Szerencsére egyelőre csak közvetve: egy a modern John Deere-gépek érintő hiba hozta felszínre a mezőgazdasági termelésre leselkedő kiberkockázatokat.

Annyira szövevényes és átláthatatlan lett az online világ, hogy sokszor csak akkor vesszük észre, honnan jön a pofon, amikor már csattan. Nagyjából így érezhetik magukat azok a John Deere-tulajdonosok is, akik eddig legfeljebb a számítógépükön, telefonjukon stb. tárolt adatok biztonságáért aggódtak. De most kiderült, személyes adataikat a John Deere munkagépeiken keresztül is elérhetik hekkerek.

Gyorsan jött a patch

A Twitteren Sick.Codes néven publikáló biztonsági kutató egyes John Deere-gépek alkalmazásaiban és webhelyén olyan hibapárt talált, amin keresztül hekkerek hozzáférhettek a géptulajdonosok személyes adataihoz, többek között lakcíméhez. A kutató még április közepén megosztotta felfedezését a John Deere-rel, a vállalat pedig azóta mindkét hibát javította, írta a Vice. Egyelőre nem találtak arra utaló nyomokat, hogy hekkerek kihasználták volna a hibát.

A hiba súlyosságát a biztonsági kutató azzal illusztrálta a lapnak, hogy állítása szerint a világ minden egyes John Deere traktorának tulajdonosi adatait le tudta volna tölteni. Persze ez így pontatlan, mert voltaképpen a régebbi generációs munkagépeket nem érintette ez a probléma.

Veszély csak a legkorszerűbb gépek fenyegette, melyek magas fokú automatizációs támogatással rendelkeznek (GPS-alapú önvezetés, szenzorok hada stb.). A biztonsági kutató képes volt elérni az ilyen gépek tulajdonosainak minden fontos adatát, amit a gyártó cég tárolt: a tulajdonos neve, fizikai címe, a berendezés egyedi gyári azonosítóját, valamint VIN-kódját (Vehicle Identification Number, a személyautóknál például az alvázszám). Emellett akár még azt is meg lehetett tudni, hogy a tulajdonosok milyen konstrukcióban vásárolták a munkagépet, hogy állnak a részletek/lízingdíj fizetésével stb.

A John Deere szóvivője ugyanakkor azt írta a Vice-nak, hogy a hibák nem tették lehetővé illetékteleneknek a hozzáférést ügyfélfiókokhoz, sem a dealerek fiókjaihoz, valamint más érzékeny személyes információkhoz. A biztonsági kutató szerint azonban ez nem állja meg a helyét, mint mondta, a tesztek során elért érzékeny információig a vállalat rendszerében, amit bizonyítani is tudott.

A szóvivő korábban a Forbesnak azt nyilatkozta, hogy az ügyféladatok és a technológiák biztonsága minden John Deere-terméknél kiemelt fontosságú.

Nem csak adat forog kockán...

Érdekes részlete a sztorinak, hogy a sebezhetőségeket nem a gyártó, hanem a biztonsági kutató osztotta meg a közönséggel. Ez persze mindössze annyit jelent, hogy leírta: hol találta a biztonsági rést, az nagy vonalakban hogyan működik és mi a hatása (adatszivárgás). A nagy gépgyártó cégek ugyanis nem tesznek közzé sérülékenységeket úgy, mint az informatikai eszközöket, szoftvereket gyártó cégek (Common Vulnerabilities and Exposures, vagy ismertebb nevén CVE listák). Mint a Forbes írta a John Deere-ügy kapcsán, ebben nagy az egyetértés a konkurensek között, mert miközben magas fokú automatizáltság és hálózatba kapcsoltság jellemzi a berendezéseiket, sem a Caterpillar, sem a CNH Industrial, a CaseIH, a New Holland vagy a Kubota nem hozza nyilvánosságra a rendszereikben javított biztonsági réseket. A Caterpillar legalább addig eljutott, hogy van egy nyilvános szabályzata a bejelentett sebezhetőségek kezelésére.

Kiberbiztonsági szakértők szerint ez a lehető legrosszabb taktika. Abban segít, hogy elkenjen egy ezen a területen is egyre fontosabb kérdést: jó vagy rossz az adott vállalat termékeinek a kiberbiztonsága? Az informatikai gyártóknál, sőt az egyre több szotfvert tartalmazó autóiparban is ma már teljesen elfogadott, hogy a feltárt sérülékenységeket javítás után nyilvánossá teszik a patch-csomaggal együtt. Ez a rendszer növeli a felhasználók biztonságtudatosságát is.

Amerikai kiberbiztonsági szakértők szerint a mezőgazdasági gépgyártók rejtőzködő stratégiája nemcsak ezért elhibázott, mert ezek roppant drága eszközök (egy modern traktor 300 ezer dollár is lehet, míg egy nagyobb teljesítményű kombájn ára eléri az egymillió dollárt). Ha valaki tömegesen át tudja venni az irányítást ezek fölött az eszközök fölött, jelentős károkat tud okozni egy-egy ország vagy régió mezőgazdaságában, aminek globális hatása beláthatatlan.

Biztonság

Bóják állnak az autonóm vezetés útjába

A Waymo éles körülmények között dolgozó autójának nehéz napja volt. Az önvezető rendszer képtelen volt kezelni a sávterelő bóják jelentette "extrém" forgalmi helyzetet.
 
A Dell szerverportfóliója nem csak a hagyományos Intel-fronton erősödött, hanem az AMD jelentős újításait is felvonultatja.

a melléklet támogatója a Dell Magyarország

Ha bővítené tudását és fejlődne a digitális transzformáció területén, látogasson el a Transformation-experts.hu oldalra, ahol egy gyors regisztráció után inspiráló cikkek, esettanulmányok, prezentációk, videók és egyéb szakértői anyagok széles tárházához kap hozzáférést.

Minősített szolgáltatók, hosterek és globális piaci szereplők együtt szolgálhatják ki a vállalatok növekvő igényeit. Áttekintettük ezt a gyorsan változó piacot két szakértővel.

a melléklet támogatója az Invitech

...az pedig sokkal gyorsabb, ha mindent csak egyszer, vagy még egyszer sem kell személyesen elvégezni. Májusi mellékletünk második része az IT-infrastruktúra automatizálásáról.

a melléklet támogatója az EURO ONE Számítástechnikai Zrt.

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.