แฮ็กเกอร์โปแลนด์ซ่อมรถไฟที่ผู้ผลิตทำให้ใช้งานไม่ได้โดยเจตนา ก่อนถูกบริษัทรถไฟข่มขู่ดำเนินคดี

 (404media.co)
7 คะแนน โดย GN⁺ 2023-12-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

สรุปเหตุการณ์แฮ็กรถไฟในโปแลนด์

  • รถไฟของบริษัทรถไฟภูมิภาคทางตะวันตกเฉียงใต้ของโปแลนด์ถูกทำให้ไม่สามารถใช้งานได้โดยผู้ผลิต หลังจากได้รับการซ่อมจากผู้ให้บริการซ่อมบำรุงอิสระ
  • ผู้ผลิตขู่ว่าจะฟ้องร้องกลุ่มแฮ็กเกอร์สาย white hat ที่แฮ็กระบบรถไฟ
  • เกิดข้อถกเถียงในวงการโครงสร้างพื้นฐานและอุตสาหกรรมซ่อมบำรุงของโปแลนด์ โดยผู้ผลิตอ้างประเด็นด้านความปลอดภัยของรถไฟ แต่ไม่สามารถพิสูจน์ได้

กลไกป้องกันการประกอบชิ้นส่วนร่วมกัน

  • NEWAG ผู้ผลิตรถไฟได้ฝังโค้ดที่ทำให้รถไฟไม่สามารถทำงานได้ หากตรวจพบว่า GPS tracker ระบุว่ารถไฟจอดอยู่ที่ผู้ให้บริการซ่อมบำรุงอิสระเป็นระยะเวลาหนึ่ง หรือหากตรวจพบว่ามีการเปลี่ยนชิ้นส่วนบางอย่างโดยไม่มี serial number ที่ผู้ผลิตอนุมัติ
  • กลไก "ป้องกันการประกอบชิ้นส่วนร่วมกัน" ลักษณะนี้ถูกใช้เพื่อป้องกันไม่ให้เกษตรกรซ่อมรถแทรกเตอร์ John Deere โดยไม่ได้รับการอนุมัติจากบริษัท และถูกใช้โดย Apple เพื่อขัดขวางการซ่อม iPhone แบบอิสระ

การซ่อมรถไฟโดยกลุ่มแฮ็กเกอร์

  • Lower Silesian Railway ผู้ให้บริการรถไฟในโปแลนด์ทำการบำรุงรักษาตามปกติผ่านผู้ให้บริการซ่อมอิสระ SPS ก่อนจะพบปัญหาว่ารถไฟไม่สามารถทำงานได้
  • SPS จึงขอความช่วยเหลือจากกลุ่มแฮ็กเกอร์สาย white hat ชื่อ Dragon Sector
  • Dragon Sector ค้นพบระบบ "ตรวจจับอู่ซ่อม" ที่ฝังอยู่ในซอฟต์แวร์รถไฟ และแก้ปัญหาได้ด้วยการค้นหา "รหัสปลดล็อก" ที่สามารถป้อนผ่านแผงควบคุมของคนขับรถไฟ

ปฏิกิริยาของผู้ผลิต

  • NEWAG อ้างว่าไม่ได้ติดตั้งโซลูชันที่จงใจก่อให้เกิดความผิดพลาดในซอฟต์แวร์รถไฟ และขู่ว่าจะฟ้องร้องแฮ็กเกอร์
  • NEWAG วิจารณ์การกระทำของแฮ็กเกอร์โดยอ้างว่าเป็นภัยต่อความปลอดภัยของการเดินรถไฟ และเป็นการละเมิดบทบัญญัติทางกฎหมาย

กฎหมายลิขสิทธิ์ยุโรป

  • มาตรา 6 ของ Copyright and Information Society Directive ปี 2001 ของยุโรปเข้มงวดต่อการเลี่ยง DRM มากกว่ามาตรา 1201 ของ DMCA ในสหรัฐฯ และไม่ได้ระบุข้อยกเว้นเพื่อการซ่อมไว้อย่างชัดเจน
  • สิ่งนี้อาจสร้างความเสี่ยงทางกฎหมายเพิ่มเติมให้กับนักวิจัยอย่าง Dragon Sector

ความเห็นของ GN⁺

  • กรณีนี้เป็นอีกตัวอย่างของปัญหาระดับโลกที่ผู้ผลิตบังคับให้ต้องซ่อมแบบผูกขาดและขัดขวางการซ่อมโดยอิสระ
  • การที่แฮ็กเกอร์สาย white hat ช่วยข้ามกำแพงทางเทคนิคเพื่อให้สามารถซ่อมได้ ถือเป็นชัยชนะสำคัญของสิทธิผู้บริโภคและอุตสาหกรรมซ่อมอิสระ
  • เหตุการณ์นี้อาจกลายเป็นกรณีสำคัญที่ส่งผลต่อการถกเถียงด้านกฎหมายและนโยบายเกี่ยวกับสิทธิในการซ่อม พร้อมจุดชนวนข้อถกเถียงเรื่องขอบเขตของมาตรการคุ้มครองทางเทคนิคและความเป็นเจ้าของ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-12-14
ความคิดเห็นจาก Hacker News

  • เคยเขียนถึงกรณีดองเกิลที่แฮ็กเกอร์ชาวโปแลนด์พัฒนาขึ้นในช่วงพีคของการระบาดใหญ่ ซึ่งผู้เชี่ยวชาญซ่อมในสหรัฐฯ จำเป็นต้องใช้เพื่อข้าม DRM สำหรับการใช้งานเครื่องช่วยหายใจเพื่อช่วยชีวิตผู้ป่วย COVID-19

