Un paio di settimane fa i proprietari di stampanti HP (specialmente OfficeJet pro) hanno cominciato a lamentare l’impossibilità di stampare. Una testimonianza:

I turn it on, it complains about a damaged cartridge, so I open the front door to replace. When I open the door, the carriage does NOT move, and the error message now says to close the door to print. I close the door, and the original damaged cartridge error message returns.

La accendo, si lamenta di una cartuccia danneggiata, così apro lo sportello frontale per cambiarla. Quando apro lo sportello, la cartuccia NON si muove, e il messaggio di errore ora dice di chiudere lo sportello per stampare. Chiudo lo sportello, e ritorna il messaggio di errore di prima di cartuccia danneggiata.

L’allarme è scattato perché segnalazioni simili si sono moltiplicate in tutto il mondo. E avevano in comune solo una cosa: l’uso di cartucce non originali.

Presto si è scoperto il motivo: HP ha introdotto in un aggiornamento del firmware un vero e proprio sabotaggio a tempo che blocca la stampante con cartucce di terze parti. In pratica ogni cartuccia ha una propria firma digitale, un certificato, e dal 12 settembre sono accettate solo le firme di HP; un sistema di DRM (Digital Right Management, gestione diritti digitali) simile a quello che troviamo in Netflix, Spotify o iTunes. Piuttosto scomodo e seccante, non trovate?

Arriva lunedì una lettera di Cory Doctorow per conto di Electronic Frontier Foundation (EFF), organizzazione americana che da più di vent’anni vuole proteggere i diritti digitali dei consumatori, diretta a Dion Weisleral, presidente ed amministratore delegato di HP.
Il primo diritto difeso è – ovviamente -quello di poter scegliere il produttore di cartucce preferito, ma presto il discorso si allarga ad un aspetto particolare:

HP abused its security update mechanism to trick its customers
[…]
By co-opting the security update mechanism to deliver an anti-feature—that is, something that works against your customers’ interests—you have introduced doubt into the patch process.

HP ha abusato del proprio meccanismo di aggiornamenti di sicurezza per ingannare i propri clienti
[…]
Sfruttanto il meccanismo degli aggiornamenti di sicurezza per distribuire una funzionalità-blocco – cioè, qualcosa che lavora contro gli interessi dei vostri clienti – avete introdotto il dubbio nel processo di patch.

Questa cosa potrebbe creare un vero e proprio rifiuto di accettare aggiornamenti per timore di non poter usare più la stampante: non mancano esempi (sebbene solo accademici) di malware in grado di estrarre informazioni personali dai processi di stampa, proprio per buchi nel software o nel firmware della stampante.

Altro punto: la condotta di HP è stata volutamente truffaldina. Gli update sono stati distribuiti a marzo, ma il blocco attivato a settembre.

That means that HP knew, for at least six months, that some of its customers were buying your products because they believed they were compatible with any manufacturer’s ink, while you had already planted a countdown timer in their property that would take this feature away.

Questo vuol dire che HP sapeva, almeno in quei sei mesi, che qualcuno dei suoi clienti stava comprando un prodotto che credevano fosse compatibile con l’inchiostro di qualunque produttore, mentre voi avevate già impiantato un conto alla rovescia nella loro proprietà che avrebbe spazzato via questa caratteristica.

L’accusa diretta è di non aver pubblicizzato la volontà di limitare la compatibilità alle sole cartucce “originali” per non avere da subito un calo nelle vendite.

Ultimo accusa: il metodo usato (i DRM) indica che HP potrebbe invocare la difesa del copyright (sezione 1201 del Digital Millennium Copyright Act -DMCA) per la sua azione. Ma questo, è di nuovo pericoloso per la sicurezza:

Security researchers rightly fear that disclosures of defects in products covered by Section 1201 could lead to severe punishments.

I ricercatori in sicurezza giustamente temono che la divulgazione di difetti in prodotti protetti dalla sezione 1201 potrebbe portare a punizioni severe.

Il risultato è che nessuno cercherebbe o comunque farebbe notare i buchi presenti, lasciandoli a disposizione dei malintenzionati.

Doctorow traccia anche quelle che sarebbero le mosse opportune di HP in cinque punti, mettendosi a disposizione per aprire un confronto:

1. scusarsi con tutti i clienti, e ristabilire le funzionalità delle loro stampanti presenti all’origine con un update del firmware che annulli la sequenza di auto-distruzione;
2. impegnarsi pubblicamente che non useranno mai più il processo di update del software per distribuire funzionalità-blocco che lavorano contro l’interesse dei clienti;
3. impegnarsi pubblicamente che gli effetti di qualunque update saranno pienamente esternati;
4. divulgare rapidamente qualunque capacità o piano per rimuovere caratteristiche dai dispositivi nelle informazioni per la vendita, cosicché i clienti sappiano cosa stanno prendendo prima di comprarla;
5. promettere di non invocare mai la sezione 1201 del DMCA contro i ricercatori in sicurezza o concorrenti che fanno prodotti legittimi di manutenzione/sostituzione.

Una bella letterina, che EFF ha forse la capacità di far applicare visto il precedente con Lexmark.

PS: EFF ha messo a disposizione petizione per sostenere la sua posizione.

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.