Umgang mit untrainierten Situationen
(ccc.de)- Nachdem drei Hacker, die auf dem 37C3 das Deaktivierungsverhalten von Newag-Zügen offengelegt hatten, in Straf- und Zivilverfahren verwickelt wurden, hat der Chaos Computer Club begonnen, Geld für die Kosten der rechtlichen Gegenwehr zu sammeln
- Die betroffenen Züge gingen von selbst in einen Tiefschlafmodus, wenn sie sich zu lange innerhalb der Geokoordinaten von Werkstätten von Wettbewerbern oder Kunden aufhielten oder wenn Bedingungen vorlagen, die wie eine nicht registrierte Reparatur wirkten
- Deaktivierte Züge konnten nur durch das Herbeirufen eines Newag-Technikers „gerettet“ werden, und die Hacker bestätigten dieses Verhalten, ohne Teile auszutauschen, deren Ersatz eine Autorisierung erfordert hätte
- Nach der Klage von Newag wurden auf dem 38C3 der bisherige rechtliche Verlauf mit Kosten von rund 30.000 Euro sowie weitere Entwicklungen offengelegt
- Mit Stand vom 8. Januar 2025 hat der CCC über 529 Überweisungen 31.088,89 Euro erhalten; überschüssige Mittel werden gemäß dem satzungsgemäßen Zweck des CCC e.V. verwendet
Offenlegung des Zug-DRM von Newag und der Rechtsstreit
- Der Chaos Computer Club (CCC) unterstützt drei Hacker, die auf dem 37C3 Manipulationen an Zügen des polnischen Schienenfahrzeugherstellers Newag offengelegt haben
- Behandelt wurde das in der 37C3-Präsentation, die der CCC als einen der beliebtesten Vorträge des 37C3 ansieht
- Die Züge gingen unter bestimmten Bedingungen in einen Tiefschlafmodus
- wenn sie zu lange innerhalb der Geokoordinaten von Werkstätten von Wettbewerbern oder Kunden geparkt waren
- wenn Bedingungen vorlagen, die darauf hindeuteten, dass eine nicht registrierte Reparatur durchgeführt worden war
- So deaktivierte Züge konnten nur durch das Herbeirufen eines Newag-Technikers „gerettet“ werden
- Die Hacker deckten dieses Verhalten auf, ohne potenziell rechtswidrige Austauschaktionen an autorisierungspflichtigen Zugteilen vorzunehmen
Spendenaufruf des CCC und Folgevortrag auf dem 38C3
- Newag hat die Hacker nach der Veröffentlichung sowohl strafrechtlich als auch zivilrechtlich verklagt
- Der CCC sieht in dem Verfahren den Versuch, diese und künftige Veröffentlichungen zu solchen „illegal instructions“ zu verhindern
- Die Hacker stellten den rechtlichen Verlauf auf dem 38C3 vor; die bisherigen Kosten liegen derzeit bei rund 30.000 Euro
- Der CCC bittet darum, auf das allgemeine Bankkonto des Chaos Computer Club e.V. zu überweisen und als Verwendungszweck
Lokomotiveanzugeben- Konto:
DE41 2001 0020 0599 0902 01 - BIC:
PBNKDEFFXXX
- Konto:
- Spenden über die benötigten 30.000 Euro hinaus, Restbeträge bei niedrigeren tatsächlichen Rechtskosten und erstattete Gerichtskosten werden für die satzungsgemäßen Zwecke des Chaos Computer Club e.V. verwendet
- Der CCC weist außerdem darauf hin, dass der CCC e.V. offiziell nicht als gemeinnützige Organisation anerkannt ist
- Der Folgevortrag findet am Freitag, dem 27. Dezember 2024, auf dem 38C3 in Hamburg statt, kann am selben Tag ab 23 Uhr per Livestream verfolgt werden und wird anschließend auf media.ccc.de veröffentlicht
- Mit Stand des Updates vom 8. Januar 2025 sind insgesamt 31.088,89 Euro über 529 Banküberweisungen eingegangen
1 Kommentare
Meinungen auf Hacker News
Ich habe 133,7 € gespendet und werde gerne erneut zahlen, falls weitere Rechtskosten entstehen.
