05.12.2023 | 14:50

Adam Haertle

471 komentarzy

O trzech takich, co zhakowali prawdziwy pociąg – a nawet 30 pociągów

Pociąg produkcji polskiej firmy nagle zepsuł się w trakcie serwisu. Fachowcy byli bezradni – pociąg był w porządku, tylko nie chciał jechać. W ostatnim odruchu desperacji na pomoc wezwano zespół Dragon Sector, którego członkowie znaleźli cuda, o których nie śniło się maszynistom.

[For English version click here]

W tej historii zabierzemy was w nietypową podróż. Podróż pełną nieoczekiwanych odkryć i zdarzeń, podróż pod presją czasu i sporych pieniędzy, a także nietypowych technologii. Podróż, w której pociąg gra najważniejszą rolę – chociaż niestety nie jedzie, mimo że powinien. Zapnijcie pasy – a przynajmniej usiądźcie wygodnie, bo będą ostre zakręty.

Wygrany przetarg, przegrany serwis

Historia zaczyna się zapewne trochę wcześniej, ale my na tę scenę wkroczymy wiosną 2022, kiedy to kończy się serwis pierwszego z jedenastu pociągów Newag Impuls 45WE, eksploatowanych przez Koleje Dolnośląskie. Serwis prowadzi firma Serwis Pojazdów Szynowych, zwana dalej SPS. SPS wygrał przetarg na przeprowadzenie obowiązkowego przeglądu pociągów po pokonaniu dystansu 1 000 000 kilometrów. W przetargu na przeprowadzenie przeglądu startował także producent pociągu, polska firma Newag, jednak oferta producenta była o 3 mln zł wyższa i ostatecznie przetarg wygrał SPS, który zaproponował, że serwis przeprowadzi za 22 mln zł.

Serwis pociągu to skomplikowana sprawa – trzeba go rozebrać na części, części wysłać do poszczególnych producentów, odebrać sprawdzone, ponownie pociąg poskładać i uruchomić. SPS przeprowadza przegląd zgodnie z odpowiednią instrukcją (o objętości ok. 20 000 stron), dostarczoną przez producenta, lecz pociąg po poskładaniu nie rusza. Komputer mówi, że wszystko w porządku, pociąg jest gotowy do jazdy – ale nie jedzie. Falowniki nie podają napięcia do silników i nikt nie ma pojęcia, dlaczego tak się dzieje. Serwisanci szukają, sprawdzają, weryfikują, wertują instrukcje – nie znajdują odpowiedzi.

Tajemnicze awarie

Koleje Dolnośląskie mają jedenaście Impulsów i zgodnie z harmonogramem na serwis trafia właśnie kolejny, a pierwszy – zamiast wrócić do pracy – nadal stoi w warsztacie. Drugi pociąg przechodzi identyczny serwis, z identycznym skutkiem. Przed serwisem jeździł, po serwisie już nie chce. Prace nad uruchomieniem pierwszego składu, podobnie jak i sam skład, nie posunęły się ani o milimetr – producent odmawia pomocy. W warsztacie stoją już dwa nieruchome pociągi. Trzeci nie trafia na przegląd na skutek awarii akumulatorów, więc zamiast niego do serwisu przysłany zostaje pociąg czwarty (“z przyszłości”). Serwis chce skorzystać z jego obecności, by przeholować jeden z tych, które jeździć nie chcą. Po podłączeniu czwartego (jeżdżącego) do jednego z nieruchomych, nieruchomieje także jeżdżący (do tej pory nie udało się ustalić przyczyny tego zdarzenia). Na dokładkę w innym warsztacie, w Szczecinie, inny Impuls psuje się w bardzo podobnych okolicznościach – nie uruchamia się po przeprowadzonym serwisie.

Najlepsi polscy hakerzy

W pewnym momencie problem robi się już na tyle poważny, że zauważają go media – sześć najdłuższych pociągów Kolei Dolnośląskich wyłączonych z użytkowania powoduje, że trzeba redukować rozkłady jazdy, na tory wysyłać składy zastępcze, a pasażerowie podróżują w dużym ścisku w krótszych składach. Newag tłumaczy, że pociągi zablokował “system bezpieczeństwa” – jednak na 20 000 stron instrukcji na próżno szukać o nim choćby wzmianki. Dzień przestoju pociągu w warsztacie kosztuje kilka tysięcy złotych kary umownej, pociągów stoi kilka, więc poziom napięcia w SPS rośnie. Skoro mechanicy ani elektrycy nie dają rady, to w końcu ktoś wpisuje w Google “polscy hakerzy” i na szczycie listy wyników trafia na artykuł o sukcesach grupy Dragon Sector na arenie CTF-owej. SPS nawiązuje kontakt z DS, którego przedstawiciele na początku nie mogą uwierzyć w propozycję, którą słyszą. Hakowanie pociągu? W sumie dlaczego nie. Strony podpisują umowę. Do projektu zabierają się znani z hakowania laptopów Toshiby członkowie Dragon Sectora – Michał “Redford” Kowalczyk oraz Sergiusz “q3k” Bazański, a do towarzystwa dołącza Kuba “PanKleszcz” Stępniewicz posiadający doświadczenie w automatyce przemysłowej. Zespół dziarsko rusza do pracy, a Kuba jedzie na wycieczkę do warsztatu. Na miejscu dostają pociąg, który nie jeździ, dwa zapasowe komputery i pliki SDK producenta komputera. Prace zaczynają od podsłuchiwania szyny CAN, ale trudno odczytać ruch, nie mając dokumentacji protokołów. Długo próbują zrzucić oprogramowanie wbudowane z komputera pokładowego. Nie mają żadnej dokumentacji komputera, a SDK umożliwia jedynie wgranie nowego oprogramowania, bez opcji zgrania istniejącego. W trakcie eksperymentów ze znalezioną starszą wersją oprogramowania jej wgranie do pierwszego zapasowego komputera powoduje, że ten przestaje reagować – zostaje im już tylko jeden sprawny komputer zapasowy. W końcu znajdują interfejs do debugowania i bajt po bajcie zgrywają pamięć urządzenia.

Komputer oparty jest o architekturę TriCore, jak wiele podobnych rozwiązań na przykład w branży samochodowej. Niestety brakuje dobrych dezasemblerów, więc badacze poprawiają nieco Ghidrę i w końcu mogą spojrzeć w kod. Co prawda, brakuje stringów, ale prace powoli idą do przodu. Mija półtora miesiąca, gdy SPS przekazuje złą informację.

Gdy goni termin, a pociągi się psują

Koleje Dolnośląskie, nie mogąc się doczekać swoich (nieruchomych) pociągów, postanawiają jednak nawiązać współpracę z Newagiem w kwestii naprawy popsutych składów i ich serwisu, włączając w to także pociągi, które zgodnie z pierwotnym przetargiem dopiero miały być serwisowane w SPS. Do zerwania umowy z SPS ma dojść za tydzień. Jak wiadomo, nic nie wpływa na intensywność prac tak dobrze jak bardzo bliski nieprzekraczalny termin, w którym trzeba pokazać wynik, więc badacze ruszają do dzieła ze zdwojoną energią. Podczas dotychczasowych prac zgrali zawartość pamięci wielu komputerów zarówno pociągów działających, jak i tych, które tylko działać powinny. Porównywanie tych obrazów to droga przez mękę, ponieważ prawie każdy pociąg posiada inny zestaw funkcji i inną wersję oprogramowania, ale powoli zaczynają mieć wrażenie, że na coś trafiają. W pamięci komputerów identyfikują wartości, które w jednym pociągu są ustawione, a w innym wyzerowane. Testy mogą przeprowadzać na biurku – komputer, nawet wyjęty z pociągu, pozwala na chwilę się uruchomić (zanim zorientuje się, że brakuje mu całej reszty pociągu) i pokazać, czy jest gotowy uruchomić falowniki.

Do terminu zakończenia prac pozostaje mniej niż doba, gdy odnajdują konfigurację flag, która daje szansę uruchomienia pociągu. Niestety w trakcie eksperymentów płonie ostatni działający komputer pokładowy. Tak, płonie – pali się kondensator (to raczej przypadkowe zdarzenie). Po kolejnej burzy mózgów i wielu próbach poskładania dwóch uszkodzonych komputerów w jeden udaje się naprawić ten spalony i o 2 w nocy, w noc poprzedzającą godzinę sądu ostatecznego, badacze konfigurują komputer, który ma uruchomić pociąg. Jeden z naszych bohaterów wsiada do pociągu (innego operatora), by dotrzeć z prawdopodobnie działającym komputerem do warsztatu jeszcze przed przedstawicielami Kolei Dolnośląskich, którzy zapowiedzieli wizytę na godzinę 9:30. Niestety pociąg, którym badacz podąża do serwisu, spóźnia się. W końcu rano badacz z komputerem dociera na miejsce, podłącza módlmy-się-aby-zadziałał-komputer do popsutego pociągu, ale pociąg nie rusza. Kolejna burza mózgów pozwala zidentyfikować jedną flagę, o której zapomniano i o 8:42 pociąg udaje się uruchomić. Delegacja Kolei Dolnośląskich, widząc o 9:30, że pociągi mają szansę jednak wrócić do żywych, nie zrywa umowy z SPS.

Dlaczego pociąg się zepsuł

Odkrycie, jak pociąg uruchomić, nie było nawet połową sukcesu – trzeba było jeszcze ustalić, dlaczego się zepsuł i tu dopiero zaczyna się jazda bez trzymanki.

Miesiące analiz i inżynierii wstecznej pozwoliły na odkrycie niezwykle ciekawych warunków zapisanych w kodzie oprogramowania różnych pociągów dostarczonych przez Newag. Po setkach godzin spędzonych nad kodem zrzuconym z kilkudziesięciu składów udało się zidentyfikować bardzo ciekawe mechanizmy powodujące nagłe choroby pociągów.

Znalezione w kodzie komputera wartości liczbowe 53.13845 i 17.99011 wydały się na pierwszy rzut oka znajome. Szybko okazało się, że są to koordynaty GPS wskazujące na okolice Dworca Kolejowego Bydgoszcz Główna, a konkretnie znajdującego się tuż obok serwisu firmy PESA. Wkrótce odnaleziono także koordynaty innych serwisów, które mogłyby prowadzić naprawy i przeglądy pociągów w Polsce. Poniżej pokazujemy pseudokod algorytmu (nazwy zmiennych czy funkcji  są nadane przez badaczy dla przejrzystości – nie wiemy, jakie były nazwy oryginalne):

check1 = 53.13845 < lat && lat < 53.13882 && 17.99011 < long && long < 17.99837;
check2 = 53.14453 < lat && lat < 53.14828 && 18.00428 < long && long < 18.00555;
check3 = 52.17048 < lat && lat < 52.17736 && 21.53480 < long && long < 21.54437;
check4 = 49.60336 < lat && lat < 49.60686 && 20.70073 < long && long < 20.70840
         && (this->lock_function_test & 1);
check5 = 53.10244 < lat && lat < 53.10406 && 18.07817 < long && long < 18.08243;
check6 = 50.12608 < lat && lat < 50.12830 && 19.38411 < long && long < 19.38872;
check7 = 52.77292 < lat && lat < 52.77551 && 18.22117 < long && long < 18.22724;

Pary koordynat definiują tereny warsztatów. W kodzie komputera zapisano warunek nakazujący wyłączenie możliwości uruchomienia pociągu, jeśli spędzi przynajmniej 10 dni w jednym z tych warsztatów. Jeden z warsztatów należy do samego Newagu – jednak dla jego współrzędnych zdefiniowano inny warunek logiczny, prawdopodobnie w celach testowych.

Wkrótce odkryto także inne niespodzianki. Wśród nich było blokowanie pociągu, gdy wymieniony zostanie jeden z jego komponentów (weryfikowanych po numerze seryjnym). Odkryto także opcję cofnięcia blokady – nie wymagało to ustawienia flag na poziomie pamięci komputera, a jedynie odpowiedniej sekwencji kliknięć przycisków w kabinie i na ekranie pokładowego komputera. Gdy informacje o skutecznym uruchomieniu Impulsów trafiła do mediów, pociągi otrzymały aktualizację oprogramowania, która usunęła tę możliwość “naprawy”. W innym pociągu znaleziono kod nakazujący, aby “zepsuł się” po pokonaniu miliona kilometrów.

Sprawdzanie daty to skomplikowana sprawa

Dość śmieszną sytuację spotkano w innym składzie, który odmówił pracy 21 listopada 2022, mimo że nie znajdował się wtedy w serwisie. Komputer informował o awarii sprężarki, chociaż mechanicy stwierdzili, że ze sprężarką wszystko jest w porządku. Niestety pociąg nadal nie podnosił pantografów. Analiza kodu komputera wykryła warunek wymuszający awarię, który brzmiał tak:

  • jeśli dzień jest większy bądź równy 21 oraz
  • jeśli miesiąc jest większy bądź równy 11 oraz
  • jeśli rok jest większy bądź równy 2021

to zgłoś awarię sprężarki. Sytuacja była śmieszna, bo pociąg miał zaplanowany przegląd na listopad 2021 (rok przed awarią), lecz warunek wówczas przez zbieg okoliczności nie zadziałał. Pociąg trafił do serwisu chwilę wcześniej, a ponownie został uruchomiony dopiero w styczniu 2022 – a ta data wyżej opisanego wyrafinowanego warunku logicznego już nie spełniała. Prawdopodobnie to brak umiejętności konstruowania IF-ów przez autora oprogramowania sprawił, że na zaplanowaną awarię trzeba było czekać aż do 21 listopada 2022. 

Niespodzianka sprzętowa

Niespodzianki czyhały nie tylko w oprogramowaniu komputerów. Badacze w jednym ze składów odkryli urządzenie podpisane jako “konwerter UDP<->CAN”, przypuszczalnie umożliwiające zdalną komunikację z pociągiem. Jego wymontowanie nie sprawiło, że cokolwiek przestało działać. Analiza wykazała, że pokładowy komputer wysyłał do tego urządzenia informacje o stanie blokad, a samo urządzenie było podłączone do modemu GSM.

Nie tylko we Wrocławiu

Informacja o tym, że w serwisie SPS udało się naprawić “popsute” składy Newagu szybko trafiła także do innych serwisów. Okazało się, że jest to dość popularny problem. We Wrocławiu analizowali 13 Impulsów, ale psuły się także te jeżdżące w Kolejach Mazowieckich (jedna sztuka), w Opolu dwa, w Krakowie 4, jeden w Zielonej Górze, cztery w Szczecinie, a także jeden w SKM. Na szczęście każdy udało się naprawić za pomocą narzędzia opracowanego przez naszych badaczy, zdejmującego blokady programowe z pokładowego komputera. W sumie koledzy przeanalizowali oprogramowanie 29 pociągów i tylko w pięciu nie znaleźli żadnych niespodzianek wykraczających poza oficjalną instrukcję obsługi.

Co dalej

Ocenę rozwiązań stosowanych przez producenta zostawiamy czytelnikom oraz klientom tej firmy. Co ciekawe, choć w sprawie toczą się spory sądowe, to ciężko jest znaleźć w Polsce instytucję, która coś zrobiłaby poza życzliwym wyrażeniem zainteresowania tą sprawą. Nie wiemy o żadnych działaniach podjętych ani przez Urząd Ochrony Konsumenta i Konkurencji, ani przez Urząd Transportu Kolejowego, które wydają się właściwe do wyeliminowania z rynku praktyk szkodzących organizacjom samorządowym ponoszącym spore straty i pasażerom, zmuszonym do jazdy w tłoku lub korzystania miesiącami z komunikacji zastępczej. Jedyną instytucją, która podjęła znane nam działania, jest CERT Polska, powiadomiona o odkryciu przez badaczy. Z komentarza, który otrzymaliśmy, wynika, że CERT Polska zawiadomił “stosowne organy”, a sprawą zajmują się organy ścigania.

Najlepszym polskim hakerom gratulujemy ciekawego odkrycia i profesjonalnej realizacji zlecenia. Pamiętajcie, nic tak nie motywuje, jak termin na jutro rano.

Powyższy artykuł jest jedynie pobieżnym streszczeniem prezentacji wygłoszonej na konferencji Oh My H@ck w dniu 5 grudnia 2023 przez członków zespołu w składzie Jakub Stępniewicz, Sergiusz Bazański i Michał Kowalczyk. W artykule pominięto wiele detali oraz całą sporą sekcję techniczną analizy – pozostaje mieć nadzieję, że uda się zmotywować autorów badania do spisania i opublikowania jej przebiegu.

Aktualizacja 2023-12-05 16:00

Otrzymaliśmy oficjalne stanowisko Urzędu Transportu Kolejowego (UTK), które cytujemy poniżej w całości:

Prezes UTK zna sprawę i zweryfikował informacje dotyczące przeprowadzonych analiz oprogramowania pojazdów kolejowych, a także współpracuje w tej kwestii z odpowiednimi służbami. Wspólnie z CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) zorganizowane zostało spotkanie z producentem pojazdu. Pojazdy spełniają wymagania zasadnicze określone przepisami dyrektyw europejskich. To zamawiający pojazd w ramach swobody kontraktowej określa warunki serwisowania i gwarancji. Tego rodzaju wymagania zawarte są w umowach dotyczących zakupu pociągu. Wszelkie ograniczenia możliwości serwisowania, w tym ograniczenia wprowadzane w oprogramowaniu, mogą stanowić potencjalny spór cywilnoprawny pomiędzy zamawiającym a producentem. Prezes UTK w tej sprawie nie jest właściwym organem.

Zgodnie z art. 41 pkt 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913, 1703) organem właściwym do spraw cyberbezpieczeństwa dla sektora transportu (z wyłączeniem podsektora transportu wodnego) jest minister właściwy do spraw transportu.

Powrót

Komentarze

  • 2023.12.05 15:54 arytmetyk

    Czyli pociągi jeżdżące po Polsce miały backdora pozwalającego je zdalnie wyłączyć?
    Na przykład w stanie wojny wyłączyć znaczną część naszej sieci kolejowej jeszcze przed pierwszym wystrzałem?
    Jak ABW kogoś nie posadzi to ja nie wierzę w tę służbę.

    Brawo dla chłopaków, że udało im się to odkryć.

    Odpowiedz
    • 2023.12.05 16:33 Krzysiek

      Nie, pociągi sprawdzały współrzędne i jeśli przebywały w danym zakładzie ponad 10 dni, to miały się nie włączać. Powalona praktyka i mam nadzieję, że Newag zostanie za to ukarany. Patologia.

      Odpowiedz
      • 2023.12.05 18:34 msm

        Nie tylko. Było urządzenie połączone z internetem (po gsm) które mogło wysyłać komendy CAN. Źródło: byłem na prezentacji i rozmawiałem z autorami :).

        Odpowiedz
        • 2023.12.05 21:18 ZenOrc

          a nie wiesz może gdzie i kiedy planują opublikować pełny raport? ;)

          Odpowiedz
        • 2023.12.06 01:12 eMeR

          Jedno. Tylko jeden pociąg miał taki modem.

          Odpowiedz
        • 2023.12.06 06:11 Premier

          a ja rozmawiałem z prezydentem

          Odpowiedz
          • 2023.12.06 10:29 Andrzej

            To podobna praktyka jak z telefonami komórkowymi. Syn nie aktualizował telefonu Sony przez dłuższy okres i wszystko działało ok. Jak przez przypadek zauktualizował telefon to może go wyrzucić do kosza…

            Analogicznie z drukarkami firmy Brother. Kupiłem ich do firmy kilka. Wszystkie po kolei padły poprzez awarię bębna, który uwaga: nie jest objęty gwarancją producenta w ogóle !!! Krótko mówiąc po wydrukowaniu określonej liczby kartek wyskakuje komunikat: awaria bębna. No i pisz pan sobie na Berdyczów. Serwis w ramach gwarancji tego nie naprawi bo bęben nie jest objęty tą gwarancją. Unia walczy z CO2 (ekościema), a jednocześnie w dupie ma to, że przez takie praktyki producentów trzeba produkować kolejne miliony czy miliardy telefonów, komputerów itp., itd. To ile przy ich produkcji producenci wyemitują demonicznego CO2?

          • 2023.12.06 17:22 Ciekawanazwauzytkownika

            Komunikat awaria bębna? A nie czasem „wymień bęben” – komunikat który użytkownik sam resetuje z menu? Brother jest chyba najbardziej przyjazną użytkownikowi firmą

          • 2023.12.07 16:51 Wróżka

            Rozumiem, że zgłosiłeś , tak jak inni nieuczciwe praktyki, a nie liczysz na to, ze zatrudniają jakieś medium i czytają w oczekiwaniach niewypowiedzianych?

            Bo generalnie to większość narzeka, ale jak trzeba coś zgłosić itp to już nie

          • 2023.12.07 08:51 Tusk

            A ja rozmawiałem z Polakiem i Ruskiem XD

          • 2023.12.07 21:13 Jacek

            Do komentarza; 2023.12.06 10:29 p. Andrzeja. Pisze Pan bzdury. Proszę przeczytać sobie instrukcję obsługi i eksploatacji urządzenia. Bęben we wszystkich Brotherach to eksploatacja więc się ją wymienia. Znam przypadki awarii bębnów, ale zamienników, które robiły zwarcia na zasilaczu dlatego drukarki stawały choć też czasem nie był dosunięty „czyścik”, który luzował się i drukarka stawała z błędem. To wszystko jest opisane w instrukcji tzw sekcja troubleshooting.
            Co do gwarancji – jest taka sama jak u HP czy innych firm – dla oryginalnych materiałów do laserówek AŻ 6 miesięcy. Więc nie – to nie jest wada produktu i nijak się ma z artykułem.

          • 2023.12.07 21:17 Jacek

            Zapomniałem jeszcze dodać, że gwarancja jest też ograniczona nie tylko czasowo ale i poziom zużycia materiału i niestety oryginalnych jest żenująco niski – średnio przyjmuje się 50%…. Przy markowym zamienniku Black Pointa choć tani nie jest to nie dość, że do 10% to jeszcze nie ma terminu ważności. Jeśli produkt uszkodził drukarkę to też można to zgłosić naprawdę z dowodem zakupu chcą pomóc i jest to jedyny producent tak rzetelnie podchodzący do sprawy – Polski producent.

        • 2023.12.21 13:50 Reigo

          Sugerujesz możliwe GPS spoofing?

          Odpowiedz
      • 2023.12.05 23:15 medevacs

        Nie doczytałeś, zerknij na akapit „Niespodzianka sprzętowa”. Te pociągi miały całą masę różnych powiedzmy ficzerów, których nie spodziewał się klient, min. interfejs UDP-CAN podłączony do modemu GSM, dzięki któremu producent mógł zdalnie wydawać komendy pociągom. Potencjalnie zatem, tak jak napisał przedmówca, istnieje ryzyko, że osoby o złych zamiarach mogłyby np. w newralgicznym momencie zatrzymać wszystkie takie pociągi na trasach i zablokować szlaki kolejowe.

        Odpowiedz
        • 2023.12.06 01:11 Mariusz

          W tych wszystkich pociągach było tylko jedno takie urządzenie. Zatem zdalnie można było sterować ustawieniami tylko jednego składu.

          Odpowiedz
          • 2023.12.06 10:06 skirge

            Na kolei gdy staje jeden pociąg to stają wszystkie

          • 2023.12.06 10:55 sm

            Biorąc pod uwagę, że Newag próbował nielegalnie wymuszać tym sposobem serwisowanie u siebie wszystkich składów, to szlondry z jego serwisu mogły ten backdoor dodać w nich wszystkich, a także modyfikować go na życzenie zagranicznych służb specjalnych. A fakt nieudolnego sprawdzania daty potwierdza brak przeglądów kodu źródłowego czy QA.

