Eğitilmemiş durumlara yanıt
(ccc.de)- 37C3'te Newag trenlerinin devre dışı bırakma mekanizmasını ortaya çıkaran üç hacker ceza ve hukuk davalarıyla karşı karşıya kalınca, Chaos Computer Club hukuki mücadele masrafları için bağış toplamaya başladı
- Söz konusu trenler, rakiplerin veya müşteri atölyelerinin coğrafi koordinatları içinde uzun süre kaldıklarında ya da kayıt dışı bir onarım yapılmış gibi görünen koşullarda kendiliğinden hazırda bekletme moduna giriyordu
- Devre dışı kalan trenler ancak Newag teknisyenleri çağrıldığında ‘kurtarılabiliyordu’; hackerlar bu davranışı, kimlik doğrulama gerektiren parça değişimlerine başvurmadan doğruladı
- Newag'ın şikayetinden sonra 38C3'te şimdiye kadar yaklaşık 30 bin avroya ulaşan hukuki süreç ve devamındaki gelişmeler paylaşıldı
- 8 Ocak 2025 itibarıyla CCC, 529 havaleyle 31.088,89 avro topladı; fazlalık tutar ise CCC e.V.'nin tüzüğündeki amaçlar doğrultusunda kullanılacak
Newag trenlerindeki DRM'nin ifşası ve hukuki anlaşmazlık
- Chaos Computer Club (CCC), 37C3'te Polonyalı demiryolu aracı üreticisi Newag'ın tren manipülasyonunu ifşa eden üç hackerı destekliyor
- Konu 37C3 sunumunda ele alındı ve CCC bunu 37C3'ün en popüler sunumlarından biri olarak görüyor
- Trenler belirli koşullarda hazırda bekletme moduna giriyordu
- Rakiplerin veya müşteri atölyelerinin coğrafi koordinatları içinde fazla uzun süre park edildiğinde
- Kayıt dışı bir onarım yapılmış gibi görünen koşullara maruz kaldığında
- Bu şekilde devre dışı kalan trenler ancak Newag teknisyenleri çağrıldığında ‘kurtarılabiliyordu’
- Hackerlar bu davranışı, kimlik doğrulama gerektiren tren parçalarının potansiyel olarak yasa dışı değişimine başvurmadan ortaya çıkardı
CCC'nin bağış kampanyası ve 38C3 takip sunumu
- Newag, ifşanın ardından hackerlara karşı hem ceza hem de hukuk davası açtı
- CCC, bu davaların bu tür ‘illegal instructions’ içeren ifşaları ve gelecekteki açıklamaları engellemeyi amaçladığını düşünüyor
- Hackerlar 38C3'te hukuki süreci anlattı; bugüne kadar oluşan masraf yaklaşık 30.000 avro seviyesinde
- CCC, havalelerin Chaos Computer Club e.V.'nin genel banka hesabına gönderilmesini ve açıklama kısmına
Lokomotiveyazılmasını istiyor- Hesap:
DE41 2001 0020 0599 0902 01 - BIC:
PBNKDEFFXXX
- Hesap:
- Gerekli 30.000 avroyu aşan bağışlar, gerçek hukuki giderlerin daha düşük kalması durumundaki bakiye ve iade edilen mahkeme masrafları, Chaos Computer Club e.V.'nin tüzükteki amaçları için kullanılacak
- CCC e.V., resmî olarak kâr amacı gütmeyen kuruluş statüsünde tanınmadığını da belirtiyor
- Takip sunumu 27 Aralık 2024 Cuma günü Hamburg'daki 38C3'te yapılacak; aynı gün 23.00'ten itibaren canlı yayında izlenebilecek ve daha sonra media.ccc.de'de yayımlanacak
- 8 Ocak 2025 güncellemesine göre toplam 529 banka havalesiyle 31.088,89 avro alındı
1 yorum
Hacker News yorumları
133,7€ bağış yaptım; ek hukuki masraflar çıkarsa memnuniyetle yine veririm
Başkalarının da cömertçe bağış yapıp bunu bu başlıkta paylaşmasını isterim
Newag'in burada yaptığı şey gerçekten iğrenç; üçüncü taraf bakım atölyelerinde bakımı yapılan trenleri “yeniden etkinleştirme” karşılığında tren başına 20.000€ almak istiyorlar
Böyle bir emsal oluşmasına izin verilmemeli
Önceki sunumu da mutlaka izlemenizi öneririm: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...
Canlı yayın buradaydı: https://streaming.media.ccc.de/38c3/eins/hls
Sunum bitti ve harikaydı
Program: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
Avrupa'nın büyük bölümü içtihat merkezli bir yargı sistemine sahip olmadığı için, benzer davalardaki önceki kararlardan çok yasanın kendisi önemlidir
Bir ürünü satın aldıysanız, tüm yazılıma erişebilmeli ve onu düzeltebilmelisiniz
Nereye bağış yaptığını merak ediyorum
Tren üreticileri bugünlerde birçok şirketin taktiklerini izliyor gibi görünüyor
Üreticilerin, satın alma sonrasında herhangi bir nedenle ürünü uzaktan devre dışı bırakması uygulaması birçok ürün kategorisinde felaket gibi yayılıyor
Parayı alıp ürünü teslim ettikten sonra üreticinin o ürünün nasıl kullanılacağına karışma hakkı olmamalı
Bunun gerçekten durması gerekiyor; dünya genelindeki düzenleyiciler ise bu konuda uyuyor
Daha fazla düzenleme getirmek de bir çözüm olabilir, ama bunun gerçekten istediğimiz yön olup olmadığı tartışmalı
Fiilen artık bir şey satın almıyor, kiralıyoruz
“Piyasa” bu saçmalığı kabul ederse düzenleyiciler hiçbir şey yapmayacak
İlk PC'mde de açılırsa garanti geçersizdir mührü vardı
Newag, ulaşımda dışlanmayla mücadele parlamento ekibi başkanı milletvekili Paulina Matysiak'ı da hedef aldı ve dokunulmazlığının kaldırılması için başvurdu
Bu olay geçen yıl ortaya çıktığından beri kendisi bu konuyu araştırıyordu
https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...
