About me My standards Book Blog Video Blog
Menu
About me Kontakt

Dragon Sector about the Newag affair - interview with Michał Kowalczyk (film, 42m)

cybersecurity trains technology analysis Incident engineering reverse collaboration Investigation code

In the latest episode of CyberDefence24, Michał Kowalczyk, known as Redford from the Dragon Sector group, discusses the alarming case of the discovered locks in Newag trains. He shares his team's challenges during the analysis of intricate control code. Kowalczyk highlights the importance of remote collaboration among team members spread across Europe. The team decided to make the case public, prompting authorities to take action. This episode emphasizes the critical discussions surrounding cyber security in the transportation sector. As of the time of writing this article, the video has 65,616 views and 2,998 likes, indicating rising public interest in these pressing cybersecurity issues.

Toggle timeline summary

  • 00:00 Introduction by Paweł Makowiec discussing Cyber Defence 24.
  • 00:08 Announcement of security issues found in Newag trains on December 5, 2023.
  • 00:16 Introduction of Michał Kowalczyk (Redford), member of Dragon Sector.
  • 00:40 Discussion on Dragon Sector's activities prior to the Newag announcement.
  • 01:06 Recognition of Dragon Sector's success in Capture the Flag competitions.
  • 01:47 Clarification on the locations of team members during the investigation.
  • 02:16 Insight into the team’s division of tasks across different countries.
  • 03:08 Discussion of individual members' roles in analyzing the train systems.
  • 03:53 Investigation began with train unlocking at SPS in Wino-Wrocław.
  • 04:47 Question on personal feelings when first analyzing the problematic software.
  • 05:18 Challenges faced due to the complexity and lack of documentation in the train software.
  • 06:12 Efforts to identify the faulty software impacting train operations.
  • 06:55 Description of the 'Eureka' moment when the first blocking issue was identified.
  • 07:28 Discussion of multiple triggering factors for the implemented blockades.
  • 09:39 Inquiries about software variations across different train models.
  • 13:30 Decision to formally report ongoing issues to authorities.
  • 15:51 Frustrations with the lack of response from various governmental bodies.
  • 16:33 Recognition of the niche nature of reverse engineering as a field.
  • 19:38 Concerns about future actions of the Newag company regarding software updates.
  • 41:40 Closing remarks and thanks to Michał Kowalczyk for the discussion.

Transcription

Dzień dobry Państwu, Paweł Makowiec, Cyber Defence 24. 5 grudnia 2023 roku cała Polska usłyszała o blokadach, jakie znaleziono w pociągach Newagu. Dziś, w pierwszym odcinku z serii Kolej na cyber, jest z nami w studio Michał Kowalczyk, znany jako Redford, jeden z trzech członków grupy Dragon Sector, która te blokady znalazła. Dzień dobry, Michale. Dzień dobry. Polska usłyszała o Was 5 grudnia 2023 roku, czyli ponad rok temu, ale czym Wy jako Dragon Sector zajmowaliście się przed tym ogłoszeniem, przed tą całą sprawą tych blokad? Do tego czasu byliśmy głównie znani z... Jedno, pojedyncze osoby z naszej drużyny były znane po prostu przez swoją działalność w świecie bezpieczeństwa, ale jako team byliśmy znani głównie z zawodów CTF, czyli Capture the Flag. Od teraz, to już chyba 11 lat, gramy zawody CTF, w których są zawody drużynowe, w których drużyny z całego świata rywalizują ze sobą, rozwiązując zadania cyberbezpieczeństwa. No i w miarę dobrze nam szło, więc byliśmy też znani i stąd też znaleźliśmy się w całej tej aferze pociągowej. Po prostu warsztat SPS wygooglał nas i tak trafiliśmy. SPS Was znalazł, ale z tego co wiem, z Waszej trójki tylko jedna osoba mieszka w Polsce, więc nie mylę się? Teraz już żadna. Mamy dwie z naszej trójki, bo w Drugim Sektor jest chyba 17 osób teraz. Z naszej trójki dwie są w Szwajcarii, w tym ja i jedna w Niemczech. Ale w trakcie trwania tej sprawy Kuba był w Polsce jeszcze. Właśnie chciałem zapytać, że skoro dostaliście tego maila i byliście tak podzieleni, że tak się wyrażę, między te różne kraje europejskie, to jak wyglądała ta Wasza organizacja? Jak się podzieliliście zadaniami? My w sumie jesteśmy przyzwyczajeni do pracy w takim trybie, ponieważ w Drugim Sektor wszyscy gdzieś się porozjeżdżali i nie ma aż tak dużo osób w jednym miejscu. Tak naprawdę teraz najwięcej osób mamy w Curychu. Ale jesteśmy przyzwyczajeni do pracy zdalnie, więc po prostu wysyłamy sobie