Czy macie wykaz zmian/dokumentacje zmian które w oprogramowaniu u was zostały wprowadzone?
Newag:
Tutaj chciałbym zakończyć te dyskusje
Nie jesteśmy w stanie odpowiedzieć z uwagi na prowadzone postępowanie.
- - - - -
Q:
Czyli nie macie wiedzy co były modyfikacje w oprogramowaniu?
Newag:
Pojazd do nas przyjechał, nastąpiła diagnostyka, weryfikacja, walidacja.
- - - - -
Q:
Czyli nic nie było modyfikowane?
Newag:
Powtórzę: nastąpiła diagnostyka, weryfikacja, walidacja.
- - - - -
Newag:
Zmiany w oprogramowaniu są jedynie na życzenia oraz w zakresie żądań przewoźnika
Przedstawiciel kolei mazowieckich i inny jakiś (nie pamiętam)
Zmiany w oprogramowaniu się pojawiały, newag nam je wgrywał nawet zdalnie jeśli odmówiliśmy w sposób bezpośredni, nie wiemy co było zmianą w sofcie, soft nawet nie ma żadnego numeru wersji, nie ma wykazu zmian, nie ma dokumentacji ani udostępnionych kodów źródłowych.
Radca pwarny newag:
jeśli ma pan jakies dowody a nie pomówienia, że zmienilo sie cos w oprogramowaniu newag, to proszę powiadomić odpowiednie organy, prosze nie wymawiac takich zarzutow.
Panowie z newag pokazują prezentację na kartkach A2 na temat tego jak ich inne pojazdy (nie impuls, a gruffin, dragon i inne) mają dostępność na poziomie 99-100%.
Następnie nawag pokazuje pojazdy konkurencji które stwoją 2, 3 a nawet 4 lata nieczynne!
Pokazane pojazdy są w większości uszkodzone mechanicznie np. w wyniku zderzenia z przeszkodą na przejeździe kolejowym
Newag pokazuje jak to ich pociągi wiżą kobiety i dzieci z granicy ukraińskiej na wiosnę 2022 (początek inwazji ruskich na ukrainę). Następnie pokazali zdjęcie pociągu newag wykolejonego, który został CELOWO przez kogoś wykolejony!
- - - - -
Kolejne dolnośląskie:
nasze pociagi newag zaczęły się często wyłączać bez znanej mam przyczyny.
Newag złożył nam ofertę na przeprowadzenie diagnostyki majacej na celu stwierdzenie przyczyny tych wyłączeń. Zgodziliśmy się. Zapłaciliśmy. Newag uzdrowił pociągi.
Do dziś mimo ponagleń, nie dostaliśmy wyników diagnostyki, przyczyn usterek ani listy wykonanych prac naprawczych. Chociaż w ofercie było zdiagnozowanie przyczyn usterek! Zapłaciliśmy kilkaset tysięcy złotych.
Newag:
To nie było kilkaset tysięcy!
Kolejne dolnośląskie:
200 000 zł
Newag:
Ale na 4 pociągi!
Newag:
Pociągu jeżdżą?
Kolejne dolnośląskie:
Tak.
Newag:
No to o co chodzi? Zrobiliśmy robotę!
- - - - -
Q:
Czy możecie sprawdzić czy ktoś modyfikował oprogramowanie w waszych pociągach?
Newag: nie mogę odpowiedzieć z uwagi na toczące się postepowanie.
- - - - -
Q:
Czy są w oprogramowaniu pociągów newag funkcje uzależnione od ich fizycznej lokalizacji?
Newag:
Nie wiem (xD)
Prosze się zwrócić na piśmie, na pewno odpowiemy.
Q:
Nie wiem pan co jest w waszych pociągach?
Newag:
Nie wiem co pani do mnie mówi.
- - - - -
Pani w Radzie nadzorczej Newag jest jednocześnie radcą prawnym która oferuje swoje płatne usługi dla newag. Reprezentuje na komisji sejmowej firmę newag.
- - - - -
Prezes Newag, Pan Zbigniew Konieczek to jednak straszny buc, bardzo nerwowy człowiek. Wiele rzazy puściły mu nerwy, zaczął się wykłócać, uszczypliwie kąsać i bezczelnie łapać za słówka.
- - - - -
I tutaj Newag ładnie prawnie chwyta prowadzących za krocze:
Newag:
Pan mówi że to są podejrzenia, jednak w pana (były minister cyfryzacji Cieszyński) wpisach w mediach społecznościowych wydźwięk jest jednoznaczny z stanem dokonanym, takie działania mają odbicie w notowaniach giełdowych spółki Newag, czy ma pan wiedzę na temat prób przejęcia firmy newag przez podmioty zależne od skarbu państwa w okresie rządów PiS kiedy był pan ministrem? (Pan cieszyński szczęka do stołu i nie wie co powiedzieć).
Pan cieszyński zaczyna lawirować w przestworzach próbami odpowiedzi,
Pani prowadząca zatrzymała tę sytuację "STOP!, przechodzimy do kolejnego punktu".
