PAP bezpodstawnie wini „hakerów” w aferze z Impulsami

Dodając wzmiankę o „hakerach” autor depeszy sugeruje interpretację informacji uzyskanej od prokuratury, jednocześnie szargając dobre imię ekspertów, oraz szerszej społeczności hakerskiej. I jeszcze bardziej zaciemnia i tak już skomplikowany obraz sprawy dziwnych awarii w składach produkowanych przez Newag.

Zrzucanie winy za wszelkie problemy z cyfrowym bezpieczeństwem na bliżej nieokreślonych „hakerów” to niestety częsty grzech polskich mediów. Trudno oprzeć się wrażeniu, że Newag próbuje to celowo wykorzystywać, mniej lub bardziej subtelnie, od momentu ujawnienia afery.

Fakt, że PAP bezrefleksyjnie powielił tę mało przekonującą narrację, dobitnie pokazuje, jak szkodliwe jest „szczucie hakerem” i szerzenie stereotypów na temat tej kreatywnej społeczności.

Blokujące się Impulsy

Dla przypomnienia: newagowskie Impulsy od lat doświadczały podejrzanych awarii. Unieruchamiały one pojazdy często bezpośrednio po serwisie przez niezależne od Newagu warsztaty naprawcze.

Pisałem o tym w OKO.press:

W obliczu zagrożenia karami umownymi i zerwaniem dużego kontraktu na serwis taboru jedna z tych niezależnych firm – Serwis Pojazdów Szynowych ASO Piotr Mieczkowski – zatrudniła trzech polskich hakerów z zespołu Dragon Sector, specjalistów od systemów wbudowanych, w celu sprawdzenia, czy winna nie jest elektronika.

Dokonana przez nich analiza oprogramowania wgranego na kontrolery zainstalowane w pojazdach wskazuje na celowo zaimplementowane blokady, załączające się, gdy spełnione są konkretne warunki. Warunki te wydają się być dobrane w taki sposób, by blokady włączały się w pojazdach, które były serwisowane przez niezależne od Newagu warsztaty serwisowe. Zawierały między innymi współrzędne GPS niektórych niezależnych warsztatów.

Newag kategorycznie zaprzecza, że ma cokolwiek wspólnego z tymi blokadami. Ale nie podaje żadnego przekonującego wyjaśnienia, skąd w oprogramowaniu produkowanych przezeń pojazdach Impuls – i tylko w nich! – znalazły się takie funkcje blokujące. Ani tego, w jaki sposób firma była w stanie zablokowane w ten sposób pojazdy bezproblemowo uruchamiać.

Producent dość jednoznacznie wydaje się przy tym insynuować (bez przedstawiania konkretnych dowodów), że to sami eksperci z Dragon Sectora wprowadzili te zmiany oprogramowania w Impulsach. W swoich publicznych wypowiedziach i materiałach dotyczących tej afery z upodobaniem korzysta z terminów „grupa hakerska”, „hakować”, i podobnych – wykorzystując fakt, że eksperci ci są członkami polskiej społeczności hakerskiej, w sposób stawiający znak równości między tymi specjalistami a cyberprzestępcami.

Depesza PAP a działania prokuratury

I tu dochodzimy do depeszy PAPu. Jej autor cytuje prokurator Katarzynę Dudę, rzeczniczkę Prokuratury Regionalnej w Krakowie:

„Jest to postępowanie przygotowawcze w sprawie dokonania nieuprawnionej zmiany zapisu danych informatycznych w systemie sterowania kilkudziesięciu pojazdów serii Impuls, polegający na zainstalowaniu w systemie tych pojazdów oprogramowania wywołującego ich blokady w przebiegu normalnej eksploatacji, a tym samym doprowadzenia do niekorzystnego rozporządzenia mieniem nabywców tych pojazdów”.

W podsumowaniu na samym początku depeszy PAP czytamy jednak, że „Prokuratura Regionalna w Krakowie prowadzi postępowanie przygotowawcze w sprawie zainstalowania przez hakerów oprogramowania wywołującego blokowanie pociągów Impuls wyprodukowanych przez nowosądecki Newag” (wyróżnienie od OKO.press).

Ale wypowiedź pani prokurator Dudy nie daje po temu żadnych podstaw.

Dla pewności poprosiłem Prokuraturę Regionalną w Krakowie o komentarz. W odpowiedzi od prok. Katarzyny Dudy czytamy, że jej pisemna wypowiedź dla PAP „nie zawierała żadnej wzmianki o »hakerach«”. I cytuje pełną jej treść, zawierającą między innymi zdanie, które nie znalazło się niestety w depeszy agencji:

„Tytuł i lead wypuszczony przez PAP sugerował coś, czego Pani Prokurator nie powiedziała, czyli że za blokady pociągów Impuls odpowiadają hakerzy, a więc moi klienci, którzy aferę ujawnili” – mówi mi mecenas Zbigniew Krüger, reprezentujący specjalistów z Dragon Sector. – „Znamienne jest, że taka właśnie jest w sprawie narracja Newagu. Depesza została wykorzystana i powielona, z takim właśnie przekazem przez inne media. Autor depeszy nie sprawdził podstawowych faktów, a użyte słowa o hakerach były jego własną, nieprawidłową interpretacją wypowiedzi rzeczniczki prokuratury”.

