[新聞] 波蘭鐵路請駭客分析列車故障原因

原文縮網址 https://bit.ly/48GPZ1S 2024/01/02 Maxwell Zeff 原標題：一群列車駭客揭露了一場維修權噩夢 波蘭的駭客被聘來解鎖一列火車。隨後，法律威脅隨之而來。現在，他們正將(第三方) 維修權運動引向波蘭的列車車輛基地。 本月初，波蘭駭客組織Dragon Sector指控波蘭最大的火車製造商之一Newag，在第三方 進行修理時故意使其列車無法啟動。Newag威脅要對Dragon Sector提告，但這事件的曝 光也成為一個案例說明我們應該擁有維修權，並且該公司正面臨波蘭競爭和消費者保護 局（UOKIK）的調查。在週三，波蘭駭客們主動出擊，告訴Newag：“我們會在法庭上見 到你們”，並描述了Dragon Sector如何對一列火車進行逆向工程。 Sergiusz Bazanski, Dragon Sector的成員在一次德國網路安全大會上表示：“我們百 分之百確信我們是對的。我們百分之百確信我們是在公眾利益中行動。應該感到害怕的 是Newag，而不是我們。” Dragon Sector是由機廠聘請的，機廠對多列無法啟動的Newag列車感到困惑。駭客們很 快發現Newag列車的程式碼中存在反競爭行為，並在2022年向波蘭當局舉發。Dragon Sector表示，在兩個案例中，Newag編寫的程式碼將使列車在競爭對手的工廠內故障。 對當局行動見不到太多進展的一年後，駭客決定公開揭露此事。 Dragon Sector只被給予一周的時間來解鎖列車，因為聘請他們的列車營運商有太多列 車故障導致嚴重的服務問題。之後，營運商表示他們將把列車送回給Newag進行更昂貴 的維修（Newag向他們保證他們可以解決這個問題）。 駭客們通過使用一個演算法比較運作中的列車和故障列車的代碼，找到了故障原因。 Dragon Sector發現Newag列車在達到地理圍欄座標時會被觸發鎖定，在原地停留10天， 或在某些情況下，列車每年的12月21日都會被鎖定。如果滿足任何觸發條件，列車電 腦的NVRAM（一種記憶系統）將翻轉某些位址為零，對列車主控制器訊號做出阻隔，使 列車無法移動。Dragon Sector分析了30列Newag列車，其中24列有故障，其中許多有 各種觸發和鎖定機制。 Bazanski在接受Gizmodo的訪問時表示「我們並不打算成為吹哨者」。「我希望事情能 夠有所進展，因為Newag似乎所做的事情‘不太好’，姑且這麼說。」 Dragon Sector將Newag在維修方面的反競爭行為推上了國際檯面。通常，維修權運動 專注於小型電子設備的製造商，如智慧手機和電腦。在傳統的「防堵」中，製造商輸 入使第三方難以進行維修的軟體或硬體，因此消費者被迫付給原廠昂貴的維修費用。 Newag否認在其列車中插入鎖定機制的指控，但幾家波蘭列車營運公司證實了Dragon Sector的指控。 華沙的一家列車營運公司SKM Warszawa告訴Gizmodo，他們記錄了一例符合Dragon Sector描述的Newag列車的鎖定機制案例。上週，另一家波蘭列車營運商Polregio告訴 媒體Onet，他們的Newag列車也有符合Dragon Sector描述的故障而無法啟動。 Newag在12月19日發表了一份否認Dragon Sector指控的文件，但此後已從其網站上刪 除。在該文件中，Newag聲稱機廠和Dragon Sector沒有正確的“授權”來操作其列車 的軟體。然而，Dragon Sector表示，他們依合約受雇於已被授權的機廠，因此他們有 權操作列車軟體。他們從未聽說過Newag所宣稱的授權。 即使真有這些授權，它們的存在與維修權運動存在矛盾。要求營運商和機廠獲得獨立於 列車銷售的授權來維修列車是不尋常的。紐約市旗艦地鐵營運商大都會交通局就採用了 一種更加傳統的制度。MTA告訴Gizmodo，在兩年的保修期後，該市的機廠被允許對地鐵 車輛進行定期維護和維修。 在同一份文件中，Newag聲稱車輛維修是Newag業務的“很小一部分”，約為5%。Newag 向Gizmodo證實了這一數字。在該製造商的財務報表中，車輛維修屬於“維修和現代化 ”類別，該類別在2022年前九個月的總收入中占據了將近20%，而在2023年占了約60%。 “維修和現代化”佔了公司總收入的相當大一部分，但Newag的一位發言人告訴 Gizmodo，這一部分“包含的服務量要比單純維修多上不少”。他們繼續堅持維修佔收 入的約5%。 Dragon Sector評論Newag製造出優秀的列車，但認為如果它們要反競爭，就不應該進 入維修市場。波蘭的另一家最大列車製造商Pesa根本不涉足維修市場。 Bazanski表示：“當這些列車進行維修且無法啟動運行時影響了大眾。下西里西亞地區 的列車系統超負荷運轉，”這是波蘭媒體在2022年報導的內容。“現場的可用列車數量 根本不足。” Dragon Sector希望大眾知道，他們對抗Newag並非出於惡意，而僅僅是想幫助受到影響 的大眾。讓列車能夠迅速且具成本效益地進行維修可能意味著減少乘客的延誤。侵害維 修權往往最後對最終用戶造成最大的傷害。 ========================================================================== 駭客代表的名字Bazanski的n 是上面有一撇的西歐字母，無法貼上， 文章以Chatgpt翻譯並修改了一些對岸用詞及不是很順的地方，雖然美國的媒體用上 un-brick的字眼，但從波蘭別的報導看出， Dragon Sector只是分析出這個缺陷，並沒 有直接解決這問題，因為要解決程式的問題就得真的去動手破解原廠Newag的程式，反 而會坐實Newag對Dragon Sector”駭客危害列車運行安全”的指控。另外，程式還會讓 壓縮機於固定期間罷工，讓集電弓無發升弓。只是如果列車合約有要求RAMS的話，這種 木馬會讓列車的可用度報告很難看。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.244.69.1 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Railway/M.1705638860.A.097.html