[ziesell]

Zitat:

Polen: Hacker finden versteckten Killswitch im Zug

Züge blieben in der Werkstatt stehen und starteten nicht mehr. Hacker haben herausgefunden: Der Hersteller hat die Züge per Software sabotiert.



Ein Team der Hacker von Dragon Sector hat eigenen Angaben zufolge eine mögliche Sabotage per Killswitch in der Software des größten polnischen Herstellers für Schienenfahrzeuge, Newag, entdeckt und analysiert. Das berichtete der an den Arbeiten beteiligte Sergiusz "q3k" Baza?ski auf Mastodon.

Vorgestellt hat das Team seine Ergebnisse in einem Vortrag auf der Konferenz Oh My Hack, der bereits in einem ausführlichen Bericht dokumentiert ist. Die beteiligten Hacker werden die Ergebnisse außerdem auf dem kommenden 37C3 vorstellen.

Der Untersuchung durch die Hacker gingen dem Bericht zufolge wirtschaftliche und betriebliche Entscheidungen voraus. So wurde der Service- und Wartungsvertrag für die Impuls-Triebzüge durch die Koleje Dolno?l?skie (Niederschlesische Eisenbahnen, KD) neu ausgeschrieben. Hersteller Newag verlor dabei gegen den günstigeren Konkurrenten SPS, der die vorgeschriebenen Inspektionen nach 1.000.000 Kilometer Laufleistung vornimmt.

Nach Inspektionen und Wartung standen SPS und KD jedoch plötzlich vor einem für die Unternehmen unlösbaren Problem: Der Strom erreichte die Elektromotoren nicht mehr und die Züge konnten nicht mehr fahren.

Das geschah später mit weiteren Zügen gleicher Bauart, auch in anderen polnischen Werkstätten. Die damit verbundenen Ausfälle im Fahrplan konnten die Eisenbahnunternehmen nicht kompensieren und mussten Strafzahlungen für das unterbliebene Angebot leisten.

Der Hersteller der Züge gab währenddessen wenig Unterstützung, immerhin lag kein Servicevertrag vor und Newag verwies lediglich auf ein Sicherheitsproblem. Das wiederum war aber laut Aussage der Hacker nirgendwo dokumentiert. Bevor allerdings der laufende Vertrag mit SPS notgedrungen wieder hätte gekündigt werden müssen, um für den Service wieder zurück zum Hersteller zu wechseln, beauftragte KD die Hacker von Dragon Sector mit einer Fehlersuche.

Hacker suchen und finden die Lösung

Der Zusammenfassung des Vortrags zufolge ging dabei zunächst einiges schief. So zerstörten die Hacker eines der Boards, auf einem weiteren fing ein Kondensator bei den Arbeiten Feuer. Darüber hinaus hatte das Team so gut wie keine Dokumentation für die untersuchte Software selbst, und für die vom Hersteller genutzte Hardwareplattform gibt es keine wirklich guten Werkzeuge zum Reverse Engineering.

Unter anderem dank eines zufällig gefundenen Debugging-Interface gelang den Hackern das Auslesen des Speichers. Bei der Analyse der Firmware verschiedener Züge fand das Team letztlich Unterschiede in der Konfiguration. Dabei waren für bestimmte Konfigurationen entweder echte Werte gesetzt oder diese waren auf null gesetzt. Durch eine gezielte Suche und das Ausprobieren der Konfiguration gelang es Dragon Security letztlich, einen der vermeintlich defekten Züge wieder zu starten.

Software-Killswitch vom Hersteller

Was dann folgte, war eine monatelange Suche nach der Ursache, warum die Züge ursprünglich ihren Dienst verweigerten. Baza?ski schrieb dazu: "Wir fanden heraus, dass der PLC-Code tatsächlich eine Logik enthielt, die den Zug nach einem bestimmten Datum, oder wenn der Zug eine bestimmte Zeit lang nicht fuhr, mit falschen Fehlercodes blockieren würde. Eine Version des Controllers enthielt sogar GPS-Koordinaten, um das Verhalten auf Werkstätten Dritter einzugrenzen."

Weiter hieß es, dass das Verhalten durch eine Tastenkombination in der Kabinensteuerung schnell wieder deaktiviert habe werden können. Allerdings war dies natürlich nicht dokumentiert. Als erste Medien darüber berichteten, dass die Drittwerkstätten die Züge wieder flott bekommen hätten, folgte ein Softwareupdate, bei der die Tastenkombination verschwand, so Baza?ski.

Der Blockadecode selbst blieb dem Bericht zufolge jedoch erhalten. Einige der Züge verfügten sogar über ein Modul mit GSM-Modem, was es dem Hersteller offenbar ermöglichte, die Züge auch aus der Ferne zu blockieren und am Starten zu hindern.

Das Team berichtete, dass der gefundene Killswitch nicht auf die Züge der KD beschränkt gewesen sei. So fand das Team in mehreren Städten und Regionen Polens zahlreiche weitere Züge mit ähnlichen Problemen und einer entsprechenden Softwarelogik zur Totalblockade der Züge.

Abgesehen von Klagen der Eisenbahnunternehmen gegen den Hersteller haben die polnischen Behörden laut Aussage der Hacker bisher aber kein wirkliches Interesse daran, die Vorgang kartellrechtlich oder unter anderen Gesichtspunkten aufzuklären.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]