1 पॉइंट द्वारा GN⁺ 2023-12-15 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • पोलैंड में Newag द्वारा निर्मित ट्रेनें थर्ड-पार्टी मेंटेनेंस के बाद परिचालन-अक्षम हो गईं, जिससे रेल संचालन और यात्री क्षमता प्रभावित हुई
  • एथिकल हैकिंग समूह Dragon Sector का दावा है कि Impuls ट्रेन कंट्रोल सिस्टम में मेंटेनेंस शॉप की लोकेशन और पार्ट्स के serial number के आधार पर काम करने वाला लॉक कोड मौजूद था
  • Newag ने जानबूझकर खराबी पैदा करने वाले फीचर से इनकार किया और Dragon Sector पर मानहानि तथा हैकिंग कानूनों के उल्लंघन का मुकदमा करने की चेतावनी दी
  • Dragon Sector ने कहा कि उसने ड्राइवर कैब पैनल में डाला जाने वाला undocumented unlock code खोजकर समस्या हल की, और SPS के साथ मिलकर कंट्रोल सिस्टम में छेड़छाड़ करने के आरोपों से इनकार किया
  • निर्माता और स्वतंत्र मेंटेनेंस कंपनियों के बीच टकराव राइट टू रिपेयर बहस तक फैल गया, जहां सुरक्षा दावे, कानूनी दबाव और software lock की सीमाएं प्रमुख मुद्दे बन गईं

पोलैंड में ट्रेन संचालन को हिला देने वाली थर्ड-पार्टी मरम्मत

  • पोलैंड में Newag की बनी ट्रेनें निर्माता के बजाय किसी अन्य कंपनी से मेंटेनेंस कराने के बाद काम न करने लगीं
  • मेंटेनेंस कंपनी Serwis Pojazdów Szynowych(SPS) ने जून 2022 में एथिकल हैकिंग समूह Dragon Sector को ट्रेन software का विश्लेषण करने का काम सौंपा
  • यह पोलिश रेल ऑपरेटर Lower Silesian Railway के स्वामित्व वाले वाहनों से जुड़ा मामला था, जहां कई ट्रेनों की “रहस्यमय खराबियों” के कारण चलने योग्य कोचों की संख्या घट गई
    • Rynek Kolejowy के अनुसार ट्रेनों की कमी परिवहन कंपनी और यात्रियों दोनों के लिए “गंभीर समस्या” बन गई
    • उपलब्ध वाहनों की संख्या घटने से ट्रेनें छोटी करनी पड़ीं और यात्री क्षमता भी कम हो गई

Dragon Sector ने जिन लॉक शर्तों की ओर इशारा किया

  • Dragon Sector ने दो महीने तक software का विश्लेषण करने के बाद निष्कर्ष निकाला कि “निर्माता के हस्तक्षेप” के कारण जबरन खराबी और ट्रेन का स्टार्ट न होना हुआ
  • मुख्य दावा यह है कि Newag ने Impuls ट्रेनों के कंट्रोल सिस्टम में ऐसा कोड डाला जो कुछ शर्तों के पूरा होने पर संचालन रोक देता था
    • उनका दावा है कि यदि GPS tracker यह तय करता कि ट्रेन कई दिनों तक किसी स्वतंत्र मेंटेनेंस शॉप में खड़ी रही, तो वह काम करना बंद कर देती थी
    • कहा गया कि SPS के मेंटेनेंस हॉल और उद्योग की कुछ समान कंपनियों के मेंटेनेंस हॉल भी लोकेशन शर्तों में शामिल थे
    • यहां तक कि SPS का वह हॉल भी शर्तों में शामिल था जो तब अभी निर्माणाधीन था
  • 404 Media के अनुसार यह भी दावा किया गया कि यदि कुछ पार्ट्स निर्माता-स्वीकृत serial number के बिना बदले गए हों, तो ट्रेन brick हो जाती थी

