Kyle Wiens.
Questo articolo è disponibile anche in
versione podcast audio.
A maggio 2022 ha avuto un forte impatto mediatico la notizia di un furto
ingente di trattori in Ucraina, commesso da un gruppo di soldati russi; furto
che si era trasformato in una beffa per i ladri. I trattori, infatti, erano
stati bloccati e resi inutilizzabili grazie alla loro connessione a Internet.
Ne avevo
parlato
anch’io in una
puntata
di questo podcast. Torno a parlarne perché c’è un seguito.
Pochi giorni fa un informatico australiano che si fa chiamare
Sick Codes è riuscito a prendere
il pieno controllo degli apparati elettronici di un trattore della John Deere,
la stessa marca di quelli rubati e brickati da remoto in Ucraina. Lo ha
fatto durante una
presentazione alla
conferenza internazionale di sicurezza
DEF CON 30,
tenutasi a Las Vegas, e da buon informatico ha
dimostrato
il proprio successo facendo girare sull’elettronica del trattore il gioco
classico Doom.
Playing Doom on a John Deere tractor display (jailbroken/rooted) at
@defcon
pic.twitter.com/ih0QUTGNuS— Sick.Codes (@sickcodes)
August 14, 2022
Ovviamente, per fare le cose per bene, la versione di Doom giocata da
Sick Codes non è quella di base, ma è appositamente modificata: si svolge in
un campo agricolo e bisogna colpire i mostri senza ferire gli animali da
fattoria.
Tutto questo può sembrare un colossale esercizio di frivolezza, ma in realtà
il fatto che qualcuno sia riuscito a prendere il controllo dell’elettronica di
questi sofisticatissimi macchinari agricoli rivela che sono basati su hardware
e software fragili e non aggiornati. Dato che dipendiamo dall’agricoltura di
precisione realizzata tramite macchine agricole computerizzate di questo
genere, questa non è una buona situazione.
Kyle Wiens.
Sick Codes non è nuovo a queste dimostrazioni: ad aprile 2021 aveva
fatto vedere che era
possibile trasmettere dati senza autorizzazione ai trattori della John Deere,
che era stata avvisata e aveva chiuso le falle che consentivano questa
intrusione. Ma ora l’informatico è tornato alla carica facendo addirittura un
jailbreak locale di questi trattori, ossia uno sblocco che consente
all’utente di eseguire qualunque software, e la cosa è importante per gli
agricoltori, perché scavalca i blocchi che impediscono loro artificialmente di
riparare le proprie macchine agricole e li obbligano a dipendere dai
concessionari ufficiali. In altre parole, come sugli smartphone, il
jailbreak dei trattori ridà ai proprietari il pieno controllo degli
apparati che hanno acquistato e consente loro di ripararli o modificarli.
Il diritto di riparare gli oggetti di cui si è proprietari viene spesso
ostacolato da protezioni artificiali di questo tipo, ma negli Stati Uniti, in
Unione Europea e nel Regno Unito si sta facendo strada una serie di leggi che
proteggono questo diritto, e scoperte come quella di Sick Codes sono preziose
per documentare il fatto che le giustificazioni presentate dalle aziende per
l’esistenza di questi blocchi software non reggono.
Di solito, infatti, le aziende dicono che impedire la riparazione a persone
non autorizzate è necessario per tutelare i sofisticati sistemi software
installati. Ma Sick Codes ha dimostrato che questi sistemi sono in realtà
tutt’altro: alcuni usano Windows CE, altri usano versioni antiche di Linux, e
tutto,
persino
l’intero firmware, gira come root, ossia con pieni
permessi di amministratore, e non c’è alcun controllo sulla provenienza del
software che viene eseguito, nessuna firma digitale o checksum. In
parole povere, i “sofisticati sistemi” vanno contro tutte le regole di
sicurezza informatica.
Grazie anche a iniziative come questa insieme alle nuove normative sul diritto
di riparare, John Deere ha
annunciato
a marzo che renderà disponibile ai proprietari delle sue macchine agricole una
porzione più consistente del software di riparazione e consentirà ai clienti e
ai riparatori esterni di scaricare e installare gli aggiornamenti software
ufficiali, invece di obbligare gli agricoltori a portare i mezzi alle officine
autorizzate. Perché se può essere una scocciatura trovarsi con un laptop che
decide di scaricare e installare i propri aggiornamenti proprio mentre si sta
facendo una presentazione o si sta cercando di concludere un lavoro urgente,
potete immaginare quanto sia devastante trovarsi con un trattore che non va
solo per un problema software mentre il raccolto ottenuto con tanta fatica si
sta rovinando sul campo.
Fonti aggiuntive:
Ars Technica,
The Register, Fierce Electronics.