Pages

Monday, January 22, 2024

the ethical hacking

Source: Wikimedia Commons/Hugh Llewelyn


El passat mes de desembre vaig llegir un article publicat per Ars Technica (1) que parlava d’un grup de hackers ètics (2): Dragon Sector (3), un equip polonès aficionat als concursos Capture the flag (4) que, el juny del 2022, va ser contactat per Serwis Pojazdów Szynowych (SPS) (5), una important empresa que es dedica al manteniment i la reparació de material ferroviari.

SPS volia descobrir quin era el motiu que provocava les avaries misterioses que immobilitzaven els trens fabricats per un constructor polonès de material ferroviari: Newag (6) tot just entraven als seus tallers. Aquests trens eren propietat de la companyia Koleje Dolnośląskie (KD) (7).

L'equip de Dragon Sector va passar dos mesos analitzant el programari dels trens i va descobrir que la causa es trobava en una interferència informàtica del fabricant, que provocava avaries forçades que impedien que els trens es posessin en marxa. L'equip de hackers ètics va concloure doncs que la inutilització dels trens era una acció deliberada de Newag.

Segons Dragon Sector, Newag havia introduït un codi en els sistemes de control dels trens per impedir que aquests funcionessin si un rastrejador GPS indicava que el tren havia estat aparcat durant diversos dies en un taller de reparació independent. El codi també inutilitzava el tren si certs components havien estat substituïts sense un número de sèrie aprovat pel fabricant.

La situació era molt delicada car, la falta de trens havia esdevingut un problema seriós per KD. El fet que les seves unitats estiguessin bloquejades als tallers de SPS significava que hi havia menys unitats disponibles, el que es traduïa per trens més curts i una capacitat de passatgers reduïda.


Un article publicat uns dies abans a les pàgines de International Railway Journal (8), explicava que aquestes revelacions van fer que la situació per Newag comencés a ser molt complicada. El preu de les accions de la companyia va baixar fins a un 17% a mesura que es van publicar les al·legacions el 5 de desembre, recuperant-se per experimentar una caiguda del 6% al tancament de les cotitzacions d'aquell dia.

Newag va començar per negar rotundament les conclusions de l'equip de Dragon Sector. Mentrestant, SPS no va poder resoldre els problemes que tenien bloquejats els trens i va haver de fer front a sancions contractuals que finalment van pujar a l'equivalent de 500.000 dòlars. Finalment, KD va arribar a la conclusió que SPS no tenia l'experiència necessària per reparar els seus trens i els va tornar a Newag que, després de rebre una tarifa addicional, va resoldre ràpidament el problema.

El moment per a començar amb una dura estratègia de contraatac havia arribat, i Newag va començar dient que la companyia ja havia descobert l'any 2022 interferències amb els seus sistemes de control i programari dels trens per part de tercers (la competència, sense donar més dades). I que aquesta informació es va fer pública quan la van notificar a les autoritats pertinents en aquell moment. Newag va afegir que els trens, que es van lliurar el 2017, es van subministrar amb una garantia de tres anys i que molts actors diferents hi haurien pogut tenir accés durant el seu temps de servei (altre cop la competència, sense donar més dades). Finalment, va concloure dient que la protecció física dels trens era responsabilitat de l'operador (o sigui, KD).

Newag també va dir, no sé si en coneixement de causa, que cap pirata informàtic era capaç d'identificar exactament l'autor del registre digital d'un eventual programa que immobilitzés els trens. Del que hom podia deduir que la insinuació dels periodistes en el sentit que algú de Newag havia escrit alguna cosa al programari constituïa una calúmnia. Afegint que el programari del sistema de control funcionava offline, sense connexió a Internet, la qual cosa feia que qualsevol interferència remota per part de Newag fos impossible.

I si fins ara SPS i KD ja havien rebut el que es mereixien, també li va arribar el torn als hackers:
Prendrem accions legals si l'empresa continua sent calumniada sobre la base de les revelacions fetes per part dels pirates informàtics que actuen en nom dels nostres competidors. També presentarem les demandes pertinents contra els caps dels directors dels pirates informàtics, és a dir, l'empresa SPS.
Ja saps que a mi no m'agrada ficar-me en política. Però tota aquesta història al voltant de Newag m'ha fet pensar en tot l'armament sofisticat -principalment avions de combat i míssils de defensa i atac- que molts països compren a grans potències per assegurar la seva defensa. En fi, parlo de material militar, per no parlar del que ja fa anys que s'està fent amb els cotxes (9). Ho dic, més que res, per si algú creu que el post d'avui només parla de quelcom relacionat únicament amb els trens de Polònia. 


  1. Ashley Belanger: Trains were designed to break down after third-party repairs, hackers find, Ars Technica, 13.12.2023
  2. Wikipedia: Hacker ethic [en] [fr] [es] [ca]
  3. Dragon sector: Home page
  4. Wikipedia: Capture the flag
  5. Serwis Pojazdów Szynowych: Home page
  6. Newag S.A.: Home page
  7. Wikipedia: Koleje Dolnośląskie
  8. Newag comes out fighting in claims over foul play, International Railway Journal, 07.12.2023
  9. María González: La perversa tecnología que bloquea tu coche cuando dejas de pagar las letras, Xataka, 26.09.2014

No comments:

Post a Comment

You are welcome to leave a comment on any subject that raises your interest.