高科技进入农业,提高生产力的同时也带来了网络风险。拖拉机制造商约翰迪尔发现了其系统中的安全漏洞,攻击者可能会利用这些漏洞破坏农作物、损害财产、影响收成甚至毁坏农田。8月8日,一位绰号为SickCodes的澳大利亚研究人员在拉斯维加斯举行的DefCon安全会议上远程展示了他的最新发现。攻击者可以利用这些漏洞获得对约翰迪尔运营中心的根访问权限,这是一个用于监控和管理农业设备的综合平台。JohnJackson和他的研究小组中的研究员RobertWillis在名为Pega的业务流程管理工具中发现了一个漏洞。Pega工具很受欢迎,权限范围很广,不仅可以远程监控,还可以对其他系统进行管理权限。Pega漏洞与未更改的默认管理员凭据有关,允许远程访问Pega的聊天访问组门户。该漏洞允许攻击者访问大量资源,包括Pega的安全审计日志,甚至Okta的签名证书。研究人员还能够导出约翰迪尔单点登录SAML服务器的私钥。SickCodes说这个漏洞允许我们向几乎任何用户上传文件,以任何用户身份登录,上传任何我们想要的东西,下载任何我们想要的东西,破坏任何数据,登录任何第三方帐户,也就是说攻击者可以在JohnDeere运营中心为所欲为。不过,约翰迪尔在提供给《安全导报》的一份声明中表示,SickCodes声称可以访问客户账户、农艺数据、经销商账户或敏感个人信息的所有问题都不会影响正在使用的机器。拖拉机中有哪些数据?数据一直对农业至关重要,在全球数字化转型中,农业正在以前所未有的规模收集智能农业或精准农业的数据。越来越多的农场正在监控农场的每项操作,并通过Wi-Fi、5G、无线电传感器等收集数据进行分析。约翰迪尔拖拉机还具有数据收集功能。约翰迪尔拖拉机与我们印象中的传统拖拉机有点不同。就像现代汽车一样,它们运行复杂的嵌入式专用软件,可以连接到互联网,具有GPS和自主功能,甚至可以供约翰迪尔客户使用。远程控制服务代表以帮助客户解决问题。JohnDeere拖拉机不断将数据传输到云端,包括有关农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标。此外,根据JohnDeere的说法,目前销售的拖拉机连接到一个名为HarvestLab的湿度传感器监视器和一个名为HarvestMonitor的整体监控软件系统,该系统在显示屏上显示实时生产力测量值。还有HarvestDoc软件,可以读取产量和GPS位置等作物数据,然后可以将这些数据发送到Apex农场管理软件进行分析。还有一个称为AutoLOC的功能,它从HarvestLab获取水分读数,并在拖拉机切割作物时进行调整以获得最佳效果。显然,这种无缝、连续的数据收集和分析对农民来说非常方便,但全球所有现代农场的数据都存储在一个单一的平台上,一旦被攻破,将带来大规模的数据泄露。危险可想而知。
