü veya güvenlik açığı açıklama programından yoksun olduğunu, ancak diğer iş kolları için bu programlara sahip olduğunu söyledi ve bunu, siber güvenlik açısından hala “olgunluktan yoksun” bir endüstrinin tipik bir örneği olarak tanımladılar. Daha ciddi kusurların bulunacağı kesinliği göz önüne alındığında, tüm tarım teknolojisi satıcılarını, ürünlerindeki güvenlik açıklarını bildirmenin net yollarını bulmaya çağırdılar.
Tarım sektörüne yönelik siber güvenlik uyarıları yeni değil. FBI, 2016 yılında akıllı tarımın (yani daha verimli tarım uygulamalarını desteklemek için dijital verilerin kullanılmasının) daha fazla benimsenmesinin, gıda ve tarım sektörüne yönelik çevrimiçi saldırılarda bir artışı tetikleyebileceği konusunda uyarmıştı.
Fiziksel Hırsızlık Endişeleri
İngiltere’nin Manchester kentindeki danışmanlık şirketi NCC Group, 2019 tarihli bir raporunda, bilgisayar korsanlarının çiftlik yönetim yazılımına uzaktan erişim elde etmelerine, herhangi bir çiftlikteki ekipmanı numaralandırmalarına ve bunları çalmalarına yardımcı olabileceği uyarısında bulunarak, hacktivistlerin de bir tehdit oluşturabileceğini ekledi.
Raporda çiftçiler için “veri gizliliği, organize suç çetelerinin fiziksel hırsızlığı ve hayvan refahı aktivistleriyle ilgili endişeler temel endişeler” olarak belirtiliyor. “Önemli düzeyde tarımsal araç hırsızlığı var; ekipmanlar organize suç çeteleri tarafından hedef alınıyor ve yurt dışına satılıyor.” Fidye yazılımı da bir tehdit olmaya devam ediyor.
Tarım sektörü daha dijitalleştirilmiş uygulamaları benimsedikçe NCC Group, tarım için kullanılan otonom kara araçları ve otomatik sağım salonları da dahil olmak üzere otomatik operasyonların siber güvenliğinin sağlanmasının hayati önem taşıdığını söyledi.