CNN сообщает, что российские мародеры украли 27 единиц сельскохозяйственной техники John Deere из дилерского центра в Мелитополе общей стоимостью 5 000 000 долларов. Технику переправили в Чечню, но не смогли ей воспользоваться, потому что дилерский центр John Deere соединился с тракторами через интернет и превратил их в «кирпич», используя встроенный аварийный блокиратор.
Эта история не столько о мародерах, сколько о том, насколько корпорации контролируют физический мир, проникая в него даже из киберпространства.
Кибервойна несет те же угрозы. В итоге, если сервисная служба техники John Deere превратить свой трактор в кусок металла в любой точке мира, то любой, кто взломать технику с целью шантажа — скажем, российская армия хакеров, специализирующихся на массовых атаках инфраструктуры, могут сделать то же самое.
Почему тракторы John Deere вообще оснащены аварийным блокиратором?
Подсказка: технология изобретена не для того, чтобы мешать русским мародёрам.
Нет, это было придумано, чтобы помешать американским фермерам.
На протяжении большей части истории John Deere сотрудничала с фермерами в разработке технологий. Я имею в виду буквально: компания отправляла инженеров в командировки на фермы где они собирали информацию, как фермеры адаптировали свое оборудование, а затем интегрировала эти усовершенствования в новые модели своих тракторов.
Фермера сами создавали, ремонтировали и адаптировали свои технологии на протяжении тысячелетий (буквально) — на фермах есть свои мастерские и кузницы, потому что, когда вы находитесь посреди прерии и приближается плохая погода, и нужно срочно собрать урожай, иметь возможность отремонтировать свою технику без привлечения сервисной службы, находящейся за сотни миль, крайне важно.
Но когда John Deere превратилась из одной из многих агротехнологических компаний в монополиста, ее отношение к фермерам изменилось. Deer увидел возможности для получения еще большего дохода от фермеров.
Например, они оснастили свои тракторы группами новых датчиков: датчики крутящего момента на колесах, которые измеряли плотность почвы, датчики влажности на шасси, которые измеряли влажность почвы, и датчики местоположения на крыше, которые отображали плотность и влажность с точностью до сантиметра.
Эта информация очень важна! Фермеры могут использовать ее для «точного земледелия», внося семена в соответствии с этими картами, чтобы максимизировать урожай.
Но фермерам-владельцам техники Deere эти данные были недоступны — по крайней мере, напрямую. Первоначально Deere объединила их с приложением, поставляемым с семенами от Monsanto (теперь Bayer), своего «рекомендованного» поставщика семян. Фермеры генерировали данные, вспахивая свои поля своими же тракторами, но Дир считала, что владеют данными не фермеры, а корпорация.
Deere собирала данные от всех фермеров и продавала их Monsanto.
В следующий раз, когда кто-то скажет вам: «Если вы не платите за продукт, вы и есть продукт», помните об этом. При этом трактора не были бесплатными, по рекламным акциям. Deere берет шестизначную сумму за трактор. Но фермеры все равно были «продуктом». То, что вы являетесь продуктом, определяется не тем, платите ли вы за продукт, а тем, позволяют ли корпорациям их рыночная власть и лояльность регулирующих органов безнаказанно вас продавать.
Продажа фермерам их собственной телеметрии почвы (вместе с навязываемыми товарами) была только началом. Deere собирает все данные о почве со всех ферм по всему миру и продает их частным инвестиционным компаниям, которые делают ставки на рынке фьючерсов. Это гораздо более прибыльно, чем даже прибыль от продажи данных фермеров Monsanto. Большие деньги используют агрегированные сельскохозяйственные данные для обоснования ставок, которые финансисты делают против фермеров.
Если вы что-то слышали о технических ограничениях в тракторе Deere, скорее всего, дело было не в краже данных — скорее, о махинациях Deere с правом на ремонт.
Deere — одна из многих компаний, практикующих «блокировку VIN», практику, пришедшую из автомобильной промышленности («VIN» означает «идентификационный номер автомобиля», уникальный серийный номер, который производитель автомобилей штампует на блоке цилиндров, и сегодня — кодирует в бортовых компьютерах автомобиля).
Блокировки VIN появились в двигателях, после того как автопроизводители стали устанавливать дешевые микроконтроллеры во многие компоненты и подкомпоненты. Механик мог заменить деталь на новую, но двигатель ее не распознавал и машина просто не работала до тех пор, пока авторизованный техник не вводил код разблокировки в специальный инструмент, подключаемый к внутренней сети автомобиля.
BigCar продавала это как меру безопасности, чтобы «недобросовестные» механики не устанавливали некачественные отремонтированные или сторонние детали в автомобили «ничего не подозревающих водителей». Но реальная цель состояла в том, чтобы уничтожить сферу независимого авторемонта и индустрию альтернативных запчастей, позволив автопроизводителям монополизировать доходы от ремонта и запчастей, взимая за это максимально возможную плату.
