Hackerların keşfettiği, üçüncü taraf onarımdan sonra arızalanacak şekilde tasarlanmış trenler
(arstechnica.com)- Polonya’da Newag üretimi trenler üçüncü taraf bakımından sonra çalışamaz hâle gelerek demiryolu seferlerinde ve yolcu kapasitesinde aksamalara yol açtı
- Etik hacker grubu Dragon Sector, Impuls tren kontrol sisteminde bakım atölyesi konumu ve parça seri numaralarına bağlı kilitleme kodu bulunduğunu iddia etti
- Newag, kasıtlı arıza oluşturma işlevi olduğunu reddetti ve Dragon Sector’a karşı iftira ve hackleme yasalarını ihlal gerekçesiyle dava açacağını duyurdu
- Dragon Sector, makinist panelinden girilen belgelenmemiş bir unlock code ile sorunu çözdü; SPS ile birlikte kontrol sistemini manipüle ettikleri iddialarını reddetti
- Üretici ile bağımsız bakım şirketleri arasındaki çatışma onarım hakkı tartışmasına dönüşürken; güvenlik iddiaları, hukuki baskı ve yazılım kilitlerinin sınırları gündem oldu
Polonya tren seferlerini sarsan üçüncü taraf onarım
- Polonya’da Newag tarafından üretilen trenlerin, üretici dışındaki bir şirket tarafından bakımdan geçirildikten sonra çalışmaması sorunu ortaya çıktı
- Bakım şirketi Serwis Pojazdów Szynowych(SPS), Haziran 2022’de etik hacker grubu Dragon Sector’dan tren yazılımını analiz etmesini istedi
- İnceleme konusu araçlar Polonyalı demiryolu işletmecisi Lower Silesian Railway’e aitti; birden fazla araçtaki “gizemli arızalar” sefer yapabilecek vagon sayısını azalttı
- Rynek Kolejowy’ye göre tren eksikliği, taşıyıcı şirket ve yolcular için “ciddi bir sorun” hâline geldi
- Kullanılabilir araç sayısı azalınca trenler kısaldı ve yolcu kapasitesi de düştü
Dragon Sector’ın işaret ettiği kilitleme koşulları
- Dragon Sector, iki ay boyunca yazılımı analiz ettikten sonra “üreticinin müdahalesinin” zorunlu arızaya ve trenlerin çalışmamasına yol açtığı sonucuna vardı
- Temel iddia, Newag’ın Impuls trenlerinin kontrol sistemine belirli koşullarda seferi engelleyen bir kod yerleştirdiği yönünde
- GPS izleyici trenin bağımsız bir bakım atölyesinde birkaç gün park hâlinde kaldığını tespit ederse çalışmayı durduracak bir koşul bulunduğu iddia edildi
- SPS bakım hangarının ve sektördeki benzer şirketlere ait bakım hangarlarının konum koşullarına dahil edildiği söylendi
- Henüz inşaat hâlinde olan SPS hangarının da koşullara dahil edildiği belirtildi
- 404 Media’ya göre, belirli parçalar üretici onaylı seri numaraları olmadan değiştirildiğinde de trenlerin kullanılmaz hâle geldiği iddiası ortaya atıldı
Belgelenmemiş unlock code
- Dragon Sector, makinist panelinden girilebilen belgelenmemiş bir unlock code keşfettiğini ve bu kodla sorunu çözdüğünü 404 Media’ya söyledi
- Dragon Sector’dan Sergiusz Bazański, Mastodon’da trenlerin üçüncü taraf bakım atölyelerinde bakımdan geçirildikten sonra keyfi gerekçelerle kilitlendiğini yazdı
- Bazański, üreticinin bu sorunu bakım atölyesinin hatası olarak gösterdiğini ve bakımın üçüncü taraflar yerine üreticide yapılması gerektiğini savunduğunu belirtti
- Bazı durumlarda Newag’ın trenleri uzaktan kilitleyebildiği izlenimi oluştuğu da iddia edildi
- Newag ise “herhangi bir uzaktan müdahalenin” “fiilen imkânsız” olduğunu söyleyerek karşı çıktı
Newag’ın inkârı ve hukuki işlem tehdidi
- Newag, “workshop-detection” yazılımı ya da kasıtlı arızaya yol açan bir işlev geliştirdiği iddialarını reddetti