          • 2023.12.06 19:21 ddif/

            Takie urządzenie jest wielkości paczki kiepów, a magistrala CAN jest wszędzie! Równie dobrze mogą być w innych pociągach pochowane w kiblach albo w lampce na suficie – życzę powodzenia w szukaniu.

      • 2023.12.06 01:20 Iagre

        To nie NEWAG powinien być ukarany, ale osoby nim rządzące i inicjatorzy tych „awarii”.

        Odpowiedz
        • 2023.12.06 10:33 Andrzej

          Gdyby zastosować twoją logikę to dajmy na to, że te osoby dostałyby kary np. grzywny (które np. poprzez premię, umowę zlecenie itp) zostałyby pokryte z nawiązką przez firmę i tym samym ta chora praktyka nie zostałaby ukarana w żaden sposób i byłaby opłacalna dla samej firmy…

          Odpowiedz
          • 2023.12.06 15:06 nonon

            Kara nie musi być monetarna. Gdyby udało się udowodnić, że zamiar był celowy to można by decydentów posadzić do celi razem z Sebixem. Myślę, że ukróciło by to liczbę chętnych na tego typu zagrania.

    • 2023.12.05 16:36 dexter

      Ciekawe, jak wygląda sprawa takich backdorów w systemach elektrowni, wojska, policji, służby zdrowia. Trochę to przerażające.

      Odpowiedz
      • 2023.12.05 20:05 mci

        To nie jest backdoor.

        Odpowiedz
        • 2023.12.05 23:23 Nux

          Jeśli masz zdalne sterownie do jakiejś rzeczy, którą przekazujesz komuś i nie ma o tym mowy w instrukcji, to jak najbardziej jest to backdoor.

          Odpowiedz
          • 2023.12.06 11:22 weirdnik

            Backdoora miał jeden pociąg. Wszystkie miały bomby logiczne.

        • 2023.12.19 17:30 Tomek

          Backdoor – najprościej to możliwość programowej lub narzędziowej ingerencji w urządzenie najczęściej zdanie także bez zgody, wiedzy i akceptacji właściciela programu lub sprzętu.

          Odpowiedz
    • 2023.12.05 17:58 spaślun

      Backdoorem tutaj jest sama możliwość zdalnej aktualizacji przez producenta.

      Odpowiedz
    • 2023.12.05 21:27 Ruski agent

      Ale kit. A ludzie w to wierzą 😂🤣😄

      Odpowiedz
      • 2023.12.05 23:34 cnoor

        Tak tak, pod każdym artykułem znajdzie się wtajemniczony Mariusz któremu wydaje się, że wie więcej, ale nie jest w stanie wyłożyć kawy na ławę.

        Odpowiedz
    • 2023.12.06 10:56 MBS

      Wygląda na to, że i taka możliwość istniała.

      Odpowiedz
    • 2023.12.06 13:29 krl

      Możliwość zdalnego wyłączenia pociągu tzw RADIOSTOP jest czymś normalnym. Nienormalne natomiast są praktyki stosowane przez NEWAG. Zakazywanie serwisu przez podmioty trzecie to zwykła patologia.

      Odpowiedz
      • 2023.12.06 20:44 muflon

        radiostop może tylko zatrzymać pociąg, nie wyłączyć

        Odpowiedz
      • 2023.12.06 22:36 Bart

        A podmioty trzecie nie powinny serwisować urządzeń transportu zbiorowego bez wiedzy producenta.W Polsce jest tylko taka patologia, i taka prawda że w takim sos Mieczkowski CBA już 3 lata temu siedziało za przekręty z zestawami kołowymi.

        Odpowiedz
        • 2023.12.07 15:25 Aikanaro

          Płacisz za sprzęt który staje się TWOJĄ własnością. Zatem skoro sprzęt staje się Twoją własnością to możesz zrobić z nim co chcesz. Masz też prawo oddać go w razie awarii do DOWOLNEGO serwisu który jest w stanie usterkę usunąć bądź przeprowadzić konserwację sprzętu. Nie producentowi decydować o tym co Ty robisz z TWOJĄ własnością.

          Odpowiedz
        • 2023.12.08 11:47 Michał

          Jak jesteś taki mądry to zaprowadzaj swoje auto na naprawy i przeglądy tylko do ASO. Zobaczymy jaki będziesz uśmiechnięty :D

          Odpowiedz
        • 2023.12.08 15:54 Kate

          Producent przegrał przetarg. Po prostu. Nie może być tak, ze właściciel będzie skazany na serwis producenta, bo w ten sposób tworzyłby się monopol, umożliwiający producentowi dowolne kształtowanie cen serwisu. To byłaby dopiero patologia.

          Odpowiedz
          • 2023.12.09 07:55 Adam

            Przecież nie jest skazany, bo może kupić dokumentację serwisową.

      • 2023.12.07 13:40 pordzio

        Jest jednak zasadnicza różnica między systemem „radiostop”, którego zadziałanie jest

        1. Bardzo widoczne
        2. Całkowicie odwracalne

        a zadziałaniem po cichu wysłanej komendy „zablokuj uruchomienie pojazdu”, która nie wyświetli ci komunikatu kto, kiedy i jak ci unieruchomił pojazd, tylko będzie chować to pod nieistniejącymi awariami.

        Bezpieczeństwo systemu radiostop jest osobną kwestią – też już zdaje się tutaj pruszaną.

        Odpowiedz
    • 2023.12.06 19:06 AndrzejD

      …jeżeli ktoś ma zostać wsadzony za kraty, to na pewno ci domorośli hakerzy + Ci którzy im to zlecili.
      ” Niestety w trakcie eksperymentów płonie ostatni działający komputer pokładowy. Tak, płonie – pali się kondensator”
      …no żesz ku.. a! Pociąg ważący kilkaset ton, który wozi miliony ludzi i przejeżdża miliony km, to nie 10-cio letnie BMW przywiezione ze szrotu niemieckiego w którym pan Darek w garażu Zdziśka chce podrasować moc !
      Kondensatory same z siebie nie „płoną” – Płoną w wyniku albo podania zbyt dużego napięcia albo odwrotnej polaryzacji (jeśli to elektrolit) albo jak ktoś wsadza tam paluchy. I co ? I ten „haker” z bożej łaski wziął lutownicę i od tak go tam sobie wymienił ? W komputerze sterującym pociągiem ? Serio ? Jeżeli tak faktycznie było i – jak się chwalą, gmerali w kodzie, to UTK powinien natychmiast wycofać ten pociąg z eksploatacji jako nie spełniający norm bezpieczeństwa i warunków homologacji.
      Nie chciałbym być w skórze tych hakerów jak NEWAG wytoczy im proces o załamanie praw autorskich który na bank wygra.
      Drugi proces, NEWAG wytoczy tej firemce która serwisowała ten pociąg – a w zasadzie złoży doniesienie do prokuratury o popełnieniu przestępstwa polegającego na narażeniu na utratę życia i zdrowia pasażerów, na skutek wykonania przeglądu niezgodnie z DTR-ką (Dokumentacja Techniczno Ruchowa)
      Pociąg to nie samochód czy smartfon. Tam wszystkie przeglądy są wykonywanie ściśle według instrukcji i dokumentacji w której jest napisane co i w jaki sposób ma być robione (podobnie jak w samolotach)
      Nie jestem prawnikiem (ani pracownikiem NEWEAGU) ala sprawa jest tak śmierdząca, że na bank, i ta firemka i ci hakerzy mają przechlapane na całej linii. Do NEWAG-u może się przyczepić conajwyżej UOKIK i tyle, i to też nie na pewno. Każdy producent dowolnego urządzenia, ma prawo umieścić w jego kodzie dowolną rzecz. Dopóki to urządzenie spełnia obowiązujące normy i dyrektywy unijne, to nikt nie może się przyczepić.

      Odpowiedz
      • 2023.12.06 20:12 adamh

        Andrzeju, nie denerwuj się. Wszystkie testy i eksperymenty były prowadzone na biurku badacza na egzemplarzach testowych, nie podłączonych do pociągu :)

        Odpowiedz
        • 2023.12.06 21:43 AndrzejD

          …co nie zmienia faktu, że gmerali w kodzie i później na podstawie tego uruchomili te pociągi. Jaką masz gwarancję że czegoś przy okazji nie popsuli co może wyjść przy odpowiednim zbiegu okoliczności i skutkować katastrofą ?
          Naprawdę bez obaw wsiądziesz do pociągu który się rozpędza do 160km/h wiedząc że 3 jakichś przypadkowych kolesi (z całym szacunkiem dla ich umiejętności) gmerało w komputerze sterującym ?
          I nic nie zmienia faktu że cała ta akcja była nielegalna i łamie szereg paragrafów kodeksu karnego i innych przepisów.
          Z tego co czytałem, to NEWAG złożył już kilka zawiadomień do stosownych służb.
          Takie wybryki trzeba zdecydowanie tępić, bo zaraz znajdą się inni hakerzy którzy dla fejmu zaczną hakować komputery pokładowe samolotów jak jakaś tania linia lotnicza zechce przyoszczędzić na serwisie autoryzowanym. A nie chciałbym żeby mi jakiś samolot spadł na głowę.

          Odpowiedz
          • 2023.12.06 21:47 adamh

            Nie, nie gmerali. To są odpowiedzialni ludzie. Wywołali funkcję stworzoną przez autora oprogramowania, która usunęła blokady i tyle.

          • 2023.12.06 22:32 Dzesik

            AndrzejD i kilku innych broniacych Newag – powaznie? Z daleka czuc oplacanie przez Newag waszych wypocin. Skandalem jest tylko to, ze nie ma organizacji ktora moze raz a dobrze ukarac Newaga za takie praktyki, zeby reszta nie probowala. UE jeszcze ma wiele do zrobienia na tym polu. Wszystko co podlega pod przetargi publiczne powinno byc otwarte i mozliwe do serwisowania w innych miejscach niz producent rozwiazania. Mam nadzieje ze za kilka lat takich patologii bedzie mnie. Brawa dla naszej ekipy za rozgryzienie tematu, a Newagowi kara za praktyki monopolistyczne.

          • 2023.12.06 22:57 Gal Anonim

            już powstał film właśnie na bazie takiego scenariusza https://www.filmweb.pl/film/Czarna+skrzynka-2021-856702

          • 2023.12.07 02:46 Formbi

            spokojnie, widać że już dawno coś ci spadło na głowę

          • 2023.12.07 09:58 AdrianS

            Pan Andrzej to do dziś swoją poczciwą b4 serwisuje w autoryzowanym serwisie?

          • 2023.12.07 10:12 LewemNaPrawo

            Andrzeju :) rozumiem krytykę, też się zastanawiam i nad licencją celofanową i nad dezasemblacją i nad tą ściemą że kondensator się spalił – mógł się spalić albo w wyniku złego podłączenia szyny zasilania, osobnej masy (z innej fazy, innego zasilacza impulsowego) , złego wsadzenia wtyczki do gniazdka L/N ale równie dobrze w wyniku złego projektu jak odłączy się pociąg to pali się kondensator – taki łatwo wymienić :)
            A co do gwarancji – to nigdy nie masz gwarancji a zwłaszcza jest klauzula AS IS w oprogramowaniu – nie masz i w życiu też nie masz, jak lewacy łudzą ludzi ochroną i gwarancją to tylko sprawiają że inne bakterie Cię zjedzą :) i będzie równanie do niższego a elity będą się miały dobrze tyle w temacie gwarancji świata – jest jaki jest.

          • 2023.12.07 10:14 LewemNaPrawo

            I polecam Tobie kanał Right to repair – bo to jest kwiatek ale wynika z dawnych złych przyzwolonych społecznie praktyk. Polecam też założenie grupy i spotykanie się z ludźmi – rozmawianie na każdy temat :) otwarcie i szczerze – bo prawdziwi ludzie są bardzo dobrzy – prawie każdy – tylk ow systemach rodzą się boty i bugi

          • 2023.12.07 10:14 LewemNaPrawo

            I polecam Tobie kanał Right 2 repair – bo to jest kwiatek ale wynika z dawnych złych przyzwolonych społecznie praktyk. Polecam też założenie grupy i spotykanie się z ludźmi – rozmawianie na każdy temat :) otwarcie i szczerze – bo prawdziwi ludzie są bardzo dobrzy – prawie każdy – tylk ow systemach rodzą się boty i bugi

          • 2023.12.07 16:54 NibyBezkomentarza

            Omg

          • 2023.12.07 19:04 wk

            @AndrzejD

            1) Serwis Pojazdów Szynowych to nie jest „przypadkowy nieautoryzowany serwis”. Poczytaj.
            2) Jeśli pociągi Newagu MUSZĄ być serwisowane w Newagu, a nie było to znane na etapie przetargu, nie jest opisane w instrukcji, to jest to wada ukryta przedmiotu sprzedaży. Praktycznie pewne, że znając tę wadę, Kupujący wybrałby inną ofertę (pociągi innego producenta). Czyli została naruszona konkurencyjność. Inaczej byłoby, gdyby przedmiotem przetargu były pociągi razem z umową serwisową – ale były same pociągi.
            3) Spadały na głowę i samoloty serwisowane w autoryzowanych serwisach, i samoloty po błędach producenta. Jest wiele materiału na ten temat, wystarczy poczytać. Bo albo ktoś jest rzetelnym fachowcem albo nie jest – i jak się okazuje, autoryzacja nie zawsze oznacza fachowość i rzetelność.
            4) Zewnętrzny review czy audyt rozwiązania technicznego zwiększa szansę na wykrycie błędów, zarówno przypadkowych, jak wprowadzonych celowo. Blokowanie możliwości audytu, napraw, choć niby chroni producenta, w efekcie zmniejsza jego wiarygodność.

          • 2023.12.08 03:22 Lukasz032

            Art. 6 europejskiej dyrektywy o oprogramowaniu:
            „Zezwolenie uprawnionego nie jest wymagane, jeśli powielanie kodu i translacja jego form, w rozumieniu art. 4 ust. 1 lit. a) i b), jest niezbędne do otrzymania informacji koniecznych do osiągnięcia interoperacyjności niezależnie stworzonego programu komputerowego z innymi programami, z zastrzeżeniem spełnienia następujących warunków:
            a) czynności te są wykonywane przez licencjobiorcę lub osobę mającą prawo do używania kopii programu, lub upoważnioną osobę działającą w ich imieniu;
            b) informacje konieczne do osiągnięcia interoperacyjności nie były uprzednio łatwo dostępne dla osób określonych w lit. a); oraz
            c) czynności te są ograniczone do tych części oryginalnego programu, które są niezbędne dla osiągnięcia interoperacyjności.”

            Przeanalizujmy:
            A: SPS miał kontrakt od Kolei (właściciela pojazdu, a więc prawowitego użytkownika oprogramowania), zatrudniony przez SPS inżynier oprogramowania był więc „upoważnioną osobą”;
            B: gdyby takie informacje były w manualu serwisowym, to całe zatrudnianie ekspertów nie byłoby konieczne i pociągi by nie stały;
            C: badacze nie robili nic oprócz wyłączenia sztucznych blokad logicznych, zależało im tylko na uruchomieniu pociągów – więc ich czynności istotnie wypełniały te ograniczenia.

            „Niezależnym programem” jest w tym przypadku ich nowa aplikacja serwisowa zdolna reaktywować zblokowane składy.
            Wszystko się zgadza.

          • 2023.12.08 09:33 Luke

            Spokojnie Andrzeju, posiedzisz parę lat to ochłoniesz.

          • 2023.12.08 15:14 jajo

            Jako jedna z niewielu osób tutaj zgromadzonych, posiadająca wiedzę na temat kolejnictwa oraz walidacji oprogramowania sterującego pociągiem (nie pracuję w Newagu), podpisuje się obiema rękami, że za modyfikacje oprogramowania w pociągu, który zaraz ma wozić ludzi bez dokładnych testów (w zasadzie bez powtórzenia procedur testowych – przynajmniej tych produkcyjnych, końcowych, których klient przeważnie nie posiada), grozi przynajmniej kręcenie wora.

            W momencie kiedy taki pociąg z „naprawionym” softem się nie zatrzyma gdzieś z jakiegoś powodu to kto będzie winny? No przecież od razu producent umyje rączki, sprawa będzie się rozbijać po sondach a ucierpią na tym tylko i wyłącznie Bogu ducha winni pasażerowie.

            Poza tym tutaj problemem nie było wadliwe oprogramowanie, tylko przepychanki na górze gdzieś tam gdzie wcześniej lała się wóda – no przecież to widać. Nie znam szczegułów kontraktu pomiędzy przewoźnikiem a producentem ale wiem że pociągów nie naprawia się pod chmurką ani gdzieś w szopie tylko to raz że swoje kosztuje a dwa swoje kosztuje. Na moje oko Newag po prostu chciał utrzeć nosa klientowi i bardzo chętnie zaktualizowali oprogramowanie na śmieszne oprogramowanie. Wystarczyło wywiązać się z kontraktów i w zasadzie nie było by tematów. Dla panów hakerów szacun że im się chciało w tym babrać – pociągi nie są prostym tematem a wszystkim grubasom, którzy dopuścili do takiej sytuacji – wiadomo co w co ;) pozdroo

          • 2023.12.09 08:03 Adam

            @ jajo

            Przecież warunki przetargu są dostępne w Internecie, Koleje Dolnośląskie nie chciały przekazania kodów źródłowych ani dokumentacji serwisowej. Co więcej SPS też ich nie posiada.

          • 2023.12.09 08:09 Adam

            @wk

            Przecież warunki przetargu są dostępne w Internecie, skoro Koleje Dolnośląskie nie chciały przekazania kodów źródłowych ani dokumentacji serwisowej to nie ma mowy o wadze ukrytej. Co więcej SPS też ich nie posiada.

          • 2023.12.11 20:48 Bartek

            Klauzula wyższej konieczności? To niech Newag udowodni, że ominięcie ich „zabezpieczeń” było ryzykowne. Owszem, mogło, gdy w Newagu nie stosowali się do dobrej praktyki programowania, jakieś utajone wykorzystanie kodu lub jego samomodyfikacja, używanie nieudokumentowanych właściwości hadware’u itp.
            Od niedawna jest propagowana moda na wybijanie szyb w samochodach, gdy zauważy się w nich małego człowieka (tzw. dziecko) w czasie upałów. Ba, nawet gdy to tylko piesek, żeby się nie ugotował… Czy „włamywaczom” ma za to coś grozić?

      • 2023.12.06 22:34 Kolejarz

        Po pierwsze: jak się tak dobrze znasz to powinieneś wiedzieć, że przeglądy okresowe pociągów nie robi się zgodnie z dokumentacją techniczno-ruchową DTR tylko zgodnie z dokumentacją systemu utrzymania DSU.
        Po drugie: ta tak zwana przez ciebie firemka robiła przegląd utrzymania właśnie zgodnie z DSU stworzoną przez NEWAG, a w niej nie ma ani słowa na temat konieczności stosowania trików, aby obejść miny pozostawione przez producenta, aby uruchomić pociąg.

        Odpowiedz
        • 2023.12.09 08:11 Adam

          Przecież SPS nie ma DSU do tych pociągów.

          Odpowiedz
          • 2023.12.10 10:54 adamh

            Jak nie ma jak ma

          • 2023.12.14 18:06 sosnowy

            z artykułu: ” SPS przeprowadza przegląd zgodnie z odpowiednią instrukcją (o objętości ok. 20 000 stron), dostarczoną przez producenta”

      • 2023.12.06 22:50 jkasdh

        Może jeszcze i cert pozwą?
        Sam zarząd na start zarzuty z art. 296 i 294 KK, do tego kara od UOKIK i masa pozwów cywilnych od konkurencji jak i klientów. Dorzucając do tego obecne problemy finansowe, bardzo możliwy środek zapobiegawczy w postaci zakazu ubiegania się o zamówienia publiczne oraz znaczny spadek zaufania, to firma raczej nie będzie tracić pieniędzy na pozwy, które i tak przegra. Co ważne kod nie został zmieniony, a jedynie była przeniesiona flaga z działającego pociągu, więc nie ma najmniejszych podstaw by powoływać się na prawo autorskie czy też ingerencje w kod.

        Odpowiedz
        • 2023.12.09 08:12 Adam

          Przecież ktoś ingerował w kod i wprowadził zmiany.

          Odpowiedz
          • 2023.12.10 10:55 adamh

            Nie było żadnej ingerencji w kod

      • 2023.12.07 07:14 Rafał

        Oczywiście że płoną – najczęstsza przyczyna awarii zasilaczy, zdarza się to również w sprzętach zaprojektowanych aby szybko się zepsuły (kondensatory blisko radiatorów). Nawet nówka kondensator prosto z polki po zamontowaniu potrafi strzelić pomimo sprawności układu elektronicznego.

        Odpowiedz
        • 2023.12.07 10:31 AndrzejD

          Przeczytałeś z tego coś więcej niż pierwsze zdanie ?
          To przeczytaj, potem ochłoń i pomyśl zanim zaczniesz pisać głupoty.
          ” Niestety w trakcie eksperymentów płonie ostatni działający komputer pokładowy. Tak, płonie – pali się kondensator” – W TRAKCIE EKSPERYMENTÓW prowadzonych przez tych amatorów.
          Rozumiem że nikt z Was nie będzie miał żadnych obaw żeby wsiąść na pokład samolotu, wiedząc że był serwisowany przez przypadkowy nieautoryzowany serwis ?
          I przestańcie pitolić głupoty że jestem pracownikiem NEWAGU- nie, nie jestem. Pracuję w kompletnie innej branży bez związku z koleją.
          A może to wy jesteście rzecznikami tych kolesi którym zaczęło się już mocno palić pod tyłkiem, bo za chwilę będą mieli na głowie prokuratora.

          Odpowiedz
          • 2023.12.07 10:46 adamh

            Misiu puszysty, drugi raz Ci piszę, że eksperymenty prowadzili na egzemplarzu testowym na swoich biurkach, właśnie po to, żeby nic nie wybuchło :)

          • 2023.12.08 15:03 Logiczny

            To że coś stało się w trakcie nie jest równoznaczne z tym, że w efekcie. Jeśli w trakcie jazdy autem po ośnieżonej drodze wpadnę do rowu to będzie oznaczać że wpadnę w rów bo jadę? A może bo wpadłem w poślizg, a może… Nie odwracaj kota ogonem stosując jakieś językowe sztuczki z ukrytą sugestią, że akurat przez eksperymenty kondesator wybuchł, równie dobrze mógł wybuchnąć w TRAKCIE jazdy i wtedy kto jest winny? Maszynista? Pasażerowie bo jadą?

          • 2023.12.14 18:20 sosnowy

            z artykułu: ” Na miejscu dostają pociąg, który nie jeździ, dwa zapasowe komputery i pliki SDK producenta komputera.”
            „dwa zapasowe komputery”

          • 2023.12.30 12:09 OMG

            AnczejD albo nie rozumie artykułu, albo co się do niego pisze, albo rzeczywiście pracuje gdzieś w zupełnie innej branży… np. w dziale kreowania dobrego PR. :P

      • 2023.12.07 08:53 AntyDzban

        Andrzeju wracaj do pracy, bo twój szef z Newagu właśnie zagwizdał.

        Odpowiedz
      • 2023.12.07 14:04 Piotr

        Patrząc na jakość tego kodu (vide kylawe sprawdzanie daty) to boję się wsiadać do oryginału.

        Odpowiedz
      • 2023.12.08 10:58 Tommy

        Ooo, prezes Newagu się odezwał i udaje oburzonego czytelnika…

        Odpowiedz
  • 2023.12.05 16:29 b1234

    To są jakieś jaja. To się nadaje do ścigania przez urząd antymonopolowy, w Polsce zdaje się to jest właśnie UOKiK.

