1 Punkte von GN⁺ 2024-12-28 | 1 Kommentare | Auf WhatsApp teilen
  • Nachdem drei Hacker, die auf dem 37C3 das Deaktivierungsverhalten von Newag-Zügen offengelegt hatten, in Straf- und Zivilverfahren verwickelt wurden, hat der Chaos Computer Club begonnen, Geld für die Kosten der rechtlichen Gegenwehr zu sammeln
  • Die betroffenen Züge gingen von selbst in einen Tiefschlafmodus, wenn sie sich zu lange innerhalb der Geokoordinaten von Werkstätten von Wettbewerbern oder Kunden aufhielten oder wenn Bedingungen vorlagen, die wie eine nicht registrierte Reparatur wirkten
  • Deaktivierte Züge konnten nur durch das Herbeirufen eines Newag-Technikers „gerettet“ werden, und die Hacker bestätigten dieses Verhalten, ohne Teile auszutauschen, deren Ersatz eine Autorisierung erfordert hätte
  • Nach der Klage von Newag wurden auf dem 38C3 der bisherige rechtliche Verlauf mit Kosten von rund 30.000 Euro sowie weitere Entwicklungen offengelegt
  • Mit Stand vom 8. Januar 2025 hat der CCC über 529 Überweisungen 31.088,89 Euro erhalten; überschüssige Mittel werden gemäß dem satzungsgemäßen Zweck des CCC e.V. verwendet

Offenlegung des Zug-DRM von Newag und der Rechtsstreit

  • Der Chaos Computer Club (CCC) unterstützt drei Hacker, die auf dem 37C3 Manipulationen an Zügen des polnischen Schienenfahrzeugherstellers Newag offengelegt haben
  • Behandelt wurde das in der 37C3-Präsentation, die der CCC als einen der beliebtesten Vorträge des 37C3 ansieht
  • Die Züge gingen unter bestimmten Bedingungen in einen Tiefschlafmodus
    • wenn sie zu lange innerhalb der Geokoordinaten von Werkstätten von Wettbewerbern oder Kunden geparkt waren
    • wenn Bedingungen vorlagen, die darauf hindeuteten, dass eine nicht registrierte Reparatur durchgeführt worden war
  • So deaktivierte Züge konnten nur durch das Herbeirufen eines Newag-Technikers „gerettet“ werden
  • Die Hacker deckten dieses Verhalten auf, ohne potenziell rechtswidrige Austauschaktionen an autorisierungspflichtigen Zugteilen vorzunehmen

Spendenaufruf des CCC und Folgevortrag auf dem 38C3

  • Newag hat die Hacker nach der Veröffentlichung sowohl strafrechtlich als auch zivilrechtlich verklagt
  • Der CCC sieht in dem Verfahren den Versuch, diese und künftige Veröffentlichungen zu solchen „illegal instructions“ zu verhindern
  • Die Hacker stellten den rechtlichen Verlauf auf dem 38C3 vor; die bisherigen Kosten liegen derzeit bei rund 30.000 Euro
  • Der CCC bittet darum, auf das allgemeine Bankkonto des Chaos Computer Club e.V. zu überweisen und als Verwendungszweck Lokomotive anzugeben
    • Konto: DE41 2001 0020 0599 0902 01
    • BIC: PBNKDEFFXXX
  • Spenden über die benötigten 30.000 Euro hinaus, Restbeträge bei niedrigeren tatsächlichen Rechtskosten und erstattete Gerichtskosten werden für die satzungsgemäßen Zwecke des Chaos Computer Club e.V. verwendet
  • Der CCC weist außerdem darauf hin, dass der CCC e.V. offiziell nicht als gemeinnützige Organisation anerkannt ist
  • Der Folgevortrag findet am Freitag, dem 27. Dezember 2024, auf dem 38C3 in Hamburg statt, kann am selben Tag ab 23 Uhr per Livestream verfolgt werden und wird anschließend auf media.ccc.de veröffentlicht
  • Mit Stand des Updates vom 8. Januar 2025 sind insgesamt 31.088,89 Euro über 529 Banküberweisungen eingegangen

1 Kommentare

 
GN⁺ 2024-12-28
Meinungen auf Hacker News
  • Ich habe 133,7 € gespendet und werde gerne erneut zahlen, falls weitere Rechtskosten entstehen.
    Ich hoffe, dass auch andere großzügig spenden und es in diesem Thread teilen.
    Was Newag hier treibt, ist wirklich widerlich: Für die „Reaktivierung“ von Zügen, die von Drittwerkstätten gewartet wurden, wollen sie 20.000 € pro Zug verlangen.
    So einen Präzedenzfall dürfen wir nicht entstehen lassen.
    Ich empfehle auch dringend, sich den früheren Vortrag anzusehen: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...