- Şirket, Dragon Sector’ın iftira attığını ve hackleme ile ilgili yasaları ihlal ettiğini söyleyerek dava tehdidinde bulundu
- Hacklenmiş trenlerin demiryolu trafik güvenliği için tehdit oluşturabileceği, bu nedenle seferden alınmaları gerektiği yönünde de görüş bildirdi
- 404 Media, Newag’ın güvenlikle ilgili iddialarının henüz kanıtlanmadığını aktardı
- Newag, Dragon Sector’ın raporunun güvenilir olmadığını söyledi; gerekçe olarak da analizin Newag’ın başlıca rakiplerinden biri tarafından talep edilmiş olmasını gösterdi
- Newag başkanı Zbigniew Konieczek, şirketin kasıtlı olarak kusurlu yazılım yüklediğine dair kanıt sunulmadığını söyledi
- Rakip bir şirketin yazılıma müdahale etmiş olabileceği ihtimalini de gündeme getirdi
- Konieczek, Janusz Cieszyński’yi Newag hakkında yanlış ve çok zarar verici bilgiler yaymakla eleştirdi
Yetkili makamların soruşturması ve onarım hakkı tartışmasına dönüşmesi
- Newag, hackleme soruşturması için yetkili makamlarla iletişime geçtiğini ve Demiryolu Taşımacılığı Ofisi’ne söz konusu araçların seferden alınıp alınmayacağına karar vermesi için bildirim yaptığını açıkladı
- Polonya’nın eski Dijital İşler Bakanı Janusz Cieszyński, X’te Newag başkanının kendisiyle iletişime geçerek şirketin bir siber suçun mağduru olduğunu ileri sürdüğünü yazdı
- Cieszyński, gördüğü analizin Newag’ın iddialarından farklı bir yöne işaret ettiğini belirtti
- Dragon Sector ve SPS, tren kontrol sistemini manipüle ettikleri iddialarını reddetti
- 404 Media, Newag’ın tepkisinin onarım hakkı alanında sık görülen yöntemlere benzediğini değerlendirdi
- Bu yöntem, üreticinin rakip bakım şirketlerine dava tehdidiyle ve kanıtlanmamış üçüncü taraf onarım güvenliği riski iddialarıyla baskı yapması anlamına geliyor
- Dragon Sector başarı örneğini YouTube’a yükledi ve sonuçları Varşova’daki Oh My H@ck konferansında tartıştı
- The Register’a göre Dragon Sector, Aralık sonunda Almanya’nın Hamburg kentinde düzenlenecek 37th Chaos Communication Congress’te daha ayrıntılı bir sunum yapmayı planlıyor
- Dragon Sector’dan Michał Kowalczyk, Newag’ın savunma mantığının zayıf olduğunu, gerçek bir davada savunma yapmasının zor olacağını ve medyada tehditkâr görünmeye çalışıyor gibi durduğunu 404 Media’ya söyledi
1 yorum
Hacker News yorumları
Aynı haberle ilgili önceki tartışmalar:
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38632033
DRM trenlerini tamir eden Polonyalı hackerlar tren şirketi tarafından tehdit edildi - https://news.ycombinator.com/item?id=38628635 - Aralık 2023 (137 yorum)
Polonyalı tren üreticisi, yazılımının rakibin demiryolu araçlarını kullanılamaz hâle getirdiği iddialarını reddetti - https://news.ycombinator.com/item?id=38570654 - Aralık 2023 (2 yorum)
Dieselgate, ama trenler için – ağır sıklet donanım hackleme - https://news.ycombinator.com/item?id=38567687 - Aralık 2023 (292 yorum)
Polonya trenleri üçüncü taraf atölyelerde bakım görünce kilitleniyor - https://news.ycombinator.com/item?id=38530885 - Aralık 2023 (359 yorum)
Bu olayda gerçekten rahatsız edici olan, trenin bozulacak şekilde tasarlanmış olmasının yanı sıra, bu tasarımın berbat olup sefer sırasında arızalanabilme ihtimaliydi
Üretici yolcuların hayatını tehlikeye attıysa, şirketin tüm yöneticilerinden kişisel sorumluluk istenmeli
https://news.ycombinator.com/item?id=38641289
