Sebuah jailbreak baru untuk traktor John Deere naik gelombang hak-untuk-perbaikan

Petani di seluruh dunia telah beralih ke peretasan traktor sehingga mereka dapat melewati kunci digital yang diterapkan pabrikan pada kendaraan mereka. Seperti “loop” pompa insulin dan jailbreaking iPhone, ini memungkinkan petani untuk memodifikasi dan memperbaiki peralatan mahal yang penting untuk pekerjaan mereka, seperti yang bisa mereka lakukan dengan traktor analog. Pada konferensi keamanan DefCon di Las Vegas pada hari Sabtu, peretas yang dikenal sebagai Sick Codes menghadirkan jailbreak baru untuk traktor John Deere & Co. yang memungkinkannya mengendalikan beberapa model melalui layar sentuh mereka.

Temuan ini menggarisbawahi implikasi keamanan dari gerakan hak untuk memperbaiki. Eksploitasi traktor yang ditemukan oleh Sick Codes bukanlah serangan jarak jauh, tetapi kerentanan yang terlibat mewakili ketidakamanan mendasar dalam perangkat yang dapat dieksploitasi oleh aktor jahat atau berpotensi dirantai dengan kerentanan lain. Mengamankan industri pertanian dan rantai pasokan makanan sangat penting, seperti yang ditunjukkan oleh insiden seperti serangan ransomware JBS Meat 2021. Namun, pada saat yang sama, kerentanan seperti yang ditemukan oleh Sick Codes membantu petani melakukan apa yang perlu mereka lakukan dengan peralatan mereka sendiri.

John Deere tidak menanggapi permintaan WIRED untuk memberikan komentar tentang penelitian tersebut.

Sebuah jailbreak baru untuk traktor John Deere naik gelombang hak-untuk-perbaikan

Sick Codes, seorang Australia yang tinggal di Asia, mempresentasikan di DefCon pada tahun 2021 tentang antarmuka pemrograman aplikasi traktor dan bug sistem operasi. Setelah dia mempublikasikan penelitiannya, perusahaan traktor, termasuk John Deere, mulai memperbaiki beberapa kekurangannya. “Sisi hak untuk memperbaiki sedikit bertentangan dengan apa yang saya coba lakukan,” katanya kepada WIRED. “Saya mendengar dari beberapa petani; satu orang mengirim email kepada saya dan berkata ‘Kamu mengacaukan semua barang kami!’ Jadi saya pikir saya akan menaruh uang saya di mana mulut saya dan benar-benar membuktikan kepada petani bahwa mereka dapat membasmi perangkat.”

Tahun ini, Sick Codes mengatakan bahwa meskipun dia terutama prihatin dengan ketahanan pangan dunia dan paparan yang berasal dari peralatan pertanian yang rentan, dia juga melihat nilai penting dalam membiarkan petani sepenuhnya mengendalikan peralatan mereka sendiri. “Bebaskan traktor!” dia berkata.

Setelah bertahun-tahun kontroversi di AS mengenai “hak untuk memperbaiki” peralatan yang dibeli, gerakan itu tampaknya telah mencapai titik balik. Gedung Putih mengeluarkan perintah eksekutif tahun lalu yang mengarahkan Komisi Perdagangan Federal untuk meningkatkan upaya penegakan hukum atas praktik-praktik seperti membatalkan jaminan untuk perbaikan luar. Itu, dikombinasikan dengan negara bagian New York yang mengesahkan undang-undang hak untuk memperbaikinya sendiri dan tekanan aktivis kreatif, telah menghasilkan momentum yang belum pernah terjadi sebelumnya bagi gerakan tersebut.

Menghadapi tekanan yang meningkat, John Deere mengumumkan pada bulan Maret bahwa mereka akan membuat lebih banyak perangkat lunak perbaikannya tersedia bagi pemilik peralatan. Perusahaan juga mengatakan pada saat itu bahwa mereka akan merilis “solusi pelanggan yang ditingkatkan” tahun depan sehingga pelanggan dan mekanik dapat mengunduh dan menerapkan pembaruan perangkat lunak resmi untuk peralatan Deere sendiri, daripada meminta John Deere secara sepihak menerapkan patch dari jarak jauh atau memaksa petani untuk membawa produk ke dealer resmi.

“Petani lebih memilih peralatan yang lebih tua hanya karena mereka menginginkan keandalan. Mereka tidak ingin terjadi kesalahan pada bagian terpenting tahun ini ketika mereka harus mengeluarkan barang dari tanah,” kata Sick Codes. “Jadi itulah yang seharusnya kita semua inginkan juga. Kami ingin petani dapat memperbaiki barang-barang mereka ketika terjadi kesalahan, dan sekarang itu berarti dapat memperbaiki atau membuat keputusan tentang perangkat lunak di traktor mereka.”

Untuk mengembangkan jailbreak-nya, Sick Codes mendapatkan banyak generasi konsol layar sentuh kontrol traktor John Deere. Tapi akhirnya dia fokus pada beberapa model, termasuk model 2630 dan 4240 yang banyak digunakan, untuk eksploitasi yang dia presentasikan. Butuh eksperimen pada sejumlah papan sirkuit layar sentuh selama berbulan-bulan untuk menemukan jalan pintas ke persyaratan otentikasi dealer John Deere, tetapi akhirnya Sick Codes dapat melakukan pemeriksaan reboot untuk memulihkan perangkat seolah-olah sedang diakses oleh dealer bersertifikat.

Dia menemukan bahwa ketika sistem mengira itu dalam lingkungan seperti itu, itu akan menawarkan log senilai lebih dari 1,5 GB yang dimaksudkan untuk membantu penyedia layanan resmi mendiagnosis masalah. Log juga mengungkapkan jalur ke serangan waktu potensial lain yang mungkin memberikan akses lebih dalam. Sick Codes menyolder pengontrol langsung ke papan sirkuit dan akhirnya mendapatkan serangannya untuk melewati perlindungan sistem.

“Saya melancarkan serangan, dan dua menit kemudian sebuah terminal muncul,” kata Sick Codes tentang program yang digunakan untuk mengakses antarmuka baris perintah komputer. “Saya memiliki akses root, yang jarang terjadi di tanah Deere.”

Pendekatan ini membutuhkan akses fisik ke papan sirkuit, tetapi Sick Codes mengatakan akan mungkin untuk mengembangkan alat berdasarkan kerentanan untuk lebih mudah menjalankan jailbreak. Sebagian besar dia mengatakan dia ingin tahu bagaimana reaksi John Deere. Dia tidak yakin seberapa komprehensif perusahaan dapat menambal kekurangan tanpa menerapkan enkripsi disk penuh, tambahan yang berarti perbaikan sistem yang signifikan dalam desain traktor baru dan kemungkinan tidak akan digunakan pada peralatan yang ada.

Prioritas pertama? Menjalankan kustom bertema pertanian Malapetaka pada traktor, tentu saja.

Cerita ini awalnya muncul di wired.com.

Leave a Comment