Комментарии 91
Теперь и прошивку для поезда на 4пда качать?
Ладно "ломаются" телефоны, но поезд? Где ни будь на переезде случится поломка и ?
Интересно что судом угрожают они а не им.
Вам следует прочитать первую статью об этих поломках. Они были запланированы специально для ремонта по графику после отключения поезда и для предотвращения ремонта в сторонних мастерских. То есть речь не идёт о намеренной поломке во время движения.
Возможность случайного срабатывания никто не отменял. За такой функционал надо дрючить не по детски. Если бы это было законно, все мерседесы и тойоты делали бы так.
А пока что они просто снимают с гарантии ;)
Возможность случайного срабатывания никто не отменял
О, нет, там совершенно точно ничего подобного нет. Если вкратце пересказать оригинальную статью, то произошло вот что:
1) Железная дорога закупила поезда у компании Newag.
2) ЖД отдельно провела тендер на обслуживание этих поездов.
3) Компания-производитель предложила цену на $750к дороже, чем одна из независимых обслуживающих компаний, поэтому тендер они закономерно проиграли.
4) Независимая мастерская проводит обслуживание поезда по инструкции от производителя. Поезд отказывается включаться. Вернее так: он запускается и тут же выключается
5) Обслуживающая компания спрашивает производителя в чем дело, в ответ производитель загадочно отвечает, что "поезда были заблокированы «системой безопасности»", о которой нет не слова в их инструкции.
6) Мастерская чувствует что дело в прошивке и нанимает хакеров, чтобы помочь разобраться.
7) Они находят в бортовом компьютере код уровня if (находится не в депо Newag) { shutdown();} и if (date() == 21.11.2022) { сделать_вид_что_сломался(); }
8) Компания успешно заводит "сломавшиеся" поезда и не вылетает с контракта по обслуживанию. Производитель поездов недоволен, ведь он надеялся получить смачный контракт, а получил в итоге по губам.
del
Пол года назад тут была статья ровно с такими же умниками, только применительно к медицинскому оборудованию.
Оказывается и в этом нас западные партнёры превзошли, даже стыдно говорить про какие-то копейки уровня 200круб в год по сравнению с такими суммами.
Там с датами ещё веселее было
Анализ компьютерного кода обнаружил сбой, который выглядит следующим образом:
если день больше или равен 21-му
если месяц больше или равен 11
если год больше или равен 2021
тогда сообщите о неисправности компрессора. Ситуация была забавная, ведь поезд должен был пройти техосмотр в ноябре 2021 года (за год до аварии), но по стечению обстоятельств условие не сработало. Поезд был обслужен мгновением ранее и снова запущен лишь в январе 2022 года — и эта дата уже не соответствовала вышеописанному сложному логическому условию. Вероятно, именно из‑за отсутствия у разработчика программного обеспечения навыков создания if‑ов пришлось ждать запланированного сбоя до 21 ноября 2022 года.
У данного явления есть замечательное имя - технофеодализм
Надо смотреть, почему производитель недоволен. В авиа отрасли, допустим, такие вещи связанны с 2 критичными аспектами: юридическая и регуляторная ответственность и вытекающая отсюда возможность страхования.
Проще говоря, если ответственность при инциденте падает на производителя, то он, конечно, не будет отвечать за то, что ковырял кто-то другой. Я думаю никому не надо объяснять, что код в который залазили другие уже не ваш код и вы не можете гарантировать работоспособность. С железом ещё хуже, так как современное железо без софта не бывает. И, самое критичное в таких делах для капиталистов - откажут в страховке. А без этого вообще эксплуатация не возможна.
В Европе производитель не будет делать прошивку, чтоб просто отбить конкурентов. В плане борьбы с монополизацией и регуляциями защиты потребителя - там прям фронтир. Штрафы и наказания такие, что компаниям невыгодно бодаться. Это не вам не 60к рублей за утечку персональных данных...
А это, наверное, в суде должно решаться в случае инцидента - стало ли причиной вмешательство в код третьей стороны или же оригинальный код.
А то у нас на работе один разработчик отказывался работать над проектом совместно с кем-то - под тем же предлогом, что с него тогда взятки гладки и он ни за что не будет отвечать.
