黑客利用拖拉机可以做什么?乱开车

黑客利用拖拉机可以做什么?乱开车

编程入门访客2021-10-10 23:55:0010545A+A-

高科技进入农业,提高生产力的同时也带来了网络风险。

拖拉机制造商约翰迪尔(John Deere)公司的系统中被曝含有安全漏洞,攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。

8月8日,一名昵称为Sick Codes的澳大利亚研究人员在拉斯维加斯的Def Con安全会议上远程展示了他的最新发现。攻击者可以利用这些漏洞获得约翰迪尔公司的运营中心的root权限,该运营中心是一个用于监控和管理农用设备的综合平台。

与他同一研究小组的John Jackson和另一个研究者Robert Willis在一个名为Pega的业务流程管理工具中发现了一个漏洞。Pega工具广受欢迎并且拥有广泛的权限,不仅可以远程监控,而且对其他系统拥有管理权限。

Pega的该漏洞与未改变的默认管理凭证有关,允许远程访问Pega的聊天访问组门户。这个漏洞允许攻击者访问众多资源,包括Pega的安全审计日志,甚至是Okta的签名证书。研究人员还能够导出约翰迪尔公司的单点登录SAML服务器的私钥

Sick Codes表示该漏洞几乎可以让我们向任何用户上传文件、以任何用户身份登录、上传任何我们想要的东西、下载任何我们想要的东西、破坏任何数据、登录任何第三方账户,也就是说攻击者可以在约翰迪尔的运营中心为所欲为。

然而,约翰迪尔公司在提供给《安全导报》的一份声明中表示,Sick Codes声称能够进入客户账户、农艺数据、经销商账户或敏感的个人信息的主张都是不存在的,并且Sick Codes提出的问题都不会影响正在使用的机器。

拖拉机中都含有哪些数据?

数据一直对农业至关重要,在全球数字化转型潮流中,农业现在正以前所未有的规模为了智能农业或精准农业收集数据。越来越多的农场通过 Wi-Fi、5G、无线电传感器等监控农场的每一项操作并收集其数据以进行分析。约翰迪尔的拖拉机也具有数据收集的功能。

约翰迪尔的拖拉机与我们印象中的传统拖拉机有些许不同,就像现代汽车一样,它运行复杂的嵌入式专用软件,可以连接到互联网,并且具有 GPS以及自主功能,甚至可以由约翰迪尔客户服务代表远程控制,以帮助客户解决问题。

约翰迪尔的拖拉机不断将数据传输到云端,包括:农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标等。

此外,根据约翰迪尔的说法,目前正在销售的拖拉机与一个名为HarvestLab的湿度传感器监测器和一个名为Harvest Monitor的整体监测软件系统相连接,该系统在显示器上显示实时生产力测量。

还有HarvestDoc软件,它可以读取作物数据,如产量和GPS位置,随后可以发送到Apex农场管理软件中进行分析。同时,还有一个叫做AutoLOC的功能,它可以读取HarvestLab的水分读数,并对拖拉机切割作物的时间进行调整,以达到最佳效果。

显然,这种无缝的、持续的数据收集和分析对农民来说十分便捷,但是在一个单一的平台上保存世界上所有现代农场的数据,一旦其被攻破,所带来的大范围数据泄露危害性可想而知。

参考

https://www.inforisktoday.com/flaws-in-john-deere-systems-show-agricultures-cyber-risk-a-17240

https://threatpost.com/connected-farms-food-supply-chain-hack/168547/

来源:FreeBuf.COM

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 只影并安2022-05-30 18:27:27
  • 斯的Def Con安全会议上远程展示了他的最新发现。攻击者可以利用这些漏洞获得约翰迪尔公司的运营中心的root权限,该运营中心是一个用于监控和管理农用设备的综合平台。与他同一研究小组的John Jackson和另一个研究者Robert Willis在一个
  • 颜于嘻友2022-05-30 12:40:42
  • 拉机切割作物的时间进行调整,以达到最佳效果。显然,这种无缝的、持续的数据收集和分析对农民来说十分便捷,但是在一个单一的平台上保存世界上所有现代农场的数据,一旦其被攻破,所带来的大范围数据泄露危害性可想而知。参考https://w
  • 只影辞取2022-05-30 10:25:55
  • 高科技进入农业,提高生产力的同时也带来了网络风险。拖拉机制造商约翰迪尔(John Deere)公司的系统中被曝含有安全漏洞,攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。8月8日,一名昵称为Sick Codes
  • 颜于酷腻2022-05-30 07:51:01
  • 西、破坏任何数据、登录任何第三方账户,也就是说攻击者可以在约翰迪尔的运营中心为所欲为。然而,约翰迪尔公司在提供给《安全导报》的一份声明中表示,Sick Codes声称能够进入客户账户、农艺数据、经销商账户或敏感的个人信息的主张都是不存在的,并且Sic
  • 囤梦淤浪2022-05-30 09:03:26
  • 它可以读取作物数据,如产量和GPS位置,随后可以发送到Apex农场管理软件中进行分析。同时,还有一个叫做AutoLOC的功能,它可以读取HarvestLab的水分

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理