    Odpowiedz
    • 2023.12.05 21:40 Anna

      UOKiK jest od sporów konsumenckich, tutaj mamy samorządy

      Odpowiedz
      • 2023.12.06 07:25 Mati

        Nie prawda, także od konkurencji

        Odpowiedz
      • 2023.12.06 07:31 Arbc

        Urząd Ochrony __Konkurencji__ i Konsumenta; NEWAG zdecydowanie narusza tu równość w konkurencji – dwie z pięciu przesłanek wymienionych na stronie UOKiK jako ich zadania. Jeśli to odpuszczą to powinni być maglowani do skutku.

        Odpowiedz
      • 2023.12.06 15:05 Mauy

        Konsumenckich… Ten spór UOKiK z Gazpromem o blisko 30 miliardów złotych to sprawa konsumencka? Że niby UOKiK walczy o moją kuchenkę gazową? Dobrze wiedzieć!

        Odpowiedz
  • 2023.12.05 16:34 Dashrek

    Ciekawe by było, jakby spece z NEWAGU zostali trafieni przez rosyjską artylerię. Polacy ewakuowali by się pociągami do Czech, Słowacji i Niemiec, a tu problem kibla, który uniemożliwia wyjazd pociągu ze stacji. Newag to jednak firma Januszy.
    Najprościej jest zrobić sąd wojskowy, za niedostosowanie pojazdu do ewakuacji z kraju.

    Odpowiedz
    • 2023.12.05 22:48 Tomek

      Jeśli dobrze zrozumiałem, to gdyby stał w serwisie w Czechach problem by nie istniał. Tam była lista stacji „zabronionych”, a nie „dozwolonych”

      Odpowiedz
      • 2023.12.06 00:06 Anon

        Zakładając, że w okolicy nie ma zbyt wielu stacji naprawczych, listy dozwolonych i niedozwolonych są praktycznie takie same. Tym bardziej, że w każdej chwili można go zaktualizować bezprzewodowo…

        Odpowiedz
        • 2023.12.06 01:15 eMeR

          Ale tylko jeden z tych pociągów miał takie wyposażenie. Innymi nie dało się w ten sposób manipulować…

          Odpowiedz
          • 2023.12.06 13:10 Heki

            Jeden miał dodatkowe urządzenie mające połączenie z systemem. Zdalne aktualizacje miały wszystkie.

          • 2023.12.06 13:34 Fjsj

            W każdym pociągu można było wysłać aktualizację kodu, więc każdy pociąg mógł być zatrzymany kiedy producent sobie tego zażyczy. Po milionie kilometrów,13 stycznia, w pełnię księżyca albo jak spłuczka w kiblu zostanie uruchomiona 6000 razy.
            Jeśli więc piszesz że to dotyczyło tylko 1 pociągu, to albo masz problemy ze zrozumieniem albo nieudolnie bronisz producenta.

      • 2023.12.06 08:26 Dashrek

        Tu nie chodzi o to, że są niedozwolone, tylko o procedurę przeglądu. Wyciągasz wszystko, to komputer o tym wie. Jak coś wymieniłeś, to zmienia się jego numer seryjny i komputer też to wie. Potrafi on wykryć wymiany sprzętu i jeżeli podłączony do zasilania, to także serwisowanie, bo zamieniasz pociąg na czynniki pierwsze. Jak wykryje serwisowanie, to sprawdza lokalizację, a potem blokuje pociąg. Hakerzy mogli zmienić kod binarny jedynie do assemblera, a w nim odczytać co najwyżej proste instrukcje warunkowe if a49, gdyby tylko te 51 i 49 jakoś zaszyfrował zmiennymi b i c, i ich wartości wyliczałbyś jakimiś pozycjami średnika w pliku tekstowym np. pozycje średników to 10, 20, 510 i 980 i to jest tablica p, co implikuje nam -> if a(p[3]/p[1]), to haker miałby większy problem, bo kod jaki zrobi zwykły język c z pamięcią, jest trudniejszy do odczytania. Można to sobie zasymulować kompilując program przy użyciu gcc -S, wtedy zamieni się go do assemblera.

        Odpowiedz
        • 2023.12.06 10:25 Mariusz

          Cześć, Przepraszam, ale nie byłeś na conf i piszesz głupoty. pozdrawiam

          Odpowiedz
    • 2023.12.06 00:04 sebi

      Jaka legislacja zobowiązywałaby ich do przystosowania pociągów do ewakuacji?

      Odpowiedz
      • 2023.12.06 12:59 janusz

        ustawa o nazwie Kodeks karny

        Odpowiedz
        • 2023.12.06 22:03 Xxx

          A który artykuł kodeksu karnego?

          Odpowiedz
    • 2023.12.06 09:20 Piotr

      Dlatego najpierw pociąg miał opcję kliknięcia kilka razy w ekran odpowiedniej sekwencji, żeby się odblokować :)

      Odpowiedz
  • 2023.12.05 16:40 Marcin

    Za takie akcje Newag powinien wylecieć z postępowań na co najmniej 5 lat.. Nie będę ździwiony, jak przy najbliższych postępowaniach przetargowych „przegrają” :)

    Odpowiedz
    • 2023.12.05 19:44 uzytkownik

      Za taką akcję to rzeczywiście 5 lat, ale dyrektora za kratkami.

      Odpowiedz
  • 2023.12.05 17:01 T_O

    Jakby władza zamiast podsłuchiwać opozycję i swoich obywateli robiła to co do niej należy – to takie coś nie miało miejsca.

    Powinna być komisja śledcza odnośnie nieprawidłowego działania służb. Należy wyjaśnić dlaczego służby zamiast zajmować się takimi przypadkami zajmowały się pierdołami.

    Odpowiedz
    • 2023.12.05 22:41 Deornoth

      Trochę fantazja Cię poniosła. Nie wyobrażam sobie władzy, która zajmuje się analizą takiego typu oprogramowania, z góry zakładając, że producent chce coś popsuć.
      Na marginesie: tak samo zresztą nie wyobrażam sobie władzy rezygnujacej z możliwości, które dają jej służby specjalne, ale mniejsza z tym. Prawda taka, że mamy do czynienia z totalnym przecięciem po stronie producenta, ktoś musi za to „beknąć. Szacun dla tych 3 panów, gigantyczna mrówcza robota.

      Odpowiedz
    • 2023.12.06 08:07 Hamlet ()

      To jakieś totalitarne urojenia, że za dosłownie wszystko w kraju odpowiada „rząd” i „rząd” ma się zajmować każdą dziedziną życia obywateli. Pole do popisu dla UOKiK i być moze prokuratury jest dopiero teraz, kiedy monopolistyczne chwyty wyszły na jaw i trzeba ustalić i ukarać odpowiedzialnych.

      Odpowiedz
    • 2023.12.06 10:07 toogreen

      Teraz władza się zmienia, wraca praworządność i uczciwość, więc żadna firma, z Newagiem na czele nie będzie postępować nieuczciwie. Nawet nie dlatego, że będą się bali. Po prostu nie będą chcieli, będą się wstydzili, będzie im głupio. Bo taki będzie klimat.
      Podsumowując: winy tej sytuacji jest PiS :D

      Odpowiedz
      • 2023.12.07 23:05 Padam że śmiechu

        @toogreen
        😂😂🤣🤣🤣🤣🤣🤣
        Sarkazm na dobrym poziomie.👋

        Odpowiedz
  • 2023.12.05 17:04 Michał

    No muszę przyznać że newag stawia to w absolutnie negatywnym świetle, w skrócie: co za ch**e

    Odpowiedz
  • 2023.12.05 17:15 Marek

    Ciekawe co na to na przykład Francja. Ostatnio Newag podpisał umowę na sprzedaż lokomotyw. Jak oni będą podchodzili do metod stosowanych przez tego producenta. :)

    Odpowiedz
    • 2023.12.06 13:19 Łowca Marmolady

      W tym przypadku muszą tylko pamiętać aby roamingu uruchomić :).

      Odpowiedz
  • 2023.12.05 17:17 kolejowymir

    Dużo się słyszy, że pralka skończy prać w dniu gwarancji, lodówka zacznie grzać, a silnik o własnych siłach opuści pojazd. Ale żeby pociąg przestał jeździć 21 listopada to wyższy poziom absurdu. Gorąco motywuję chłopaków do publikacji, myślę, że oprócz mojego entuzjazmu do przeczytania, znajdą się inne firmy które chętnie wybulą parę pieniążków celem rozwiązania podobnej zagadki.

    Odpowiedz
    • 2023.12.06 09:57 Anna

      Zgadza się! Niesamowita historia! Nie mogę doczekać się również publikacji. Historia nadaje się na film, ale i również daje do myślenia w codziennym życiu. Czy rzeczy codziennego użytku mogą być programowane aby zepsuć się w konkretnych momentach i wymuszać tym jednocześnie ponowny ich zakup? Mam nadzieję, że zagraniczne media się tym zainteresują i winni zostaną ukarani. Przecież dostęp do zdalnego sterowania pociągów może prowadzić do katastrof, a nawet może zostać wykorzystany do ataków terrorystycznych!

      Odpowiedz
      • 2023.12.06 20:44 pt@

        Zarzut nie polega na tym, że producent mógł spowodować katastrofę tylko, że prowadził nieczystą grę w stosunku do konkurencji. I producent tłumaczy się, że zablokował dla bezpieczeństwa. Tak samo każdy samochód ma oprogramowanie silnika, którego nie da się łatwo podmienić i np zmienić wskazania licznika kilometrów albo właśnie obniżyć bezpieczeństwo sterownia. W imię tego, sprzęt powszechnego użytku może zasadniczo przestać działać zaraz po upłynięciu gwarancji. Nie żebym chciał, ale … do tego by sprzęt był we władaniu użytkownika potrzeba by był rozwiązaniem otwartym i taki sprzęt oczywiście istnieje tylko zwykle nie znajduje uznania użytkowników, którzy wolą coś markowego i taniego.

        Odpowiedz
      • 2023.12.07 02:52 Formbi

        niekoniecznie są programowane, raczej wytrzymałość poszczególnych elementów dobiera się tak, aby mogły się popsuć w odpowiednim momencie

        Odpowiedz
  • 2023.12.05 17:19 Zenek

    Słyszałam o tym w zeszłym roku od kolegów z branży i ciężko było mi w to uwierzyć. Jednak widzę, że jest to prawda. Producent powinien dostać dużą karę za takie praktyki.

    Odpowiedz
    • 2023.12.06 01:19 eMeR

      Kara dla takich „nadsprytnych” firm powinna być tak duża, żeby po niej plajtowały. Z jednej strony to skutecznie wyeliminuje danego oszusta z rynku, a z drugiej podziała odstraszająco na innych kombinatorów.

      Odpowiedz
    • 2023.12.06 07:22 Egon

      Nie tylko producent. Jaki dev zgodził się zrobić coś takiego? Po aferze VW programiści trafili do pierdla. Ale żyjemy w Polsce…

      Odpowiedz
      • 2023.12.06 10:58 kolega

        tych devów nie jest znowu tak wielu i łatwo ich wyszukać na linkedin. Jak *ktoś* chce, to bez kłopotu zawęzi grono osób do odpytania ;)

        Odpowiedz
      • 2023.12.06 11:00 Stefan

        Jak to jaki… pewnie jakiś student na stażu. Widać po sposobie implementacji sprawdzania daty. :P

        Odpowiedz
        • 2023.12.06 23:58 MixhałŻ

          Gdzieś czytałem, że tak w niektórych sterownikach PLC się porównuje daty, ale nie wiem czy to prawda.

          Odpowiedz
  • 2023.12.05 17:22 pL

    Producent za takie praktyki powinienzostac ukarany maksymalna kara i zakazem dzialnosci w PL.

    Odpowiedz
    • 2023.12.06 07:05 Dawid

      No jasne, uwalmy sobie duży zakład produkcyjny, pewnie, stać nas przecież.

      Oczywiste jest, że ktoś musi za to ponieść konsekwencje, ale osobiste, karne. Firma też konsekwencje ponieść musi, ale tu wykluczenie na kilka lat z przetargów + duża kara finansowa wydają się adekwatne, a nie zakaz działalności w kraju.

      Odpowiedz
      • 2023.12.06 10:35 TOMEK

        A dla czego nie?? To nie była pralka czy lodówka lub TV (akurat z takim problemem sam się spotkałem) co powoduje problem a właściwie pewien dyskomfort u jednego czy kilku przysłowiowych Kowalskich. NEWAG poszedł tu po bandzie i w taki sam sposób powinien ponieść odpowiednie konsekwencje. Unieruchomienie pociągu przez producenta jeśli tenże pociąg pojechał na serwis do jednej z konkurencyjnych firm powinno uruchomić już nie tylko UOKIK ale służby specjalne.

        Odpowiedz
        • 2023.12.06 15:32 SW

          Może wystarczy _prezesa_ na 3 miesiące do aresztu posadzić bez prawa do kaucji, żeby nie majtaczył.
          Potem nawet i wypuścić, ale niech posiedzi chwilę, to mu się odechce kombinowania.

          Odpowiedz
  • 2023.12.05 17:35 Hans

    Zwrócić sprzedawcy, odebrać kasę, zażądać odszkodowania będącego równowartością różnicy pomiędzy ceną ofertową a kolejną spełniającą warunki przetargu. (oprócz wszystkich pozostałych). Zajebista historia

    Odpowiedz
  • 2023.12.05 18:00 Zenek

    Internet rzeczy oparty na zamkniętym oprogramowaniu w praktyce. Dzisiaj działa, za rok producent ograniczy zdalnie prędkość do 50 km/h albo wprowadzi abonament za korzystanie z klimatyzacji. Nie ma już czegoś takiego jak własność, jest tylko prawo do korzystania z „waszej” rzeczy, które to może zostać w każdej chwili cofnięte.

    Odpowiedz
    • 2023.12.06 20:50 pt@

      Dokładnie tak. Większość tego, co kupujemy jest pod kontrolą producenta. Aczkolwiek producent nie jest właścicielem, nie może rozporządzać tym sprzętem nieograniczenie. Jeśli ktoś kupuje zamknięty sprzęt to nie powinien dziwić się, że producent będzie wiedział lepiej od użytkownika. I tylko kwestia blokowania możliwości naprawy przez niezależne serwisy jest raczej oczywiście bezprawna. No ale jak uzasadni to bezpieczeństwem, tak jak tutaj, to pewnie nic z tym nikt nie zrobi.

      Odpowiedz
      • 2023.12.20 00:51 Krzysiu

        a ja miałem taki smart dimmer z AliChin…

        działał dwa lata, wymagał GPSu przy instalacji (wth), Bluetooth oraz hasła do domowego routera, i jak myślicie czy to przypadek, że przestawał działać w taki sposób:

        pewnego dnia o bladym świcie światło na full i miga dioda że błąd
        potem po paru godzinach udało się reset i działał ok dzień lub dwa
        potem o 3 nad ranem znowu światło full i brak jakiejkolwiek kontroli manualnej, aż wyrwałem go z miejsca

        Odpowiedz
  • 2023.12.05 18:01 ech

    VW, Bosch, i paru innych z branży moto, dostali grube kary za „sztuczki” z oprogramowaniem w sterownikach aut.

    A w kraju z dykty co będzie?
    zamiotą pod dywan a newag zaktualizuje soft zacierająć ślad sk…syństwa którego się dopuścił?

    Odpowiedz
  • 2023.12.05 18:03 stefan

    a ja jestem ciekawy jak to się potoczy – bo DS praktycznie 'przełamali zabezpieczenia programów komputerowych’?

    Odpowiedz
    • 2023.12.06 16:10 Łukasz

      No i? Firma miała naprawić pociąg to naprawiła. Wynika, że nawet inaczej tego zrobić nie mogła.

      Odpowiedz
    • 2023.12.06 22:12 Marek

      W unii europejskiej można robić reverse engineering, orzekały już o tym sądy.
      „nie wymaga zezwolenia uprawnionego: obserwowanie, badanie i testowanie funkcjonowania programu komputerowego w celu poznania jego idei i zasad przez osobę posiadającą prawo korzystania z egzemplarza programu komputerowego, jeżeli, będąc do tych czynności upoważniona, dokonuje ona tego w trakcie wprowadzania, wyświetlania, stosowania, przekazywania lub przechowywania programu komputerowego”

      Dz.U. z 1994 r. nr 24, poz. 83, art. 1 i art. 75.

      Odpowiedz
      • 2023.12.09 08:19 Adam

        Ale oni nie mieli upoważnienia do korzystania z program.

        Odpowiedz
        • 2023.12.10 10:57 adamh

          Mieli pełne, działali na zlecenie właściciela.

          Odpowiedz
  • 2023.12.05 18:12 BladY

    Newag powinien zapłacić odszkodowania za straty u klientów a osoby wewnątrz firmy Newag które podjeły decyzje o wprowadzeniu takich ukrytych funkcji powinny odpowiadać z art.20 K.K.
    Przestępstwem o charakterze terrorystycznym jest czyn zabroniony zagrożony karą pozbawienia wolności, której górna granica wynosi co najmniej 5 lat, popełniony w celu:

    3) wywołania poważnych zakłóceń w ustroju lub gospodarce Rzeczypospolitej Polskiej, innego państwa lub organizacji międzynarodowej
    – a także groźba popełnienia takiego czynu.

    Odpowiedz
    • 2023.12.06 01:21 eMeR

      Kara powinna być tak olbrzymia, żeby doprowadziła firmę do upadłości. To wyeliminuje oszusta z rynku i odstraszy innych cwaniaków.

      Odpowiedz
      • 2023.12.06 10:10 Miki

        Właśnie tu trzeba rozdzielić osoby odpowiedzialne od firmy. Czemu winne są setki pracowników, którzy nie mieli o tym pojęcia. Ten przykład pokazuje również, że właśnie POWINNIŚMY w Polsce mieć duże firmy produkujące tabor kolejowy i inne zaawansowane maszyny, urządzenia i pojazdy.

        Odpowiedz
        • 2023.12.06 10:38 TOMEK

          A co, myślisz, że tylko dwie osoby wiedziały o tym procederze? Trudno i darmo, ale pracownicy NEWAG-u powinni ponieść konsekwencje działalności tej firmy, nawet jeśli bezpośrednio w tym procederze nie uczestniczyli.

          Odpowiedz
          • 2023.12.06 19:31 asd//

            Gupiś jak but i tyle. Może jeszcze tak: „Sprzątaczki winne. Pan Kazio-dozorca winny. Kadrowa winna. Heniek spawacz winny. Dostawca stali, z którym mają kontrakt – winny. Wszystkich na bruk! Ich rodziny też na bruk. I ze dwa pokolenia wstecz i do przodu – tak na wszelki wypadek.”
            Wkurzają mnie tak ograniczeni ludzie. A politycy takich uwielbiają.

          • 2023.12.06 22:12 Karton

            Ja myślę że nie ma co się tylko ograniczać do pracowników newagu, którzy stracą pracę bo ktośnw IT i jakiś dyro/prezo podjął karygodną decyzję. Newag to Polska firma, więc trzeba Polskę doprowadzić do bankructwa i zlicytować, bo taka zbrodnia nie może zostać bez kary. Parlament europejski też nic nie zrobił więc całą Europę trzeba uwalić taką karę że zbankrutuje, Chiny i Stany Zjednoczone też, bo sterownik chiński a tłumaczenie angielskie więc też bankructwo i sprzedaż w niewolę Afryce. I dopiero wtedy zatriumfuje sprawiedliwości i prawo..

        • 2023.12.06 11:12 Mateszu

          Taaa… developerzy co to kodowali nie wiedzieli?
          Tak samo jak w Volskwagenie czy Boingu – nie wiedzieli… Wiedzieli doskonale – nawet pewnie probowali namawiac swoich zepsutych managerow do zmiany zdania – ale w koncu sie ugieli.

          Powinna powstac przysiega Hipokratesa dla informatykow – pozwalajaca w takich sytuacjach powiedzienie „nie” swojemu managerowi…

          Odpowiedz
          • 2023.12.06 15:07 Romek

            Ta, klauzula sumienia dla devów :D

          • 2023.12.17 02:55 m

            To akurat było by dobre, żeby było łatwiej egzekwować naprawę szkób przez trefne programowanie

  • 2023.12.05 18:17 Kuba

    Nie dość, że sabotaż bezczelny, to jeszcze nieumiejętny. Mam nadzieję, że newag i jego pracownicy zostaną przykładnie ukarani.

    Odpowiedz
    • 2023.12.05 22:48 kez87

      a jak chciałbyś to umiejętnie sabotować ? Owszem,można było lepiej,ale może nie mówmy jak.

      Odpowiedz
      • 2023.12.06 01:28 pendragon

        Sposobów są miliony, specjalnie w tak skomplikowanym systemie jak pociąg. Talęntliwi producenci robią to inaczej, na przykład w drukarkach jest limit ile razy dany komponent może być uruchomiony dla „bezpieczeństwa i jakości produktu”. Można to było zrobić też tak że na przykład jak na CANie jakiś moduł nie dostanie odpowiedniego sygnału zacznie wysyłać nieco złe napięcie do jakiegoś układu przepalając go powoli. Dodatkowo „zapomnieć udokumentować”
        Można tak zaprojektować pociąg że harmonogram serwisowy będzie taki że praktycznie pociąg będzie musiał być cały czas serwisowany i jakimś cudem producent jest w stanie „przedłużyć” żywotność komponentów poza oficjalną żywotnością sprzętu na oficjalnej dokumentacji.

        W branży auto przeglądnąłbym jak wygląda harmonogram serwisowania w porównaniu do zaleceń sub-dostawcy danego komponentu ;), jest przynajmniej parę producentów gdzie jak się przyjrzy śa ciekawe kwiatki.

        Odpowiedz
  • 2023.12.05 18:19 Boxicool

    Wow. Konsekwencje przecież w wielu przypadkach mogły by być tragiczne. Firma powinna dostać porządnie po czterech literach za to. Czemu, Polska taki piekny kraj musi się zmagać na każdym szczeblu z taką mentalnością.

    Odpowiedz
    • 2023.12.06 10:13 Miki

      No nie tylko Polska… diesel-gate VW pokazuje, że to szersze zjawisko. Szkoda takiej firmy, to firmy z sektora strategicznego, tylko ludzie nie dorośli do kierowania takimi firmami.

      Odpowiedz
  • 2023.12.05 18:31 PTR

    Ja prdl, nie wierzę co czytam…

    Odpowiedz
    • 2023.12.06 15:04 Cośtam

      aj tam nie słyszałeś o spisku żarówkowym. To tylko wierzchołek góry lodowej :|

      Odpowiedz
  • 2023.12.05 18:40 Observer

    Jak widać nasi również umieją w celowe postarzanie pojazdów. ;)

    Odpowiedz
  • 2023.12.05 18:51 P

    Za coś takiego UOKiK powinien wlepić karę w wysokości ceny ~10 składów i nakazać zwrot kosztów przestojów z nawiązką 1:1.

    Odpowiedz
  • 2023.12.05 18:52 Marek

    To jest skandal. Jest to także demonstacja przyzwolenia na takie zachowania. Brak stanowczej reakcji instytucji poza CERT pokazuje zarówno ignorancję tych instytucji, jak i brak zainteresowania rozwiązywaniem rzeczywistych problemów (biurokracja preferuje rozwiązywanie problemów stworzonych przez samą siebie).