wiadomości, wysyłamy sobie aktualny status i zsynchronizujemy się po prostu zdalnie. A w tym konkretnym przypadku podział był nawet łatwiejszy, bo każdy z nas miał inną specjalizację. Przykładowo Sergiusz zajmował się narzędziami, to znaczy on tak naprawdę zbyt dużo nie analizował tych pociągów, ale zajmował się przykładowo narzędziem do inżynierii wstecznej, żeby tam trzeba było trochę poprawić błędy, przykładowo. Kuba z kolei zajmował się pociągami i takiej strony sprzętowej, typu on zapoznał się dokładnie z dokumentacją, jak działa taki impuls. On też miał dużo doświadczenia po prostu w elektronice. No a ja się zajmowałem inżynierią wsteczną kodu, bo najlepiej znam się na tej części. Więc tak po kolei przechodziliśmy i każdy miał swoją część projektu. Oczywiście pomagaliśmy sobie nawzajem, ale w tym projekcie wyjątkowo ta separacja była taka dość duża. Z dostępnych informacji też wynika, że najpierw było odblokowywanie pociągów w warsztacie SPS-u w Wino-Wrocławiu, ale potem zaczęły się odzywać podmioty z całej Polski. Więc może będziesz wiedział, Kuba jeździł z pracownikami SPS-u rzeczywiście po całej Polsce diagnozować te pociągi, czy jakoś to inaczej zrobiliście? Z tego co pamiętam, no to już było dawno temu, na początku jeździł, a potem zdalnie się wpinaliśmy po prostu przez laptopa. Też jeździł ktoś z SPS-u albo ktoś, kto był na miejscu. Wydaje mi się, że zawsze był ktoś z SPS-u i czasami albo Kuba pojechał i był fizycznie, albo się zdalnie po prostu łączył do tego. Bo te awarie występowały w całej Polsce, więc to było bardzo niepraktyczne, żeby jechać do Szczecina, potem do Zielonej Góry i tak skakać między miastami ciągle, bo tych przypadków było naprawdę sporo po tym. To teraz zapytam się o takie Twoje osobiste odczucia. Jak dostałeś, powiedzmy, pierwszy kod oprogramowania, to siadasz do niego, zaczynasz go analizować i jaka była Twoja reakcja? Raczej nam się nie uda, bo jest tego za dużo i my mieliśmy bardzo mało czasu, kod był ogromny, a zarazem ciężko było znaleźć cokolwiek nim. Ponieważ to jest kod sterujący pociągiem, do którego jest bardzo mało dokumentacji i ta dokumentacja w dodatku, co ciekawe, była błędna w wielu miejscach. Więc przykładowo urządzenia z sieci CAN, w takiej dokumentacji są podpisane, które urządzenie ma który numer w sieci CAN i tam były błędy. Po prostu były błędnie numery wpisane w niektórych przypadkach albo np. dwa urządzenia według dokumentacji miały ten sam numer, więc to jest niemożliwe. Musieliśmy jakoś sobie z tym radzić, a dodatkowo ten kod był dość duży i nie był nijak udokumentowany ani nic tam nie było podpisane. W świecie technicznym mogę powiedzieć, że nie było tam symboli ani żadnych ciągów tekstowych, więc wszystko co mieliśmy, to musieliśmy analizować komunikację między komponentami i systemem operacyjnym tym pociągu. No i z tego odtworzyć, znaleźć tak naprawdę, w których miejscach tego kodu, który jest ogromny, są rzeczy odpowiedzialne, w tym wypadku np. za sterowanie falownikami. Bo wiedzieliśmy, że bezpośrednią przyczyną niedziałania jest, że ten komputer wysyłając wiadomość do falowników nie każe im wystartować. Więc widzieliśmy, że w tym miejscu jest bezpośredni skutek działania blokady i stąd staraliśmy się iść do tyłu i znaleźć, co powoduje wywołanie tego skutku. I moment odkrycia pierwszej blokady był takim momentem Eureka, mamy to, czy jak? Tak. Nie zawsze takie jest w inżynierii wstecznej, ale tutaj właśnie tak było, bo w momencie jak znajdzieliśmy już to miejsce w kodzie, to właściwe miejsce, które odpowiada za blokowanie pojazdów, to wszystko nagle zaczęło się układać w całość i też zaczęło pasować do tych historii, które słyszeliśmy. Bo do tej pory problem był taki, że ciężko nam było zgadnąć, co powoduje te blokady. Widzieliśmy wiele różnych przypadków, jak pociągi się blokowały i na ich podstawie ciężko było wymyślić jeden spójny taki wyzwalacz dla tej blokady. W jaki sposób ten komputer decyduje, żeby teraz się zablokować. No i rozwiązanie było takie, że tam po prostu jest kilka różnych tych wyzwalaczy do blokady i przez to mieliśmy problem w zgadnięciu, co to może być. Jak się potem okazało, to była liczba dni postoju, w niektórych przypadkach jeszcze z GPS-em, wymiana niektórych komponentów, potem w niektórych innych przypadkach blokada na licznik przejechanych kilometrów i tak dalej. Więc tych blokad było dużo różnych i stąd ciężko było zgadnąć, co to może być. Analizowaliście rozmiary oprogramowania sterowników po kolei, jeden po drugim, tak jak były zgrywane? Nie do końca, to znaczy zgraliśmy te, które