Prawnik zaznacza, że wystąpił do PAP o sprostowanie depeszy. Do momentu publikacji tego tekstu takie sprostowanie nie zostało jednak opublikowane.

Fakty też zdają się przeczyć

Trzeba też jasno powiedzieć, że sugestie wprowadzenia zmian implementujących blokady w Impulsach przez samych hakerów z Dragon Sectora trudno pogodzić z publicznie dostępnymi na temat afery informacjami.

Po pierwsze, zgranie oprogramowania z kontrolerów w pociągach zostało przynajmniej w kilku przypadkach dokonane komisyjnie. W przynajmniej jednym wypadku blokady znaleziono w oprogramowaniu zgranym komisyjnie z pojazdu, do którego zespół ekspertów z Dragon Sector nie miał w ogóle dostępu. Udostępnili oni tylko narzędzia i przeszkolili przedstawiciela firmy SPS.

Po drugie, raporty z analiz sporządzone przez hakerów z Dragon Sector zostały ocenione jako wiarygodne przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego NASK.

„Ich treść była rzeczowa i spójna z przyjętą metodologią zgodną z przyjętymi w branży praktykami z zakresu informatyki śledczej oraz inżynierii wstecznej oprogramowania” – czytamy w piśmie ministra Pawła Olszewskiego, sekretarza stanu w Ministerstwie Cyfryzacji.

Po trzecie, rezultaty tych analiz kompleksowo wyjaśniają awarie pojazdów Impuls, które dotykają polskich przewoźników od lat. „Mamy 23 typy pojazdów i w żadnym się nie spotkaliśmy z takim zjawiskiem jak w tym pojeździe” – powiedział pod koniec lutego na specjalnym spotkaniu parlamentarnego zespołu ds. walki z wykluczeniem transportowym Piotr Wakuła, dyrektor biura eksploatacyjno-technicznego Kolei Mazowieckich.

Oprogramowanie sztucznie wywołujące awarie w określonych sytuacjach to „zjawisko” tłumaczy.

Po czwarte, wprowadzenie takich zmian w oprogramowaniu kontrolerów bez dostępu do jego kodu źródłowego (do którego specjaliści z Dragon Sectora dostępu nie mieli) pozostawiłoby wyraźne, łatwe do wykrycia i udokumentowania ślady. Jak na razie nikt takich śladów nie ujawnił.

Haker to nie cyberprzestępca

Depeszę PAP można też odczytać tak, by sugerowała, że złośliwe zmiany w oprogramowaniu zostały wprowadzone przez bliżej niezidentyfikowanych „hakerów”, niekoniecznie samych ekspertów z Dragon Sectora. To jednak nadal ma się nijak do informacji z prokuratury, narzuca konkretną jej interpretację, a jednocześnie powiela szkodliwy stereotyp dotyczący społeczności hakerskiej.

Wbrew temu stereotypowi (utrwalanemu niestety często przez media), haker to nie to samo, co cyberprzestępca – podobnie jak kierowca to nie to samo co pirat drogowy. Posiadanie pewnych zdolności (związanych z informatyką w przypadku hakerów albo z prowadzeniem samochodu w przypadku kierowców) nie oznacza, że każda posiadająca je osoba będzie je wykorzystywać w niecnych celach. Traktowanie całej grupy jako domniemanych przestępców jest krzywdzące.

Społeczność hakerska to społeczność osób lubiących majsterkować, często o zacięciu artystycznym. Hakerki i hakerzy próbują zrozumieć, jak działają systemy, z którymi się stykamy, i jak spowodować, by lepiej nam służyły. Albo wykorzystują dostępne narzędzia i swoje umiejętności dla dobra wspólnego – na przykład produkując za darmo podczas pandemii przyłbice dla szpitali.

Tak się składa, że do tej społeczności należą też specjaliści z Dragon Sector, zdolni do niezależnej, rzetelnej analizy oprogramowania w kontrolerach wbudowanych w blokujące się składy Impuls.

Zamiast leniwie powtarzać krzywdzące stereotypy czy bezrefleksyjnie powielać narrację podsuwaną przez zamieszaną w tę bulwersującą aferę firmę, warto nieco poważniej traktować odpowiedzialność spoczywającą na mediach i rozważniej dobierać słowa.

Cykl „SOBOTA PRAWDĘ CI POWIE” to propozycja OKO.press na pierwszy dzień weekendu. Znajdziecie tu fact-checkingi (z OKO-wym fałszometrem) zarówno z polityki polskiej, jak i ze świata, bo nie tylko u nas politycy i polityczki kłamią, kręcą, konfabulują. Cofniemy się też w przeszłość, bo kłamstwo towarzyszyło całym dziejom. Rozbrajamy mity i popularne złudzenia krążące po sieci i ludzkich umysłach. I piszemy o błędach poznawczych, które sprawiają, że jesteśmy bezbronni wobec kłamstw. Tylko czy naprawdę jesteśmy? Nad tym też się zastanowimy.