1 puan yazan GN⁺ 2023-12-15 | 1 yorum | WhatsApp'ta paylaş
  • Polonya’da Newag üretimi trenler üçüncü taraf bakımından sonra çalışamaz hâle gelerek demiryolu seferlerinde ve yolcu kapasitesinde aksamalara yol açtı
  • Etik hacker grubu Dragon Sector, Impuls tren kontrol sisteminde bakım atölyesi konumu ve parça seri numaralarına bağlı kilitleme kodu bulunduğunu iddia etti
  • Newag, kasıtlı arıza oluşturma işlevi olduğunu reddetti ve Dragon Sector’a karşı iftira ve hackleme yasalarını ihlal gerekçesiyle dava açacağını duyurdu
  • Dragon Sector, makinist panelinden girilen belgelenmemiş bir unlock code ile sorunu çözdü; SPS ile birlikte kontrol sistemini manipüle ettikleri iddialarını reddetti
  • Üretici ile bağımsız bakım şirketleri arasındaki çatışma onarım hakkı tartışmasına dönüşürken; güvenlik iddiaları, hukuki baskı ve yazılım kilitlerinin sınırları gündem oldu

Polonya tren seferlerini sarsan üçüncü taraf onarım

  • Polonya’da Newag tarafından üretilen trenlerin, üretici dışındaki bir şirket tarafından bakımdan geçirildikten sonra çalışmaması sorunu ortaya çıktı
  • Bakım şirketi Serwis Pojazdów Szynowych(SPS), Haziran 2022’de etik hacker grubu Dragon Sector’dan tren yazılımını analiz etmesini istedi
  • İnceleme konusu araçlar Polonyalı demiryolu işletmecisi Lower Silesian Railway’e aitti; birden fazla araçtaki “gizemli arızalar” sefer yapabilecek vagon sayısını azalttı
    • Rynek Kolejowy’ye göre tren eksikliği, taşıyıcı şirket ve yolcular için “ciddi bir sorun” hâline geldi
    • Kullanılabilir araç sayısı azalınca trenler kısaldı ve yolcu kapasitesi de düştü

Dragon Sector’ın işaret ettiği kilitleme koşulları

  • Dragon Sector, iki ay boyunca yazılımı analiz ettikten sonra “üreticinin müdahalesinin” zorunlu arızaya ve trenlerin çalışmamasına yol açtığı sonucuna vardı
  • Temel iddia, Newag’ın Impuls trenlerinin kontrol sistemine belirli koşullarda seferi engelleyen bir kod yerleştirdiği yönünde
    • GPS izleyici trenin bağımsız bir bakım atölyesinde birkaç gün park hâlinde kaldığını tespit ederse çalışmayı durduracak bir koşul bulunduğu iddia edildi
    • SPS bakım hangarının ve sektördeki benzer şirketlere ait bakım hangarlarının konum koşullarına dahil edildiği söylendi
    • Henüz inşaat hâlinde olan SPS hangarının da koşullara dahil edildiği belirtildi
  • 404 Media’ya göre, belirli parçalar üretici onaylı seri numaraları olmadan değiştirildiğinde de trenlerin kullanılmaz hâle geldiği iddiası ortaya atıldı

Belgelenmemiş unlock code

  • Dragon Sector, makinist panelinden girilebilen belgelenmemiş bir unlock code keşfettiğini ve bu kodla sorunu çözdüğünü 404 Media’ya söyledi
  • Dragon Sector’dan Sergiusz Bazański, Mastodon’da trenlerin üçüncü taraf bakım atölyelerinde bakımdan geçirildikten sonra keyfi gerekçelerle kilitlendiğini yazdı
  • Bazański, üreticinin bu sorunu bakım atölyesinin hatası olarak gösterdiğini ve bakımın üçüncü taraflar yerine üreticide yapılması gerektiğini savunduğunu belirtti
  • Bazı durumlarda Newag’ın trenleri uzaktan kilitleyebildiği izlenimi oluştuğu da iddia edildi
  • Newag ise “herhangi bir uzaktan müdahalenin” “fiilen imkânsız” olduğunu söyleyerek karşı çıktı