aktualnie były zepsute, to znaczy z tych zablokowanych aktualnie pociągów i mogliśmy dzięki temu też porównywać je między sobą. To nas trochę zdziwiło, że praktycznie wszystkie pociągi, z których zgraliśmy oprogramowanie, jeździły na innym oprogramowaniu. To była ta sama rodzina, ale przykładowo wydaje mi się, że to było 45WE024, jeśli nie mylę. On miał dużo starsze oprogramowanie, to znaczy on prawdopodobnie miał takie pierwotne oprogramowanie, do którego tylko doklejono te blokady później, ale brakowało mu po prostu różnych funkcjonalności, które dodawano później w innych pojazdach. Nie wiem czemu, ale jest to trochę interesujące. W każdym razie mieliśmy dużo zgranych oprogramowań z tych pojazdów. Wszystkie były trochę inne, ale dzięki temu też mogliśmy je porównywać między sobą, bo wiedzieliśmy, że we wszystkich są blokady, więc przykładowo jeśli coś jest w jednym programie, a w drugim nie, to to pewnie nie jest kod blokady, bo muszą być we wszystkich. Ale też wiedzieliśmy, że blokady są stosunkowo nową rzeczą w tych pojazdach, bo historycznie jak rozmawialiśmy z warsztatem, to był to pierwszy przypadek, o którym słyszą, więc jest to stosunkowo nowy feature w tym kodzie, więc prawdopodobnie on się będzie zmieniał. To znaczy oni dopiero go rozwijają, więc prawdopodobnie będzie występował we wszystkich ta funkcja blokująca, ale będzie się różnić. Więc w ten sposób mogliśmy szukać, porównując te oprogramowania między sobą. Tak dodając, główny problem w inżynierii wstecznej, jeden z chyba największych problemów, jak ma się taki kod, jest to, że nie jesteś w stanie przeczytać całości, bo jest po prostu olbrzymi. Tam jest cały kod sterujący pociągiem w bardzo nieczytelnej formie, bo to jest forma, którą procesor wykonuje, a to nie jest kod źródłowy, który programiści mają. To, co jest dużym problemem, jest po prostu znalezienie interesujących miejsc, bo jest po prostu tak, jakbyś w wielkiej bibliotece i trzeba znaleźć jedną książkę, gdzie tam na jednej stronie jest coś ważnego. W którym momencie zaczęliście dostawać informację, że to nie tylko pociągi, które są w SPS-ie, mają problemy? Że to jeszcze było w trakcie, jak badaliście impulsy kolei dolnośląskich, czy to już jak skończyliście tę część, to wtedy SPS się odezwał? Słuchajcie, mamy sygnały od innych przewoźników, że oni też mają problemy. Czy chcecie to zbadać? To było w trakcie. Wydaje mi się, że około miesiąca po tym, jak zaczęliśmy projekt, usłyszeliśmy o Polregio. Tam chyba w Szczecinie mieli problem wtedy. Nie jestem pewien, w którymś zakładzie Polregio mieli podobny problem. I to był trochę przełomowy moment w naszym myśleniu. My prywatnie uważaliśmy, że to jest raczej mało prawdopodobne, żeby tam rzeczywiście było tak, że producent coś cenowo zrobił. Raczej zakładaliśmy, robiąc tę analizę, że warsztat mógł coś po prostu źle pomylić się przy serwisowaniu, może coś nie zrobił poprawnie, ale analizując komputer dojdziemy do tego diagnostycznie po prostu, co tam zostało źle zrobione. Ale w momencie, jak się okazało, że inne zakłady w całej Polsce mają identyczny problem i też komputer mówi, że wszystko jest okej, ale nie rusza, to to już było coraz bardziej podejrzane. I też te przypadki, gdzie pojazdy się blokowały przed wysłaniem do warsztatu, też były bardzo trudne do wytłumaczenia. Ponieważ do tego momentu już były dwa przypadki, te 019-029 Kolei Dolnośląskich, które z tego, co pamiętam, to w warsztacie chyba nie było po prostu miejsca już. Więc Kolei Dolnośląskie zamiast wysyłać do warsztatu, odstawiły je na Bosznicę, bo one już chyba podbijały pod milion kilometrów, więc nie mogły być używane dalej. I Kolei Dolnośląskie odstawiły, a potem jak chciały wysłać do warsztatu, to się okazało, że nie jeżdżą z takimi samymi objawami. I wtedy podejrzewaliśmy, że może one są zaprogramowane na datę, bo one miały pojechać dopiero co do warsztatu, ale przez to, że się opóźniło wysłanie, to może po prostu jest zaprogramowane, że w tej dacie mają się zepsuć. I przez to, że pojechały później, to zepsuły się przed pojechaniem. Ale na pewno było to podejrzane, bo z tych informacji, co mieliśmy, to NEWAK nie chciał w ogóle powiedzieć nikomu, co się dzieje w tych pociągach. Nawet w tych, które się zablokowały przed warsztatem, które NEWAK odblokował. Te dwa się zepsuły przed pojechaniem do SPS-u i NEWAK je odblokował, ale nie wyjaśnił nic, co tam się stało. Zajmowaliście się tymi pociągami. Zaczęliście też badać pociągi innych przewoźników. Tutaj oprócz Polregio była też SKM-ka warszawska. Badaliście też pociągi WKT-ki, jeżeli