undocumented unlock code

  • Dragon Sector ने बताया कि उसे ड्राइवर कैब पैनल से डाला जा सकने वाला undocumented unlock code मिला, और 404 Media से कहा कि इसी से समस्या सुलझाई गई
  • Dragon Sector के Sergiusz Bazański ने Mastodon पर लिखा कि थर्ड-पार्टी मेंटेनेंस शॉप में सर्विस होने के बाद ट्रेनें मनमाने कारणों से लॉक हो गई थीं
  • Bazański ने कहा कि निर्माता इस समस्या का दोष मेंटेनेंस शॉप पर डाल रहा था और यह तर्क दे रहा था कि सर्विसिंग किसी थर्ड पार्टी के बजाय निर्माता से ही कराई जानी चाहिए
  • यह दावा भी सामने आया कि कुछ मामलों में Newag दूर से ट्रेनों को लॉक कर सकता था
  • Newag ने इसका जवाब देते हुए कहा कि “किसी भी remote हस्तक्षेप” की बात “व्यवहारिक रूप से असंभव” है

Newag का इनकार और कानूनी कार्रवाई की धमकी

  • Newag ने “workshop-detection” software या जानबूझकर खराबी पैदा करने वाले किसी फीचर को विकसित करने के दावे से इनकार किया
  • कंपनी ने Dragon Sector पर मानहानि और हैकिंग से जुड़े कानूनों के उल्लंघन का आरोप लगाते हुए मुकदमे की धमकी दी
  • कंपनी ने यह भी कहा कि हैक की गई ट्रेनें रेल सुरक्षा के लिए खतरा हो सकती हैं, इसलिए उन्हें सेवा से बाहर किया जाना चाहिए
    • 404 Media ने कहा कि Newag का यह सुरक्षा दावा अभी तक सिद्ध नहीं हुआ है
  • Newag ने Dragon Sector की रिपोर्ट को अविश्वसनीय बताया और इसका कारण यह बताया कि इस विश्लेषण का आदेश Newag के प्रमुख प्रतिस्पर्धियों में से एक ने दिया था
  • Newag के अध्यक्ष Zbigniew Konieczek ने कहा कि कंपनी ने जानबूझकर दोषपूर्ण software इंस्टॉल किया, इसका कोई सबूत पेश नहीं किया गया
    • उन्होंने यह संभावना भी जताई कि किसी प्रतिस्पर्धी ने software में हस्तक्षेप किया हो सकता है
    • Konieczek ने Janusz Cieszyński की आलोचना करते हुए कहा कि उन्होंने Newag के बारे में झूठी और बेहद नुकसानदेह जानकारी फैलाई

सरकारी जांच और राइट टू रिपेयर बहस तक विस्तार

  • Newag ने कहा कि उसने हैकिंग जांच के लिए अधिकारियों से संपर्क किया है और रेल परिवहन प्राधिकरण को सूचित किया है ताकि वह तय करे कि संबंधित वाहनों को सेवा से हटाया जाना चाहिए या नहीं
  • पोलैंड के पूर्व डिजिटल मंत्री Janusz Cieszyński ने X पर लिखा कि Newag के अध्यक्ष ने उनसे संपर्क कर कहा कि कंपनी cybercrime की शिकार है
  • Cieszyński ने लिखा कि उन्होंने जो विश्लेषण देखा, वह Newag के दावों से अलग दिशा की ओर इशारा करता है
  • Dragon Sector और SPS ने ट्रेन कंट्रोल सिस्टम में छेड़छाड़ के आरोपों से इनकार किया
  • 404 Media का कहना है कि Newag की प्रतिक्रिया राइट टू रिपेयर क्षेत्र में अक्सर दिखने वाले पैटर्न जैसी लगती है
    • यानी निर्माता प्रतिस्पर्धी मेंटेनेंस कंपनियों पर मुकदमे की धमकी और थर्ड-पार्टी मरम्मत से जुड़े अप्रमाणित सुरक्षा जोखिमों के दावों के जरिए दबाव बनाते हैं
  • Dragon Sector ने अपनी सफलता का मामला YouTube पर साझा किया और वारसॉ की Oh My H@ck कॉन्फ्रेंस में नतीजों पर चर्चा की
  • The Register के अनुसार Dragon Sector दिसंबर के अंत में जर्मनी के हैम्बर्ग में होने वाले 37th Chaos Communication Congress में अधिक विस्तृत प्रस्तुति देने की योजना बना रहा है
  • Dragon Sector के Michał Kowalczyk ने 404 Media से कहा कि Newag की बचाव दलीलें कमजोर हैं, इसलिए वास्तविक मुकदमे में उनका बचाव करना मुश्किल होगा, और यह सब मीडिया में डर पैदा करने की कोशिश जैसा लगता है

