1 puntos por GN⁺ 2023-12-15 | 1 comentarios | Compartir por WhatsApp
  • En Polonia, trenes fabricados por Newag quedaron inoperables tras mantenimiento de terceros, lo que afectó las operaciones ferroviarias y la capacidad de pasajeros
  • El grupo de hacking ético Dragon Sector afirma que el sistema de control de los trenes Impuls contenía código de bloqueo condicionado por la ubicación del taller y los números de serie de las piezas
  • Newag niega haber incorporado una función para provocar fallas deliberadamente y anticipó demandas contra Dragon Sector por difamación y violaciones a leyes de hacking
  • Dragon Sector resolvió el problema con un unlock code no documentado que se ingresa desde el panel de la cabina, y niega junto con SPS las acusaciones de haber manipulado el sistema de control
  • El choque entre el fabricante y los talleres independientes derivó en un debate sobre el derecho a reparar, con las afirmaciones de seguridad, la presión legal y los límites de los bloqueos por software como puntos clave

Reparaciones de terceros que sacudieron la operación de trenes en Polonia

  • En Polonia, trenes fabricados por Newag empezaron a no funcionar después de recibir mantenimiento por parte de empresas distintas al fabricante
  • La empresa de mantenimiento Serwis Pojazdów Szynowych(SPS) encargó en junio de 2022 al grupo de hacking ético Dragon Sector un análisis del software de los trenes
  • Los vehículos analizados pertenecían al operador ferroviario polaco Lower Silesian Railway, y varias “fallas misteriosas” redujeron la cantidad de coches disponibles para operar
    • Según Rynek Kolejowy, la escasez de trenes se convirtió en un “problema grave” para el operador y los pasajeros
    • Al haber menos vehículos disponibles, los trenes se hicieron más cortos y también disminuyó la capacidad de pasajeros

Las condiciones de bloqueo señaladas por Dragon Sector

  • Tras analizar el software durante dos meses, Dragon Sector concluyó que una “intervención del fabricante” había provocado fallas forzadas e impedía que los trenes arrancaran
  • La afirmación central es que Newag incorporó en el sistema de control de los trenes Impuls código que impide su operación bajo ciertas condiciones
    • Afirman que existía una condición que detenía el funcionamiento si el rastreador GPS determinaba que el tren había estado estacionado durante varios días en un taller independiente
    • Según el grupo, entre las condiciones de ubicación estaban incluidos los talleres de mantenimiento de SPS y los de empresas similares del sector
    • También afirman que incluso un taller de SPS que todavía estaba en construcción figuraba entre esas condiciones
  • Según 404 Media, también se afirmó que los trenes quedaban brickeados si ciertas piezas se reemplazaban sin números de serie aprobados por el fabricante

Un unlock code no documentado

  • Dragon Sector dijo a 404 Media que descubrió un unlock code no documentado que podía ingresarse desde el panel de la cabina, y que con ese código resolvió el problema
  • Sergiusz Bazański, de Dragon Sector, escribió en Mastodon que los trenes quedaban bloqueados por motivos arbitrarios después de ser mantenidos en talleres de terceros
  • Bazański afirmó que el fabricante atribuía el problema a errores del taller y sostenía que el mantenimiento debía hacerse con el fabricante, no con terceros
  • También se afirmó que, en algunos casos, parecía que Newag podía bloquear trenes de forma remota
  • Newag respondió que “cualquier intervención remota” era “prácticamente imposible”

Negativa de Newag y amenazas de acciones legales

  • Newag negó haber desarrollado software de “workshop-detection” o funciones que provoquen fallas deliberadas
  • La empresa amenazó con demandar a Dragon Sector, alegando difamación y violaciones de leyes relacionadas con hacking
  • También sostuvo que los trenes hackeados podrían representar una amenaza para la seguridad del tráfico ferroviario y, por lo tanto, deberían quedar fuera de servicio
    • 404 Media informó que las afirmaciones de seguridad de Newag aún no han sido comprobadas
  • Newag dijo que el informe de Dragon Sector no era confiable, citando como motivo que uno de los principales competidores de Newag había encargado el análisis
  • El presidente de Newag, Zbigniew Konieczek, dijo que no se habían presentado pruebas de que la empresa hubiera instalado deliberadamente software defectuoso
    • También planteó la posibilidad de que un competidor hubiera intervenido el software
    • Konieczek criticó a Janusz Cieszyński por difundir información falsa y muy perjudicial sobre Newag

