- Cuando tres hackers que revelaron en 37C3 el comportamiento de desactivación de los trenes de Newag quedaron envueltos en demandas penales y civiles, el Chaos Computer Club inició una recaudación para cubrir los costos de la defensa legal
- Los trenes en cuestión entraban por sí solos en hibernación cuando permanecían demasiado tiempo dentro de las geocoordenadas de talleres de mantenimiento de competidores o de clientes, o bajo condiciones que parecían indicar una reparación no registrada
- Los trenes desactivados solo podían ser ‘rescatados’ llamando a un técnico de Newag, y los hackers confirmaron este comportamiento sin reemplazar piezas que requieren autenticación
- Tras la denuncia de Newag, en 38C3 se dieron a conocer el proceso legal hasta ahora, con un costo aproximado de 30 mil euros, y los acontecimientos posteriores
- Al 8 de enero de 2025, el CCC había recibido 31,088.89 euros en 529 transferencias, y el excedente se usará para los fines estatutarios de CCC e.V.
Revelación del DRM en trenes de Newag y disputa legal
- Chaos Computer Club (CCC) está apoyando a tres hackers que en 37C3 revelaron la manipulación de trenes del fabricante polaco de material ferroviario Newag
- El tema se trató en la presentación de 37C3, que el CCC considera una de las más populares de 37C3
- Los trenes entraban en hibernación bajo ciertas condiciones
- cuando permanecían estacionados demasiado tiempo dentro de las geocoordenadas de talleres de competidores o de clientes
- cuando se encontraban en condiciones que parecían indicar que habían recibido una reparación no registrada
- Los trenes desactivados solo podían ser ‘rescatados’ llamando a un técnico de Newag
- Los hackers descubrieron este comportamiento sin realizar el reemplazo potencialmente ilegal de piezas del tren que requieren autenticación
Recaudación del CCC y presentación de seguimiento en 38C3
- Después de la revelación, Newag demandó a los hackers tanto por la vía penal como por la civil
- El CCC considera que estas demandas buscan impedir esta divulgación y futuras revelaciones relacionadas con estas ‘illegal instructions’
- Los hackers presentarán el proceso legal en 38C3, y hasta ahora el costo ronda los 30,000 euros
- El CCC pidió hacer transferencias a la cuenta bancaria general de Chaos Computer Club e.V. e indicar
Lokomotivecomo referencia- Cuenta:
DE41 2001 0020 0599 0902 01 - BIC:
PBNKDEFFXXX
- Cuenta:
- Las donaciones que excedan los 30,000 euros necesarios, los saldos restantes si el costo legal real resulta menor y las costas judiciales reembolsadas se usarán para los fines estatutarios de Chaos Computer Club e.V.
- También se aclara que CCC e.V. no está reconocido oficialmente como organización sin fines de lucro
- La presentación de seguimiento se realizará el viernes 27 de diciembre de 2024 en 38C3 en Hamburgo; podrá verse desde las 11 p. m. de ese día en el live stream y después quedará publicada en media.ccc.de
- Según la actualización del 8 de enero de 2025, se recibieron 31,088.89 euros en un total de 529 transferencias bancarias
1 comentarios
Opiniones de Hacker News
Doné 133.7€ y con gusto volvería a aportar si surgen costos legales adicionales
Me gustaría que otras personas también donen generosamente y lo compartan en este hilo
Lo que Newag está haciendo aquí es realmente repugnante: quiere cobrar 20,000€ por tren por “reactivar” trenes mantenidos por talleres de terceros
No podemos permitir que se siente un precedente así
También recomiendo mucho ver la presentación anterior: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...
La transmisión en vivo estaba aquí: https://streaming.media.ccc.de/38c3/eins/hls
La charla terminó y fue excelente
Programa: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
La mayor parte de Europa no tiene un sistema judicial basado en precedentes, así que la ley en sí importa más que fallos anteriores en casos similares
Si compraste un producto, deberías poder acceder a todo el software y arreglarlo
Me da curiosidad saber dónde donaste
Parece que los fabricantes de trenes están copiando las tácticas de muchas empresas de hoy
La práctica de que el fabricante desactive remotamente un producto después de la compra, por cualquier motivo, se está extendiendo como una plaga por muchas categorías de productos
Una vez que reciben el dinero y entregan el producto, el fabricante no debería tener derecho a interferir en cómo se usa
Esto de verdad tiene que parar, y los reguladores de todo el mundo están dormidos ante el problema
Añadir más regulación podría ser una solución, pero me pregunto si realmente es el rumbo que queremos
En la práctica ya no compramos cosas, las rentamos
Si el “mercado” acepta estas tonterías, los reguladores no harán nada
Mi primera PC también tenía un sello de garantía anulada si se abre
Newag también apuntó contra la diputada Paulina Matysiak, presidenta del equipo parlamentario contra la exclusión en el transporte, y solicitó que se le retirara la inmunidad
Desde que esto se dio a conocer el año pasado, ella venía investigando el asunto
https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...
