Peretas Polandia Memperbaiki Kereta yang Sengaja Dimatikan Pabrikan, Kini Diancam Perusahaan Kereta

 (404media.co)
7 poin oleh GN⁺ 2023-12-14 | 1 komentar | Bagikan ke WhatsApp

Ringkasan insiden peretasan kereta di Polandia

  • Kereta milik perusahaan perkeretaapian di wilayah barat daya Polandia dibuat tidak dapat beroperasi oleh pabrikan setelah diperbaiki oleh bengkel perawatan independen.
  • Pabrikan mengancam akan menuntut para white hat hacker yang meretas kereta tersebut.
  • Kasus ini memicu kontroversi di industri infrastruktur dan perbaikan Polandia, sementara pabrikan mengklaim ada masalah keselamatan pada kereta namun tidak dapat membuktikannya.

Mekanisme pencegahan pemasangan komponen

  • Pabrikan kereta NEWAG menanamkan kode yang membuat kereta tidak bisa dijalankan jika pelacak GPS mendeteksi kereta berada di bengkel independen selama jangka waktu tertentu, atau jika terdeteksi ada komponen tertentu yang diganti tanpa nomor seri yang disetujui pabrikan.
  • Mekanisme 'pencegahan pemasangan komponen' seperti ini juga digunakan untuk mencegah petani memperbaiki traktor John Deere tanpa persetujuan perusahaan, dan oleh Apple untuk menghambat perbaikan independen iPhone.

Para peretas memperbaiki kereta

  • Operator kereta Polandia Lower Silesian Railway menjalankan perawatan rutin melalui bengkel independen SPS, lalu menghadapi masalah ketika kereta tidak bisa beroperasi.
  • SPS kemudian meminta bantuan kelompok white hat hacker bernama Dragon Sector.
  • Dragon Sector menemukan sistem 'deteksi bengkel' yang tertanam di perangkat lunak kereta, lalu memecahkan masalah dengan menemukan 'kode buka kunci' yang dapat dimasukkan melalui panel masinis.

Respons pabrikan

  • NEWAG menyatakan mereka tidak pernah menerapkan solusi yang sengaja memicu malfungsi pada perangkat lunak kereta, dan mengancam akan menggugat para peretas.
  • NEWAG mengecam tindakan para peretas dengan alasan ancaman terhadap keselamatan lalu lintas kereta api dan pelanggaran terhadap ketentuan hukum.

Hukum hak cipta Eropa

  • Pasal 6 dari Copyright Directive dan Information Society Directive 2001 di Eropa lebih ketat terhadap pengelakan DRM dibanding Section 1201 DMCA di AS, dan tidak secara spesifik mencantumkan pengecualian untuk perbaikan.
  • Hal ini dapat menimbulkan risiko hukum tambahan bagi peneliti seperti Dragon Sector.

Opini GN⁺

  • Kasus ini adalah salah satu contoh masalah global ketika pabrikan memaksakan monopoli perbaikan dan menghalangi perbaikan independen.
  • Fakta bahwa para white hat hacker berhasil menembus hambatan teknis demi memungkinkan perbaikan merupakan kemenangan penting bagi hak konsumen dan industri perbaikan independen.
  • Kasus ini dapat menjadi preseden penting yang memengaruhi perdebatan hukum dan kebijakan soal right to repair, serta memicu perdebatan tentang batas langkah perlindungan teknis dan kepemilikan.

Bacaan terkait

1 komentar

 
GN⁺ 2023-12-14
Komentar Hacker News

  • Pada puncak pandemi, pernah ada artikel tentang dongle yang dikembangkan peretas Polandia dan dibutuhkan oleh para ahli perbaikan di AS untuk melewati DRM agar ventilator bisa digunakan menyelamatkan pasien COVID-19.

    • Ini tindakan yang sangat keji. Saya tidak seemosional orang lain soal hak untuk memperbaiki, tetapi ketika DRM mempersulit pengoperasian perangkat yang penting untuk kelangsungan hidup, itu berarti ada kebusukan. Perusahaan-perusahaan seperti ini seharusnya merasa malu.
    • Orang-orang yang mendukung hak untuk memperbaiki harus menunjukkan contoh-contoh seperti ini. Inilah alasan utama yang membuat orang lain juga ingin mendukungnya.

  • Saya rasa Newag tidak punya peluang melawan para peretas itu. Mereka tidak meretas jaringan/sistem TI pihak ketiga, melainkan meretas kereta yang dimiliki perusahaan kereta api.

  • Tautan terkait:

  • Gynvael Coldwind (anggota Dragon Sector, tetapi bukan anggota tim yang meretas kereta tersebut) menulis sebuah artikel bahwa logika pembelaan perusahaan itu cacat.

    • Terutama membahas reverse engineering, proses kompilasi, dan tata letak dalam biner akhir - bagian .text, .data, offset, dan sebagainya.
    • Menyediakan tautan ke code cave dan hooking
    • Pada akhirnya, artikel itu membahas bahwa status hukum peretasan semacam ini di Uni Eropa masih tidak jelas.
    • Menunjukkan harapan bahwa pembeli peralatan industri besar dapat menyingkirkan pemasok yang menyukai DRM dari pasar, tetapi kenyataannya tidak demikian.

  • Saya senang bahwa DRM bekerja dua arah. Produsen bebas mengunci produknya, tetapi hal itu harus terbuka, dan pemilik harus bebas mengutak-atik apa yang mereka miliki. Mereka memiliki kereta itu.

  • Pelajaran dari kisah ini adalah bahwa praktik produsen menipu pengguna demi menghasilkan lebih banyak uang bukanlah masalah yang "terlalu kecil untuk dilawan", melainkan keserakahan yang tak terbatas.

  • Dragon Sector memberikan tautan langsung ke artikel yang mencakup tanggapan terhadap pernyataan Newag:

    • tautan artikel tanggapan para peretas terhadap Newag
    • Kali ini tampaknya ada lebih banyak detail. Misalnya, mereka memiliki perbandingan 'sebelum/sesudah' terkait perbedaan layanan Newag dalam firmware, dan ada perubahan menarik di sana.
    • Jika ini benar, hal itu mengisyaratkan bahwa para "peretas tidak sah" mungkin berada di dalam Newag sendiri.

  • Saya tidak suka artikel ini memakai DRM sebagai penjelasan. Ini sama sekali tidak ada hubungannya dengan DRM atau anti-tamper perangkat lunak.

    • Ini adalah bagian perangkat lunak yang diam-diam disisipkan produsen untuk membuat bengkel perbaikan pihak ketiga terlihat tidak kompeten.
    • DRM membuatnya terdengar seperti anti-tamper yang terdokumentasi secara resmi. Artikelnya sendiri bagus, tetapi penggunaan DRM di judul dan isi artikel itu keliru.

  • Ini jelas akan semakin meningkatkan perhatian terhadap tuduhan terhadap NEWAG dan akan berbalik merugikan mereka.

    • Manajemen dan pihak yang bertanggung jawab di NEWAG harus dituntut secara pidana atas pencemaran nama baik selain konspirasi penipuan.
    • Sudah jelas bahwa NEWAG sengaja berbohong tentang dugaan pelanggaran oleh bengkel pihak ketiga, dan memanfaatkannya untuk mendorong atau memaksa pelanggan agar menggunakan layanan di bengkel mereka sendiri.