Ich hoffe, dass auch andere großzügig spenden und es in diesem Thread teilen.
Was Newag hier treibt, ist wirklich widerlich: Für die „Reaktivierung“ von Zügen, die von Drittwerkstätten gewartet wurden, wollen sie 20.000 € pro Zug verlangen.
So einen Präzedenzfall dürfen wir nicht entstehen lassen.
Ich empfehle auch dringend, sich den früheren Vortrag anzusehen: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...
Der Livestream war hier: https://streaming.media.ccc.de/38c3/eins/hls
Der Vortrag ist vorbei und war hervorragend.
Zeitplan: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
In den meisten Teilen Europas gibt es kein stark fallrechtlich geprägtes Justizsystem; wichtiger als frühere Urteile in ähnlichen Fällen ist das Gesetz selbst.
Wenn man ein Produkt gekauft hat, sollte man Zugriff auf die gesamte Software haben und sie reparieren können.
Mich würde interessieren, wohin du gespendet hast.
Es sieht so aus, als würden Zughersteller die Methoden vieler heutiger Unternehmen übernehmen.
Die Praxis, dass Hersteller Produkte nach dem Kauf aus beliebigen Gründen aus der Ferne deaktivieren, breitet sich über viele Produktkategorien hinweg wie eine Katastrophe aus.
Nachdem sie Geld genommen und das Produkt übergeben haben, sollten Hersteller kein Recht mehr haben, sich in die Nutzung dieses Produkts einzumischen.
Das muss wirklich aufhören, und Regulierungsbehörden weltweit verschlafen dieses Problem.
Mehr Regulierung könnte zwar eine Lösung sein, aber ich frage mich, ob das wirklich die Richtung ist, die wir wollen.
Im Grunde kauft man Dinge nicht mehr, sondern mietet sie nur noch.
Wenn der „Markt“ so einen Unsinn akzeptiert, werden die Regulierungsbehörden nichts tun.
Auf meinem ersten PC klebte auch ein Siegel: Garantie erlischt beim Öffnen.
Newag hat auch die Abgeordnete Paulina Matysiak ins Visier genommen, die Vorsitzende des parlamentarischen Teams zur Bekämpfung von Verkehrsausgrenzung, und die Aufhebung ihrer Immunität beantragt.
Seit diese Sache im vergangenen Jahr bekannt wurde, hat sie den Fall untersucht.
https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...
Ich erinnere mich an die Geschichte, in der „Hacker“ herausgefunden hatten, dass der Zughersteller Züge deaktiviert hatte, die von konkurrierenden Wartungsfirmen gewartet worden waren.
Schade, dass sie verklagt wurden.
Ich hoffe, sie können genug Geld sammeln, um Newag eine schmerzhafte und tiefgreifende Discovery aufzuerlegen.
Einen Zug anzugreifen, ist ein Angriff auf kritische nationale Infrastruktur, selbst wenn man den Zug selbst gebaut hat.
Ich frage mich, was aus der alten moralischen Regel geworden ist: „Wenn deine Mutter schockiert wäre, wenn du ihr erklärst, was du tust, dann machst du etwas falsch.“
Was Newag tut, verstößt sehr eindeutig gegen diese Regel.
Doch heute ignorieren große monopolartige Akteure diesen Effekt einfach.
Die Medien sind unterfinanziert und korrupt, und auch Politiker sind im weiteren Sinn korrupt.
Ob legal oder halb legal, auf jede mögliche Weise.
Es gab eine frühere Diskussion, als es erstmals entdeckt wurde, und ich war überrascht, dass nicht mehr darüber gesprochen wurde: https://news.ycombinator.com/item?id=38893116
https://news.ycombinator.com/item?id=38530885
https://news.ycombinator.com/item?id=38567687
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38788360
und weitere.