1 टिप्पणियां

 
GN⁺ 2023-12-15
Hacker News की राय
  • इसी खबर पर पहले की चर्चाएँ:
    https://news.ycombinator.com/item?id=38628635
    https://news.ycombinator.com/item?id=38632033

    • इसे विस्तार से लिखें तो कुछ ऐसा है:
      DRM ट्रेनों की मरम्मत करने वाले Polish hackers को ट्रेन कंपनी ने धमकाया - https://news.ycombinator.com/item?id=38628635 - Dec 2023 (137 comments)
      Polish train maker ने इन दावों से इनकार किया कि उसके software ने competitor rolling stock को brick कर दिया - https://news.ycombinator.com/item?id=38570654 - Dec 2023 (2 comments)
      Dieselgate, लेकिन ट्रेनों के लिए – कुछ heavyweight hardware hacking - https://news.ycombinator.com/item?id=38567687 - Dec 2023 (292 comments)
      Polish ट्रेनें third-party workshops में servicing होने पर lock हो जाती हैं - https://news.ycombinator.com/item?id=38530885 - Dec 2023 (359 comments)
  • इस मामले में सचमुच परेशान करने वाली बात सिर्फ यह नहीं है कि ट्रेनों को खराब होने के लिए डिज़ाइन किया गया था, बल्कि यह भी कि वह डिज़ाइन इतना घटिया था कि चलते समय खराबी भी हो सकती थी
    अगर निर्माता ने यात्रियों की जान को जोखिम में डाला, तो उस कंपनी के सभी executives पर व्यक्तिगत ज़िम्मेदारी तय होनी चाहिए
    https://news.ycombinator.com/item?id=38641289
    अगर इस नज़रिए की गहराई से जाँच होती है, तो मुझे लगता है कि यह सिर्फ एक commercial dispute नहीं रहेगा, बल्कि कहीं अधिक गंभीर मामला बन जाएगा

    • जब बुरी चीज़ें होती हैं तो executives कहते हैं कि उन्होंने तो बस दूसरों से काम कराया था इसलिए उन्हें कुछ पता नहीं, और जब अच्छी चीज़ें होती हैं तो कहते हैं कि लोगों से काम करवाया उन्होंने ही था, इसलिए सारा श्रेय भी वही लेते हैं
    • समस्या की शुरुआत उस दौर से हुई जब पूरे अमेरिका में highways बिछाई जा रही थीं, और बाद में जब अमेरिका ने रेल उद्योग के नियम ढीले किए ताकि वह long-haul trucking से प्रतिस्पर्धा कर सके, तब यह और बिगड़ती गई
      John Oliver का रेल वाला एपिसोड यह बात बहुत अच्छी तरह समझाता है
      उसके बाद workers के पास छुट्टी के दिन नहीं बचे, एक ट्रेन के crew को 2 लोगों तक घटा दिया गया, और अब उसे 1 तक लाने की कोशिश हो रही है
      ट्रेनों की लंबाई सचमुच कई मील तक पहुँच गई, उन्होंने सड़कों और ambulances को रोका, जिससे कई लोगों की मौत हुई, और स्कूल जाने के लिए ट्रेन के नीचे से रेंगते बच्चों के कुचले जाने की घटनाएँ भी हुईं
      locomotive engineer को 4 मील लंबी ट्रेन पर पैदल चलकर “inspection” करनी होती है, लेकिन deregulation की वजह से वह inspection समय, जिसमें पहले पूरी checklist देखी जाती थी, अब कुछ मिनटों तक सिमट गया है
      एकमात्र regulatory agency की ताकत कमज़ोर कर दी गई, और 1900 के शुरुआती दौर वाले brakes लगी ट्रेनें अब भी चल रही हैं
      रासायनिक रिसाव वाली “accidents” हर साल कई बार होती हैं, और यह सब मुनाफ़े की दौड़ के कारण है
      ऐसे workers लगातार overwork करते रहते हैं, फिर भी sick leave तब तक नहीं ले सकते जब तक उसे 2~3 महीने पहले से schedule न किया गया हो
      अब ट्रेन दुर्घटनाओं से बचना कठिन हो गया है, और अगली दुर्घटना Ohio के Palestine से भी अधिक विनाशकारी हो सकती है
      रेल व्यवस्था सचमुच शानदार है और समाज को बहुत बड़ा योगदान दे सकती है, लेकिन corporate profit motive और deregulation ने इसे इस हालत में पहुँचा दिया है, यह दुखद है
    • ट्रेन का खराब होना या रुक जाना अपने आप में चोट या मौत का जोखिम पैदा नहीं करता
  • इस कहानी को यह लेख बेहतर ढंग से समेटता है:
    https://badcyber.com/dieselgate-but-for-trains-some-heavywei...

