20.01.23
Os hackers e os tratores
Como os invasores de sistemas ajudaram a colocar lenha em uma disputa entre produtores e fabricantes de máquinas agrícolas em torno do direito ao reparo fora das revendas oficiais
No início de maio, poucos meses após o começo da guerra na Ucrânia, saqueadores russos roubaram todo o maquinário agrícola de uma revendedora na cidade ocupada de Melitopol. As máquinas, avaliadas em mais de US$ 5 milhões, foram enviadas para a Chechênia, a mais de 1.100 quilômetros de distância. Mas quando lá chegaram os saqueadores perceberam que o plano tinha uma falha: as máquinas não funcionavam, pois haviam sido remotamente desativadas. Não poderiam mais ser usadas na lavoura e, no máximo, renderiam alguma coisa se desmontadas.
Embora os casos de saques e roubos provocados pelo Exército da Rússia tenham pululado desde o início do confronto, este, em particular, chamou a atenção pela rapidez com que foi possível bloquear seu uso de forma remota. Até mesmo a viagem que os equipamentos fizeram foi monitorada pelo sofisticado sistema de GPS embutido no hardware. Muitos foram rápidos em elogiar a segurança tecnológica envolvida nesse maquinário, mas o episódio revela um lado controverso dessa tecnologia de ponta.
Da mesma maneira que a John Deere, dona das colheitadeiras e tratores roubados pelos russos, foi capaz de bloquear o acesso, hackers mal-intencionados poderiam fazer o mesmo. E já ficou provado que esse acesso é possível. Em agosto, o hacker Sick Codes, australiano conhecido por encontrar falhas de segurança nos sistemas de empresas, apresentou um jailbreak, como são conhecidas as ferramentas que permitem o acesso ou o uso de aplicativos e caminhos não autorizados, para o maquinário da John Deere na DefCon, convenção de cibersegurança realizada em Las Vegas, nos Estados Unidos. Ele provou ser possível acessar e controlar diversos modelos por meio de suas telas touch screen. Em seu Twitter, ele mostrou até que é possível jogar o clássico game Doom no sistema hackeado – uma versão customizada em que o jogador aparecia no meio de uma fazenda cheia de ovelhas.
O que Sick Codes quis mostrar é a quantidade de bugs e falhas em um sistema que deveria ser mais seguro. O processo, no entanto, não foi fácil. Durante meses, ele testou diversas gerações de modelos, buscando maneiras de conquistar acessos mais profundos. Registros criados no sistema para facilitar os reparos também forneciam caminhos para ir cada vez mais longe, até que ele finalmente conseguiu superar a proteção do sistema. “Lancei um ataque e dois minutos depois eu consegui acesso ao ‘root’”, afirmou o hacker à revista Wired. Ou seja, ele havia conseguido privilégios de administrador e poderia mexer no maquinário como se fosse um técnico autorizado. Ele não conseguiu acesso remoto, mas afirmou que seria possível desenvolver uma ferramenta capaz de fazer o ataque sem ter acesso direto aos tratores.
A preocupação com a segurança da cadeia de produção é legítima. Em 2021, a JBS sofreu um ataque do grupo REvil que forçou a empresa a paralisar suas operações na Austrália, no Canadá e nos Estados Unidos. Os hackers ameaçaram divulgar dados sigilosos da companhia e exigiram o pagamento de US$ 22,5 milhões em resgate. No fim, a JBS concordou em pagar US$ 11 milhões para resolver o ataque, uma modalidade conhecida como “ransomware”. E há diversos incidentes do tipo. O exemplo da JBS se tornou o mais conhecido pelo tamanho do prejuízo, mas outras empresas do setor, como a cervejaria Molson Coors, a cooperativa agrícola americana New Cooperative e a produtora francesa de champanhe Laurent Perrier foram algumas das companhias do agronegócio afetadas por invasões semelhantes.
A descoberta de Sick Codes também teve um outro efeito: deu subsídios para os produtores que exigem maior liberdade no controle de seus equipamentos. O crescente movimento, que já ganhou o apelido de “free the tractors”, ou “libertem os tratores”, está relacionado ao direito de fazer reparos em seu próprio maquinário sem depender dos fabricantes originais. O que acontece hoje é que as empresas exigem que qualquer manutenção seja obrigatoriamente feita com um técnico credenciado ou com representantes das revendas. Se o produtor optar por fazer o conserto de outra forma, deve chamar o técnico para habilitar o equipamento ou corre o risco de perder a garantia. E isso vem causando dores de cabeça para muitos. “Os fazendeiros preferem equipamentos mais antigos porque eles são mais confiáveis. Eles não querem que as coisas deem errado no momento mais importante do ano, quando eles precisam tirar os alimentos da terra”, afirmou Sick Codes à revista americana Wired. “Então, é isso que devíamos fazer. Queremos que os produtores possam consertar as coisas quando elas dão problema, e hoje isso significa tomar decisões relacionadas ao software de seu maquinário.”