Siehe auch den ersten Kommentar.
https://news.ycombinator.com/item?id=38788360
Es wäre gut, wenn jemand die ganze Geschichte für diejenigen zusammenfassen könnte, die sie nicht kennen.
Ich frage mich, warum die Regierungen, die solche Trojaner-Züge gekauft haben, den Zuglieferanten nicht auseinandernehmen und den Hackern, die das aufgedeckt haben, keine Orden verleihen.
Das ist ein nahezu universeller Trend
Wenn Hersteller es nicht schon tun, planen sie es sehr wahrscheinlich
Weil sich viele Teile der Welt weiterentwickeln, entstehen überall Hersteller, die billigere Maschinen anbieten, und der Burggraben der etablierten Hersteller verschwindet
Hersteller langlebiger Güter klammern sich an das nächste Geschäftsmodell: Abo-Services für Wartung und Support
Fords Service für vernetzte Fahrzeugflotten gewinnt an Fahrt und kann im Nutzfahrzeugbereich sehr profitabel sein
Ein großer Teil dieses Trends entsteht dadurch, dass der Arbeitskräftepool wegen Personalmangel, mangelnder Ausbildung und fehlender Erfahrung schwächer wird
Der aktuelle Zugvorfall grenzt eindeutig an Kriminalität, ist aber nicht sehr weit von der derzeitigen Welle des „Fortschritts“ entfernt
Leider dürfte diese Entdeckung andere Unternehmen eher dazu bringen, daraus zu lernen
Nämlich ihre Methoden mit plausibler Abstreitbarkeit schwerer auffindbar zu machen und sie unter dem Vorwand der „Sicherheit“ zu verbergen
Big Tech spielt dieses Spiel schon seit einiger Zeit
https://news.ycombinator.com/item?id=36926276
https://news.ycombinator.com/item?id=24955071
Newag verhält sich hier wie die Mafia
Nach dem Motto: „Wäre doch wirklich schade, wenn der Zug stehen bliebe ...?“
Ich will Polen nicht vorschreiben, was es zu tun hat, aber ein zufriedenstellender Ausgang wäre, genau herauszufinden, wer angewiesen hat, Newag-Züge so zu programmieren, und diese Person ins Gefängnis zu bringen
Für jeden entdeckten Zug mit solcher Software sollte die Strafe erhöht werden, und Newag sollte zur kostenlosen Wartung des betreffenden Zuges verpflichtet werden
Wenn Polen eine harte Haltung dazu zeigen will, wie es mit Leuten umgeht, die die Öffentlichkeit abzocken, um Geld zu verdienen, wäre das wohl das Beste
Wenn man dagegen signalisieren will, dass es sich trotz erdrückender Beweise lohnt, die polnische Öffentlichkeit abzuzocken, dann nur zu
Wenn es um Züge und Eisenbahnen geht, ist das nicht nur eine geschäftliche Frage, sondern eine strategische Frage der nationalen Sicherheit
Das ist so eine Situation wie: „Wäre doch schade, wenn ein Zug mit verderblichen Lebensmitteln unterwegs stehen bliebe und die Ernte verrottete“
Ich weiß nicht, in welchem Land Ernährungssicherheit keinen Einfluss auf die Fähigkeit der Regierung hat, die Ordnung aufrechtzuerhalten
Hätte ein Dritter, der kein Wartungsanbieter ist, so etwas getan, würde er vernünftigerweise als terroristische Organisation gelten, und die Mitglieder einer solchen Gruppe sollten auch entsprechend behandelt werden
Selbst wenn man behauptet, es handle sich nur um eine kleine, spezifische Funktion, der man zustimmen müsse, wurde damit eine für den normalen Betrieb nicht notwendige Schwachstelle in die Lieferkette eingeschleust und so gestaltet, als sei sie unverzichtbar
Zumindest ebnet man damit solchen Gruppen den Weg, selbst wenn man es nicht direkt ausführt