English, Nederlands
Aanmelden

John Deere kwetsbaar voor het lekken van persoonlijke klantgegevens

Geschreven op 23 april door Laura in discussie

Right to RepairVolg onze strijd voor Right to Repair

John Deere TractorGisteren heb ik een video gekeken van Louis Rossmann, waarin hij vertelde over kwetsbaarheden die aanwezig waren in de website, apps en API's die door John Deere zijn ontwikkeld. Meestal moeten boeren en andere partijen die actief zijn in de agrarische sector, hun apparatuur en software bij John Deere registreren om bijvoorbeeld hun tractor te ontgrendelen om er gebruik van te kunnen maken; zoals ik begrijp, weigert een tractor te werken als er geen geldig abonnement voor het apparaat is. De aanwezigheid en geldigheid van het abonnement wordt gecontroleerd via een online systeem ontwikkeld door John Deere.

Abonnementsmodellen en Software as a Service (SAAS)

Dit is een goed voorbeeld van twee problemen. Het eerste probleem is, niet de eigenaar van de software, het apparaat of het voertuig dat u heeft gekocht te zijn. U heeft het gekocht, maar eigenlijk huurt u het. Maandelijks, driemaandelijks of jaarlijks, moet u een abonnement betalen om ervoor te zorgen dat het apparaat blijft werken. Onze klacht is niet dat u betaalt voor iets dat u nodig heeft. Het is hoe dit de fabrikant in de positie van meester brengt en u, de klant, in de positie van slaaf. Voordat de hele “software as a service” en soft- en hardware waarvoor abonnementen nodig zijn om te blijven werken, had u de controle. Als u heeft geïnvesteerd in, laten we als voorbeeld nemen, een boorduurmachine, was u de eigenaar, klinkklaar. U kunt besluiten dat u deze machine een paar jaar intensief gebruikt, of u besluit dat het een leuk extraatje is dat u af en toe de komende decennia gaat gebruiken. Nu heeft u een abonnement nodig om de machine te laten werken. Dit abonnement is afgestemd op het bedrijfsmodel van hun ‘beste’ klanten. Terwijl u voor de komende jaren een eenmalige investering van € 12.500,00 zou kunnen rechtvaardigen, kan dat met de huidige trend van abonnementen niet meer. Het zou nog steeds een initiële investering van € 12.000,00 zijn, maar om de machine af en toe te gebruiken, moet u ook een maandelijks basisabonnement van € 150,00 betalen, dat alleen een enkele spoel en enkele kleur functionaliteit omvat. Voeg daar € 5,00 extra per spoel aan toe, en de machine heeft er acht. Dit komt op € 2.200,00 extra in kosten per jaar. Er zijn drie oplossingen: 1) stop met deze extra service, 2) maak van borduren uw corebusiness, 3) koop een tweedehands 20 jaar oude machine en huur ons in om de machine aan te passen aan een moderne computer. Zelfs als het op abonnementen gebaseerde model kan worden gerechtvaardigd, heeft u nog andere problemen. Na bijvoorbeeld 5 jaar, zal de machine onbruikbaar worden, omdat de machine niet meer compatibel is met de nieuwe website en apps van de fabrikant. De enige opties: hack de machine of koop een nieuwe, terwijl uw huidige machine nog niet in de boekhouding was afgeschreven en geen doorverkoopwaarde meer heeft, omdat niemand er meer gebruik van kan maken. Ook kan de fabrikant ineens de abonnementsprijs aanpassen, of features verplaatsen die u nodig heeft naar een apart abonnement. En tot slot bent u vaak niet eens de eigenaar van de documenten, afbeeldingen of ontwerpen die u zelf heeft gemaakt. Ofwel het goedkopere abonnement leidt ertoe dat de fabrikant niet alleen kopieën heeft, maar zelfs de wettelijke rechten heeft over uw creatieve werken. Zelfs met een erg duur abonnement wordt de fabrikant de eigenaar van het origineel en kunt u een kopie downloaden. Hoewel u de juridische eigenaar bent, kunnen door kwetsbaarheden bij de fabrikant andere partijen toegang krijgen tot uw creatieve werken. De kans dat dit gebeurt is veel groter doordat de fabrikant een veel groter aanvalspunt is. Een enkele succesvolle inbraak zal resulteren in duizenden tot miljoenen creatieve werken en persoonlijke gegevens van klanten.

Kwetsbaarheden

Elk systeem, of het nu fysiek, digitaal, online of offline is, heeft kwetsbaarheden. Dat is een klaar feit. Het is onmogelijk om elk aspect van een systeem te beheersen en elke mogelijke situatie, heden en toekomst, uit te sluiten. Maar er is vaak een heel belangrijke factor: wie heeft het systeem ontworpen en geïmplementeerd.