Trata-se de um problema antigo que já causou revolta em outros setores econômicos. A indústria automobilística foi pioneira em desenvolver sistemas que só permitem que a manutenção seja feita em concessionárias autorizadas, reduzindo a autonomia dos motoristas e mecânicos em fazer ajustes em seus veículos. A justificativa oficial é que o processo garante mais segurança. Na prática, no entanto, o bloqueio só concentra mais poder nas mãos das grandes empresas, que podem cobrar valores acima da média do mercado pelos reparos e pode forçar consumidores a aposentar veículos antes do planejado ao decretar que uma unidade não pode mais ser consertada. Há outro caso famoso na medicina. A Medtronic, fabricante de ventiladores mecânicos, resolveu mudar sua política de manutenção e impediu que a manutenção fosse feita nos hospitais e consultórios, exigindo que os equipamentos fossem levados a revendedores e assistências técnicas autorizadas. A situação ficou caótica durante a pandemia, quando essas peças foram muito usadas e os médicos não podiam esperar dias ou semanas por um técnico oficial. A solução veio de um hacker polonês que trabalhou na Medtronic e passou a divulgar os códigos de liberação dos aparelhos, escondidos em itens do dia a dia, como relógios e luminárias de mesa, e enviados a diversos mecânicos do mundo.
A controvérsia envolvendo o “direito de reparo” dos produtores chegou à Justiça americana. Em 2021, a Casa Branca emitiu uma ordem executiva obrigando órgãos governamentais a ampliar a fiscalização sobre práticas que suspendam a garantia dos equipamentos em caso de reparos feitos fora das revendedoras oficiais. O estado de Nova York foi mais longe e aprovou uma lei que garante o direito dos produtores à manutenção. A própria John Deere, que minimizou o ataque provocado por Sick Codes, anunciou em março que vai disponibilizar novas funcionalidades de seu software de manutenção aos produtores e que, no ano que vem, vai lançar uma “solução avançada” para que mecânicos e fazendeiros possam baixar atualizações remotamente, sem a necessidade de entrar em contato com representantes ou levar o maquinário para as revendedoras.
No caso dos tratores, há outros questionamentos envolvidos no uso de sistemas fechados como o da John Deere. O principal está relacionado ao fato de que os produtores que pagam milhões de dólares em um trator ou colheitadeira não estão comprando o equipamento, mas apenas garantindo o uso temporário. É o que a própria John Deere afirmou em 2017: como o software original é de sua propriedade, assegurada pelo direito de copyright americano, durante 90 anos, os fazendeiros apenas utilizam o sistema, e precisam concordar com os termos cada vez que ligam a máquina. O ecossistema tecnológico da empresa oferece diversos benefícios, envolvidos ao que se convencionou chamar de agricultura 4.0. Com GPS, telemetria, softwares de mapeamento e machine learning, produtores podem tomar decisões mais assertivas baseadas em dados, que contribuem para um plantio mais eficaz. Mas o que os ativistas questionam é se o preço que se paga por esses benefícios justifica a adoção dessas práticas.
“Devemos construir tratores – e telefones, carros, ventiladores e implantes médicos – que sejam robustos e resilientes, sustentáveis e reparáveis mesmo quando as cadeias de suprimentos quebram”, escreve o jornalista e ativista Cory Doctorow em sua página no Medium. “Há riscos para isso – um dispositivo sem um kill switch (o dispositivo de segurança que desliga o equipamento) é um pouco mais atraente para os ladrões. Mas os kill switches impõem riscos que superam amplamente as vantagens que oferecem”, conclui. A Ucrânia, por exemplo, é uma das principais exportadoras de códigos ilegais que burlam os dispositivos de segurança – e fazendeiros americanos já estão comprando esses códigos para mexer em seus tratores. Se os saqueadores russos conseguissem usar os equipamentos roubados, provavelmente fariam isso usando as táticas ilegais ucranianas. O hacker Sick Codes demonstrou que a segurança dos sistemas tem brechas. Se hackers mal-intencionados forem capazes de invadi-los, toda a cadeia de produção de alimentos que a própria fabricante de maquinário diz proteger pode estar em risco.