Newag’ın inkârı ve hukuki işlem tehdidi

  • Newag, “workshop-detection” yazılımı ya da kasıtlı arızaya yol açan bir işlev geliştirdiği iddialarını reddetti
  • Şirket, Dragon Sector’ın iftira attığını ve hackleme ile ilgili yasaları ihlal ettiğini söyleyerek dava tehdidinde bulundu
  • Hacklenmiş trenlerin demiryolu trafik güvenliği için tehdit oluşturabileceği, bu nedenle seferden alınmaları gerektiği yönünde de görüş bildirdi
    • 404 Media, Newag’ın güvenlikle ilgili iddialarının henüz kanıtlanmadığını aktardı
  • Newag, Dragon Sector’ın raporunun güvenilir olmadığını söyledi; gerekçe olarak da analizin Newag’ın başlıca rakiplerinden biri tarafından talep edilmiş olmasını gösterdi
  • Newag başkanı Zbigniew Konieczek, şirketin kasıtlı olarak kusurlu yazılım yüklediğine dair kanıt sunulmadığını söyledi
    • Rakip bir şirketin yazılıma müdahale etmiş olabileceği ihtimalini de gündeme getirdi
    • Konieczek, Janusz Cieszyński’yi Newag hakkında yanlış ve çok zarar verici bilgiler yaymakla eleştirdi

Yetkili makamların soruşturması ve onarım hakkı tartışmasına dönüşmesi

  • Newag, hackleme soruşturması için yetkili makamlarla iletişime geçtiğini ve Demiryolu Taşımacılığı Ofisi’ne söz konusu araçların seferden alınıp alınmayacağına karar vermesi için bildirim yaptığını açıkladı
  • Polonya’nın eski Dijital İşler Bakanı Janusz Cieszyński, X’te Newag başkanının kendisiyle iletişime geçerek şirketin bir siber suçun mağduru olduğunu ileri sürdüğünü yazdı
  • Cieszyński, gördüğü analizin Newag’ın iddialarından farklı bir yöne işaret ettiğini belirtti
  • Dragon Sector ve SPS, tren kontrol sistemini manipüle ettikleri iddialarını reddetti
  • 404 Media, Newag’ın tepkisinin onarım hakkı alanında sık görülen yöntemlere benzediğini değerlendirdi
    • Bu yöntem, üreticinin rakip bakım şirketlerine dava tehdidiyle ve kanıtlanmamış üçüncü taraf onarım güvenliği riski iddialarıyla baskı yapması anlamına geliyor
  • Dragon Sector başarı örneğini YouTube’a yükledi ve sonuçları Varşova’daki Oh My H@ck konferansında tartıştı
  • The Register’a göre Dragon Sector, Aralık sonunda Almanya’nın Hamburg kentinde düzenlenecek 37th Chaos Communication Congress’te daha ayrıntılı bir sunum yapmayı planlıyor
  • Dragon Sector’dan Michał Kowalczyk, Newag’ın savunma mantığının zayıf olduğunu, gerçek bir davada savunma yapmasının zor olacağını ve medyada tehditkâr görünmeye çalışıyor gibi durduğunu 404 Media’ya söyledi

1 yorum

 
GN⁺ 2023-12-15
Hacker News yorumları
  • Aynı haberle ilgili önceki tartışmalar:
    https://news.ycombinator.com/item?id=38628635
    https://news.ycombinator.com/item?id=38632033

  • Bu olayda gerçekten rahatsız edici olan, trenin bozulacak şekilde tasarlanmış olmasının yanı sıra, bu tasarımın berbat olup sefer sırasında arızalanabilme ihtimaliydi
    Üretici yolcuların hayatını tehlikeye attıysa, şirketin tüm yöneticilerinden kişisel sorumluluk istenmeli
    https://news.ycombinator.com/item?id=38641289
    Bu bakış açısı daha derinlemesine araştırılırsa, bunun basit bir ticari anlaşmazlık olmaktan çıkıp çok daha ciddi bir meseleye dönüşeceğini düşünüyorum