Если бы это было законно, все мерседесы и тойоты делали бы так
а разве не делают? припоминается история с мерседесом, который пришлось везти издалека на эвакуаторе из-за того, что ПО решило заблокировать машину
В этом и стратегия - запугать всех оппонентов, пока те не опомнились, и не принялись раскручивать дело всерьёз.
Лучшая защита - нападение.
незаконную чёрную пиар-кампанию
а есть законные?
Newag по мне вообще не железнодорожная компания
Newag объясняет, что поезда были заблокированы «системой безопасности», но на 20 000 страницах руководства об этом нет ни единого упоминания.
Тут на лицо умышленное сокрытие информации. А учитывая
В тендере на инспекцию принимал участие и производитель поездов, польская компания Newag, но предложение производителя было на 3 миллиона польских злотых выше
напрашивается мысль "Куда выденетесь"
Ограничивать ремонт в сторонних мастерских программно закладкой в устройстве, которое я купил - а не охренели ли вы? Хотите ограничить - заставляйте мастерские получать лицензии/сертификаты, а при продаже явно укажите, что ремонт только в лицензионном/сертифицированном центре, а если сделаете у васи в гараже - то ссзб, никаких гарантий от производителя. Можете апелировать, мол это не смартфон а целый поезд, но по мне так хоть телефон, хоть автомобиль, хоть самолёт - я купил устройство, я им владею, я отвечаю за его техническое состояние и за последствия возможно некачественного обслуживания, где хочу там и ремонтирую.
Сделайте как у автопроизводителей - предупреждение на панели о запланированном обслуживании, а не отрубайте весь поезд к херам.
Насчет владения. тут давеча тесла запретила Владельцам перепродавать свои автомобили. И не только они таким увлекаются. И раньше такое было. Ограничивать пытаются права владельца постоянно налево и направо. А уже производители программного обеспечения так вообще.
s/запретила/хотела но передумала/
А уже производители программного обеспечения так вообще.
Эти хитрые.Они не программу продают, а лицензию на право использования. Лицензия это такое.. можно и отозвать..
Тесла емнип запретила продавать первой сотне покупателей на два года, по их словам для того, чтобы перекупы не наваривались.
Может, вы ещё трактора Джон Дир хотите сами ремонтировать? Может, вы ещё хотите станки из цеха в цех, а то и с завода на завод переставлять? Может, вы ещё хотите с неправильными политическими режимами торговать?!
"Я купил, это моё" - нет ничего вашего. Всё, вплоть до желания и потребности купить - от большого брата^W дяди.
Может, вы ещё трактора Джон Дир хотите сами ремонтировать?
Покупайте ХТЗ и ремонтируйте.
Может, вы ещё хотите станки из цеха в цех, а то и с завода на завод переставлять?
Покупайте 16К20 и двигайте как вам нравится.
Насколько я понял, тут проблема в том, что производитель поезда в своих инструкциях про блокировку по локации ничего не указал. И в контракте на закупку между ЖД и производителем про ограничения ничего не сказано.
С одной стороны я с вами согласен и поддерживаю, а с другой стороны это все же поезд, который возит людей. Когда происходит крупная авария, то позиция "я отвечаю за его техническое состояние" резко меняется на "я все делал по регламенту, это производитель виноват". Как реально проводилось обслуживание уже не выяснить, проверили ли все дефектоскопом или только отметку в журнале сделали или измерив износ не приписали ли пару миллиметров чтобы сэкономить на замене.
с другой стороны это все же поезд, который возит людей
Этот вопрос с регламентным обслуживанием нужно решать до продажи. А то получается жульничество.
На самолётах тоже людей возят, но их не превращают в тыкву программными закладками через N километров/лет. Да и поезда тоже, по всему миру, кроме Польши.
Я не против сертифицированных сервисов и планового обслуживания, я против вендор лока.
Я, честно говоря, всегда думал что самолеты обслуживают только люди сертифицированные производителем, а не тот кто прочитал инструкцию и предложил на тендере цену меньше. В данном случае это, видимо, именно не сертифицированный сервис.
Я тоже не против сертифицированных сервисов, но если выбор только между жестким вендор локом и не сертифицированным сервисом, что лучше?
Вообще во всей истории не хватает деталей. Что в договоре, кто имеет право обслуживать? Если не написано, что только производитель (и это не противоречит польскому законодательству), то где иск к производителю за простой составов и прочие расходы?