Investigación de las autoridades y expansión al debate sobre el derecho a reparar

  • Newag dijo que contactó a las autoridades para investigar el hackeo y que notificó a la Oficina de Transporte Ferroviario para que decidiera si esos vehículos debían ser retirados de servicio
  • El exministro de Digitalización de Polonia Janusz Cieszyński escribió en X que el presidente de Newag lo contactó para afirmar que la empresa era víctima de un ciberdelito
  • Cieszyński escribió que el análisis que vio apuntaba en una dirección distinta a la afirmada por Newag
  • Dragon Sector y SPS niegan las acusaciones de haber manipulado el sistema de control de los trenes
  • 404 Media consideró que la respuesta de Newag se parece a prácticas comunes en el ámbito del derecho a reparar
    • Es decir, fabricantes que presionan a talleres competidores con amenazas de demandas y afirmaciones no comprobadas sobre riesgos de seguridad de reparaciones de terceros
  • Dragon Sector publicó un caso exitoso en YouTube y discutió los resultados en la conferencia Oh My H@ck de Varsovia
  • Según The Register, Dragon Sector planea una presentación más detallada a fines de diciembre en el 37th Chaos Communication Congress en Hamburgo, Alemania
  • Michał Kowalczyk, de Dragon Sector, dijo a 404 Media que la defensa de Newag es débil y que le resultaría difícil defenderse en una demanda real, por lo que parece querer mostrarse amenazante ante la prensa

1 comentarios

 
GN⁺ 2023-12-15
Opiniones en Hacker News
  • Debates anteriores sobre la misma noticia:
    https://news.ycombinator.com/item?id=38628635
    https://news.ycombinator.com/item?id=38632033

  • Lo que realmente molesta de este caso es que los trenes no solo fueron diseñados para fallar, sino que el diseño era tan malo que podían fallar en plena operación
    Si el fabricante puso en riesgo la vida de los pasajeros, todos los ejecutivos de esa empresa deberían tener responsabilidad personal
    https://news.ycombinator.com/item?id=38641289
    Si se investiga más a fondo desde esta perspectiva, creo que esto dejaría de ser una simple disputa comercial y se convertiría en un problema mucho más grave

    • Cuando pasa algo malo, los ejecutivos dicen que no sabían nada porque solo le pidieron a otras personas que hicieran el trabajo; cuando pasa algo bueno, se llevan todo el crédito diciendo que fueron ellos quienes hicieron que esas personas trabajaran
    • El problema empezó desde la época en que se construyeron autopistas por todo Estados Unidos, y siguió empeorando después de que EE. UU. desreguló la industria ferroviaria y la hizo competir con el transporte de larga distancia por camión
      El episodio de John Oliver sobre los ferrocarriles lo explicó muy bien
      Después de eso, los trabajadores se quedaron sin días de descanso, redujeron la tripulación de cada tren a 2 personas y ahora quieren bajarla a 1
      Los trenes realmente se alargaron hasta medir varias millas, bloquearon carreteras y ambulancias y mataron a varias personas; también hubo niños atropellados mientras se arrastraban por debajo de trenes para llegar a la escuela
      El maquinista tiene que caminar a lo largo de un tren de 4 millas para “inspeccionarlo”, pero por la desregulación el tiempo de inspección, que antes cubría una lista de verificación completa, se redujo a apenas unos minutos
      La autoridad del regulador único se debilitó, y todavía circulan trenes con frenos de principios del siglo XX
      Cada año ocurren varios “accidentes” con derrames químicos, y todo se debe a la búsqueda de ganancias
      Estos trabajadores siguen sobrecargados y aun así no pueden tomar licencia por enfermedad a menos que la programen con 2 o 3 meses de anticipación
      Los accidentes ferroviarios ya se volvieron difíciles de evitar, y el próximo podría ser más catastrófico que el de Palestine, Ohio
      Los ferrocarriles son realmente excelentes y podrían aportar muchísimo a la sociedad; es lamentable que la búsqueda de ganancias corporativas y la desregulación los hayan llevado a esto
    • Que un tren falle o se detenga por sí solo no genera riesgo de lesiones o muerte
  • Esta historia está mejor resumida en este artículo:
    https://badcyber.com/dieselgate-but-for-trains-some-heavywei...

