अप्रशिक्षित स्थितियों से निपटना
(ccc.de)- 37C3 में Newag ट्रेनों के निष्क्रियकरण व्यवहार को उजागर करने वाले तीन हैकर जब आपराधिक और दीवानी मुकदमों में फँस गए, तब Chaos Computer Club ने कानूनी प्रतिक्रिया की लागत जुटाने के लिए फंडरेज़िंग शुरू की
- संबंधित ट्रेनें प्रतिस्पर्धियों या ग्राहक मरम्मत कार्यशालाओं के geocoordinates के भीतर लंबे समय तक रहने पर, या ऐसी परिस्थितियों में जो बिना पंजीकरण की मरम्मत जैसी लगती थीं, स्वयं अधिकतम हाइबरनेशन मोड में चली जाती थीं
- निष्क्रिय की गई ट्रेनों को केवल Newag तकनीशियन को बुलाकर ही ‘बचाया’ जा सकता था, और हैकरों ने प्रमाणीकरण-आवश्यक पुर्जों के बदलाव के बिना इस व्यवहार की पुष्टि की
- Newag की शिकायत के बाद 38C3 में अब तक लगभग 30,000 euro की कानूनी प्रक्रिया और आगे की जानकारी सार्वजनिक की गई
- 8 जनवरी 2025 तक CCC को 529 बैंक ट्रांसफ़र के जरिए 31,088.89 euro प्राप्त हुए, और अतिरिक्त राशि CCC e.V. के उपनियमों में निर्धारित उद्देश्यों पर खर्च की जाएगी
Newag ट्रेन DRM का खुलासा और कानूनी विवाद
- Chaos Computer Club(CCC) 37C3 में Polish rail vehicle manufacturer Newag की ट्रेनों में की गई छेड़छाड़ का खुलासा करने वाले तीन हैकरों का समर्थन कर रहा है
- यह मामला 37C3 प्रस्तुति में उठाया गया था, और CCC का मानना है कि यह 37C3 की सबसे लोकप्रिय प्रस्तुतियों में से एक थी
- ट्रेनें कुछ विशेष परिस्थितियों में हाइबरनेशन मोड में चली जाती थीं
- जब वे प्रतिस्पर्धी या ग्राहक मरम्मत कार्यशालाओं के geocoordinates के भीतर बहुत लंबे समय तक पार्क रहती थीं
- जब वे ऐसी स्थिति में होती थीं जो बिना पंजीकरण की मरम्मत प्राप्त होने जैसी दिखती थी
- इस तरह निष्क्रिय की गई ट्रेनों को केवल Newag तकनीशियन को बुलाकर ही ‘बचाया’ जा सकता था
- हैकरों ने ऐसे ट्रेन पुर्जों के संभावित रूप से अवैध प्रतिस्थापन के बिना, जिनके लिए प्रमाणीकरण आवश्यक था, इस व्यवहार का पता लगाया
CCC की फंडरेज़िंग और 38C3 का फ़ॉलो-अप प्रस्तुतीकरण
- खुलासे के बाद Newag ने हैकरों पर आपराधिक और दीवानी दोनों तरह के मुकदमे दायर किए
- CCC का मानना है कि ये मुकदमे ऐसे ‘illegal instructions’ से जुड़ी इस और भविष्य की सार्वजनिक जानकारी को रोकने की प्रकृति के हैं
- हैकरों ने 38C3 में कानूनी प्रक्रिया पर प्रस्तुति दी, और अब तक की लागत लगभग 30,000 euro है
- CCC ने Chaos Computer Club e.V. के सामान्य बैंक खाते में ट्रांसफ़र करने और संदर्भ में
Lokomotiveलिखने का अनुरोध किया- खाता:
DE41 2001 0020 0599 0902 01 - BIC:
PBNKDEFFXXX
- खाता:
- आवश्यक 30,000 euro से अधिक के दान, वास्तविक कानूनी लागत कम होने पर बची राशि, और लौटाई गई अदालत की लागत Chaos Computer Club e.V. के उपनियमों में निर्धारित उद्देश्यों के लिए उपयोग की जाएगी
- यह भी स्पष्ट किया गया कि CCC e.V. को आधिकारिक रूप से गैर-लाभकारी संगठन के रूप में मान्यता प्राप्त नहीं है
- फ़ॉलो-अप प्रस्तुतीकरण शुक्रवार, 27 दिसंबर 2024 को Hamburg में 38C3 में होगा, जिसे उसी दिन रात 11 बजे से लाइव स्ट्रीम पर देखा जा सकता है और बाद में media.ccc.de पर प्रकाशित किया जाएगा
- 8 जनवरी 2025 के अपडेट के अनुसार, कुल 529 बैंक ट्रांसफ़र के माध्यम से 31,088.89 euro प्राप्त हुए
1 टिप्पणियां
Hacker News की राय
मैंने 133.7€ दान किए हैं, और अगर अतिरिक्त कानूनी खर्च आता है तो खुशी से फिर दूंगा
अच्छा होगा अगर बाकी लोग भी उदारता से दान करें और इस थ्रेड में शेयर करें
Newag यहां जो कर रहा है, वह वाकई घिनौना है; वे तीसरे-पक्ष के मरम्मत केंद्रों में सर्विस हुई ट्रेनों को “रीऐक्टिवेट” करने के नाम पर प्रति ट्रेन 20,000€ लेना चाहते हैं
ऐसी मिसाल कायम नहीं होने देनी चाहिए
पिछला प्रेज़ेंटेशन भी जरूर देखें: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...
