हैकर्स ने ऐसी ट्रेन का पता लगाया जिसे थर्ड-पार्टी मरम्मत के बाद खराब होने के लिए डिज़ाइन किया गया था
(arstechnica.com)- पोलैंड में Newag द्वारा निर्मित ट्रेनें थर्ड-पार्टी मेंटेनेंस के बाद परिचालन-अक्षम हो गईं, जिससे रेल संचालन और यात्री क्षमता प्रभावित हुई
- एथिकल हैकिंग समूह Dragon Sector का दावा है कि Impuls ट्रेन कंट्रोल सिस्टम में मेंटेनेंस शॉप की लोकेशन और पार्ट्स के serial number के आधार पर काम करने वाला लॉक कोड मौजूद था
- Newag ने जानबूझकर खराबी पैदा करने वाले फीचर से इनकार किया और Dragon Sector पर मानहानि तथा हैकिंग कानूनों के उल्लंघन का मुकदमा करने की चेतावनी दी
- Dragon Sector ने कहा कि उसने ड्राइवर कैब पैनल में डाला जाने वाला undocumented unlock code खोजकर समस्या हल की, और SPS के साथ मिलकर कंट्रोल सिस्टम में छेड़छाड़ करने के आरोपों से इनकार किया
- निर्माता और स्वतंत्र मेंटेनेंस कंपनियों के बीच टकराव राइट टू रिपेयर बहस तक फैल गया, जहां सुरक्षा दावे, कानूनी दबाव और software lock की सीमाएं प्रमुख मुद्दे बन गईं
पोलैंड में ट्रेन संचालन को हिला देने वाली थर्ड-पार्टी मरम्मत
- पोलैंड में Newag की बनी ट्रेनें निर्माता के बजाय किसी अन्य कंपनी से मेंटेनेंस कराने के बाद काम न करने लगीं
- मेंटेनेंस कंपनी Serwis Pojazdów Szynowych(SPS) ने जून 2022 में एथिकल हैकिंग समूह Dragon Sector को ट्रेन software का विश्लेषण करने का काम सौंपा
- यह पोलिश रेल ऑपरेटर Lower Silesian Railway के स्वामित्व वाले वाहनों से जुड़ा मामला था, जहां कई ट्रेनों की “रहस्यमय खराबियों” के कारण चलने योग्य कोचों की संख्या घट गई
- Rynek Kolejowy के अनुसार ट्रेनों की कमी परिवहन कंपनी और यात्रियों दोनों के लिए “गंभीर समस्या” बन गई
- उपलब्ध वाहनों की संख्या घटने से ट्रेनें छोटी करनी पड़ीं और यात्री क्षमता भी कम हो गई
Dragon Sector ने जिन लॉक शर्तों की ओर इशारा किया
- Dragon Sector ने दो महीने तक software का विश्लेषण करने के बाद निष्कर्ष निकाला कि “निर्माता के हस्तक्षेप” के कारण जबरन खराबी और ट्रेन का स्टार्ट न होना हुआ
- मुख्य दावा यह है कि Newag ने Impuls ट्रेनों के कंट्रोल सिस्टम में ऐसा कोड डाला जो कुछ शर्तों के पूरा होने पर संचालन रोक देता था
- उनका दावा है कि यदि GPS tracker यह तय करता कि ट्रेन कई दिनों तक किसी स्वतंत्र मेंटेनेंस शॉप में खड़ी रही, तो वह काम करना बंद कर देती थी
- कहा गया कि SPS के मेंटेनेंस हॉल और उद्योग की कुछ समान कंपनियों के मेंटेनेंस हॉल भी लोकेशन शर्तों में शामिल थे
- यहां तक कि SPS का वह हॉल भी शर्तों में शामिल था जो तब अभी निर्माणाधीन था
- 404 Media के अनुसार यह भी दावा किया गया कि यदि कुछ पार्ट्स निर्माता-स्वीकृत serial number के बिना बदले गए हों, तो ट्रेन brick हो जाती थी
undocumented unlock code
- Dragon Sector ने बताया कि उसे ड्राइवर कैब पैनल से डाला जा सकने वाला undocumented unlock code मिला, और 404 Media से कहा कि इसी से समस्या सुलझाई गई
