Trenes diseñados para fallar tras reparaciones de terceros, descubiertos por hackers
(arstechnica.com)- En Polonia, trenes fabricados por Newag quedaron inoperables tras mantenimiento de terceros, lo que afectó las operaciones ferroviarias y la capacidad de pasajeros
- El grupo de hacking ético Dragon Sector afirma que el sistema de control de los trenes Impuls contenía código de bloqueo condicionado por la ubicación del taller y los números de serie de las piezas
- Newag niega haber incorporado una función para provocar fallas deliberadamente y anticipó demandas contra Dragon Sector por difamación y violaciones a leyes de hacking
- Dragon Sector resolvió el problema con un unlock code no documentado que se ingresa desde el panel de la cabina, y niega junto con SPS las acusaciones de haber manipulado el sistema de control
- El choque entre el fabricante y los talleres independientes derivó en un debate sobre el derecho a reparar, con las afirmaciones de seguridad, la presión legal y los límites de los bloqueos por software como puntos clave
Reparaciones de terceros que sacudieron la operación de trenes en Polonia
- En Polonia, trenes fabricados por Newag empezaron a no funcionar después de recibir mantenimiento por parte de empresas distintas al fabricante
- La empresa de mantenimiento Serwis Pojazdów Szynowych(SPS) encargó en junio de 2022 al grupo de hacking ético Dragon Sector un análisis del software de los trenes
- Los vehículos analizados pertenecían al operador ferroviario polaco Lower Silesian Railway, y varias “fallas misteriosas” redujeron la cantidad de coches disponibles para operar
- Según Rynek Kolejowy, la escasez de trenes se convirtió en un “problema grave” para el operador y los pasajeros
- Al haber menos vehículos disponibles, los trenes se hicieron más cortos y también disminuyó la capacidad de pasajeros
Las condiciones de bloqueo señaladas por Dragon Sector
- Tras analizar el software durante dos meses, Dragon Sector concluyó que una “intervención del fabricante” había provocado fallas forzadas e impedía que los trenes arrancaran
- La afirmación central es que Newag incorporó en el sistema de control de los trenes Impuls código que impide su operación bajo ciertas condiciones
- Afirman que existía una condición que detenía el funcionamiento si el rastreador GPS determinaba que el tren había estado estacionado durante varios días en un taller independiente
- Según el grupo, entre las condiciones de ubicación estaban incluidos los talleres de mantenimiento de SPS y los de empresas similares del sector
- También afirman que incluso un taller de SPS que todavía estaba en construcción figuraba entre esas condiciones
- Según 404 Media, también se afirmó que los trenes quedaban brickeados si ciertas piezas se reemplazaban sin números de serie aprobados por el fabricante
Un unlock code no documentado
- Dragon Sector dijo a 404 Media que descubrió un unlock code no documentado que podía ingresarse desde el panel de la cabina, y que con ese código resolvió el problema
- Sergiusz Bazański, de Dragon Sector, escribió en Mastodon que los trenes quedaban bloqueados por motivos arbitrarios después de ser mantenidos en talleres de terceros
- Bazański afirmó que el fabricante atribuía el problema a errores del taller y sostenía que el mantenimiento debía hacerse con el fabricante, no con terceros
- También se afirmó que, en algunos casos, parecía que Newag podía bloquear trenes de forma remota
- Newag respondió que “cualquier intervención remota” era “prácticamente imposible”
Negativa de Newag y amenazas de acciones legales
- Newag negó haber desarrollado software de “workshop-detection” o funciones que provoquen fallas deliberadas
- La empresa amenazó con demandar a Dragon Sector, alegando difamación y violaciones de leyes relacionadas con hacking
- También sostuvo que los trenes hackeados podrían representar una amenaza para la seguridad del tráfico ferroviario y, por lo tanto, deberían quedar fuera de servicio
- 404 Media informó que las afirmaciones de seguridad de Newag aún no han sido comprobadas
- Newag dijo que el informe de Dragon Sector no era confiable, citando como motivo que uno de los principales competidores de Newag había encargado el análisis
- El presidente de Newag, Zbigniew Konieczek, dijo que no se habían presentado pruebas de que la empresa hubiera instalado deliberadamente software defectuoso
- También planteó la posibilidad de que un competidor hubiera intervenido el software
- Konieczek criticó a Janusz Cieszyński por difundir información falsa y muy perjudicial sobre Newag
Investigación de las autoridades y expansión al debate sobre el derecho a reparar
- Newag dijo que contactó a las autoridades para investigar el hackeo y que notificó a la Oficina de Transporte Ferroviario para que decidiera si esos vehículos debían ser retirados de servicio