लाइव स्ट्रीम यहां थी: https://streaming.media.ccc.de/38c3/eins/hls
प्रेज़ेंटेशन खत्म हो चुका था और शानदार था
शेड्यूल: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
यूरोप के ज्यादातर हिस्सों में न्यायिक व्यवस्था case law पर केंद्रित नहीं है, इसलिए मिलते-जुलते मामलों के पिछले फैसलों से ज्यादा कानून खुद मायने रखता है
अगर आपने कोई उत्पाद खरीदा है, तो आपको उसके सभी software तक पहुंच और उसे ठीक करने की क्षमता होनी चाहिए
जानना चाहूंगा कि आपने कहां दान किया
लगता है ट्रेन निर्माता आजकल कई कंपनियों की चालें अपनाने लगे हैं
खरीद के बाद निर्माता द्वारा किसी भी वजह से उत्पाद को रिमोटली deactivate करने की प्रथा कई product categories में आपदा की तरह फैल रही है
पैसे लेकर उत्पाद सौंप देने के बाद निर्माता को यह तय करने का अधिकार नहीं होना चाहिए कि उसका इस्तेमाल कैसे किया जाए
यह सचमुच रुकना चाहिए, और दुनिया भर के regulators इस मुद्दे पर सो रहे हैं
और regulation जोड़ना भी एक समाधान हो सकता है, लेकिन सवाल है कि क्या सच में हम यही दिशा चाहते हैं
असल में अब हम चीजें खरीद नहीं रहे, बल्कि किराए पर ले रहे हैं
अगर “बाजार” ऐसी बकवास स्वीकार कर लेता है, तो regulators कुछ नहीं करेंगे
मेरे पहले PC पर भी खोलने पर warranty void वाली seal लगी थी
Newag ने परिवहन बहिष्करण से निपटने वाली संसदीय टीम की अध्यक्ष सांसद Paulina Matysiak को भी निशाना बनाया और उनकी immunity हटाने का अनुरोध किया
पिछले साल यह मामला सामने आने के बाद से वे इसकी जांच कर रही थीं
https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...