    • इस पर संबंधित HN चर्चा भी है: https://news.ycombinator.com/item?id=38567687 5 दिन पहले, 289 comments
    • “अगर ट्रेन उन maintenance shops में से किसी एक में कम से कम 10 दिन रहती है, तो उसकी operational capability को disable कर देने की शर्त computer code में लिखी गई थी” — यह तो सचमुच स्पष्ट रूप से गलत है
    • मूल लेख भी पढ़ने लायक है
      उसमें Newag management की बेशर्मी भरी अकड़ दिखती है, और उसका सार लगभग यह है: “आप यह साबित तो नहीं कर सकते कि हमारी ट्रेनों में मिला, competitor को बाधित करने वाला software हमने ही install किया था”
    • उसका शीर्षक बहुत भ्रामक है
      मुझे इस विषय में दिलचस्पी थी, इसलिए मैंने HN पर लिंक देखा, लेकिन “Dieselgate” पढ़कर स्वाभाविक रूप से मुझे लगा कि यह emissions की बात होगी, इसलिए मैं आगे बढ़ गया
      ऐसा इसलिए क्योंकि ट्रेन emissions की कहानी तो सब पहले से जानते हैं, और मुझे लगा इसमें कोई खास नई बात नहीं होगी
      शीर्षक में vendor lock-in या right to repair होना चाहिए था
  • Dragon Sector के अनुसार Newag ने Impuls ट्रेन कंट्रोल सिस्टम में ऐसा कोड डाला था कि अगर GPS tracker दिखाए कि ट्रेन कई दिनों तक किसी independent maintenance depot में खड़ी रही है, तो वह चलना बंद कर दे
    यह काफ़ी गंभीर परिस्थितिजन्य सबूत है
    यह किसी अकेले developer का काम था, या ऊपर से निर्देश दिया गया था, यह जानने की उत्सुकता है

