Kereta yang Dirancang untuk Rusak Setelah Perbaikan Pihak Ketiga, Ditemukan oleh Peretas
(arstechnica.com)- Di Polandia, kereta buatan Newag menjadi tidak dapat beroperasi setelah perawatan pihak ketiga, mengganggu layanan kereta dan kapasitas penumpang
- Kelompok ethical hacking Dragon Sector mengklaim bahwa sistem kendali kereta Impuls memiliki kode pengunci yang bergantung pada lokasi bengkel dan nomor seri komponen
- Newag membantah adanya fitur yang sengaja memicu kerusakan, dan mengancam gugatan terhadap Dragon Sector atas pencemaran nama baik serta pelanggaran undang-undang peretasan
- Dragon Sector menyelesaikan masalah dengan unlock code yang tidak terdokumentasi dan dimasukkan dari panel kabin masinis, serta membantah tuduhan bahwa mereka bersama SPS memanipulasi sistem kendali
- Konflik antara produsen dan penyedia perawatan independen meluas menjadi perdebatan hak untuk memperbaiki, dengan isu batas antara klaim keselamatan, tekanan hukum, dan penguncian perangkat lunak
Perbaikan pihak ketiga yang mengguncang operasional kereta Polandia
- Di Polandia, terjadi masalah ketika kereta buatan Newag tidak berfungsi setelah dirawat oleh perusahaan selain produsennya
- Penyedia perawatan Serwis Pojazdów Szynowych(SPS) meminta kelompok ethical hacking Dragon Sector menganalisis perangkat lunak kereta pada Juni 2022
- Targetnya adalah rangkaian milik operator kereta Polandia Lower Silesian Railway, dan “kerusakan misterius” pada beberapa rangkaian mengurangi jumlah gerbong yang bisa dioperasikan
- Menurut Rynek Kolejowy, kekurangan kereta menjadi “masalah serius” bagi operator transportasi dan penumpang
- Karena jumlah rangkaian yang tersedia berkurang, kereta menjadi lebih pendek dan kapasitas penumpang juga menurun
Kondisi penguncian yang ditunjuk Dragon Sector
- Setelah menganalisis perangkat lunak selama dua bulan, Dragon Sector menyimpulkan bahwa “campur tangan produsen” menyebabkan kerusakan paksa dan kereta gagal menyala
- Klaim utamanya adalah bahwa Newag memasukkan kode ke sistem kendali kereta Impuls yang mencegah operasi dalam kondisi tertentu
- Mereka mengklaim ada kondisi yang membuat kereta berhenti berfungsi jika pelacak GPS menilai kereta diparkir selama beberapa hari di bengkel independen
- Lokasi bengkel perawatan SPS dan bengkel perawatan perusahaan serupa di industri tersebut disebut termasuk dalam kondisi lokasi
- Aula SPS yang saat itu masih dalam pembangunan juga disebut masuk dalam kondisi tersebut
- Menurut 404 Media, ada pula klaim bahwa kereta menjadi bricked ketika komponen tertentu diganti tanpa nomor seri yang disetujui produsen
Unlock code yang tidak terdokumentasi
- Dragon Sector mengatakan kepada 404 Media bahwa mereka menemukan unlock code yang tidak terdokumentasi dan dapat dimasukkan dari panel kabin masinis, lalu menyelesaikan masalah dengan kode tersebut
- Sergiusz Bazański dari Dragon Sector menulis di Mastodon bahwa kereta-kereta itu terkunci karena alasan sewenang-wenang setelah dirawat di bengkel pihak ketiga
- Bazański mengatakan bahwa produsen menyalahkan masalah tersebut pada kelalaian bengkel, dan mengklaim bahwa perawatan harus dilakukan oleh produsen, bukan pihak ketiga
- Dalam beberapa kasus, muncul pula klaim bahwa Newag tampaknya dapat mengunci kereta dari jarak jauh
- Newag membantahnya dengan mengatakan bahwa “campur tangan jarak jauh apa pun” “secara praktis tidak mungkin”
Bantahan Newag dan ancaman tindakan hukum
- Newag membantah klaim bahwa mereka mengembangkan perangkat lunak “workshop-detection” atau fitur yang menyebabkan kerusakan secara sengaja