- Dragon Sector के Sergiusz Bazański ने Mastodon पर लिखा कि थर्ड-पार्टी मेंटेनेंस शॉप में सर्विस होने के बाद ट्रेनें मनमाने कारणों से लॉक हो गई थीं
- Bazański ने कहा कि निर्माता इस समस्या का दोष मेंटेनेंस शॉप पर डाल रहा था और यह तर्क दे रहा था कि सर्विसिंग किसी थर्ड पार्टी के बजाय निर्माता से ही कराई जानी चाहिए
- यह दावा भी सामने आया कि कुछ मामलों में Newag दूर से ट्रेनों को लॉक कर सकता था
- Newag ने इसका जवाब देते हुए कहा कि “किसी भी remote हस्तक्षेप” की बात “व्यवहारिक रूप से असंभव” है
Newag का इनकार और कानूनी कार्रवाई की धमकी
- Newag ने “workshop-detection” software या जानबूझकर खराबी पैदा करने वाले किसी फीचर को विकसित करने के दावे से इनकार किया
- कंपनी ने Dragon Sector पर मानहानि और हैकिंग से जुड़े कानूनों के उल्लंघन का आरोप लगाते हुए मुकदमे की धमकी दी
- कंपनी ने यह भी कहा कि हैक की गई ट्रेनें रेल सुरक्षा के लिए खतरा हो सकती हैं, इसलिए उन्हें सेवा से बाहर किया जाना चाहिए
- 404 Media ने कहा कि Newag का यह सुरक्षा दावा अभी तक सिद्ध नहीं हुआ है
- Newag ने Dragon Sector की रिपोर्ट को अविश्वसनीय बताया और इसका कारण यह बताया कि इस विश्लेषण का आदेश Newag के प्रमुख प्रतिस्पर्धियों में से एक ने दिया था
- Newag के अध्यक्ष Zbigniew Konieczek ने कहा कि कंपनी ने जानबूझकर दोषपूर्ण software इंस्टॉल किया, इसका कोई सबूत पेश नहीं किया गया
- उन्होंने यह संभावना भी जताई कि किसी प्रतिस्पर्धी ने software में हस्तक्षेप किया हो सकता है
- Konieczek ने Janusz Cieszyński की आलोचना करते हुए कहा कि उन्होंने Newag के बारे में झूठी और बेहद नुकसानदेह जानकारी फैलाई
सरकारी जांच और राइट टू रिपेयर बहस तक विस्तार
- Newag ने कहा कि उसने हैकिंग जांच के लिए अधिकारियों से संपर्क किया है और रेल परिवहन प्राधिकरण को सूचित किया है ताकि वह तय करे कि संबंधित वाहनों को सेवा से हटाया जाना चाहिए या नहीं
- पोलैंड के पूर्व डिजिटल मंत्री Janusz Cieszyński ने X पर लिखा कि Newag के अध्यक्ष ने उनसे संपर्क कर कहा कि कंपनी cybercrime की शिकार है
- Cieszyński ने लिखा कि उन्होंने जो विश्लेषण देखा, वह Newag के दावों से अलग दिशा की ओर इशारा करता है
- Dragon Sector और SPS ने ट्रेन कंट्रोल सिस्टम में छेड़छाड़ के आरोपों से इनकार किया
- 404 Media का कहना है कि Newag की प्रतिक्रिया राइट टू रिपेयर क्षेत्र में अक्सर दिखने वाले पैटर्न जैसी लगती है
- यानी निर्माता प्रतिस्पर्धी मेंटेनेंस कंपनियों पर मुकदमे की धमकी और थर्ड-पार्टी मरम्मत से जुड़े अप्रमाणित सुरक्षा जोखिमों के दावों के जरिए दबाव बनाते हैं
- Dragon Sector ने अपनी सफलता का मामला YouTube पर साझा किया और वारसॉ की Oh My H@ck कॉन्फ्रेंस में नतीजों पर चर्चा की
- The Register के अनुसार Dragon Sector दिसंबर के अंत में जर्मनी के हैम्बर्ग में होने वाले 37th Chaos Communication Congress में अधिक विस्तृत प्रस्तुति देने की योजना बना रहा है
- Dragon Sector के Michał Kowalczyk ने 404 Media से कहा कि Newag की बचाव दलीलें कमजोर हैं, इसलिए वास्तविक मुकदमे में उनका बचाव करना मुश्किल होगा, और यह सब मीडिया में डर पैदा करने की कोशिश जैसा लगता है
