Cerca nel blog

2022/05/11

Russi saccheggiano trattori ucraini, che vengono brickati da remoto. Ma c’è poco da ridere

Nel torrente di notizie sulla guerra in Ucraina è affiorata una piccola storia che però ha dei risvolti informatici importanti e inaspettati. Inaspettati perché è una storia che riguarda i trattori ucraini, che a prima vista non sembrano affatto un argomento informatico, e importanti perché quello che è successo a questi trattori ci riguarda tutti da vicino.

Secondo quanto riportato dalla CNN, dei soldati russi hanno aiutato a depredare un concessionario ucraino della John Deere a Melitopol, portando via una trentina di macchine agricole, principalmente trattori, che sono stati poi spediti in Cecenia. I veicoli hanno un valore complessivo di circa cinque milioni di dollari.

Ma al loro arrivo in Cecenia i saccheggiatori hanno scoperto che i trattori erano stati bloccati da remoto ed erano quindi inservibili e impossibili da smerciare. Erano stati, come si dice in gergo informatico, brickati. Si tratta infatti di macchine agricole molto sofisticate, dotate di sensori, di GPS e di un sistema di controllo remoto via Internet, installato in tutti i mezzi di questo tipo della John Deere.

I ladri, insomma, sono stati beffati, ma questa non è una storia a lieto fine.

L’informatico, scrittore e attivista Cory Doctorow ha infatti fatto notare che il controllo remoto di quei trattori non è stato introdotto per scoraggiare ladri o saccheggiatori, ma per ostacolare gli agricoltori. Quelli che comprano a caro prezzo questi trattori ma finiscono per non esserne realmente proprietari, perché John Deere installa in questi veicoli del software che li gestisce, e questo software è sotto copyright dell’azienda per 90 anni ed è concesso agli agricoltori soltanto in licenza temporanea. Così, perlomeno, ha dichiarato formalmente l’azienda, insieme a molte case automobilistiche, davanti al Copyright Office statunitense nel 2015 (con l’eccezione di Tesla, come segnalato da Wired).

In questo modo gli agricoltori non possono riparare i propri veicoli, nemmeno con ricambi originali, senza ricevere un apposito codice di sblocco dal concessionario. Concessionario che in molti casi è a decine di chilometri di distanza e non può accorrere subito, con tutti i ritardi e danni che ne conseguono.

La giustificazione dell’azienda è che la riparazione non ufficiale potrebbe causare danni, ma di fatto questo crea un controllo monopolistico sulle riparazioni, e in molti paesi eludere questo controllo, per esempio usando del software modificato che ignori il codice di sblocco oppure lo generi senza l’autorizzazione del fabbricante, è punito dalla legge: dal Digital Millennium Copyright Act negli Stati Uniti e dalla Direttiva sul Copyright nell’Unione Europea, nota Cory Doctorow. Va detto che dal 2015 al 2018 il Copyright Office statunitense ha concesso un’eccezione temporanea, ma oggi è scaduta. In Svizzera, la Legge federale sul diritto d’autore prevede degli analoghi divieti di elusione, sia pure con alcune eccezioni da maneggiare con molta attenzione.

La presenza di questi controlli remoti o kill switch nei veicoli agricoli, insieme al sostanziale monopolio del mercato da parte delle poche aziende che fabbricano questi veicoli dedicati all’agricoltura di precisione, ha una conseguenza cruciale: chiunque riuscisse a compromettere la sicurezza di questi sistemi di controllo remoto metterebbe a serio rischio le forniture alimentari del mondo, brickando ovunque le macchine agricole. 

Non è uno scenario ipotetico: proprio il 5 maggio scorso AGCO, una multinazionale del settore delle macchine agricole che possiede marchi come Challenger, Fendt, Massey Ferguson e Valtra, ha dichiarato di aver subìto un attacco informatico di tipo ransomware che ha sostanzialmente paralizzato i suoi stabilimenti in Germania e Francia.

Anche John Deere sembra avere grossi problemi di sicurezza informatica, come ha dimostrato il gruppo di informatici SickCodes ad aprile del 2021, riuscendo in poco tempo a trovare il modo di trasmettere datisenza autorizzazione a questi trattori superconnessi.

SickCodes ha avvisato le autorità e l’azienda ha chiuso le falle segnalate, ma il problema rimane: fabbricare veicoli e macchinari intenzionalmente bloccabili da remoto, invece di farli robusti e resilienti, manutenibili e riparabili anche quando le normali filiere di fornitura e assistenza sono bloccate, come per esempio in guerra, è una pessima scelta strategica di sicurezza. Lo ha messo nero su bianco il Dipartimento per la Sicurezza Interna statunitense in un rapporto del 2018, scrivendo che “l’adozione di tecnologie agricole di precisione avanzate e di sistemi di gestione delle informazioni degli allevamenti [nei rispettivi settori] sta introducendo nuove vulnerabilità in un’industria che prima era altamente meccanica” [“adoption of advanced precision agriculture technology and farm information management systems in the crop and livestock sectors is introducing new vulnerabilities into an industry which had previously been highly mechanical in nature.”]

Non a caso, uno dei principali esportatori di software alternativo per i mezzi agricoli della John Deere, illegale ma ben più adatto alle esigenze pratiche degli agricoltori, è l’Ucraina.

Nessun commento: