1 Punkte von GN⁺ 2023-12-15 | 1 Kommentare | Auf WhatsApp teilen
  • In Polen wurden von Newag hergestellte Züge nach Wartung durch Dritte betriebsunfähig, was den Bahnverkehr und die Fahrgastkapazität beeinträchtigte
  • Die Ethical-Hacking-Gruppe Dragon Sector behauptet, im Steuerungssystem der Impuls-Züge habe es Sperrcode gegeben, die an den Standort der Werkstatt und Seriennummern von Bauteilen geknüpft waren
  • Newag bestreitet, absichtlich Funktionen zum Herbeiführen von Ausfällen eingebaut zu haben, und kündigt Klagen gegen Dragon Sector wegen Verleumdung und Verstößen gegen Hackergesetze an
  • Dragon Sector löste das Problem nach eigenen Angaben mit einem nicht dokumentierten unlock code, der über das Führerstandspanel eingegeben wird, und weist den Vorwurf zurück, zusammen mit SPS das Steuerungssystem manipuliert zu haben
  • Der Konflikt zwischen Hersteller und unabhängigen Wartungsbetrieben weitet sich zu einer Debatte um das Recht auf Reparatur aus; strittig sind Sicherheitsargumente, juristischer Druck und die Grenze von Software-Sperren

Reparaturen durch Dritte bringen den polnischen Bahnverkehr ins Wanken

  • In Polen kam es bei von Newag gebauten Zügen zu dem Problem, dass sie nach Wartung durch Unternehmen außerhalb des Herstellers nicht mehr funktionierten
  • Der Wartungsbetrieb Serwis Pojazdów Szynowych (SPS) beauftragte im Juni 2022 die Ethical-Hacking-Gruppe Dragon Sector mit der Analyse der Zugsoftware
  • Betroffen waren Fahrzeuge des polnischen Bahnbetreibers Lower Silesian Railway, und durch mehrere „mysteriöse Ausfälle“ sank die Zahl einsatzfähiger Wagen
    • Laut Rynek Kolejowy wurde der Zugmangel für Verkehrsunternehmen und Fahrgäste zu einem „ernsten Problem“
    • Durch die geringere Zahl verfügbarer Fahrzeuge wurden die Züge kürzer und konnten weniger Fahrgäste aufnehmen

Die von Dragon Sector benannten Sperrbedingungen

  • Nach zwei Monaten Softwareanalyse kam Dragon Sector zu dem Schluss, dass „ein Eingreifen des Herstellers“ zu erzwungenen Ausfällen und dazu führte, dass Züge nicht mehr starteten
  • Die zentrale Behauptung lautet, Newag habe in das Steuerungssystem der Impuls-Züge Code eingebaut, der unter bestimmten Bedingungen den Betrieb verhindere
    • Es habe demnach eine Bedingung gegeben, bei der ein GPS-Tracker den Betrieb stoppte, wenn der Zug mehrere Tage auf dem Gelände einer unabhängigen Werkstatt geparkt gewesen sei
    • Die Wartungshalle von SPS und die Hallen ähnlicher Unternehmen der Branche seien in diese Standortbedingung einbezogen gewesen
    • Sogar eine noch im Bau befindliche Halle von SPS sei Teil der Bedingung gewesen
  • Laut 404 Media soll ein Zug auch dann unbrauchbar gemacht worden sein, wenn bestimmte Teile ohne vom Hersteller genehmigte Seriennummer ersetzt wurden

Nicht dokumentierter unlock code

  • Dragon Sector entdeckte nach Angaben gegenüber 404 Media einen nicht dokumentierten unlock code, der über das Führerstandspanel eingegeben werden kann, und behob damit das Problem
  • Sergiusz Bazański von Dragon Sector schrieb auf Mastodon, die Züge seien nach Wartung in Drittwerkstätten aus willkürlichen Gründen gesperrt worden
  • Bazański erklärte, der Hersteller habe die Schuld dafür den Werkstätten zugeschoben und behauptet, die Wartung müsse durch den Hersteller und nicht durch Dritte erfolgen
  • Zudem wurde behauptet, in einigen Fällen habe es so ausgesehen, als könne Newag Züge aus der Ferne sperren
  • Newag entgegnete, „jeglicher Fernzugriff“ sei „faktisch unmöglich“