    Odpowiedz
  • 2023.12.05 18:55 bartino

    Ja bym dupę truł jako SPS równolegle Newagowi i Kolejom Dolnośląskim, bo jak Jezus mówił – szukajcie, a znajdziecie; kołaczecie, a otworzą wam. Albowiem każdy, kto prosi, otrzymuje; kto szuka, znajduje – skoro SPS zrobił wszystko zgodnie z protokołem te czemu pociąg nie jedzie? Nie wiem mieli filmować każdą czynność łącznie w wychodzeniem pracowników do toalety? Mają wewnętrzne instrukcje jak postępować i jeśli pociąg nie działa ok, może być coś źle ale do KVVY nędzy 5 pociągów nie działa? Ja jako zamawiający zrobiłbym w sądzie Newagowi jesień śreniowiecza za taki coś, a może jest inny wątek, może specjalnie to tak działa żeby wykończyć inne firmy robiące przeglądy.

    Odpowiedz
    • 2023.12.06 01:26 eMeR

      Chodziło właśnie o wyeliminowanie konkurencji. Ewidentnie. To jest przestępstwo z zakresu nieuczciwej konkurencji i powinien zająć się tym m.in. UOKiK.

      Odpowiedz
      • 2023.12.06 16:11 Adam

        Co w tym nieuczciwego że producent chroni swoje prawa?

        Odpowiedz
        • 2023.12.06 19:21 Stary baran

          Chroni swoje prawa poprzez zmuszanie klienta do serwisowania pojazdu tylko u siebie poprzez dodanie złośliwego kodu który tylko producent może zdjąć? Nie jesteś najostrzejszą kredką w piórniku, prawda?

          Odpowiedz
          • 2023.12.09 08:21 Adam

            Przecież nie zmusza. Klient może serwisować pociągi w autoryzowanym serwisie.

        • 2023.12.06 19:35 sadsa//

          Jakie prawa? – Kupujący wiedział, że musi naprawiać u producenta? I że skład ma bombę zegarową?

          Odpowiedz
          • 2023.12.09 08:22 Adam

            Wiedział skoro w warunkach przetargu nie było przekazania kodów ani dokumentacji serwisowej.

        • 2023.12.06 20:18 Paweł

          Jakie prawa masz na myśli? Nie mają wyłączności na serwis. Wyobrażasz sobie takie samo coś w wypadku samochodów?

          Odpowiedz
          • 2023.12.09 08:23 Adam

            Prawa autorskie i dokumentację serwisową.

        • 2023.12.06 22:15 David

          Jakie prawa? Zamówienie zawierało oczekiwanie żeby pociągi przestały działać po zrobieniu serwisu czy dokumentacja od producenta załączona do przetargu informowała o tym feature?
          Nie ma żadnych praw, jest działanie niezgodne z prawem.

          Odpowiedz
          • 2023.12.09 13:46 Adam

            Zamówienie nie zawierało przekazania kodów źródłowych ani dokumentacji serwisowej.

        • 2023.12.07 19:12 wk

          @Adam

          W tym przypadku Kupujący nie wiedział że kupuje pociągi, które muszą być serwisowane tylko i wyłącznie w serwisie Producenta. Sprzedający ukrył tę wiedzę na etapie zawierania umowy. Wymóg serwisu w Newag nie stał się tym samym częścią umowy, więc nie podlega ochronie.

          Odpowiedz
          • 2023.12.09 08:27 Adam

            Przecież kupujący o tym wiedział, bo w warunkach przetargu nie chciał dokumentacji serwisowej ani kodów źródłowych.

            Co więcej nie musi serwisować u producenta, może w autoryzowanym serwisie n.p. PolRegio, Kolei Mazowieckich albo Kolei Małopolskich które w warunkach przetargów wymagały przekazania dokumentacji serwisowej.

          • 2023.12.14 18:55 sosnowy

            @Adam. „SPS przeprowadza przegląd zgodnie z odpowiednią instrukcją (o objętości ok. 20 000 stron), dostarczoną przez producenta”

    • 2023.12.06 07:34 twinki

      Jedyna jesień na jaką Cię stać to kalendarzowa ;) Ty nie jesteś tutaj zamawiającym i chyba nigdy w sądzie nie byłeś… dorośnij!

      Odpowiedz
      • 2023.12.06 13:42 Konrad

        Przecież oglądał Sędzię Anne Marie Wesołowską xD

        Odpowiedz
      • 2023.12.06 14:34 Bartek

        Ale ja byłem w sądzie nie raz, a złożenie pozwu i prowadzenie sprawy naprawdę nie jest takie drogie. Naoglądałeś się za dużo amerykańskich filmów, w których zasobność portfela decyduje o wielkości zespołu prawników, a ten bezpośrednio przekłada się na wygraną. W Polsce tak to nie działa. Poza tym, NEWAG nie jest prywatną spółką jego zarządu – jest w publicznym obrocie, a sama spółka ma radę nadzorczą, która jak tylko zrobi się gorąco, ten zarząd odwoła. Sam Newag stracił wiarygodność przed potencjalnym zamawiającym, jakim są samorządy, sprawy się uciszyć nie da i zaraz może zostać wykluczony z przetargów na kilka lat, wystarczająco, żeby się nie podnieść. Konieczek, Borek, Michalik – te nazwiska zapamiętujemy i powtarzamy w każdym miejscu, które mówi o tej aferze. Żeby każda spółka w obrocie giełdowym dobrze zapamiętała, że to jak głaz rzucony na kurs akcji.

        Odpowiedz
  • 2023.12.05 19:00 Polak

    Brawo UTK, w normalnym kraju gdyby urzad homologujący dane typy pociągów dowiedział się o tym, że dane pociagi mają backdoor to natychmiast cofnąłby homologacje i zabronił dalszego ruchu, ale na polskiej kolei jak zawsze tak samo. Mem a nie UTK, ktory wiecznie gada tyle o bezpieczenstwie, zainteresowal sie bezpieczenstwem.

    Odpowiedz
    • 2023.12.05 23:18 Dominik

      UTK jest przecież od blokowania dostępu do torów konkurencji PKP IC, a nie jakiegoś dbania o bezpieczeństwo.

      Odpowiedz
    • 2023.12.06 00:27 MiJ

      Niestety w naszym kraju UTK to nic innego jak upolityczniony Urząd Tępienia Konkurencji

      Odpowiedz
  • 2023.12.05 19:16 agresor

    Piękny, czysty hacking.

    Odpowiedz
    • 2023.12.05 21:43 Anka

      Newagi na WKD też nie jeżdzą…

      Odpowiedz
      • 2023.12.05 22:32 Jaco

        Przypadek?

        Odpowiedz
        • 2023.12.09 08:29 Adam

          PolRegio, Koleje Mazowieckie i Koleje Małopolskie nie mają z nimi problemów.

          Odpowiedz
          • 2023.12.14 18:58 sosnowy

            a gdzie je serwisują?

          • 2023.12.14 22:28 Białeizielone

            Guzik prawda, impulsy z KM były dobre do czasu przeglądu w Mińsku Mazowieckim. Teraz jakoś jeżdżą, ale potrafią się im aktywować naprawdę dziwne błędy. Pracownicy narzekając pod nosem obwiniali za to Mińsk, a tymczasem wina może leżeć po stronie Newagu. Wieczne usterki WC (które ciężko obejść bo są problemy z bezpiecznikami), jakieś fochy w czasie jazdy (był moment w 2021 roku gdy jak w zestawieniu składu pasażerskiego była chociaż jedna z czterech konkretnych jednostek i jechały do Mińska to było wiadomo, że z niego nie wyjadą czynnie bo coś się wykrzaczy na obrocie), alarm SOS w toalecie dla osób na wózku wyjący w czasie każdego hamowania, brak kompatybilności między niektórymi jednostkami (niektóre jeżdżą zestawione w dowolny sposób, a są takie, które „gryzą się” ze sobą po połączeniu). Po prostu są to takie drobne uciążliwości, o których mówią pracownicy między sobą, ale materiału jest za mało na artykuły. Najbardziej obrywają przez nie drużyny pociągowe (a zwłaszcza kierownicy pociągu), które świecą oczami za całe to dziadostwo bo są na pierwszej linii kontaktu ze wściekłymi pasażerami.

  • 2023.12.05 19:20 Dev

    To jest ten przypadek w którym programiści za „tylko wykonywanie poleceń” powinni pójść siedzieć za współudział w akcie terrorystycznym.

    Jak unieruchomić pociągi produkcji Newag? Wystarczy każdemu z nich zapodać fałszywe dane GPS wskazujące, że stoi w warsztacie konkurencji.
    Brawo. Zdrada stanu.

    Władze wysłać do obozów pracy, pracowników do więzień, a majątek znacjonalizować.

    Odpowiedz
    • 2023.12.05 22:22 Honkey

      No nie – by te koordynaty „załapały” to taki pociąg musiałby tam stać 10 dni…

      To już prędzej – mając możliwość zdalnego „aktualizowania” tego ustrojstwa, wówczas musisz zapuścić „zdalną aktualizację softu”, która przestawi flagi w kodzie wspomnianym w artykule, no i wówczas, rano – pociąg nie pojedzie…

      Samo zdalne wysyłanie telemetrii nie jest niczym nowym, ani strasznym – bo większość nowych pociągów, czy tramwajów – ma taki ficzer… tylko wtedy to jest jedynie jednokierunkowa telemetria – nie ma możliwości tą drogą, wysyłać poleceń do magistrali CAN…

      Natomiast po takim odkryciu, wypadałoby zrobić pełny audyt bezpieczeństwa, żeby się dowiedzieć co tam dokładnie siedzi…

      Odpowiedz
      • 2023.12.06 01:40 RR

        Przestawiając okres „unieruchomienia” pociągu w jednej lokalizacji z 10 dni na np. 10 sekund można by go unieruchomić. Skąd akurat można mieć pewność, że ten parametr nie jest konfigurowalny zdalnie?

        Odpowiedz
      • 2023.12.06 15:04 weirdnik

        Współczesne nowe samochody też mają telemetrię (i czarną skrzynkę), a wg tego co twierdził na jednym forum typ podający się za pracownika Tesli, mogą się nawet po ssh zalogować na każdy samochód.

        Odpowiedz
      • 2023.12.07 02:06 Dev

        @Honkey: Podrzucasz do pociągu urządzenie do GPS spoofingu, które utwierdza pociąg, że ten się nie przemieszcza i po 10 dniach pociąg staje na środku odcinka.
        Nie jest to może mega proste, ale nie wydaje się niewykonalne… zwłaszcza gdy chodzi o atak na infrastrukturę wrogiego państwa.

        Odpowiedz
  • 2023.12.05 19:25 Jan Przykład

    Czyli mówicie, że ten Newag to polska firma? No ciekawe, ciekawe.

    Odpowiedz
  • 2023.12.05 19:52 Gacie opadły

    Podpisuję się pod myślą „b1234”. No i jeszcze podziały kompetencyjne na samej górze. Wszystko niby ok.a maszyna nie jedzie.

    Odpowiedz
  • 2023.12.05 19:55 GS

    No i w kolejnych przetargach kod komputera sterujacego powinien byc jawny. Dostarczony przez producenta z instrukcją wgrania od zera.
    kupuje wgrywam, patrzę czy działa.

    Odpowiedz
    • 2023.12.05 22:35 Jaco

      I dzięki temu od razu odsiewasz sobie poważnych producentów, którzy używają podzespołów od poważnych poddostawców – bo taki Knorr czy inny ABB nie pokaże Tobie najnowszych kodów źródłowych, tak jak nie dostaniesz kodów źródłowych ani do Windowsa, ani tym bardziej do specjalistycznych programów, które kosztują więcej niż 4 cyfry.

      Odpowiedz
      • 2023.12.06 03:08 mei

        Jak jesteś wystarczająco dużym klientem, Microsoft jak najbardziej pokaże ci kod Windowsa. Nawet uniwersytety dostały go do researchu.

        Odpowiedz
      • 2023.12.06 08:37 Mariusz

        To zależy jaka jest umowa. Może też dotyczyć kodu źródłowego, jeśli takiego zapisu nie ma, a wątpię aby to ktoś podpisał, to po sprawie.

        Odpowiedz
  • 2023.12.05 20:05 GvS

    Nic tak nie uzdrawia nieuczciwych praktyk jak Open Source.

    Odpowiedz
    • 2023.12.07 12:27 skirge

      Critical był w bibliotece Open Source log4j, której używali praktycznie wszyscy.

      Odpowiedz
      • 2023.12.08 03:35 Lukasz032

        E tam log4j. W glibc całe dziesięciolecia siedział kod, który seedował kryptograficzny (!) generator liczb losowych niezainicjalizowaną zmienną ze stosu. Ktokolwiek kiedykolwiek kodził w C – wie, co to oznacza. A sprawa wyszła, jak OSX przerzucił się z GCC na LLVM, bo na większych optymalizacjach z całej tej funkcji zostawały… najmniej znaczące bity aktualnego czasu.

        Odpowiedz
  • 2023.12.05 20:06 Tomek

    A to sku#**#%. Nawet Niemcy z VW nie orżneli swoich obywateli i klientów, a w zasadzie to nawet działali na ich korzyść. A tu mamy wyłudzanie drugiego serwisu za pieniądze podatników.
    Do Bydgoszczy będę jeździł, a pociągu w Nowym Sączu nie kupię!

    Odpowiedz
  • 2023.12.05 20:10 leon

    Za coś takiego, powinien być natychmiastowy zwrot maszyn, wraz z żądaniem zwrotu pieniędzy oraz wszelkich dodatkowych kosztów.

    Odpowiedz
    • 2023.12.06 01:31 eMeR

      Nie przejdzie… Te pociągi muszą jeździć i wozić ludzi. Pod tym względem to jest sytuacja bez wyjścia, bo dostarczenia pociągu nie zamawia się tak jak dostawy samochodu (z magazynu).

      Odpowiedz
      • 2023.12.09 13:48 Adam

        Nie mogą jeździć, bo nie są zgodne z homologacją.

        Odpowiedz
        • 2023.12.10 11:00 adamh

          Są w 100% zgodne, nie został zmieniony ani jeden bajt programu komputera.

          Odpowiedz
  • 2023.12.05 20:12 bar

    Ciekawe kiedy ktoś zainteresuje się falownikami od fotowoltaiki wystawionymi do internetu, którymi może zarządzać producent zdalnie.
    Takie nagłe wyłączenie falowników w słoneczny dzień może pięknie rozchwiać energetykę.

    Odpowiedz
  • 2023.12.05 20:19 ZIWK

    Zarząd Newagu powinien trafić na linie kolejowe i ręcznie podbijać tory przez kilka lat…
    A tak na poważnie:
    Użytkownicy unieruchamianych Impulsów powinni zażądać SĄDOWNIE nie tylko pokrycia wszystkich strat (postoje, komunikacja zastepcza, utracone przychody z tytułu skróconych/odwołanych kursów), ale wystąpić do UOKiK-u z żądaniem śledztwa i ukarania firmy.

    Odpowiedz
  • 2023.12.05 20:24 Adam

    Ciekawe co by było, gdyby akurat GPS przestał zupełnie działać? Unieruchomiłoby to pociąg?

    No i wychodzi na to, że do bezpiecznego serwisu pociągu potrzebna jest profilaktycznie zagłuszarka GPS.

    Odpowiedz
    • 2023.12.05 23:48 Tomsk

      Jeździłby, zdarza się, że pojazd nie łapie fixa na rejestratorze, czy systemie informacji pasażerskiej. Mimo takiego czegoś jest w stanie się poruszać.

      Odpowiedz
    • 2023.12.09 13:49 Adam

      No przecież zdemontowali GPS i przestał działać.

      Odpowiedz
  • 2023.12.05 20:40 Michałek

    Trzeba zapytać Jakubasa co o tym wszystkim sądzi

    Odpowiedz
  • 2023.12.05 20:52 Roman

    Moja przeznych skur… spędziłem upojne 3 godziny w wagonie, który stał 300 od stacji końcowej. Pociąg był „resetowany” dwa razy. Policja pilnowała żeby nikt nie wysiadał na nasyp kolejowy. Podstawili pociąg zastępczy – zgodnie z procedurami.
    Spokojnie za coś takiego w kodzie sterującym pojazdem można stawiać zarzuty powodowania zagrożeń w ruchu pasażerskim.
    TO JEST GROŹNE!

    Odpowiedz
    • 2023.12.06 16:43 GTS

      Miałem to samo, ale w pociągu PESA ED74 („Edyta”). STaliśmy na wysokim nasypie, nie działały WC, drzwi, oświetlenie, ogrzewanie. Mróz -8. Szyby zamarzały od środka, a kierownik pociągu mówił przez tel serwisowi, że „nie wie gdzie jest przód, a gdzie tył”, bo nie był przeszkolony..

      Odpowiedz
      • 2023.12.14 22:45 Białeizielone

        Kierownik pociągu nie jest od przeprowadzania resetów jednostki i doraźnych napraw. Przeszkolenie KP polega na pokazaniu mu jak sprawdzić w danym modelu pociągu reakcję hamulców „na gruncie”, oceniając wzrokowo klocki hamulcowe lub wzierniki (przy tarczach hamulcowych) wraz z wypisaniem karty próby hamulca, jak zresetować zapchany WC (chociaż to może się wiązać z cuchnącą fontanną z fekaliów w czasie jazdy więc raczej się nie praktykuje resetów, a jedynie zamyka łazienki), ewentualnie jak ustawić oświetlenie i zmienić temperaturę na składzie (o ile regulatory są gdzieś poza kabiną maszynisty). Więc tak, kierownik mógł nie mieć właściwego przeszkolenia. Maszynista wie o taborze więcej, ale nawet on nie jest w stanie zrobić za dużo w nowoczesnych pojazdach – jak elektronika się dąsa to poza resetem ma związane ręce. W starych EZT można było grzebać, przekładać jakieś bezpieczniki itp, nowy tabor nie pozwala na ingerencję

        Odpowiedz
  • 2023.12.05 20:55 Roman

    Przez tych skur… spędziłem upojne 3 godziny w wagonie, który stał 300 metrów od stacji końcowej. Pociąg był w tym czasie „resetowany” dwa razy. Policja pilnowała żeby nikt nie wysiadał na nasyp kolejowy. Podstawili pociąg zastępczy – zgodnie z procedurami.
    Spokojnie za coś takiego w kodzie sterującym pojazdem można stawiać zarzuty powodowania zagrożeń w ruchu pasażerskim.
    TO JEST GROŹNE!

    Odpowiedz
  • 2023.12.05 20:55 D.

    Heheh nie pierwszy raz to robili :P Na Kolejach Mazowieckich podobny był numer z tego samego powodu okolicznościach.

    Odpowiedz
  • 2023.12.05 20:58 Aaaa

    Sorry ale za takie praktyki newag powinien NA ZAWSZE zniknac z rynku. Jako przestroga dla innych. Calkowicie legalnie po prostu nikt juz nie powinien tam wydac ani zlotowki.

    Odpowiedz
  • 2023.12.05 21:04 xxx

    WKD też Newagi nie jeżdżą

    Odpowiedz
    • 2023.12.09 13:50 Adam

      Bo były serwisowane w Pesa Bydgoszcz,

      Odpowiedz
  • 2023.12.05 21:05 Styjmajster

    Ciekawe, jak wyciągneli wykonywalny plik res.hex z Selectrona ?

    Odpowiedz
  • 2023.12.05 21:05 xxx

    WKD też Newagi nie jeżdżą….

    Odpowiedz
  • 2023.12.05 21:09 Thomas WArd

    Mam nadzieję, że UOKiK wjedzie na pełnej i da karę w wysokości 10 proc. obrotów – oczywiście tylko w ramach dodatku do pozwów cywilnych od wszystkich użytkowników Newag, którzy ponieśli straty związane z wyłączeniem pojazdów z użytku.

    Ale zapewne pozostanie to tylko nadzieją, bo w tym kraju z dykty i papieru nic nie działa. UTK już z siebie chce zdjąć odpowiedzialność, jedynie CERN coś faktycznie robi. Dramat!!!

    Odpowiedz
    • 2023.12.06 01:40 eMeR

      No co ty! Tylko 10%???
      Przecież to co oni zrobili to w zasadzie terroryzm i działanie na szkodę państwa i jego obywateli.

      Dlatego Newag powinen oberwać taką karą, która spowoduje jego całkowitą plajtę i tym samym usunięcie z rynku. Niezależnie od tego każdy z jego dyrektorów, którzy decydowali o tych manipulacjach, również powinien mieć proces i bardzo wysoką grzywnę.

      To powinno skutecznie odstraszyć innych tego typu oszustów…

      Odpowiedz
      • 2023.12.06 13:11 IT destroyer

        Nie no, po co zamykać całą firmę i zabierać zwykłym ludziom pracę? Wystarczy zamknąć do więzienia zarząd i wszystkich technicznych, którzy byli odpowiedzialni za ten sabotaż, praktyki monopolistyczne, i potencjalny terroryzm.

        Odpowiedz
    • 2023.12.06 16:13 Adam

      Sprawdź kurs akcji Newag

      Odpowiedz
  • 2023.12.05 21:18 RCU

    Kiedyś pracowałem Szwajcarskiej firmie która produkuje pociągi tramwaje, lokomotywyczy też metro na cały swiat. Każdy z nich pojazdów posiada komputer który pozwala na zdalną komunikację producenta z pojazdem. Można zrobić wszystko:)
    RCU…

    Odpowiedz
    • 2023.12.06 12:53 M

      Znam ten system i topologie w tych pojazdach. Moduł RCU jest za firewallem. Z praktycznie wyciętym ruchem oprócz potoku z diagnostyki z głównymi sterownikami. Nie ma tam backdoora. Znam ten system dość dobrze i wiem że jest odpowiednio zabezpieczony.

      Odpowiedz
  • 2023.12.05 21:26 tuti

    Oczy mi się otworzyły po tym artykule. Mam instalację PV o mocy 10kW. Nie skorzystałem z corocznego serwisu instalatorów. I po około miesiącu inverter przestał działać, Przyjechali panowie, uruchomili system i niestety po 3 miesiącach ponownie awaria. Moje pytanie, czy falownik Zeversolar 10000 też mógł paść za sprawą instalatorów?

    Odpowiedz
    • 2023.12.06 17:54 Paweł

      Prawdopodobnie dostęp mają, ale czy wywołali awarię – ciężko powiedzieć, na pewno mogą :) – producenci falowników często wystawiają usługę cloudową dla użytkowników i osobną dla instalatorów ktora pozwala na szybką diagnostykę. Powstało to w dobrej wierze aby usprawnić obsługę ale masz rację, może być wykorzystane słabo.
      Szybka weryfikacja – logger w falownikach tej marki ma prosty interfejs webowy, który pozwala na podgląd statusu falownika. Chyba najprościej tam sprawdzisz.

      Odpowiedz
    • 2023.12.07 16:06 M

      Jako osoba techniczna, pracująca kilka lat w branży fotowoltaicznej, szczerze wątpię. Instalatorzy to najczęściej słabo wykształceni ludzie po kursach minimum, którzy ledwo co są w stanie skonfigurować falownik wg instrukcji, żeby się uruchomił. Raz na jakiś czas zdarzy się ktoś bardziej kumaty, to klientowi ogarnie apkę do podglądu pracy instalacji.
      Firmom fotowoltaicznym wcale nie jest na rękę wysyłać ludzi na serwis, bo to strata czasu i zasobów. Koszty ewentualnego serwisu to jest nic w porównaniu do marży na komponentach i montażu instalacji. Konkurencja na rynku jest tak duża, że naprawdę o wiele bardziej opłaca się, żeby wszystko klientowi działało i żeby był zadowolony, bo wtedy nie dość, że nie obsmaruje firmy w necie, a może nawet komuś poleci.
      To, że po 3 miesiącach znowu była awaria, to prawie na pewno przypadek (a może wcale nie problem z falownikiem, tylko np. z siecią i wystarczył reset). A serwisy coroczne to pic na wodę, nie ma co się tym przejmować, nawet bez tego masz 5 lat gwarancji producenta. Zeversolar to akurat chiński badziew, więc nie ma co oczekiwać niezawodności.