И, как и в случае с Deere, Big Car также хотела иметь возможность собирать данные о водителях и продавать их третьим лицам. Ваш автомобиль собирает шокирующее количество данных о вас, а производитель продает их сторонним компаниям, используют их способами, противоречащими вашим интересам.
Автопроизводители заявляют, что данные, которые собирает ваш автомобиль, могут причинить вам серьезный вред — когда избиратели Массачусетса включили инициативу о праве на ремонт автомобилей в бюллетени для голосования в 2020 году, Big Car запустила пугающую рекламу, предупреждающую, что доступ третьих лиц к сокровищнице данных вашего автомобиля буквально приведет к вашему убийству.
Разумеется, по мнению автомобильного картеля, самое правильное, чтобы избежать этих рисков, сохранить их монополию на ремонт, а не переделать автомобиль, чтобы он перестал за вами. И, конечно же, одна из услуг, которую сторонняя ремонтная экосистема предлагает водителям, — это возможность отключить все эту слежку.
VIN-блокировка метастазировала из автомобильного сектора и укоренилась во всех сферах нашей жизни. Apple хотела бы блокировать VIN-код экранов своих телефонов, и они делали это несколько раз, но были вынуждены отступить после того, как клиенты и независимые ремонтные мастерские с испорченными экранами подняли шум. После того, как FTC и администрация Байдена пригрозили напрямую регулировать Apple, чтобы заставить ее упростить ремонт, компания создала официальную программу ремонта дома, хотя и очень ограниченную.
Другие области добились большего успеха в разворачивании блокировки VIN. Одной из компаний, применяющих эту практику, является Medtronic, крупнейшая в мире компания в области медицинских технологий (и одна из компаний в области медицинских технологий с наименьшим налогообложением в мире).
На протяжении более 20 лет аппараты ИВЛ Medtronic PB840 были лучшими рабочими лошадками в этой области. Но Medtronic решила извлечь дополнительную выгоду, заблокировав детали PB840 с помощью VIN-кода (больницы, как и фермеры, ремонтируют свое оборудование с незапамятных времен: когда пациенту требуется неотложная медицинская помощь, врачам некогда ждать уполномоченного производителем техника, который появится через дни или недели).
Это было плохо уже до пандемии, но когда спрос на аппараты ИВЛ в мире резко вырос и авторизованные специалисты по обслуживанию Medtronic оказались закрыты на локдаун, этот рэкет с блокировкой VIN стал серьезной угрозой для здоровья населения.
Техники больниц по всему миру старались обслуживать свои PB840, поддерживая их в рабочем состоянии. Самая частая процедура ремонта PB840 включает в себя замену экрана сломанного аппарата ИВЛ на работающий.
Однако экраны — это компоненты с VIN-блокировкой, поэтому после замены устройство не будет работать, пока авторизованный технический специалист не вылетит в больницу и не введет код разблокировки — и помните, пандемия заземлила всех этих техников.
К счастью, бывший анонимный сотрудник Medtronic из Польши сохранил генератор кодов разблокировки со своей предыдущей работы, клонировал его, упаковал полученный гаджет во все, что смог найти — старые гитарные педали, настольные лампы и будильники — и отправил их по почте медтехникам в больницах по всему миру, спасая жизни.
Почему этот герой остался анонимным? Потому что он нарушал закон. Статья 6 Директивы ЕС об авторском праве запрещает производство «устройств обхода», которые обходят блокировки VIN. В США раздел 1201 Закона об авторском праве в цифровую эпоху (DMCA) квалифицирует незаконный оборот устройств для обхода цензуры как уголовное преступление, наказуемое пятью годами тюремного заключения и штрафом в размере 500 000 долларов — при первом нарушении.
Каждые три года Бюро регистрации авторских прав США проводит слушания по DMCA 1201, на которых они рассматривают петиции, позволяющие пользователям заблокированных устройств обходить эти блокировки (да, вы должны запросить у правительства США разрешение на перенастройку вашей собственной собственности, и да, чаще всего ответ «нет»).
В 2017 году на этих слушаниях John Deere представила в Бюро регистрации авторских прав ошеломляющую записку: в ней они объяснили, что фермеры не владеют тракторами, купленными за сотни тысяч долларов.
Фермеры не могут владеть этими тракторами, потому что программное обеспечение, которое управляет этими тракторами (и обеспечивает блокировку VIN и ограничения на использование ваших собственных данных), принадлежит John Deere на весь срок действия авторских прав — 90 лет — а фермеры просто лицензируют этот код, и связаны условиями обслуживания, которые должны подтверждать, нажимая «ОК» каждый раз, когда включают зажигание.
В этих условиях указывается, что даже если фермер ремонтирует свой собственный трактор, заменяя сломанную деталь на исправную, он должен заплатить сотни долларов и несколько дней ждать, пока уполномоченный техник Deere не приедет в их глухомань, чтобы ввести код разблокировки.