В смысле - где иск? Иск как раз уже есть, в прошлой статье про него говорилось.
Перечитал еще раз прошлую статью, и все равно не увидел про иск. Можно цитату?
Мы говорим про эту статью?
а кто официальному производителю мешает точно так же поставить отметку вместо дефектовки?
Ну как же не выяснить. Экспертиза обломков после аварии.
Ограничивать ремонт в сторонних мастерских программно закладкой в устройстве, которое я купил - а не охренели ли вы?
Ненуачо, apple же можно
Это другое. :-)
А если серьёзно, эппл во первых сертифицирует любые сервисные центры, если они подходят по параметрам, во вторых, это сделано для защиты от воровства, чтобы бессмысленно было его красть для перепродажи целым или на запчасти. У некоторорых других производителей тоже есть аналогичная система.
Если украденный смартфон, можно только вернуть владельцу, то и красть его нет смысла.
А красть, чтобы вернуть за деньги, это хорошие шансы сесть в тюрьму.
Если правильно помню, эппл только недавно начал сертифицировать сторонние сервисы, и то под давлением ЕС.
А какая эпплу выгода бороться с воровством? Наоборот же: украли у фанбоя телефон — он купит новый.
крали у фанбоя телефон — он купит новый
А теперь применим ту же логику к машинам, что с колесами. Получится, я думаю, что-то не так.
Люди боятся кражи (дорогих) устройств. Если рекламировать и демонстрировать, что кража не имеет смысла и поэтому твой бренд редко крадут - вероятность того, что купят именно твои устройства -- повышается.
Это Apple так говорят, а вот почитав NDA которое нужно подписать чтобы просто подать на это заявку, и посмотрев на цены блоков для замены которое эппл мастерским продает (не компонентов, а целых блоков в пол-устройства, по ценам дороже чем весь ремонт стоит в эппловских собственных мастерских), да ещё и что заказать их можно только по серийному номеру поломанного девайса (т.е.никакого ремонта за час пока клиент сидит в кафе напротив - оставляй девайс и иди гуляй недели на две, без телефона), и т.д. и т.п. - начинаешь понимать зачем это делается (спойлер: не для удобства клиентов)
Так что не надо этой эппловской "это другое" пропаганды
Никогда к эпплу отношения не имел, но их система работает. Да, они выжимают из неё все соки, из за чего собственно ЕС на них и возбудился, но сам принцип: "украл- владелец заблокировал устройство, максимум на запчасти и то с оговорками", работает. Т.к. цена куда ниже, а покупателя(сервис), могут принять
Я бы не отказался от того, чтобы даже ворованные запчасти(не только эппл, но любой техники, нельзя было поставить на другой телефон. Чтобы сервисы не могли красть запчасти/элементы. И с самой ворованной электроникой, ничего нельзя было сделать, кроме как банку пива открывать. Тогда её воровство, естественным образом сойдёт почти до нуля(идиоты всё равно никуда не денутся).
тут бы конечно ознакомится со всей историей, особенно документы на покупку поездов возможно и там есть часть ответов по поводу сервиса...
Общественный транспорт -- явно одна из областей, где законодательно должно требоваться open source software по всей цепочке, от самого транспорта, до управления, никаких "закрытых прошивок".
А представьте в заголовке этой новости атомную станцию вместо поездов?
Как вы себе представляете атомную станцию на опенсорс софте?
Мне кажется это наоборот те области где security through obscurity только добавляет к безопасности.
Довольно просто представить - исходный код не публично выкладывать, а предоставлять эксплуатанту при сдаче проекта.
Мне кажется это уже не подходит под определение опенсорса, не правда ли?
С точки зрения религиозных войн не подходит. А с точки зрения эксплуатанта подходит полностью.
Нет никаких точек зрения, у опенсорса одно определение. Опенсорс либо открыт для всех либо он не опенсорс.
Занятно что за мой комментарий о том что опенсорсный подход не годится мне напихали минусов, а ваш о том что следует использовать не опенсорсный подход - заплюсовали.
Видимо я согрешил посмев высказать крамольную мысль о том что священный опенсорс может быть неподходящим решением для чего-либо. Помолюсь иконе Столлмана чтобы искупить свои грехи.
