Kereta Polandia Terkunci Saat Diservis di Bengkel Pihak Ketiga

 (social.hackerspace.pl)
1 poin oleh GN⁺ 2023-12-06 | 1 komentar | Bagikan ke WhatsApp

Ringkasan: hackerspace.pl dan publikasi riset

  • hackerspace.pl adalah bagian dari jejaring sosial terdistribusi berbasis Mastodon.
  • Ini adalah server untuk anggota hackerspace Warsawa, yang dikelola oleh q3k@q3k.
  • Statistik server: 22 pengguna aktif.

Ringkasan isi riset

  • Para peneliti menganalisis kode PLC pada NEWAG Impuls EMU melalui reverse engineering.
  • Kereta-kereta ini berhenti beroperasi karena alasan sewenang-wenang setelah diservis di bengkel pihak ketiga.
  • Pabrikan mengklaim masalah tersebut disebabkan oleh penanganan yang tidak tepat di bengkel, dan menegaskan bahwa servis harus dilakukan oleh mereka sendiri.

Masalah yang ditemukan

  • Kode PLC mencakup logika untuk mengunci kereta setelah tanggal tertentu atau jika tidak dioperasikan selama jangka waktu tertentu.
  • Beberapa versi kontroler berisi koordinat GPS yang membatasi perilaku hanya di bengkel pihak ketiga.
  • Kereta dapat dibuka kuncinya dengan menekan kombinasi tombol tertentu pada panel kontrol kabin, tetapi hal ini tidak didokumentasikan.

Pembaruan perangkat lunak dan masalah tambahan

  • Pada versi perangkat lunak PLC yang lebih baru, fitur buka kunci dengan tombol telah dihapus, tetapi logika penguncian tetap ada.
  • Setelah pembaruan tertentu dari NEWAG, HMI mendeteksi sebagian kondisi yang seharusnya memicu penguncian dan menampilkan pesan menakutkan tentang pelanggaran hak cipta saat kereta masih beroperasi.
  • Kereta dilengkapi perangkat telemetri GSM yang tampaknya menyiarkan kondisi penguncian dan, dalam beberapa kasus, dapat mengunci kereta dari jarak jauh.

Diskusi publik dan reaksi

  • Para peneliti mengadakan diskusi tertutup tentang hal ini di OhMyHack.
  • Kisah ini menyebar melalui sumber berbahasa Polandia, dan akan dibahas secara rinci di 37C3 beserta pengungkapan temuannya.
  • Orang-orang menunjukkan beragam reaksi terhadap masalah ini, dan sebagian menilai tindakan tersebut bisa bersifat anti-persaingan dan melanggar hukum.

Opini GN⁺

Hal terpenting dalam tulisan ini adalah bahwa para peneliti menemukan masalah bawaan dalam kode PLC NEWAG Impuls EMU dan berencana membahasnya secara terbuka. Ini menjadi contoh menarik tentang interaksi antara perangkat lunak dan perangkat keras, serta bagaimana teknologi dapat digunakan untuk membatasi hak pengguna dan persaingan. Riset seperti ini dapat memicu diskusi penting tentang penggunaan teknologi yang etis dan perlindungan konsumen, yang merupakan topik yang sangat penting bagi semua pemangku kepentingan.

Bacaan terkait

1 komentar

 
GN⁺ 2023-12-06
Komentar Hacker News

  • Pemeliharaan untuk kereta yang digunakan oleh perusahaan kereta regional di Polandia dibagi menjadi lima tahap, dari P1 hingga P5, dan sejak beberapa tahun lalu, berkat pembukaan pasar oleh Badan Perkeretaapian Uni Eropa, perusahaan-perusahaan kecil juga mulai memenangkan tender pemeliharaan P3 ke atas.

  • Empat kereta yang diservis oleh SPS Mieczkowski tidak berfungsi, sehingga perusahaan itu membayar denda 500 ribu euro dan kereta-kereta tersebut dikembalikan ke Newag. Pada saat yang sama, kereta milik perusahaan lain juga menjadi tidak bergerak setelah lama berada di satu lokasi tanpa menerima servis. Karena itu, SPS Mieczkowski mempekerjakan Dragon Sector untuk menyelidiki, dan mereka menemukan beberapa rutin terpisah yang menyebabkan kereta berhenti beroperasi.

  • Insiden ini sedang diselidiki oleh Biro Antikorupsi Pusat Polandia, tetapi tampaknya tidak akan terlalu memukul Newag. Kantor Transportasi Rel Polandia selama ini mengganggu perusahaan kereta dengan keluhan dan perintah atas kesalahan jadwal kecil, tetapi tidak ikut campur dalam kasus ini.

  • Polandia terbagi menjadi 16 provinsi, dan setelah reformasi pada awal 2000-an, hampir setiap provinsi memiliki perusahaan kereta regionalnya sendiri. Setelah muncul berbagai cacat pada kereta Newag, perusahaan servis mempekerjakan para peretas, dan butuh waktu untuk mengidentifikasi masalahnya lewat rekayasa balik.

  • Kasus ini mengingatkan pada AARD "crash" yang dulu digunakan Microsoft untuk menyingkirkan DR-DOS dari persaingan. Kode AARD adalah kode yang dimasukkan ke dalam versi beta Windows 3.1 untuk memeriksa apakah Windows berjalan di produk pesaing seperti DR-DOS alih-alih MS-DOS atau PC DOS, dan dalam kasus itu menampilkan pesan galat terenkripsi.

  • Harga saham Newag turun cukup tajam setelah postingan ini. Menarik untuk bertanya apakah ini koreksi harga pertama yang dipicu oleh Mastodon.

  • Ada kereta yang menolak beroperasi pada 21 November 2022 meskipun sedang tidak menjalani servis. Komputer melaporkan kesalahan kompresor, tetapi teknisi menilai tidak ada masalah apa pun pada kompresor. Hasil analisis kode komputer menunjukkan ada kondisi yang membuat sistem melaporkan kesalahan kompresor saat tanggal tertentu tiba.

  • Ada pendapat bahwa kereta Newag memiliki kualitas lebih tinggi daripada Pesa (produsen Polandia lain), tetapi juga begitu andal sampai-sampai perlu dibuat cacat buatan.

  • Muncul pertanyaan apakah para produsen telah menyandera Polandia dengan melumpuhkan infrastruktur penting. Ini adalah kejahatan yang berani, dan tidak ada kepastian apakah mereka bisa lolos.

  • Ada pertanyaan tentang siapa yang menulis klausul malware tersebut dan siapa saja yang mengetahuinya, serta mengapa tidak ada whistleblower. Ada sebuah halaman berisi pendapat anonim (yang belum diverifikasi) dari para karyawan tentang perusahaan itu.

  • Membuka Hacker News lalu membaca kisah seperti film tentang kereta yang sering dinaiki sendiri menunjukkan betapa kecilnya dunia ini. Mungkin tidak ada code review, atau para reviewer menerimanya karena alasan tertentu.

  • Menarik melihat dampak situasi ini terhadap kontrak antara Newag dan Akiem, perusahaan layanan kereta Eropa. Newag menandatangani kontrak senilai 164 juta euro untuk layanan dan kereta bagi Prancis.