技術(shù)
導(dǎo)讀:拖拉機(jī)制造商約翰迪爾(John Deere)公司的系統(tǒng)中被曝含有安全漏洞,攻擊者可以借此破壞農(nóng)作物、損害財(cái)產(chǎn)安全、影響收成甚至破壞農(nóng)田。
高科技進(jìn)入農(nóng)業(yè),提高生產(chǎn)力的同時(shí)也帶來(lái)了網(wǎng)絡(luò)風(fēng)險(xiǎn)。
拖拉機(jī)制造商約翰迪爾(John Deere)公司的系統(tǒng)中被曝含有安全漏洞,攻擊者可以借此破壞農(nóng)作物、損害財(cái)產(chǎn)安全、影響收成甚至破壞農(nóng)田。
8月8日,一名昵稱為Sick Codes的澳大利亞研究人員在拉斯維加斯的Def Con安全會(huì)議上遠(yuǎn)程展示了他的最新發(fā)現(xiàn)。攻擊者可以利用這些漏洞獲得約翰迪爾公司的運(yùn)營(yíng)中心的root權(quán)限,該運(yùn)營(yíng)中心是一個(gè)用于監(jiān)控和管理農(nóng)用設(shè)備的綜合平臺(tái)。
與他同一研究小組的John Jackson和另一個(gè)研究者Robert Willis在一個(gè)名為Pega的業(yè)務(wù)流程管理工具中發(fā)現(xiàn)了一個(gè)漏洞。Pega工具廣受歡迎并且擁有廣泛的權(quán)限,不僅可以遠(yuǎn)程監(jiān)控,而且對(duì)其他系統(tǒng)擁有管理權(quán)限。
Pega的該漏洞與未改變的默認(rèn)管理憑證有關(guān),允許遠(yuǎn)程訪問(wèn)Pega的聊天訪問(wèn)組門戶。這個(gè)漏洞允許攻擊者訪問(wèn)眾多資源,包括Pega的安全審計(jì)日志,甚至是Okta的簽名證書。研究人員還能夠?qū)С黾s翰迪爾公司的單點(diǎn)登錄SAML服務(wù)器的私鑰。
Sick Codes表示該漏洞幾乎可以讓我們向任何用戶上傳文件、以任何用戶身份登錄、上傳任何我們想要的東西、下載任何我們想要的東西、破壞任何數(shù)據(jù)、登錄任何第三方賬戶,也就是說(shuō)攻擊者可以在約翰迪爾的運(yùn)營(yíng)中心為所欲為。
然而,約翰迪爾公司在提供給《安全導(dǎo)報(bào)》的一份聲明中表示,Sick Codes聲稱能夠進(jìn)入客戶賬戶、農(nóng)藝數(shù)據(jù)、經(jīng)銷商賬戶或敏感的個(gè)人信息的主張都是不存在的,并且Sick Codes提出的問(wèn)題都不會(huì)影響正在使用的機(jī)器。
拖拉機(jī)中都含有哪些數(shù)據(jù)?
數(shù)據(jù)一直對(duì)農(nóng)業(yè)至關(guān)重要,在全球數(shù)字化轉(zhuǎn)型潮流中,農(nóng)業(yè)現(xiàn)在正以前所未有的規(guī)模為了智能農(nóng)業(yè)或精準(zhǔn)農(nóng)業(yè)收集數(shù)據(jù)。越來(lái)越多的農(nóng)場(chǎng)通過(guò) Wi-Fi、5G、無(wú)線電傳感器等監(jiān)控農(nóng)場(chǎng)的每一項(xiàng)操作并收集其數(shù)據(jù)以進(jìn)行分析。約翰迪爾的拖拉機(jī)也具有數(shù)據(jù)收集的功能。
約翰迪爾的拖拉機(jī)與我們印象中的傳統(tǒng)拖拉機(jī)有些許不同,就像現(xiàn)代汽車一樣,它運(yùn)行復(fù)雜的嵌入式專用軟件,可以連接到互聯(lián)網(wǎng),并且具有 GPS以及自主功能,甚至可以由約翰迪爾客戶服務(wù)代表遠(yuǎn)程控制,以幫助客戶解決問(wèn)題。
約翰迪爾的拖拉機(jī)不斷將數(shù)據(jù)傳輸?shù)皆贫?,包括:農(nóng)民何時(shí)坐在駕駛室中的信息、土壤中的水分含量以及收成大小的指標(biāo)等。
此外,根據(jù)約翰迪爾的說(shuō)法,目前正在銷售的拖拉機(jī)與一個(gè)名為HarvestLab的濕度傳感器監(jiān)測(cè)器和一個(gè)名為Harvest Monitor的整體監(jiān)測(cè)軟件系統(tǒng)相連接,該系統(tǒng)在顯示器上顯示實(shí)時(shí)生產(chǎn)力測(cè)量。
還有HarvestDoc軟件,它可以讀取作物數(shù)據(jù),如產(chǎn)量和GPS位置,隨后可以發(fā)送到Apex農(nóng)場(chǎng)管理軟件中進(jìn)行分析。同時(shí),還有一個(gè)叫做AutoLOC的功能,它可以讀取HarvestLab的水分讀數(shù),并對(duì)拖拉機(jī)切割作物的時(shí)間進(jìn)行調(diào)整,以達(dá)到最佳效果。
顯然,這種無(wú)縫的、持續(xù)的數(shù)據(jù)收集和分析對(duì)農(nóng)民來(lái)說(shuō)十分便捷,但是在一個(gè)單一的平臺(tái)上保存世界上所有現(xiàn)代農(nóng)場(chǎng)的數(shù)據(jù),一旦其被攻破,所帶來(lái)的大范圍數(shù)據(jù)泄露危害性可想而知。