पोलिश हैकरों ने उस ट्रेन की मरम्मत की जिसे निर्माता ने कृत्रिम रूप से बंद कर दिया था, अब रेलवे कंपनी से उन्हें धमकियां मिल रही हैं

 (404media.co)
7 पॉइंट द्वारा GN⁺ 2023-12-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें

पोलैंड ट्रेन हैकिंग घटना का सार

  • पोलैंड के दक्षिण-पश्चिमी क्षेत्र की एक रेलवे कंपनी की ट्रेनें स्वतंत्र मरम्मत कंपनी द्वारा मरम्मत के बाद निर्माता की वजह से निष्क्रिय कर दी गईं।
  • निर्माता ने ट्रेन को हैक करने वाले white hat hackers पर मुकदमा करने की धमकी दी।
  • पोलैंड के इंफ्रास्ट्रक्चर और मरम्मत उद्योग में इस पर विवाद खड़ा हो गया है, जबकि निर्माता ट्रेन की सुरक्षा संबंधी समस्याओं का दावा करता है लेकिन उन्हें साबित नहीं कर पाया है।

पार्ट्स पेयरिंग रोकने का मेकैनिज़्म

  • ट्रेन निर्माता NEWAG ने ऐसा कोड एम्बेड किया था जो ट्रेन को तब काम करने से रोक देता था जब GPS tracker यह पहचान ले कि ट्रेन कुछ समय तक किसी स्वतंत्र मरम्मत कंपनी के पास रही है, या जब निर्माता द्वारा स्वीकृत serial number के बिना कुछ खास पार्ट्स बदले गए हों।
  • इस तरह के 'parts pairing prevention' मेकैनिज़्म का इस्तेमाल किसानों को John Deere tractor की कंपनी-अनुमोदन के बिना मरम्मत करने से रोकने और Apple द्वारा iPhone की स्वतंत्र मरम्मत रोकने में भी किया जाता है।

हैकरों द्वारा ट्रेन की मरम्मत

  • पोलिश ट्रेन ऑपरेटर Lower Silesian Railway, स्वतंत्र मरम्मत कंपनी SPS के माध्यम से नियमित maintenance करवा रहा था, तभी उसे ट्रेनों के काम न करने की समस्या का सामना करना पड़ा।
  • SPS ने Dragon Sector नाम के एक white hat hacker समूह से मदद मांगी।
  • Dragon Sector ने ट्रेन software में एम्बेडेड 'workshop detection' सिस्टम खोज निकाला और ट्रेन ड्राइवर पैनल पर डाले जा सकने वाले 'unlock code' को ढूंढकर समस्या हल कर दी।

निर्माता की प्रतिक्रिया

  • NEWAG का कहना है कि उसने ट्रेन software में जानबूझकर fault पैदा करने वाला कोई समाधान नहीं डाला, और उसने हैकरों पर मुकदमा करने की धमकी दी।
  • NEWAG ने रेलवे परिवहन सुरक्षा के लिए खतरे और कानूनी प्रावधानों के उल्लंघन का हवाला देते हुए हैकरों की कार्रवाई की निंदा की।

यूरोपीय कॉपीराइट कानून

  • यूरोप के Copyright and Information Society Directive 2001 का Article 6, DRM circumvention के मामले में अमेरिका के DMCA Section 1201 से अधिक सख्त है, और इसमें repair exemption को स्पष्ट रूप से परिभाषित नहीं किया गया है।
  • इसके कारण Dragon Sector जैसे शोधकर्ताओं के लिए अतिरिक्त कानूनी जोखिम पैदा हो सकता है।

GN⁺ की राय

  • यह मामला उस वैश्विक समस्या का एक उदाहरण है जिसमें निर्माता एकाधिकार वाली मरम्मत थोपते हैं और स्वतंत्र मरम्मत को बाधित करते हैं।
  • white hat hackers ने तकनीकी बाधाओं को पार कर मरम्मत संभव बनाई, जो उपभोक्ता अधिकारों और स्वतंत्र मरम्मत उद्योग के लिए एक महत्वपूर्ण जीत है।
  • यह मामला repair rights पर कानूनी और नीतिगत बहस को प्रभावित करने वाला एक महत्वपूर्ण उदाहरण बन सकता है, और तकनीकी सुरक्षा उपायों की सीमाओं तथा ownership पर बहस को और तेज कर सकता है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-12-14
Hacker News की राय

  • महामारी के चरम दौर में, पोलिश हैकरों द्वारा विकसित एक dongle का इस्तेमाल अमेरिकी repair experts ने DRM को bypass करने के लिए किया था, ताकि COVID-19 मरीजों की जान बचाने के लिए ventilators का उपयोग किया जा सके—इस बारे में मैंने एक लेख लिखा था.

