तीसरे पक्ष की वर्कशॉप में मरम्मत के बाद पोलैंड की ट्रेनों का लॉक हो जाना

 (social.hackerspace.pl)
1 पॉइंट द्वारा GN⁺ 2023-12-06 | 1 टिप्पणियां | WhatsApp पर शेयर करें

सारांश: hackerspace.pl और शोध प्रस्तुति

  • hackerspace.pl, Mastodon पर आधारित एक distributed social network का हिस्सा है.
  • यह वारसॉ hackerspace के सदस्यों के लिए एक सर्वर है, जिसे q3k@q3k प्रबंधित करते हैं.
  • सर्वर आँकड़े: 22 सक्रिय उपयोगकर्ता.

शोध की मुख्य बातें

  • शोधकर्ताओं ने NEWAG Impuls EMUs के PLC code का reverse engineering करके विश्लेषण किया.
  • इन ट्रेनों ने तीसरे पक्ष की वर्कशॉप में service के बाद मनमाने कारणों से काम करना बंद कर दिया.
  • निर्माता का दावा था कि ये समस्याएँ वर्कशॉप की अनुचित handling के कारण हैं, और सेवा केवल उसी से करानी चाहिए.

सामने आई समस्याएँ

  • PLC code में ऐसी logic शामिल थी जो किसी खास तारीख के बाद या एक निश्चित समय तक संचालन न होने पर ट्रेन को लॉक कर देती थी.
  • controller के कुछ versions में GPS coordinates शामिल थे जो केवल तीसरे पक्ष की वर्कशॉप में व्यवहार को सीमित करते थे.
  • ट्रेन को केबिन control panel पर एक खास key combination दबाकर unlock किया जा सकता था, लेकिन यह documented नहीं था.

software update और अतिरिक्त समस्याएँ

  • PLC software के नए version में key-based unlock feature हटा दिया गया, लेकिन locking logic बनी रही.
  • NEWAG के एक खास update के बाद, HMI उन शर्तों के एक subset का पता लगाता था जिन पर lock trigger होना चाहिए, और ट्रेन के अभी भी चल रही होने पर copyright violation के बारे में डरावना संदेश दिखाता था.
  • ट्रेनों में GSM telemetry device लगा था, जो lock conditions को broadcast करता था और कुछ मामलों में remotely ट्रेन को लॉक कर सकता था.

सार्वजनिक चर्चा और प्रतिक्रियाएँ

  • शोधकर्ताओं ने इस विषय पर OhMyHack में private discussion की.
  • यह कहानी Polish sources के माध्यम से फैल रही है, और 37C3 में इस पर विस्तार से चर्चा कर निष्कर्ष सार्वजनिक किए जाने की योजना है.
  • लोग इस मुद्दे पर अलग-अलग प्रतिक्रियाएँ दे रहे हैं; कुछ का कहना है कि ऐसा व्यवहार anti-competitive और अवैध हो सकता है.

GN⁺ की राय

इस लेख की सबसे महत्वपूर्ण बात यह है कि शोधकर्ताओं ने NEWAG Impuls EMUs के PLC code में छिपी समस्याओं का पता लगाया है और वे इस पर सार्वजनिक रूप से चर्चा करने वाले हैं। यह software और hardware के interaction का, और इस बात का, एक दिलचस्प उदाहरण है कि तकनीक किस तरह उपयोगकर्ताओं के अधिकारों और प्रतिस्पर्धा को सीमित कर सकती है। ऐसी research तकनीक के नैतिक उपयोग और consumer protection पर महत्वपूर्ण चर्चा को जन्म दे सकती है, और यह सभी हितधारकों के लिए बेहद महत्वपूर्ण विषय है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-12-06
Hacker News की राय

  • पोलैंड की क्षेत्रीय ट्रेन कंपनियों द्वारा इस्तेमाल की जाने वाली ट्रेनों का maintenance P1 से P5 तक 5 चरणों में बंटा होता है, और कुछ साल पहले से European Union Railway Agency के market opening की वजह से छोटी कंपनियाँ भी P3 या उससे ऊपर के maintenance tender जीतने लगीं।