    • นี่เป็นการกระทำที่ชั่วร้ายมาก แม้จะไม่ได้มีอารมณ์ร่วมกับประเด็นสิทธิในการซ่อมเหมือนคนอื่น ๆ แต่การที่ DRM ทำให้อุปกรณ์ที่จำเป็นต่อการอยู่รอดใช้งานได้ยากขึ้นนั้นหมายถึงความเสื่อมทราม บริษัทแบบนี้ควรละอายใจ
    • ผู้ที่สนับสนุนสิทธิในการซ่อมควรยกกรณีแบบนี้ขึ้นมาชี้ให้เห็น นี่แหละคือเหตุผลหลักที่ทำให้คนอื่นอยากสนับสนุนด้วย

  • คิดว่า Newag ไม่น่าจะมีทางจัดการกับแฮ็กเกอร์ได้ เพราะแฮ็กเกอร์ไม่ได้เจาะเครือข่าย/ระบบ IT ของบุคคลที่สาม แต่แฮ็กเข้าไปที่รถไฟซึ่งเป็นทรัพย์สินของบริษัทรถไฟ

  • ลิงก์ที่เกี่ยวข้อง:

    • กระทู้คุยข่าวต้นฉบับเมื่อสัปดาห์ก่อน: ลิงก์อภิปรายใน Hacker News
    • ความเคลื่อนไหวต่อมาจากบริษัท: "ผู้ผลิตรถไฟโปแลนด์ปฏิเสธข้อกล่าวหาว่าทำซอฟต์แวร์รถไฟของคู่แข่งพัง" ลิงก์ติดตามใน Hacker News
    • ข้อมูลเพิ่มเติมเกี่ยวกับคุณภาพงานที่ล่าช้าของ 404

  • Gynvael Coldwind (เป็นสมาชิกของ Dragon Sector แต่ไม่ใช่สมาชิกทีมที่แฮ็กรถไฟดังกล่าว) เขียนบทความอธิบายว่าตรรกะการป้องกันตัวของบริษัทมีข้อบกพร่อง

    • กล่าวถึงหลัก ๆ เรื่อง reverse engineering, กระบวนการคอมไพล์, และเลย์เอาต์ในไบนารีสุดท้าย เช่นส่วน .text, .data, offset เป็นต้น
    • ให้ลิงก์เกี่ยวกับ code cave และ hooking
    • ท้ายที่สุด บทความยังพูดถึงสถานะทางกฎหมายของการแฮ็กแบบนี้ใน EU ว่ายังไม่ชัดเจน
    • ชี้ว่าหวังให้ผู้ซื้ออุปกรณ์อุตสาหกรรมรายใหญ่ผลักผู้ขายที่ชอบ DRM ออกจากตลาดได้ แต่ความจริงไม่เป็นเช่นนั้น

  • พอใจกับการที่ DRM ใช้ได้สองทาง ผู้ผลิตมีสิทธิจะล็อกผลิตภัณฑ์ของตน แต่ต้องเปิดเผย และเจ้าของก็ต้องมีอิสระในการดัดแปลงสิ่งที่ตนเป็นเจ้าของ พวกเขาเป็นเจ้าของรถไฟ

  • บทเรียนจากเรื่องนี้คือ ผู้ผลิตที่หลอกลวงผู้ใช้เพื่อหาเงินเพิ่มนั้นไม่ใช่ปัญหาแบบ "เล็กเกินกว่าจะลุกขึ้นสู้" แต่เป็นความโลภที่ไร้ขีดจำกัด

  • ให้ลิงก์ตรงไปยังบทความของ Dragon Sector ที่มีคำตอบต่อแถลงการณ์ของ Newag:

    • ลิงก์บทความตอบโต้ Newag ของแฮ็กเกอร์
    • รอบนี้ดูเหมือนจะมีรายละเอียดมากขึ้น เช่นมีการเปรียบเทียบแบบ 'ก่อน/หลัง' ของความแตกต่างในเฟิร์มแวร์ฝั่งบริการของ Newag และมีการเปลี่ยนแปลงที่น่าสนใจอยู่ตรงนั้น
    • ถ้าเรื่องนี้เป็นจริง ก็ชี้ว่าภายใน Newag อาจมี "แฮ็กเกอร์ที่ไม่ได้รับอนุญาต" อยู่

  • ไม่ชอบที่บทความใช้ DRM เป็นคำอธิบาย เพราะเรื่องนี้ไม่เกี่ยวอะไรกับ DRM หรือการป้องกันการแก้ไขซอฟต์แวร์เลย

    • มันคือส่วนหนึ่งของซอฟต์แวร์ที่ผู้ผลิตแอบใส่ไว้เพื่อทำให้ร้านซ่อมบุคคลที่สามดูไร้ความสามารถ
    • DRM ทำให้มันดูเหมือนเป็นการป้องกันการแก้ไขที่มีเอกสารอธิบายอย่างเป็นทางการ ตัวบทความเองดี แต่การใช้คำว่า DRM ในชื่อเรื่องและเนื้อหาบทความนั้นผิด

  • เรื่องนี้ชัดเจนว่าจะยิ่งทำให้ข้อกล่าวหาต่อ NEWAG เองได้รับความสนใจมากขึ้น และจะย้อนกลับมาทำร้ายตัวบริษัท

    • ผู้บริหารและผู้รับผิดชอบของ NEWAG ควรถูกดำเนินคดีอาญาในข้อหาหมิ่นประมาทเพิ่มเติมจากการสมคบคิดฉ้อโกง
    • เห็นได้ชัดว่า NEWAG จงใจโกหกเกี่ยวกับการกระทำผิดของร้านซ่อมบุคคลที่สาม และใช้เรื่องนี้เพื่อชักจูงหรือบังคับให้ลูกค้าเข้ารับบริการกับศูนย์ซ่อมของตนเอง