    • यह बेहद दुष्टतापूर्ण है. मैं right to repair को लेकर कुछ लोगों जितना भावनात्मक रूप से जुड़ा नहीं हूँ, लेकिन जब DRM जीवन-रक्षक उपकरणों के काम को मुश्किल बना देता है, तो यह भ्रष्टता को दर्शाता है. ऐसी कंपनियों को शर्म आनी चाहिए.
    • right to repair का समर्थन करने वालों को ऐसे मामलों की ओर इशारा करना चाहिए. यही वह मुख्य कारण है जिससे दूसरे लोग भी इसका समर्थन करना चाहते हैं.

  • मुझे नहीं लगता कि Newag हैकरों के खिलाफ कोई कार्रवाई कर पाएगा. हैकरों ने किसी third-party IT network/system को hack नहीं किया, बल्कि उस ट्रेन को hack किया जो रेलवे कंपनी की मालिकाना संपत्ति थी.

  • संबंधित लिंक:

    • एक हफ्ते पहले की मूल news story पर चर्चा: Hacker News चर्चा लिंक
    • कंपनी की follow-up कार्रवाई: "पोलिश ट्रेन निर्माता ने इस दावे से इनकार किया कि उसने प्रतिद्वंद्वी की ट्रेनों के software को खराब किया" Hacker News follow-up लिंक
    • 404 की देर से आई quality पर अतिरिक्त जानकारी

  • Gynvael Coldwind (Dragon Sector का सदस्य, लेकिन उस टीम का हिस्सा नहीं जिसने संबंधित ट्रेन को hack किया) ने एक लेख लिखा है जिसमें कंपनी की defense logic में खामियाँ बताई गई हैं.

    • इसमें मुख्य रूप से reverse engineering, compilation process, और final binary के layout — .text, .data sections, offsets आदि — पर चर्चा है.
    • code cave और hooking के लिंक दिए गए हैं
    • अंत में, लेख EU के भीतर इस तरह की hacking की कानूनी स्थिति के अस्पष्ट होने पर चर्चा करता है.
    • यह भी बताया गया है कि बड़े industrial equipment buyers DRM को पसंद करने वाले suppliers को बाज़ार से बाहर कर सकें तो अच्छा होगा, लेकिन हकीकत ऐसी नहीं है.

  • मुझे यह अच्छा लगता है कि DRM दोनों दिशाओं में काम कर सकता है. निर्माता अपने products को lock करने के लिए स्वतंत्र हैं, लेकिन यह खुला होना चाहिए, और मालिक को अपनी संपत्ति के साथ छेड़छाड़ करने की स्वतंत्रता होनी चाहिए. ट्रेन उनकी है.

  • इस कहानी से जो सबक मिलता है, वह यह है कि निर्माता ज़्यादा पैसा कमाने के लिए users को धोखा देते हैं—यह "इतनी छोटी समस्या नहीं है कि इसका विरोध न किया जा सके", बल्कि असीमित लालच है.

  • Dragon Sector ने Newag के बयान के जवाब वाला लेख भी सीधे लिंक किया है:

    • Newag पर हैकरों की प्रतिक्रिया वाला लेख
    • लगता है कि इस बार ज़्यादा विवरण हैं. उदाहरण के लिए, firmware में Newag service differences की 'before/after' तुलना है, और उसमें कुछ दिलचस्प बदलाव हैं.
    • अगर यह सच है, तो यह संकेत देता है कि "अनधिकृत हैकर" शायद Newag के अंदर भी हो सकते हैं.

  • मुझे यह पसंद नहीं कि लेख इसे समझाने के लिए DRM शब्द का उपयोग करता है. इसका DRM या software tamper prevention से कोई लेना-देना नहीं है.

    • यह software का वह हिस्सा है जिसे निर्माता ने चोरी-छिपे शामिल किया ताकि third-party repair shops अक्षम दिखें.
    • DRM इसे किसी आधिकारिक रूप से documented tamper prevention जैसा बना देता है. लेख खुद अच्छा है, लेकिन शीर्षक और लेख में DRM का उपयोग गलत है.

  • यह स्पष्ट रूप से NEWAG पर लगे आरोपों की ओर और अधिक ध्यान खींचेगा और उल्टा असर डालेगा.

    • NEWAG के executives और ज़िम्मेदार लोगों पर fraud conspiracy के साथ-साथ defamation के लिए भी आपराधिक मुकदमा चलाया जाना चाहिए.
    • यह साफ़ है कि NEWAG ने third-party repair shops की कथित गड़बड़ियों के बारे में जानबूझकर झूठ बोला, और इसका उपयोग ग्राहकों को अपनी repair shops से service लेने के लिए प्रेरित करने या मजबूर करने में किया.