      Odpowiedz
  • 2023.12.05 21:36 Marek

    Dziwi mnie że żaden z programistów wprowadzających ten kod nie zareagował. Rozumiem, że każdy boi się o swoją pracę, plus pewnie mieli podpisane jakieś papiery, ale ja bym wysłał anonimowy donos z jakiegoś konta na protonmailu. A kto wie, może wysłali, ale ktoś sprawę olał.

    Życzę SPS powodzenia w sądach, mam nadzieję że rozjadą Januszy. Mam nadzieję że Koleje Dolnośląskie będą ich równolegle dojeżdżać.

    Brawa dla panów hakerów, będą mieli o czym wnukom opowiadać.

    Odpowiedz
    • 2023.12.05 22:55 kez87

      No i dobra,programista zgłasza sprawę,sam się podpierdolił w razie czego prokurator weźmie się takiemu programiście za dupę a prezes firmy po wszystkim będzie oficjalnie czyściutki,święty i niewinny bardziej jak dziewica Maryja w kościółku. Polska.

      Oczywiście polityka polityką,ale wiecie że tatuś nowej posłanki przyszłego rządu – tej 'azjatki” miał sprawę z celnikami i na koniec niezawisły sąd uznał,że on łapówek nie dawał i to celnicy byli przestępcami którzy wyłudzili od niego kasę czy coś ?

      Odpowiedz
    • 2023.12.06 16:15 Adam

      Tylko czy SPS ma prawo ingerować w kod źródłowy którego właścicielem jest Newag?

      Odpowiedz
      • 2023.12.06 21:51 TxF

        Ale o czym Ty mówisz? Kod źródłowy jest w Newagu, nietknięty. A Newag nie jest właścicielem tych pociągów.
        Rozumiem, że wgranie custom OS na własną komórkę proponujesz ścigać prawnie?

        Odpowiedz
        • 2023.12.09 08:38 Adam

          Przecież kod źródłowy jest też u przewoźników którzy wymagali jego przekazania razem z dokumentacją serwisową w warunkach przetargów. M.in. w PolRegio, Kolejach Mazowieckich, Kolejach Małopolskich.

          To że Koleje Dolnośląskie, SPS i hakerzy ich nie mają nie znaczy że nie jest dostępny.

          Odpowiedz
      • 2023.12.06 23:05 Wanted

        Tylko że nie było ingerencji w kod źródłowy – opisani hackerzy nie mieli przecież do niego dostępu, bo strzeże go jak oka w głowie Newag.

        Przy okazji pozdrawiamy pracownika firmy robiącego czarny PR tutaj.

        Odpowiedz
        • 2023.12.09 08:34 Adam

          Przecież Newag udostępnia kod źródłowy.

          Odpowiedz
          • 2023.12.11 11:10 Wanted

            I to dlatego musieli robić reverse engineering firmware’u? Nie bądź śmieszny.

  • 2023.12.05 21:57 Obserwator

    Będą prawdziwe jaja, jak te moduły GSM pociągów zostaną namierzone przez inną grupę hakerów, np tą, która atakowała Estonię w 2007 roku, a ostatnio u nas Netię, Santander,Pekao i parę dni temu Millenium.

    Jak znam europejski przemysł, to o firewallach nie słyszeli, aktualizacji bezpieczeństwa nie ma i nie będzie, a Unia Europejska kazała np instalować liczniki Smart Grid (AMIPLUS),do tego pociągi, instalacje wodociągowe, ciepłownicze i elektryczne są całe obwieszone modułami GSM.
    Robi się coraz ciekawiej w IT.

    Pozdro

    Odpowiedz
  • 2023.12.05 22:03 Piotr

    No widać, że są „młodsi” bracia korzystający z wieloletnich praktyk PROKOMu. W sumie, czemu Jakubas miałby się ograniczać, jak Krauze się nieograniczał!

    Odpowiedz
  • 2023.12.05 22:23 nie rozumiem

    W jakim celu zrobił to producent? Co chciał tym uzyskać? Przecież jeżeli psuje się jego produkt to nie świadczy to dobrze o producencie. Wyjaśnijcie proszę jakie motywy nimi kierowały.

    Odpowiedz
    • 2023.12.06 00:39 MiJ

      Chodziło o zniszczenie wizerunku innym firmom serwisowym i samodzielne nabijanie kabzy grubo zawyżonymi kosztami przeglądów

      Odpowiedz
      • 2023.12.06 16:19 Adam

        Firmom które nie mają licencji na serwis i kod źródłowy Impulsów.

        Odpowiedz
        • 2023.12.06 21:57 TxF

          Oj, to chyba się Newag zorienował, i na pewno wniósł sprawę do sądu? Skoro te firmy łamią prawo, to sprawy pewnie już na wokandzie…
          A na poważnie, to niech Pan tam przekaże swoim, że kto gra w głupie gry, wygrywa głupie nagrody…

          Odpowiedz
          • 2023.12.09 08:39 Adam

            Przecież trwa proces o to.

    • 2023.12.06 03:13 mei

      Proste – pociągi psują się jak próbuje je serwisować ktoś inny. Newag pokazuje, że tylko ich oryginalny serwis ma kompetencje, żeby zrobić to poprawnie. Operatorzy kolejowi zaczynają korzystać z usług serwisowych Newagu, zamiast konkurencji.

      Odpowiedz
      • 2023.12.06 16:18 Adam

        Przecież tylko Newag ma kompetencje do serwisowania Impulsów i ingerencji w ich kod źródłowy. SPS ani Koleje Dolnośląskie nigdy nie kupiły licencji na to.

        Odpowiedz
        • 2023.12.06 19:44 dadada//

          1. A muszą mieć?
          2. „Bombę zegarową” z planowaną usterką jak wytłumaczysz?
          Nie bój, nie bój. Dobiorą się i do Ciebie.

          Odpowiedz
          • 2023.12.09 08:40 Adam

            Muszą

        • 2023.12.07 19:21 wk

          @Adam

          Nikt tu kodu źródłowego nie ruszał. Kod wykonywalny to nie źródłowy.
          A co do licencji na serwis, to jeśli jest wymagana, powinno być to zawarte w umowie oraz instrukcji. Żeby Kupujący wiedział co kupuje i mógł oszacować swoje zobowiązania, a także by mógł zdecydować się na ofertę konkurencji nie zawierającą tego warunku. Tym bardziej jeśli zakup podlega prawu zamówień publicznych (a tu podlega), bo nieuzasadnione wydatkowanie środków publicznych (np na za drogi serwis) jest karalne.

          Tak więc, jeśli Producent chce chronić swoje prawa, musi użyć środków dozwolonych prawem, a nie podstępu.

          Odpowiedz
          • 2023.12.09 08:44 Adam

            A gdzie tu podstęp skoro było to zawarte w warunkach przetargu? Co więcej to zamawiający je określił, więc skoro nie chciał kodów źródłowych i dokumentacji serwisowej to niech pretensje ma do siebie.

            PolRegio, Koleje Mazowieckie i Koleje Małopolskie chciały i dostały. Więc mogą serwisować Impulsy.

        • 2023.12.10 11:03 adamh

          Ta „licencja na serwisowanie” nazywa się DSU i KD oraz SPS mają ten dokument.

          Odpowiedz
    • 2023.12.06 08:11 Hamlet ()

      Nie wiadomo, czy zrobił to producent czy ktoś pracujący u producenta.
      Nie wiem, jaką jest struktura Newagu i jakie korzyści osobiste mógł ktoś odnosić z umów serwisowych. Można też sobie wyobrazić, że to szef pionu serwisu dogadywał się na lewo z devami, żeby zabezpieczyć sobie dochody działu. Scenariuszy jest dużo.

      Odpowiedz
      • 2023.12.06 15:31 anarchii

        @Hamlet, a Ty jesteś z agencji PR-owej i twój wpis już jest elementem kampanii wybielającej ?

        Odpowiedz
  • 2023.12.05 23:23 Paweł P

    Super ciekawa historia. Jeśli jest nagranie konferencji z hakerami, posłucham.
    Ale nie wykluczam, że to Newag jest hackowany tą historią.
    Niech sądy rozstrzygają.

    Odpowiedz
    • 2023.12.06 03:15 mei

      Talk na Oh My Hack nie był nagrywany, ale zespół ogłosił, że na 37C3 będzie już nagrywany talk z wszystkimi szczegółami. Oczywiście, już po angielsku.

      Odpowiedz
  • 2023.12.06 01:14 Folkatka

    Państwo z dykty. Ciekawe, gdzie jeszcze są wprowadzone podobne historie. Całkowity brak reakcji że strony organów bezpieczeństwa państwa poraża. Czy nie jest tak, że ktoś nas testuje? Przypomnę, że niedawno mieliśmy wyciek danych z alabu.

    Odpowiedz
  • 2023.12.06 02:10 olewales

    To nie jest nic zaskakującego, że tam był „zdalny dostęp” dla producenta. Zazwyczaj jest to wręcz w interesie strony która zakupiła/użytkuje ten sprzęt żeby szybciej rozwiązywać napotykane problemy. Zabezpieczenie tego to inna sprawa – pewnie takie połączenie powinno być inicjowane za każdym razem od strony pociągu za zgodą operatora/serwisanta/maszynisty ale nie o to jest cała afera. Newag został przyłapany na celowym, nieudokumentowanym „postarzaniu” swojego produktu i blokowaniu jego napraw w serwisach zewnętrznych mimo, że musiał na to pozwolić udostępniając dokumentację techniczną. Newag defacto zaplanował ataki ransomware na swoich klientów – co prawda w umowie było inaczej ale albo zapłacicie NAM albo nigdzie nie pojedziecie

    Odpowiedz
    • 2023.12.06 08:50 Chester

      I to jest chyba najlepsze podsumowanie. To IMO nie terroryzm, ale szantaż/wymuszenie i oszustwo. I za to konkretne osoby powinny iść do więzienia na tyle lat ile się da. W tym programiści, którzy to wprowadzili. To nie jest drobiazg a kontekst (infrastruktura krytyczna, zagrożenie dla wielu osób) sprawia, że nie ma się co patyczkować.

      Odpowiedz
      • 2023.12.06 10:13 hello

        Przypominam że dyrektor z VW USA za podobne machloje z oprogramowaniemwyłapał 7 lat bezwzględnego więzienia a inżynier z zespołu za to odpowiedzialnego 3.5 roku

        Odpowiedz
  • 2023.12.06 06:23 dsa

    ale bajt

    Odpowiedz
  • 2023.12.06 08:10 Łuka Sz

    A ciekawe co się stało pomiędzy „znaleźliśmy JTAG” a „ulepszamy ghidre”. Przecież nawet taki esp32 ma secure boota, blokadę jtag i szyfrowanie flasha. Czyżby Janusze w newagu nie zadbały o zabezpieczenie swojego wsadu? Co by było gdyby jednak go zaszyfrowali

    Odpowiedz
    • 2023.12.06 09:25 Jarek

      No skoro współrzędne były obecne czystym tekstem, to żadnego speca od security tam nie było. Przecież głupi XOR by uchronił przed wypluciem tego przez `strings`.

      Odpowiedz
      • 2023.12.07 05:00 Jarek

        sam jestes strings

        Odpowiedz
  • 2023.12.06 08:20 Marian

    Sprawa jest absolutnie skandaliczna i ktoś powinien za to odpowiedzieć, firma powinna dostać karę, ale nie wiem czy doprowadzenie do upadłości, o czym piszą niektórzy z was, jest dobrym rozwiązaniem. To jednak z największych firm w regionie, zatrudniająca bodajże ponad 1500 pracowników – jeśli tak wielki pracodawca upadnie to w Nowym Sączu i okolicach pracę straci ogromna liczba osób, a to chyba nie jest pożądana sytuacja.

    Odpowiedz
    • 2023.12.06 09:50 Greg

      Odpowiedzialność karna i finansowa dla kierownictwa.

      Odpowiedz
      • 2023.12.06 16:21 Adam

        Podaj podstawę prawną. Przecież to jest ochrona praw do konstrukcji Impulsów.

        Odpowiedz
        • 2023.12.10 11:04 adamh

          Podstawę podał ci pan Żaryn: art. 269 par. 1 kk oraz 286 par 1. kk.

          Odpowiedz
  • 2023.12.06 08:47 Tańczący z kozami

    Ludzie stłoczeni w pociągach, spóźniający się do pracy, zarażający różnymi sezonowymi chorobami, pracownicy kolei i serwisanta w wielkim stresie, duże koszty „awarii”…
    Mam nadzieję, że odpowiedzialni za to Geniusze Bieszczad przeżyją dużo emocji na sali sądowej i po wyroku.
    Takie mieszanie z softem przez producenta powinno być kwalifikowane przez polskie prawo jako ransomware.
    No i na dokładkę firmą mocno interesowali się pisowcy z Pinokiem na czele. Kurtyna

    Odpowiedz
  • 2023.12.06 09:13 Adam

    Jest gdzieś nagranie?

    Odpowiedz
  • 2023.12.06 09:30 O.G. Loc

    To jest k***a skandal. Przecież to infrastruktura strategiczna! Co te bęcwały z Newagu sobie wyobrażały tworząc taką popelinę?

    Odpowiedz
  • 2023.12.06 09:40 CzyngisCzan

    Czy można się dowiedzieć kto był producentem komputera, w którym ta „funkcjonalność” była zaszyta? Czy to był TCMS firmy Medcom?

    Odpowiedz
    • 2023.12.09 02:50 Jokdaris

      Oryginalnie TCMS w tych pojazdach byl robiony przez Medcom, czym chwalił sie na swoich stronach. Z Wikipedii ta informacja została usunięta. Ok 3 lat temu Medcom sprzedał całość do Newag i Medcom nie miał kontroli nad TCMS, ale wątpliwość istnieje.

      Odpowiedz
    • 2023.12.06 16:27 Jerzy

      Znikoma ilość akcji kupiona po wezwaniu

      Odpowiedz
  • 2023.12.06 10:04 prezesNewAgeu

    Teraz samorządy do przetargów dopiszą rozdział, że zabronione jest pod wysokimi karami umownymi umieszczanie w warstwie elektronicznej, mechanicznej i programowej rozwiązań które upośledzają lub nie pozwalają uruchomić elementów pociągu bez przyczyny serwisowej i informacji o niej.

    A kolejny rozdział o tym, że aktualizacje tylko w serwisie. Zakaz ingerencji w oprogramowanie w sposób automatyczny i bezprzewodowy. Dozwolony jedynie odczyt telemetrii w sposób bezprzewodowy ale w instrukcji mają zostać wyszczególnione wszystkie parametry nadawane przez pociąg.

    Odpowiedz
    • 2023.12.06 16:22 Adam

      I ceny ofert wzrosną kilkukrotnie.

      Odpowiedz
      • 2023.12.07 19:29 wk

        @Adam

        To wzrosną. Jeśli coś by było dobre, musi kosztować, to musi.
        Równanie w dół nie prowadzi do niczego dobrego.

        Odpowiedz
      • 2023.12.14 19:31 sosnowy

        a ceny serwisowania spadną też kilkukrotnie

        Odpowiedz
  • 2023.12.06 10:13 Mariusz

    Programista, który zakodował te chamskie warunki jest sprzedajną szmatą. Rozumiem, że ktoś na górze chciał sobie zapewnić monopol, ale mamy (programiści) takie warunki, że możemy po prostu rzucić papiery i powiedzieć, że w takich brudach tarzać się nie będziemy.

    Odpowiedz
    • 2023.12.06 11:11 kolega

      chyba że jesteś młodym i słabym programistą po studiach na słabej uczelni i zależy ci na robocie, bo nikt cię nie rozchwytuje. Z artykułu wynika, że programista miał problemy z definiowaniem nawet prostych warunków

      Odpowiedz
      • 2023.12.06 13:36 prezesNewAgeu

        Wydaje mi się, że żaden programista tego nie dopisywał. Myślę, że to przełożony miał pewną koncepcję i po prostu dopytał programistów gdzie może coś fajnego zrobić a ify sam wysmarował lub po prostu dyktował programiście. Ten nie za bardzo wnikał w to co powstaje i czy to dobrze zadziała.

        Odpowiedz
        • 2023.12.07 08:16 skirge

          Programista tylko wykonywał polecenia, nie rozumiał kodu a w ogóle to był w zakładowej orkiestrze i nie programował

          Odpowiedz
  • 2023.12.06 10:15 KMki

    To teraz wiadomo dlaczego kilka miesięcy temu, Impulsy Kolei Mazowieckiej (już chyba po przeglądach na terenie zakładów Pesa Mińsk Mazowiecki) przez jakiś czas notorycznie dzień w dzień w okolicy tych zakładów na LK2 defektowały. Przez kilka dni z rzędu notorycznie powtarzała się sytuacja że pociąg składający się z 2x45WE wjeżdżając w stację i kończąc bieg w Mińsku Mazowieckim z nieznanych wtedy przyczyn tracił jazdę i do Warszawy już nie był w stanie wrócić.

    Odpowiedz
    • 2023.12.09 08:47 Adam

      Warto zwrócić uwagę że Pesa nie ma autoryzacji Newag,

      Odpowiedz
  • 2023.12.06 10:52 Romano

    Ustalić kto jest w firmie odpowiedzialny za ten durny pomysł i do pierdla na 10 lat. Odechce się idiotycznych pomysłów wszystkim którzy takie głupie myśli mają.

    Odpowiedz
    • 2023.12.09 08:48 Adam

      Hakerzy są winni

      Odpowiedz
  • 2023.12.06 11:32 gościu

    Jestem przekonany że sprawa rozejdzie się po kościach! Newag ma na polskim rynku kolejowym status taki jak VW w Niemczech! UOKiK da im symboliczną karę, a w polskich sądach sprawy będą się ciągnęły tak długo, aż władzę w samorządzie dolnośląskim przejmie ktoś przychylny Newagowi (albo stanie się przychylny za stosowną gratyfikację) i dojdą do ugody!

    Odpowiedz
    • 2023.12.06 16:23 Adam

      Sprawdź kurs akcji Newag

      Odpowiedz
      • 2023.12.14 19:40 sosnowy

        20zł w październiku, w listopadzie wyskok na 24zł, po grudniowej aferce spadek i dziś 21,6zł. Nic się nie stało

        Odpowiedz
  • 2023.12.06 11:38 ks

    21 listopada są imieniny Janusza. Przypadek?

    Odpowiedz
    • 2023.12.06 15:38 rafik

      Nie sądzę ;)

      Odpowiedz
  • 2023.12.06 12:12 On_sam

    Jak dla mnie w mojej skromniej ocenie chciałbym koniecznie widzieć jak gwiazda z managementu Newaga, która to wymyśliła, idzie za kratki na 2 lata, a sam Newag płaci taką karę, że albo upada albo odrobi ja za 10 lat dopiero. To jest absolutny skandal i takie praktyki wychodzą jedynie przypadkiem. Jeśli chcemy, aby takich wałków było jak najmniej to po pierwsze trzeba zmienić procedury weryfikacji oprogramowania i sprzętu na rynku, aby kosić takich cwaniaków szybko (przynajmniej dla sprzętów o znaczącej wartości), a po drugie zrobić pokazowy proces tym gnojom z Newagu.

    Odpowiedz
    • 2023.12.06 13:42 prezesNewAgeu

      Moim zdaniem wystarczy jedynie zmusić producenta do zaprogramowania NOWYCH układów programowalnych na nowej płytce drukowanej do xx lat. Kody błędów natomiast powinny być obowiązkowe. Czyli jak coś nie startuje to mamy kod błędu o przyczynie a jeśli nie mamy kodu błędu to wymieniamy płytkę drukowaną i dostajemy świeżo zaprogramowane przez producenta układy. Tylko tyle trzeba wymagać w przetargach.

      Odpowiedz
      • 2023.12.07 03:10 Form

        kiepski pomysł, wtedy wycenią płytkę na horrendalną cenę

        Odpowiedz
  • 2023.12.06 12:29 xlin

    Nie chce wam nic mówić, umniejszać wam ale wystarczyło tylko usunąć antene GPS kombinerkami :D

    Odpowiedz
    • 2023.12.06 13:00 GPS

      Niestety po usunięciu anteny GPS pociąg nie jedzie i połowa systemów przestaje działać, w tym nawet tak prozaiczne jak system informacji pasażerskiej… Sterowanie ruchem kojelowym podnosi alarmy, bo pociąg nie raportuje swojej lokalizacji

      Odpowiedz
      • 2023.12.09 08:49 Adam

        Raczej na szczęście

        Odpowiedz
  • 2023.12.06 12:52 LechU

    Wiedziałem że SPS znajdzie przyczynę. To była kwestia czasu. Newag nigdy nie grał uczciwie na rynku. Mam nadzieję że bekną za to. Pokryją koszty kar. I zapłacą KD i SPS za straty moralne i koszty tej całej szopki. Hahahaha

    Odpowiedz
    • 2023.12.06 13:46 prezesNewAgeu

      Mnie jednak też zastanawia to, dlaczego te pociągi po naprawie w postaci wgrania cracka do oprogramowania sterowania pociągiem zrobionego na czuja wyjechały na trasy wozić pasażerów. To też jest kryminał.

      Odpowiedz
      • 2023.12.06 22:20 dabid

        Nie cracka tylko fixa, który naprawia błędy newagu.

        Odpowiedz
      • 2023.12.08 03:39 Lukasz032

        Nie zmieniono oprogramowania, panie mądralo, tylko kilka zmiennych w NVRAMie.

        Odpowiedz
    • 2023.12.06 16:27 Adam

      Zwróć uwagę, że KD, SPS ani Dragon Sector nie mają licencji na kod źródłowy ani praw do ingerencji w konstrukcję Impulsów.

      Odpowiedz
      • 2023.12.06 17:40 implikator

        Nie odwracaj kota ogonem. Gdyby newag grał fair, nie byłoby tematu.

        Odpowiedz
        • 2023.12.09 08:53 Adam

          Przecież gra fair skoro oferuje kod źródłowy i dokumentację serwisową. PolRegio, Koleje Mazowieckie i Koleje Małopolskie je chciały i dostały. Dlaczego Koleje Dolnośląskie nie chciały i serwisują pociągi w nieautoryzowanym serwisie SPS który zatrudnia hakerów?

          Odpowiedz
      • 2023.12.06 22:21 David

        Skąd wiesz że nie mają tych praw? Ich piaskownica, ich zabawki, to może być i ich kod na nich.

        Odpowiedz
        • 2023.12.09 13:54 Adam

          Nigdy ich nie kupiły.

          Odpowiedz
      • 2023.12.07 03:11 Formbi

        a u mnie na ogrodzie jest śnieg

        Odpowiedz
      • 2023.12.07 10:09 kolega

        Nie doczytałeś artykułu ;) nie było żadnej ingerencji, użyli funkcji przewidzianej przez producenta.

        Odpowiedz
        • 2023.12.09 13:54 Adam

          Przecież była skoro zdemontowali sterownik.

          Odpowiedz
      • 2023.12.08 03:40 Lukasz032

        Art. 6 europejskiej dyrektywy o oprogramowaniu na pamięć, jutro przepytam.

        Odpowiedz
        • 2023.12.09 08:50 Adam

          Nie pozwala hackować oprogramowania do którego nie ma się licencji.

          Odpowiedz
      • 2023.12.10 11:10 adamh

        Nikt w nic nie ingerował (oprócz twórców blokad ingerujących w cudze pociągi).