    • Laut Zeitplan sollte das Team um 23:00 Uhr Ortszeit einen Vortrag mit dem Titel We've not been trained for this: life after the Newag DRM disclosure beginnen; das war damals etwa 30 Minuten später.
      Der Livestream war hier: https://streaming.media.ccc.de/38c3/eins/hls
      Der Vortrag ist vorbei und war hervorragend.
      Zeitplan: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
    • Der Präzedenzfall ist möglicherweise kein so großes Problem, wie viele denken.
      In den meisten Teilen Europas gibt es kein stark fallrechtlich geprägtes Justizsystem; wichtiger als frühere Urteile in ähnlichen Fällen ist das Gesetz selbst.
    • Wir müssen dafür kämpfen, dass das Recht auf Reparatur für alle Produkte gesetzlich garantiert wird.
      Wenn man ein Produkt gekauft hat, sollte man Zugriff auf die gesamte Software haben und sie reparieren können.
    • Ich weiß nicht, wie man auf der Website spendet.
      Mich würde interessieren, wohin du gespendet hast.
  • Es sieht so aus, als würden Zughersteller die Methoden vieler heutiger Unternehmen übernehmen.
    Die Praxis, dass Hersteller Produkte nach dem Kauf aus beliebigen Gründen aus der Ferne deaktivieren, breitet sich über viele Produktkategorien hinweg wie eine Katastrophe aus.
    Nachdem sie Geld genommen und das Produkt übergeben haben, sollten Hersteller kein Recht mehr haben, sich in die Nutzung dieses Produkts einzumischen.
    Das muss wirklich aufhören, und Regulierungsbehörden weltweit verschlafen dieses Problem.

    • „Wir“, diese vollkommen homogene Gruppe von Softwarefachleuten, könnten das stoppen, tun es aber nicht.
    • Urheberrecht ist die Wurzel des Problems.
      Mehr Regulierung könnte zwar eine Lösung sein, aber ich frage mich, ob das wirklich die Richtung ist, die wir wollen.
    • Die bodenlose Grube der Gier, die das Abo-Modell in der Softwarebranche geöffnet hat, zieht nun auch Hardwarehersteller hinein.
      Im Grunde kauft man Dinge nicht mehr, sondern mietet sie nur noch.
      Wenn der „Markt“ so einen Unsinn akzeptiert, werden die Regulierungsbehörden nichts tun.
    • Das ist nicht nur ein heutiges Phänomen.
      Auf meinem ersten PC klebte auch ein Siegel: Garantie erlischt beim Öffnen.
  • Newag hat auch die Abgeordnete Paulina Matysiak ins Visier genommen, die Vorsitzende des parlamentarischen Teams zur Bekämpfung von Verkehrsausgrenzung, und die Aufhebung ihrer Immunität beantragt.
    Seit diese Sache im vergangenen Jahr bekannt wurde, hat sie den Fall untersucht.
    https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...

  • Ich erinnere mich an die Geschichte, in der „Hacker“ herausgefunden hatten, dass der Zughersteller Züge deaktiviert hatte, die von konkurrierenden Wartungsfirmen gewartet worden waren.
    Schade, dass sie verklagt wurden.
    Ich hoffe, sie können genug Geld sammeln, um Newag eine schmerzhafte und tiefgreifende Discovery aufzuerlegen.

    • Schade, dass das Unternehmen nicht wegen Sabotage und vielleicht sogar Verrats angeklagt wurde.
      Einen Zug anzugreifen, ist ein Angriff auf kritische nationale Infrastruktur, selbst wenn man den Zug selbst gebaut hat.
  • Ich frage mich, was aus der alten moralischen Regel geworden ist: „Wenn deine Mutter schockiert wäre, wenn du ihr erklärst, was du tust, dann machst du etwas falsch.“
    Was Newag tut, verstößt sehr eindeutig gegen diese Regel.

