37C3 - Breaking "DRM" in Polish trains

Elektronika, Elektromos eszközök

https://www.youtube.com/watch?v=XrlrbfGZo2k

  • 1189 megtekintés

( hajbazer v | 2024. 01. 15., h – 15:37 )

Szerkesztve: 2024. 01. 15., h – 15:43

Íme a vonatgyártók Volkswagen-botránya.

Avagy, milyen újabb csúcsokat döntött ismét a járműipari multik vállalati arroganciája, az extraprofit érdekében.

Konkrétan a DRM intézményének visszaélésszerű használatát láthattuk, a gyártó oldaláról. Ez alapjában megkérdőjelezi, hogy a DRM, mint olyan a mostani, magas szintű szerzői jogi törvényi védelmeket kellene, hogy élvezze.

Nagy tisztelet és elismerés a reverse engineer-eknek!

járműipari multik

Ez egy lengyel nemzeti cég, csak abban az országban van jelen, nem multi. Amúgy évszázados cég, kb. a magyar MÁVAG-nak megfelelő, még a Monarchia idejében alapították. Baromira nem multi. Nem a céget akarom védeni, csak éppen ezzel a "mocskosmulti" hörgéssel tök visszatetsző a kommunikációd, mert most alaptanul multizol le egy lengyel nemzeti nagyvállalatot. Mintha azt mondanád, hogy a Mészáros-féle V-HÍD egy arrogáns multi, de nem az.

A lengyel állam is hülye volt, hogy úgy vett motorvonatot, hogy az ahhoz kapcsolódó szoftver forráskódját nem vette meg. A Microsoft is képes arra, hogy állami vevőnek odaadja a Windows forráskódot, hogy az auditálni tudja.

Az előző választások előtt belengették magyar politikusok, hogy majd Nagykanizsán települ le a Newag és telepít vagongyártó üzemet, de nem lett belőle semmi, csak kampányfogás volt.

A Newag nem csak Lengyelországban van jelen. Onnantól, hogy legalább egy külföldi leányvállalata (vagy tulajdonolt vállalata) van, multinacionális cégnek számít. Multi és pontosan úgy működik, mint egy igazi mocskos multi. A nemzeti többségi tulajdon nem mentség. Kint van a tőzsdén, bármikor változhat a tulajdonosi összetétel.

A lengyel állam is hülye volt, hogy úgy vett motorvonatot, hogy az ahhoz kapcsolódó szoftver forráskódját nem vette meg. A Microsoft is képes arra, hogy állami vevőnek odaadja a Windows forráskódot, hogy az auditálni tudja.

Igen, tudjuk, a fősodratú érvelés szerint mindenki hülye volt, a Newag-ot kivéve. A Volkswagen-tulajok is hülyék voltak, hogy nem vették meg a forráskódot az autójuk mellé.

Mintha azt mondanád, hogy a Mészáros-féle V-HÍD egy arrogáns multi, de nem az.

Az OTP egy arrogáns multi. A MOL egy arrogáns multi. A V-HÍD-nak van külföldi leányvállalata?

( whitehawk v | 2024. 01. 16., k – 10:29 )

Sokkal durvább dolgok vannak ebben a videóban mint maga ez a DRM dolog. Persze mindez a DRM miatt került felszínre.

A vasúti járművek homologációja egy adott összeállításra, kiépítésre vonatkozik (hardware + software) és az, hogy a Newag csak úgy, össze-vissza frissítette ezeket a járműveket teljesen szembemegy minden vonatkozó nemzeti és nemzetközi szabályozással. Az, hogy az üzemeltető tudta és beleegyezése nélkül tették az is elfogadhatatlan.

- Simán mondhatja egy nemzeti közlekedési hatóság, hogy a kiadott típusengedély nem vonatkozik a módosított software-rel futó járművekre.

- Az, hogy az infotainment rendszer ethernet hálózata és a jármű a biztonságkritikus rendszereit összekötő CAN buszát összekötötték és azon keresztül bele lehet nyúlni a biztonságkritikus szoftverbe.. Ez cyber security szempontból nonszensz..

- Az, hogy a Newag azzal védekezik, hogy nem lehet bizonyítani, hogy ők módosították a szoftvert és nem lehet tudni, hogy milyen szoftver fut a vonaton... teljesen elfogadhatatlan. Senki se frissíthetne szoftvert rajtuk kívül, és minden verzió forráskódra visszavezethető kell, legyen. Reprodukálható buildekkel.

Egy ilyen után az összes folyamatra és fejlesztésre vonatkozó ISO tanúsítványukat vissza kéne vonni kb.

TÜV sagt nein!

Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش

Az a probléma, hogy simán ki fogják magyarázni. A vonatnál a fail-safe állapot, ha a vonat áll, és minden módosításuk ebbe az irányba vitte a rendszert. Ergo simán kibújnak a vád alól, hogy biztonsági szempontból bármi aggályos lett volna. Az előadók is említik, hogy a jogszabály eléggé "gumi" módon van megfogalmazva: csak "jelentős" változtatás esetén kell újraminősíttetni a módosított szoftvert. (Hasonlítsd ezt össze azzal a hozzáállással, hogy a kocsidban a rendszámtáblavilágítást sem cserélheted ledesre, ha gyárilag nem olyan volt, mert az az alapfeltételezés, hogy bármilyen eltérés a gyári állapottól biztonsági kockázat.)