    • Newag के CEO Zbigniew Konieczek ने कहा, “यह साबित करने वाला कोई सबूत पेश नहीं किया गया कि हमारी कंपनी ने जानबूझकर दोषपूर्ण software इंस्टॉल किया। हमारे विचार में सच्चाई पूरी तरह अलग हो सकती है। उदाहरण के लिए, कोई competitor software में हस्तक्षेप कर सकता था”
      यह बहाना इतना बेतुका है कि उल्टा यही और साफ़ लगता है कि management को इसकी जानकारी थी
    • कौन-सा अकेला developer यह सोचेगा कि “मैं सारे train depots के GPS coordinates ढूँढ़कर डाल देता हूँ, और अगर ट्रेन वहाँ कुछ दिनों तक खड़ी रहे तो उसे काम करना बंद कर देना चाहिए”?
    • अगर यह किसी अकेले developer ने किया हो, तो ऐसा करने के बाद उस फ़ैसले को management से छिपाने की उसकी कोई motivation ही नहीं बनती
      हाँ, यह संभव है कि किसी अकेले developer ने idea दिया हो और बड़े bonus की उम्मीद में management को propose किया हो
      लेकिन फिर इसे गुप्त तरीके से क्यों किया जाता?
      upper management की भागीदारी न होने वाला परिदृश्य कल्पना करना मुश्किल है
    • अगर बाकी सफ़ाइयाँ विफल रहीं, तो वे यह दलील भी ज़रूर आज़माएँगे
      अभी उनकी स्थिति कुछ ऐसी लगती है: “ट्रेनों में ऐसा कोई code नहीं है, और अगर है भी तो वह हमारा नहीं है”
    • भले ही यह किसी employee ने बिना approval के किया हो, company फिर भी ज़िम्मेदार है
      मुझे नहीं लगता कि safety regulations किसी manufacturer को उसके employees के व्यवहार की ज़िम्मेदारी से मुक्त करती हैं
      बल्कि उल्टा, मेरा मानना है कि अगर कोई rogue employee भी हो, तब भी review और audit जैसी प्रक्रियाओं के ज़रिए safety assure करनी चाहिए
  • उम्मीद है कि जिस developer को यह लागू करने के लिए मजबूर किया गया, उसने यह साबित करने वाले documentary evidence संभालकर रखे होंगे कि यह किसने करवाया
    नहीं तो अब उसे पता चल जाएगा कि आजकल loyalty का इनाम कैसे मिलता है

    • ऐसे documents संभालकर रखे हों तब भी, उसे आदेश देने वाले manager के साथ उसे भी सज़ा मिलनी चाहिए
      उसे पता था कि यह unethical है, इसलिए उसे मना कर देना चाहिए था
      programmers के लिए नौकरी जाने का जोखिम लगभग उतना बड़ा मुद्दा नहीं है जितना कई दूसरे पेशों में होता है
    • documentary trail हो या न हो, समाज में ऐसे काम करने वाले लोग कम होने चाहिए
      अगर इसे लागू करने वाला व्यक्ति यह पढ़ रहा है, तो तुम बहुत बुरे इंसान हो और समाज के लिए हानिकारक हो
    • उम्मीद है वह developer गवाही देगा ताकि ऊँचे पदों पर बैठे managers पर जुर्माना लगे और वे जेल भी जाएँ
      company पर भी भारी contractual fines और sanctions लगने चाहिए
      मुझे इसकी उम्मीद नहीं है, लेकिन ऐसा हो तो अच्छा होगा
  • sabotage डालकर product बेचने के बाद क्या कभी fraud charges में मुक़दमा चलने और जेल जाने का समय आएगा?

    • सैद्धांतिक रूप से, हाल की सार्वजनिक जानकारी के अनुसार अभियोजन की शुरुआत दो criminal notices से हुई है, जिनमें 0.5 से 8 साल की सज़ा तक हो सकती है
    • ताकतवर लोग ख़ुद को क्यों सज़ा देंगे?
  • Newag ने कहा कि “किसी भी remote interference की बात वस्तुतः असंभव है”, और यह काफ़ी साहसिक दावा है
    मेरे अनुभव में automation और robotics systems बनाने वाली लगभग हर company किसी न किसी रूप में backdoor बनाए रखती है
    इसका मक़सद ज़रूरी नहीं कि remotely disable करना हो, बल्कि request मिलने पर समस्याओं को तेज़ी और कुशलता से remote access के ज़रिए हल करना होता है
    local IP mismatch या system service outage देखने के लिए customer site तक, कभी-कभी दुनिया के दूसरे छोर तक उड़कर जाना समझदारी नहीं है, इसलिए “असंभव” कहना सच नहीं है