1 टिप्पणियां
Hacker News की राय
इसी खबर पर पहले की चर्चाएँ:
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38632033
DRM ट्रेनों की मरम्मत करने वाले Polish hackers को ट्रेन कंपनी ने धमकाया - https://news.ycombinator.com/item?id=38628635 - Dec 2023 (137 comments)
Polish train maker ने इन दावों से इनकार किया कि उसके software ने competitor rolling stock को brick कर दिया - https://news.ycombinator.com/item?id=38570654 - Dec 2023 (2 comments)
Dieselgate, लेकिन ट्रेनों के लिए – कुछ heavyweight hardware hacking - https://news.ycombinator.com/item?id=38567687 - Dec 2023 (292 comments)
Polish ट्रेनें third-party workshops में servicing होने पर lock हो जाती हैं - https://news.ycombinator.com/item?id=38530885 - Dec 2023 (359 comments)
इस मामले में सचमुच परेशान करने वाली बात सिर्फ यह नहीं है कि ट्रेनों को खराब होने के लिए डिज़ाइन किया गया था, बल्कि यह भी कि वह डिज़ाइन इतना घटिया था कि चलते समय खराबी भी हो सकती थी
अगर निर्माता ने यात्रियों की जान को जोखिम में डाला, तो उस कंपनी के सभी executives पर व्यक्तिगत ज़िम्मेदारी तय होनी चाहिए
https://news.ycombinator.com/item?id=38641289
अगर इस नज़रिए की गहराई से जाँच होती है, तो मुझे लगता है कि यह सिर्फ एक commercial dispute नहीं रहेगा, बल्कि कहीं अधिक गंभीर मामला बन जाएगा
John Oliver का रेल वाला एपिसोड यह बात बहुत अच्छी तरह समझाता है
उसके बाद workers के पास छुट्टी के दिन नहीं बचे, एक ट्रेन के crew को 2 लोगों तक घटा दिया गया, और अब उसे 1 तक लाने की कोशिश हो रही है
ट्रेनों की लंबाई सचमुच कई मील तक पहुँच गई, उन्होंने सड़कों और ambulances को रोका, जिससे कई लोगों की मौत हुई, और स्कूल जाने के लिए ट्रेन के नीचे से रेंगते बच्चों के कुचले जाने की घटनाएँ भी हुईं
locomotive engineer को 4 मील लंबी ट्रेन पर पैदल चलकर “inspection” करनी होती है, लेकिन deregulation की वजह से वह inspection समय, जिसमें पहले पूरी checklist देखी जाती थी, अब कुछ मिनटों तक सिमट गया है
एकमात्र regulatory agency की ताकत कमज़ोर कर दी गई, और 1900 के शुरुआती दौर वाले brakes लगी ट्रेनें अब भी चल रही हैं
रासायनिक रिसाव वाली “accidents” हर साल कई बार होती हैं, और यह सब मुनाफ़े की दौड़ के कारण है
ऐसे workers लगातार overwork करते रहते हैं, फिर भी sick leave तब तक नहीं ले सकते जब तक उसे 2~3 महीने पहले से schedule न किया गया हो
अब ट्रेन दुर्घटनाओं से बचना कठिन हो गया है, और अगली दुर्घटना Ohio के Palestine से भी अधिक विनाशकारी हो सकती है
रेल व्यवस्था सचमुच शानदार है और समाज को बहुत बड़ा योगदान दे सकती है, लेकिन corporate profit motive और deregulation ने इसे इस हालत में पहुँचा दिया है, यह दुखद है
इस कहानी को यह लेख बेहतर ढंग से समेटता है:
https://badcyber.com/dieselgate-but-for-trains-some-heavywei...
