導(dǎo)讀:拖拉機(jī)制造商約翰迪爾(John Deere)公司的系統(tǒng)中被曝含有安全漏洞,攻擊者可以借此破壞農(nóng)作物、損害財產(chǎn)安全、影響收成甚至破壞農(nóng)田。
高科技進(jìn)入農(nóng)業(yè),提高生產(chǎn)力的同時也帶來了網(wǎng)絡(luò)風(fēng)險。
拖拉機(jī)制造商約翰迪爾(John Deere)公司的系統(tǒng)中被曝含有安全漏洞,攻擊者可以借此破壞農(nóng)作物、損害財產(chǎn)安全、影響收成甚至破壞農(nóng)田。
8月8日,一名昵稱為Sick Codes的澳大利亞研究人員在拉斯維加斯的Def Con安全會議上遠(yuǎn)程展示了他的最新發(fā)現(xiàn)。攻擊者可以利用這些漏洞獲得約翰迪爾公司的運(yùn)營中心的root權(quán)限,該運(yùn)營中心是一個用于監(jiān)控和管理農(nóng)用設(shè)備的綜合平臺。
與他同一研究小組的John Jackson和另一個研究者Robert Willis在一個名為Pega的業(yè)務(wù)流程管理工具中發(fā)現(xiàn)了一個漏洞。Pega工具廣受歡迎并且擁有廣泛的權(quán)限,不僅可以遠(yuǎn)程監(jiān)控,而且對其他系統(tǒng)擁有管理權(quán)限。
Pega的該漏洞與未改變的默認(rèn)管理憑證有關(guān),允許遠(yuǎn)程訪問Pega的聊天訪問組門戶。這個漏洞允許攻擊者訪問眾多資源,包括Pega的安全審計日志,甚至是Okta的簽名證書。研究人員還能夠?qū)С黾s翰迪爾公司的單點(diǎn)登錄SAML服務(wù)器的私鑰。
Sick Codes表示該漏洞幾乎可以讓我們向任何用戶上傳文件、以任何用戶身份登錄、上傳任何我們想要的東西、下載任何我們想要的東西、破壞任何數(shù)據(jù)、登錄任何第三方賬戶,也就是說攻擊者可以在約翰迪爾的運(yùn)營中心為所欲為。
然而,約翰迪爾公司在提供給《安全導(dǎo)報》的一份聲明中表示,Sick Codes聲稱能夠進(jìn)入客戶賬戶、農(nóng)藝數(shù)據(jù)、經(jīng)銷商賬戶或敏感的個人信息的主張都是不存在的,并且Sick Codes提出的問題都不會影響正在使用的機(jī)器。
拖拉機(jī)中都含有哪些數(shù)據(jù)?
數(shù)據(jù)一直對農(nóng)業(yè)至關(guān)重要,在全球數(shù)字化轉(zhuǎn)型潮流中,農(nóng)業(yè)現(xiàn)在正以前所未有的規(guī)模為了智能農(nóng)業(yè)或精準(zhǔn)農(nóng)業(yè)收集數(shù)據(jù)。越來越多的農(nóng)場通過 Wi-Fi、5G、無線電傳感器等監(jiān)控農(nóng)場的每一項操作并收集其數(shù)據(jù)以進(jìn)行分析。約翰迪爾的拖拉機(jī)也具有數(shù)據(jù)收集的功能。
約翰迪爾的拖拉機(jī)與我們印象中的傳統(tǒng)拖拉機(jī)有些許不同,就像現(xiàn)代汽車一樣,它運(yùn)行復(fù)雜的嵌入式專用軟件,可以連接到互聯(lián)網(wǎng),并且具有 GPS以及自主功能,甚至可以由約翰迪爾客戶服務(wù)代表遠(yuǎn)程控制,以幫助客戶解決問題。
約翰迪爾的拖拉機(jī)不斷將數(shù)據(jù)傳輸?shù)皆贫?,包括:農(nóng)民何時坐在駕駛室中的信息、土壤中的水分含量以及收成大小的指標(biāo)等。
此外,根據(jù)約翰迪爾的說法,目前正在銷售的拖拉機(jī)與一個名為HarvestLab的濕度傳感器監(jiān)測器和一個名為Harvest Monitor的整體監(jiān)測軟件系統(tǒng)相連接,該系統(tǒng)在顯示器上顯示實(shí)時生產(chǎn)力測量。
還有HarvestDoc軟件,它可以讀取作物數(shù)據(jù),如產(chǎn)量和GPS位置,隨后可以發(fā)送到Apex農(nóng)場管理軟件中進(jìn)行分析。同時,還有一個叫做AutoLOC的功能,它可以讀取HarvestLab的水分讀數(shù),并對拖拉機(jī)切割作物的時間進(jìn)行調(diào)整,以達(dá)到最佳效果。
顯然,這種無縫的、持續(xù)的數(shù)據(jù)收集和分析對農(nóng)民來說十分便捷,但是在一個單一的平臺上保存世界上所有現(xiàn)代農(nóng)場的數(shù)據(jù),一旦其被攻破,所帶來的大范圍數(shù)據(jù)泄露危害性可想而知。