Na Uy khởi động rà soát an ninh mạng sau khi phát hiện tính năng truy cập từ xa trên xe buýt do Trung Quốc sản xuất

Ý kiến trên Hacker News

• Tôi làm việc trong lĩnh vực an toàn đường sắt. Vài năm trước, hai công ty đường sắt lớn không phải của Trung Quốc đã cố gắng sáp nhập, với mục đích cạnh tranh với doanh nghiệp nhà nước Trung Quốc và giảm rủi ro bị tấn công mạng đối với hệ thống đường sắt phương Tây
  Nhưng một quan chức EU đã chặn việc này vì lý do chống độc quyền, nên kế hoạch đổ bể. Sau đó đã có nhiều nỗ lực điều chỉnh, nhưng cuối cùng vẫn không được chấp thuận
  Kết quả là CRCC của Trung Quốc vẫn tiếp tục giành được các hợp đồng ở nước ngoài. Có nghi ngờ rằng họ chấp nhận hợp đồng giá rẻ chịu lỗ để nhắm tới đánh cắp sở hữu trí tuệ. Trong bối cảnh đó, việc nắm quyền chi phối mạng lưới đường sắt cũng có ý nghĩa chiến lược rất lớn về mặt quân sự
  Bài này nói về xe buýt, nhưng rõ ràng có điểm tương đồng với đường sắt

  • Một năm trước, một nhà cung cấp thiết bị đường sắt ở Ba Lan đã khởi kiện liên quan đến vấn đề bẻ khóa phần mềm đầu máy. Lý do là bên thứ ba đã có thể bảo trì một cách không chính thức.
    Công nghệ giám sát trong sản phẩm không nhất thiết là phục vụ chiến tranh, nhưng cũng chẳng phải điều tốt đẹp gì
  • Ngay cả khi vụ sáp nhập trong châu Âu thành công, thực thể đó vẫn sẽ nhỏ hơn doanh nghiệp Trung Quốc 10 lần, và trong nội bộ châu Âu thì gần như sẽ thành độc quyền. Tôi không nghĩ quyết định ngăn sáp nhập là hoàn toàn sai
  • Phương Tây đang quá mềm mỏng với những quan chức như vậy. Trung Quốc công khai vi phạm các quy tắc WTO và vận hành doanh nghiệp được nhà nước hậu thuẫn, trong khi những người đưa ra quyết định kiểu này đang làm suy yếu phản ứng của phương Tây
  • Về cơ bản tôi vẫn thắc mắc vì sao lại phải tồn tại "công ty đường sắt tư nhân"
  • Hậu cần là yếu tố cốt lõi trong chiến tranh, nên không thể đánh giá thấp tầm quan trọng chiến lược của việc kiểm soát đường sắt. Lập luận này áp dụng nguyên vẹn cho drone và ô tô

• Tôi tò mò không biết là công ty Trung Quốc đã lắp thẻ SIM của Romania vào xe buýt, hay là do bên nhập khẩu lắp vào.
  Cũng không rõ đó là kết nối phục vụ chức năng quản lý phương tiện hay là thật sự liên lạc bí mật.
  Hơn nữa, tôi cũng không hiểu tại sao lại muốn mua xe buýt không thể giám sát từ xa. Với giao thông công cộng, đó lại là một tính năng hữu ích

  • Chức năng quản lý phương tiện được nói tới thực ra đã được tài liệu hóa và có thể vô hiệu hóa dễ dàng
  • Cái này có mùi tuyên truyền chống Trung Quốc của phương Tây nhiều hơn. Có vẻ như cấp trên đã đưa ra chỉ đạo nhằm tăng sức ép lên Trung Quốc.
    Nó trông giống một phần của chiến dịch thao túng xã hội để tạo ra bầu không khí sợ hãi, khiến chính quyền địa phương tránh hàng Trung Quốc
  • Nếu Trung Quốc thực sự muốn che giấu điều gì đó thì họ đã dùng eSIM không có dấu hiệu nhận biết rồi.
    Có lẽ họ chọn SIM Romania vì gói cước đó hoạt động tốt trên toàn EEA.
    Đây là một ví dụ FUD (sợ hãi, bất định, nghi ngờ) bị thổi phồng, nhưng việc một nửa số xe là hàng Trung Quốc thì đúng là đáng ra phải thận trọng hơn

• Thật tiếc khi Na Uy lại mua xe từ Trung Quốc cách xa hàng nghìn km, trong khi ngay bên cạnh có các nước sản xuất xe buýt như Scania và Volvo.
  Dạo này có vẻ cắt giảm chi phí quyết định mọi thứ. Nhưng với hạ tầng quốc gia, an ninh và quyền kiểm soát mới quan trọng hơn