- Perusahaan mengancam gugatan, dengan menyatakan bahwa Dragon Sector melakukan pencemaran nama baik dan melanggar hukum terkait peretasan
- Newag juga menyatakan bahwa kereta yang diretas dapat menjadi ancaman bagi keselamatan lalu lintas kereta api sehingga harus dikeluarkan dari operasi
- 404 Media melaporkan bahwa klaim keselamatan Newag belum terbukti
- Newag mengatakan laporan Dragon Sector tidak dapat dipercaya, dengan alasan bahwa salah satu pesaing utama Newag menugaskan analisis tersebut
- Presiden Newag Zbigniew Konieczek mengatakan bahwa tidak ada bukti yang diberikan bahwa perusahaan secara sengaja memasang perangkat lunak cacat
- Ia juga mengemukakan kemungkinan bahwa pesaing telah melakukan intervensi pada perangkat lunak
- Konieczek mengkritik Janusz Cieszyński karena menyebarkan informasi palsu dan sangat merugikan tentang Newag
Meluas menjadi penyelidikan otoritas dan perdebatan hak untuk memperbaiki
- Newag mengatakan telah menghubungi otoritas untuk menyelidiki peretasan dan memberi tahu Kantor Transportasi Kereta Api agar memutuskan apakah rangkaian tersebut harus dikeluarkan dari operasi
- Mantan Menteri Digital Polandia Janusz Cieszyński menulis di X bahwa presiden Newag menghubunginya dan mengklaim bahwa perusahaan adalah korban kejahatan siber
- Cieszyński menulis bahwa analisis yang ia lihat mengarah ke arah yang berbeda dari klaim Newag
- Dragon Sector dan SPS membantah klaim bahwa mereka memanipulasi sistem kendali kereta
- 404 Media menilai respons Newag mirip dengan pola yang umum di ranah hak untuk memperbaiki
- Yaitu cara produsen menekan penyedia perawatan pesaing dengan ancaman gugatan dan klaim risiko keselamatan perbaikan pihak ketiga yang belum terbukti
- Dragon Sector mengunggah kisah keberhasilannya ke YouTube dan membahas hasilnya di konferensi Oh My H@ck di Warsawa
- Menurut The Register, Dragon Sector merencanakan presentasi yang lebih rinci di 37th Chaos Communication Congress yang digelar pada akhir Desember di Hamburg, Jerman
- Michał Kowalczyk dari Dragon Sector mengatakan kepada 404 Media bahwa logika pembelaan Newag lemah sehingga akan sulit dipertahankan dalam gugatan sungguhan, dan tampaknya mereka ingin terlihat mengancam di media
1 komentar
Opini Hacker News
Diskusi sebelumnya tentang berita yang sama:
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38632033
Polish Hackers that repaired DRM trains threatened by train company - https://news.ycombinator.com/item?id=38628635 - Des 2023 (137 komentar)
Polish train maker denies claims its software bricked competitor rolling stock - https://news.ycombinator.com/item?id=38570654 - Des 2023 (2 komentar)
Dieselgate, but for trains – some heavyweight hardware hacking - https://news.ycombinator.com/item?id=38567687 - Des 2023 (292 komentar)
Polish trains lock up when serviced in third-party workshops - https://news.ycombinator.com/item?id=38530885 - Des 2023 (359 komentar)
Hal yang benar-benar mengganggu dari kasus ini bukan hanya bahwa kereta dirancang agar rusak, tetapi juga bahwa desainnya begitu buruk sehingga bisa rusak saat sedang beroperasi
Jika produsennya memang membahayakan nyawa penumpang, semua eksekutif perusahaan itu harus dimintai tanggung jawab pribadi
https://news.ycombinator.com/item?id=38641289
Jika sudut pandang ini diselidiki lebih dalam, menurut saya ini berubah dari sekadar sengketa bisnis menjadi persoalan yang jauh lebih serius
episode John Oliver tentang kereta menjelaskan hal ini dengan sangat baik