dobrze pamiętam z zestawienia. Ogólnie też badaliście 30 tych pociągów i w 25 były te blokady. I w którym momencie zapadła decyzja, że zgłaszamy to do służb? Dość wcześnie. Po pierwsze chcieliśmy to dokładnie udokumentować wszystko, bo nie chcieliśmy, że zgłaszamy coś, że tutaj jest coś dziwnego, ale przekazał jakiś brudnopis. Więc spisaliśmy raport w miarę dokładny z tego wszystko. Staraliśmy się przedstawić to w takiej formie, żeby ktoś to zrozumiał i był w stanie na tym pracować. Więc od wykrycia tych blokad minęło dwa, trzy miesiące. I teraz, żebym nie pomylił kolejności. Najpierw SPS zgłosił sprawę do chyba UTK i UOKIK-u. Na pewno do UOKIK-u poszło formalnie zawiadomienie o tym. Do UTK nie jestem pewien, czy to było formalnie, ale chyba też. Następnie UOKIK nic nie robił ze sprawą, to znaczy nie mieliśmy żadnej informacji zwrotnej, nawet nas nie spytano o żadne szczegóły. Więc SPS też z naszą trochę pomocą, żeby to zredagować, zwrócił się do CERT Polska, oni są odpowiedzialni za incydenty cyberbezpieczeństwa, żeby popatrzyli na tę sprawę i oni nas skierowali do ABW. Więc spotkałem się z ABW, opowiedziałem całą tę sytuację, zrobiłem prezentację mniej więcej na ten temat. No i potem nie słyszeliśmy znowu od nich. I tak właśnie powtarzało się to ze wszystkimi służbami w Polsce. Wszyscy byli zainteresowani, dostawali informacje, a potem cisza. I tak naprawdę nie wiem, czy coś się działo, no bo służby nie informują o swoim działaniu, ale przez rok nie dostawaliśmy właściwie żadnej informacji i to, co było trochę podpowiedzią dla nas, że pewnie się nic nie dzieje, to że po prostu nikt nas o nic nie pytał. I nie dostawaliśmy jakichś pytań, żeby wyjaśnić dokładniej o co chodzi i tak dalej, żeby coś pomóc w sprawie. Więc podejrzewaliśmy, że po prostu nic się nie dzieje. No i stąd decyzja, żeby pójść z tym publicznie. No i zadziałało to, bo jak służby dowiedziały się, że będziemy to prezentować, no to nagle poszło zawiadomienie do prokuratury, żeby zbadała ten temat. Więc wszystko zaczęło się wtedy toczyć, tak naprawdę w momencie, jak powiedzieliśmy, że idziemy publicznie. Po publikacji spodziewaliście się, że sprawa naprawdę nabierze tempa, że Sejm się tym zainteresuje i że faktycznie, nie wiem, że to może potrwa kilka miesięcy i już będzie sprawa rozwiązana, czy jak? Nie, aż tak bardzo nie liczyliśmy. Wiem, że to jest skomplikowana sprawa technicznie, więc w szczególności w ogóle w Polsce ciężko znaleźć przykładowo biegłych, żeby byli w stanie to przeanalizować, bo inżynieria wsteczna to jest nisza. Bardzo mało osób się tym zajmuje. I w szczególności inżynieria wsteczna takich skomplikowanych urządzeń to jest naprawdę nisza, wewnątrz nisza, więc nie spodziewam się, że służby mają gotowy zbiór ludzi, którzy się mogą tym zająć od ręki. Więc spodziewaliśmy się, że to zajmie dużo czasu, ale tak naprawdę nie mieliśmy pojęcia, w którą stronę to pójdzie. Wiedzieliśmy, że coś się będzie działo w końcu, przynajmniej spodziewaliśmy się, ale tak jak się to potoczy, to… Z Twojego punktu widzenia na taką ewentualność, na taką sytuację, organy i w zasadzie to opinia publiczna byli przygotowani, czy w ogóle to było całkowite, wielkie zaskoczenie, że jak to, w pociągach są blokady? No, organy wiedziały o tym od ponad roku, więc to nie mogło być zaskoczeniem dla nich i one też zostały powiadomione, że będziemy to publikować. Ale jak też, jeżeli chodzi o organy, to w momencie, jak Wy zawiadamialiście jeszcze przed próbami… A, w tym momencie. No, wyglądali na zaskoczonych, tak to ujmę, ale jestem trochę smutny z tego powodu, że wtedy nic nie zrobiono, bo tak naprawdę to był najlepszy moment, żeby zająć się tym sprawą, bo wtedy Lewak jeszcze nie wiedział, że wszyscy wiedzą. I przykładowo, problem jest taki, że prokuratura jak w końcu wjechała do Lewagu, to Lewak od tego czasu miał bardzo dużo czasu, ponad miesiąc na… Miesiąc? Coś koło miesiąca. Nie mówię, że to zrobili, ale jak ktoś wie miesiąc z wyprzedzeniem, to może, że tak powiem, posprzątać. Więc trochę szkoda, że nie rozpoczęto tych czynności w momencie, jak Lewak jeszcze nie wiedział, że ktoś jest na ich tropie. Jak sprawa trafiła do zespołu parlamentarnego, to byliście zadowoleni z tego, w którą tę stronę zmierza? Czy już po tym, jak się to wszystko zaczęło, to zaczęliście, tak powiem, tracić pewność, że w ogóle to jakkolwiek, kiedykolwiek się zakończy? Dobre pytanie. Trochę nas zaskoczył sposób działania Lewagu, bo z jednej strony zaprezentowali się tak, że jest oczywiste, że coś kręcą, bo nie wyjaśnili nic o tych blokadach w sejmie. Unikali