    • Kötü bir şey olduğunda yöneticiler, işi başkalarına yaptırdıklarını söyleyip habersizmiş gibi davranır; iyi bir şey olduğunda ise işi insanlara yaptıranların kendileri olduğunu söyleyip tüm payeyi toplarlar
    • Sorun, ABD genelinde otoyolların döşendiği dönemden beri başladı ve ardından ABD'nin demiryolu sektöründeki düzenlemeleri gevşeterek onu uzun mesafe kamyon taşımacılığıyla rekabet etmeye zorlamasıyla daha da kötüleşti
      John Oliver'ın demiryolu bölümü bunu çok iyi açıklamıştı
      Sonrasında işçilerin izin günleri kalmadı, bir trendeki personel sayısı 2'ye düşürüldü ve şimdi 1'e indirmeye çalışıyorlar
      Tren uzunlukları gerçekten birkaç mile kadar çıktı; yolları ve ambulansları kapatıp birçok insanın ölümüne neden oldu, okula gitmek için trenlerin altından sürünerek geçen çocukların çarpıldığı olaylar bile yaşandı
      Makinistler 4 mil uzunluğundaki bir trende yürüyerek “kontrol” yapmak zorunda; düzenlemelerin gevşetilmesi yüzünden eskiden tüm kontrol listesini kapsayan denetim süresi birkaç dakikaya indi
      Tek düzenleyici kurumun yetkisi zayıflatıldı ve 1900'lerin başı tarzı frenlere sahip trenler bile çalışıyor
      Kimyasal sızıntıların eşlik ettiği “kazalar” her yıl birkaç kez yaşanıyor ve bunların hepsi kâr arayışı yüzünden
      Bu işçiler sürekli fazla çalıştırılırken, hastalık iznini 2–3 ay önceden planlamadıkça kullanamıyorlar
      Artık tren kazalarından kaçınmak zorlaştı ve bir sonraki kaza Ohio'daki Palestine'dan daha felaket olabilir
      Demiryolu gerçekten harika ve topluma muazzam katkı sağlayabilecek bir şey; şirketlerin kâr arayışının ve düzenleme gevşetmenin onu bu hâle getirmesi üzücü
    • Trenin bozulması veya durması tek başına yaralanma ya da ölüm riski yaratmaz
  • Bu hikâyeyi şu yazı daha iyi derliyor:
    https://badcyber.com/dieselgate-but-for-trains-some-heavywei...

    • İlgili HN tartışması da var: https://news.ycombinator.com/item?id=38567687 5 gün önce, 289 yorum
    • “Trenin bu atölyelerden birinde en az 10 gün kalması durumunda çalışabilirliğini devre dışı bırakan bir koşul bilgisayar koduna yazılmıştı” deniyor; bu gerçekten apaçık yanlış bir şey
    • Orijinal makale de okumaya değer
      Newag yönetiminin arsız böbürlenmesi var; özetle “Trenlerimizde bulunan, rakipleri engelleyen yazılımı bizim yüklediğimizi kanıtlayamazsınız ki” demeye yakın
    • O başlık çok yanıltıcı
      Konuya ilgim olduğu için HN'de bağlantıyı gördüm ama “Dieselgate” denince doğal olarak emisyon meselesi olduğunu düşünüp geçtim
      Tren emisyonları konusunu zaten herkesin bildiğini ve pek yeni bir şey olmayacağını düşündüğüm içindi
      Başlıkta vendor lock-in ya da tamir hakkı geçmeliydi
  • Dragon Sector'a göre Newag, Impuls tren kontrol sistemine, GPS izleyici trenin bağımsız bir bakım atölyesinde birkaç gün beklediğini gösterdiğinde çalışmayı durduracak kod yerleştirmiş
    Bu oldukça vahim bir emare
    Bunu tek bir geliştiricinin mi yaptığını, yoksa yukarıdan talimat mı geldiğini merak ediyorum