    • Bei dieser Regel geht es im Kern darum, ob etwas „politisch unangenehm werden könnte“.
      Doch heute ignorieren große monopolartige Akteure diesen Effekt einfach.
      Die Medien sind unterfinanziert und korrupt, und auch Politiker sind im weiteren Sinn korrupt.
    • Da es nicht profitabel ist, sich an diese Regel zu halten, scheint die oberste Direktive maximiere das Geld Vorrang zu haben.
      Ob legal oder halb legal, auf jede mögliche Weise.
    • Der Familie sagt man selten die Wahrheit, und es gibt immer eine Möglichkeit, sie ein wenig zu verdrehen, um sich selbst zu überzeugen.
  • Es gab eine frühere Diskussion, als es erstmals entdeckt wurde, und ich war überrascht, dass nicht mehr darüber gesprochen wurde: https://news.ycombinator.com/item?id=38893116

  • Es wäre gut, wenn jemand die ganze Geschichte für diejenigen zusammenfassen könnte, die sie nicht kennen.
    Ich frage mich, warum die Regierungen, die solche Trojaner-Züge gekauft haben, den Zuglieferanten nicht auseinandernehmen und den Hackern, die das aufgedeckt haben, keine Orden verleihen.

    • Weil Regierungen sehr kapitalistisch sind und glauben, dass Großunternehmen tun dürfen, was sie wollen.
  • Das ist ein nahezu universeller Trend
    Wenn Hersteller es nicht schon tun, planen sie es sehr wahrscheinlich
    Weil sich viele Teile der Welt weiterentwickeln, entstehen überall Hersteller, die billigere Maschinen anbieten, und der Burggraben der etablierten Hersteller verschwindet
    Hersteller langlebiger Güter klammern sich an das nächste Geschäftsmodell: Abo-Services für Wartung und Support
    Fords Service für vernetzte Fahrzeugflotten gewinnt an Fahrt und kann im Nutzfahrzeugbereich sehr profitabel sein
    Ein großer Teil dieses Trends entsteht dadurch, dass der Arbeitskräftepool wegen Personalmangel, mangelnder Ausbildung und fehlender Erfahrung schwächer wird
    Der aktuelle Zugvorfall grenzt eindeutig an Kriminalität, ist aber nicht sehr weit von der derzeitigen Welle des „Fortschritts“ entfernt

  • Leider dürfte diese Entdeckung andere Unternehmen eher dazu bringen, daraus zu lernen
    Nämlich ihre Methoden mit plausibler Abstreitbarkeit schwerer auffindbar zu machen und sie unter dem Vorwand der „Sicherheit“ zu verbergen
    Big Tech spielt dieses Spiel schon seit einiger Zeit
    https://news.ycombinator.com/item?id=36926276
    https://news.ycombinator.com/item?id=24955071

  • Newag verhält sich hier wie die Mafia
    Nach dem Motto: „Wäre doch wirklich schade, wenn der Zug stehen bliebe ...?“
    Ich will Polen nicht vorschreiben, was es zu tun hat, aber ein zufriedenstellender Ausgang wäre, genau herauszufinden, wer angewiesen hat, Newag-Züge so zu programmieren, und diese Person ins Gefängnis zu bringen
    Für jeden entdeckten Zug mit solcher Software sollte die Strafe erhöht werden, und Newag sollte zur kostenlosen Wartung des betreffenden Zuges verpflichtet werden
    Wenn Polen eine harte Haltung dazu zeigen will, wie es mit Leuten umgeht, die die Öffentlichkeit abzocken, um Geld zu verdienen, wäre das wohl das Beste
    Wenn man dagegen signalisieren will, dass es sich trotz erdrückender Beweise lohnt, die polnische Öffentlichkeit abzuzocken, dann nur zu

    • NewAg handelt eindeutig mit Böswilligkeit, Sabotage und Erpressung im Sinn
      Wenn es um Züge und Eisenbahnen geht, ist das nicht nur eine geschäftliche Frage, sondern eine strategische Frage der nationalen Sicherheit
      Das ist so eine Situation wie: „Wäre doch schade, wenn ein Zug mit verderblichen Lebensmitteln unterwegs stehen bliebe und die Ernte verrottete“
      Ich weiß nicht, in welchem Land Ernährungssicherheit keinen Einfluss auf die Fähigkeit der Regierung hat, die Ordnung aufrechtzuerhalten
      Hätte ein Dritter, der kein Wartungsanbieter ist, so etwas getan, würde er vernünftigerweise als terroristische Organisation gelten, und die Mitglieder einer solchen Gruppe sollten auch entsprechend behandelt werden
      Selbst wenn man behauptet, es handle sich nur um eine kleine, spezifische Funktion, der man zustimmen müsse, wurde damit eine für den normalen Betrieb nicht notwendige Schwachstelle in die Lieferkette eingeschleust und so gestaltet, als sei sie unverzichtbar
      Zumindest ebnet man damit solchen Gruppen den Weg, selbst wenn man es nicht direkt ausführt