उसमें Newag management की बेशर्मी भरी अकड़ दिखती है, और उसका सार लगभग यह है: “आप यह साबित तो नहीं कर सकते कि हमारी ट्रेनों में मिला, competitor को बाधित करने वाला software हमने ही install किया था”
मुझे इस विषय में दिलचस्पी थी, इसलिए मैंने HN पर लिंक देखा, लेकिन “Dieselgate” पढ़कर स्वाभाविक रूप से मुझे लगा कि यह emissions की बात होगी, इसलिए मैं आगे बढ़ गया
ऐसा इसलिए क्योंकि ट्रेन emissions की कहानी तो सब पहले से जानते हैं, और मुझे लगा इसमें कोई खास नई बात नहीं होगी
शीर्षक में vendor lock-in या right to repair होना चाहिए था
Dragon Sector के अनुसार Newag ने Impuls ट्रेन कंट्रोल सिस्टम में ऐसा कोड डाला था कि अगर GPS tracker दिखाए कि ट्रेन कई दिनों तक किसी independent maintenance depot में खड़ी रही है, तो वह चलना बंद कर दे
यह काफ़ी गंभीर परिस्थितिजन्य सबूत है
यह किसी अकेले developer का काम था, या ऊपर से निर्देश दिया गया था, यह जानने की उत्सुकता है
यह बहाना इतना बेतुका है कि उल्टा यही और साफ़ लगता है कि management को इसकी जानकारी थी
हाँ, यह संभव है कि किसी अकेले developer ने idea दिया हो और बड़े bonus की उम्मीद में management को propose किया हो
लेकिन फिर इसे गुप्त तरीके से क्यों किया जाता?
upper management की भागीदारी न होने वाला परिदृश्य कल्पना करना मुश्किल है
अभी उनकी स्थिति कुछ ऐसी लगती है: “ट्रेनों में ऐसा कोई code नहीं है, और अगर है भी तो वह हमारा नहीं है”
मुझे नहीं लगता कि safety regulations किसी manufacturer को उसके employees के व्यवहार की ज़िम्मेदारी से मुक्त करती हैं
बल्कि उल्टा, मेरा मानना है कि अगर कोई rogue employee भी हो, तब भी review और audit जैसी प्रक्रियाओं के ज़रिए safety assure करनी चाहिए
उम्मीद है कि जिस developer को यह लागू करने के लिए मजबूर किया गया, उसने यह साबित करने वाले documentary evidence संभालकर रखे होंगे कि यह किसने करवाया
नहीं तो अब उसे पता चल जाएगा कि आजकल loyalty का इनाम कैसे मिलता है
उसे पता था कि यह unethical है, इसलिए उसे मना कर देना चाहिए था
programmers के लिए नौकरी जाने का जोखिम लगभग उतना बड़ा मुद्दा नहीं है जितना कई दूसरे पेशों में होता है
अगर इसे लागू करने वाला व्यक्ति यह पढ़ रहा है, तो तुम बहुत बुरे इंसान हो और समाज के लिए हानिकारक हो
company पर भी भारी contractual fines और sanctions लगने चाहिए
मुझे इसकी उम्मीद नहीं है, लेकिन ऐसा हो तो अच्छा होगा
sabotage डालकर product बेचने के बाद क्या कभी fraud charges में मुक़दमा चलने और जेल जाने का समय आएगा?
