1 puntos por GN⁺ 2024-12-28 | 1 comentarios | Compartir por WhatsApp
  • Cuando tres hackers que revelaron en 37C3 el comportamiento de desactivación de los trenes de Newag quedaron envueltos en demandas penales y civiles, el Chaos Computer Club inició una recaudación para cubrir los costos de la defensa legal
  • Los trenes en cuestión entraban por sí solos en hibernación cuando permanecían demasiado tiempo dentro de las geocoordenadas de talleres de mantenimiento de competidores o de clientes, o bajo condiciones que parecían indicar una reparación no registrada
  • Los trenes desactivados solo podían ser ‘rescatados’ llamando a un técnico de Newag, y los hackers confirmaron este comportamiento sin reemplazar piezas que requieren autenticación
  • Tras la denuncia de Newag, en 38C3 se dieron a conocer el proceso legal hasta ahora, con un costo aproximado de 30 mil euros, y los acontecimientos posteriores
  • Al 8 de enero de 2025, el CCC había recibido 31,088.89 euros en 529 transferencias, y el excedente se usará para los fines estatutarios de CCC e.V.

Revelación del DRM en trenes de Newag y disputa legal

  • Chaos Computer Club (CCC) está apoyando a tres hackers que en 37C3 revelaron la manipulación de trenes del fabricante polaco de material ferroviario Newag
  • El tema se trató en la presentación de 37C3, que el CCC considera una de las más populares de 37C3
  • Los trenes entraban en hibernación bajo ciertas condiciones
    • cuando permanecían estacionados demasiado tiempo dentro de las geocoordenadas de talleres de competidores o de clientes
    • cuando se encontraban en condiciones que parecían indicar que habían recibido una reparación no registrada
  • Los trenes desactivados solo podían ser ‘rescatados’ llamando a un técnico de Newag
  • Los hackers descubrieron este comportamiento sin realizar el reemplazo potencialmente ilegal de piezas del tren que requieren autenticación

Recaudación del CCC y presentación de seguimiento en 38C3

  • Después de la revelación, Newag demandó a los hackers tanto por la vía penal como por la civil
  • El CCC considera que estas demandas buscan impedir esta divulgación y futuras revelaciones relacionadas con estas ‘illegal instructions’
  • Los hackers presentarán el proceso legal en 38C3, y hasta ahora el costo ronda los 30,000 euros
  • El CCC pidió hacer transferencias a la cuenta bancaria general de Chaos Computer Club e.V. e indicar Lokomotive como referencia
    • Cuenta: DE41 2001 0020 0599 0902 01
    • BIC: PBNKDEFFXXX
  • Las donaciones que excedan los 30,000 euros necesarios, los saldos restantes si el costo legal real resulta menor y las costas judiciales reembolsadas se usarán para los fines estatutarios de Chaos Computer Club e.V.
  • También se aclara que CCC e.V. no está reconocido oficialmente como organización sin fines de lucro
  • La presentación de seguimiento se realizará el viernes 27 de diciembre de 2024 en 38C3 en Hamburgo; podrá verse desde las 11 p. m. de ese día en el live stream y después quedará publicada en media.ccc.de
  • Según la actualización del 8 de enero de 2025, se recibieron 31,088.89 euros en un total de 529 transferencias bancarias

1 comentarios

 
GN⁺ 2024-12-28
Opiniones de Hacker News
  • Doné 133.7€ y con gusto volvería a aportar si surgen costos legales adicionales
    Me gustaría que otras personas también donen generosamente y lo compartan en este hilo
    Lo que Newag está haciendo aquí es realmente repugnante: quiere cobrar 20,000€ por tren por “reactivar” trenes mantenidos por talleres de terceros
    No podemos permitir que se siente un precedente así
    También recomiendo mucho ver la presentación anterior: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...

    • Según el programa, ese equipo tenía previsto iniciar la charla We've not been trained for this: life after the Newag DRM disclosure a las 23:00 hora local, que en ese momento era unos 30 minutos después
      La transmisión en vivo estaba aquí: https://streaming.media.ccc.de/38c3/eins/hls
      La charla terminó y fue excelente
      Programa: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
    • Puede que el precedente no sea un problema tan grande como muchos piensan
      La mayor parte de Europa no tiene un sistema judicial basado en precedentes, así que la ley en sí importa más que fallos anteriores en casos similares
    • Hay que luchar para que el derecho a reparar esté garantizado por ley para todos los productos
      Si compraste un producto, deberías poder acceder a todo el software y arreglarlo
    • No sé cómo donar desde el sitio web
      Me da curiosidad saber dónde donaste
  • Parece que los fabricantes de trenes están copiando las tácticas de muchas empresas de hoy
    La práctica de que el fabricante desactive remotamente un producto después de la compra, por cualquier motivo, se está extendiendo como una plaga por muchas categorías de productos
    Una vez que reciben el dinero y entregan el producto, el fabricante no debería tener derecho a interferir en cómo se usa
    Esto de verdad tiene que parar, y los reguladores de todo el mundo están dormidos ante el problema

    • “Nosotros”, como grupo completamente homogéneo de expertos en software, también podríamos detener esto, pero no lo estamos haciendo
    • El copyright es la raíz del problema
      Añadir más regulación podría ser una solución, pero me pregunto si realmente es el rumbo que queremos
    • El pozo sin fondo de codicia que los modelos de suscripción abrieron en la industria del software también está atrayendo a los fabricantes de hardware
      En la práctica ya no compramos cosas, las rentamos
      Si el “mercado” acepta estas tonterías, los reguladores no harán nada
    • No es algo exclusivo de hoy
      Mi primera PC también tenía un sello de garantía anulada si se abre
  • Newag también apuntó contra la diputada Paulina Matysiak, presidenta del equipo parlamentario contra la exclusión en el transporte, y solicitó que se le retirara la inmunidad
    Desde que esto se dio a conocer el año pasado, ella venía investigando el asunto
    https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...

