Annyira szövevényes és átláthatatlan lett az online világ, hogy sokszor csak akkor vesszük észre, honnan jön a pofon, amikor már csattan. Nagyjából így érezhetik magukat azok a John Deere-tulajdonosok is, akik eddig legfeljebb a számítógépükön, telefonjukon stb. tárolt adatok biztonságáért aggódtak. De most kiderült, személyes adataikat a John Deere munkagépeiken keresztül is elérhetik hekkerek.

Gyorsan jött a patch

A Twitteren Sick.Codes néven publikáló biztonsági kutató egyes John Deere-gépek alkalmazásaiban és webhelyén olyan hibapárt talált, amin keresztül hekkerek hozzáférhettek a géptulajdonosok személyes adataihoz, többek között lakcíméhez. A kutató még április közepén megosztotta felfedezését a John Deere-rel, a vállalat pedig azóta mindkét hibát javította, írta a Vice. Egyelőre nem találtak arra utaló nyomokat, hogy hekkerek kihasználták volna a hibát.

A hiba súlyosságát a biztonsági kutató azzal illusztrálta a lapnak, hogy állítása szerint a világ minden egyes John Deere traktorának tulajdonosi adatait le tudta volna tölteni. Persze ez így pontatlan, mert voltaképpen a régebbi generációs munkagépeket nem érintette ez a probléma.

Veszély csak a legkorszerűbb gépek fenyegette, melyek magas fokú automatizációs támogatással rendelkeznek (GPS-alapú önvezetés, szenzorok hada stb.). A biztonsági kutató képes volt elérni az ilyen gépek tulajdonosainak minden fontos adatát, amit a gyártó cég tárolt: a tulajdonos neve, fizikai címe, a berendezés egyedi gyári azonosítóját, valamint VIN-kódját (Vehicle Identification Number, a személyautóknál például az alvázszám). Emellett akár még azt is meg lehetett tudni, hogy a tulajdonosok milyen konstrukcióban vásárolták a munkagépet, hogy állnak a részletek/lízingdíj fizetésével stb.

A John Deere szóvivője ugyanakkor azt írta a Vice-nak, hogy a hibák nem tették lehetővé illetékteleneknek a hozzáférést ügyfélfiókokhoz, sem a dealerek fiókjaihoz, valamint más érzékeny személyes információkhoz. A biztonsági kutató szerint azonban ez nem állja meg a helyét, mint mondta, a tesztek során elért érzékeny információig a vállalat rendszerében, amit bizonyítani is tudott.

A szóvivő korábban a Forbesnak azt nyilatkozta, hogy az ügyféladatok és a technológiák biztonsága minden John Deere-terméknél kiemelt fontosságú.

Nem csak adat forog kockán...

Érdekes részlete a sztorinak, hogy a sebezhetőségeket nem a gyártó, hanem a biztonsági kutató osztotta meg a közönséggel. Ez persze mindössze annyit jelent, hogy leírta: hol találta a biztonsági rést, az nagy vonalakban hogyan működik és mi a hatása (adatszivárgás). A nagy gépgyártó cégek ugyanis nem tesznek közzé sérülékenységeket úgy, mint az informatikai eszközöket, szoftvereket gyártó cégek (Common Vulnerabilities and Exposures, vagy ismertebb nevén CVE listák). Mint a Forbes írta a John Deere-ügy kapcsán, ebben nagy az egyetértés a konkurensek között, mert miközben magas fokú automatizáltság és hálózatba kapcsoltság jellemzi a berendezéseiket, sem a Caterpillar, sem a CNH Industrial, a CaseIH, a New Holland vagy a Kubota nem hozza nyilvánosságra a rendszereikben javított biztonsági réseket. A Caterpillar legalább addig eljutott, hogy van egy nyilvános szabályzata a bejelentett sebezhetőségek kezelésére.

Kiberbiztonsági szakértők szerint ez a lehető legrosszabb taktika. Abban segít, hogy elkenjen egy ezen a területen is egyre fontosabb kérdést: jó vagy rossz az adott vállalat termékeinek a kiberbiztonsága? Az informatikai gyártóknál, sőt az egyre több szotfvert tartalmazó autóiparban is ma már teljesen elfogadott, hogy a feltárt sérülékenységeket javítás után nyilvánossá teszik a patch-csomaggal együtt. Ez a rendszer növeli a felhasználók biztonságtudatosságát is.

Amerikai kiberbiztonsági szakértők szerint a mezőgazdasági gépgyártók rejtőzködő stratégiája nemcsak ezért elhibázott, mert ezek roppant drága eszközök (egy modern traktor 300 ezer dollár is lehet, míg egy nagyobb teljesítményű kombájn ára eléri az egymillió dollárt). Ha valaki tömegesen át tudja venni az irányítást ezek fölött az eszközök fölött, jelentős károkat tud okozni egy-egy ország vagy régió mezőgazdaságában, aminek globális hatása beláthatatlan.