  • SPS Mieczkowski द्वारा serviced 4 ट्रेनें काम नहीं कर रही थीं, इसलिए कंपनी को 5 लाख euro का जुर्माना देना पड़ा और ट्रेनों को Newag को वापस भेज दिया गया। इसी दौरान दूसरी कंपनियों की ट्रेनें भी service के बिना एक ही जगह लंबे समय तक खड़ी रहने के बाद चलना बंद हो गईं। इसके बाद SPS Mieczkowski ने जांच के लिए Dragon Sector को नियुक्त किया और कई अलग-अलग routines पाए जो ट्रेनों को रुकने पर मजबूर करते थे।

  • इस मामले की जांच Poland के Central Anti-Corruption Bureau द्वारा की जा रही है, लेकिन इससे Newag को बड़ा झटका लगेगा, ऐसा नहीं लगता। Poland का Rail Transport Office छोटे schedule errors पर तो शिकायतों और आदेशों के जरिए रेलवे कंपनियों को परेशान करता रहा, लेकिन इस मामले में उसने दखल नहीं दिया।

  • पोलैंड 16 प्रांतों में बंटा है, और 2000 के दशक की शुरुआत में हुए reforms के बाद लगभग हर प्रांत की अपनी regional rail company है। Newag ट्रेनों में कई defects सामने आने के बाद, service company को hackers को hire करके reverse engineering के जरिए समस्या समझने में समय लगा।

  • यह मामला अतीत में Microsoft द्वारा DR-DOS को प्रतिस्पर्धा से बाहर करने के लिए इस्तेमाल किए गए AARD "crash" की याद दिलाता है। AARD code, Windows 3.1 beta version में शामिल code था, जो यह जांचता था कि Windows, MS-DOS या PC DOS के बजाय DR-DOS जैसे किसी प्रतिस्पर्धी product पर चल रहा है या नहीं, और यदि ऐसा होता था तो encrypted error message दिखाता था।

  • इस पोस्ट के बाद Newag के share price में काफी गिरावट आई। यह सोचने वाली बात है कि क्या Mastodon की वजह से हुआ यह पहला price correction है।

  • 21 नवंबर 2022 को एक ऐसी ट्रेन थी जिसने service में न होने के बावजूद काम करने से इनकार कर दिया। कंप्यूटर ने compressor error report किया, लेकिन mechanic ने तय किया कि compressor में कोई समस्या नहीं थी। कंप्यूटर code के analysis से पता चला कि एक condition थी जो किसी खास तारीख पर compressor error report करने के लिए सेट की गई थी।

  • एक राय यह है कि Newag की ट्रेनें Pesa (एक अन्य Polish manufacturer) की तुलना में बेहतर quality की हैं, लेकिन वे इतनी reliable हैं कि उनमें artificial defects पैदा करने की जरूरत पड़ती है।

  • यह सवाल उठता है कि क्या manufacturers ने critical infrastructure को ठप करके पोलैंड को बंधक बना लिया था। यह एक दुस्साहसी अपराध है, और यह निश्चित नहीं है कि वे इससे बच निकल पाएँगे।

  • यह सवाल भी है कि malicious code clause किसने लिखा और किन लोगों को इसके बारे में पता था, और कोई whistleblower क्यों नहीं था। कंपनी के बारे में anonymous (unverified) कर्मचारियों की राय वाला एक पेज मौजूद है।

  • Hacker News खोलकर अक्सर इस्तेमाल की जाने वाली ट्रेन के बारे में ऐसी फिल्मी कहानी पढ़ना दिखाता है कि दुनिया कितनी छोटी है। संभव है कि code review नहीं हुआ था, या reviewers ने किसी कारण से इसे स्वीकार कर लिया।

  • यह देखना दिलचस्प होगा कि इस स्थिति का Newag और European rail service Akiem के बीच हुए contract पर क्या असर पड़ता है। Newag ने France के लिए service और ट्रेनों के संबंध में 16.4 करोड़ euro का contract किया है।