Bu bakış açısı daha derinlemesine araştırılırsa, bunun basit bir ticari anlaşmazlık olmaktan çıkıp çok daha ciddi bir meseleye dönüşeceğini düşünüyorum
John Oliver'ın demiryolu bölümü bunu çok iyi açıklamıştı
Sonrasında işçilerin izin günleri kalmadı, bir trendeki personel sayısı 2'ye düşürüldü ve şimdi 1'e indirmeye çalışıyorlar
Tren uzunlukları gerçekten birkaç mile kadar çıktı; yolları ve ambulansları kapatıp birçok insanın ölümüne neden oldu, okula gitmek için trenlerin altından sürünerek geçen çocukların çarpıldığı olaylar bile yaşandı
Makinistler 4 mil uzunluğundaki bir trende yürüyerek “kontrol” yapmak zorunda; düzenlemelerin gevşetilmesi yüzünden eskiden tüm kontrol listesini kapsayan denetim süresi birkaç dakikaya indi
Tek düzenleyici kurumun yetkisi zayıflatıldı ve 1900'lerin başı tarzı frenlere sahip trenler bile çalışıyor
Kimyasal sızıntıların eşlik ettiği “kazalar” her yıl birkaç kez yaşanıyor ve bunların hepsi kâr arayışı yüzünden
Bu işçiler sürekli fazla çalıştırılırken, hastalık iznini 2–3 ay önceden planlamadıkça kullanamıyorlar
Artık tren kazalarından kaçınmak zorlaştı ve bir sonraki kaza Ohio'daki Palestine'dan daha felaket olabilir
Demiryolu gerçekten harika ve topluma muazzam katkı sağlayabilecek bir şey; şirketlerin kâr arayışının ve düzenleme gevşetmenin onu bu hâle getirmesi üzücü
Bu hikâyeyi şu yazı daha iyi derliyor:
https://badcyber.com/dieselgate-but-for-trains-some-heavywei...
Newag yönetiminin arsız böbürlenmesi var; özetle “Trenlerimizde bulunan, rakipleri engelleyen yazılımı bizim yüklediğimizi kanıtlayamazsınız ki” demeye yakın
Konuya ilgim olduğu için HN'de bağlantıyı gördüm ama “Dieselgate” denince doğal olarak emisyon meselesi olduğunu düşünüp geçtim
Tren emisyonları konusunu zaten herkesin bildiğini ve pek yeni bir şey olmayacağını düşündüğüm içindi
Başlıkta vendor lock-in ya da tamir hakkı geçmeliydi
Dragon Sector'a göre Newag, Impuls tren kontrol sistemine, GPS izleyici trenin bağımsız bir bakım atölyesinde birkaç gün beklediğini gösterdiğinde çalışmayı durduracak kod yerleştirmiş
Bu oldukça vahim bir emare
Bunu tek bir geliştiricinin mi yaptığını, yoksa yukarıdan talimat mı geldiğini merak ediyorum
Bu mazeret o kadar saçma ki yönetimin haberdar olduğu aksine daha da açık görünüyor
Elbette tek başına bir geliştirici fikri ortaya atıp büyük bir prim umarak yönetime önerebilir
Ama bunu neden gizlice yapsın?
Üst yönetimin dahil olmadığı bir senaryoyu hayal etmek zor
Şu anki pozisyonları “trenlerde böyle bir kod yok; olsa bile bizim değil” gibi görünüyor
Güvenlik düzenlemelerinin, üreticiyi çalışan davranışlarından doğan sorumluluktan muaf tuttuğunu sanmıyorum
Tam tersine, sorunlu bir çalışan olsa bile inceleme ve denetimlerle güvenliği garanti etmeleri gerektiğini düşünüyorum
Umarım bunu uygulamaya zorlanan geliştirici, kimin emrettiğini kanıtlayacak yazılı delilleri saklamıştır
Yoksa günümüzde sadakatin nasıl ödüllendirildiğini öğrenecek
Etik dışı olduğunu bilerek yaptığı bir işti; reddetmeliydi
Programcılar için işten çıkarılma riski, neredeyse diğer meslek gruplarındaki kadar büyük bir mesele değil
Bunu uygulayan kişi okuyorsa: çok kötü bir insansın ve topluma zararlısın
Şirket de ağır sözleşmesel cezalar ve yaptırımlarla karşılaşmalı
Beklemiyorum ama öyle olsa iyi olurdu
Sabotaj yerleştirilmiş bir ürünü satıp da dolandırıcılık suçlamasıyla yargılanıp hapse girilen gün gerçekten gelecek mi?
