1 पॉइंट द्वारा GN⁺ 2024-12-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • 37C3 में Newag ट्रेनों के निष्क्रियकरण व्यवहार को उजागर करने वाले तीन हैकर जब आपराधिक और दीवानी मुकदमों में फँस गए, तब Chaos Computer Club ने कानूनी प्रतिक्रिया की लागत जुटाने के लिए फंडरेज़िंग शुरू की
  • संबंधित ट्रेनें प्रतिस्पर्धियों या ग्राहक मरम्मत कार्यशालाओं के geocoordinates के भीतर लंबे समय तक रहने पर, या ऐसी परिस्थितियों में जो बिना पंजीकरण की मरम्मत जैसी लगती थीं, स्वयं अधिकतम हाइबरनेशन मोड में चली जाती थीं
  • निष्क्रिय की गई ट्रेनों को केवल Newag तकनीशियन को बुलाकर ही ‘बचाया’ जा सकता था, और हैकरों ने प्रमाणीकरण-आवश्यक पुर्जों के बदलाव के बिना इस व्यवहार की पुष्टि की
  • Newag की शिकायत के बाद 38C3 में अब तक लगभग 30,000 euro की कानूनी प्रक्रिया और आगे की जानकारी सार्वजनिक की गई
  • 8 जनवरी 2025 तक CCC को 529 बैंक ट्रांसफ़र के जरिए 31,088.89 euro प्राप्त हुए, और अतिरिक्त राशि CCC e.V. के उपनियमों में निर्धारित उद्देश्यों पर खर्च की जाएगी

Newag ट्रेन DRM का खुलासा और कानूनी विवाद

  • Chaos Computer Club(CCC) 37C3 में Polish rail vehicle manufacturer Newag की ट्रेनों में की गई छेड़छाड़ का खुलासा करने वाले तीन हैकरों का समर्थन कर रहा है
  • यह मामला 37C3 प्रस्तुति में उठाया गया था, और CCC का मानना है कि यह 37C3 की सबसे लोकप्रिय प्रस्तुतियों में से एक थी
  • ट्रेनें कुछ विशेष परिस्थितियों में हाइबरनेशन मोड में चली जाती थीं
    • जब वे प्रतिस्पर्धी या ग्राहक मरम्मत कार्यशालाओं के geocoordinates के भीतर बहुत लंबे समय तक पार्क रहती थीं
    • जब वे ऐसी स्थिति में होती थीं जो बिना पंजीकरण की मरम्मत प्राप्त होने जैसी दिखती थी
  • इस तरह निष्क्रिय की गई ट्रेनों को केवल Newag तकनीशियन को बुलाकर ही ‘बचाया’ जा सकता था
  • हैकरों ने ऐसे ट्रेन पुर्जों के संभावित रूप से अवैध प्रतिस्थापन के बिना, जिनके लिए प्रमाणीकरण आवश्यक था, इस व्यवहार का पता लगाया

CCC की फंडरेज़िंग और 38C3 का फ़ॉलो-अप प्रस्तुतीकरण

  • खुलासे के बाद Newag ने हैकरों पर आपराधिक और दीवानी दोनों तरह के मुकदमे दायर किए
  • CCC का मानना है कि ये मुकदमे ऐसे ‘illegal instructions’ से जुड़ी इस और भविष्य की सार्वजनिक जानकारी को रोकने की प्रकृति के हैं
  • हैकरों ने 38C3 में कानूनी प्रक्रिया पर प्रस्तुति दी, और अब तक की लागत लगभग 30,000 euro है
  • CCC ने Chaos Computer Club e.V. के सामान्य बैंक खाते में ट्रांसफ़र करने और संदर्भ में Lokomotive लिखने का अनुरोध किया
    • खाता: DE41 2001 0020 0599 0902 01
    • BIC: PBNKDEFFXXX
  • आवश्यक 30,000 euro से अधिक के दान, वास्तविक कानूनी लागत कम होने पर बची राशि, और लौटाई गई अदालत की लागत Chaos Computer Club e.V. के उपनियमों में निर्धारित उद्देश्यों के लिए उपयोग की जाएगी
  • यह भी स्पष्ट किया गया कि CCC e.V. को आधिकारिक रूप से गैर-लाभकारी संगठन के रूप में मान्यता प्राप्त नहीं है
  • फ़ॉलो-अप प्रस्तुतीकरण शुक्रवार, 27 दिसंबर 2024 को Hamburg में 38C3 में होगा, जिसे उसी दिन रात 11 बजे से लाइव स्ट्रीम पर देखा जा सकता है और बाद में media.ccc.de पर प्रकाशित किया जाएगा
  • 8 जनवरी 2025 के अपडेट के अनुसार, कुल 529 बैंक ट्रांसफ़र के माध्यम से 31,088.89 euro प्राप्त हुए

1 टिप्पणियां

 
GN⁺ 2024-12-28
Hacker News की राय
  • मैंने 133.7€ दान किए हैं, और अगर अतिरिक्त कानूनी खर्च आता है तो खुशी से फिर दूंगा
    अच्छा होगा अगर बाकी लोग भी उदारता से दान करें और इस थ्रेड में शेयर करें
    Newag यहां जो कर रहा है, वह वाकई घिनौना है; वे तीसरे-पक्ष के मरम्मत केंद्रों में सर्विस हुई ट्रेनों को “रीऐक्टिवेट” करने के नाम पर प्रति ट्रेन 20,000€ लेना चाहते हैं
    ऐसी मिसाल कायम नहीं होने देनी चाहिए
    पिछला प्रेज़ेंटेशन भी जरूर देखें: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...

