Hackerların, üçüncü taraf onarımdan sonra bozulacak şekilde tasarlandığını ortaya çıkardığı trenler

 (arstechnica.com)
1 puan yazan GN⁺ 2023-12-15 | 1 yorum | WhatsApp'ta paylaş

Tren üreticisinin gizli kilidini açmak

  • Polonya'daki tren işletimini etkileyen sıra dışı bir onarım hakkı sorunu ortaya çıktı.
  • Etik hacker grubu Dragon Sector'dan tren yazılımını analiz etmesi istendi.
  • Tren üreticisi Newag, hackerları iftiradan dava etmekle tehdit etti.

Trenlerin üçüncü taraf onarımdan sonra bozulacak şekilde tasarlandığı iddiası

  • Dragon Sector, Newag'nin Impuls trenlerinin kontrol sistemine, bağımsız bir tamirhanede birkaç gün park edilmesi halinde trenin çalışmamasını sağlayan kod eklediğini öne sürüyor.
  • Trenlerin belirli konumlarda hareket etmesini engelleyen bir mantık uygulandığı, bu konumların SPS gibi şirketlerin servis hangarları olduğu belirtiliyor.
  • Ayrıca, belirli parçalar üretici tarafından onaylanmış seri numarası olmadan değiştirildiğinde trenin çalışmamasını sağlayan kod da bulunduğu söyleniyor.

Dava tehdidi hackerları susturamadı

  • Dragon Sector, tren sürücüsünün panelinden girilebilen "belgelenmemiş bir kilit açma kodu" keşfederek trenleri yeniden çalıştırdı.
  • Newag, yazılıma kasıtlı arızaya yol açan herhangi bir çözüm eklemediğini savunuyor.
  • Dragon Sector ve SPS, trenlerin kontrol sistemine müdahale ettikleri iddiasını reddediyor.

GN⁺ görüşü

  • Bu olay, tüketicinin onarım hakkı etrafında önemli bir tartışma başlatıyor. Üreticinin tekelci onarım hizmetlerini dayatma girişimine ilişkin etik ve hukuki sorunlar öne çıkıyor.
  • Hackerların tren yazılımını analiz ederek sorunu çözmesi, teknolojinin gücünü ve bilgi paylaşımının önemini gösteriyor.
  • Bu makale, teknik bir sorunun ötesine geçerek şirket politikaları ve tüketici hakları üzerine ilgi çekici bir tartışma başlatma potansiyeli taşıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-12-15
Hacker News yorumu

  • Önceki ilgili tartışma başlıkları:

  • Ürün tasarımı sorununa yönelik şikayet:

    "Sorun sadece ürünün bozulacak şekilde tasarlanmış olması değil, aynı zamanda gerçekten sefer halindeyken de arızalanabilecek bir durum yaratmış olmaları. Üreticinin yolcuların hayatını tehlikeye atması nedeniyle şirket yöneticilerine kişisel sorumluluk yüklenmesi gerektiğini düşünüyorum."

  • Daha iyi bir haber yazısı talebi:

  • Yazılım manipülasyonu şüphesi:

    "Dragon Sector'a göre Newag, Impuls trenlerinin kontrol sistemine, GPS izleyicisi trenin birkaç gün boyunca bağımsız bir bakım tesisinde park halinde olduğunu algılarsa çalışmayı durdurmasını sağlayan kod ekledi. Bu son derece ciddi bir mesele gibi görünüyor."

  • Geliştiricinin kanıtları saklamış olması umudu:

    "Bunu uygulaması söylenen geliştiricinin, talimatı kimin verdiğini kanıtlayan belgeleri saklamış olmasını umuyorum. Aksi halde sadakatin nasıl ödüllendirildiğini öğrenmiş olacaktır."

  • Yinelenen haber uyarısı:

  • Uzaktan müdahale olasılığına ilişkin şirketin inkarı:

    "Newag, 'herhangi bir uzaktan müdahalenin' 'fiilen imkansız' olduğunu iddia ediyor. Ancak deneyimlerime göre otomasyon/robotik sistemleri sürdüren şirketlerin çoğu, yazılıma uzaktan hızlı ve verimli erişim için bir 'arka kapı' bulundurur; bu, sistemi uzaktan devre dışı bırakmak için değil, sorun gidermek veya düzeltme yapmak içindir. Dolayısıyla 'imkansız' demek doğru değil."

  • Dolandırıcılık suçlaması için olası yasal yaptırım:

    "Bunun dolandırıcılık suçlamasıyla itham edilip gözaltına alınabilecek bir noktası olup olmadığını merak ediyorum."

  • Olayın özeti:

    "Polonyalı tren bakım şirketi SPS, Newag üretimi trenler 'rastgele' bozulup onarılamaz hale gelince ve onarım gecikmeleri nedeniyle Polonya devletine milyonlarca dolar ceza ödemek zorunda kalınca şüphelenmeye başladı. SPS gizlice hacker grubu Dragon Sector'u tutarak iki ay boyunca Newag trenlerinin kodunu inceletti. Hackerlar, 'geç dönem kapitalizminin' ya da daha somut olarak kurumsal korumacılık, engelleme ve fidye talebi gibi uygulamaların çarpıcı örneklerini buldu. Örneğin hackerların keşfettiği gizli kodlardan bazıları şunlardı:

    • Tren, Polonya'daki 5 tren bakım şirketinin depolarının çevresindeki coğrafi alanlara girerse arızalanıyor.
    • Tren 1 milyon kilometre yol yaptığında arızalanıyor.
    • Tren 10 gün boyunca hareket etmezse arızalanıyor.
    • 'Arızayı' devre dışı bırakan gizli bir tuş kombinasyonu bulunuyor."

  • Yazılım manipülasyonu yöntemine duyulan şaşkınlık:

    "Koda arka kapılar ya da başka eğlenceli Easter egg'ler eklemenin birçok yolu var ama bunlar, tren rakibin enlem/boylam koordinatlarında park ettiğinde onu etkisiz hale getirmek gibi son derece külfetli ve bariz bir sömürü yöntemini seçmiş."