És utána szépen egyesével mindegyikre (dátum, kilométer, egyhuzamban állási idő) kitalálnak valami fal indokot, hogy technikailag éppen melyik kritikus rendszer biztonságos üzemeléséhez szűkséges felülvizsgálatának elmaradása miatt állította éppen le a vonatot. Mondjuk 1M km-t futott szerelvénynél már fennáll a kockázat, hogy 21 nap után, állásában "megromlik" a pneumatika tömítése. Nem biztos, hogy megtörténik, de a gyártó "saját tapasztaltai alapján" már úgy gondolja, hogy "a kockázat fennáll". Bizonyítsd be, hogy nem így van. Ezzel megmagyarázzák azt is, hogy miért volt fontos, hogy a garancia lejárta után soron kívül ráfrissítsék a firmware-t a vonatokra. A geofencing-re most nem tudok jól hangzó indokot, de biztos vagyok benne, hogy az ügyvédek kitalálnak valamit arra is.

Az meg, hogy nem jelzett egyértelmű hibát a vonatvezetőnek, egyszerű - biztonságot nem befolyásoló - bug volt, amit köszönik hogy jeleztek, majd a jövőben kijavítják. Vagy egyszerűen beleírják a dokumentációba, hogyha ilyet tapasztalnak, akkor a _gyártóval_ kell felvenni a kapcsolatot, hiszen ezt csak ők tudják megoldani.

Régóta vágyok én, az androidok mezonkincsére már!

Ha "megromlik" a tömítés 21 nap után, le is kell írni a vonat dokumentációjában, nem egy black-boxban elrejteni, szerintem. Ha le is van írva, az biztonságosabb, mi van ha a szoftver hibás és nem ellenőrzi mégsem és mégis elindul a vonat? A frissítések leírásában meg benne kellene lennie, hogy mit váloztattak.

Ha benne lett volna a szerződésben, hogy más nem szervízelheti a vonatot, akkor nem is írhattak volna rá ki pályázatot, így a geofencinget nehéz lesz megvédeni.

(Mielőtt félreértenéd nem azért írom, amit írok, mert azt gondolom úgy helyes, hanem mert szerintem jogászok ki tudják magyarázni.)

Amit leírtál az ellen is lehet sajnos védelmi stratégiát kitalálni. A lényeg, hogy azt kell elérni, hogy minden el legyen különítve egymástól, semmit sem szabad egyben tárgyalni - mert egyben túl nyilvánvaló, hogy mire ment ki az egész. Először is legalább két külön ügy legyen. Az egyik a már megtörtént dolgok megvédése bármi áron ("jóhiszemű hiba volt", "túl óvatosak voltak 1-2 biztonsági kérdésben", "túl későn jöttek rá, hogy hiba lehet, ezért maradt ki a dokumentációból" stb. "majd javítjuk".) Egy másik ügy pedig, hogy a jelenlegi status quo fenn is maradjon, az első ügyben használt "jóhiszemű kibúvók" ellenére a gyártó mégse kényszerüljön olyan változtatás tényleges elvégzésére, ami lehetővé teszi a konkurens javítóüzem munkáját.

A geofencing alól pl lehetséges kibúvó, hogy az még akkor került bele, amikor a vonat garanciális volt, tehát még szó sem volt arról, hogy a konkurens javítóüzem hozzányúlhatna. Az, hogy a kb 30 szerelvényből ez a konkrét check csak 1-2-nél volt csak meg, még alá is támasztja. Egyszerűen "elfelejtették" kivenni.

Az, hogy mi a van a szerződésben jó kérdés. Gondolom a vasúttársaság eredetileg nem úgy írta meg, hogy rosszhiszeműen feltételezi, hogy a gyártó tevőlegesen meg fogja szabotálni a vonatokat, és nem mentek bele olyan részletekbe, hogy PLC kódja, meg frissítésének jogállása kellő alapossággal tisztázva legyen. A jogszabályoknak feleljen meg és kész. A gyártó azzal is takarózhat, hogy 3rd party megoldást (ez a svájci PLC compiler és framework-ös cég, amit említenek) használnak, amit nem adhatnak tovább, mert nem az ő tulajdonuk. Ha át is adnak valamennyi forráskódot, abból más nem feltétlen kell, hogy le tudja buildelni a firmware-t. Mindenre van kifogás. Sajnos.

Régóta vágyok én, az androidok mezonkincsére már!

Meglátjuk majd. Szerintem a Lengyelek jobban szeretik a függetlenséget, minthogy egy ilyet ki lehessen náluk magyarázni.

A minister in Poland’s recently departed government also appeared to confirm at least part of the claims, saying that the authorities have been aware of them since May this year and suggesting that Newag had used “a cyberweapon against its own customers”.

