高科技进入农业，提高生产力的同时也带来了网络风险。

拖拉机制造商约翰迪尔（John Deere）公司的系统中被曝含有安全漏洞，攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。

8月8日，一名昵称为Sick Codes的澳大利亚研究人员在拉斯维加斯的Def Con安全会议上远程展示了他的最新发现。攻击者可以利用这些漏洞获得约翰迪尔公司的运营中心的root权限，该运营中心是一个用于监控和管理农用设备的综合平台。

与他同一研究小组的John Jackson和另一个研究者Robert Willis在一个名为Pega的业务流程管理工具中发现了一个漏洞。Pega工具广受欢迎并且拥有广泛的权限，不仅可以远程监控，而且对其他系统拥有管理权限。

Pega的该漏洞与未改变的默认管理凭证有关，允许远程访问Pega的聊天访问组门户。这个漏洞允许攻击者访问众多资源，包括Pega的安全审计日志，甚至是Okta的签名证书。研究人员还能够导出约翰迪尔公司的单点登录SAML服务器的私钥。

Sick Codes表示该漏洞几乎可以让我们向任何用户上传文件、以任何用户身份登录、上传任何我们想要的东西、下载任何我们想要的东西、破坏任何数据、登录任何第三方账户，也就是说攻击者可以在约翰迪尔的运营中心为所欲为。

然而，约翰迪尔公司在提供给《安全导报》的一份声明中表示，Sick Codes声称能够进入客户账户、农艺数据、经销商账户或敏感的个人信息的主张都是不存在的，并且Sick Codes提出的问题都不会影响正在使用的机器。

拖拉机中都含有哪些数据？

数据一直对农业至关重要，在全球数字化转型潮流中，农业现在正以前所未有的规模为了智能农业或精准农业收集数据。越来越多的农场通过 Wi-Fi、5G、无线电传感器等监控农场的每一项操作并收集其数据以进行分析。约翰迪尔的拖拉机也具有数据收集的功能。

约翰迪尔的拖拉机与我们印象中的传统拖拉机有些许不同，就像现代汽车一样，它运行复杂的嵌入式专用软件，可以连接到互联网，并且具有 GPS以及自主功能，甚至可以由约翰迪尔客户服务代表远程控制，以帮助客户解决问题。

约翰迪尔的拖拉机不断将数据传输到云端，包括：农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标等。

此外，根据约翰迪尔的说法，目前正在销售的拖拉机与一个名为HarvestLab的湿度传感器监测器和一个名为Harvest Monitor的整体监测软件系统相连接，该系统在显示器上显示实时生产力测量。

还有HarvestDoc软件，它可以读取作物数据，如产量和GPS位置，随后可以发送到Apex农场管理软件中进行分析。同时，还有一个叫做AutoLOC的功能，它可以读取HarvestLab的水分读数，并对拖拉机切割作物的时间进行调整，以达到最佳效果。

显然，这种无缝的、持续的数据收集和分析对农民来说十分便捷，但是在一个单一的平台上保存世界上所有现代农场的数据，一旦其被攻破，所带来的大范围数据泄露危害性可想而知。

参考

https://www.inforisktoday.com/flaws-in-john-deere-systems-show-agricultures-cyber-risk-a-17240

https://threatpost.com/connected-farms-food-supply-chain-hack/168547/