- स्वतंत्र रिपेयर शॉप में मरम्मत के बाद खराब होने वाली ट्रेनों का विश्लेषण कर रही टीम ने Newag ट्रेनों की reverse engineering की, और ऐसा code पाया जो मेंटेनेंस की कोशिश का पता चलने पर खराबी simulate करता था; इसे 37C3 में सार्वजनिक किया गया
- यह 38C3 presentation खुलासे के बाद के असर पर केंद्रित है, जिसमें parliamentary working group sessions की 3 बैठकों, Newag के स्पष्टीकरण और ट्रेन ऑपरेटरों की गवाही मुख्य धुरी हैं
- ट्रेन ऑपरेटरों ने बताया कि Newag ने एक ही ट्रेन का lock हटाने के लिए 20,000 euro से अधिक वसूले, जबकि उसे 10 मिनट में unlock किया जा सकता था; लेकिन Newag ने कहा कि उसे ऐसे lock के बारे में कुछ पता नहीं है
- presenters ने copyright infringement और unfair competition के दावों वाले 140 पन्नों के lawsuit का जवाब दिया, साथ ही मीडिया को reverse engineering की अवधारणा बार-बार समझानी पड़ी
- खुलासे के बाद आधिकारिक जांचों की संख्या बढ़कर 6 हो गई, जिनमें से 2 criminal investigations हैं; अन्य ट्रेन ऑपरेटरों के मामलों सहित इसका असर लगातार फैल रहा है
37C3 में खुलासे के बाद क्या हुआ
- स्वतंत्र रिपेयर शॉप में मेंटेनेंस के बाद खराब होने वाली ट्रेनों का विश्लेषण कर रही टीम ने Newag ट्रेनों की reverse engineering की, और ऐसा code पाया जो मेंटेनेंस की कोशिश का पता चलने पर खराबी simulate करता था
- ये निष्कर्ष 37C3 में सार्वजनिक किए गए थे, और यह 38C3 presentation उसके बाद की कानूनी, राजनीतिक और मीडिया प्रतिक्रियाओं पर update के रूप में है
- parliamentary working group sessions 3 बार हुईं, और बताया गया कि Newag की विषय से असंबंधित slides में गंदे टॉयलेट की तस्वीरें शामिल थीं
- ट्रेन ऑपरेटरों ने गवाही दी कि Newag ने एक ट्रेन का lock हटाने के लिए 20,000 euro से अधिक लिए, जबकि असल में unlock 10 मिनट के भीतर किया जा सकता था
- साथ ही Newag ने कहा कि उसे उस lock के बारे में कुछ भी पता नहीं है
lawsuit और आधिकारिक जांच
- Newag से जुड़ा lawsuit 140 पन्नों का है, जिसमें presenters पर copyright infringement और unfair competition के आरोप लगाए गए हैं
- presenters को मीडिया के सामने बार-बार समझाना पड़ा कि reverse engineering क्या होती है
- आधिकारिक जांचें कुल 6 हो गई हैं, जिनमें से 2 criminal investigations हैं
- 37C3 presentation के बाद अन्य ट्रेन ऑपरेटरों से भी नए मामले सामने आए
- presentation material और recording Creative Commons BY 4.0 license के तहत सार्वजनिक किए गए हैं
1 टिप्पणियां
Hacker News की राय
पिछली चर्चा: https://news.ycombinator.com/item?id=42524568
अगर आप कानूनी कार्रवाई में दान देना चाहते हैं, तो CCC कानूनी फंड खुला है: https://www.ccc.de/en/updates/2024/das-ist-vollig-entgleist
प्रस्तुति में आई कंपनी Newag अब भी बड़े सरकारी कॉन्ट्रैक्ट जीत रही है: https://en.railmarket.com/news/rolling-stock/25459-newag-s-g...
