1 pontos por GN⁺ 2024-12-28 | 1 comentários | Compartilhar no WhatsApp
  • Quando três hackers que revelaram no 37C3 o comportamento de desativação dos trens da Newag se viram envolvidos em ações criminais e cíveis, o Chaos Computer Club iniciou uma arrecadação para custear a defesa jurídica
  • Os trens em questão entravam sozinhos em hibernação após permanecerem por muito tempo dentro das geocoordenadas de oficinas de concorrentes ou de clientes, ou em condições que pareciam indicar um reparo não registrado
  • Trens desativados só podiam ser ‘resgatados’ com a chamada de um técnico da Newag, e os hackers confirmaram esse comportamento sem substituir peças que exigem autenticação
  • Após o processo movido pela Newag, o 38C3 apresentou até aqui o andamento jurídico, que já custou cerca de 30 mil euros, além dos desdobramentos posteriores
  • Em 8 de janeiro de 2025, a CCC havia recebido 31.088,89 euros em 529 transferências, e o valor excedente será usado para os fins estatutários da CCC e.V.

Revelação do DRM dos trens da Newag e disputa judicial

  • O Chaos Computer Club (CCC) está apoiando três hackers que revelaram no 37C3 a manipulação dos trens da fabricante polonesa de veículos ferroviários Newag
  • O assunto foi tratado na apresentação da 37C3, que a CCC considera uma das mais populares do evento
  • Os trens entravam em hibernação sob determinadas condições
    • quando ficavam estacionados por tempo demais dentro das geocoordenadas de oficinas de concorrentes ou de clientes
    • quando eram colocados em condições que pareciam indicar um reparo não registrado
  • Trens desativados dessa forma só podiam ser ‘resgatados’ com a chamada de um técnico da Newag
  • Os hackers identificaram esse comportamento sem realizar a substituição potencialmente ilegal de peças do trem que exigem autenticação

Arrecadação da CCC e apresentação de acompanhamento no 38C3

  • A Newag processou os hackers nas esferas criminal e cível após a divulgação
  • A CCC entende que a ação tem o objetivo de impedir esta divulgação e futuras divulgações relacionadas a essas ‘illegal instructions’
  • Os hackers apresentaram o andamento jurídico no 38C3, e os custos até agora estão na faixa de 30.000 euros
  • A CCC pediu que as transferências fossem feitas para a conta bancária geral da Chaos Computer Club e.V., com a referência Lokomotive
    • conta: DE41 2001 0020 0599 0902 01
    • BIC: PBNKDEFFXXX
  • Doações acima dos 30.000 euros necessários, saldos remanescentes caso os custos jurídicos reais sejam menores e custas judiciais reembolsadas serão usados para os fins estatutários da Chaos Computer Club e.V.
  • Também foi informado que a CCC e.V. não é oficialmente reconhecida como organização sem fins lucrativos
  • A apresentação de acompanhamento acontecerá na sexta-feira, 27 de dezembro de 2024, no 38C3 em Hamburgo, poderá ser vista a partir das 23h no live stream e depois será publicada em media.ccc.de
  • Na atualização de 8 de janeiro de 2025, já haviam sido recebidos 31.088,89 euros em um total de 529 transferências bancárias

1 comentários

 
GN⁺ 2024-12-28
Opiniões no Hacker News
  • Doei 133,7€ e, se surgirem custos jurídicos adicionais, ficarei feliz em contribuir de novo
    Espero que outras pessoas também doem com generosidade e compartilhem aqui nesta thread
    O que a Newag está fazendo aqui é realmente repulsivo: quer cobrar 20.000€ por trem para “reativar” trens que passaram por manutenção em oficinas terceirizadas
    Não podemos deixar que isso vire precedente
    Recomendo muito ver também a apresentação anterior: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...

    • Segundo a programação, a equipe começaria uma apresentação chamada We've not been trained for this: life after the Newag DRM disclosure às 23:00 no horário local, o que na época era dali a cerca de 30 minutos
      A transmissão ao vivo era aqui: https://streaming.media.ccc.de/38c3/eins/hls
      A apresentação terminou e foi excelente
      Programação: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
    • Talvez o precedente não seja um problema tão grande quanto muita gente pensa
      A maior parte da Europa não tem um sistema judicial centrado em jurisprudência; a lei em si importa mais do que decisões anteriores em casos semelhantes
    • Precisamos lutar para que o direito ao reparo seja garantido por lei para todos os produtos
      Se você comprou um produto, deveria poder acessar e consertar todo o software
    • Não sei como doar pelo site
      Fiquei curioso para saber onde você fez a doação
  • Parece que os fabricantes de trens estão seguindo as táticas de muitas empresas hoje em dia
    A prática de fabricantes desativarem remotamente produtos após a compra, por qualquer motivo, está se espalhando como uma praga por várias categorias de produtos
    Depois de receber o dinheiro e entregar o produto, o fabricante não deveria ter o direito de interferir na forma como ele é usado
    Isso realmente precisa parar, e os reguladores no mundo inteiro estão dormindo no ponto quanto a esse problema

    • “Nós”, esse grupo completamente homogêneo de profissionais de software, poderíamos impedir isso, mas não estamos impedindo
    • O direito autoral é a raiz do problema
      Acrescentar mais regulação pode até ser uma solução, mas fico em dúvida se é mesmo esse o caminho que queremos
    • O poço sem fundo de ganância aberto na indústria de software pelo modelo de assinatura também está atraindo fabricantes de hardware
      Na prática, você não compra mais as coisas; você as aluga
      Se o “mercado” aceitar esse tipo de bobagem, os reguladores não farão nada
    • Isso não é coisa só de hoje
      Meu primeiro PC também tinha um lacre de garantia anulada se aberto
  • A Newag também mirou a deputada Paulina Matysiak, presidente da equipe parlamentar de combate à exclusão no transporte, e pediu a suspensão de sua imunidade parlamentar
    Desde que isso veio à tona no ano passado, ela vinha investigando o caso
    https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...