याद है कि “hackers” ने यह पता लगाया था कि ट्रेन कंपनी ने प्रतिस्पर्धी maintenance providers द्वारा सर्विस की गई ट्रेनों को deactivate कर दिया था
अफसोस है कि उन पर मुकदमा किया गया
उम्मीद है वे इतना पैसा जुटा पाएंगे कि Newag से दर्दनाक और गहरी discovery की मांग कर सकें
भले ही ट्रेनें उन्होंने बनाई हों, ट्रेनों पर हमला करना राष्ट्रीय critical infrastructure पर हमला करना है
पता नहीं उस पुराने नैतिक नियम का क्या हुआ कि “अगर अपनी मां को यह बताने पर कि तुम क्या करते हो, वह चौंक जाए, तो तुम कुछ गलत कर रहे हो”
Newag जो कर रहा है, वह इस नियम को बहुत साफ तौर पर तोड़ता है
लेकिन अब बड़े monopolistic operators ऐसे असर को बस नजरअंदाज कर देते हैं
मीडिया के पास funding कम है और वह भ्रष्ट है, और राजनेता भी व्यापक अर्थ में भ्रष्ट हैं
चाहे तरीका कानूनी हो या अर्ध-कानूनी
जब यह पहली बार खोजा गया था, उस समय की पिछली चर्चा थी, और हैरानी हुई कि इस पर ज्यादा चर्चा नहीं हुई: https://news.ycombinator.com/item?id=38893116
https://news.ycombinator.com/item?id=38530885
https://news.ycombinator.com/item?id=38567687
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38788360
और भी हैं
पहला comment भी देख सकते हैं
https://news.ycombinator.com/item?id=38788360
अच्छा होगा अगर कोई उन लोगों के लिए सारांश दे दे जिन्हें पूरी स्थिति नहीं पता
हैरानी है कि ऐसी Trojan horse trains खरीदने वाली सरकारें ट्रेन supplier को तबाह क्यों नहीं कर रहीं, और यह उजागर करने वाले hackers को पदक क्यों नहीं दे रहीं
यह लगभग एक सार्वभौमिक trend है
अगर manufacturers पहले से ऐसा नहीं कर रहे हैं, तो बहुत संभव है कि वे इसकी योजना बना रहे हों
दुनिया के कई हिस्सों के विकसित होने के साथ सस्ती मशीनें देने वाले manufacturers everywhere उभर रहे हैं, और पुराने manufacturers की moat खत्म हो रही है
durable goods manufacturers अगले business model—maintenance और support subscription service—पर टिके हुए हैं
Ford की connected vehicle fleet service रफ्तार पकड़ रही है, और commercial vehicles के क्षेत्र में यह बहुत मुनाफ़ेदार हो सकती है
इस trend का बड़ा हिस्सा workforce की कमी, training की कमी और experience की कमी के कारण labour pool कमजोर होने से आता है
यह train मामला साफ़ तौर पर अपराध के करीब है, लेकिन अभी चल रही “progress” की लहर से बहुत दूर भी नहीं है
अफसोस, ऐसी खोज शायद दूसरी companies के लिए सबक बनेगी
यानी वे अपनी plausible deniability वाली तरकीबों को और मुश्किल से पकड़े जाने लायक बनाएंगी, और “security” के नाम पर छिपाने की दिशा में जाएंगी
Big Tech यह game पहले से काफी समय से खेल रही है
https://news.ycombinator.com/item?id=36926276
https://news.ycombinator.com/item?id=24955071
Newag यहां माफिया की तरह बर्ताव कर रही है
अंदाज ऐसा है, “अगर train रुक जाए तो बहुत अफसोस की बात होगी, है न..?”
मैं Poland को यह नहीं बताना चाहता कि क्या करना चाहिए, लेकिन संतोषजनक अंत यही होगा कि ठीक-ठीक पता लगाया जाए कि Newag trains को इस तरह program करने का निर्देश किसने दिया, और उसे जेल भेजा जाए
जब भी ऐसा software चढ़ी हुई कोई train मिले, सजा में और समय जोड़ा जाए, और Newag को उस train की मुफ्त maintenance करने के लिए मजबूर किया जाए
अगर Poland यह कड़ा रुख दिखाना चाहता है कि वह पैसे कमाने के लिए जनता को ठगने वालों से कैसे निपटता है, तो यही सबसे अच्छा होगा
अगर भारी सबूतों के बावजूद यह कहना है कि Poland की जनता को ठगना फायदे का सौदा है, तो खैर, ऐसा ही सही
trains और railways की बात हो तो यह सिर्फ business का मुद्दा नहीं, बल्कि रणनीतिक national security का मुद्दा बन जाता है
यह ऐसी स्थिति है जैसे “अगर जल्दी खराब होने वाला food ले जा रही train रास्ते में रुक जाए और फसल सड़ जाए, तो बहुत अफसोस होगा”
मुझे नहीं पता किस देश में food security सरकार की व्यवस्था बनाए रखने की क्षमता को प्रभावित नहीं करती
अगर maintenance operator के बजाय किसी third party ने ऐसा किया होता, तो उसे यथोचित रूप से terrorist organization माना जाता, और ऐसे group के सदस्यों से भी वैसा ही व्यवहार किया जाना चाहिए
भले ही वे दावा करें कि यह एक छोटे, खास feature तक सीमित है जिसके लिए सहमति लेनी होती है, फिर भी उन्होंने supply chain में ऐसी vulnerability डाली जो normal functioning के लिए जरूरी नहीं थी, और उसे जरूरी जैसा design किया
कम से कम, वे ऐसे groups के बेखौफ काम करने का रास्ता तैयार कर रहे हैं, भले ही खुद सीधे उसे अंजाम न दे रहे हों