Newag ने कहा कि “किसी भी remote interference की बात वस्तुतः असंभव है”, और यह काफ़ी साहसिक दावा है
मेरे अनुभव में automation और robotics systems बनाने वाली लगभग हर company किसी न किसी रूप में backdoor बनाए रखती है
इसका मक़सद ज़रूरी नहीं कि remotely disable करना हो, बल्कि request मिलने पर समस्याओं को तेज़ी और कुशलता से remote access के ज़रिए हल करना होता है
local IP mismatch या system service outage देखने के लिए customer site तक, कभी-कभी दुनिया के दूसरे छोर तक उड़कर जाना समझदारी नहीं है, इसलिए “असंभव” कहना सच नहीं है
सार यह है कि Poland की train maintenance company SPS को शक हुआ जब Newag द्वारा बनाई गई ट्रेनें बार-बार “randomly” fail हो रही थीं और ठीक भी नहीं हो रही थीं
repair में देरी होने पर जुर्माने वाले contract के कारण वह Polish government को millions में penalties दे रही थी
इसलिए उसने Dragon Sector नाम के hackers को 2 महीनों के लिए गुप्त रूप से hire किया ताकि वे Newag ट्रेनों के code की जाँच करें, और hackers ने ऐसी चौंकाने वाली चीज़ें खोजीं जिन्हें late-stage capitalism, corporate protectionism, sabotage, या ransom-seeking के रूप में देखा जा सकता है
मिले हुए secret code में ऐसा logic था कि ट्रेनें SPS समेत Poland की 5 train maintenance companies के depots के आसपास बने geofenced polygons के भीतर जाएँ तो fail हो जाएँ, 10 लाख km के बाद fail हो जाएँ, 10 दिनों तक न चलें तो fail हो जाएँ, और “failure” हटाने के लिए एक secret button combination भी मौजूद था
मुझे firmware reverse engineering पसंद है, और यह तो holy grail जैसा लग रहा है
ट्रेन है भाई, कोई binaries leak कर दे
सब जानते हैं कि ऐसी शरारत को web service call के पीछे छिपाना चाहिए ताकि सबूत सीधे client पर न मिले
यह duplicate post है
क्या अब कोई site पढ़ता ही नहीं?
असली news discussion तो एक हफ़्ते से थोड़ा पहले ही हो चुकी थी: https://news.ycombinator.com/item?id=38530885
company की follow-up rebuttal post भी है
Polish train maker denies claims its software bricked competitor rolling stock https://news.ycombinator.com/item?id=38570654
और ऊपर से, बस कल ही एक high-voted 404media duplicate भी था
https://news.ycombinator.com/item?id=38628635
क्या मैं हर कुछ दिनों में login करके कुछ चीज़ें पढ़ूँ, जो पसंद आए उसे upvote करूँ, और फिर कुछ दिन बाद वापस न आऊँ?
मैं यहाँ comments पढ़ने आता हूँ
मेरा मानना है कि अगर कोई बात जानने लायक़ काफ़ी महत्वपूर्ण है, तो उसे comments में सीधे quote किया गया होगा
मुझे लगा था malware कुछ ऐसा होगा जैसे, “इस दरवाज़े पर तीन बार दस्तक दो तो अंदर जा सकते हो, नहीं तो दरवाज़ा हमेशा के लिए lock हो जाएगा”
लेकिन असलियत यह निकली: “अगर ट्रेन competitor की latitude-longitude location पर geospatially parked हो, तो उसे brick कर दो”
code में backdoor या मज़ेदार easter egg डालने के कई तरीके होते हैं, लेकिन इन्होंने abuse का सचमुच बेहद झंझटभरा और खुल्लमखुल्ला तरीका चुना
driver console पर एक secret button combination था, और उसे दबाते ही जादू की तरह ट्रेन unlock हो जाती थी
अब उसे हटा दिया गया है
ख़ास आरोपों से इनकार करने का उनका तरीका ही जैसे और जाँच की भीख माँग रहा हो
मैं Polish हूँ और पहले भी इस तरह के लोगों के साथ काम कर चुका हूँ; उस statement से व्यापार करने के उस अंदाज़ की बदबू आती है जो अब तक ख़त्म हो जानी चाहिए थी
लेकिन लगता है वह अभी भी जगह-जगह बचा हुआ है