Newag “herhangi bir uzaktan müdahale fiilen imkânsız” demiş; bu oldukça iddialı bir söz
Deneyimlerime göre otomasyon/robotik sistemler üreten neredeyse tüm şirketler bir şekilde arka kapı bulundurur
Amaç uzaktan devre dışı bırakmak değil; talep geldiğinde soruna uzaktan erişip hızlı ve verimli şekilde çözmektir
Yerel IP uyuşmazlığını ya da sistem servisinin durmasını kontrol etmek için müşterinin tesisine, bazen dünyanın öbür ucuna uçmak mantıklı olmadığından “imkânsız” sözü doğru değil
Özetle, Polonyalı tren bakım şirketi SPS, Newag’ın yaptığı trenler “rastgele” sürekli bozulup tamir de edilemeyince şüphelenmiş
Onarım gecikirse ceza ödemelerini gerektiren sözleşme yüzünden Polonya hükümetine milyonlar mertebesinde ceza ödüyorlardı
Bu yüzden Dragon Sector adlı hacker’ları 2 ay boyunca gizlice tutup Newag tren kodunu didik didik ettirdiler; hacker’lar geç dönem kapitalizm, kurumsal korumacılık, sabotaj ya da fidye talebi sayılabilecek şaşırtıcı şeyler buldu
Bulunan gizli kod, SPS dahil Polonya’daki 5 tren bakım şirketinin depolarının etrafındaki coğrafi çokgenlerin içine girildiğinde treni bozuyor, 1 milyon km’den sonra bozuyor, 10 gün boyunca hareket etmezse bozuyor ve “arızayı” kaldıran gizli bir tuş kombinasyonu da içeriyordu
Firmware tersine mühendisliğini severim; bu kulağa kutsal kâse gibi geliyor
Üstelik trenlerden bahsediyoruz; keşke biri binary’leri sızdırsa
Herkes böyle numaraların, kanıtın doğrudan istemcide bulunmaması için web servisi çağrılarının arkasına saklanması gerektiğini bilir
Yinelenen gönderi
Artık kimse siteyi okumuyor mu?
Asıl haber tartışması bir haftadan biraz önce vardı: https://news.ycombinator.com/item?id=38530885
Şirketin devam niteliğinde bir karşı yalanlama yazısı da var
Polonyalı tren üreticisi, yazılımının rakibin demiryolu araçlarını kullanılmaz hale getirdiği iddialarını reddediyor https://news.ycombinator.com/item?id=38570654
Üstelik daha dün çok oy alan bir 404media yinelenen gönderisi de vardı
https://news.ycombinator.com/item?id=38628635
Birkaç günde bir giriş yapıp birkaç şey okuyamaz, beğendiklerime oy verip birkaç gün sonra tekrar gelemez miyim?
Buraya yorumları görmeye geliyorum
Bilmem gerekecek kadar önemliyse yorumlarda doğrudan alıntılanmış olacağını varsayıyorum
“Bu kapıyı üç kez çalarsan içeri girebilirsin; yoksa kapı sonsuza dek kilitlenir” gibi bir kötü amaçlı kod bekliyordum
Ama gerçekte “rakibin enlem-boylam konumunda coğrafi olarak park edilmişse treni kullanılmaz hale getir”miş
Koda arka kapı ya da eğlenceli easter egg koymanın birçok yolu var; gerçekten zahmetli ve aleni bir kötüye kullanım yöntemini seçmişler
Sürücü konsolunda gizli bir tuş kombinasyonu vardı ve o kombinasyona basılınca tren sihirli şekilde açılıyordu
Şimdi kaldırıldı
Belirli suçlamaları inkâr etme biçimleri adeta ek soruşturma için yalvarır düzeyde
Polonyalıyım ve geçmişte bu tür insanlarla çalıştım; o açıklama, artık yok olmasını umduğum bir iş yapma tarzının kokusunu taşıyor
Ama anlaşılan hâlâ orada burada varlığını sürdürüyor