1 ポイント 投稿者 GN⁺ 2024-12-30 | 1件のコメント | WhatsAppで共有
  • 独立系整備工場で修理された後に故障する列車を分析していたチームがNewagの列車をリバースエンジニアリングし、整備の試みを検知すると故障をシミュレートするコードを発見、37C3で公開した
  • 今回の38C3での発表は公開後の余波を扱っており、議会ワーキンググループのセッション3回とNewagの釈明、列車運行会社の証言が主な軸となっている
  • 列車運行会社は、Newagが1編成のロック解除に2万ユーロ以上を請求しながら、実際には10分で解除できたと明かしたが、Newagはロック自体を知らないとの立場を示した
  • 発表者らは140ページの訴訟と著作権侵害・不正競争の主張に対応する一方、メディアにリバースエンジニアリングの概念を繰り返し説明する必要があった
  • 公開後、公式調査は6件に増え、そのうち2件は刑事捜査であり、他の列車運行会社の事例も含めて影響は広がり続けている

37C3での公開後に起きたこと

  • 独立系整備工場で整備を受けた後に故障する列車を分析していたチームは、Newagの列車をリバースエンジニアリングし、整備の試みを検知すると故障をシミュレートするコードを発見した
  • その結果は37C3で公開され、今回の38C3での発表は、その後に続いた法的・政治的・メディア対応をアップデートする形式となっている
  • 議会ワーキンググループのセッションは3回開かれ、Newagの本題と関係のないスライドには汚れたトイレの写真が含まれていたと明かした
  • 列車運行会社は、Newagが1編成のロック解除に2万ユーロ以上を受け取り、実際のロック解除は10分以内に可能だったと証言した
    • 同時にNewagは、そのロックについて何も知らないとの立場を示した

訴訟と公式調査

  • Newag関連の訴訟は140ページに及び、発表者らに対して著作権侵害と不正競争を申し立てる内容である
  • 発表者らはメディアに対し、リバースエンジニアリングとは何かを繰り返し説明しなければならなかった
  • 公式調査は合計6件に増え、そのうち2件は刑事捜査である
  • 37C3での発表後、他の列車運行会社からも新たな事例が出てきた
  • 発表資料と録画はCreative Commons BY 4.0ライセンスで公開されている

1件のコメント

 
GN⁺ 2024-12-30
Hacker News のコメント
  • 以前の議論: https://news.ycombinator.com/item?id=42524568
    法的対応に寄付したい場合は、CCC 法律基金が開設されています: https://www.ccc.de/en/updates/2024/das-ist-vollig-entgleist

  • 発表に登場した企業 Newag は、今も大型の政府契約を獲得している: https://en.railmarket.com/news/rolling-stock/25459-newag-s-g...

    • 正当な手続きなしに公共入札への参加を禁じることはできない
      入札では通常、落札者の選定において価格が最も重要な要素になりがち
    • お金がいろいろな方向に流れているようで、後味が悪い
  • 彼らを支持し保証もするが、「もっと早く公開すべきだった」というのはほとんどたわごとだ
    ポーランドで政治的変化が確実になった1年前にはすでに公開していたし、政権交代前に公開していたら悲劇的なことになっていたかもしれない
    その会社と所有構造は以前の政治権力と強く結びついており、以前の権力が政権を維持していたなら公開しなかっただろうと思う
    発表で示された作業は、以前の権力がまだ強かった時期に進められており、最終的に公開したのは良いことだが、ものすごく多くの計算があったはずだ
    公開するには可能な限り最適なタイミングを見極める必要があり、これは純粋な英雄主義というより、正しいことを正しいタイミングで行ったというのに近い

    • 本当にそうだろうか? その列車は中央政府ではなく Dolnośląska 地方政府の所有だと理解しているし、州政府の交代もなかったはずだ
      関心があまり集まらないのは、特定の政治勢力とは無関係な慢性的問題に見える
      記者に説明するのが難しいとこぼしていたように、記者も理解できず、一般の人々も理解できなかった
      Pegasus 事件でさえ、現議会では大きく進展していない
      少し皮肉っぽく言えば、ロシアの陰謀論のように見せかけていたら、突然ニュース全体を覆い尽くしていたかもしれない
      自国で起きたことなので深刻に受け止められていないようで、米国が中国に対して取る対応を見ると、実際には何もないかもしれない場合でも深刻に扱われている
  • 政治と深く絡んだ産業では、こうしたことはどこでも起きる
    詐欺や腐敗を暴いた個人は、普段は嫌がらせやストーキングを受け、事件が知られると SLAPP に苦しめられる
    ようやくドイツや米国式の基準がポーランドにも届いたということで、長く待たれていた変化だ

    • Eva Joly の回顧録は、この点でかなり教訓的だった
      特に、ある将軍が彼女に「石油ビジネスを調査したのは運が良かった、武器ビジネスを調査していたらすでに死んでいただろう」と言った箇所が印象的だ
  • 関連: 1年前の元の話 - https://news.ycombinator.com/item?id=38788360

  • 腕の立つポーランドのハッカーたちが企業の強欲を暴いた。よくやった

    • 単なる企業の強欲よりはるかに深刻だ
      サプライチェーン全体に組み込まれた脆弱性であり、腐敗が生んだ国家安全保障問題
      世界大戦中に命で代償を払う前に今明らかにしたのだから、彼らは賞と報酬を受けるべきだ
      会社が特定の位置にあるとき列車を停止させるようにしたのなら、その位置は何によって決まるのか? 過去に偽装問題があった脆弱な GPS 無線信号なのか?
      誰かが悪意を持って作った無線信号を列車に向けて発射し、この機能を有効化する標的型ペイロードを送ったらどうなるのか? 収穫物や食品が腐るかもしれない
      この程度の事故は天才でなくても起こせるし、最近の映画の筋書きだけを見ても思いつく
      食料安全保障は何千年もの間、あらゆる国の課題だった
  • EU もこの件を少し調査すべきではないか?

    • EU は連邦政府ではない
      EU 予算が悪用された場合、または当該国政府が EU の義務に違反した場合にのみ調査できる
      それ以外では、各国が法律を共通の欧州枠組みに合わせ、誰かがその法律を破ったときの調査はその国の政府が責任を負う