Skip to content

10 Comments

  1. Johannes

    Ach komm, das EBuLa ist doch nicht online .. das lädt doch nur die Fahrplandaten via GSM-R aus einem hoooooch gesicherten Netzwerk!!! Da kann ja nichts böses rein!!!!

  2. Quork

    Und? Die MTD der ICE 3 und T laufen mit Win 3.1 für Workstations. So what? Ein isolierter, offline befindlicher Rechner, der einzig dafür da ist, Informationen anzuzeigen und kleinere Schaltaufträge des Tf an die Leittechnik weiter zu geben. Prüfen und ausführen macht letztere, da ist kein Windoof mehr… Durch die physische Nichtexistenz einer Verbindung nach außen ist der Rechner besser geschützt als es jede Firewall und jedes Update es je vermag. Einziger möglicher Angriffsvektor ist der gleiche, wie damals bei den iranischen Zentrifugen. Und wer das Insiderwissen über Abläufe, Hardware, Personen, das technische Know-How und die technischen Möglichkeiten hat, die für einen solchen Angriff nötig wären, ist nicht auf eine Windowslücke angewiesen.

    Bei einem solchen isolierten System bringt ein Update keine Vorteile, dafür aber jede Menge Nachteile und Risiken. Zum Erden der vielleicht vorhandenen Fehlvorstellungen: Einen angezeigten statischen Text zu ändern braucht Monate (u.a. auch für die notwendige Beteiligung des EBA) und einen vierstelligen Betrag – pro Wort. Das hat mit dem Programmieren für den Consumerbereich und selbst für den Produktionsbereich etwa auf großen öffentlichen Servern kaum was gemein. Wir bewegen uns hier im Herrschaftsbereich der SIL. Vieles, was im normalen Programmieren state of the art ist, hat hier nichts verloren. Schönes Beispiel dafür wäre bspw. Objektorientierung – bei SIL-Anwendungen ein no-go.

    • kris kris

      “Isolierter, offline befindlicher Rechner”. Yes, like all these ATMs, which are supposedly in isolated networks and should never have contact with the Internet (and still got infected). Or british hospital networks. Or this.

      I do not think that the ‘certify once and then never change things’ approach does still work, at all. “Einen angezeigten, statischen Text zu ändern braucht Monate” (and a lot of money). This will have to change, not just for trains. Continual upgrade and recertification, because everything else will actually be less safe.

      • AndreasLobinger

        I sometimes wonder if this creating a chicken-and-egg problem. Do we have more network connectivity – aka everything is on the internet – to continuosly install new SW to overcome problems we created with connecting everything to the internet?

        • kris kris

          You are assuming that “connecting things to the Internet” is still a choice. The utility of a thing that is not connected to the Internet is greatly diminished for most things. Hence the Industrie 4.0 debate.

          • Quork

            Geldautomaten müssen mit einem Netzwerk verbunden sein. Sie müssen ja wissen, ob das Konto den Betrag überhaupt hergibt. Ein MTD hat das nicht! Es ist mit nichts verbunden, außer der Leittechnik dieses einen Zuges. Es gibt keine einzige Verbindung nach außerhalb des Zuges, und nichts drahtloses! Wo siehst Du da denn einen Angriffsvektor?

          • AndreasLobinger

            most, not all. I was actually in a I4.0 discussion this afternoon and to me it looks like at least some of the industry have this sense of: we need an high-reliable, isolated network for this and a gateway.

          • kris kris

            Yes, just like any ATM.

          • Quork

            Okay, let’s put it in other words: There is no network (except if you’d like to call the Wired Train Bus connecting the control units of the vehicle a network). There is no connection at all to the outside world for the MTD. The only connection to the outside world is the GSM-R unit, which is connected to the central control unit ZSG. While basic protocol data can be sent by the ZSG via GSM-R, no data can be received. The only thing the radio can hand over to the ZSG is simple status codes: GSM-R connectivity level, analogue radio connectivity (for the A channels, they were a quite clever system with many features one’d not suspect with analogue) and some sort of basic heartbeat.
            But let’s assume for the moment, someone found a way to take over the radio unit (getting into GSM-R first is not noteworthy, anyone knowledgeable in GSM can make a mobile phone work for GSM-R), reprogram it to send commands to the ZSG – then what? The ZSG doesn’t listen in the first place! But let’s then assume they’d find a vulnerability in the ZSG, find a way to exploit it so well timed the fault detections don’t kick in (to say it with Yoda: “Always two, there are. Master, and slave.” They watch each others actions closely and will trigger emergency responses if something goes wrong). What would they want with the MTD? They’re in the brain already, what do they care for a silly screen incapable of about anything? And the MTD is the only hardware in this system running with a consumer OS. Everything important runs on very specialised real time-OS not even related to “normal” stuff. Fearing the old Windows on the MTD is like protecting a minor vein in the middle of the brain against gun bullets, ignoring the bullet would have to destroy the brain before getting even close, thereby making that little vein absolutely unimportant even before it gets to it.

Leave a Reply

Your email address will not be published. Required fields are marked *