Newags Dementi und die Drohung mit rechtlichen Schritten

  • Newag bestreitet die Behauptung, Software zur „workshop-detection“ oder Funktionen für absichtlich herbeigeführte Ausfälle entwickelt zu haben
  • Das Unternehmen droht mit Klagen und wirft Dragon Sector Verleumdung sowie Verstöße gegen Gesetze zum Hacking vor
  • Es vertritt außerdem die Position, gehackte Züge könnten die Sicherheit des Bahnverkehrs gefährden und müssten daher aus dem Betrieb genommen werden
    • 404 Media berichtet, dass Newags sicherheitsbezogene Behauptungen bislang nicht belegt seien
  • Newag erklärte, der Bericht von Dragon Sector sei nicht vertrauenswürdig, und verwies dabei darauf, dass einer der wichtigsten Wettbewerber von Newag die Analyse in Auftrag gegeben habe
  • Newag-Präsident Zbigniew Konieczek sagte, es seien keine Belege dafür vorgelegt worden, dass das Unternehmen absichtlich fehlerhafte Software installiert habe
    • Er stellte zudem die Möglichkeit in den Raum, dass ein Wettbewerber in die Software eingegriffen habe
    • Konieczek kritisierte, Janusz Cieszyński habe über Newag falsche und sehr schädliche Informationen verbreitet

Ausweitung zur behördlichen Untersuchung und zur Debatte um das Recht auf Reparatur

  • Newag erklärte, man habe die Behörden wegen der Hacking-Untersuchung kontaktiert und mitgeteilt, dass die Eisenbahnverkehrsbehörde über eine mögliche Ausmusterung der betroffenen Fahrzeuge entscheiden solle
  • Der frühere polnische Digitalminister Janusz Cieszyński schrieb auf X, der Newag-Präsident habe ihn kontaktiert und erklärt, das Unternehmen sei Opfer von Cyberkriminalität
  • Cieszyński schrieb, die von ihm gesehene Analyse deute in eine andere Richtung als die Darstellung von Newag
  • Dragon Sector und SPS weisen den Vorwurf zurück, das Zugsteuerungssystem manipuliert zu haben
  • 404 Media meint, Newags Reaktion ähnele verbreiteten Mustern im Bereich des Rechts auf Reparatur
    • Hersteller setzten konkurrierende Wartungsbetriebe demnach mit Klagedrohungen und unbelegten Behauptungen über Sicherheitsrisiken durch Reparaturen Dritter unter Druck
  • Dragon Sector veröffentlichte den erfolgreichen Fall auf YouTube und diskutierte die Ergebnisse auf der Warschauer Konferenz Oh My H@ck
  • Laut The Register plant Dragon Sector Ende Dezember auf dem 37th Chaos Communication Congress in Hamburg eine detailliertere Präsentation
  • Michał Kowalczyk von Dragon Sector sagte 404 Media, Newags Verteidigungslinie sei schwach, weshalb sie in einem echten Gerichtsverfahren schwer zu halten wäre; es wirke eher so, als wolle das Unternehmen in den Medien bedrohlich erscheinen

1 Kommentare

 
GN⁺ 2023-12-15
Hacker-News-Kommentare
  • Frühere Diskussionen zur gleichen Meldung:
    https://news.ycombinator.com/item?id=38628635
    https://news.ycombinator.com/item?id=38632033

  • Was an diesem Fall wirklich stört: Die Züge waren nicht nur so konstruiert, dass sie ausfallen, sondern diese Konstruktion war so schlampig, dass sie auch während des Betriebs ausfallen konnten
    Wenn der Hersteller das Leben von Fahrgästen gefährdet hat, sollte jedes einzelne Mitglied der Geschäftsführung persönlich haftbar gemacht werden
    https://news.ycombinator.com/item?id=38641289
    Wenn dieser Aspekt genauer untersucht wird, wird daraus meiner Ansicht nach nicht bloß ein kommerzieller Streit, sondern ein deutlich gravierenderes Problem

    • Wenn etwas Schlimmes passiert, sagen Führungskräfte, sie wüssten von nichts und hätten nur andere Leute angewiesen, Dinge zu tun; wenn etwas Gutes passiert, beanspruchen sie den ganzen Ruhm für sich, weil sie es waren, die die Leute angewiesen haben
    • Das Problem begann schon in der Zeit, als überall in den USA Highways gebaut wurden, und verschlimmerte sich weiter, als die USA die Eisenbahnbranche deregulierten und sie in Konkurrenz zum Fernlastverkehr zwangen
      John Olivers Beitrag zur Eisenbahn hat das sehr gut erklärt
      Danach hatten die Arbeiter keine freien Tage mehr, die Besatzung pro Zug wurde auf 2 Personen reduziert, und jetzt versucht man, sie auf 1 Person zu senken
      Züge sind tatsächlich auf mehrere Meilen Länge angewachsen, blockierten Straßen und Krankenwagen und töteten dadurch mehrere Menschen; es gab auch Fälle, in denen Kinder angefahren wurden, die unter Zügen hindurchkrochen, um zur Schule zu kommen
      Lokführer müssen durch einen 4 Meilen langen Zug laufen und ihn „inspizieren“, aber wegen der Deregulierung wurde die Inspektionszeit, in der früher die gesamte Checkliste abgearbeitet wurde, auf wenige Minuten reduziert
      Die Befugnisse der einzelnen Regulierungsbehörde wurden geschwächt, und es fahren noch Züge mit Bremsen im Stil des frühen 20. Jahrhunderts
      „Unfälle“ mit auslaufenden Chemikalien passieren jedes Jahr mehrfach, und das alles wegen Profitstreben
      Diese Beschäftigten werden ständig überarbeitet, können sich aber nur krankmelden, wenn sie das 2–3 Monate im Voraus einplanen
      Zugunfälle sind inzwischen kaum noch zu vermeiden, und der nächste könnte noch katastrophaler werden als Palestine in Ohio
      Die Eisenbahn ist eigentlich großartig und könnte der Gesellschaft enorm viel bringen; traurig, dass Profitstreben der Unternehmen und Deregulierung sie in diesen Zustand gebracht haben
    • Dass ein Zug ausfällt oder stehen bleibt, erzeugt für sich genommen kein Verletzungs- oder Todesrisiko
  • Diese Geschichte ist in diesem Artikel besser zusammengefasst:
    https://badcyber.com/dieselgate-but-for-trains-some-heavywei...

    • Es gibt auch eine zugehörige HN-Diskussion: https://news.ycombinator.com/item?id=38567687 vor 5 Tagen, 289 Kommentare
    • „Im Computercode war eine Bedingung hinterlegt, die die Betriebsfähigkeit deaktivierte, wenn der Zug mindestens 10 Tage in einer dieser Werkstätten verbrachte“ – das ist wirklich offensichtlich falsch
    • Auch der Originalartikel ist lesenswert
      Darin kommt das dreiste Gehabe des Newag-Managements vor; zusammengefasst läuft es ungefähr auf „Ihr könnt doch nicht beweisen, dass wir die Software installiert haben, die in unseren Zügen gefunden wurde und Wettbewerber behindert“ hinaus
    • Dieser Titel ist viel zu irreführend
      Ich interessiere mich für das Thema und habe den Link auf HN gesehen, aber bei „Dieselgate“ dachte ich natürlich, es gehe um Abgase, und habe ihn übersprungen
      Denn ich nahm an, dass die Emissionen von Zügen ohnehin allgemein bekannt seien und es dazu nichts besonders Neues gäbe
      Im Titel hätte Vendor Lock-in oder Right to Repair stehen sollen
  • Laut Dragon Sector habe Newag Code in das Steuerungssystem der Impuls-Züge eingebaut, der den Betrieb stoppt, wenn der GPS-Tracker anzeigt, dass der Zug mehrere Tage in einer unabhängigen Werkstatt abgestellt war.
    Das ist ein ziemlich belastender Umstand.
    Ich frage mich, ob das ein einzelner Entwickler gemacht hat oder ob es von oben angeordnet wurde.

    • Newag-Chef Zbigniew Konieczek sagte: „Es wurden keine Beweise dafür vorgelegt, dass unser Unternehmen absichtlich fehlerhafte Software installiert hat. Aus unserer Sicht könnte die Wahrheit völlig anders aussehen. Zum Beispiel könnte ein Wettbewerber in die Software eingegriffen haben.“
      Diese Ausrede ist so absurd, dass es eher offensichtlich wirkt, dass die Führungsebene Bescheid wusste.
    • Welcher einzelne Entwickler würde denken: „Ich suche alle GPS-Koordinaten der Zugwerkstätten heraus und sorge dafür, dass der Zug nicht mehr funktioniert, wenn er dort ein paar Tage steht“?
    • Ein einzelner Entwickler hätte überhaupt kein Motiv, so etwas zu tun und diese Entscheidung vor der Geschäftsführung zu verbergen.
      Natürlich könnte ein einzelner Entwickler auf die Idee kommen und sie der Geschäftsführung in Erwartung eines großen Bonus vorschlagen.
      Aber warum sollte er es heimlich tun?
      Es ist schwer vorstellbar, dass das Top-Management nicht beteiligt war.
    • Wenn andere Erklärungen scheitern, werden sie diese Erklärung sicher auch versuchen.
      Der aktuelle Standpunkt scheint zu sein: „Es gibt keinen solchen Code in den Zügen, und falls doch, ist er nicht von uns.“
    • Selbst wenn ein Mitarbeiter das ohne Genehmigung getan hat, muss das Unternehmen weiterhin haften.
      Ich glaube nicht, dass Sicherheitsvorschriften den Hersteller von der Verantwortung für das Verhalten seiner Mitarbeiter befreien.
      Im Gegenteil: Auch bei abweichenden Mitarbeitern muss durch Reviews, Audits usw. die Sicherheit gewährleistet werden.
  • Ich hoffe, der Entwickler, der gezwungen wurde, das zu implementieren, hat schriftliche Beweise dafür aufbewahrt, wer es angeordnet hat.
    Andernfalls wird er erfahren, wie Loyalität heutzutage belohnt wird.

    • Selbst wenn er solche Dokumente aufbewahrt hat, sollte er zusammen mit dem Manager bestraft werden, der es angeordnet hat.
      Er wusste, dass es unethisch war, und hätte sich weigern müssen.
      Für Programmierer ist das Risiko einer Kündigung kaum ein so großes Problem wie in den meisten anderen Berufsgruppen.
    • Ob es eine Papierspur gibt oder nicht: Die Gesellschaft braucht weniger Menschen, die solche Dinge tun.
      Falls die Person, die das implementiert hat, dies liest: Du bist ein sehr schlechter Mensch und schädlich für die Gesellschaft.
    • Ich hoffe, dieser Entwickler sagt aus, sodass die höhergestellten Manager Geldstrafen zahlen und auch ins Gefängnis gehen.
      Auch das Unternehmen sollte massive Vertragsstrafen und Sanktionen bekommen.
      Ich erwarte es nicht, aber es wäre schön.
  • Wird jemals der Zeitpunkt kommen, an dem man wegen Betrugs angeklagt wird und ins Gefängnis geht, wenn man ein Produkt verkauft, in das Sabotage eingebaut ist?

    • Theoretisch begann die kürzlich veröffentlichte Anklage mit der Mitteilung über zwei Straftaten, auf die 0,5 bis 8 Jahre Haft stehen.
    • Warum sollten die Mächtigen sich selbst bestrafen?
  • Newag soll gesagt haben, „jeglicher Remote-Eingriff ist praktisch unmöglich“; das ist eine ziemlich kühne Aussage.
    Erfahrungsgemäß unterhält fast jedes Unternehmen, das Automatisierungs- oder Robotersysteme baut, in irgendeiner Form eine Backdoor.
    Nicht, um aus der Ferne etwas zu deaktivieren, sondern um auf Anfrage per Remote-Zugriff Probleme schnell und effizient zu lösen.
    Es ergibt keinen Sinn, nur um eine lokale IP-Abweichung oder den Ausfall eines Systemdienstes zu prüfen, zum Kunden zu fliegen, manchmal bis ans andere Ende der Welt; daher ist „unmöglich“ schlicht nicht wahr.

