Üreticinin kasıtlı olarak çalışmaz hale getirdiği treni onaran Polonyalı hacker’lar, demiryolu şirketinden tehdit alıyor

 (404media.co)
7 puan yazan GN⁺ 2023-12-14 | 1 yorum | WhatsApp'ta paylaş

Polonya tren hack olayı özeti

  • Polonya'nın güneybatısındaki bir bölgesel demiryolu şirketinin trenleri, bağımsız bakım şirketinin onarımından sonra üretici tarafından çalışamaz hale getirildi.
  • Üretici, treni hackleyen beyaz şapkalı hacker’ları dava etmekle tehdit etti.
  • Olay, Polonya'nın altyapı ve bakım sektörlerinde tartışma yarattı; ancak üretici trenlerin güvenlik sorunu taşıdığı iddiasını kanıtlayamadı.

Parça eşleştirmeyi engelleyen mekanizma

  • Tren üreticisi NEWAG, GPS izleyicisinin trenin belli bir süre bağımsız bir bakım şirketinde kaldığını tespit etmesi ya da üreticinin onayladığı seri numarası olmadan belirli parçaların değiştirildiğinin algılanması halinde trenin çalışmasını engelleyen bir kod yerleştirdi.
  • Bu tür bir 'parça eşleştirmeyi engelleme' mekanizması, çiftçilerin John Deere traktörlerini şirket onayı olmadan tamir etmesini önlemek ve Apple'ın iPhone'ların bağımsız onarımını engellemek için de kullanılıyor.

Hacker’ların treni onarması

  • Polonyalı tren işletmecisi Lower Silesian Railway, düzenli bakımı bağımsız bakım şirketi SPS üzerinden yaptırırken trenlerin çalışmaması sorunuyla karşılaştı.
  • SPS bunun üzerine Dragon Sector adlı beyaz şapkalı hacker grubundan yardım istedi.
  • Dragon Sector, tren yazılımına gömülü bir 'atölye tespit' sistemi buldu ve tren sürücüsü panelinden girilebilen bir 'kilit açma kodu' keşfederek sorunu çözdü.

Üreticinin tepkisi

  • NEWAG, tren yazılımına kasıtlı olarak arıza oluşturan bir çözüm eklemediğini savundu ve hacker’ları dava etmekle tehdit etti.
  • NEWAG, hacker’ların eylemlerini demiryolu ulaşım güvenliğine tehdit oluşturmak ve yasal hükümleri ihlal etmekle suçladı.

Avrupa telif hakkı yasaları

  • Avrupa'da Telif Hakkı ve Bilgi Toplumu Direktifi'nin 2001 tarihli 6. maddesi, DRM aşmayı ABD'deki DMCA 1201. bölümden daha katı biçimde düzenliyor ve onarım muafiyetini açıkça belirtmiyor.
  • Bu durum, Dragon Sector gibi araştırmacılar için ek hukuki riskler doğurabilir.

GN⁺ görüşü

  • Bu olay, üreticilerin tekelci onarımı dayatıp bağımsız onarımı engellemesine dair küresel sorunun bir örneği.
  • Beyaz şapkalı hacker’ların teknik engelleri aşarak onarımı mümkün kılması, tüketici hakları ve bağımsız onarım sektörü için önemli bir kazanım.
  • Olay, onarım hakkına ilişkin hukuki ve politik tartışmaları etkileyebilecek önemli bir örnek olarak, teknik koruma önlemlerinin sınırları ve mülkiyet hakkı üzerine yeni tartışmalar başlatabilir.

İlgili okumalar

1 yorum

 
GN⁺ 2023-12-14
Hacker News görüşü

  • Pandeminin en yoğun döneminde, Polonyalı bir hackerın geliştirdiği bir dongle’ın ABD’li tamir uzmanları tarafından DRM’yi aşmak için kullanılması gerektiğini ve bunun COVID-19 hastalarını kurtarmak için gereken ventilatörlerin kullanılmasını sağladığını anlatan bir yazı yazmıştı.