    • También hay un debate relacionado en HN: https://news.ycombinator.com/item?id=38567687 hace 5 días, 289 comentarios
    • Que “había una condición escrita en el código de la computadora que desactivaba la capacidad de operar del tren si permanecía al menos 10 días en uno de esos talleres” es algo claramente incorrecto
    • También vale la pena leer el artículo original
      Aparece la arrogancia descarada de la gerencia de Newag, que en resumen se acerca a: “no pueden probar que nosotros instalamos el software encontrado en nuestros trenes que perjudica a la competencia”
    • Ese título induce demasiado a error
      Me interesaba el tema y vi el enlace en HN, pero al ver “Dieselgate” asumí que obviamente sería sobre emisiones y lo pasé por alto
      Pensé que las emisiones de los trenes ya eran un tema conocido por todos y que no habría nada nuevo
      El título debería haber incluido dependencia del proveedor o derecho a reparar
  • Según Dragon Sector, Newag habría incluido código en el sistema de control de los trenes Impuls para que dejaran de funcionar si el rastreador GPS indicaba que el tren había estado estacionado durante varios días en un taller independiente.
    Eso es una circunstancia bastante grave.
    Me pregunto si fue obra de un desarrollador individual o si vino por orden de arriba.

    • El presidente de Newag, Zbigniew Konieczek, dijo: “No se ha presentado ninguna prueba de que nuestra empresa haya instalado deliberadamente software defectuoso. Desde nuestro punto de vista, la verdad podría ser completamente distinta. Por ejemplo, un competidor podría haber intervenido el software”.
      Esta excusa es tan absurda que, más bien, parece dejar claro que la dirección lo sabía.
    • ¿Qué desarrollador individual pensaría: “Voy a buscar todas las coordenadas GPS de los talleres de mantenimiento de trenes y haré que el tren deje de funcionar si permanece ahí varios días”?
    • Si fuera un desarrollador individual, no tendría ningún motivo para hacer algo así y ocultar esa decisión a la dirección.
      Claro, un desarrollador individual podría haber tenido la idea y proponérsela a la dirección esperando un gran bono.
      ¿Pero por qué hacerlo en secreto?
      Es difícil imaginar un caso en el que la alta dirección no haya estado involucrada.
    • Si fallan otras explicaciones, seguramente también intentarán esa.
      Su postura actual parece ser algo como: “no hay tal código en los trenes, y si lo hay, no es nuestro”.
    • Aunque lo haya hecho un empleado sin autorización, la empresa sigue siendo responsable.
      No creo que las normas de seguridad eximan al fabricante de responsabilidad por las acciones de sus empleados.
      Más bien al contrario: creo que, incluso si hay empleados fuera de control, deben garantizar la seguridad mediante revisiones, auditorías, etc.
  • Espero que el desarrollador al que obligaron a implementar eso haya guardado pruebas documentales de quién se lo ordenó.
    Si no, va a descubrir cómo se recompensa la lealtad hoy en día.

    • Aunque haya guardado esos documentos, debería ser sancionado junto con el gerente que se lo pidió.
      Sabía que era poco ético y debió haberse negado.
      Para un programador, el riesgo de despido no es un problema tan grande como lo es en casi cualquier otra profesión.
    • Haya o no rastro documental, la sociedad necesita menos gente que haga cosas como esta.
      Si la persona que implementó esto está leyendo, eres una persona muy mala y perjudicial para la sociedad.
    • Espero que ese desarrollador testifique y que los gerentes de mayor rango paguen multas e incluso vayan a la cárcel.
      La empresa también debería enfrentar enormes multas contractuales y sanciones.
      No espero que pase, pero ojalá fuera así.
  • ¿Llegará algún día el momento en que vender productos con sabotaje incorporado lleve a una acusación por fraude y a la cárcel?