  • Lembro da história em que “hackers” descobriram que a empresa ferroviária havia desativado trens que tinham passado por manutenção em uma oficina concorrente
    É triste que eles tenham sido processados
    Espero que consigam juntar dinheiro suficiente para exigir da Newag uma fase de produção de provas dolorosa e profunda

    • É uma pena que a empresa não tenha sido acusada de sabotagem e talvez até de traição
      Atacar trens, mesmo que tenham sido fabricados por eles, é atacar infraestrutura crítica nacional
  • Não sei o que aconteceu com aquela antiga regra moral de “se sua mãe ficasse chocada quando você explicasse o que faz, então há algo errado”
    O que a Newag está fazendo viola essa regra de forma muito clara

    • Essa regra, no fundo, é sobre “isso causaria constrangimento político?”
      Mas hoje grandes operadores monopolistas simplesmente ignoram esse efeito
      A imprensa está sem recursos e corrompida, e os políticos também estão corrompidos em sentido amplo
    • Como seguir essa regra não é lucrativo, parece que a diretriz principal de maximizar o dinheiro prevalece
      Seja por meios legais ou semilegais
    • Raramente alguém conta a verdade para a família, e sempre há uma forma de distorcer um pouco as coisas para convencer a si mesmo
  • Houve uma discussão anterior quando isso foi descoberto pela primeira vez, e me surpreendeu que não tenha sido mais discutido: https://news.ycombinator.com/item?id=38893116

  • Seria bom se alguém resumisse para quem não conhece todo o contexto
    Fico me perguntando por que os governos que compraram esses trens cavalo de Troia não estão acabando com o fornecedor dos trens e condecorando os hackers que expuseram isso

    • Porque os governos são muito capitalistas e acreditam que grandes empresas podem fazer o que quiserem
  • Este é um movimento praticamente universal
    Se os fabricantes ainda não estão fazendo isso, é bem provável que estejam planejando
    À medida que várias partes do mundo se desenvolvem, surgem everywhere fabricantes oferecendo máquinas mais baratas, e o fosso competitivo dos fabricantes tradicionais está desaparecendo
    Fabricantes de bens duráveis estão se agarrando ao próximo modelo de negócio: serviços por assinatura de manutenção e suporte
    O serviço de frotas conectadas da Ford está ganhando tração e pode ser muito lucrativo no segmento de veículos comerciais
    Grande parte dessa tendência vem do enfraquecimento do pool de mão de obra por falta de pessoal, de treinamento e de experiência
    Este caso dos trens claramente beira o crime, mas não está tão distante da onda de “progresso” que está acontecendo agora

  • Infelizmente, acho que esta descoberta servirá de lição para outras empresas
    Ou seja, elas vão tornar mais difícil descobrir seus métodos com plausível negabilidade e escondê-los sob o pretexto de “segurança”
    As Big Techs já vêm jogando esse jogo há algum tempo
    https://news.ycombinator.com/item?id=36926276
    https://news.ycombinator.com/item?id=24955071

  • A Newag está agindo como a máfia aqui
    É algo do tipo: “Seria uma pena se o trem parasse, não é..?”
    Não quero dizer à Polônia o que fazer, mas um desfecho satisfatório seria descobrir exatamente quem mandou programar os trens da Newag dessa forma e mandar essa pessoa para a prisão
    A cada trem encontrado com esse software instalado, a pena deveria aumentar, e a Newag deveria ser obrigada a fazer manutenção gratuita desses trens
    Se a Polônia quiser adotar uma postura dura sobre como lida com pessoas que exploram o público para ganhar dinheiro, isso seria o melhor caminho
    Se quiserem dizer que, mesmo com provas esmagadoras, explorar o público polonês ainda compensa, então, bem, que façam isso

    • A NewAg está claramente agindo com intenção maliciosa, sabotagem e extorsão em mente
      Quando se trata de trens e ferrovias, isso não é apenas uma questão de negócios, mas uma questão estratégica de segurança nacional
      É uma situação do tipo: “Seria uma pena se um trem carregado com alimentos perecíveis parasse em operação e a colheita apodrecesse”
      Não sei em que país a segurança alimentar não afeta a capacidade do governo de manter a ordem
      Se um terceiro que não fosse a empresa de manutenção tivesse feito isso, seria razoavelmente considerado uma organização terrorista, e os membros desse grupo deveriam ser tratados como tal
      Mesmo que aleguem que isso se limita a uma funcionalidade pequena e específica com a qual seria preciso concordar, eles inseriram na cadeia de suprimentos uma vulnerabilidade que não é essencial ao funcionamento normal e a projetaram como se fosse indispensável
      No mínimo, mesmo que não a executem diretamente, isso abre caminho para que grupos desse tipo atuem livremente