tego tematu, mimo że mówią, że chcą to wyjaśnić i że nic o tym nie wiedzą, to zamiast starać się, skoro to nie jest ich kod, no to ktoś wgrał ten kod z blokadami do tych pociągów. A Lewak nie zrobił żadnych kroków, żeby dowiedzieć się, kto to był. I to jest jakby zupełnie niespójną linię narracji w tej sprawie, więc spodziewałem się, że przyjdą tam i chociaż powiedzą coś, co jest spójne. Oni tak naprawdę po prostu starali się unikać tego tematu i problem jest taki, że trochę właśnie wyczerpało ten format. Jak Lewak po prostu unika tego tematu, zadaje bezpośrednio pytania do nich, oni odpowiadają, albo zmieniając temat, albo mówiąc, że oni nic o tym nie wiedzą i że też by się chcieli dowiedzieć i że to wyjaśni prokuratura, ale zarazem samemu nic nie robią, żeby to wyjaśniać, to jest zupełnie niespójne. Więc nie wiem, czy tak naprawdę spotkanie z Lewagiem da się już cokolwiek ustalić, no bo im po prostu nie zależy na wyjaśnieniu tej sprawy. Spodziewaliście się, że na trzecim posiedzeniu Lewak podejmie taki krok, że po prostu nie przyjdą? Tak, bo oni na koniec, nie pamiętam, czy to się nagrało, ale na koniec powiedzieli, że oni już nie przyjdą na żadne spotkania. I po posiedzeniach zespołu, jak Lewak już zadeklarował, że nie będą przychodzić, ale że chcą to wyjaśnić, to jak się czuliście z tą sprawą? Że to okej, jakoś to idzie, czy tak już bardziej negatywnie? No wtedy już się zaczęły pojawiać m.in. te artykuły, że np. Polskiej Agencji Prasowej, że hakerzy wgrali. Tak, wtedy się trochę zaczęliśmy bać, że np. media skręcą w tę stronę, że chakerzy hakują pociągi i po prostu zupełnie wykręcą całą tę historię. Ale na szczęście to był tylko pojedynczy incydent. Na pewno wtedy stwierdziliśmy, że raczej mała szansa, że będzie się dało coś z Lewagiem wyjaśnić. Zawsze jest jakaś mała szansa, że to nie byli oni i że jednak tak naprawdę ktoś inny to zrobi. To jest jakaś maleńka szansa, ale w takim wypadku Lewak by chciał się dowiedzieć, kto im to zrobił. A oni nie starają się w ogóle wyjaśnić tego tematu, nie zrobili żadnego śledztwa, żeby zobaczyć, kto wgrał ten kod do pociągów. Oni wiedzą, że zostali złapani i próbują wykręcić sprawę, żeby narracja była taka, że ktoś hakuje pociągi. Na początku lipca dostaliście pierwszy pozew cywilny i tak naprawdę spodziewaliście się tego, że oni to zrobią? Czy to było w co oni grają? I tak, i nie. Zapowiadali, że nas pozwą, ale zapowiadali tak już od grudnia, więc to było tak, że za każdym razem jak się wypowiadali, to mówią, że nas pozwą, ale nie pozywali. No i z drugiej strony też wydaje mi się, że to kompletnie bezsensowne działanie, bo sprawę mają bardzo słabą. Też argumenty, których używałem, muszą strasznie wykręcać całą historię, żeby było tak, jak oni chcą. Więc myślę, że ten pozew to raczej jest po to, żeby nas zniechęcić, czyli tak zwany slap. W szczególności, że potem złożyli drugi pozew w Gdańsku, teraz jeszcze przeciw posłańcom Atysiak. Więc to wygląda, że oni po prostu próbują utrudnić życie wszystkim, którzy zajmują się tą sprawą. Tyle, że w przypadku tego drugiego pozwu przeciwko wam oraz przeciwko posłańcom Atysiak, to chodzi o naruszenie dóbr osobistych. Czyli to jednak mówimy już o zupełnie innej kwestii niż naruszenie praw autorskich, jak w tym pierwszym pozwie. Dostaliście w ogóle ten drugi dokument, czy nadal nie? Tak, ale dosłownie kilka dni temu. Więc jeszcze nie zdążyliśmy się zapoznać, bo to jest taki karton z papierem. Więc trochę nam to zajmie. Szykujecie już swoją linię obrony. Mniej więcej myślicie, czego można się spodziewać? Jak ta sytuacja wygląda? Tak, może nie będę zdradzał szczegółów, ale jest o tyle łatwiej, że już mamy z pierwszego pozwu wypracowane bardzo dużą część tej linii obrony. I tak naprawdę w tym drugim pozwie on się nie różni aż tak bardzo. Stan faktycznie jest taki sam w obu sprawach. Świadkowie będą pewnie tacy sami. Tak naprawdę to będą bardzo podobne sprawy i ja tak naprawdę liczę, że sąd połączy je, bo o ile jest to z innej podspółki na wagu, trochę inne rzeczy, to tak naprawdę bardzo dużo rzeczy w tych pozwach się po prostu powtarza. I według mnie to jest jednak trochę strata czasu sędziów, żeby rozpatrywać to zupełnie osobno. O ile dobrze pamiętam, w pierwszym pozwie pojawił się m.in. ten obrazek Neva Guisu Researchers. Jak sądzisz, dlaczego firma postanowiła się przyczepić akurat o taki szczegół? Czy oni tak naprawdę chwytają się każdego możliwego elementu? Tak, oni tam wkleili praktycznie wszystko, co pisaliśmy. W ogóle w drugim pozwie tam jest praktycznie każda nasza wypowiedź z