ปรากฏการณ์รถไฟในโปแลนด์ถูกล็อกหลังซ่อมที่ศูนย์ซ่อมบุคคลที่สาม

 (social.hackerspace.pl)
1 คะแนน โดย GN⁺ 2023-12-06 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

สรุป: hackerspace.pl และการเผยแพร่งานวิจัย

  • hackerspace.pl เป็นส่วนหนึ่งของเครือข่ายสังคมแบบกระจายศูนย์ที่ใช้ Mastodon
  • เป็นเซิร์ฟเวอร์สำหรับสมาชิกของ Warsaw Hackerspace และดูแลโดย q3k@q3k
  • สถิติเซิร์ฟเวอร์: ผู้ใช้งานที่ใช้งานอยู่ 22 คน

สรุปเนื้อหางานวิจัย

  • นักวิจัยได้วิเคราะห์โค้ด PLC ของรถไฟ NEWAG Impuls EMUs ด้วยการทำวิศวกรรมย้อนกลับ
  • รถไฟเหล่านี้หยุดทำงานด้วยเหตุผลที่ดูเหมือนสุ่ม หลังเข้ารับการซ่อมบำรุงจากศูนย์ซ่อมภายนอก
  • ผู้ผลิตอ้างว่าปัญหาเหล่านี้เกิดจากการดำเนินการที่ไม่เหมาะสมของศูนย์ซ่อม และยืนยันว่าควรต้องเข้ารับบริการจากบริษัทตนเอง

ปัญหาที่ค้นพบ

  • ในโค้ด PLC มีลอจิกที่ล็อกรถไฟหลังจากวันที่กำหนด หรือหากไม่มีการเดินรถเป็นระยะเวลาหนึ่ง
  • คอนโทรลเลอร์บางเวอร์ชันมีพิกัด GPS ที่จำกัดการทำงานเฉพาะเมื่ออยู่ในศูนย์ซ่อมของบุคคลที่สาม
  • สามารถปลดล็อกรถไฟได้ด้วยการกดคีย์ผสมเฉพาะบนแผงควบคุมในห้องโดยสาร แต่ไม่มีการบันทึกวิธีนี้ไว้ในเอกสาร

การอัปเดตซอฟต์แวร์และปัญหาเพิ่มเติม

  • ในซอฟต์แวร์ PLC เวอร์ชันใหม่ ฟังก์ชันปลดล็อกด้วยคีย์ถูกลบออก แต่ลอจิกการล็อกยังคงอยู่
  • หลังการอัปเดตบางรายการของ NEWAG ระบบ HMI สามารถตรวจจับบางส่วนของเงื่อนไขที่จะทำให้เกิดการล็อก และแสดงข้อความข่มขู่เกี่ยวกับการละเมิดลิขสิทธิ์ ทั้งที่รถไฟยังคงทำงานอยู่
  • รถไฟมีอุปกรณ์โทรมาตร GSM ติดตั้งอยู่ ซึ่งดูเหมือนจะกระจายเงื่อนไขการล็อก และในบางกรณีอาจสามารถล็อกรถไฟจากระยะไกลได้

การถกเถียงสาธารณะและปฏิกิริยา

  • นักวิจัยได้จัดการพูดคุยแบบปิดเกี่ยวกับเรื่องนี้ในงาน OhMyHack
  • เรื่องนี้กำลังแพร่กระจายผ่านแหล่งข้อมูลภาษาโปแลนด์ และมีแผนจะนำเสนอรายละเอียดพร้อมเปิดเผยสิ่งที่ค้นพบในงาน 37C3
  • ผู้คนมีปฏิกิริยาหลากหลายต่อประเด็นนี้ โดยบางส่วนชี้ว่าการกระทำลักษณะนี้อาจเป็นการต่อต้านการแข่งขันและผิดกฎหมาย

ความเห็นของ GN⁺

ประเด็นสำคัญที่สุดของบทความนี้คือ นักวิจัยได้ค้นพบปัญหาที่ฝังอยู่ในโค้ด PLC ของรถไฟ NEWAG Impuls EMUs และมีแผนจะนำไปอภิปรายต่อสาธารณะ นี่เป็นกรณีศึกษาที่น่าสนใจเกี่ยวกับปฏิสัมพันธ์ระหว่างซอฟต์แวร์กับฮาร์ดแวร์ และเทคโนโลยีสามารถถูกใช้เพื่อจำกัดสิทธิของผู้ใช้และการแข่งขันได้อย่างไร งานวิจัยลักษณะนี้อาจจุดประกายการถกเถียงสำคัญเกี่ยวกับการใช้เทคโนโลยีอย่างมีจริยธรรมและการคุ้มครองผู้บริโภค ซึ่งเป็นหัวข้อที่สำคัญอย่างยิ่งต่อผู้มีส่วนได้ส่วนเสียทุกฝ่าย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-12-06
ความคิดเห็นจาก Hacker News

  • การบำรุงรักษารถไฟที่บริษัทเดินรถไฟภูมิภาคในโปแลนด์ใช้งานนั้นแบ่งเป็น 5 ระดับ ตั้งแต่ P1 ถึง P5 และตั้งแต่ไม่กี่ปีก่อน บริษัทขนาดเล็กก็เริ่มชนะการประมูลบำรุงรักษาระดับ P3 ขึ้นไปได้ด้วยแรงหนุนจากการเปิดตลาดของหน่วยงานรถไฟสหภาพยุโรป