Lehet, hogy eleve politikai oka volt annak, hogy Newag motorvonatot vegyen az állam, hogy a Newagot helyzetbe hozzák, hogy legyen a Newag Impulsnak referenciája, hogy utána más európai tendereken jobb múlttal indulhasson. Lengyelországon kívül egy ország vett csak Impulst, az olaszok, 2019-ben. Jó lenne tudni, hogy az olasz Impulsokat ki tartja karban.

( uid_4278 | 2024. 01. 16., k – 12:45 )

"DRM" alatt szerintem itt azt értik, hogy a Newag meg akarta tartani a jogot, hogy csak ők szervízelhessék a vonatokat. Ezért például beégették a konkurencia telephelyeinek koordinátáit, hogy onnan ne induljon el a vonat nélkülük, stb.

( joco01 v | 2024. 01. 16., k – 13:37 )

Érdekes volt, de most én leszek az ördög ügyvédje: a visszafejtett kódból nem fog kiderülni az igazság.

Lehet, hogy volt egy szerződés vagy a típusengedélyben egy kikötés vagy bármi, miszerint csak ők jogosultak szervizelni a vonatot. Akkor ez a leállító funkció jogosan került bele. Lehet, hogy volt valami megállapodás, hogy azt a kompresszort november 21-ig szervizelni kell, és jogosan tették bele a kódba, hogy ha addig ez nem történik meg, akkor a vonat leáll. Traktoroknál is láttunk már ilyet, a repülőkbe is tuti nem lehet csak úgy belebarmolni, de már lassan az autók is ilyenek. Autóknál ugye az a minimum, és senki nem lepődik meg rajta, hogy ha nem megfelelő helyen vagy időben szervizeled, bukod a garanciát. Sőt, már a nyomtatók is kezdenek így működni, a HP-t sokan szidják mostanság.

Egyáltalán nem mondom azt, hogy ezt helyesnek tartom, de egy cég jogszerűen megteheti, hogy bizonyos dolgokat a hivatalos csatornákhoz köt, a vásárló meg megteheti, hogy máshol vásárol, ha ezt nem tartja etikusnak, és ezt is kell tenni. Az emberi életre veszélyes üzemek esetén pedig kifejezetten elvárom, hogy szigorú szabályokhoz legyen kötve, ki és hogyan nyúlhat bele. Az dobja rám az első követ, aki szeretne egy nem hivatalosan szervizelt MRI vagy CT gépbe befeküdni.

Szóval ezt majd az ügyvédek fogják lejátszani a továbbiakban. Legnagyobb eséllyel kimagyarázzák, hogy nem volt semmi törvénytelen, esetleg pár SWE-re vagy a csapatvezetőjükre ráfogják a csúnya kódok felelősségét, és a legkisebb eséllyel fog a cég vezetése belebukni. Szerintem.

Ráadásul azt mondták, hogy lejárt a gyári garancia. A vételi szerződésben meg ki volt kötve, hogy a karbantartáshoz szükséges összes dokumentációt mellékelje a gyártó. Ezt max. Chewbacca védelemmel lehet kimagyarázni, értelmesen sehogy.

A vonatok a garázsban, szerviz közben, üzemen kívül álltak meg, tehát nehezen hihető, hogy ez közüzem megzavarásának számít. Esetleg idézd be a lengyel törvény vonatkozó részét, ha szerinted ez mégis annak számít.

Elenyészően kicsi esélyt látok arra, hogy a Newag egyszer csak kitalálta, hogy önhatalmúlag brickeli a vonatokat, mert nehogymá' valaki más szervizelje őket. Azt se hiszem, hogy akkora idióták ülnek ott, akár programozók (jelentkezzen, aki programozott már vonatot!), akár döntéshozók szintjén. Volt valami okuk rá, amit mi nem ismerünk, hogy ne engedjék a vonatokba a harmadik fél általi belenyúlást. És nagyon könnyű olyan esetet elképzelni, amikor ez pont az elvárt működés, nem ez a szabotázs hanem ez a szabotázs kivédése az utasok biztonsága érdekében.

Volt valami okuk rá

[..]The train manufacturer, Newag, also competed in the tender to carry out the maintenance, but the manufacturer’s bid was about 750k USD higher and the tender was eventually won by SPS, which offered to carry out the maintenance of 11 trains for around 5.5 mln USD.[..]

https://badcyber.com/dieselgate-but-for-trains-some-heavyweight-hardwar…

Ez a videóban is volt, de nem értettem.

Ha a másik cég még nem nyerte meg a tendert, akkor egyáltalán miért volt náluk a vonat? Akkor jogos, hogy a vonat le lett tiltva.

Ha meg már megnyerték, akkor kapniuk kellett volna dokumentációt. És nem náluk pattog a labda, amíg ezt nem kapták meg.

A tendertől függetlenül az egy tiszta ügynek látszik, hogy a vonatot az javíthassa, akinél van a dokumentáció, és akinél van a dokumentáció, az fel tudja oldani a tiltást.

( st3v3 v | 2024. 01. 16., k – 16:30 )

Köszönet, érdekes és hasznos volt.