    • Newag başkanı Zbigniew Konieczek, “Şirketimizin kusurlu yazılımı kasıtlı olarak yüklediğine dair hiçbir kanıt sunulmadı. Bizim görüşümüze göre gerçek tamamen farklı olabilir. Örneğin bir rakip yazılıma müdahale etmiş olabilir” demiş
      Bu mazeret o kadar saçma ki yönetimin haberdar olduğu aksine daha da açık görünüyor
    • Hangi tek başına çalışan geliştirici “tren bakım atölyelerinin tüm GPS koordinatlarını bulup, tren orada birkaç gün beklerse çalışmaz hale getirmeliyim” diye düşünür ki?
    • Tek bir geliştiricinin böyle bir şey yapıp bu kararı yönetimden saklaması için hiçbir motivasyonu yok
      Elbette tek başına bir geliştirici fikri ortaya atıp büyük bir prim umarak yönetime önerebilir
      Ama bunu neden gizlice yapsın?
      Üst yönetimin dahil olmadığı bir senaryoyu hayal etmek zor
    • Diğer açıklamalar başarısız olursa kesin bunu da deneyeceklerdir
      Şu anki pozisyonları “trenlerde böyle bir kod yok; olsa bile bizim değil” gibi görünüyor
    • Çalışan bunu onaysız yapmış olsa bile şirket yine de sorumlu tutulmalı
      Güvenlik düzenlemelerinin, üreticiyi çalışan davranışlarından doğan sorumluluktan muaf tuttuğunu sanmıyorum
      Tam tersine, sorunlu bir çalışan olsa bile inceleme ve denetimlerle güvenliği garanti etmeleri gerektiğini düşünüyorum
  • Umarım bunu uygulamaya zorlanan geliştirici, kimin emrettiğini kanıtlayacak yazılı delilleri saklamıştır
    Yoksa günümüzde sadakatin nasıl ödüllendirildiğini öğrenecek

    • Böyle belgeleri saklamış olsa bile, emri veren yöneticiyle birlikte cezalandırılmalı
      Etik dışı olduğunu bilerek yaptığı bir işti; reddetmeliydi
      Programcılar için işten çıkarılma riski, neredeyse diğer meslek gruplarındaki kadar büyük bir mesele değil
    • Belge izi olsun olmasın, toplumda böyle şeyler yapan insanların sayısı daha az olmalı
      Bunu uygulayan kişi okuyorsa: çok kötü bir insansın ve topluma zararlısın
    • Umarım o geliştirici ifade verir de daha üst düzey yöneticiler para cezası alır, hatta hapse girer
      Şirket de ağır sözleşmesel cezalar ve yaptırımlarla karşılaşmalı
      Beklemiyorum ama öyle olsa iyi olurdu
  • Sabotaj yerleştirilmiş bir ürünü satıp da dolandırıcılık suçlamasıyla yargılanıp hapse girilen gün gerçekten gelecek mi?

    • Teoride, yakın zamanda açıklanan iddianame 0,5 ila 8 yıl hapis cezasına karşılık gelen iki suç bildirimiyle başlamıştı
    • Güç sahipleri neden kendi kendilerini cezalandırsın ki?
  • Newag “herhangi bir uzaktan müdahale fiilen imkânsız” demiş; bu oldukça iddialı bir söz
    Deneyimlerime göre otomasyon/robotik sistemler üreten neredeyse tüm şirketler bir şekilde arka kapı bulundurur
    Amaç uzaktan devre dışı bırakmak değil; talep geldiğinde soruna uzaktan erişip hızlı ve verimli şekilde çözmektir
    Yerel IP uyuşmazlığını ya da sistem servisinin durmasını kontrol etmek için müşterinin tesisine, bazen dünyanın öbür ucuna uçmak mantıklı olmadığından “imkânsız” sözü doğru değil