        Odpowiedz
  • 2023.12.06 13:03 weirdnik

    Oprócz organów ścigania i dyskusji kto jest stroną, jest jeszcze UoKSC. Jest jaka jest, ale tu ma zastosowanie. To jest incydent krytyczny w rozumieniu ustawy, powinien zostać zwołany zespół ds. incydentów krytycznych (art. 36) pod kierownictwem dyrektora RCB, w którym uczestniczą przedstawiciele zespołów reagowania na incydenty cyberbezpieczeństwa poziomu krajowego, służby i RCB. I w tym zespole sprawa powinna zostać zbadana i zreferowana do Kolegium ds. Cyberbezpieczeństwa, w którym są wszyscy święci i przewodniczy premier.

    A Przewodniczący Kolegium może, w przypadku incydentu krytycznego z urzędu, bez wniosku ze strony członka Kolegium, wydać rekomendację dotyczącą stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

    Niestety jest to tylko rekomendacja, bo nowelizacja ustawy nie weszła.

    No ale przycisk z YouTuba dla Sejmu ważniejszy.

    Odpowiedz
    • 2023.12.06 20:19 weirdnik

      Autopoprawka: rekomendacje wydaje Pełnomocnik Rządu ds. Cyberbezpieczeństwa, uczestniczący w Kolegium, ale nie wiadomo kto nim teraz jest, za cyfryzację jako minister odpowiada Marlena Maląg.

      Historia się rozwija, Newag wydał oświadczenie, że to na pewno manipulacja konkurencji, oraz że to jacyś źli hakerzy wgrali te geoblokady.

      https://www.rynek-kolejowy.pl/wiadomosci/newag-odpowiada-hakerom-i-sps-chce-wycofania-pojazdow-z-ruchu-116422.html

      Odpowiedz
    • 2023.12.06 23:49 Alf

      Sorki, ale co ma Sejm do działania RCB? Chyba Premier…

      Odpowiedz
      • 2023.12.08 11:22 weirdnik

        Z Sejmem to była przenośnia, że polskich polityków i tzw. społeczeństwo obchodzi zupełnie co innego niż cyberbezpieczeństwo państwa polskiego.

        Odpowiedz
  • 2023.12.06 13:43 Stanisław

    ALE KOZAK AKCJA SUPER CHLOPAKI ROBIA
    DOBRE MORDY PATRZA NA SWIAT ZA KRAT

    Odpowiedz
  • 2023.12.06 13:52 Tomek

    Dobrze, że to wyszło i jest szum.
    Ale np. wszyscy wiedzą, że dużo producentów baterii ogranicza jeszcze bardziej swoje BMS, np. jak wymienisz ogniwa albo naprawisz przetarty przewód to elektronika już nie wstanie i nikt z tym nic nie robi. Albo wymuszone wyłączenie po określonej liczby cyklów.
    Np. producenci baterii dla rowerów elektronicznych czy elektronarzędzi (tak, akumulatory np. do Bosha nie robi sam Bosh).

    Odpowiedz
    • 2023.12.07 03:14 Formbi

      Nikt z tym nic nie robi dzięki klasycznemu kupa-argumentowi zamykającemu dyskusję, który i tutaj się przewija, mianowicie «ale przecież bezpieczeństwo». Dopóki ludzie masowo nie zaczną się sprzeciwiać tym manipulacjom, nic się nie zmieni.

      Odpowiedz
  • 2023.12.06 13:59 radek

    w sumie zabawne, bo akurat ten temat z datą to wygląda jak kawałek kodu do testowania zgłaszania blokady, który nie został usunięty z produkcyjnego kodu :D

    słabe code review, ale to łatwo dojść po blame kto to zakodował, czyż nie ?

    Odpowiedz
    • 2023.12.07 08:39 skirge

      W normalnej firmie rzeczywiście potrwałoby to 5 minut ale tam pewnie był podwykonawca, wysyłał skompilowane binarki i jakoś tak przypadkowo proces był tak skonstruowany żeby nie dało się dojść kto i dlaczego.

      Odpowiedz
  • 2023.12.06 14:11 Ziutek

    Ta sprawa jest dla ABW. Kaliber tych przekrętów i zagrożenia dla bezpieczeństwa Polski jakie były inicjowane przez Newag kwalifikują je do śledztwa przez ABW.

    Odpowiedz
    • 2023.12.06 18:37 fasfgasdfgd

      ABW nie posiada żadnych specjalistów od tego, zatrudniają przypadkowe osoby „na umowę zlecenie”. Ta służba jest dobra tylko w preparowaniu takich „zamachów terrorystycznych” jak ten gdzie wyprodukowali zamachowca tylko po to aby mieć sukces. To gamonie.

      Odpowiedz
  • 2023.12.06 14:13 Rumcajs

    Ciekawe czy krakerzy dostaną pozew se se sesese

    Odpowiedz
  • 2023.12.06 14:22 Mark

    Dla tetrycznego producenta „programator” fantastycznie wykorzystal realia rynku z ich tendencja do postarzania produktu ale technicznie, przaśne to to… proste IF’y go przerosly. Nie mogly sie chlopaki doszukac spojnosci, w kodzie bo wydziergano go na „chybil trafif” ale ladnie temat ogarneli ;-)

    Odpowiedz
  • 2023.12.06 15:44 Jan

    Jazda KD przez ostatnie miesiące to był koszmar. Na trasie ciągle dohodziło do padów systemu. Restart trwał najczęściej 5-10 min. I nagle od paru tygodni wszystko się „naprawiło”.
    Ciekawe czy to ta sama sprawa.

    Odpowiedz
  • 2023.12.06 16:46 Ryko

    To jest dokłądnie to samo co DIESELGATE Volkswagena – w czystej postaci jest to oszukiwanie klientów jak i nadzoru. Dodatkowo pozostawienie nielegalnego zdalnego dostępu / backdoora to sprawa kryminalna bo mogła służyć wręcz dywersji. I nieważne jest jakie kto miał zamiary.
    ZARZĄD Newagu musi za to siąść na ławie oskarżonych.

    My jako klienci musimy mieć świadomość, że każde urządzenie sterowane komputerowo ma dokładnie takie same funkcje wprogramowane. Dotyczy to szczególnie samochodów elektrycznych… które dodatkowo śledzą (i raportują) każdy Twój ruch, a jak mają systemy/sensory detekcji twojego nastroju/kondycji to też to raportują.

    Orwellowski Wielki Brat patrzy już wszędzie… i w Chinach szeroko już z tego korzystają.

    Odpowiedz
  • 2023.12.06 16:51 piotr

    Nie zdziwiłbym się, gdyby jakiegoś wieczora przy wódeczce, kupiec z producentem ustalili, że kwota na przetargu musi być niska, a braki uzupełni się kosztami napraw. Społeczeństwo zapłaci. A jak to producent zorganizuje, to już nikt nie będzie wnikał.
    A tu taka wtopa, że znalazła się firma, która nie wystraszyła się tysięcy stron z dokumentacją i jeszcze przebiła ceną, ups…

    Odpowiedz
  • 2023.12.06 16:53 Marek

    Tak jak w przypadku VW, odpowiedzialność karną poniosą tylko programiści. IMO powinni trafić za kratki, ale CEO też.

    Odpowiedz
  • 2023.12.06 17:21 życzliwy

    Jeśli myślicie, że inni polscy producenci nie mają takich rzeczy w kodzie, to… myślcie tak dalej ;)

    Pozdrawiam, życzliwy

    Odpowiedz
  • 2023.12.06 17:32 Pietrek Odpowiedz
    • 2023.12.09 08:55 Adam

      Nie ma podstaw

      Odpowiedz
  • 2023.12.06 18:32 bachus

    To się w głowie nie mieści, planowane postarzanie produktu osiągnęło nowy poziom. Ja się wkurzam, że w mojej drukarce zakodowane jest, że urządzenie ma przestać działać po określonej ilości wydruków, albo że w mojej pralce szczotki w silniku kończą się po także określonej liczbie prań a tutaj ktoś 'bawi’ się tak strategicznym pojazdem jak pociąg. Dla osób decyzyjnych o takiej implementacji w kodzie powinno być więzienie.

    Odpowiedz
    • 2023.12.07 03:16 Formbi

      szczotka w silniku to kawałek węgla, musi kiedyś się skończyć

      Odpowiedz
    • 2023.12.14 19:52 sosnowy

      a w drukarce atramentowej trzeba wymienić/wyczyścić sączek. Licznik blokuje drukowanie. Inaczej odpadowy tusz by się wylał, jak to w starych hp bywało.

      Odpowiedz
  • 2023.12.06 18:34 fasfgasdfgd

    Gdzie prokurator?

    Gdzie aresztowania inżynierów producenta (konieczne aby nie zdążyli uzgodnić fałszywych wersji)?!!!
    To jest ekstremalnie niebezpieczne, pociąg to nawet nie karetka pogotowia, to 10000 karetek pogotowia.

    Odpowiedz
    • 2023.12.06 22:30 asdas

      Inżynierowie niewinni. Patrząc po składni to warunek dopisał ktoś z zarządu.

      Odpowiedz
  • 2023.12.06 18:35 fasfgasdfgdf

    Gdzie prokurator?

    Gdzie aresztowania inżynierów producenta (konieczne aby nie zdążyli uzgodnić fałszywych wersji)?!!! To jest ekstremalnie niebezpieczne, pociąg to nawet nie karetka pogotowia, to 10000 karetek pogotowia.

    Odpowiedz
    • 2023.12.09 13:56 Adam

      W pierwszej kolejności powinni aresztować hakerów z SPS

      Odpowiedz
  • 2023.12.06 18:39 koder

    Pieprzona polacka mentalność. Samo utworzenie if-ów pokazuje, jakim parszywym i świńskim jesteśmy narodem. Zamiast zrobić to jakoś tak:
    if (bOverhauled && bOutsideNewag)
    {
    f_ckTheTrain();
    }
    to napisali to wyłącznie w taki sposób, żeby dowalić wyłącznie drugiemu Polakowi. Gdyby pociągi pojechały na serwis na Słowację, czy gdziekolwiek poza Polskę, to nie zdechły by. Jakim trzeba być parszywcem, żeby wymyślając taki syf myśleć wyłącznie o dowaleniu swojej, *polskiej* konkurencji. Nawet hindusy, pomimo tego, że wyzywają się niemiłosiernie, w razie fakapu zawsze trzymają swoją stronę. Polacy są natomiast zawsze pierwsi w robieniu samym sobie największych szkód.
    To mnie najbardziej boli w tej sprawie. Gdy przeczytałem początek artykułu, od razu pomyślałem o wysłaniu fejkowej lokalizacji GPS, żeby odblokować pociąg – możecie sobie nie wierzyć, ale szedł bym tym tropem.
    Natomiast tutaj, dodatkowo została żywcem wcielona w życie „Modlitwa Polaka” z „Dnia Świra” – warto poszukać, jeśli kto nie zna.
    Spójrzcie na to z tej perspektywy, bo zdaje się nikt nie zwrócił uwagi na ten aspekt przekrętu, potępiając go.

    Odpowiedz
    • 2023.12.07 03:18 Formbi

      bo to raczej nie ten aspekt, po prostu poszli po linii najmniejszego oporu wypisując serwisy, do których wg nich najpewniej trafiłyby te pociągi

      Odpowiedz
    • 2023.12.07 17:49 Uli

      „Polak Polakowi wilkiem…” jakie to polskie…

      Odpowiedz
  • 2023.12.06 18:49 koder

    J-na p0lacka mentalność. Samo utworzenie if-ów pokazuje, jakim p4rszywym i św1ńskim jesteśmy narodem. Zamiast zrobić to jakoś tak:
    if (bOverhauled && bOutsideNewag)
    {
    f_ckTheTrain();
    }
    to napisali to wyłącznie w taki sposób, żeby dowalić wyłącznie drugiemu Polakowi. Gdyby pociągi pojechały na serwis na Słowację, czy gdziekolwiek poza Polskę, to wszystko byłoby OK. Jakim trzeba być p4rszywcem, żeby wymyślając takie coś myśleć wyłącznie o dowaleniu swojej, *polskiej* konkurencji. Nawet h1ndusy, pomimo tego, że wyzywają się niemiłosiernie, w razie fakapu zawsze trzymają swoją stronę. Polacy są natomiast zawsze pierwsi w robieniu samym sobie największych szkód.
    To mnie najbardziej boli w tej sprawie. Gdy przeczytałem początek artykułu, od razu pomyślałem o wysłaniu fejkowej lokalizacji GPS, żeby odblokować pociąg – możecie sobie nie wierzyć, ale szedł bym tym tropem.
    Natomiast tutaj, dodatkowo została żywcem wcielona w życie „Modlitwa Polaka” z „Dnia Świra” – warto poszukać, jeśli kto nie zna.
    Spójrzcie na to z tej perspektywy, bo zdaje się nikt nie zwrócił uwagi na ten aspekt przekrętu, potępiając go.

    Odpowiedz
    • 2023.12.07 05:43 Karol

      Oczywiste, że się bronią. Mają do tego pełne prawo. Wg mnie sprawa będzie się ciągła długie miesiące jak nie lata. Niestety dla Panów z Dark Sektor pewnie będą ich teraz ciągać różne służby.

      Odpowiedz
      • 2023.12.07 12:23 C. Bolek

        Różne rzeczy są możliwe – na szczęście mają zlecenie i podpisaną umowę, więc nie można powiedzieć, że sobie dorwali skład na bocznicy i bez niczyjej wiedzy hakowali po nocach.

        Odpowiedz
        • 2023.12.07 19:42 wk

          Nie dziwne że Newag się broni, ma za dużo do stracenia żeby od razu się przyznać. Linia tej obrony też jest do przewidzenia. Ale rolę będą grać szczegóły, konkretne akapity podpisanych obustronnie umów; ich zgodność z prawem i z rzeczywistością.

          Odpowiedz
          • 2023.12.09 13:58 Adam

            Newag wykaże że dostarczył oprogramowanie w wersji bez tych zmian. A kto w SPS wprowadził zmiany to już nie ich wina.

          • 2023.12.09 14:35 Mada

            Przecież to nie tylko w pociągach serwisowanych przez SPS były problemy. Bezlitośni hakerzy pracowali dla SPS, a problemy pojawiały się też w innych miejscach w Polsce. Chyba że to spisek i tak naprawdę całe Dragon Sector pracowało w całej Polsce, a nie tylko 3 osoby pod SPS!
            Oczywiście wszyscy czekamy, aż Newag wykaże, iż ich oprogramowanie było czyste, a oni o niczym nie wiedzieli. Nie wydarzy się to pewnie nigdy, patrząc na ten bełkot w oświadczeniu.

          • 2023.12.09 16:06 Adam

            @Mada – jakoś tak się składa że zmiany nie występują w pociągach w których nie grzebali ci hakerzy.

        • 2023.12.09 08:57 Adam

          Sęk w tym że SPS nie ma licencji na oprogramowanie ani uprawnień serwisowych.

          Odpowiedz
          • 2023.12.10 13:09 adamh

            Ma.

  • 2023.12.06 19:25 Marcin

    Ja widzę tu konieczność wprowadzenia regulacji nakazującej producentom takiego oprogramowania udostępniania kodu nabywcy – to powszechna praktyka w niektórych branżach.

    Poza tym, wszystkie państwowe lub samorządowe spółki powinny dostać zakaz kupowania u tego producenta, dopóki nie wyjasni tej sprawy i nie naprawi w sposób jawny i zadowalający swoich pojazdów.

    Odpowiedz
    • 2023.12.07 03:19 Formbi

      mówiąc prościej: niewolne oprogramowanie nie powinno istnieć

      Odpowiedz
    • 2023.12.09 08:59 Adam

      A po co wprowadzać nakaz, skoro mają taką możliwość, bo to zamawiający określa warunki przetargu,

      Odpowiedz
  • 2023.12.06 19:28 Hulek

    Idą w zaparte. Jest oświadczenie na stronie: nasze oprogramowanie jest czyste, to pomówienie i niecna gra konkurencji, hackerzy są źli i na pewno to oni. „Żaden haker nie jest natomiast w stanie, na podstawie samego zapis cyfrowego, wskazać kto konkretnie jest „autorem” określonego zapisu cyfrowego. Z tego względu insynuowanie przez dziennikarzy portalu onet.pl, jakoby rzekomo „ktoś z Newagu” miało coś „wpisać” w oprogramowaniu, stanowi bezprawne pomówienie.

    Odpowiedz
    • 2023.12.06 22:28 hehe

      patrząc po tym jak ify piszą, to pewnie nie ogarniają że podpisali sterowniki swoim certyfikatem.

      Odpowiedz
      • 2023.12.09 13:59 Adam

        Przecież nie podpisali

        Odpowiedz
  • 2023.12.06 19:51 sdf//

    Ładnie się UTK wypiął. Ciekawe dlaczego? Przecież te pociągi można było zdalnie uszkodzić nawet w trakcie jazdy z pasażerami.

    PS Adam! Gdzie kupię nagranie z omajhka? :D

    Odpowiedz
  • 2023.12.06 21:37 Janznika

    a mnie zastanawia jedno. To infrastruktura krytyczna. W umowie powinien być niezależny audyt kodu o poprawek

    Odpowiedz
    • 2023.12.06 22:25 Korna

      Infrastruktura krytyczna jest po to żeby ochrona mogła legitymować bandytów z aparatami a nie jakieś audyty i inne lewackie wymysły lgbtq+.

      Odpowiedz
    • 2023.12.07 12:33 skirge

      To public i jest 50 lat do tyłu a nie jakiś prywaciarz typu PCI, gdzie masz listę wszystkiego co testy bezpieczeństwa muszą sprawdzać

      Odpowiedz
  • 2023.12.06 22:24 liściasty

    Godzinkę temu Louis Rossmann nagrał o tym film (https://www.youtube.com/watch?v=w8NqBXT6Kos) – Adam mam nadzieję że serwery wytrzymają napływ bo jednak ten temat to woda na młyn naszego ulubionego post-brooklynskiego serwisanta jabłek

    Odpowiedz
    • 2023.12.07 11:40 Oreo

      Ciekawe kiedy Jeremy „from” the Quartering streści streszczenie strzeszczenia XD

      Odpowiedz
  • 2023.12.06 23:03 ???

    Podpisują sterowniki cyfrowo a później twierdzą w oświadczeniu że żaden haker nie jest w stanie udowodnić ze to oni je napisali? Jeśli idą w zaparte że to nie ich kod, to chyba trzeba unieważnić wszystko podpisane ich certyfikatem i wycofać z użytku wszystkie pociągi od newagu?

    Odpowiedz
    • 2023.12.07 03:20 Formbi

      po prostu to nie ich ręka

      Odpowiedz
  • 2023.12.07 00:59 Follow the rabbit - Firma Sii

    W firmie Sii w komórce odpowiedzialnej za tworzenie oprogramowania dla kolei wiedziano o tym od dawna i wiedzieli, że jeśli to wyjdzie na światło dzienne to będzie skandal, teraz wszyscy d***py cicho. Dorwijcie jakiegoś programistę z Sii i zapytajcie sami :D

    Odpowiedz
  • 2023.12.07 02:23 kolejarz

    Pracuje na kolei od trochę ponad 2 lat. Jedną z pierwszych rzeczy jakie usłyszałem o pojazdsch było to, że przeglądzie nagle pojazd nie jedzie „brak jazdy”. Aktualnie połowa składów stoi, bo „brak jazdy” albo „P3”. I powiedziane mi było, że w końcu płaci się newagowi, ci przyjeżdżają, na żywo grzebią w kodzie i pojazd odpala…

    Odpowiedz
  • 2023.12.07 03:24 Formbi

    straszenie w wykonaniu Newaga («Zresztą nie pierwszy raz powiadamiamy organy ściągania, iż w nasze oprogramowanie modyfikowane jest bez naszej autoryzacji») jest kolejnym dowodem na to, że copyright powinien zostać solidnie zrewidowany

    Odpowiedz
    • 2023.12.08 03:44 Lukasz032

      Nie znają przepisów EU.
      Artykuł 6 europejskiej dyrektywy o oprogramowaniu wręcz wprost pozwala na inżynierię wsteczną w celach interoperacyjności.

      Odpowiedz
      • 2023.12.09 09:01 Adam

        Pod warunkiem posiadania licencji

        Odpowiedz
        • 2023.12.10 13:09 adamh

          Którą KD ma.

          Odpowiedz
  • 2023.12.07 04:29 zarząd w pasiaki

    Newag miał problemy finansowe, więc pewnie stąd desperacka próba dorobienia na serwisie. Całe szczęście że przy odpowiendim postępowaniu kara dla zarządu może być dotkliwsza niż dla samej firmy. Celowe wyrządzenie szkody wielkiej wartości to juz KK. Do dyskusji jest też odpowiedzialność z tytułu nieuprawnionych zmian w systemie informatycznym(zmiana flagi) dla autorów kodu, bądź też wytwarzaniania programu przystosowanego do popełnienia przestępstwa. Oby większość odpowiedzialności była jednak z KK dla osób zaangażowanych, a nie dla samej firmy.

    Odpowiedz
  • 2023.12.07 07:38 Tom

    Można się pośmiać z ludzi, którzy psioczą na NEWAG i być może ich praktykach związanych z serwisem typu przeglądu może dokonać tylko autoryzowany serwis. Tacy ludzie jednocześnie używając iPhone uwidaczniają swoje braki wiedzy w temacie. Jak Apple będzie chciało to zrobi cegły z waszych iPhone a jednocześnie narzekacie na NEWAG.

    Odpowiedz
    • 2023.12.07 10:32 Stanisław

      Używam samsunga 3G i obecnie lub za kilka miesięcy tylko 2G i tylko fonia i sms kupionego 10 lat temu za niecałe 50 zł w sklepie i mimo to twierdzę, że NEWAG zrobił sobie „świetną” reklamę, taką jak „spisek żarówkowy”. Zaleta mojego telefonu. Wielokrotnie spadł mi na asfalt, beton itp. i rozłożył się na 3 elementy składowe, pokrywka, telefon bateria i po złożeniu tych trzech elementów w całość nadal działa przez 30 na jednym doładowaniu, czego nie można powiedzieć o innych droższych telefonach ;-) Nie każdy używa najgorszych i najbardziej podatnych na uszkodzenia telefonów. Czy w takim przypadku mam prawo skrytykować NEWAG?

      Odpowiedz
    • 2023.12.07 12:16 C. Bolek

      Prównanie zupełnie od czapy :-\
      Jest jedna, acz znacząca różnica – Apple nie kryje się z tym, że „ma wjazd” na swoje telefony, jak i z tym, że ztosują różne sztuczki, żeby utrudnić naprawę w niezależnych serwisach (oficjalnie pod pozorem walki z kradzieżami). Ale się z tym nie kryją.
      Newag zrobił to po kryjomu i podstępnie, wrabiając nieświadomego odbiorcę ich towaru i powodując i niego nieprzewidziane koszty.
      Widzisz różnicę??

      Odpowiedz
      • 2023.12.09 09:03 Adam

        Przecież to kupujący nie chciał kodów źródłowych w wymaganiach przetargu na te pociągi,

        Odpowiedz
      • 2023.12.09 09:05 Adam

        Poza tym Apple udostępnia dokumentacje serwisowa i narzędzia do samodzielnej naprawy iPhone,

        Odpowiedz
    • 2023.12.07 15:54 skirge

      Porównanie od czapy bo użytkownicy iPhone dokonują wyboru świadomie, ewaluując korzyści vs niemożność naprawy, gdyby to było dla nich najwazniejsze to konkurencyjnych telefonów nie brakuje.