Ну нет, так нет. Только потом не удивляйтесь, что жизнь немного сложнее, чем видится после прочтения определений в вики и ведения дискуссий на этой основе. :)
Жизнь вообще сложная штука. Даже сложнее чем видится после придумывания своего определения общеизвестного феномена и последующего обвинения в "на вики прочитал" любого кто укажет на несоответствие реальности.
И тут вы совершенно правы. С одним нюансом - открытый исходный код программ как явление существовал задолго до того, как появилось общественное движение среди программистов, требующее трактовать это понятие строго определенным образом (придумав, таким образом, "свое определение общеизвестного феномена"). На практике разница примерно такая же, как между словами "бог" и "Бог". Так вот я open source использую в первом смысле, а если вы используете во втором - ну "бог" вам судья. :)
Опенсорс либо открыт для всех либо он не опенсорс.
По вашей логике код под GPL - не опенсорс.
GPL обязывает вас по запросу выдавать исходники ко всему что вы зарелизили под этой лицензией, разве нет?
Только тем, у кого есть копия софта. Если же кто-то приходит к вам и говорит "дайте мне софт и исходники" - имеете полное право отказать.
Вполне подходит. По GPL вы обязаны предоставить исходный код пользователям вашей программы. Вы не обязаны делать его доступным всему миру.
Как вы себе представляете атомную станцию на опенсорс софте?
Не вижу проблемы. Ну опенсорс(в том смысле, что код должен быть опубликован, а не то что его можно всем использовать - забыл точный термин), ну, возможно, даже дыры есть. Но на того, кто все это пишет, навешаны злобные требования (в том числе по публикации методики и протоколов тестирования - чтобы желающие повторить могли) и ответственность. А не "используете на свой страх и риск". Плюс государственная же Bug Bounty на весь этот софт.
Плюс - внешние интерфейсы должны быть отключены, так что злодеям, пытающимся все это сломать, придется еще как-то до систем добираться.
Многие закрытые системы, безопасны только по словам владельцев, а на деле там может со всех щелей течь. Открытый же софт, позволяет его проверить на уязвимости и закладки любому.
позволяет его проверить на уязвимости и закладки любому
Ну это классическая мантра, платиновая прям. Может, да почему-то не проверяется. И функционал в открытое ПО можно добавить по желанию, сорцы ж открыты. Только что-то не добавляется.
Возможность ничего не стоит если ей не пользуются. А в контексте атомки открытые сорцы систем управления ГАРАНТИРОВАННО упростят злоумышленникам жизнь.
И как же? Компьютеры в подобных системах обычно изолированы. Связь, если и есть, то по шифрованным каналам.
А для того чтобы закрывались дыры, которые не видит собственная СБ, проводятся специальные мероприятия с премиями.
устроился злоумышленник на работу, нажал ctrl+alt+end+d и от переполнения буфера в драйвере клавиатуры стала зациклена команда на выгрузку замедлителей. а злоумышленником мог быть и работник, у которого семью в заложниках держат и ему сказали на каком компе что нажать (условно) что бы их не убили. а так ещё потребовалось бы время на изучение софта
Ну это классическая мантра, платиновая прям. Может, да почему-то не проверяется.
Проверяются, и уязвимости закрываются. Да, были факапы вроде heatbleed, но там и спецы нужны, разбирающиеся в криптографии, а не случайный формошлёп.
И функционал в открытое ПО можно добавить по желанию, сорцы ж открыты. Только что-то не добавляется.
Как это не добавляется? Куча всякого функционала допиливается в опен-сорс ежедневно, некоторые даже обратно в апстрим заходят.
А в контексте атомки открытые сорцы систем управления ГАРАНТИРОВАННО упростят злоумышленникам жизнь.
В атомке скорее всего уже есть опен сорс системы. Более того, есть https://en.wikipedia.org/wiki/OPEN100
Да так и представляю. Разве вебсервер какой-нибудь правительственной организации или военного ведомства не сможет работать на опенсорсном nginx на базе linux или там *bsd? Это же вопрос настройки и квалификации админов, а закрытый код от дурака не защитит. При этом опенсорсный код также может проходить аудит и в отличие от проприетарного софта организовать это проще, аудитору не нужно подписывать всякие NDA. Остальное вопрос квалификации персонала, который занимается эксплуатацией, регулярно закрывает найденные дырки и т.д.