  • Recuerdo la historia de que unos “hackers” descubrieron que la compañía ferroviaria había desactivado trenes mantenidos por un taller competidor
    Qué lástima que los hayan demandado
    Ojalá puedan reunir suficiente dinero para exigirle a Newag una etapa de descubrimiento de pruebas dolorosa y profunda

    • Es una lástima que la empresa no haya sido acusada de sabotaje y tal vez de traición
      Atacar trenes, aunque los hayan fabricado ellos, es atacar infraestructura crítica nacional
  • No sé qué pasó con aquella vieja regla moral de “si tu mamá se sorprende cuando le explicas lo que haces, entonces estás haciendo algo mal”
    Lo que hace Newag viola esa regla con total claridad

    • Esa regla, en esencia, trata sobre “si esto te metería en problemas políticos”
      Pero ahora los grandes actores monopolísticos simplemente ignoran ese efecto
      La prensa está subfinanciada y corrompida, y los políticos también están corrompidos en un sentido amplio
    • Como seguir esa regla no es rentable, parece que la directiva principal de maximizar el dinero se impone
      Ya sea de forma legal o semilegal
    • Es raro que alguien le diga la verdad a su familia, y siempre hay una forma de torcerla un poco para convencerse a sí mismo
  • Hubo una discusión anterior cuando se descubrió por primera vez, y me sorprendió que no se debatiera más: https://news.ycombinator.com/item?id=38893116

  • Me gustaría que alguien resumiera todo para quienes no conocen el contexto
    Me pregunto por qué los gobiernos que compraron estos trenes troyanos no están destrozando al proveedor ferroviario y condecorando a los hackers que lo expusieron

    • Porque los gobiernos son muy capitalistas y creen que las grandes empresas pueden hacer lo que quieran
  • Esto es una tendencia casi universal.
    Si los fabricantes no lo están haciendo ya, es muy probable que lo estén planeando.
    A medida que distintas partes del mundo se desarrollan, surgen por todas partes fabricantes que ofrecen maquinaria más barata, y el foso defensivo de los fabricantes tradicionales está desapareciendo.
    Los fabricantes de bienes duraderos se están aferrando al siguiente modelo de negocio: servicios de suscripción de mantenimiento y soporte.
    El servicio de flotas de vehículos conectados de Ford está ganando tracción y podría ser muy rentable en el sector de vehículos comerciales.
    Gran parte de esta tendencia se debe al debilitamiento de la fuerza laboral por falta de personal, de capacitación y de experiencia.
    Este caso de los trenes claramente roza lo criminal, pero no está tan alejado de la ola de “progreso” que estamos viendo ahora.

  • Lamentablemente, este descubrimiento probablemente sirva para que otras empresas aprendan la lección.
    Es decir, irán en la dirección de hacer más difíciles de detectar sus tácticas con negación plausible y ocultarlas bajo el pretexto de la “seguridad”.
    Big Tech lleva ya un tiempo jugando ese juego.
    https://news.ycombinator.com/item?id=36926276
    https://news.ycombinator.com/item?id=24955071

  • Newag está actuando como la mafia en este caso.
    Es del tipo: “Sería una pena que el tren se detuviera, ¿no..?”
    No quiero decirle a Polonia qué hacer, pero un desenlace satisfactorio sería averiguar exactamente quién ordenó programar los trenes de Newag de esa manera y mandarlo a la cárcel.
    Por cada tren encontrado con ese software instalado, habría que sumar más años a la condena y obligar a Newag a dar mantenimiento gratuito a esos trenes.
    Si Polonia quiere mostrar una postura dura sobre cómo trata a quienes estafan al público para ganar dinero, eso sería lo mejor.
    Si quiere decir que, aun con pruebas abrumadoras, estafar al público polaco sigue siendo un buen negocio, pues adelante.

    • NewAg está actuando claramente con malicia, sabotaje y extorsión en mente.
      Cuando se trata de trenes y ferrocarriles, no es solo un asunto de negocios, sino una cuestión estratégica de seguridad nacional.
      Es una situación del tipo: “Sería una pena que un tren cargado de alimentos perecederos se detuviera en plena ruta y la cosecha se echara a perder”.
      No sé qué país puede decir que la seguridad alimentaria no afecta la capacidad del gobierno para mantener el orden.
      Si un tercero que no fuera el proveedor de mantenimiento hiciera algo así, razonablemente se lo consideraría una organización terrorista, y los miembros de ese grupo deberían ser tratados como tal.
      Incluso si alegaran que se limita a una función pequeña y específica que debe aceptarse, insertaron en la cadena de suministro una vulnerabilidad que no es esencial para el funcionamiento normal y la diseñaron como si fuera indispensable.
      Como mínimo, aunque no la ejecuten directamente, están allanando el camino para que grupos así operen libremente.