- El exministro de Digitalización de Polonia Janusz Cieszyński escribió en X que el presidente de Newag lo contactó para afirmar que la empresa era víctima de un ciberdelito
- Cieszyński escribió que el análisis que vio apuntaba en una dirección distinta a la afirmada por Newag
- Dragon Sector y SPS niegan las acusaciones de haber manipulado el sistema de control de los trenes
- 404 Media consideró que la respuesta de Newag se parece a prácticas comunes en el ámbito del derecho a reparar
- Es decir, fabricantes que presionan a talleres competidores con amenazas de demandas y afirmaciones no comprobadas sobre riesgos de seguridad de reparaciones de terceros
- Dragon Sector publicó un caso exitoso en YouTube y discutió los resultados en la conferencia Oh My H@ck de Varsovia
- Según The Register, Dragon Sector planea una presentación más detallada a fines de diciembre en el 37th Chaos Communication Congress en Hamburgo, Alemania
- Michał Kowalczyk, de Dragon Sector, dijo a 404 Media que la defensa de Newag es débil y que le resultaría difícil defenderse en una demanda real, por lo que parece querer mostrarse amenazante ante la prensa
1 comentarios
Opiniones en Hacker News
Debates anteriores sobre la misma noticia:
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38632033
Polish Hackers that repaired DRM trains threatened by train company - https://news.ycombinator.com/item?id=38628635 - Dec 2023 (137 comments)
Polish train maker denies claims its software bricked competitor rolling stock - https://news.ycombinator.com/item?id=38570654 - Dec 2023 (2 comments)
Dieselgate, but for trains – some heavyweight hardware hacking - https://news.ycombinator.com/item?id=38567687 - Dec 2023 (292 comments)
Polish trains lock up when serviced in third-party workshops - https://news.ycombinator.com/item?id=38530885 - Dec 2023 (359 comments)
Lo que realmente molesta de este caso es que los trenes no solo fueron diseñados para fallar, sino que el diseño era tan malo que podían fallar en plena operación
Si el fabricante puso en riesgo la vida de los pasajeros, todos los ejecutivos de esa empresa deberían tener responsabilidad personal
https://news.ycombinator.com/item?id=38641289
Si se investiga más a fondo desde esta perspectiva, creo que esto dejaría de ser una simple disputa comercial y se convertiría en un problema mucho más grave
El episodio de John Oliver sobre los ferrocarriles lo explicó muy bien
Después de eso, los trabajadores se quedaron sin días de descanso, redujeron la tripulación de cada tren a 2 personas y ahora quieren bajarla a 1
Los trenes realmente se alargaron hasta medir varias millas, bloquearon carreteras y ambulancias y mataron a varias personas; también hubo niños atropellados mientras se arrastraban por debajo de trenes para llegar a la escuela
El maquinista tiene que caminar a lo largo de un tren de 4 millas para “inspeccionarlo”, pero por la desregulación el tiempo de inspección, que antes cubría una lista de verificación completa, se redujo a apenas unos minutos
La autoridad del regulador único se debilitó, y todavía circulan trenes con frenos de principios del siglo XX
Cada año ocurren varios “accidentes” con derrames químicos, y todo se debe a la búsqueda de ganancias
Estos trabajadores siguen sobrecargados y aun así no pueden tomar licencia por enfermedad a menos que la programen con 2 o 3 meses de anticipación
Los accidentes ferroviarios ya se volvieron difíciles de evitar, y el próximo podría ser más catastrófico que el de Palestine, Ohio
Los ferrocarriles son realmente excelentes y podrían aportar muchísimo a la sociedad; es lamentable que la búsqueda de ganancias corporativas y la desregulación los hayan llevado a esto
Esta historia está mejor resumida en este artículo:
https://badcyber.com/dieselgate-but-for-trains-some-heavywei...
Aparece la arrogancia descarada de la gerencia de Newag, que en resumen se acerca a: “no pueden probar que nosotros instalamos el software encontrado en nuestros trenes que perjudica a la competencia”
Me interesaba el tema y vi el enlace en HN, pero al ver “Dieselgate” asumí que obviamente sería sobre emisiones y lo pasé por alto
Pensé que las emisiones de los trenes ya eran un tema conocido por todos y que no habría nada nuevo
El título debería haber incluido dependencia del proveedor o derecho a reparar
Según Dragon Sector, Newag habría incluido código en el sistema de control de los trenes Impuls para que dejaran de funcionar si el rastreador GPS indicaba que el tren había estado estacionado durante varios días en un taller independiente.
Eso es una circunstancia bastante grave.
Me pregunto si fue obra de un desarrollador individual o si vino por orden de arriba.
Esta excusa es tan absurda que, más bien, parece dejar claro que la dirección lo sabía.