    • Bu son derece şeytanca bir davranış. Tamir hakkı konusunda başkaları kadar duygusal yatırımım yok ama DRM’nin yaşam için kritik cihazların çalışmasını zorlaştırması düpedüz yozlaşmışlık demek. Bu şirketlerden utanılmalı.
    • Tamir hakkını destekleyenler bu tür örnekleri öne çıkarmalı. Başkalarının da bunu desteklemek istemesinin başlıca nedeni tam olarak bu.

  • Newag’ın hackerlara karşı bir hamle yapmasının olası olmadığını düşünüyorum. Hackerlar üçüncü taraf IT ağlarını/sistemlerini hacklemedi; demiryolu şirketine ait trenleri hacklediler.

  • İlgili bağlantılar:

  • Gynvael Coldwind (Dragon Sector üyesi ama ilgili treni hackleyen ekibin bir parçası değil) şirketin savunma mantığının kusurlu olduğunu anlatan bir yazı kaleme almış.

    • Ağırlıklı olarak reverse engineering, derleme süreci ve son binary içindeki yerleşim - .text, .data bölümleri, offset’ler vb. üzerine.
    • Code cave ve hooking hakkında bağlantılar veriyor
    • Sonunda yazı, AB içinde bu tür hack’lerin hukuki statüsünün belirsiz olduğunu tartışıyor.
    • Büyük endüstriyel ekipman alıcılarının DRM’yi tercih eden tedarikçileri piyasadan itebilmesini umuyor ama gerçekte bunun böyle olmadığını belirtiyor.

  • DRM’nin iki yönlü işlemesinden memnunum. Üretici ürününü kilitlemekte özgür olabilir ama bunun açıkça belirtilmesi gerekir ve mal sahibi de sahip olduğu şeyi kurcalamakta özgür olmalıdır. Trenlerin sahibi onlar.

  • Bu hikâyeden çıkarılacak ders, üreticilerin daha fazla para kazanmak için kullanıcıları kandırmasının "karşı koyulamayacak kadar küçük bir sorun" değil, sınırsız açgözlülük olduğudur.

  • Dragon Sector’un, Newag’ın açıklamasına yanıtını içeren yazısına doğrudan bağlantı verilmiş:

    • Hackerların Newag’a yanıt yazısı bağlantısı
    • Bu kez daha fazla ayrıntı var gibi görünüyor. Örneğin, firmware’deki Newag servis farklarına dair bir 'önce/sonra' karşılaştırması var ve burada ilginç değişiklikler bulunuyor.
    • Eğer bu doğruysa, Newag içinde "yetkisiz hackerlar" olabileceğini düşündürüyor.

  • Yazının bunu DRM olarak açıklamasından hoşlanmıyorum. Bunun DRM ya da yazılım kurcalama önleme ile hiçbir ilgisi yok.

    • Bu, üreticinin üçüncü taraf tamirhaneleri beceriksiz göstermek için gizlice eklediği bir yazılım parçası.
    • DRM bunu resmî olarak belgelenmiş bir kurcalama önleme mekanizması gibi gösteriyor. Yazının kendisi iyi ama başlıkta ve içerikte DRM kullanımı yanlış.

  • Bu, açıkça NEWAG’ın kendisine yönelik suçlamalara daha fazla dikkat çekecek ve geri tepecektir.

    • NEWAG yönetimi ve sorumluları, dolandırıcılık komplosunun yanı sıra iftira suçlamalarıyla da cezai olarak yargılanmalı.
    • NEWAG’ın üçüncü taraf tamirhanelerin usulsüzlük yaptığı konusunda bilerek yalan söylediği ve bunu müşterileri kendi servislerinde hizmet almaya yönlendirmek ya da buna zorlamak için kullandığı açık görünüyor.