Nel torrente di notizie sulla guerra in Ucraina è affiorata una piccola storia
che però ha dei risvolti informatici importanti e inaspettati. Inaspettati
perché è una storia che riguarda i trattori ucraini, che a prima vista non
sembrano affatto un argomento informatico, e importanti perché quello che è successo a
questi trattori ci riguarda tutti da vicino.
Secondo quanto riportato dalla
CNN, dei soldati russi hanno aiutato a depredare un concessionario ucraino della
John Deere a Melitopol, portando via una trentina di macchine agricole,
principalmente trattori, che sono stati poi spediti in Cecenia. I veicoli
hanno un valore complessivo di circa cinque milioni di dollari.
Ma al loro arrivo in Cecenia i saccheggiatori hanno scoperto che i trattori
erano stati bloccati da remoto ed erano quindi inservibili e impossibili da
smerciare. Erano stati, come si dice in gergo informatico, brickati. Si
tratta infatti di macchine agricole molto sofisticate, dotate di sensori, di GPS e
di un sistema di controllo remoto via Internet, installato in tutti i mezzi di
questo tipo della John Deere.
I ladri, insomma, sono stati beffati, ma questa non è una storia a lieto fine.
L’informatico, scrittore e attivista Cory Doctorow ha infatti fatto
notare
che il controllo remoto di quei trattori non è stato introdotto per
scoraggiare ladri o saccheggiatori, ma per ostacolare gli agricoltori.
Quelli che comprano a caro prezzo questi trattori ma finiscono per non esserne
realmente proprietari, perché John Deere installa in questi veicoli del
software che li gestisce, e questo software è sotto copyright dell’azienda per
90 anni ed è concesso agli agricoltori soltanto in licenza temporanea. Così, perlomeno, ha
dichiarato
formalmente l’azienda, insieme a
molte case automobilistiche (con l’eccezione di Tesla, come segnalato da
Wired), davanti al Copyright Office statunitense nel 2015.
In questo modo gli agricoltori non possono riparare i propri veicoli, nemmeno
con ricambi originali, senza ricevere un apposito codice di sblocco dal
concessionario. Concessionario che in molti casi è a decine di chilometri di
distanza e non può accorrere subito, con tutti i ritardi e danni che ne
conseguono.
La giustificazione dell’azienda è che la riparazione non ufficiale potrebbe
causare danni, ma di fatto questo crea un controllo monopolistico sulle
riparazioni, e in molti paesi eludere questo controllo, per esempio usando del
software modificato che ignori il codice di sblocco oppure lo generi senza
l’autorizzazione del fabbricante, è punito dalla legge: dal Digital Millennium
Copyright Act negli Stati Uniti e dalla Direttiva sul Copyright nell’Unione
Europea, nota Cory Doctorow. Va detto che dal 2015 al 2018 il Copyright Office
statunitense ha
concesso
un’eccezione temporanea, ma oggi è
scaduta. In Svizzera, la
Legge federale sul diritto d’autore
prevede degli analoghi divieti di elusione, sia pure con alcune eccezioni da maneggiare con molta attenzione.
La presenza di questi controlli remoti o kill switch nei veicoli
agricoli, insieme al sostanziale monopolio del mercato da parte delle poche
aziende che fabbricano questi veicoli dedicati all’agricoltura di precisione,
ha una conseguenza cruciale: chiunque riuscisse a compromettere la sicurezza
di questi sistemi di controllo remoto metterebbe a serio rischio le forniture
alimentari del mondo, brickando ovunque le macchine agricole.
Non è uno scenario ipotetico: proprio il 5 maggio scorso AGCO, una multinazionale del settore delle macchine agricole che possiede marchi come Challenger, Fendt, Massey Ferguson e Valtra, ha dichiarato di aver subìto un attacco informatico di tipo ransomware che ha sostanzialmente paralizzato i suoi stabilimenti in Germania e Francia.
Anche John
Deere sembra avere grossi
problemi
di sicurezza informatica, come ha dimostrato il gruppo di informatici
SickCodes
ad aprile del 2021, riuscendo in poco tempo a trovare il modo di trasmettere
dati senza autorizzazione a questi trattori superconnessi.
SickCodes ha avvisato le autorità e l’azienda ha chiuso le falle segnalate, ma
il problema rimane: fabbricare veicoli e macchinari
intenzionalmente bloccabili da remoto, invece di farli robusti e
resilienti, manutenibili e riparabili anche quando le normali filiere di
fornitura e assistenza sono bloccate, come per esempio in guerra, è una
pessima scelta strategica di sicurezza. Lo ha messo nero su bianco il
Dipartimento per la Sicurezza Interna statunitense in un
rapporto
del 2018,
scrivendo
che
“l’adozione di tecnologie agricole di precisione avanzate e di sistemi di
gestione delle informazioni degli allevamenti [nei rispettivi settori] sta
introducendo nuove vulnerabilità in un’industria che prima era altamente
meccanica”
[“adoption of advanced precision agriculture technology and farm information
management systems in the crop and livestock sectors is introducing new
vulnerabilities into an industry which had previously been highly mechanical
in nature.”]
Non a caso, uno dei principali esportatori di software alternativo per i mezzi
agricoli della John Deere, illegale ma ben più adatto alle esigenze pratiche degli
agricoltori, è l’Ucraina.