Setelah itu para pekerja kehilangan hari libur, jumlah awak per kereta dikurangi menjadi 2 orang, dan sekarang bahkan ingin ditekan jadi 1 orang
Panjang kereta benar-benar bertambah hingga beberapa mil, menghalangi jalan dan ambulans hingga menyebabkan banyak kematian, dan ada juga anak-anak yang tertabrak saat merangkak di bawah kereta untuk pergi ke sekolah
Masinis harus berjalan menyusuri kereta sepanjang 4 mil untuk “memeriksa”-nya, tetapi karena deregulasi, waktu inspeksi yang tadinya mencakup seluruh checklist kini dipangkas menjadi hitungan menit saja
Kewenangan badan regulator tunggal melemah, dan kereta dengan rem model awal 1900-an masih tetap beroperasi
“Kecelakaan” yang disertai tumpahan bahan kimia terjadi beberapa kali setiap tahun, dan semuanya demi mengejar keuntungan
Para pekerja ini terus dipaksa kerja berlebihan, tetapi cuti sakit bahkan tidak bisa dipakai kecuali dijadwalkan 2~3 bulan sebelumnya
Kini kecelakaan kereta nyaris tak terhindarkan, dan kecelakaan berikutnya bisa lebih dahsyat daripada Palestine, Ohio
Kereta sebenarnya luar biasa dan bisa memberi kontribusi sangat besar bagi masyarakat, jadi menyedihkan melihat pengejaran laba korporasi dan deregulasi membuatnya jadi seperti ini
Cerita ini dirangkum lebih baik di tulisan ini:
https://badcyber.com/dieselgate-but-for-trains-some-heavywei...
Ada kesombongan tak tahu malu dari manajemen Newag, yang kalau diringkas kurang lebih begini: “kalian tidak bisa membuktikan bahwa kamilah yang memasang software di kereta kami yang menghambat pesaing”
Saya melihat tautannya di HN karena tertarik pada topiknya, tetapi saat melihat “Dieselgate” saya langsung mengira ini soal emisi dan melewatinya
Soalnya isu emisi kereta sudah diketahui semua orang dan saya kira tidak akan ada hal baru
Judulnya seharusnya memuat vendor lock-in atau hak untuk memperbaiki
Menurut Dragon Sector, Newag memasukkan kode ke sistem kendali kereta Impuls yang membuat kereta berhenti beroperasi jika pelacak GPS menunjukkan kereta diparkir beberapa hari di bengkel independen
Ini indikasi yang cukup fatal
Jadi penasaran apakah ini ulah pengembang tunggal, atau memang perintah dari atas
Alasan ini begitu tidak masuk akal sampai justru terasa jelas bahwa manajemen mengetahuinya
Tentu saja pengembang tunggal bisa saja mencetuskan ide itu lalu mengusulkannya ke manajemen sambil berharap bonus besar
Tapi kenapa harus dilakukan diam-diam?
Sulit membayangkan ini terjadi tanpa keterlibatan manajemen puncak
Sikap mereka sekarang terlihat seperti, “Tidak ada kode seperti itu di kereta, dan kalaupun ada, itu bukan milik kami”
Saya tidak melihat aturan keselamatan membebaskan produsen dari tanggung jawab atas tindakan karyawan
Justru sebaliknya, meski ada karyawan yang menyimpang, produsen tetap harus menjamin keselamatan lewat review, audit, dan sebagainya
Semoga pengembang yang dipaksa mengimplementasikan itu menyimpan bukti dokumenter tentang siapa yang menyuruhnya
Kalau tidak, dia akan tahu bagaimana loyalitas dihargai zaman sekarang
Dia tahu itu tidak etis, jadi seharusnya menolak
Bagi programmer, risiko dipecat hampir tidak sebesar masalah itu bagi banyak profesi lain
Jika orang yang mengimplementasikan ini sedang membaca, Anda adalah orang yang sangat buruk dan merugikan masyarakat
Perusahaan juga seharusnya terkena denda kontraktual dan sanksi besar-besaran
Saya tidak berharap banyak, tapi akan bagus kalau itu terjadi
Akankah pernah tiba masanya menjual produk yang berisi sabotase lalu didakwa atas penipuan dan dipenjara?
