Tren versiyonu 'Dieselgate' olayı – ağır sıklet donanım hack'i yaşandı

 (badcyber.com)
4 puan yazan GN⁺ 2023-12-09 | 1 yorum | WhatsApp'ta paylaş

Makale özeti: Polonya tren hackleme olayı

  • Polonyalı tren üreticisi Newag'ın Impuls 45WE treni bakım sırasında aniden durdu.
  • Bakımdan sorumlu SPS sorunu çözemedi ve Dragon Sector ekibi devreye girdi.

İhaleyi kazan, serviste başarısız ol

  • SPS, 1.000.000 km kullanım sonrası zorunlu bakım için açılan ihalede Newag'ı geçerek bakım sözleşmesini aldı.
  • Bakımın ardından tren çalışmayınca SPS çözüm için kılavuza başvurdu, ancak bir çözüm bulamadı.

Gizemli arıza

  • İkinci tren de aynı sorun nedeniyle bakım sonrasında çalışmadı.
  • Üretici Newag yardım etmeyi reddetti ve daha fazla tren bakım sonrasında durmaya başladı.

Polonya'nın en iyi hackerları

  • Trenlerin hizmet dışı kalması toplu taşımada aksamalara yol açtı ve SPS, Dragon Sector ekibinden yardım istedi.
  • Dragon Sector ekibi, sorunu çözmek için trenin bilgisayar sistemlerini analiz etmeye çalıştı.

Son tarih baskısı ve tren arızaları

  • Lower Silesian Railway, arızalı trenleri onarmak için Newag ile birlikte çalışma kararı aldı.
  • Son tarih yaklaşırken Dragon Sector ekibi sorunu çözmek için gece gündüz çalıştı.

Trenlerin bozulma nedeni

  • Tren yazılımı kodunda, belirli GPS koordinatlarında 10 günden fazla kalınırsa trenin çalışmasını engelleyen bir koşul gizlenmişti.
  • Tren parçaları değiştirildiğinde treni kilitleyen mekanizma ve bu kilidi açma yöntemi de keşfedildi.

Tarih doğrulaması zorluğu

  • Başka trenlerde ise tarihle ilgili koşullar nedeniyle kompresör hatası bildiriliyor ve tren çalışmıyordu.

Donanım sürprizi

  • Trenin içinde "UDP<->CAN converter" olarak işaretlenmiş bir cihaz bulundu; bunun uzaktan iletişim için kullanılabildiği tahmin ediliyor.

Sadece Wrocław değil

  • SPS'nin Newag'ın arızalı trenlerini onardığı bilgisi başka şirketlere de yayılınca, benzer sorunların yaygın olduğu ortaya çıktı.

Sırada ne var

  • Üreticinin çözümüne ilişkin değerlendirme okurlara ve müşterilere bırakıldı.
  • Polonya'da ise bu konuya ilgi göstermek dışında kayda değer bir adım atılmadı.

GN⁺ görüşü

  • Bu olaydaki en önemli nokta, tren yazılımına gizlenmiş koşulların ortaya çıkarılmasıydı.
  • Bu haberi ilginç kılan şey, sıradan bir tren bakımının uzman hackerların müdahalesiyle büyük bir siber güvenlik meselesine dönüşmesiydi.

İlgili okumalar

1 yorum

 
GN⁺ 2023-12-09
Hacker News yorumu
  • İlgili son makale: Polonya trenleri, üçüncü taraf bakım atölyelerinde onarıldığında sistem kilitlenmesi yaşıyor
    • Polonya'daki trenlerin rakip bir şirketin bakım tesisinde 10 günden fazla kalması durumunda, tren sistemini adeta 'brick' edip çalışmaz hale getiren bir kod bulundu. Bu, yalnızca onarım bilgisine erişim engelini aşan bir durum değil; kasıtlı mala zarar verme gibi görünüyor.
  • Rakipte onarım yapıldığında ürünü kasıtlı olarak bozmak oldukça cüretkar bir hareket.
  • Makale başlığı yanıltıcı. Bu olay, Dieselgate'teki gibi yapay koşullarda sertifikasyonu geçmeye çalışmak değil; rakipte bakım gördüğü için sahte parça arızaları bildirip trenin hizmet dışı kalmasına neden olmak.
  • Polonya'da bu meseleye ilgi gösteren kurumlar var, ancak tüketici koruma veya rekabetin korunmasıyla ilgili kurumlardan somut bir adım atılmış değil.
  • Bu tür motor kontrol sistemi sorunlarını çözmek için, düzenleyicileri kandırmadan sensör çıkışlarının değiştirilebilmesini sağlayacak şekilde arayüzleri standartlaştırmak bir çözüm olabilir.
  • Bu, yazılım yoluyla kasıtlı bir engelleme gibi görünüyor ve müşterileri üreticinin hizmetlerini kullanmaya zorlamayı amaçlıyor olabilir. Mahkeme kararına ilgi büyük.
  • Tren firmware'inin kalitesi genel olarak pek iyi görünmüyor ve umarım bu skandal daha fazla dikkat çeker. Geçmişte Almanya'da Deutsche Bahn'da ve İsviçre'de de benzer yazılım sorunları bildirilmişti.
  • Ağırlıklı olarak İngilizce içerik tüketiyorum; diğer ülkelerin içeriklerine ise çoğunlukla ancak büyük medyaya sızdıklarında erişebiliyorum. Çeviriler sayesinde daha fazla iyi içeriğe ulaşmanın mümkün olup olmadığını merak ediyorum.