      Odpowiedz
  • 2023.12.07 08:35 Stanisław

    Ciekawi mnie jedno no może nie jedno. Czy mieli dostęp do kodu źródłowego, czy tylko do binarnego? Drugie skoro nie mieli dostępu do kodu źródłowego, to jak zdobyli dostęp do kodu binarnego zaszytego w pamięci FLASH CPU. Nie sądzę aby jakakolwiek obecnie firma stosowało pamięci FLASH na zewnątrz CPU oraz aby nie zabezpieczała przed odczytem pamięci wewnętrznej. Możliwe, że udało im się odblokować zablokowany odczyt pamięci FLASH. Sądzę, że to jest równie cenna informacja :-) Z tego wynikałoby, że firma popełniła błąd stosując słabo zabezpieczone CPU przed kradzieżą własności intelektualnej ;-)

    Odpowiedz
  • 2023.12.07 09:50 Michał

    Co ciekawe, wystarczyło by wspomnieć w serwisówce (czy w przeglądzie) że pracownik producenta pociągu musi sprawdzić poprawność wykonania przeglądu i dopuścić go do ruuchu w celach Bezpieczeństwa/zgodności/rekreacyjnych w cenie XXXpln w innym wypadku pociąg nie będize w stanie się poruszać.

    i mają dupochrońke, tyle że to nie będzie już dobrze wyglądało na przetargach, i dodatkowo podniesie cene serwisu, a anty-konkurencja bardziej widoczna.

    Odpowiedz
    • 2023.12.09 09:09 Adam

      Przecież jest to w dokumentacji serwisowej

      Odpowiedz
      • 2023.12.14 20:01 sosnowy

        i jak czytamy w artykule: „SPS przeprowadza przegląd zgodnie z odpowiednią instrukcją (o objętości ok. 20 000 stron), dostarczoną przez producenta”

        Odpowiedz
  • 2023.12.07 10:41 Maniek

    Jest napisane również że jak odnaleźli kombinację klawiszy do odblokowania pociągu to nagle wszystkie otrzymały aktualizację oprogramowania które to niwelowało. Czyli producent miał ciągły zdalny dostęp do pociągów i mógł aktualizować oprogramowanie.

    Odpowiedz
  • 2023.12.07 11:18 Laik

    Mam wrażenie że kontekst wielu komentującym się rozmywa. Najważniejszy jest przetarg na zakup pociągów, jeżeli tam nie było nic o konieczności naprawy przez certyfikowane jednostki to Newag albo powinien dostać karę od uokik za sztuczne ograniczanie konkurencji albo karę od innego urzędu za niespełnianie warunków pierwotnego przetargu.
    2. Zdalne aktualizacje oprogramowania i moduł gps o ile nie podpadają pod konkretną ustawę lub nie były wyszczególnione w przetargu jako zakazane są w moim odczuciu prawnie dopuszczalne.
    3. Ciekawi mnie jak doszli do sekwencji przycisków która odblokowywuje silniki, najpewniej wpadli na trop i ktoś kto im ją podał (ktoś z pracowników kolei lub newagu), myślę że sytuacja z blokadą zdarzyła się wcześniej gdy ktoś odstawił jeden skład na ileś dni a to obejście było aby nie ciągnąć składu bądź nie angażować własnych specjalistów w taką pierdołę.
    4. Skoro artykuł wylądował na joemonster radziłbym z3s doprecyzowanie że nikt nie jeździ na zhackowanych pociągach
    5. Wniosków mam tylko kilka:
    -gdyby nie złamanie oprogramowania (czy jak to inaczej nazwać) nikt by się nie dowiedział że Newag prawdopodobnie łamie prawo
    – to że nikt nie może się tym zająć pokazuje ogromną lukę w prawie która występuje w wielu innych dziedzinach na styku życia z technologią i dużym kapitałem
    – ew. Kary dla newagu powinny być surowe ale nie miażdżące, inni producenci robią to samo tylko subtelniej, zmniejszenie konkurencji na tym hermetycznym rynku to dla pozostałych firm jak prezent na gwiazdkę
    – tu się kopią firmy z kapitałem kilkadziesiąt-kilkaset mln zł, pomyślcie co będzie w starciu szaraczek vs producent auta (choć takie rzeczy już się dzieją)

    Odpowiedz
    • 2023.12.07 13:49 pordzio

      znaleźli funkcję odblokowująca i po nitce do kłębka dotarli do miejsca, gdzie jest uruchamiana i znaleźli warunki jakie tam muszą wystąpić.

      Odpowiedz
    • 2023.12.09 09:11 Adam

      1. Było, warunki przetargu są dostępne w Internecie,

      Odpowiedz
  • 2023.12.07 12:01 C. Bolek

    „Najlepsze” jest to stanowisko Urzędu Transportu Kolejowego (UTK) …
    Im wystarczy, że pociąg jeździ(ł) w trakcie różnorakich testów i są na to odpowiednie protokoły. A tłumacząc z polskiego na nasz – nie chce się im mieszać w sprawę, bo po co brać na siebie robotę wykraczającą poza niezbędne minimum?
    Sprowadzając to do innego przykładu – np. jakiś producent samochodów zaszywa w oprogramowaniu podobne „bomby logiczne”, tzn. samochody zostają unieruchomione po przejechaniu określonej ilości km, po określonej ilości wizyt w stacjach diagnostycznych (tu by się nie dało wprowadzić koordynat GPS wszystkich warsztatów, ale można np. wykrywać podłączanie sprzętu diagnostycznego), itp. Ktoś to wykrywa i dokumentuje a odpowiednik UTK mówi, że każdy właściciel ma sobie indywidualnie pozwać producenta, bo przecież samochody jeż.., nie – jeździły, więc dla nich nie ma sprawy.
    Jak dla mnie absurd, ale może się mylę.

    Odpowiedz
    • 2023.12.09 09:12 Adam

      UTK mówi że te pociągi nie były dopuszczone do ruchu, bo nie miały przeglądów.

      Odpowiedz
  • 2023.12.07 12:04 kulson

    Czyli Newag to taki nasz odpowiednik amerykańskiego producenta maszyn John Deere (do poczytania na necie).
    Mam nadzieję, ze sprawa się „nie rozejdzie”.

    Odpowiedz
  • 2023.12.07 13:17 Elka

    Za takie działania Newag powinien zniknąć z rynku raz na zawsze ..

    Odpowiedz
    • 2023.12.07 16:24 Miki

      Newag powinien zapłacić odszkodowanie za przestoje i karę ale główną odpowiedzialność powinni ponieść indywidualni ludzie. Bo to oni, zapewne nieduża grupa, podjęli decyzje i wykonali te cuda.

      To jest ważne bo realny jest amerykański scenariusz, gdy sprytny menedżer wpada, robi syf, zarabia, dostaje premię i … zmienia pracę, a syf zostaje i dotyka tylko Bogu ducha winnych innych pracowników i akcjonariuszy.

      Odpowiedz
      • 2023.12.09 09:15 Adam

        Co tu Newag winny ze KD i SPS nie kupiły kodów źródłowych i zatrudniają hakerów?

        Odpowiedz
        • 2023.12.10 13:11 adamh

          Nie potrzebowały kodu źródłowego jak widać, pociągi jeżdżą. A zatrudniać można sobie kogo się chce.

          Odpowiedz
        • 2024.01.05 11:01 Kapitan Kolaps

          No tak, przecież spółka kolejowa pewnie o niczym innym nie marzy, jak o przetrzymywaniu repozytorium kodu. To jest jej rdzeniowy biznes, prawda? I jeszcze powinna zatrudnić sztab IT-swetrów, żeby analizowali ten kod przez rok. A tym czasie, pociąg będzie stał bezczynnie – bo przecież bezpieczeństwo jest najważniejsze :)

          Odpowiedz
  • 2023.12.07 14:15 Chris

    To wydarzenie w rzeczywistości było sabotażem i powinno zostać przez organy ścigania potraktowane właśnie jako sabotaż!
    A kwestię odpowiedzialności rozpatrywać należy w dwóch niezależnych płaszczyznach: odpowiedzialności cywilnej oraz karnej.
    Newag powinien zostać skazany na pokrycie z nawiązką wszelkich strat poniesionych przez poszkodowane firmy, a osoby odpowiedzialne za umieszczenie tych blokad w kodzie (chodzi głównie o osoby decyzyjne), powinny trafić za kratki na okres wystarczająco długi, by zniechęcić do podobnych numerów ewentualnych naśladowców.

    Odpowiedz
    • 2023.12.09 09:14 Adam

      Przecież Newag miał prawo umieścić takie blokady, bo to jego oprogramowanie.

      Odpowiedz
      • 2023.12.10 13:12 adamh

        Tylko ktoś kto je umieścił „zapomniał” wspomnieć o nich w DSU – a miał taki obowiązek.

        Odpowiedz
      • 2023.12.10 13:12 adamh

        Przyznajesz, że to Newag umieścił blokady w kodzie? Fajnie.

        Odpowiedz
  • 2023.12.07 15:35 koder

    No i co, nie ma żadnych aktualizacji?
    Wczoraj (06.12.2023) doczytałem po południu, że Newag będzie skarżył wszystko i wszystkich, i tyle w temacie.
    Jest jakiś follow-up?

    Odpowiedz
    • 2023.12.07 21:38 Duży Pies

      „Newag będzie skarżył wszystko i wszystkich, i tyle w temacie”
      Niech skarży. To będzie wrzucenie granatu do szamba.
      Newag gorzko pożałuje każdego pozwu.
      To co zrobili, to czyste kurestwo!
      Powinni za to finansowo beknąć.
      O długiej infamii nie wspominam, bo reputację naprawia się latami.
      Jeżdże sporo koleją i cierpię właśnie przez takich Januszy z Newagu, co wpadli na zjebany pomysł i zaszyli w kodzie swoje gówienka!
      Polska to ciągle kraj z gówna i pażdzierza…

      Odpowiedz
      • 2023.12.09 09:17 Adam

        Ich oprogramowanie to mogą sobie z nim robić co chcą.

        Odpowiedz
    • 2023.12.08 08:50 skirge

      Na tym etapie aktualizacje wpisu będzie dodawał mecenas

      Odpowiedz
      • 2023.12.12 01:40 koder

        Rzeczywiście masz rację!
        Dziś przeczytałem aktualizację (w formie oświadczenia), nasi koledzy po fachu mają prawnika i są dobrze przygotowani, a aktualizacja w postaci dobrze i przede wszystkim prosto i, miejmy nadzieję, zrozumiale przygotowanego oświadczenia powinna rozświetlić mroki w sądach. I dobrze, ponieważ sądy są tak „mądre-inaczej”, że mogłyby kupić wersję Newagu i skazać naszych kolegów po fachu za coś, czego nie zrobili.
        Na potwierdzenie tej tezy polecam przeczytanie odpowiedzi Newagu. Jest tak skrajnie nieprofesjonalna, że można odnieść wrażenie, że Newag, przynajmniej w momencie pisania swojego oświadczenia, był pewny, że nasi koledzy po fachu nie mają żadnego wsparcia prawnego, więc Newag wygra w sądzie bez problemu, bazując na niekompetencji osądzających.
        Naprawdę żenująca historia. Szkoda, że firma, która robi bądź co bądź dobre EZT zagrała tak chamsko. Tutaj wygranych nie będzie, a o polskim januszostwie i prymitywnym kombinatorstwie piszą, niestety, już zagraniczne media. Zwyczajnie szkoda, ale mentalności narodu się, niestety, nie zmieni.
        Na koniec pytanie do redakcji: czy będziecie relacjonować rozwój wydarzeń, czy zostajecie przy oryginalnym opisaniu sprawy i tyle?

        Odpowiedz
  • 2023.12.07 20:07 Anonim

    Czy Wy jesteście poważni? Mówię do tych co krytykują Newag. To jest Polska firmą, Polski kapitał, Polskie patenty. Popatrzcie sobie na YT co opracowali ostatnio, popatrzcie jak akcje poszły w górę w ostatnim czasie. Newag sprzedaje swoje produkty za granicą. Kiedy czytam komentarze „trzeba ukarać Newag” itp, ludzie, oni nakręcają naszą gospodarkę. Jesteście poważni? Nagłaśniajcie sprawę dalej, niech dotrze za granicę. Kontrahenci zrezygnują z zakupu produktów, firma dostanie solidny cios. Nie będzie mogła opracowywać nowych patentów, ludzie stracą pracę a później będzie płacz, bo zwalniają. Nie czujecie chociaż trochę że to może być sabotaż że strony konkurencji? Mam nadzieję że Newag wyjdzie z tego obronną ręką.

    Odpowiedz
    • 2023.12.07 21:29 brawo

      I już mamy piękne działania damage control, czyżby prowadzone przez wynajętą agencję PR?

      Odpowiedz
      • 2023.12.07 22:47 Anonim

        @brawo, Wyraziłem swoją opinię na ten temat, nie mam żadnych powiązań z newagiem, prócz tego, że raz czy dwa miałem okazję jechać jako pasażer w ich pojeździe impuls 2. Czemu sądzisz, że to działanie damage Control prowadzone przez wynajęta agencje PR? Czy ktoś tu wymyśla teorie spiskową? Równie dobrze ja mogę sądzić że wszyscy co krytykują Newag są wynajęci przez ich konkurencję – ale tak nie sądzę, każdy ma prawo wyrazić swoją opinię. W biznesie wymyśla się gorsze rzeczy o których wielu komentujacych założę się że nie wie, ale jak zostaną odkryte to pojawią się znawcy. Najmijcie hakerów i sprawdzajcie wszystkie produkty np. smartfony, których wybrane modele producenci potrafią specjalnie ubijać aby klient poszedł kupić nowszy model. Od kiedy hakowanie jest legalne? Skoro mnie stać mogę mając hakera żeby mi sprawdził system operacyjny lub jakąś aplikacje? Zostanę bez konsekwencji? A nie myślał nikt, ze może ktoś chciał na tym zarobić? Pamiętajcie, że dziś światem rządzi informacja, należy podchodzić ostrożnie do wszelkich informacji a zwłaszcza tego typu. Jak ktoś wrzucił do internetu IF-y telewizora marki X mwoiace o tym że jak telewizor jest włączony przez więcej 1000 godzin to nie uruchamiaj się to też będziecie krytykować tą firmę – akcje pójdą w dół ktoś się wystraszy, zaszkodzić firmie, po czasie odbuduje zaufanie do klientów – podniesie się z kolan, akcje pójdą w górę i ktoś na tym zarbi ;)

        Odpowiedz
      • 2024.02.06 14:54 Spoxman

        Oczywiście, że tak. I zgodnie z prawdą w ogóle niepowiązany z newag. xD

        Odpowiedz
    • 2023.12.07 22:57 wk

      @Anonim

      Trzeba było o tym pomyśleć, zanim implementowało się backdoor i inne ukryte wady w produktach które się dostarczało klientom.

      A nie teraz unikanie odpowiedzialności poprzez branie na litość.

      Mleko się już wylało, teraz trzeba wziąć na klatę skutki swoich niepoważnych pomysłów.

      Odpowiedz
      • 2023.12.09 09:18 Adam

        Nie ma mowy o wadach ukrytych skoro jest to zgodne ze specyfikacją zamówienia.

        Odpowiedz
        • 2023.12.10 13:13 adamh

          Nie jest, opisu blokady brak w DSU.

          Odpowiedz
    • 2023.12.08 03:46 Lukasz032

      Trzeba było grać fair. Za błędy się płaci i tyle, kapitał firmy nie ma tu nic do rzeczy.

      Odpowiedz
      • 2023.12.08 11:42 Anonim

        Ludzie patrzą bardzo, bardzo wąsko. Teraz każdy jest poszkodowany przez Newag i trzeba firmę ukarać, ok. Wiem że jako jeden z nielicznych staje w obronie tej firmy, ale dla mnie taki artykuł, że ktoś coś widział na jakiejś prezentacji wcale nie jest racjonalny. Czemu pominięto sekcje techniczną? Gdzie ją mogę przeczytać? Czy ona istnieje? Czemu takie ważne fakty są zamieszczane jako streszczenie? Gdzie są solidne argumenty? Bo kawałek kodu to każdy szary człowiek może wkleić i robić wokół tego aferę. Zamieśćcie sekcje techniczną, aby w 100% potwierdzić artykuł. Osobiście jestem ciekawy jak to się skończy, może Newag ostatecznie zmieni właściciela na jakiś zagraniczny kapitał, może upadnie(chociaż w to wątpię), może jego miejsce zajmie ktoś inny? Warto też sprawdzić pewna markę samochodów w którym był problem z silnikiem. Pewnie tam też można łatwo zdekompilować kod i znaleźć if przebieg > 30000 wystwiel komunikat uszkodzony moduł. To jest dobry pomysł żeby zacząć wszystko sprawdzać, Newag nie będzie sam.

        Odpowiedz
        • 2023.12.09 09:19 Adam

          Zaraz zaraz, przecież póki co to nie wiadomo kto wprowadził te zmiany. Pierwszym podejrzanym jest SPS zatrudniający hakerów.

          Odpowiedz
          • 2023.12.09 13:31 Anonim

            @Adam wreszcie ktoś, kto racjonalnie podchodzi do sprawy. Dokładnie tak. Ktoś kto najmuje hakerów, którzy ingerują w kod jest głównym podejrzanym. Taka ingerencja to naruszenie praw autorskich, skoro umieli zdekompilować kod to pewnie umieli też go skompilować. Myślę, że to jest grubsza sprawa albo SPS bał się kar i wymyślił sobie teorie spiskową wraz z hakerami, albo hakerzy złamali oprogramowanie, informacja dotarła w jakis sposób do konkurencji i ona miała bezpośredni wpływ na tą sytuację. Jak wiadomo nie od dziś Newag rozpycha się na rynku, bo ma solidne i tańsze produkty. W sumie nie ma co gdybać. Dla mnie fakty wyglądają następująco – powstał artykuł bez podstaw, brak technicznych informacji, obecnie traktuje to jako pomówienie na firmę. Hakerzy zgadzając się na ofertę SPS złamali prawo. Póki co winni są Ci co stworzyli całą aferę a nie Newag. Wszystkie media podlapaly temat i powielają te niepotwierdzone w żaden sposób informacje. „Bo była prezentacja ktoś zaprezentował a ktoś widział i pominięto szczegóły techniczne” Jeśli ktoś w to wierzy to faktycznie potwierdzają się informacje, że ten kto rządzi mediami, rządzi ludźmi ;)

          • 2023.12.09 16:17 Adam

            @Anonim – ciekawe co UTK na to że SPS zatrudnia hakerów by przywrócić do eksploatacji pociągi które nie mają formalnych dopuszczeń do ruchu, bo nie przeszły przeglądów w autoryzowanym serwisie.

            Te pociągi ze względów bezpieczeństwa powinny zostać wyłączone z użytkowania.

          • 2023.12.09 18:30 Anonim

            @Adam – dokładnie tak, pociągi powinny zostać wycofane z użytkowania, zostały złamane, kto wie czy hakerzy nie będą próbować wyłączać ich zdalnie i obwiniać Newag. Mając złamany kod Ci hakerzy mogą zrobić dosłownie wszystko z tym pojazdem co stanowi duże niebezpieczeństwo dla zwykłych ludzi. A zapewne jak by doszło do jakiegoś wyłączenia lub co gorsza nieszczęścia to ludzie obwiniali by Newag, spotkałem się z opinią, że Ci hakerzy są etyczni i nie zależy im na pieniądzach. Który etyczny haker w czasie gdy za granicą trwa wojna, hakuje pojazd który teoretycznie może służyć w czasie wojny? (Ok nie znam się bardzo na tym, ale chyba taki pociąg mógłby przewieźć chociażby żołnierzy z punktu a do b). Prawda jest taka że etyczni hakerzy wraz z ekspertami od napraw pociągów SPS narazili na niebezpieczeństwo każdego pasażera hakując pojazd. Mam nadzieję, że służby zajmą się SPS i hakerami którzy ingerowali w systemy bezpieczeństwa. Według mnie to jest sabotaż Newagu, firma w ostatnim czasie odnosiła cały czas sukcesy i ropychala się niewygodnie na rynku. Polecam się zapoznać z zamówieniami jakie firma otrzymała czy pojazdem który osiągnął 240 km/h na napięciu trakcyjnym 3kV. Wtedy każdy się poważnie zastanowi nad tym czy ktoś nie próbuje popsuć dobrej opinii producenta.

          • 2023.12.10 13:13 adamh

            Chyba ostatnim.

          • 2023.12.10 20:30 Anonim

            Przecież kodu nikt nie zmieniał, ten feature pochodzi od producenta.

    • 2024.01.05 11:04 Kapitan Kolaps

      Ziomuś, Newagu nikt nie zaora, ale menejdżmęt już powinien garować, a i kara w postaci jakiegoś tam procenta przychodów byłaby wskazana.

      Odpowiedz
  • 2023.12.07 20:41 Jarek

    W uproszczeniu to sytuacja jest taka; zgodnie z prawem właściciel(operator) pociągu może zlecić jego serwisowanie dowolnej firmie pod warunkiem, że ta robi to zgodnie z dokumentacją producenta, którą ten przekazuje kupującemu. Wiadomo, że na serwisie się zarabia, szczególnie kiedy na przykład przy przetargu na zakup pociągów obniżyło się cenę aby go wygrać licząc na to, że i tak odbijemy to sobie na serwisie. Jednak kiedy okazało, się że ktoś to zrobi taniej i nie możemy mu tego jako producent legalnie zakazać to stosujemy nieczyste zagrania aby ten serwis się nie udał. Niech „niewłaściwy” serwisant płacił kary umowne a właściciel będzie musiał wrócić na kolanach do producenta i płacić tyle ile ten chce. W ten sposób Newag de facto sięga do kieszeni wszystkich Polaków ponieważ zakupy składów przez koleje samorządowe są finansowane z naszych podatków. A czemu mamy przepłacać za coś co może być zrobione tak samo dobrze ale taniej.

    Zresztą nie umiejszajac nic Newagowi oni projektują te pociągi wykonują ale nie są one w 100% wykonane z rzeczy wyprodukowanych w Newagu. Kto inny robi silniki, falowniki, łożyska, siłowniki drzwi, akumulatory, sprężarki itp. Przy serwisie pociągu trzeba postępować zgodnie z dokumentacją producenta pociągu jak i producentów poszczególnych podzespołów, które wchodzą w jego skład.

    Odpowiedz
    • 2023.12.09 09:21 Adam

      Przy czym w tym przypadku kupujący nie chciał dokumentacji serwisowej i jej nie ma. SPS też jej nie ma, więc zatrudnia hakerów do ingerencji w konstrukcję pociągów.

      Odpowiedz
      • 2023.12.09 15:00 Mada

        To wcale nie tak, że cały przegląd był przeprowadzony zgodnie z instrukcją dostarczoną przez firmę Newag (20 000 stron!). Ale po co o tym wspominać? Psuje ci to całą narrację.

        Odpowiedz
        • 2023.12.09 16:03 Adam

          Newag nigdy nie dostarczał SPS ani KD instrukcji serwisowej. Co więcej nie przewiduje ona hackowania systemów pociągów.

          Odpowiedz
          • 2023.12.10 13:13 adamh

            Dostarczył, jest wręcz załączona do przetargu na serwis, każdy może sobie pobrać.

          • 2023.12.14 21:11 sosnowy

            a gdzie w przetargu od strony newagu jest zapis, że jeżeli pociąg będzie stać przez 10 dni w określonej lokalizacji, to zostanie unieruchomiony?

  • 2023.12.07 21:55 stefan

    To świetny materiał na prezentacje, ale czy nie próbowali załatwić wszystkiego po cichu? nikt nie powiedział N że wiedzą i poprosił żeby przestali?