Именно с помощью этой системы украинский дилерский центр Deere превратил в кирпичи эти трактора между Мелитополем и Чечней.
Далее. Индустрия субстандартного автомобильного кредитования — настоящий хищник, обдирающий бедняков, использующих автомобили для работы. Как и субстандартные жилищные кредиты, субстандартные автокредиты рассчитаны на дефолт: по замыслу заемщик платит и платит, но в конечном итоге пропускает платеж, что позволяет кредитору снова и снова забирать и перепродавать один и тот же автомобиль.
Чтобы упростить эту систему, субстандартные автомобили стоимостью в триллионы долларов снабжены аварийным блокиратором — блокировкой зажигания, которой пользуются кредиторы, если вы пропустите платеж, или могут активироваться сами, если автомобиль обнаружит, что вы выехали за границы штата, в нарушение условий договора аренды.
От Medtronic до GM и Apple, блокировка VIN-кода и аварийное выключение продаются как меры безопасности для вашей защиты, а не для опустошения вашего кошелька. Эти утверждения были бы более правдоподобным, если бы эти компании действительно хорошо разбирались в безопасности. Это круто, что компания, которая сделала джип, который был настолько ненадежным, что хакеры могли удаленно захватить контроль над рулевым управлением, зажиганием и тормозами и загнать его в кювет, рассказывает нам, что мы не можем позволить третьим лицам модифицировать наши автомобили, потому что это угрожает нашей безопасности!
John Deere заявляет следующее: в своей борьбе против права на ремонт, корпорация позиционирует себя как хранитель мировых запасов продовольствия, чья информационная безопасность — это все, что стоит между нами и русскими (или китайцами, или суперзлодеями), стремящимися подорвать агросектор.
Они правы: монополизировав рынок и наводнив его техникой, которой можно дистанционно управлять, отключать и обновлять, вкупе с монополизацией мирового рынка сельскохозяйственной техники означает, что John Deere создали ситуацию, когда любой, кто скомпрометирует ее систему, поставит мировую продовольственную безопасность под угрозу.
И это ужасно, потому что у John Deere катастрофическая информационная безопасность. Когда Sick Codes исследовали систему безопасности Deere, они обнаружили вопиющие ошибки, которые поставили под угрозу всю цепочку поставок продуктов питания.
Хуже того, John Deere, кажется, понятия не имеет, насколько плохи их дела с безопасностью. За всю историю компании она ни разу не представила ни одной ошибки в базу данных Common Vulnerabilities and Exposures (CVE) правительства США. Т.е. компания убеждена, что ее безопасность просто идеальна.
Но John Deere крайне несовершенен. Это означает, что инструмент, который Deere использовал для обнуления всех этих украденных тракторов в Чечне, потенциально доступен даже хакерам средней руки, которые могут воспользоваться их жадностью и беспечностью.
Помните Медтроник? Ее медицинские устройства для имплантации (которые можно заменить в теле пациента только с помощью скальпеля и общей анестезии) невероятно, катастрофически ненадежны. Но и Medtronic, как и Deere, настаивает на том, что все в порядке. Паре исследователей в области безопасности потребовалось создать и продемонстрировать «универсальный пульт для убийства людей», взломав эти импланты, прежде чем Medtronic объявила о добровольном отзыве только одного из своих продуктов.
Знаете, кто лучше всех понимает, насколько опасны аварийные блокировки John Deere и блокировка VIN? Украинские фермеры. Украина является крупным экспортером нелегальных альтернативных прошивок, которые заменяют программное обеспечение Deere собственным, удобным для фермеров (по иронии судьбы, если русским, укравшим эти тракторы Deere, удастся разблокировать их, скорее всего, это произойдет с помощью этого же программного обеспечения).
Неудивительно, что фермеры, работающие в развивающихся странах с высокими рисками и высокой нестабильностью, перепрошивать технику, чтобы стать свободными от жадности и погони за рентой транснационального монополиста, а также рисков его прошивок для дистанционного управления.
Высокий риск/высокая нестабильность теперь эндемичны для всего мира, а не только для Украины. Блокираторы, которыми наказали русских мародеров, прячутся повсюду, в каждом тракторе Deere. Как написала Кэти Геллис для Techdirt :
Реальность такова, что тот, кто сделал невозможным использование трактора его владельцем, может оказаться мародером. Но также он может быть и John Deere. Разница лишь в том, что поведение мародёра более беззаконно, тогда как поведение John Deere сегодня защищено законом. Но эффект одинаковый.
Мы должны создавать тракторы и телефоны, и автомобили, и вентиляторы, и медицинские имплантаты, которые будут надежными и устойчивыми, ремонтопригодными и обслуживаемыми даже в случае разрыва цепочки поставок. В этом есть свои риски — устройство без kill-switch немного привлекательнее для воров. Но аварийные блокираторы создают больше рисков, нежели компенсируют.
В мире, который становится все более рискованным, мы не должны это приветствовать.