Сколько уж спецы по безопасности твердят, что security trough obscurity добавляет только проблемы к безопасности, но традиция попрятать исходники и считать, что это чему то поможет -- очень живучая (
Общественный транспорт -- явно одна из областей, где законодательно должно требоваться open source software по всей цепочке, от самого транспорта, до управления
И транспортные катастрофы сравняются по числу жертв с боевыми действиями
Я думаю Newag самих надо судить за злонамеренную закладку в ПО. Плюс польский аналог антимонопольной службы может заинтересоваться такими нечестными способами конкуренции.
Я бы сменил заголовок на что то вроде - хакеры обнаружили в коде известного польского производителя поездов закладки, которые блокировали работу поезда. И во все международные ресурсы и СМИ разослал ради резонанса. А там дальше держись производитель. Думаю энтузиасты в дальнейшем и не такое обнаружат
Окружная прокуратура города Новы-Сонч не будет расследовать дело о предполагаемых «загадочных авариях» поездов Newag. В понедельник, 11 декабря, дело было передано в прокуратуру Кракова. - Мы передали это дело в связи с его сложным характером, - рассказал нам районный прокурор Михал Трибус.
Newag категорически отрицает, по их мнению, манипулирование информацией Onet и его собеседников, то есть представителей группы хакеров, нанятых конкурирующей компанией — SPS Mieczkowski.
– Наше программное обеспечение чистое. Мы не внедряли, не внедряем и не будем внедрять в программное обеспечение наших поездов какие-либо решения, приводящие к умышленным сбоям. Это клевета со стороны наших конкурентов, которые проводят против нас незаконную кампанию чёрного пиара, - говорит Лукаш Миколайчик, представитель Сондецкего Newag
В заявлении он подчёркивает, что, по их мнению, компания, обслуживающая подвижной состав Нижнесилезских железных дорог, не смогла выполнить заказ на обслуживание своих поездов и во избежание договорных санкций создала для СМИ теорию заговора.
- Мы узнали от Onet, что SPS наняла хакеров, которые должны были составить для неё отчёт, обвиняющий нас. Мы не знакомы с этим документом, не знаем, как он был создан, какова предпринятая методология, на основе которой были сформулированы его необоснованные по отношению к Newag тезисы, - заявил президент Збигнев Конечек.
По словам Лукаша Миколайчика [представителя Newag], в связи с публично предоставленной Onet и его собеседниками информацией о том, что системы управления поездами NEWAG были взломаны - в интересах безопасности пассажиров в уполномоченные органы направлены соответствующие уведомления.
- Взлом ИТ-систем является нарушением многих норм законодательства и угрозой безопасности железнодорожного движения. Мы не знаем, кто вмешивался в программное обеспечение управления поездом, какими методами и с какой квалификацией. Мы также уведомили об этом Управление железнодорожного транспорта, чтобы оно могло принять решение об изъятии из движения комплектов, подвергшихся деятельности неизвестных хакеров, - добавляет Миколайчик.
После этих сообщений в СМИ дело было передано Агентством внутренней безопасности [Newag] в районную прокуратуру города Новы-Сонч. Сейчас дело передано в областную прокуратуру Кракова.
- Это дело было передано в понедельник. Краковская прокуратура решила взять это дело на себя, - заявил районный прокурор Михал Трибус в интервью "Газете Краковской".
Осторожно, польский:
Там у Newag, приступ идиотизма? Они угрожают хакерам, за то что их официально наняли для работы?
Их самих вероятно потащат в суд за такие закладки, лучше бы молчали бы в тряпочку, глядишь бы и прокатило до следующего громкого случая.
Интересно, а сама эта Newag не боится судебного преследования, причем по очень серьёзным статьям, типа терроризма и совершения диверсии ??? По-моему тут это просто напрашивается !
В целом. прочитав комменты выше. пришёл к выводу, что белые хакеры сделали хорошее дело. Они помимо прочего проинспектировали код. Могли найти и ошибки, прямо угрожающие безопасности. Вообще такие системы должны быть открытыми, Без всяких желаний разработчика что-то закрыть. Если в таких системах разработчик-производитель против анализа сторонними специалистами - такое решение должно сразу признаваться негодным к эксплуатации. Будь-то поезда, самолёты, а уж тем более медицинские системы.
Хакеры обошли DRM-системы поезда для починки, но компания угрожает им судом