Polen: Hacker finden versteckten Killswitch im Zug

  • Die Unregelmässigkeit wurde von der ICCT und WVU durch Messung des Stickoxidausstosses

    während einer Strassenfahrt festgestellt. Danach haben die US Behörden mal bei VW nachgehakt

    was dann dazuführte dass VW den Betrug zugab. Die EPA hat dann ein Verfahren eingeleitet.


    Der Reverseengeneering haben dann Hacker durchgeführt.

    Hier gibts einen netten Vortag zu den Tricksereien:

    Dieselvortrag 32C3

    In god (an invention by mankind) we trust - on earth we don't


    Sincerly yours, NSA
    powered by US government

  • NEWAG weist die Vorwürfe von sich, droht den Hackern mit Gerichtsprozessen und verlangt, dass die Fahrzeuge nun nicht mehr eingesetzt werden, weil sie nun ja gehackt und ergo nicht mehr sicher seien, behauptet 404media:

    In einem Statement an Rynek Kolejowy [ein polnisches Infrastrukturmagazin] sagte NEWAG „Unsere Software ist sauber. Wir haben keine Software in unsere Züge eingebaut, die zu beabsichtigten Ausfällen der Züge führen, wir tun das nicht aktuell und werden es nicht tun. Das ist eine Verleumdung durch unsere Konkurrenz, die eine illegale schwarze PR-Kampange gegen uns führt.“ […] „Das Hacken von IT-Systemen ist ein Bruch vieler gesetzlicher Regelungen und eine Gefahr für die Sicherheit der Eisenbahn,“ fügte NEWAG hinzu.

    [Dragon Sector, die Hackergruppe, findet das eher nicht und SPS, Betreiber der Züge, sieht das auch so.]

    “NEWAG hat gesagt, dass sie uns verklagen wollen, aber wir bezweifeln das – ihr Standpunkt ist wirklich schwach und sie hätten keine Chance, diesen zu verteidigen, sie wollen wohl nur in den Medien stark aussehen.“

    Der Artikel geht ein wenig auf die rechtliche Situation in Europa ein – er ist für ein amerikanisches Publikum geschrieben – und weist darauf hin, dass EU-Recht recht strikt darin ist, solche Reparaturen zuzulassen. Das aktuell diskutierte Recht auf Reparatur wird angesprochen, zusammen mit dem Hinweis, dass die Argumentation von NEWAG die gleiche ist, die man überall aus der Industrie hört. Und, dass solch ein Fall mit großer Öffentlichkeitswirkung in der Debatte um DRM (Digital Rights Management) und Reparaturfähigkeit von Geräten der Verbraucherseite helfen könnte – insbesondere deswegen, weil es hier um eine Art Reparatur/Wartung geht, die schon immer unabhängig vom Hersteller möglich war; setzte sich das Verhalten von NEWAG durch, würde es eine ganze Industrie sehr stark verändern.

  • Wer einen solchen Zusammenhang mit Software und nicht mehr funktionierenden Geräten gerne kindgerecht erklären oder möglicherweise auch einfach nur selbst verstehen will, dem sei kurz ein sehr cooles Märchen „über Software, Skateboards und Himbeereis“ empfohlen: Ada und Zangemann von Matthias Kirschner. Das muss ich aktuell etwa einmal die Woche vorlesen und bei dieser Gelegenheit wurde mir vor ein paar Minuten klar, wie gut es auf diese Situation passt.

  • Ich hatte die Tage zuvor nicht nachvollziehen können, warum ein Wartungsvertrag strikt an die Wartung des Herstellers gebunden sein soll.

    Ich dachte Wartungsverträge sind eher im Vorteil des Fahrzeugeigentümers, weil so eher eine Betriebsgarantie zu überschaubaren Kosten besteht.


    Was anderes sind Handyverträge, bei denen die Nutzer ein über den Kaufvertrag subventioniertes Handy erhalten, welches einen SIM-Lock haben, damit das Handy Vertragsgebunden bleibt.