internetu. Nieważne, co dokładnie o tej sprawie napisaliśmy, tam po prostu są wszystkie cytaty, które kiedykolwiek powiedzieliśmy w internecie o Neva Gu. Więc to nie jest tak, że oni wybrali jakieś szczególne miejsca, gdzie się szczególnie obrazili na nas, bo po prostu wszystko, co o nich mówimy i do pozwu. I tak samo w tym pierwszym pozwie. Tu widać, że oni mają takie podejście, że po prostu spróbujemy stu różnych linii ataku i może któraś zadziała. Przykładowo, nasze slajdy z kodem tam wrzucili, w ogóle ich nie czytając. Podpisali, że publikujemy ich kod. Chociaż posłuchali tej prezentacji, co Sergiusz mówił w trakcie tych slajdów, to Sergiusz mówił, że to jest przykładowy kod, który sam napisał, żeby pokazać, jak działa programowanie PLC. Więc to był kod Sergiusza, który dał na slajdzie. On sam napisał, to w ogóle nie było nawet związane z pociągiem. Sergiusz tylko chciał pokazać, jak się programuje takie urządzenia. I oni wkleili to do slajdu, po prostu tak jeden do jeden i że publikujemy ich kod. A potem dalej, jeszcze bardziej wtopili, bo na jednym slajdzie pokazaliśmy kod blokady w tym pojeździe z Zielonej Góry, tamta sprężarkę, co się w konkretnej dacie blokowało. Wkleiliśmy to sprawdzenie, czy dzisiaj jest 21 listopada. I Lewak też wkleił ten slajd do pozwu i powiedział, że ich kod publikujemy. Mimo, że w innym miejscu pozwu piszą, że nic nie wiedzą o blokadach i że to nie jest ich kod. I tak samo w jednej części pozwu piszą, że nie wiemy nic o blokadach, to nie jest nasze, a w innej części pozwu piszą, że to ich kod analizowaliśmy. Mimo, że ten kod, który analizowaliśmy miał blokadę. Więc ta linia ataku jest kompletnie niespójna i oni po prostu liczą, że jak zaatakują nas tu frontach naraz, to któryś może chwycić. Wspomniałeś o tym przykładzie, który Sergiusz prezentował w Hamburgu. Chodzi o ten przygotowany przez niego fragment kodu, który potem Lewak w pozwie stwierdził, że to jest ich. Czy rozważacie tak hipotetycznie, że jak cała sprawa się zakończy, to kontrpozew przeciwko Lewagowi, że oni sobie przepisują prawa autorskie jednak do waszego kodu, jakby nie było? W teorii chyba można by, chociaż nie wiem, czy w pozwach się liczy, bo w pozwach chyba można publikować niezależnie od praw autorskich. Można by, ale pewnie nie będziemy się chcieli w to bawić. Zdecydujemy, jak się wszystko uspokoi. Spodziewacie się, że jeszcze w jakichś pociągach Lewagu nagle aktywują się jakieś blokady? Tak, to się nadal dzieje. Te pociągi się w całej Polsce blokują, z tym, że dzieje się to rzadziej przez chyba trzy czynniki. Jeden czynnik jest taki, że w pociągach, w których da się... U mnie część pociągów miała nowsze wersje tej blokady, gdzie istniała inna kombinacja klawiszy, która wyłącza blokadę już na stałe. Znaczy ta blokada dalej jest w kodzie, dalej liczy, ile dni pociąg stoi w miejscu, ale jeśli wpisano kiedyś to magiczne drugie hasło, to nie załączy blokady pomimo przekroczenia tego postoju. Więc w tych pociągach, w których była ta nowsza wersja i dało się aktywować takie permanentne wyłączenie, to aktywowaliśmy ją, więc te pociągi już się przestały blokować i je można normalnie serwisować bez blokad. Drugie. Co najmniej Polregio, ale wydaje mi się, że wszystkie warsztaty robią teraz tak, że jak serwisują taki pociąg, to raz na kilka dni go rozpędzają do 50 km na godzinę, żeby się blokada nie włączyła, więc to też sprawia, że te blokady się nie załączają. Tylko nie zawsze się da tego co zrobić, bo pociąg jak jest zbyt mocno rozebrany, to się nie ruszy nim. I trzecie. Newag po prostu zmienia kod w niektórych pociągach jak trafiają do niego. Przykładowo ten właśnie z Lubuskiego z blokadą sprężarki na datę. Z tego co wiem, to on teraz na jesień trafił do Newagu na jakąś naprawę i jak wrócił, to już przestało się psuć. No więc prawdopodobnie wgrali tam kod, który już jest czysty. Pod jednym z postów posłanki Matysiak na X jeden z komentujących wspomniał o tym, żeby ewentualnie zawiadomić organy unijne, no bo przecież produkty Newagu chyba są eksportowane za granicę. Okazuje się, że około dziesięciu, jedenastu pojazdów, powiedzmy ponad dziesięć pojazdów dla bezpieczeństwa, ponad dziesięć impulsów jeździ w południowo-wschodnich Włoszech. Byliście w kontakcie z kolejami włoskimi? Mimo rzeczy jednak tak nie za bardzo, no bo Włochy, to nie wiemy czy tam też są blokady, nie wiemy czy w ogóle Newag w ogóle by tam te blokady wkładał. My podejrzewamy, że tam nie ma blokad, bo po pierwsze to jest rynek, na którym nie konkuruje Newag w serwisach, to nie jest tak, że Newag ten pociąg będzie do