Recuerdo la historia de que unos “hackers” descubrieron que la compañía ferroviaria había desactivado trenes mantenidos por un taller competidor
Qué lástima que los hayan demandado
Ojalá puedan reunir suficiente dinero para exigirle a Newag una etapa de descubrimiento de pruebas dolorosa y profunda
Atacar trenes, aunque los hayan fabricado ellos, es atacar infraestructura crítica nacional
No sé qué pasó con aquella vieja regla moral de “si tu mamá se sorprende cuando le explicas lo que haces, entonces estás haciendo algo mal”
Lo que hace Newag viola esa regla con total claridad
Pero ahora los grandes actores monopolísticos simplemente ignoran ese efecto
La prensa está subfinanciada y corrompida, y los políticos también están corrompidos en un sentido amplio
Ya sea de forma legal o semilegal
Hubo una discusión anterior cuando se descubrió por primera vez, y me sorprendió que no se debatiera más: https://news.ycombinator.com/item?id=38893116
https://news.ycombinator.com/item?id=38530885
https://news.ycombinator.com/item?id=38567687
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38788360
Y más
También puedes ver el primer comentario
https://news.ycombinator.com/item?id=38788360
Me gustaría que alguien resumiera todo para quienes no conocen el contexto
Me pregunto por qué los gobiernos que compraron estos trenes troyanos no están destrozando al proveedor ferroviario y condecorando a los hackers que lo expusieron
Esto es una tendencia casi universal.
Si los fabricantes no lo están haciendo ya, es muy probable que lo estén planeando.
A medida que distintas partes del mundo se desarrollan, surgen por todas partes fabricantes que ofrecen maquinaria más barata, y el foso defensivo de los fabricantes tradicionales está desapareciendo.
Los fabricantes de bienes duraderos se están aferrando al siguiente modelo de negocio: servicios de suscripción de mantenimiento y soporte.
El servicio de flotas de vehículos conectados de Ford está ganando tracción y podría ser muy rentable en el sector de vehículos comerciales.
Gran parte de esta tendencia se debe al debilitamiento de la fuerza laboral por falta de personal, de capacitación y de experiencia.
Este caso de los trenes claramente roza lo criminal, pero no está tan alejado de la ola de “progreso” que estamos viendo ahora.
Lamentablemente, este descubrimiento probablemente sirva para que otras empresas aprendan la lección.
Es decir, irán en la dirección de hacer más difíciles de detectar sus tácticas con negación plausible y ocultarlas bajo el pretexto de la “seguridad”.
Big Tech lleva ya un tiempo jugando ese juego.
https://news.ycombinator.com/item?id=36926276
https://news.ycombinator.com/item?id=24955071
Newag está actuando como la mafia en este caso.
Es del tipo: “Sería una pena que el tren se detuviera, ¿no..?”
No quiero decirle a Polonia qué hacer, pero un desenlace satisfactorio sería averiguar exactamente quién ordenó programar los trenes de Newag de esa manera y mandarlo a la cárcel.
Por cada tren encontrado con ese software instalado, habría que sumar más años a la condena y obligar a Newag a dar mantenimiento gratuito a esos trenes.
Si Polonia quiere mostrar una postura dura sobre cómo trata a quienes estafan al público para ganar dinero, eso sería lo mejor.
Si quiere decir que, aun con pruebas abrumadoras, estafar al público polaco sigue siendo un buen negocio, pues adelante.
Cuando se trata de trenes y ferrocarriles, no es solo un asunto de negocios, sino una cuestión estratégica de seguridad nacional.
Es una situación del tipo: “Sería una pena que un tren cargado de alimentos perecederos se detuviera en plena ruta y la cosecha se echara a perder”.
No sé qué país puede decir que la seguridad alimentaria no afecta la capacidad del gobierno para mantener el orden.
Si un tercero que no fuera el proveedor de mantenimiento hiciera algo así, razonablemente se lo consideraría una organización terrorista, y los miembros de ese grupo deberían ser tratados como tal.
Incluso si alegaran que se limita a una función pequeña y específica que debe aceptarse, insertaron en la cadena de suministro una vulnerabilidad que no es esencial para el funcionamiento normal y la diseñaron como si fuera indispensable.
Como mínimo, aunque no la ejecuten directamente, están allanando el camino para que grupos así operen libremente.