  • Điều buồn hơn là ngay cả Thụy Điển cũng đã thay thế bằng xe buýt BYD thay vì thương hiệu nội địa
  • Tôi khá ngạc nhiên khi Volvo còn sản xuất xe buýt ở Thụy Điển. Nhưng vì đã có 78% cổ phần thuộc phía Trung Quốc nên thực tế cũng là doanh nghiệp Trung Quốc
  • Trung Quốc đi trước công nghệ xe buýt điện của Scania/Volvo đến 10 năm. Có khả năng các hãng châu Âu khi đó không có mẫu phù hợp
  • Công ty Tide của Na Uy dự kiến sẽ đưa vào sử dụng xe buýt điện Scania vào mùa hè năm sau
    Thông cáo báo chí liên quan
  • Thực ra xe buýt ở Thụy Điển cũng có thẻ SIM. Khác biệt nằm ở chỗ ai có thể dùng cái backdoor đó.
    Tất nhiên hiện giờ khả năng Thụy Điển tấn công Na Uy gần như bằng không, nhưng xét về lịch sử thì đây là một điều mỉa mai thú vị

• Trước đây từng có vụ backdoor trên tàu hỏa ở Ba Lan, nên tôi muốn biết sau đó mọi chuyện diễn biến thế nào

  • Vụ việc vẫn đang được tòa án thụ lý. Bài viết liên quan
  • Việc chấp nhận lừa dối người tiêu dùng từ doanh nghiệp trong nước mà chỉ xem ảnh hưởng từ nước ngoài là vấn đề thì thật đạo đức giả
  • Dù sao mục đích cũng chỉ là phát tán tin tức nhằm gieo rắc sợ hãi

• Tôi khá bất ngờ khi Na Uy lại chọn thương hiệu này. Ngồi lên cứ như ngồi trong nồi hơi

  • Nhưng nếu nhiệt độ trung bình mùa hè ở Na Uy chỉ khoảng 18 độ thì cảm giác nóng đó có khi cũng không phải vấn đề lớn

• Nếu khóa cập nhật từ xa bị rò rỉ, thì có thể biến hàng trăm nghìn chiếc xe thành cục gạch.
  Việc lưu trữ một hệ thống như vậy thật sự rất đáng sợ

  • Còn đáng sợ hơn việc bị brick là pin quá nhiệt. Hãy tưởng tượng toàn bộ xe trong thành phố cùng lúc bốc cháy

• Nếu một quốc gia thật sự muốn giấu chức năng điều khiển phục vụ gián điệp, thì họ sẽ không bao giờ dùng cách liên lạc dễ lộ như eSIM.
  Đây đơn giản chỉ là một phần của tính năng chẩn đoán từ xa IoT mà các nhà sản xuất đã thúc đẩy suốt nhiều năm
  Trong khi đó, phương Tây lại thổi phồng nó như một mối đe dọa mới và gắn cho nó cái khung của chiến tranh thương mại
  Giống trường hợp drone DJI, nơi quy định bắt buộc đưa tính năng vào rồi sau đó lại đem chính nó ra làm vấn đề
  Liên kết liên quan

• Nếu là eSIM thì việc phát hiện hay gỡ bỏ có khó hơn nhiều không?
  Tham khảo thêm là gần đây ở Thụy Điển cũng đã triển khai xe buýt điện BYD

  • Bài báo không nêu rõ cách phát hiện cụ thể, nhưng có vẻ là đã trực tiếp tìm thấy cổng SIM hoặc thẻ.
    Nếu họ đã kiểm tra bằng buồng chắn sóng (Faraday cage) thì có phải eSIM hay không cũng không thành vấn đề.
    Cuối cùng thì dù là eSIM hay SIM thường tôi nghĩ khác biệt cũng không lớn

• Theo tôi thì đây là một tranh cãi không đáng kể.
  Nếu tính năng truy cập từ xa này có trong sản phẩm của nước khác thì người ta sẽ chỉ gọi nó là tính năng cập nhật phần mềm
  Trung Quốc vô hiệu hóa xe buýt à? Điều đó quá phi thực tế và vô nghĩa
  Thực tế phần lớn thiết bị điện tử đều có tính năng tự động cập nhật, và về mặt lý thuyết doanh nghiệp Mỹ cũng có thể điều khiển từ xa.
  Xét ở góc độ đó thì rủi ro thực sự lại nằm ở chỗ khác

• Nếu xe buýt còn có những chức năng kiểu này, thì tôi lo không biết trong MacBook hay smartphone còn ẩn thứ gì nữa.
  Liệu có thật sự nên tin Apple không?

  • Điều tôi lo hơn là thiết bị ngoại vi PC giá rẻ, router, thiết bị smart home.
    Ngay cả biến tần điện mặt trời cũng được kết nối online, nên trong thời chiến có thể bị lạm dụng từ xa
  • Trường hợp liên quan có tranh cãi chip gián điệp Supermicro và
    vụ backdoor firmware của Gigabyte
  • Apple khó mà không biết được. Đây là một trong những công ty bị giám sát nhiều nhất trên thế giới, luôn có vô số người săn lùng sai sót của họ
  • Ngoài ra cũng không nên quên Cloud Act của Mỹ
  • TSMC có thể là một điểm can thiệp tiềm tàng, nhưng bảo mật phần cứng của Apple rất mạnh.
    Mọi dữ liệu bên ngoài SoC đều được mã hóa.
    Rủi ro thực sự không nằm ở Apple hay Google, mà ở các thiết bị ngoại vi sản xuất tại Trung Quốc