Szerencsére egyelőre csak közvetve: egy a modern John Deere-gépek érintő hiba hozta felszínre a mezőgazdasági termelésre leselkedő kiberkockázatokat.

Annyira szövevényes és átláthatatlan lett az online világ, hogy sokszor csak akkor vesszük észre, honnan jön a pofon, amikor már csattan. Nagyjából így érezhetik magukat azok a John Deere-tulajdonosok is, akik eddig legfeljebb a számítógépükön, telefonjukon stb. tárolt adatok biztonságáért aggódtak. De most kiderült, személyes adataikat a John Deere munkagépeiken keresztül is elérhetik hekkerek.

Gyorsan jött a patch

A Twitteren Sick.Codes néven publikáló biztonsági kutató egyes John Deere-gépek alkalmazásaiban és webhelyén olyan hibapárt talált, amin keresztül hekkerek hozzáférhettek a géptulajdonosok személyes adataihoz, többek között lakcíméhez. A kutató még április közepén megosztotta felfedezését a John Deere-rel, a vállalat pedig azóta mindkét hibát javította, írta a Vice. Egyelőre nem találtak arra utaló nyomokat, hogy hekkerek kihasználták volna a hibát.

A hiba súlyosságát a biztonsági kutató azzal illusztrálta a lapnak, hogy állítása szerint a világ minden egyes John Deere traktorának tulajdonosi adatait le tudta volna tölteni. Persze ez így pontatlan, mert voltaképpen a régebbi generációs munkagépeket nem érintette ez a probléma.

Veszély csak a legkorszerűbb gépek fenyegette, melyek magas fokú automatizációs támogatással rendelkeznek (GPS-alapú önvezetés, szenzorok hada stb.). A biztonsági kutató képes volt elérni az ilyen gépek tulajdonosainak minden fontos adatát, amit a gyártó cég tárolt: a tulajdonos neve, fizikai címe, a berendezés egyedi gyári azonosítóját, valamint VIN-kódját (Vehicle Identification Number, a személyautóknál például az alvázszám). Emellett akár még azt is meg lehetett tudni, hogy a tulajdonosok milyen konstrukcióban vásárolták a munkagépet, hogy állnak a részletek/lízingdíj fizetésével stb.

A John Deere szóvivője ugyanakkor azt írta a Vice-nak, hogy a hibák nem tették lehetővé illetékteleneknek a hozzáférést ügyfélfiókokhoz, sem a dealerek fiókjaihoz, valamint más érzékeny személyes információkhoz. A biztonsági kutató szerint azonban ez nem állja meg a helyét, mint mondta, a tesztek során elért érzékeny információig a vállalat rendszerében, amit bizonyítani is tudott.

A szóvivő korábban a Forbesnak azt nyilatkozta, hogy az ügyféladatok és a technológiák biztonsága minden John Deere-terméknél kiemelt fontosságú.

Nem csak adat forog kockán...

Érdekes részlete a sztorinak, hogy a sebezhetőségeket nem a gyártó, hanem a biztonsági kutató osztotta meg a közönséggel. Ez persze mindössze annyit jelent, hogy leírta: hol találta a biztonsági rést, az nagy vonalakban hogyan működik és mi a hatása (adatszivárgás). A nagy gépgyártó cégek ugyanis nem tesznek közzé sérülékenységeket úgy, mint az informatikai eszközöket, szoftvereket gyártó cégek (Common Vulnerabilities and Exposures, vagy ismertebb nevén CVE listák). Mint a Forbes írta a John Deere-ügy kapcsán, ebben nagy az egyetértés a konkurensek között, mert miközben magas fokú automatizáltság és hálózatba kapcsoltság jellemzi a berendezéseiket, sem a Caterpillar, sem a CNH Industrial, a CaseIH, a New Holland vagy a Kubota nem hozza nyilvánosságra a rendszereikben javított biztonsági réseket. A Caterpillar legalább addig eljutott, hogy van egy nyilvános szabályzata a bejelentett sebezhetőségek kezelésére.

Kiberbiztonsági szakértők szerint ez a lehető legrosszabb taktika. Abban segít, hogy elkenjen egy ezen a területen is egyre fontosabb kérdést: jó vagy rossz az adott vállalat termékeinek a kiberbiztonsága? Az informatikai gyártóknál, sőt az egyre több szotfvert tartalmazó autóiparban is ma már teljesen elfogadott, hogy a feltárt sérülékenységeket javítás után nyilvánossá teszik a patch-csomaggal együtt. Ez a rendszer növeli a felhasználók biztonságtudatosságát is.

Amerikai kiberbiztonsági szakértők szerint a mezőgazdasági gépgyártók rejtőzködő stratégiája nemcsak ezért elhibázott, mert ezek roppant drága eszközök (egy modern traktor 300 ezer dollár is lehet, míg egy nagyobb teljesítményű kombájn ára eléri az egymillió dollárt). Ha valaki tömegesen át tudja venni az irányítást ezek fölött az eszközök fölött, jelentős károkat tud okozni egy-egy ország vagy régió mezőgazdaságában, aminek globális hatása beláthatatlan.

Biztonság

Ausztrália alágyújt az MI-fejlesztőknek

Az ország miniszterelnöke csak úgy hajlandó építési engedélyt adni adatközpontoknak, ha azok a fogyasztásuknál több energiát teremtenek. A nagy nyelvi modellek fejlesztőinek pedig meg kell állapodni a helyi kreatív ipar szereplőivel.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.