Newag bilang “segala bentuk intervensi jarak jauh pada praktiknya mustahil”, dan itu pernyataan yang cukup berani
Dari pengalaman saya, hampir semua perusahaan yang membuat sistem otomasi atau robotik mempertahankan semacam backdoor dalam satu bentuk atau lainnya
Bukan untuk menonaktifkan dari jauh, melainkan agar saat diminta mereka bisa mengakses dari jauh dan menyelesaikan masalah dengan cepat dan efisien
Tidak masuk akal harus terbang ke lokasi pelanggan, kadang sampai ke belahan bumi lain, hanya untuk memeriksa ketidakcocokan IP lokal atau gangguan layanan sistem, jadi mengatakan itu “mustahil” jelas tidak benar
Singkatnya, perusahaan perawatan kereta Polandia SPS mulai curiga karena kereta buatan Newag terus “rusak secara acak” dan tidak bisa diperbaiki
Karena kontraknya mewajibkan mereka membayar denda bila perbaikan terlambat, mereka sudah membayar denda jutaan kepada pemerintah Polandia
Maka mereka diam-diam menyewa para hacker Dragon Sector selama 2 bulan untuk membedah kode kereta Newag, dan para hacker itu menemukan hal-hal mengejutkan yang layak disebut kapitalisme tahap akhir, proteksionisme korporat, sabotase, atau pemerasan
Kode rahasia yang ditemukan membuat kereta rusak jika masuk ke dalam poligon geografis di sekitar gudang lima perusahaan perawatan kereta di Polandia, termasuk SPS, rusak setelah 1 juta km, rusak jika tidak bergerak selama 10 hari, dan juga berisi kombinasi tombol rahasia untuk membatalkan status “rusak”
Saya suka reverse engineering firmware, dan ini terdengar seperti holy grail
Ini kereta, loh; semoga ada yang membocorkan binarinya
Semua orang tahu trik seperti itu harus disembunyikan di balik panggilan web service agar buktinya tidak langsung ditemukan di sisi klien
Ini posting duplikat
Memangnya sekarang tidak ada yang membaca situs ini?
Diskusi berita aslinya sudah ada sedikit lebih dari seminggu lalu: https://news.ycombinator.com/item?id=38530885
Ada juga tulisan bantahan lanjutan dari perusahaan
Polish train maker denies claims its software bricked competitor rolling stock https://news.ycombinator.com/item?id=38570654
Bahkan kemarin juga ada duplikat 404media yang mendapat banyak upvote
https://news.ycombinator.com/item?id=38628635
Tidak boleh login tiap beberapa hari, baca beberapa hal, kasih upvote pada yang disukai, lalu datang lagi beberapa hari kemudian?
Saya datang ke sini untuk melihat komentarnya
Kalau isinya cukup penting untuk diketahui, saya menganggap pasti akan langsung dikutip di komentar
Saya tadinya membayangkan malware seperti, “Kalau pintu ini diketuk tiga kali Anda bisa masuk, kalau tidak pintunya terkunci selamanya”
Ternyata aslinya adalah, “Kalau kereta diparkir secara geografis di koordinat lintang/bujur milik pesaing, buat keretanya jadi brick”
Ada banyak cara memasukkan backdoor atau easter egg lucu ke dalam kode, tapi mereka memilih cara penyalahgunaan yang benar-benar merepotkan dan terang-terangan
Memang ada kombinasi tombol rahasia di konsol kabin masinis, dan jika ditekan, kereta akan pulih seperti sulap
Sekarang itu sudah dihapus
Cara mereka menyangkal tuduhan tertentu justru seperti sedang memohon penyelidikan tambahan
Saya orang Polandia dan pernah bekerja dengan orang-orang seperti ini di masa lalu; pernyataan itu berbau cara berbisnis yang seharusnya sudah punah sekarang
Tapi tampaknya itu masih ada di sana-sini