  • सार यह है कि Poland की train maintenance company SPS को शक हुआ जब Newag द्वारा बनाई गई ट्रेनें बार-बार “randomly” fail हो रही थीं और ठीक भी नहीं हो रही थीं
    repair में देरी होने पर जुर्माने वाले contract के कारण वह Polish government को millions में penalties दे रही थी
    इसलिए उसने Dragon Sector नाम के hackers को 2 महीनों के लिए गुप्त रूप से hire किया ताकि वे Newag ट्रेनों के code की जाँच करें, और hackers ने ऐसी चौंकाने वाली चीज़ें खोजीं जिन्हें late-stage capitalism, corporate protectionism, sabotage, या ransom-seeking के रूप में देखा जा सकता है
    मिले हुए secret code में ऐसा logic था कि ट्रेनें SPS समेत Poland की 5 train maintenance companies के depots के आसपास बने geofenced polygons के भीतर जाएँ तो fail हो जाएँ, 10 लाख km के बाद fail हो जाएँ, 10 दिनों तक न चलें तो fail हो जाएँ, और “failure” हटाने के लिए एक secret button combination भी मौजूद था

    • जानना चाहता हूँ कि क्या low-level technical report सार्वजनिक है
      मुझे firmware reverse engineering पसंद है, और यह तो holy grail जैसा लग रहा है
      ट्रेन है भाई, कोई binaries leak कर दे
    • पूरे amateurs हैं
      सब जानते हैं कि ऐसी शरारत को web service call के पीछे छिपाना चाहिए ताकि सबूत सीधे client पर न मिले
    • अभी एहसास हुआ कि “capitalism का late-stage platform enshittification” मूलतः वही है जिसे Marx ने Verelendung के रूप में भविष्यवाणी की थी
  • यह duplicate post है
    क्या अब कोई site पढ़ता ही नहीं?
    असली news discussion तो एक हफ़्ते से थोड़ा पहले ही हो चुकी थी: https://news.ycombinator.com/item?id=38530885
    company की follow-up rebuttal post भी है
    Polish train maker denies claims its software bricked competitor rolling stock https://news.ycombinator.com/item?id=38570654
    और ऊपर से, बस कल ही एक high-voted 404media duplicate भी था
    https://news.ycombinator.com/item?id=38628635

    • क्या यहाँ लौटते रहने के लिए यह ज़रूरी है कि main page की हर news रोज़ पढ़ी जाए?
      क्या मैं हर कुछ दिनों में login करके कुछ चीज़ें पढ़ूँ, जो पसंद आए उसे upvote करूँ, और फिर कुछ दिन बाद वापस न आऊँ?
    • यहाँ लिंक की गई ज़्यादातर sites मैं पढ़ता ही नहीं
      मैं यहाँ comments पढ़ने आता हूँ
      मेरा मानना है कि अगर कोई बात जानने लायक़ काफ़ी महत्वपूर्ण है, तो उसे comments में सीधे quote किया गया होगा
  • मुझे लगा था malware कुछ ऐसा होगा जैसे, “इस दरवाज़े पर तीन बार दस्तक दो तो अंदर जा सकते हो, नहीं तो दरवाज़ा हमेशा के लिए lock हो जाएगा”
    लेकिन असलियत यह निकली: “अगर ट्रेन competitor की latitude-longitude location पर geospatially parked हो, तो उसे brick कर दो”
    code में backdoor या मज़ेदार easter egg डालने के कई तरीके होते हैं, लेकिन इन्होंने abuse का सचमुच बेहद झंझटभरा और खुल्लमखुल्ला तरीका चुना

    • लगभग सही पकड़ा
      driver console पर एक secret button combination था, और उसे दबाते ही जादू की तरह ट्रेन unlock हो जाती थी
      अब उसे हटा दिया गया है
    • official statement पढ़कर यह एहसास टालना मुश्किल है कि शायद उन्होंने lawyers से सलाह तक नहीं ली
      ख़ास आरोपों से इनकार करने का उनका तरीका ही जैसे और जाँच की भीख माँग रहा हो
      मैं Polish हूँ और पहले भी इस तरह के लोगों के साथ काम कर चुका हूँ; उस statement से व्यापार करने के उस अंदाज़ की बदबू आती है जो अब तक ख़त्म हो जानी चाहिए थी
      लेकिन लगता है वह अभी भी जगह-जगह बचा हुआ है