- - - - -
Koleje dolnośląskie:
Też dostaliśmy ofertę diagnostyki pojazdów newag które się wyłączały, dostaliśmy odpowiedź
- - - - -
Na temat, czy macie podpisy
Q:
Czy macie dział, osoby odpowiedzialne za bezpieczeństwo w oprogramowaniu?
Newag:
Działamy zgodnie z procedurami, auduty nie wykazały nieprawidłowości.
Q:
Ale wcześniej mówiliście że nie robicie?!
Newag:
Proszę o uściślenie, co pani rozumie mówiąc "podpis elektroniczny"?
Przepisy nie wymagają abyśmy musieli rozróżnić czy soft aktualnie w pociągu to ten który my wgraliśmy w fabryce.
Dragons Sector:
Newag sam wybral taki sterownik który takiej funkcji nie posiada.
Newag:
Taki sterownik jeździ u nas, w pesa i w innych pociągach.
Taki sterownik ma prawie 20 lat, rocznik 2005 (Marchew - i tutaj obronię Newag, bo w przemyśle pracują znacznie starsze osobniki, a zmiany to często OGROMNY problem, nie zawsze jest sens zmieniać skoro działa. Przemysł to nie internet gdzie wersja softu z przed pół roku to podatność i proszenie się o kłopoty. W przemyśle liczy się stabilność i trwałość.)
Dragons Sector:
Sterownik nawet jeśli nie ma weryfikacji podpisów cyfrowych.
Jednak wystarczy zrobić sumę kontrolną, MD5 czy cokolwiek gotowego kodu w archiwum, podstawowa rzecz, prosta, dziwne tego nie robić.
Dragons Sector:
Tutaj się toczą dwa wątki,
Czy sterownik ma funkcje podpisów cyfrowych (chyba im o MD5 czy coś chodzi?)
Czy newag prowadzi archiwum z wersjami softu wraz z funkcją?
Newag:
Niech pan sprecyzuje?
Dragons Sector:
Podpis cyfrowy używając funkcji kryptograficznej (no to już na pewno jakieś MD5)
Newag:
Tak, prowadzimy. (!)
- - - - -
Koleje wilkopolskie:
Może nie kod źródłowy bo prawa autorskie, ale dlaczego nie przekazujecie klientom kodu już skompilowanego w formie gotowego pliku który klient może sobie wgrać do sterownika? Siemens tak robi, inni duzi tak robią, a wy nie? Bo jeśli zepsuje się sterownik, to jeśli sobie kupimy sterownik, to dlaczego nie mamy możliwości wgrania softu, a musimy po raz drugi zapłacić za soft?!
Newag:
???
Koleje wilkopolskie:
W umowie mamy że trzeba przekazać wszystkie pliki, a ich nam nie przekazaliście.
- - - - -
Dragons Sector:
W dniach xxx oraz yyy na 3 dni przed przyjazdem na serwis w zewnętrznej (nie newag) firmie zostały wgrane nowe wersje oprogramowania do pociągów. Czy wiecie kto je wgrał?
Newag:
Na to pytanie odpowie prokurator.
- - - - -
Przewoznik (nie wiem ktory):
Nie wiemy co bylo wgrywane w naszych pojazdow, nie dostaliśmy żadnej dokumentacji ani żadnych danych.
Newag:
Nic nie wiemy o takich aktualizacjach oprogramowania o których wspominacie.
- - - - -
Newag:
Nie, nie mamy dostępu zdalnego do naszych pociągów.
Tu sprawa jest jednocześnie bardzo skomplikowana, bo nie wyobrażam sobie jak miałaby wyglądać rozprawa, gdzie sędziom trzeba wytłumaczyć w jaki sposób ten soft był trefny, a jednocześnie bardzo prosta, bo jeśli w kodzie był Geo-fencing na warsztaty konkurencji, to o czym my tu dyskutujemy?
@mordaJakZiemniaczek Z (pobieżnego) zorientowania się w temacie, to Newag przyjął linię obrony wg. której to nie oni wgrali Geo-fencing, a jacyś źli hackerzy zmodyfikowali oprogramowanie: wszystko co odkrył Dragons Sector nie jest winą Newag.
Z tego też powodu wypytują o wersjonowanie i podpisy elektroniczne. Podpisy elektroniczne dowodziłoby wprost, że dane oprogramowanie było autorstwa Newag.
@matips oni przyznali w ogóle, że jest możliwość, że soft był zmieniany?
Przesłuchałem tylko fragmenty i oni stawali na tym, że możliwość pobrania zrzutu z PLC jest "podatnością" którą DS wykorzystali. Na pytanie czemu sprzedają pociągi z taką "podatnością", odpowiadaja, że nie była podatnością jak pociąg był oddawany. Na tym opierają swoją obronę, że nikt nie powinien móc legalnie zobaczyć co zrobili więc oskarżenie nie ma znaczenia.
To tak jakby ktoś nagrał Cię przez szybę jak kogoś mordujesz, zaniósł to na policję a Ty byś się bronił tym, że nie życzysz sobie, żeby ktoś Cię podglądał przez tę szybę i całe to morderstwo to spisek nagrywającego, bo jego tam w ogóle nie powinno być. Tylko trup jest prawdziwy i śmierdzi, ale to ignorujesz i grozisz nagrywającemu pozwem.