    • शेड्यूल के मुताबिक उस टीम का We've not been trained for this: life after the Newag DRM disclosure नाम का प्रेज़ेंटेशन स्थानीय समय 23:00 बजे शुरू होना था, जो उस समय के हिसाब से करीब 30 मिनट बाद था
      लाइव स्ट्रीम यहां थी: https://streaming.media.ccc.de/38c3/eins/hls
      प्रेज़ेंटेशन खत्म हो चुका था और शानदार था
      शेड्यूल: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
    • मिसाल शायद उतनी बड़ी समस्या न हो जितनी कई लोग सोचते हैं
      यूरोप के ज्यादातर हिस्सों में न्यायिक व्यवस्था case law पर केंद्रित नहीं है, इसलिए मिलते-जुलते मामलों के पिछले फैसलों से ज्यादा कानून खुद मायने रखता है
    • हमें लड़ना चाहिए ताकि मरम्मत का अधिकार सभी उत्पादों के लिए कानूनन सुनिश्चित हो
      अगर आपने कोई उत्पाद खरीदा है, तो आपको उसके सभी software तक पहुंच और उसे ठीक करने की क्षमता होनी चाहिए
    • वेबसाइट पर दान कैसे करना है, समझ नहीं आ रहा
      जानना चाहूंगा कि आपने कहां दान किया
  • लगता है ट्रेन निर्माता आजकल कई कंपनियों की चालें अपनाने लगे हैं
    खरीद के बाद निर्माता द्वारा किसी भी वजह से उत्पाद को रिमोटली deactivate करने की प्रथा कई product categories में आपदा की तरह फैल रही है
    पैसे लेकर उत्पाद सौंप देने के बाद निर्माता को यह तय करने का अधिकार नहीं होना चाहिए कि उसका इस्तेमाल कैसे किया जाए
    यह सचमुच रुकना चाहिए, और दुनिया भर के regulators इस मुद्दे पर सो रहे हैं

    • “हम” नाम का पूरी तरह एक जैसा software experts का समूह भी इसे रोक सकता है, लेकिन हम ऐसा नहीं कर रहे
    • copyright समस्या की जड़ है
      और regulation जोड़ना भी एक समाधान हो सकता है, लेकिन सवाल है कि क्या सच में हम यही दिशा चाहते हैं
    • subscription model ने software industry में जो अंतहीन लालच की खाई खोली है, वह hardware निर्माताओं को भी खींच रही है
      असल में अब हम चीजें खरीद नहीं रहे, बल्कि किराए पर ले रहे हैं
      अगर “बाजार” ऐसी बकवास स्वीकार कर लेता है, तो regulators कुछ नहीं करेंगे
    • यह सिर्फ आजकल की बात नहीं है
      मेरे पहले PC पर भी खोलने पर warranty void वाली seal लगी थी
  • Newag ने परिवहन बहिष्करण से निपटने वाली संसदीय टीम की अध्यक्ष सांसद Paulina Matysiak को भी निशाना बनाया और उनकी immunity हटाने का अनुरोध किया
    पिछले साल यह मामला सामने आने के बाद से वे इसकी जांच कर रही थीं
    https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...

  • याद है कि “hackers” ने यह पता लगाया था कि ट्रेन कंपनी ने प्रतिस्पर्धी maintenance providers द्वारा सर्विस की गई ट्रेनों को deactivate कर दिया था
    अफसोस है कि उन पर मुकदमा किया गया
    उम्मीद है वे इतना पैसा जुटा पाएंगे कि Newag से दर्दनाक और गहरी discovery की मांग कर सकें

    • अफसोस है कि कंपनी पर sabotage और शायद देशद्रोह के आरोप नहीं लगाए गए
      भले ही ट्रेनें उन्होंने बनाई हों, ट्रेनों पर हमला करना राष्ट्रीय critical infrastructure पर हमला करना है
  • पता नहीं उस पुराने नैतिक नियम का क्या हुआ कि “अगर अपनी मां को यह बताने पर कि तुम क्या करते हो, वह चौंक जाए, तो तुम कुछ गलत कर रहे हो”
    Newag जो कर रहा है, वह इस नियम को बहुत साफ तौर पर तोड़ता है