Claro, un desarrollador individual podría haber tenido la idea y proponérsela a la dirección esperando un gran bono.
¿Pero por qué hacerlo en secreto?
Es difícil imaginar un caso en el que la alta dirección no haya estado involucrada.
Su postura actual parece ser algo como: “no hay tal código en los trenes, y si lo hay, no es nuestro”.
No creo que las normas de seguridad eximan al fabricante de responsabilidad por las acciones de sus empleados.
Más bien al contrario: creo que, incluso si hay empleados fuera de control, deben garantizar la seguridad mediante revisiones, auditorías, etc.
Espero que el desarrollador al que obligaron a implementar eso haya guardado pruebas documentales de quién se lo ordenó.
Si no, va a descubrir cómo se recompensa la lealtad hoy en día.
Sabía que era poco ético y debió haberse negado.
Para un programador, el riesgo de despido no es un problema tan grande como lo es en casi cualquier otra profesión.
Si la persona que implementó esto está leyendo, eres una persona muy mala y perjudicial para la sociedad.
La empresa también debería enfrentar enormes multas contractuales y sanciones.
No espero que pase, pero ojalá fuera así.
¿Llegará algún día el momento en que vender productos con sabotaje incorporado lleve a una acusación por fraude y a la cárcel?
Newag dijo que “cualquier intervención remota es prácticamente imposible”, lo cual es una afirmación bastante audaz.
Por experiencia, casi todas las empresas que fabrican sistemas de automatización o robótica mantienen algún tipo de backdoor.
No con el propósito de desactivarlos remotamente, sino para poder acceder de forma remota y resolver problemas rápida y eficientemente cuando se los solicitan.
No tiene sentido volar hasta las instalaciones del cliente, a veces al otro lado del mundo, para revisar una discrepancia de IP local o una caída de un servicio del sistema, así que decir que es “imposible” no es verdad.
En resumen, la empresa polaca de mantenimiento ferroviario SPS empezó a sospechar cuando los trenes fabricados por Newag seguían fallando “al azar” y ni siquiera podían repararse.
Debido a un contrato que la obligaba a pagar multas si las reparaciones se retrasaban, estaba pagando millones en multas al gobierno polaco.
Así que contrató en secreto durante 2 meses a hackers de Dragon Sector para que investigaran el código de los trenes de Newag, y los hackers encontraron cosas sorprendentes que podrían interpretarse como capitalismo tardío, proteccionismo corporativo, sabotaje o exigencia de rescate.
El código secreto descubierto hacía fallar el tren si entraba en polígonos geográficos alrededor de los depósitos de 5 empresas polacas de mantenimiento ferroviario, incluida SPS; lo hacía fallar después de 1 millón de km; lo hacía fallar si no se movía durante 10 días; y también incluía una combinación secreta de botones para desactivar la “falla”.
Me gusta la ingeniería inversa de firmware, y esto suena como el santo grial.
¡Son trenes! Ojalá alguien filtrara los binarios.
Todos saben que esas travesuras hay que esconderlas detrás de una llamada a un servicio web para que la evidencia no se encuentre directamente en el cliente.
Es una publicación duplicada.
¿Ya nadie lee el sitio?
La discusión original de la noticia fue hace poco más de una semana: https://news.ycombinator.com/item?id=38530885
También está la refutación posterior de la empresa.
Polish train maker denies claims its software bricked competitor rolling stock https://news.ycombinator.com/item?id=38570654
Además, apenas ayer hubo un duplicado de 404media con muchos votos.
https://news.ycombinator.com/item?id=38628635
¿No se puede entrar cada pocos días, leer algunas, votar por las que te gusten y volver unos días después?
Vengo aquí a leer los comentarios.
Asumo que, si algo es lo suficientemente importante como para saberlo, estará citado directamente en los comentarios.
Esperaba malware del tipo “si golpeas esta puerta tres veces, puedes entrar; si no, la puerta queda bloqueada para siempre”.
Pero en realidad era: “si el tren está estacionado geográficamente en la ubicación de latitud/longitud de un competidor, lo convierte en un ladrillo”.
Hay muchas formas de meter backdoors o easter eggs divertidos en el código, y eligieron un método de abuso realmente rebuscado y descarado.
Había una combinación secreta de botones en la consola de la cabina, y al presionarla el tren se desbloqueaba como por arte de magia.
Ya fue eliminada.
La forma en que niegan acusaciones específicas prácticamente ruega que los investiguen más.
Soy polaco y trabajé en el pasado con gente de ese tipo; esa declaración huele a una forma de hacer negocios que ya debería haber desaparecido.
Pero parece que todavía sobrevive por aquí y por allá.