    Odpowiedz
    • 2023.12.08 12:30 cyk

      ale przecież Newag wiedział. Mieli do nich napisać „ej, przez wasze z**bane praktyki nasze pociągi stoją, przez co tracimy pieniądze ale teraz wiemy że to przez was więc łaskawie odblokujcie bo nie chcemy wam psuć renomy”?

      To nie tak że odkryli dziurę o ktorej producent nie wiedział

      Odpowiedz
  • 2023.12.07 22:03 Adam

    Ciekawi mnie trochę ta sprawa, że niby ktoś po drodze dorzucił swój złośliwy kod, który miał uceglać pociągi w serwisie.

    – Według artykułu hackspece rewersowali soft napisany na układ oparty o rdzeń TriCore
    – Rdzeń TriCore występuje w serii mikrokontrolerów z rodziny Aurix firmy Infineon
    – Te układy są głównie wykorzystywane w projektach z branży Automotive (jak widać koleje też)
    – Stosuje się je głównie w projektach z zakresu Functional Safety w oparciu o normę Automotive – ISO 26262
    – Wedle tej normy jedną z autodiagnostyki wymaganej na wyższym poziomie bezpieczeństwa (np. ASIL C lub nawet ASIL D), którą należy wykonać to sprawdzenie poprawności pamięci zawierającej wykonywany program – np. poprzez weryfikację CRC
    – Można nieśmiało założyć, że taki mechanizm został zaimplementowany, więc wartość CRC powinna gdzieś w sofcie się znajdować
    – Samo postępowanie zgodnie z normą nie wystarcza, urządzenie należy certyfikować przez inną organizację, np. TUV, VDE, CSA, UL lub inną
    – Jednym z elementów wymaganych do certyfikacji jest sposób pokazania, że dane oprogramowanie które jest certyfikowane będzie „zamrożone” i nieaktualizowane (aktualizacja może wpłynąć na bezpieczeństwo, dlatego wymaga się wtedy ponownej recertyfikacji).
    – W dokumentacji od certyfikacji powinien być zaprezentowany sposób „podpisu” danego softu i jego wartość – np. mechanizm CRC i jego wartość to 0x12455678 (CRC-32)
    – Jeśli na tym układzie jest postawiony system do Automotive – AUTOSAR to sprawa może być nawet prostsza do przeanalizowania

    Reasumując – można nieśmiało założyć, że cały soft jest zabezpieczony mechanizmem CRC który hackspece mogą sprawdzić (zmieniając np. jedną instrukcję na inną i zobaczyć czy kod się zblokuje) – z drugiej strony jakiś majster z prawnym umocowaniem (minister? Prokurator?) może poprosić o dokumentację z certyfikacji i porównać obydwie wartości. Wszystko powyższe oczywiście pod warunkiem, że jest CRC, jest jej wartość w papierach itp.

    Odpowiedz
  • 2023.12.07 22:35 Psuj

    Sam zajmuję się usługowo programowaniem PLC w maszynach produkcyjnych. Wiele razy spotykałem się z prośbą klienta żeby zablokować możliwość działania urządzenia np po czasie upłynięcia terminu płatności. Zawsze odmawiam tego typu sztuczek.
    Kilka razy zdarzyło mi się „odblokowywać” urządzenie z importu które miało jakiś licznik / czasu/ sztuk blokujący maszynę a resetowany przez „tajnym kodem”.
    Poza tym jeżeli twoje urządzenie podłączone jest do internetu… Ciekawe co na to producenci samochodów?

    Odpowiedz
  • 2023.12.07 23:57 Damian

    Tak z ciekawości – czy jest jakiś wpis na tym blogu, który ma więcej komentarzy?

    Odpowiedz
  • 2023.12.08 10:11 Adam

    W przeciwieństwie do pewnego producenta taboru z Bydgoszczy, Newag musiał celowo spreparować oprogramowanie pociągów, by te się psuły. Cóż, to jednak daje do myślenia.

    Odpowiedz
  • 2023.12.08 10:44 Postęp

    Jak widać „spisek żarówkowy” na lepszym poziomie? Dlatego tyle elektroniki w dzisiejszych pojazdach, by można było na tym zarabiać?

    Odpowiedz
  • 2023.12.08 12:41 Kamus

    W kolejach mazowieckich była podobna sytuacja z ich impulsami. Po przeglądach w ZNTK Mińsk Mazowiecki. Pociąg jak wjeżdżał w stacje Mińsk mazowiecki nagle awarii ulegała przetwornica. Zakład ZNTK od stacji to jest kilka set metrów. Może też coś podobnego miały te impulsy. Były nawet pogłoski że ZNTK oskarżał Newag że zdalnie uszkadzał przetwornicę

    Odpowiedz
    • 2023.12.09 09:25 Adam

      Co ciekawe problem nie występuje w serwisie Kolei Mazowieckich które mają dokumentację serwisową.

      Odpowiedz
      • 2023.12.09 13:30 Mada

        Wyżej wspomniałeś, że Koleje Małopolskie też miały dokumentacje i licencje, to czemu teraz o nich nie piszesz? Bo tam jednak coś padło? Ojej, hipokryzja. Co więcej, z artykułu wynika, iż nawet w Kolejach Mazowieckich znalazła się jedna sztuka. A wszystkim pomogło narzędzie stworzone przez tych okropnych(!!!) hakerów.

        Odpowiedz
        • 2023.12.09 14:05 Adam

          Padły tylko te serwisowane w nieautoryzowanych serwisach. Te które były w autoryzowanych działają bez problemu.

          Odpowiedz
          • 2023.12.09 14:25 Mada

            SPS przeprowadziło przegląd zgodnie z instrukcją dostarczoną przez producenta. Instrukcja była zła, tory były złe. Co jeszcze ciekawego wymyślisz? I jakie zajmujesz stanowisko w Newagu?

          • 2023.12.09 16:01 Adam

            @Mada – przecież Newag nigdy nie dostarczał instrukcji serwisowej SPS ani KD. Jeśli jakąś mają to pozyskaną nielegalnie.

          • 2023.12.09 22:48 Leszek

            A DSU to skrzaty przyniosły?

            Czy może po wyroku TSUE producent nie może trzymać dokumentacji potrzebnej do serwisowania w tajemnicy, bo serwisowanie powinno myć możliwe nawet gdy producent przestanie istnieć?

          • 2023.12.14 21:16 sosnowy

            a czemu tam padły? Bo były wpisane na czarną listę.

  • 2023.12.08 15:23 Jakub

    >Powyższy artykuł jest jedynie pobieżnym streszczeniem prezentacji wygłoszonej na konferencji Oh My H@ck w dniu 5 grudnia 2023 przez członków zespołu w składzie Jakub Stępniewicz, Sergiusz Bazański i Michał Kowalczyk.

    Czy ma ktoś link do tej prezentacji??

    Odpowiedz
  • 2023.12.08 19:43 Programista

    No nie zła afera… Ale widzę że większość co tu się wypowiada nie ma nic wspólnego z koleją. Obwiniacie programistów a oni najmniej w tym winni. Myślicie że sterowanie pociągiem to jest to samo co młynkiem do kawy? Akurat pracuje jako programista w zachodniej firmie która również produkuje pociągi. Program powstaje na podstawie tysięcy wymagań i jakbym miał się zastanawiać nad każdym czy aby na pewno naciśnięcie tego przycisku ma otworzyć drzwi lub nad tym że za pięć lat to nie zaszkodzi Zdziskowi to przez 10 lat bym nie zrobił swojej roboty. Ktoś daje wytyczne, ktoś to sprawdza. Programista nic na własną rękę nie może zmienić.

    Odpowiedz
  • 2023.12.09 09:27 Adam

    SPS nieźle się podłożył zatrudniając hakerów do naruszania prawa autorskiego.

    Odpowiedz
    • 2023.12.10 13:14 adamh

      Nikt prawa autorskiego nie naruszył.

      Odpowiedz
  • 2023.12.09 10:06 Dvpmg

    Panowie „hakerzy” polecam kontakt z dobrym prawnikiem i zaczęcie budowania lini obrony. Pomówiliście w prasie dużą spółkę liczoną na giełdzie, która odniosła przez to realne finansowe straty oraz zapewne utraci też jeszcze sporo na wizerunku. W tle wisi też uziemienie składów przez samorządy z uwagi na nieautoryzowaną ingerencję i kolejne straty finansowe. Trzeba nie mieć instynktu samozachowawczego żeby iść do prasy i publicznie wydawać oświadczenie o bezspornej winie producenta w niemieckim portaliku. Mam nadzieję, że macie twarde dowody na wasze tezy, bo to co tu czytam to nie są dowody na wasze publiczne pomówienia – chyba sami to rozumiecie? Czy nie? W tle wiszą milionowe odszkodowania z odsiadką włącznie. Powodzenia!

    Odpowiedz
    • 2023.12.09 14:00 Mada

      Polecam wziąć leki, bo już chyba nie działają. Faktycznie, Dragon Sector może nie mieć „lini” obrony, ale linII obrony to już budować nie muszą. Co prawda, będą musieli pogadać z różnymi instytucjami, ale Newag będzie musiał spędzić na tym jeszcze więcej czasu. I faktycznie, w tle wiszą milionowe, ale kary. I odsiadka dla pana prezesa Janusza. Podsumowując, masz rację tak w 50%. Pozdrawiam!

      Odpowiedz
      • 2023.12.09 14:16 Adam

        Wytłumacz więc jak to jest że inni przewoźnicy kupują pociągi od Newag z kodami źródłowymi i dokumentacją serwisową, a potem sami je serwisują i nie mają problemów.

        Tymczasem Koleje Dolnośląskie kupiły bez kodów i dokumentacji, a teraz zlecają naprawy firmie krzak SPS bez autoryzacji która zatrudnia hakerów do nieautoryzowanej ingerencji w systemy sterowania pociągami.

        Przecież to jest idealny przykład nieuczciwej konkurencji, narażenia producenta na straty finansowe i utratę wizerunku, spowodowania zagrożenia katastrofy w ruchu lądowym.

        Odpowiedz
        • 2023.12.09 15:09 Mada

          Tak jak już wyżej napisałem. SPS przeprowadziło przegląd zgodnie z instrukcją dostarczoną przez Newag. Zupełnie o tym zapominasz chyba, bo nie pasuje ci to do twojej teorii.

          SPS przeprowadza przegląd zgodnie z tą instrukcją i co? I… nic, pociąg nie działa. To co? Instrukcja była zła? Tory były złe? Co jeszcze wymyślisz, żeby bronić tej śmiesznej firmy? I później zasłaniać się, że ty tego nie robisz, absolutnie!

          I faktycznie, gdyby tylko w KD i SPS działy się takie rzeczy to spoko, ale działo się to w Małopolsce i Mazowieckim, które przecież mają dokumentację! Co im to daje? Nie wiem, może w tej dokumentacji jest numer do Newagu i mogą szybciej zapłacić za odblokowanie pociągu.

          Newag może się bronić, wiadomo, ale ujawnione do tej pory rzeczy raczej nie działają na ich korzyść. Dlatego tym bardziej interesują mnie twoje informacje na temat Newagu, bo przecież tam nie pracujesz. Prawda?

          Odpowiedz
          • 2023.12.09 15:59 Adam

            Przecież SPS nie ma ma dokumentacji serwisowej do Impulsów, bo jej nigdy nie kupił. Koleje Dolnośląskie też nigdy nie kupiły. SPS przeprowadziły przeglądy niezgodnie z instrukcją, bo ta nie przewiduje hackowania systemów pociągu. W Małopolskę i Mazowieckim psuły się tylko te serwisowane w nieautoryzowanych serwisach. Co więcej nawet jeśli Newag wprowadzał jakieś zmiany to były autoryzowane, bo to przecież Newag jest właścicielem praw autorskich do kodu źródłowego. To SPS i zatrudnieni przez nich hakerzy nie mają praw autorskich, więc ich ingerencja była nieautoryzowana.

          • 2023.12.09 16:23 Mada

            @Adam – W artykule jest info, że przegląd, czyli rozłożenie i złożenie pociągu do kupy, zostało przeprowadzone zgodnie z instrukcją dostarczoną przez producenta. W momencie, gdy okazało się, że pociąg nie działa, SPS postanowiło się skontaktować z DS. I tego Newag się nie spodziewał, bo SPS i KD powinni się zgłosić do nich, oni wysłaliby swojego speca po przyjęciu zapłaty i ten „specjalista” zdjąłby blokadę, o której doskonale wiedzieli. I pewnie tak robiono w innych miejscach, nie wiem, to się okaże. Wydaje mi się, że te firmy wiedzą najlepiej co się dzieje, a nie jakiś random Adam w internecie. Cały czas też coś tam plujesz „oni mają dokumentacje, bo kupili, a tamci nie mają!”. Okej, a skąd masz te informacje? Przecież nie jesteś w Newagu. A jeśli są one gdzieś dostępne to możesz podesłać źródło czy coś.

          • 2023.12.09 16:45 Adam

            Nawet na stronie Newag jest oświadczenie że SPS nie ma autoryzacji. Skoro nie ma autoryzacji to nie dostał oficjalnej dokumentacji serwisowej. KD też nie kupiły, co wiadomo z przetargów jakie organizowali.

          • 2023.12.09 17:06 Mada

            @Adam – Strona Newagu jest jak ich pociągi – nie działa. Zabawne, że akurat w takim momencie. Nie chce mi się dalej prowadzić tej wymiany zdań, gdyż ewidentnie masz jakąś sympatię do Newagu lub uraz do hakerów/KD. Nie wiem tego.
            Jednak pozwolę sobie podsumować. Pociąg Newagu nie jedzie, mimo iż otrzymali sprawdzone części od producenta i go złożyli. Nie ma tutaj żadnego udziału hakerów, to ważne. Następnie pojawiają się hakerzy, którzy sprawiają, że pociąg jedzie. Pamiętaj też, że jeden pociąg wywalił komunikat o awarii sprężarki, a mechanicy potwierdzili, iż z nią jest wszystko okej. Nie było tutaj udziału hakerów, więc oprogramowanie raczej już tam było i sprawiło, że ten komunikat się pojawił. Nikt go nie dopisał, choć Newag wierzy, że tak było.
            Ale teraz zobacz, kto traci w tej sytuacji. Jest to Newag. Nie mogą przejąć zlecenia na serwisowanie pociągów. Pewnie nie mogą też pobierać opłat za zdejmowanie blokad, ale to nie jest w żaden sposób potwierdzone. A jeśli nie wiadomo o co chodzi, to chodzi o pieniądze.

          • 2023.12.09 18:01 Adam

            @Mada – skoro zyskuje na tym SPS to jest winnym.

          • 2023.12.09 18:13 Mada

            @Adam – nie wiem jak do tego doszedłeś, bardzo ciekawy proces musiał zajść albo też nie zaszedł, nie wiem. SPS zyskuje na tym, gdyż zaoferowali niższą cenę niż Newag. Więc tak, SPS zyskuje, ale w legalny sposób. Był przetarg, zaproponowali najniższą cenę i dostali umowę. Trzeba zrobić potężny fikołek logiczny, żeby dojść do stwierdzenia zysk=wina. Nasze komentarze i tak niczego nie zmienią. O tym kto jest winny będzie decydować już pewnie prokuratura.

        • 2023.12.10 13:15 adamh

          Kupiły z dokumentacją.

          Odpowiedz
        • 2023.12.10 20:42 Anonim

          Co ten Adam ma z kupowaniem kodów źródłowych? Software od producenta ma działać, KD ani serwis zmieniać go nie będą. Jest certyfikowany, prawda? Prawda??

          Odpowiedz
        • 2023.12.21 19:26 Czesio

          https://wiadomosci.onet.pl/kraj/skandal-na-kolei-pociag-newagu-stanal-bo-znowu-nadszedl-21-grudnia/41mdspf
          tak tak, EasterEgg, czy jakos podobnie, nie strzela sobie w stope, i zadne pociagi nie staja bo przyszedl dzien zakodowany w cierpware ktory zainstalowali, nie?

          Odpowiedz
    • 2023.12.09 14:22 Adam

      Ci durnie sami się przyznali że nie mając praw autorskich ani dokumentacji serwisowej ingerowali w systemy bezpieczeństwa pociągów by przywrócić je do eksploatacji mimo iż nie mają one wymaganych przepisami dopuszczeń do ruchu.

      Odpowiedz
      • 2023.12.14 08:44 Pinko Pallino

        am I the only one to be surprised at what level this code is inserted? i would have iterated over a number of points and calculated the distance from them, if the radius was less than some number (300m?) i would know i was in a competitors workshop.
        the pseudocode given, inserted as rectangles gives me an impression that the original writers of the block were rather unsophisticated – or am I wrong?
        lazy is good (ref shift) but perhaps hiding it as code made it less obvious?
        if i understand correctly the code was later changed. how did this happen? are the trains updating remotely?
        in any case, for the safety of all europeans, i hope this is investigated. geolocation locks could seriously jeopardize our safety if applied differently by more evil actors.

        Odpowiedz
  • 2023.12.09 19:38 Dvpmg

    Ci geniusze „hackowali” 2 miesiące PLC firmy Selectron model 831-TG :D:D:D Potem poszli grzebać na produkcji w certyfikowanym systemie bezpieczeństwa w ok 30 składach i zaraz szybciutko do mediów oskarżyć producenta pociągów o swoje rewelacje wskazując, że to na pewno oni bo producent PLC nie udostępnia byle komu software i potrzeba kodu źródłowego do modyfikacji wsadu :D :D :D Panowie czapki z głów. Lepiej wy już nie publikujcie żadnych oświadczeń tylko szukajcie dobrego adwokata bo będzie wam potrzebny… Ludzie otwierajcie popcorn bo widać, że to dopiero się zaczyna rozkręcać…

    Odpowiedz
    • 2024.01.06 17:11 Jakub

      Chyba kolego niezbyt wiele wiesz w temacie DFIR i tego jak analizuje się systemy wbudowane pod kątem syałów we/wy oraz zrzutu debuggingu przez JTAG…

      Odpowiedz
  • 2023.12.09 21:19 misiek

    Ale tu wywaliło trolli, ciekawe z jakiej firmy i/lub przez jaką agencję najętych…

    Tak z innej beczki, ciekawi mnie inna sprawa. Czy naprawdę zrzut, porównywanie i podmienianie firmware odbywało się tak bezproblemowo? Naprawdę nikt nie wpadł tam na pomysł wyłączenia interfejsów diagnostycznych, szyfrowania wsadu itd? Bo wychodzi, że chińska elektronika użytkowa bywa bardziej zabezpieczona i wylutowywanie kości to często minimum, o szukaniu exploitów na bootloader już nie wspominam…
    Czekam na bardziej techniczną prezentację ze szczegółami.

    Odpowiedz
    • 2023.12.10 01:38 Leszek

      Witamy w świecie automatyki przemysłowej, gdzie każda magistrala włącznie z nieszyfrowanym tunelowaniem po IP jest traktowana jak fizyczny kabel szeregowy obstawiony uzbrojonymi strażnikami, a źle podpięty PC z Windowsem (bez malware) może wylać całą linię produkcyjną.

      Odpowiedz
  • 2023.12.10 13:04 Jur

    Artykuł robi wrażenie. W swoim charakterze postępowanie producenta wydaje się być podobne do manipulacji producenta VAG. Przy tym całym „wooow dla wyczynu” niepokoi mnie fakt ingerencji kogoś w system, który później będzie eksploatowany w ruchu kolejowym. Byłbym spokojniejszy, gdybym przeczytał, że praca informatyków jest nadzorowana przez jakiś urząd dozoru technicznego. Tymczasem to informatycy są tutaj sygnalistami. Z całym szacunkiem do ich pracy i zdolności.

    Odpowiedz
    • 2023.12.10 14:04 Leszek

      UTK został poinformowany i nie wstrzymał eksploatacji. Wszystkie PLC mają nadal swoją certyfikację, bo jak można przeczytać na https://oko.press/kto-unieruchamia-pociagi-impuls-sledztwo-hakerow można jasno przeczytać „Pragniemy jednocześnie sprostować często powtarzające się nieporozumienia w mediach: 1. Nie ingerowaliśmy w kod kontrolerów w Impulsach – wszystkie pojazdy nadal jeżdżą na oryginalnym, niezmodyfikowanym oprogramowaniu.”.

      Odpowiedz
  • 2023.12.11 13:23 jan

    hi sir i completed the software task sir thank you

    Odpowiedz
  • 2023.12.12 14:31 kołtun

    Czy można było zdalnie przyśpieszyc pociąg albo zatrzymać w newralgicznym punkcie (zwrotnice?)
    To piekny przypadek dla naszych prawników i służb. Ciekawe czy się tym zajma czy raczej nic nie zrobią.
    Jeśli nic nie zrobią to w wypadku jakiegokolwiek sabotażu (np. pociągów wojennych na ukrainę) nie mamy żadnej szansy na wytłumaczenie. Ktoś może wrobić Polskie Państwo w sabotaż

    Odpowiedz
  • 2023.12.15 10:49 Andre Rodier

    Chciałbym przeprowadzić wywiad w języku angielskim z jednym z deweloperów dla francuskiego czasopisma online linuxfr.org. Czy ktoś może mi podać stronę internetową lub adres e-mail?

    Odpowiedz
  • 2023.12.16 20:41 Olo

    Firmę newag powinni wykluczyć z wszystkich przetargów w Polsce a jeśli mają klientów zagranicznych należy ich o tym poinformować

    Odpowiedz
  • 2023.12.21 19:24 Czesio

    Wydaje mi sie ze nalezaloby zapytac Panow ktorzy zajmowali sie temeatem o zdanie oraz zaktualizowac artykul…
    https://wiadomosci.onet.pl/kraj/skandal-na-kolei-pociag-newagu-stanal-bo-znowu-nadszedl-21-grudnia/41mdspf

    co do zdania „panow” z Newagg to chcialbym przekazac im Puchar xD, a nawet xDD

    Odpowiedz
  • 2023.12.23 12:50 liściasty

    Ja wiem że nie w temacie, ale bardzo chciałem podziękować Adamowi za wystąpienie w materiale dla klientów banku pekao (tego z żubrem). Bardzo doceniam że chyba pierwszy raz zdarzyło się że o tak ważnych rzeczach wypowiada się było nie było spejcalista, a nie jakiś randomowy influencer (z całym szacunkiem dla pana Kondrata który reklamuje ING :P). Szukając o nim informacji nawet laik zorientuje się że chodzi o gościa z branży. Szacun – materiał pod linkiem https://www.youtube.com/watch?v=SkPmZtvR-78

    Odpowiedz
  • 2023.12.27 10:52 syl

    Fantastycznie napisany artykuł. Rzadko zdarza się, żeby artykuł zawierający technikalia był tak przystępnie napisany

    Odpowiedz
  • 2024.01.03 00:36 min_infrastruktury

    tutj link to wystąpienia i prezentacji (EN) ; krok po kroku + Q&A na końcu; brawo dla ekpiy!
    O mało by nie przegrałą z czasem a sprawa by trafiła pod dywan.
    O włos.
    https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_trains

    Odpowiedz
  • 2024.02.25 13:08 Tomek

    https://szczeciner.pl/po-3-latach-sie-zepsuly-i-nie-mozna-odpalic-silnikow-polregio-w-zachodniopomorskim-ma-problem/21801/
    Czytamy: W 2021 roku oficjalnie weszły do taboru Polregio w zachodniopomorskim, ale już nie działają. Nie ma możliwości uruchomienia silnika spalinowego, a na monitorze maszynisty wyświetlają się komunikaty usterek – dwie hybrydy zostały całkowicie unieruchomione i wymagają naprawy. Producentem obu pociągów jest Newag.

    Przypadek czy wykorzystanie dobrego, sprawdzonego kodu?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

O trzech takich, co zhakowali prawdziwy pociąg – a nawet 30 pociągów

Komentarze