    • वह नियम मूल रूप से इस बारे में है कि “क्या यह राजनीतिक रूप से मुश्किल पैदा करेगा”
      लेकिन अब बड़े monopolistic operators ऐसे असर को बस नजरअंदाज कर देते हैं
      मीडिया के पास funding कम है और वह भ्रष्ट है, और राजनेता भी व्यापक अर्थ में भ्रष्ट हैं
    • लगता है उस नियम का पालन करना profitable नहीं है, इसलिए पैसा maximize करो वाला सर्वोच्च निर्देश आगे निकल जाता है
      चाहे तरीका कानूनी हो या अर्ध-कानूनी
    • परिवार को सच बताना दुर्लभ होता है, और खुद को मनाने के लिए उसे थोड़ा तोड़-मरोड़ने का कोई न कोई तरीका हमेशा होता है
  • जब यह पहली बार खोजा गया था, उस समय की पिछली चर्चा थी, और हैरानी हुई कि इस पर ज्यादा चर्चा नहीं हुई: https://news.ycombinator.com/item?id=38893116

  • अच्छा होगा अगर कोई उन लोगों के लिए सारांश दे दे जिन्हें पूरी स्थिति नहीं पता
    हैरानी है कि ऐसी Trojan horse trains खरीदने वाली सरकारें ट्रेन supplier को तबाह क्यों नहीं कर रहीं, और यह उजागर करने वाले hackers को पदक क्यों नहीं दे रहीं

    • क्योंकि सरकारें बहुत capitalistic हैं, इसलिए वे मानती हैं कि बड़ी कंपनियां जो चाहें कर सकती हैं
  • यह लगभग एक सार्वभौमिक trend है
    अगर manufacturers पहले से ऐसा नहीं कर रहे हैं, तो बहुत संभव है कि वे इसकी योजना बना रहे हों
    दुनिया के कई हिस्सों के विकसित होने के साथ सस्ती मशीनें देने वाले manufacturers everywhere उभर रहे हैं, और पुराने manufacturers की moat खत्म हो रही है
    durable goods manufacturers अगले business model—maintenance और support subscription service—पर टिके हुए हैं
    Ford की connected vehicle fleet service रफ्तार पकड़ रही है, और commercial vehicles के क्षेत्र में यह बहुत मुनाफ़ेदार हो सकती है
    इस trend का बड़ा हिस्सा workforce की कमी, training की कमी और experience की कमी के कारण labour pool कमजोर होने से आता है
    यह train मामला साफ़ तौर पर अपराध के करीब है, लेकिन अभी चल रही “progress” की लहर से बहुत दूर भी नहीं है

  • अफसोस, ऐसी खोज शायद दूसरी companies के लिए सबक बनेगी
    यानी वे अपनी plausible deniability वाली तरकीबों को और मुश्किल से पकड़े जाने लायक बनाएंगी, और “security” के नाम पर छिपाने की दिशा में जाएंगी
    Big Tech यह game पहले से काफी समय से खेल रही है
    https://news.ycombinator.com/item?id=36926276
    https://news.ycombinator.com/item?id=24955071

  • Newag यहां माफिया की तरह बर्ताव कर रही है
    अंदाज ऐसा है, “अगर train रुक जाए तो बहुत अफसोस की बात होगी, है न..?”
    मैं Poland को यह नहीं बताना चाहता कि क्या करना चाहिए, लेकिन संतोषजनक अंत यही होगा कि ठीक-ठीक पता लगाया जाए कि Newag trains को इस तरह program करने का निर्देश किसने दिया, और उसे जेल भेजा जाए
    जब भी ऐसा software चढ़ी हुई कोई train मिले, सजा में और समय जोड़ा जाए, और Newag को उस train की मुफ्त maintenance करने के लिए मजबूर किया जाए
    अगर Poland यह कड़ा रुख दिखाना चाहता है कि वह पैसे कमाने के लिए जनता को ठगने वालों से कैसे निपटता है, तो यही सबसे अच्छा होगा
    अगर भारी सबूतों के बावजूद यह कहना है कि Poland की जनता को ठगना फायदे का सौदा है, तो खैर, ऐसा ही सही

    • NewAg साफ़ तौर पर दुर्भावना, sabotage, और extortion को ध्यान में रखकर काम कर रही है
      trains और railways की बात हो तो यह सिर्फ business का मुद्दा नहीं, बल्कि रणनीतिक national security का मुद्दा बन जाता है
      यह ऐसी स्थिति है जैसे “अगर जल्दी खराब होने वाला food ले जा रही train रास्ते में रुक जाए और फसल सड़ जाए, तो बहुत अफसोस होगा”
      मुझे नहीं पता किस देश में food security सरकार की व्यवस्था बनाए रखने की क्षमता को प्रभावित नहीं करती
      अगर maintenance operator के बजाय किसी third party ने ऐसा किया होता, तो उसे यथोचित रूप से terrorist organization माना जाता, और ऐसे group के सदस्यों से भी वैसा ही व्यवहार किया जाना चाहिए
      भले ही वे दावा करें कि यह एक छोटे, खास feature तक सीमित है जिसके लिए सहमति लेनी होती है, फिर भी उन्होंने supply chain में ऐसी vulnerability डाली जो normal functioning के लिए जरूरी नहीं थी, और उसे जरूरी जैसा design किया
      कम से कम, वे ऐसे groups के बेखौफ काम करने का रास्ता तैयार कर रहे हैं, भले ही खुद सीधे उसे अंजाम न दे रहे हों