Polski strząkał do serwisu, więc im pewnie nie zależy na tym, jak je serwisować, a po drugie z tego co pamiętam to są jakieś starsze modele. I to co widzieliśmy w całej tej sprawie, że blokady miały pojazdy, które są nowe lub miały aktualizację software'u po 2021. Jak pociąg jeździł na starszym software'ze to nie miał jeszcze blokad. I to w ogóle co ciekawe to koreluje z tym, kiedy Newag kupił prawa autorskie do oprogramowania od firmy Metcom. Bo wcześniej, przed 2021, to firma Metcom rozwijała oprogramowanie, potem Newag odkupił prawa i samemu zaczął je rozwijać i wtedy zaczęły się pojawiać aktualizacje oprogramowania z softwerem, który blokuje pojazdy. To ja się tak, ja teraz tak przeskoczę troszeczkę. A w sumie nie odpowiedziałem na pytanie. Z Włochami się nie kontaktowaliśmy, bo tam prawdopodobnie nic nie ma w tych pociągach. A jak się coś wydarzy, no to pomożemy. A co do Unii to może nie będę zdradzał, ale może coś się da zrobić. Nie jestem pewien. Przeskoczę tak troszeczkę w czasie. Kiedy usłyszeliście po raz pierwszy o blokadach w impulsach kolei mazowieckich? Bo OK, KM-ka miała impulsy. Na prezentacji było pokazane, że jakieś 45 WE słyszeliście i był też ten 222 M. Do tego też za chwilę przejdę. Ale kiedy usłyszeliście o impulsach? To o impulsach jakoś chyba w trakcie trwania tej sprawy, jeszcze zanim była publiczna, chodziła taka plotka. Ale to było tak, że to jakieś z piątej ręki słyszeliśmy. Mnie taki plotek druga słyszeliśmy i się wszystkie okazały nieprawdą. No ale ta jedna akurat się okazała prawdziwa. I słyszeliśmy po prostu jakąś plotkę, że koleje mazowieckie też kiedyś miały ten problem, ale rozwiązały go samemu. I to jest właściwie wszystko, co wiedzieliśmy. Nie znaliśmy żadnych szczegółów w ogóle nawet, co to dokładnie za pojazdy były, ile i jak. I one ogólnie z tego, co kojarzę, nie były chętne o mówieniu o tej sprawie. I to dopiero ruszyło po tym, jak opublikowaliśmy nasze odkrycia i, już nie pamiętam nazwiska, ale radny z Mazowieckiego wystosował interpelację, żeby powiedział o tych przypadkach i wtedy dopiero poznaliśmy szczegóły. Wczoraj dostałem informację od rzecznika Urzędu Transportu Kolejowego, że tych przypadków blokad było około 25. Z pasażerami? Tego wprost w mailu nie było napisane, ale koleje mazowieckie miały odblokować te pociągi poprzez reset sterownika CPU, dokonanego przez pracownika serwisu lub maszynistę. Tak dostałem mniej więcej wiadomości. To jest możliwe, bo starsze wersje blokad, które widzieliśmy, miały coś takiego i to wydaje mi się, że po prostu jeszcze wtedy Nevac nie wpadł, jak to robić dobrze, bo te sterowniki, i to jest funkcja po prostu tych sterowników, można zrobić factory reset. I wtedy na przykład średnice kół się resetują, tego typu ustawienia, bo koła się ścierają, więc trzeba aktualizować je co jakiś czas, konfiguracja pojazdu zmienna w czasie się resetuje, no i trzeba to z ekranu maszynisty poprawić. I w pierwotnej wersji tych blokad było zrobione tak, że jak się zrobiło factory reset, to blokady też się resetowały i się zdejmowały, bo po prostu programista wartości domyślne przy factory resecie ustawił tak, że przywraca się odblokowany stan, ale później to poprawili. I jest możliwe, bo nie patrzyliśmy na kod z tych pojazdów z Mazowieckiego, ale prawdopodobnie dostali tą starszą wersję blokad, która jeszcze była odblokowywana w ten sposób. No, w przyszłości już się tak nie da. Nie patrzyliście na impulsy oczywiście, ponieważ blokadę znaleźliście w spalinowym zespole trakcyjnym 222M, więc to nie czyni tej sprawy wyłącznie impulsową. Ale to też pojazd nerwany. No tak. Jak konkretnie wpadliście, że tak się wyrażę, na trop, że w tym spalinowym zespole trakcyjnym jest blokada, że Mazowieckie poprosiły Was albo SPS? Z tego co pamiętam, to on się po prostu zablokował po przeglądzie z takimi samymi objawami jak impulsy. Czyli on był w SPS-ie, czy gdzie? Oj, nie pamiętam. Chyba był w SPS-ie na przeglądzie jakimś, ale to było już tak dawno i tak dużo tych pociągów jest, że nie chcę pomieszać. No tak, bo też ciekawostka, że 222M002, Wy go nie badaliście, dwójki? Ten, co się spalił? Tak, ten, co się spalił. Pamiętam chyba coś z klimatyzacji. Nie pamiętam, ale chyba coś się zapaliło. Był pożar. Teoretycznie to jeszcze jest badane. To tak już kończąc, bo myślę, że powinniśmy już zbliżać do końca, jak się zapatrujecie na najbliższe miesiące? Bo następne posiedzenie... W sumie jeszcze, tak wracając może do tych kolei mazowieckich tak za szybko, to tam chyba są dwa przypadki. Bo jedno to, że ten reset, to nie wiemy czy tak