    • En teoría, las acusaciones divulgadas recientemente comenzaron con una notificación de dos delitos que implican entre 0,5 y 8 años de prisión.
    • ¿Por qué los poderosos se castigarían a sí mismos?
  • Newag dijo que “cualquier intervención remota es prácticamente imposible”, lo cual es una afirmación bastante audaz.
    Por experiencia, casi todas las empresas que fabrican sistemas de automatización o robótica mantienen algún tipo de backdoor.
    No con el propósito de desactivarlos remotamente, sino para poder acceder de forma remota y resolver problemas rápida y eficientemente cuando se los solicitan.
    No tiene sentido volar hasta las instalaciones del cliente, a veces al otro lado del mundo, para revisar una discrepancia de IP local o una caída de un servicio del sistema, así que decir que es “imposible” no es verdad.

  • En resumen, la empresa polaca de mantenimiento ferroviario SPS empezó a sospechar cuando los trenes fabricados por Newag seguían fallando “al azar” y ni siquiera podían repararse.
    Debido a un contrato que la obligaba a pagar multas si las reparaciones se retrasaban, estaba pagando millones en multas al gobierno polaco.
    Así que contrató en secreto durante 2 meses a hackers de Dragon Sector para que investigaran el código de los trenes de Newag, y los hackers encontraron cosas sorprendentes que podrían interpretarse como capitalismo tardío, proteccionismo corporativo, sabotaje o exigencia de rescate.
    El código secreto descubierto hacía fallar el tren si entraba en polígonos geográficos alrededor de los depósitos de 5 empresas polacas de mantenimiento ferroviario, incluida SPS; lo hacía fallar después de 1 millón de km; lo hacía fallar si no se movía durante 10 días; y también incluía una combinación secreta de botones para desactivar la “falla”.

    • Me pregunto si hay un informe técnico de bajo nivel disponible públicamente.
      Me gusta la ingeniería inversa de firmware, y esto suena como el santo grial.
      ¡Son trenes! Ojalá alguien filtrara los binarios.
    • Novatos.
      Todos saben que esas travesuras hay que esconderlas detrás de una llamada a un servicio web para que la evidencia no se encuentre directamente en el cliente.
    • Acabo de darme cuenta de que la “contaminación de plataformas del capitalismo tardío” es, en esencia, lo mismo que la Verelendung que predijo Marx.
  • Es una publicación duplicada.
    ¿Ya nadie lee el sitio?
    La discusión original de la noticia fue hace poco más de una semana: https://news.ycombinator.com/item?id=38530885
    También está la refutación posterior de la empresa.
    Polish train maker denies claims its software bricked competitor rolling stock https://news.ycombinator.com/item?id=38570654
    Además, apenas ayer hubo un duplicado de 404media con muchos votos.
    https://news.ycombinator.com/item?id=38628635

    • ¿Existe algún requisito de leer todos los días todas las noticias de la página principal para poder seguir visitando el sitio?
      ¿No se puede entrar cada pocos días, leer algunas, votar por las que te gusten y volver unos días después?
    • No leo la mayoría de los sitios enlazados aquí.
      Vengo aquí a leer los comentarios.
      Asumo que, si algo es lo suficientemente importante como para saberlo, estará citado directamente en los comentarios.
  • Esperaba malware del tipo “si golpeas esta puerta tres veces, puedes entrar; si no, la puerta queda bloqueada para siempre”.
    Pero en realidad era: “si el tren está estacionado geográficamente en la ubicación de latitud/longitud de un competidor, lo convierte en un ladrillo”.
    Hay muchas formas de meter backdoors o easter eggs divertidos en el código, y eligieron un método de abuso realmente rebuscado y descarado.

    • Casi le atinaste.
      Había una combinación secreta de botones en la consola de la cabina, y al presionarla el tren se desbloqueaba como por arte de magia.
      Ya fue eliminada.
    • Al leer la postura oficial, es difícil evitar la impresión de que ni siquiera consultaron con un abogado.
      La forma en que niegan acusaciones específicas prácticamente ruega que los investiguen más.
      Soy polaco y trabajé en el pasado con gente de ese tipo; esa declaración huele a una forma de hacer negocios que ya debería haber desaparecido.
      Pero parece que todavía sobrevive por aquí y por allá.