टेंडरों में आम तौर पर विजेता चुनते समय कीमत सबसे अहम कारक होती है
मैं उन लोगों का समर्थन करता हूं और उनकी गारंटी देता हूं, लेकिन “इसे पहले सार्वजनिक करना चाहिए था” कहना लगभग बकवास है
पोलैंड में राजनीतिक बदलाव पक्का होने के 1 साल पहले ही इसे सार्वजनिक कर दिया गया था, और अगर सत्ता परिवर्तन से पहले सार्वजनिक किया जाता तो यह त्रासद हो सकता था
कंपनी और ownership structure पिछली राजनीतिक सत्ता से गहराई से जुड़ी हुई थी, और अगर पिछली सत्ता बनी रहती तो मेरे हिसाब से इसे सार्वजनिक नहीं किया जाता
प्रस्तुति में दिखा काम तब किया गया था जब पिछली सत्ता अब भी मजबूत थी, और आखिरकार सार्वजनिक करना सही था, लेकिन इसके पीछे बहुत भारी गणना रही होगी
सार्वजनिक करने के लिए सबसे बेहतर संभव समय की गणना करनी पड़ती है, और यह शुद्ध वीरता से ज्यादा सही काम सही समय पर करने जैसा है
रुचि न बनना किसी खास राजनीतिक सत्ता से स्वतंत्र, पुरानी समस्या लगती है
जैसा उन्होंने शिकायत की कि पत्रकारों को समझाना मुश्किल था, पत्रकार भी नहीं समझे और जनता भी नहीं समझी
Pegasus मामला भी मौजूदा संसद में बहुत आगे नहीं बढ़ा
थोड़े निंदक ढंग से कहें तो अगर इसे रूसी साजिश थ्योरी की तरह पैक किया गया होता, तो शायद अचानक पूरी खबरों पर छा जाता
लगता है अपने ही देश में हुआ इसलिए इसे गंभीरता से नहीं लिया जा रहा, और अमेरिका चीन के साथ जैसा व्यवहार करता है उसे देखें तो असल में कुछ न भी हो, तब भी बात को गंभीरता से लिया जाता है
राजनीति से गहराई से जुड़ी industries में ऐसी चीजें हर जगह होती हैं
धोखाधड़ी या भ्रष्टाचार उजागर करने वाले व्यक्ति को सामान्य समय में harassment और stalking झेलनी पड़ती है, और मामला सामने आने पर SLAPP का सामना करना पड़ता है
अब जाकर जर्मनी और अमेरिका जैसे standards पोलैंड पहुंचे हैं, और यह लंबे समय से प्रतीक्षित बदलाव है
खासकर वह हिस्सा असरदार है जहां एक जनरल उनसे कहता है कि “आप किस्मतवाली थीं कि आपने तेल कारोबार की जांच की; अगर हथियार कारोबार की जांच की होती तो आप अब तक मारी जा चुकी होतीं”
संबंधित: 1 साल पहले की मूल कहानी - https://news.ycombinator.com/item?id=38788360
कुशल पोलिश hackers ने कॉर्पोरेट लालच उजागर किया। अच्छा किया
यह पूरी supply chain में जड़ी हुई vulnerability है, और भ्रष्टाचार से बना राष्ट्रीय सुरक्षा मुद्दा है
विश्व युद्ध के दौरान जान देकर कीमत चुकाने से पहले इसे अभी सामने लाया गया है, इसलिए इन्हें पुरस्कार और इनाम मिलने चाहिए
अगर कंपनी ने ट्रेन को किसी खास जगह पर होने पर रुकने के लिए बनाया था, तो वह जगह किससे तय होती है? क्या कमजोर GPS wireless signal से, जिसमें पहले spoofing की समस्या रही है?
अगर कोई दुर्भावना से बनाया wireless signal ट्रेन की तरफ भेजकर इस feature को चालू करने वाला targeted payload भेज दे, तो क्या होगा? फसल या खाना सड़ सकता है
इस स्तर का हमला सोचने के लिए genius होना जरूरी नहीं, आजकल की फिल्मों की कहानी देखकर भी यह ख्याल आ सकता है
खाद्य सुरक्षा हजारों सालों से हर देश की समस्या रही है
क्या EU को भी इस मामले की थोड़ी जांच नहीं करनी चाहिए?
वह तभी जांच कर सकता है जब EU बजट का दुरुपयोग हुआ हो या संबंधित देश की सरकार ने EU दायित्वों का उल्लंघन किया हो
बाकी मामलों में देश अपने कानूनों को साझा यूरोपीय ढांचे के अनुरूप बनाते हैं, और जब कोई उन कानूनों को तोड़ता है तो जांच की जिम्मेदारी उसी देश की सरकार की होती है