“Hackerların”, tren şirketinin rakip bir bakım firmasınca bakımı yapılan trenleri devre dışı bıraktığını keşfettiği hikâyeyi hatırlıyorum
Dava edilmeleri üzücü
Umarım yeterince para toplayıp Newag'e acı verici ve derinlemesine bir delil açıklaması süreci dayatabilirler
Kendi ürettikleri trenler olsa bile trenlere saldırmak, ülkenin kritik altyapısına saldırmaktır
“Annene ne yaptığını anlattığında annen şoke oluyorsa, yanlış bir şey yapıyorsundur” şeklindeki eski ahlak kuralına ne oldu bilmiyorum
Newag'in yaptığı şey bu kuralı çok açık biçimde ihlal ediyor
Ama bugün büyük tekelci işletmeler bu etkiyi öylece görmezden geliyor
Medya yetersiz fonlanmış ve yozlaşmış durumda; siyasetçiler de geniş anlamda yozlaşmış halde
Yasal ya da yarı yasal, mümkün olan her yöntemle
İlk keşfedildiği zamanki önceki tartışma vardı; daha fazla konuşulmamış olmasına şaşırmıştım: https://news.ycombinator.com/item?id=38893116
https://news.ycombinator.com/item?id=38530885
https://news.ycombinator.com/item?id=38567687
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38788360
ve daha fazlası
İlk yoruma da bakabilirsiniz
https://news.ycombinator.com/item?id=38788360
Tüm arka planı bilmeyenler için biri özet geçse iyi olur
Bu tür Truva atı trenleri satın alan hükümetlerin neden tren tedarikçisini ezip geçmediğini ve bunu ortaya çıkaran hackerlara neden madalya vermediğini merak ediyorum
Bu, neredeyse evrensel bir eğilim
Üreticiler bunu hâlihazırda yapmıyorsa, büyük olasılıkla planlıyorlardır
Dünyanın farklı yerleri geliştikçe daha ucuz makineler sunan üreticiler everywhere ortaya çıkıyor ve mevcut üreticilerin hendekleri ortadan kalkıyor
Dayanıklı tüketim malları üreticileri bir sonraki iş modeli olan bakım-destek abonelik hizmetlerine sarılıyor
Ford’un bağlantılı araç filosu hizmeti ivme kazanıyor ve ticari araç alanında son derece kârlı olabilir
Bu eğilimin önemli bir kısmı, iş gücü havuzunun personel eksikliği, eğitim eksikliği ve deneyim eksikliği nedeniyle zayıflamasından kaynaklanıyor
Bu tren olayı açıkça suça yakın, ancak şu anda yaşanan “ilerleme” dalgasından çok da uzak değil
Ne yazık ki bu tür bir keşif, diğer şirketlerin bundan ders çıkarmasına yol açacak gibi görünüyor
Yani kendi makul inkâr edilebilirlikleri olan yöntemlerini keşfetmeyi daha zor hale getirip, “güvenlik” adı altında gizleme yönüne gidecekler
Big Tech zaten bir süredir bu oyunu oynuyor
https://news.ycombinator.com/item?id=36926276
https://news.ycombinator.com/item?id=24955071
Newag burada mafya gibi davranıyor
“Tren durursa ne yazık olurdu, değil mi..?” der gibi
Polonya’ya ne yapacağını söylemek istemem ama tatmin edici son, Newag trenlerinin bu şekilde programlanması talimatını tam olarak kimin verdiğini bulup onu hapse göndermek olur
Bu tür yazılım yüklenmiş her tren bulunduğunda cezaya ekleme yapılmalı ve Newag’a söz konusu trenlerin ücretsiz bakımını yapma zorunluluğu getirilmeli
Polonya, para kazanmak için halkı soyan insanlara nasıl muamele ettiğini sert bir tavırla göstermek istiyorsa, bunun için en iyi yol bu olur
Ezici kanıtlar varken bile Polonya halkını soymanın kârlı bir iş olduğunu söylemek istiyorlarsa, eh, öyle yapsınlar
Trenler ve demiryolları söz konusu olduğunda bu basit bir iş meselesi değil, stratejik bir ulusal güvenlik meselesidir
“Bozulabilir gıda taşıyan bir tren yolda durursa ve ürünler çürürse ne yazık olurdu” gibi bir durum
Gıda güvenliğinin hükümetin düzeni koruma kabiliyetini etkilemediği bir ülke var mı bilmiyorum
Bunu bakım işletmecisi olmayan bir üçüncü taraf yapmış olsaydı, makul olarak terör örgütü sayılırdı; böyle bir grubun üyelerine de buna göre muamele edilmelidir
Kabul edilmesi gereken küçük ve belirli bir özellikle sınırlı olduğunu iddia etseler bile, tedarik zincirine normal işleyiş için gerekli olmayan bir zafiyet yerleştirip onu gerekliymiş gibi tasarlamış oluyorlar
En azından, doğrudan kendileri yapmasalar bile, böyle grupların cirit atmasının yolunu döşemiş oluyorlar