    Vollkommen Großartiges Forum

  • Schwierig als Außenstehender zu erfassen, was nun die Wahrheit ist. Eventuell ist es auch nur ein Missverständnis.


    Da heutzutage fast jeder Pieps digitalisiert ist, sollte an die Zugsoftware nur das dafür ausgebildete Personal gehen können. Um das sicherzustellen wurden vielleicht genau deswegen die Koordinaten der Werkstätten eingegeben, welche im Sinne der Sicherheit die Erlaubnis zum Zugriff haben. Eventuell hat eine andere Werkstatt es einfach zu ehrgeizig genommen, die Wartung durchzuführen und das System hat aus Sicherheitsgründen abgeschaltet. Erinnert so ein wenig an den Hinweis: Beim eigenmächtigen Öffnen des Gerätes erlischt die Garantie. Bitte nur in der Fachwerkstatt reparieren lassen.

    Vollkommen Großartiges Forum

  • Natürlich ist das alles "im Sinne der Sicherheit". Der dabei versehentlich anfallende Profit wird vom Hersteller als Opfer im Sinne der Sicherheit tapfer in Kauf genommen.


    Im Übrigen halte ich die Software für am wenigsten sicherheitskritisch. Daran sollte bei einer Wartung niemand irgendetwas tun müssen!

  • Da heutzutage fast jeder Pieps digitalisiert ist, sollte an die Zugsoftware nur das dafür ausgebildete Personal gehen können. Um das sicherzustellen wurden vielleicht genau deswegen die Koordinaten der Werkstätten eingegeben, welche im Sinne der Sicherheit die Erlaubnis zum Zugriff haben. Eventuell hat eine andere Werkstatt es einfach zu ehrgeizig genommen, die Wartung durchzuführen und das System hat aus Sicherheitsgründen abgeschaltet. Erinnert so ein wenig an den Hinweis: Beim eigenmächtigen Öffnen des Gerätes erlischt die Garantie. Bitte nur in der Fachwerkstatt reparieren lassen.

    Nun ist aber jede Fachwerkstatt eine Fachwerkstatt mit Fachpersonal und eben kein eigenmächtig handelnder Endnutzer... dein Elektriker-Betrieb repariert dir auch jede Waschmaschine, und nicht nur wenn sie von Miele ist (im Zweifel muss er natürlich Teile beim Hersteller ordern).


    Und du kennst in deinem Bekanntenkreis sicher genug Leute, die ihre Reifen selbst wechseln (oder zu einer freien Werkstatt gehen), ohne dass das Auto danach nicht mehr fährt.


    Im Übrigen halte ich die Software für am wenigsten sicherheitskritisch. Daran sollte bei einer Wartung niemand irgendetwas tun müssen!

    Es wurde ja nichts an der Software vorgenommen, sondern allgemeine Wartung, und die Software hat's verhindert.

    Einmal editiert, zuletzt von MdE ()

  • (englisch)

    Es gibt auch eine deutsche Übersetzung.


    Kurze Zusammenfassung, die auch einige vorher hier diskutierte Fragen beantwortet:

    • Der Hersteller Newag hat während der Garantiezeit die Züge gewartet. Zu seinen Pflichten laut Ausschreibung gehörte es, vollständige Wartungsdokumentation zu liefern.
    • Nach Ablauf der Garantie wurde die Wartung ausgeschrieben. Ein Konkurrent von Newag hat die Ausschreibung gewonnen.
    • Nach 1 Million Kilometern war bei den Zügen eine große Wartung fällig.
    • Dieser Konkurrent hat die Züge gemäß Dokumentation gewartet, aber die Züge starteten nicht mehr. Sie haben mehrere Züge "kaputtgewartet". Eine andere Werkstatt hatte zeitleich ähnliche Probleme. Daraufhin hatte die Werkstatt "polnische Hacker" gegoogelt und Kontakt mit den Sicherheitsforschern aufgenommen.
    • Diese haben zunächst einmal festgestellt, dass während des Hochfahrens der Lok eine Art Not-Aus-Nachricht im System verschickt wird, aber nicht in den Displays/Lampen angezeigt wird. Ihnen fiel auf, dass nach der Wartung der Kilometerzähler nicht mehr ca 1 Mio km, sondern 0 anzeigte. Sie haben Code gefunden, der den Kilometerzähler auf Null vergleicht und dann das Not-Aus auslöst. Ein manuelles Setzen des Kilometerstandes auf "1" hat diesen Mechanismus ausser Kraft gesetzt. In einigen Softwareversionen kann dieses Setzen des Kilometerstandes durch einen nicht dokumentierten Tastengriff beim Einschalten des Zuges ausgelöst werden.
    • Sie haben bei rund 30 Zügen mehr als 20 verschiedene Softwareversionen gefunden. Wie das zu "Änderungen an der Software bedürfen einer Rezertifizierung der Züge" passt, konnten oder wollten sie nicht kommentieren.
    • In einigen Softwareversionen fanden sich neben der Kilometerzählerprüfung weitere Checks. "Länger als 10 Tage nicht schneller als 60km/h gefahren" führte ebenso zum Not-Aus-Signal. Auch gab es in einigen Versionen GPS-Checks, die diese Prüfung mit den Koordinaten der Werkstätten der Konkurrenz verbunden haben, sowie eine Ausnahme für die Werkstatt von Newag.
    • Ferner gab es (schlecht programmierte) Datums-Checks, die das Starten der Züge nach dem Ende der Garantiezeit verhinderten. Da diese fehlerhaft waren, betreffen sie nur den Zeitraum 21.-30. November und 21.-31. Dezember jeden Jahres. Da die Hackergruppe die Software nur analysiert, aber nicht geändert hat, gab es daher am 21. Dezember weitere Zugausfälle.
    • Alle Checks werden nur beim Hochfahren der Systeme durchgeführt. Ein fahrender Zug wird nicht durch die Checks gestoppt.
    • Es gibt kartellrechtliche und staatsanwaltschaftliche Untersuchungen. Die Hacker erwarten auch, dass es eine parlamentarische Untersuchung geben wird.

    In der Summe der gezeigten Checks zeigt sich für mich deutlich die Absicht, Konkurenten zu behindern. Eine legitimen Grund für die eingebauten Not-Aus-Maßnahmen kann ich nicht erkennen. Auch liefert Newag keinen solchen Grund, sondern leugnet die Existenz dieser Checks, wirft den Hackern Urheberrechtsverstöße vor, oder mutmaßt, dass ein unbekannter Dritter die Züge manipuliert habe. Klage gegen die Hacker hat Newag bisher nicht erhoben.

  • Ihnen fiel auf, dass nach der Wartung der Kilometerzähler nicht mehr ca 1 Mio km, sondern 0 anzeigte. Sie haben Code gefunden, der den Kilometerzähler auf Null vergleicht und dann das Not-Aus auslöst. Ein manuelles Setzen des Kilometerstandes auf "1" hat diesen Mechanismus ausser Kraft gesetzt.


    Das verstehe ich anders. Zeitstempel 21:19 (im CCC-Video, kA ob das bei youtube gleich ist): „Erstmal tut der Mechanismus was mit Werten um die ein Million [das ist wohl der Kilometerzähler], und wenn mit denen etwas nicht stimmt, werden bestimmte Bits im NVRAM geändert“. Das sind aber nicht die Werte des Kilometerzählers selbst. Dann haben sie diese Bits geändert und … [zeigt ein Video von einem anfahrenden Zug].

  • In dem NVRAM sind Daten hinterlegt....u.a. der Kilometerzähler, aber auch Flags.

    In den Zügen die nach der Wartung nicht liefen waren Flags auf 0 die bei Zügen die

    liefen auf 1 waren. Probeweise wurden diese Flags auf 1 gesetzt und schon lief der

    Zug. Die Rückverfolgung wann und wieso diese Bits auf 0 gesetzt werden wurde dann

    durch Codeanalyse erfolgte dann.

    In god (an invention by mankind) we trust - on earth we don't


    Sincerly yours, NSA
    powered by US government