Funkcjonariusze CBZC zatrzymali 5 osób podejrzanych o udział w zorganizowanej grupie przestępczej, pranie pieniędzy oraz liczne oszustwa internetowe.
Zatrzymani, przejmowali konta profili społecznościowych należących do innych osób. A następnie pod wyłudzali kody BLIK. Pieniądze wypłacali w różnych bankomatów.
Dodatkowo wystawiali na sprzedaż podrabiane towary w postaci ubrań znanych marek oraz sprzętu RTV, wprowadzając w błąd kupujących co do faktu ich autentyczności.
W trakcie czynności zabezpieczono sprzęt w postaci telefonów komórkowych, komputerów i innych cyfrowych nośników danych, a także środki psychoaktywne w postaci marihuany oraz materiały o charakterze pedofilskim. Funkcjonariusze zabezpieczyli również kryptowalutę, którą podejrzani kupowali za środki pochodzące z czynów zabronionych.
Wstępnie, ustalono ponad 50 pokrzywdzonych, zaś straty szacowane są na kilkadziesiąt tysięcy złotych. Zasadne jest jednak podkreślenie, iż postępowanie znajduje się na wstępnym etapie i wysoce prawdopodobne jest ustalenie kolejnych osób, które utraciły pieniądze w przestępczym procederze.
Newag zarzuca przewoźnikowi, że ten zbyt opieszale zajmował się usuwaniem grafiti z pociągów.
Newag zwraca też uwagę na temat problemu serwisu wentylacji, klimatyzacji i toalet w pociągach.
A z bardziej poważnych:
Newag twierdzi że odpowiedzialność za przeglądy taborów odpowiada przewoźnik. Przewoźnik kupił tabory w pakiecie "licencji i dokumentacji" pozwalające na serwisowanie w trybie P1 i P2, natomiast te dokumentacje nie są wystarczające na przeprowadzenie serwisów P3, P4 oraz P5. A taka opcja dokumentacji była dostępna do zakupu, za dopłatą.
Jednak zgodnie z ogólnymi warunkami zamówienia (przetarg), miała być dostarczona dokumentacja pozwalająca na wszelkie przeglądy. Newag bezczelnie betonuje rynek. Grał na to, aby jakikolwiek inny serwis nie był w stanie przeprowadzić serwisu (bo brak dokumentacji i kodu źródłowego), aby zawsze musiał z podwiniętym ogonem gonić do Newagu.
Już po wybuchu afery, newag nalegał o aktualizację softu u przewoźnika polregio i innych. Przewoźnik nie wyraził zgody na aktualizację, newag wgrał zdalnie : )
Ciekawe jest też pytanie przedstawiciela kolei dolnośląskich do Newag
Nie odpowiedział na wszystkie niewygodne pytania, zasłaniając się paragrafami, czasem z czapki np. paragraf o zakazie rozpowszechniania/piracenia softu xD
Kilka razy też wspomniał że o zarzutach zdecyduje sąd... Tak, armia prawników już na pewno gotowa, będzie się to toczyć latami, a najcięższe działa zostaną wytoczone przez Newag przeciwko chłopakom z Dragon Sector.
Dziękuję @Unknow za zamieszczenie nagrania z komisji w jego newsletterze:
@Deykun chyba jakąś zgodę gdzieś musisz mieć klikniętą, czy nie wiem co. Robię koło 10 zamówień miesięcznie i nigdy żadnego smsa od Allegro nie dostałem z tego typu spamem.
Mnie ten sms nie uwiera tylko, że Allegro używało gównoskracacza linków, małpa mogła się pod nich podszyć i się wyświetlić jako "Allegro" z linkiem do ich trefnej strony.
Pegasus? Predator? Oprogramowania szpiegowskie jest wiele.
Jednak są to jedynie „pudełka” i nazwy handlowe.
Wszystkie wykorzystują błędy oprogramowania, windowsów, linuxów, androidów, iPhonów, maszyn wirtualnych, luk samego hardware’u, UEFI i czego tam jeszcze…
Błędy znaleźć nie łatwo, najłatwiej je po prostu… kupić od brokera.
Brokerzy płacą całkiem ładnie! Poniżej w obrazkach przedstawiono przykładowe cennik na takich „skupach”.
Sprzedaż bugów takim brokerom jest mało etyczne, oczywistym jest że trafi do izraelskiego pegasusa a dalej wykorzystany przeciwko opozycji w wyborach… Lepiej to po prostu zgłosić do producenta oprogramowania. Ci też płacą, ale już nie tak hojnie.
@Marchew znaleźć taki expolit to chyba trzeba być programistom w projekcie, niechcący coś przeoczyć w releasie a potem przez przypadek sobie o tym przypomnieć za nagrodę
@DexterFromLab Teraz dałeś do myślenia, ciekawe czy taki MS lub google mogą zarabiać na celowym zostawianiu luk i furtek, zaraz po wypłacie hotfix ( ͡° ͜ʖ ͡°)