  • Kurz gesagt: Die polnische Zugwartungsfirma SPS wurde misstrauisch, weil von Newag gebaute Züge immer wieder „zufällig“ ausfielen und sich nicht reparieren ließen.
    Wegen Verträgen, die bei verzögerten Reparaturen Strafen vorsahen, zahlte sie Millionenstrafen an den polnischen Staat.
    Also engagierte sie heimlich für zwei Monate Hacker namens Dragon Sector, um den Code der Newag-Züge zu untersuchen, und die Hacker fanden Erstaunliches, das man als Spätkapitalismus, Unternehmensprotektionismus, Sabotage oder Erpressung deuten kann.
    Der entdeckte geheime Code legte Züge lahm, wenn sie sich innerhalb geografischer Polygone rund um die Depots von fünf polnischen Zugwartungsfirmen, darunter SPS, befanden; außerdem nach 1 Million km, nach 10 Tagen ohne Bewegung, und er enthielt auch eine geheime Tastenkombination, mit der sich die „Störung“ aufheben ließ.

    • Ich frage mich, ob es einen Low-Level-Technikbericht dazu gibt.
      Ich mag Firmware-Reverse-Engineering, und das klingt wie der Heilige Gral.
      Es sind schließlich Züge; hoffentlich leakt jemand die Binaries.
    • Anfänger.
      Jeder weiß doch, dass man solche Spielereien hinter einem Web-Service-Aufruf verstecken muss, damit die Beweise nicht direkt auf dem Client gefunden werden.
    • Mir ist gerade klar geworden, dass „spätkapitalistische Plattformverseuchung“ im Kern dasselbe ist wie die von Marx vorhergesagte Verelendung.
  • Doppelter Beitrag.
    Liest hier inzwischen niemand mehr die Seite?
    Die ursprüngliche News-Diskussion war vor etwas mehr als einer Woche: https://news.ycombinator.com/item?id=38530885
    Es gibt auch eine anschließende Gegendarstellung des Unternehmens.
    Polish train maker denies claims its software bricked competitor rolling stock https://news.ycombinator.com/item?id=38570654
    Außerdem gab es erst gestern ein viel upgevotetes Duplikat von 404media.
    https://news.ycombinator.com/item?id=38628635

    • Gibt es etwa die Anforderung, jeden Tag alle News auf der Startseite zu lesen, um weiter vorbeischauen zu dürfen?
      Darf man sich nicht alle paar Tage einloggen, ein paar Beiträge lesen, Sachen upvoten, die einem gefallen, und dann ein paar Tage später wiederkommen?
    • Die meisten hier verlinkten Seiten lese ich nicht.
      Ich komme wegen der Kommentare hierher.
      Ich gehe davon aus, dass alles Wichtige, das man wissen muss, direkt in den Kommentaren zitiert wird.
  • Ich hatte Malware erwartet nach dem Muster: „Klopf dreimal an diese Tür, dann kannst du hinein, sonst bleibt die Tür für immer verschlossen.“
    Tatsächlich war es aber: „Wenn der Zug geografisch auf den Breiten- und Längengraden eines Wettbewerbers geparkt ist, wird er gebrickt.“
    Es gibt viele Möglichkeiten, Backdoors oder lustige Easter Eggs in Code einzubauen, aber sie haben sich für eine wirklich umständliche und offensichtliche Missbrauchsmethode entschieden.

    • Fast richtig geraten.
      Es gab eine geheime Tastenkombination auf der Konsole im Führerstand, und wenn man sie drückte, wurde der Zug wie von Zauberhand entsperrt.
      Inzwischen wurde sie entfernt.
    • Wenn man die offizielle Stellungnahme liest, lässt sich der Eindruck kaum vermeiden, dass sie nicht einmal einen Anwalt konsultiert haben.
      Die Art, wie sie bestimmte Vorwürfe bestreiten, bettelt geradezu um weitere Ermittlungen.
      Ich bin Pole und habe früher mit solchen Leuten gearbeitet; diese Erklärung riecht nach einer Art, Geschäfte zu machen, von der ich gehofft hatte, sie wäre inzwischen verschwunden.
      Aber offenbar ist sie hier und da noch immer vorhanden.