robili, ale jest to technicznie jakby możliwe w starych wersjach blokad. A drugie, że to był ciekawy przypadek, że GPS wyłączał koło Mińska Mazowieckiego. I z tym poradzili sobie, według tego co piszą w odpowiedzi na tą interpelację, że odpięli po prostu GPS w pociągu. Więc to jest prawdopodobnie, oni dostali te same współrzędne co koleje Dolne Śląskie w ich pociągach, bo tam też był Mińsk Mazowiecki zaznaczony i ten prostokąt zahaczał o tory dojazdowe do stacji Mińsk Mazowiecki. I oni prawdopodobnie dostali starszą wersję tej blokady, bo w koleje Dolne Śląskie było tak, że trzeba wjechać w ten taki zakazany prostokąt, ale trzeba jeszcze stać mi odpowiednio długo. I być może w starszej wersji blokady było tak, że wystarczy wjechać tam, ewentualnie jakoś po prostu programista źle zaprogramował to sprawdzenie. Bo z tego co zrozumiałem z interpelacji, wystarczyło jak przejeżdżając przez ten zakazany obszar pociąg się wyłączał razem z pasażerami. I wtedy odpięto GPS-a i przestało występować. Tutaj z takiego ważnego szczegółu też widzom wyjaśnię. Według instrukcji PKP Polskich Linii Kolejowych obszar stacji zaczyna się od semaforów wjazdowych. Czyli ten obszar, który zaznaczaliście na mapach, ten fragment linii kolejowej do Terespola to faktycznie jest obszar stacji Mińsk Mazowiecki per instrukcja. To teraz już zmierzając do końca, dwa ostatnie pytania. Jak się zapatrujecie na najbliższe miesiące? Głównie batalie sądowe. Niestety, to jest trochę smutna jakby że sprawa to w tym kierunku, że tak naprawdę my bardzo mocno obrywamy na tym. No bo my musimy ciągle jeździć do Polski na rozprawy i jesteśmy oskarżani o wiele rzeczy i tak naprawdę zostaliśmy zapięci do obrony w tym momencie przez NEWAG. No ale liczymy, że sprawy zostaną rozstrzygnięte sprawiedliwie, że mamy mocne argumenty, mamy dużo zebranych dowodów i też na to postępowanie w prokuraturze liczę. Spodziewacie się, że w tym roku też zakończą się inne postępowania, m.in. Urzędu Ochrony Konkurencji i Konsumentów? Czy sądzicie, że to będzie jednak przyszły rok? Nie mam pojęcia. To trzeba by ich pytać. Jak Wy sądzicie? Ja sądzę, że wszyscy czekają na wyniki z prokuratury, żeby nie duplikować pracy, co jest sensowną strategią. Nie wiem, czy tak robią. To jest takie moje zgadywanie, że pewnie po prostu nie chcą powtarzać pracy. No do tego jest jeszcze CBA w Szczecinie. Co jeszcze? Pytanie jak UTK na tę sprawę się w końcu będzie zapatrywał, bo na razie UTK zbyt mocno nie patrzyło na tę sprawę z tego co wiem. Wysyłały tylko jakieś pisma do przewoźników, ale... Te informacje o tych impulsach, które otrzymałem, to one zostały uzyskane w wyniku kontroli, jaką UTK przeprowadziło w kolejach mazowieckich od 9 lutego do 6 marca, jeżeli dobrze pamiętam. Dokładnej daty rocznej nie podam, ale to było rok albo dwa lata temu. Trochę niepokojące jest to, że UTK głównie do przewoźników się przyczepia, a tak naprawdę powinno analizowany być NEWAG, bo to jednak jest oprogramowanie NEWAG-u. Skąd w oprogramowaniu NEWAG-u znalazły się takie funkcjonalności? To powinno być pierwsza rzecz. Główna rzecz to jest jak to możliwe, żeby w ogóle wgrano takie oprogramowanie i dlaczego te pojazdy nie są zabezpieczone. Ten kod nie jest w ogóle podpisany, nie ma ochrony przed podmianą tego kodu. Na moje to jest bardzo słaby stan. Twoim zdaniem to oprogramowanie, te blokady, one jeszcze będą ewoluowały? Będzie się ten stał zmieniał, że tak się wyrażę, na gorsze? Myślę, że zależy od wyniku spraw i w sądzie i w prokuraturze. Jeśli wyjdzie, że NEWAG nie poniesie żadnych konsekwencji, to w sumie czemu mieliby tego nie robić? Jeśli publiczne rozstrzygnięcie będzie, że można tak robić, to boję się, że NEWAG wróci do tej praktyki, bo na razie z tego, co wiemy, przestali je instalować aktywnie w nowych pojazdach. Chociaż nie mam pewności, bo w nowych nie wiemy o tyle, że one jeszcze nie miały przeglądów dużych, ale też może być jeszcze gorzej, że jeśli pójdzie sygnał do rynku, że to jest OK, to inni producenci zrobią to samo, żeby nie zostawać w tyle. Mam nadzieję, że tak się nie stanie, ale jest to pewien możliwy scenariusz. Nie jest to optymistyczny wniosek, ale tak jak sam powiedziałeś, miejmy nadzieję, że tak się nie stanie. Szanowni Państwo, dziękujemy za obejrzenie tego pierwszego odcinka Kolej na Cyber. Moim i Państwa gościem był Michał Kowalczyk, znany jako Redford, członek Dragon Sector i jedna z trzech osób, które odkryły blokady w pociągach NEWAG-u. Bardzo Ci serdecznie dziękuję. Dziękuję.

65616
https://www.youtube.com/watch?v=M5Gu8WZNye8 Published at 2025-02-14