  • รถไฟ 4 ขบวนที่ SPS Mieczkowski เข้าซ่อมไม่สามารถใช้งานได้ ทำให้บริษัทต้องจ่ายค่าปรับ 500,000 ยูโร และรถไฟถูกส่งกลับไปยัง Newag ขณะเดียวกัน รถไฟของบริษัทอื่นก็หยุดเคลื่อนที่หลังจากไม่ได้เข้ารับบริการและจอดค้างอยู่ในที่เดียวเป็นเวลานาน ด้วยเหตุนี้ SPS Mieczkowski จึงจ้าง Dragon Sector ให้สอบสวน และพบรูทีนแยกหลายชุดที่ทำให้รถไฟหยุดทำงาน

  • คดีนี้กำลังอยู่ระหว่างการสอบสวนของสำนักงานต่อต้านการทุจริตกลางของโปแลนด์ แต่ดูเหมือนจะไม่กระทบ Newag มากนัก สำนักงานขนส่งทางรางของโปแลนด์เคยรบกวนบริษัทรถไฟด้วยคำร้องเรียนและคำสั่งจากความผิดพลาดด้านตารางเวลาเล็กน้อย แต่กลับไม่เข้าแทรกแซงในกรณีนี้

  • โปแลนด์แบ่งออกเป็น 16 จังหวัด และหลังการปฏิรูปช่วงต้นทศวรรษ 2000 เกือบทุกจังหวัดก็มีบริษัทรถไฟภูมิภาคของตนเอง หลังเกิดข้อบกพร่องหลายอย่างกับรถไฟ Newag บริษัทผู้ให้บริการซ่อมบำรุงต้องจ้างแฮ็กเกอร์ให้ทำวิศวกรรมย้อนกลับเพื่อหาสาเหตุของปัญหา ซึ่งใช้เวลาพอสมควร

  • เหตุการณ์นี้ชวนให้นึกถึง AARD "crash" ที่ Microsoft เคยใช้เพื่อกัน DR-DOS ออกจากการแข่งขัน โค้ด AARD เป็นโค้ดที่อยู่ใน Windows 3.1 รุ่นเบตา ซึ่งตรวจสอบว่า Windows กำลังรันบนผลิตภัณฑ์คู่แข่งอย่าง DR-DOS แทนที่จะเป็น MS-DOS หรือ PC DOS หรือไม่ และหากใช่ก็จะแสดงข้อความผิดพลาดแบบเข้ารหัส

  • ราคาหุ้นของ Newag ร่วงลงอย่างมากหลังโพสต์นี้ จึงน่าสงสัยว่านี่อาจเป็นการปรับราคาครั้งแรกที่เกิดจาก Mastodon หรือไม่

  • มีรถไฟขบวนหนึ่งที่ปฏิเสธการทำงานในวันที่ 21 พฤศจิกายน 2022 ทั้งที่ไม่ได้อยู่ระหว่างการเข้ารับบริการ คอมพิวเตอร์รายงานข้อผิดพลาดของคอมเพรสเซอร์ แต่ช่างเครื่องเห็นว่าไม่มีปัญหาใดกับคอมเพรสเซอร์ เมื่อวิเคราะห์โค้ดคอมพิวเตอร์ก็พบว่ามีเงื่อนไขให้รายงานข้อผิดพลาดของคอมเพรสเซอร์เมื่อถึงวันที่กำหนด

  • มีความเห็นว่ารถไฟ Newag มีคุณภาพสูงกว่า Pesa (ผู้ผลิตโปแลนด์อีกราย) แต่ก็มีความน่าเชื่อถือสูงถึงขั้นต้องสร้างความขัดข้องขึ้นมาแบบจงใจ

  • มีการตั้งคำถามว่าผู้ผลิตกำลังจับโปแลนด์เป็นตัวประกันด้วยการทำให้โครงสร้างพื้นฐานสำคัญเป็นอัมพาตหรือไม่ นี่เป็นอาชญากรรมที่อุกอาจ และไม่แน่ใจว่าพวกเขาจะรอดพ้นไปได้หรือไม่

  • มีคำถามว่าใครเป็นคนเขียนเงื่อนไขแบบมัลแวร์นี้ และใครบ้างที่รู้เรื่องนี้ รวมถึงสงสัยว่าทำไมจึงไม่มีผู้เปิดโปงภายใน มีหน้าหนึ่งที่รวบรวมความเห็นแบบไม่ระบุตัวตนของพนักงานเกี่ยวกับบริษัท (ซึ่งยังไม่ได้รับการตรวจสอบ)

  • การเปิด Hacker News แล้วมาอ่านเรื่องราวราวกับภาพยนตร์เกี่ยวกับรถไฟที่เคยนั่งบ่อย ๆ แสดงให้เห็นว่าโลกนี้เล็กเพียงใด อาจไม่มีการรีวิวโค้ดเลย หรือผู้รีวิวก็อาจยอมรับสิ่งนี้ด้วยเหตุผลบางอย่าง

  • น่าสนใจว่าสถานการณ์นี้จะส่งผลต่อสัญญาระหว่าง Newag กับ Akiem ผู้ให้บริการรถไฟของยุโรปอย่างไร โดย Newag ได้ลงนามสัญญามูลค่า 164 ล้านยูโร สำหรับบริการและรถไฟที่จะใช้ในฝรั่งเศส