  • Özetle, Polonyalı tren bakım şirketi SPS, Newag’ın yaptığı trenler “rastgele” sürekli bozulup tamir de edilemeyince şüphelenmiş
    Onarım gecikirse ceza ödemelerini gerektiren sözleşme yüzünden Polonya hükümetine milyonlar mertebesinde ceza ödüyorlardı
    Bu yüzden Dragon Sector adlı hacker’ları 2 ay boyunca gizlice tutup Newag tren kodunu didik didik ettirdiler; hacker’lar geç dönem kapitalizm, kurumsal korumacılık, sabotaj ya da fidye talebi sayılabilecek şaşırtıcı şeyler buldu
    Bulunan gizli kod, SPS dahil Polonya’daki 5 tren bakım şirketinin depolarının etrafındaki coğrafi çokgenlerin içine girildiğinde treni bozuyor, 1 milyon km’den sonra bozuyor, 10 gün boyunca hareket etmezse bozuyor ve “arızayı” kaldıran gizli bir tuş kombinasyonu da içeriyordu

    • Düşük seviyeli teknik raporun yayımlanıp yayımlanmadığını merak ediyorum
      Firmware tersine mühendisliğini severim; bu kulağa kutsal kâse gibi geliyor
      Üstelik trenlerden bahsediyoruz; keşke biri binary’leri sızdırsa
    • Acemiler
      Herkes böyle numaraların, kanıtın doğrudan istemcide bulunmaması için web servisi çağrılarının arkasına saklanması gerektiğini bilir
    • “Kapitalizmin geç dönem platform kirliliği”nin özünde Marx’ın öngördüğü Verelendung ile aynı şey olduğunu şimdi fark ettim
  • Yinelenen gönderi
    Artık kimse siteyi okumuyor mu?
    Asıl haber tartışması bir haftadan biraz önce vardı: https://news.ycombinator.com/item?id=38530885
    Şirketin devam niteliğinde bir karşı yalanlama yazısı da var
    Polonyalı tren üreticisi, yazılımının rakibin demiryolu araçlarını kullanılmaz hale getirdiği iddialarını reddediyor https://news.ycombinator.com/item?id=38570654
    Üstelik daha dün çok oy alan bir 404media yinelenen gönderisi de vardı
    https://news.ycombinator.com/item?id=38628635

    • Ziyaret etmeye devam edebilmek için ana sayfadaki tüm haberleri her gün okumak gibi bir şart mı var?
      Birkaç günde bir giriş yapıp birkaç şey okuyamaz, beğendiklerime oy verip birkaç gün sonra tekrar gelemez miyim?
    • Burada bağlantısı verilen sitelerin çoğunu okumuyorum
      Buraya yorumları görmeye geliyorum
      Bilmem gerekecek kadar önemliyse yorumlarda doğrudan alıntılanmış olacağını varsayıyorum
  • “Bu kapıyı üç kez çalarsan içeri girebilirsin; yoksa kapı sonsuza dek kilitlenir” gibi bir kötü amaçlı kod bekliyordum
    Ama gerçekte “rakibin enlem-boylam konumunda coğrafi olarak park edilmişse treni kullanılmaz hale getir”miş
    Koda arka kapı ya da eğlenceli easter egg koymanın birçok yolu var; gerçekten zahmetli ve aleni bir kötüye kullanım yöntemini seçmişler

    • Neredeyse doğru tahmin etmişsin
      Sürücü konsolunda gizli bir tuş kombinasyonu vardı ve o kombinasyona basılınca tren sihirli şekilde açılıyordu
      Şimdi kaldırıldı
    • Resmî açıklamayı okuyunca avukatla bile görüşmemişler izleniminden kaçmak zor
      Belirli suçlamaları inkâr etme biçimleri adeta ek soruşturma için yalvarır düzeyde
      Polonyalıyım ve geçmişte bu tür insanlarla çalıştım; o açıklama, artık yok olmasını umduğum bir iş yapma tarzının kokusunu taşıyor
      Ama anlaşılan hâlâ orada burada varlığını sürdürüyor