Met ongeveer 30 jaar interesse en ervaring in IT beveiliging, startte ik mijn eerste baan op 15-jarige leeftijd, werkend aan baanbrekende heuristische antivirus algoritmen. Daarnaast heb ik gewerkt als beveiligingsexpert op een niet openbaar te maken aantal en soorten plaatsen, één ding valt op. Er zijn grofweg twee groepen mensen die IT oplossingen ontwerpen, implementeren en onderhouden: a) ingenieurs op gebieden als elektronica en mechatronica, en b) wetenschappers van een wiskundediscipline.

De eerste groep bestaat uit zeer gemotiveerde mensen, die hard werken en zeer deskundig zijn. Programmeren is echter meer als een hobby voor hen. Ze zijn heel goed in staat om wiskunde te gebruiken om problemen op te lossen. Ze programmeren al lang, maar vermijden bijvoorbeeld het gebruik van threads, zijn gewend om het hele programma in een enkel bestand te schrijven, gebruiken bibliotheken en modules die van internet zijn gedownload, zonder echt te begrijpen waar deze bibliotheken vandaan komen, hoe oud ze zijn, hoe nieuw ze zijn of wat hun bedoeling was. De bibliotheek biedt enkel functionaliteit die ze nodig hebben om het project snel verder te brengen. Ze hebben nog nooit gehoord van modulaire ontwerptechnieken of unit testing. Ze denken vaak dat Rapid Application Development (RAD) een stukje software is om je applicatie grafisch samen te slepen. Ze weten niets van óf vinden OMT / UML, gegevens- en objectmodellen te ingewikkeld, óf begrijpen de noodzaak ervan niet. Én ze hebben gelijk: hun vaardigheid is met elektronisch-, PCB- of chipontwerp of schrijven van 80C552 machinecode.

De andere groep zijn mensen met een heel andere set vaardigheden. Ze zien de wereld als data en algoritmen. Ze weten dat Rapid Application Development een probleemoplossings- en implementatietechniek is, zoals Extreme Programming of Agile. Dat is iets wat je doet, regels die je toepast op je workflow en hoe je je team organiseert en tools die je inzet. Deze groep mensen ontwerpt een IT-oplossing door een beschrijving te maken van het probleem dat moet worden opgelost en de wereld waarmee dit systeem moet communiceren. Deze mensen programmeren niet, maar definiëren datamodellen en creëren een functionele specificatie voordat ze computercode laten schrijven. Ze begrijpen en kunnen algoritmen maken en kunnen wiskundig bewijs leveren van de juistheid ervan.

Het maakt bijna niet uit of je het over BMW, Lada of Ford hebt, of je het nu over Keysight, Rode en Schwartz of Owon hebt. Al deze bedrijven hebben mensen in dienst uit de eerste groep: ingenieurs. Deze ingenieurs rollen in de ontwikkeling van de software die ze nodig hebben in hun werk, en rollen daarom ook in de taak van het implementeren van de cloudgebaseerde oplossing, apps en extern gebruikte software van hun werkgever.

De laatste groep is grotendeels in dienst van grote techreuzen als Google, IT-beveiligingsbedrijven, financiële instellingen, professional services ICT detacheerders, banken en de overheid. Dit laatste met name bij de veiligheidsdiensten.

Valse argumenten

Het is bijna ironisch dat de bedrijven die het hardst roepen over het beschermen van de veiligheid van de klanten en claimen daarvoor onafhankelijke reparatie tegen te moeten gaan, dezelfde bedrijven zijn die intern vaak weinig tot niets weten over het ontwikkelen van veilige systemen. Zoals in dit geval van John Deere. Die niet zo lang geleden pleitte voor het beschermen van boeren door geen toegang te verlenen tot de gereedschappen die nodig zijn voor het onderhoud van landbouwmachines. Door de tools vrij te geven waarmee het mogelijk zou zijn motorfoutcodes te wissen en een vervangende druksensor in het systeem aan te melden, kunnen kritieke klantgegevens in verkeerde handen vallen. Hierdoor kunnen de door de boer speciaal geoptimaliseerde gewas benevelingsinstellingen in de handen vallen van hun concurrent. Welnu, het blijkt dat de fabrikant zelf de meest waarschijnlijke plaats is om dergelijke informatie te lekken. Omdat deze tools en systemen zijn ontworpen door de mensen die ze in dienst hebben, vaak al jaren tot decennia lang. Ingenieurs die vaak briljant zijn in hun vakgebied van elektronica, thermodynamica of hydraulica, maar de vaardigheden missen die nodig zijn om veilige en onderhoudbare IT-oplossingen te ontwerpen.

LinkedIn, Facebook, Volg ons op Twitter, Volg ons op Instagram, Beijk onze video's, Steun ons op Patreon
ASK-Solutions voldoet aan het ISO 9001:2008 kwaliteitswaarborg