Billetautomater i Oslo kører på gammel Windows-version: »Det er en tikkende bombe«

Med et kabel er det nemt at hacke sig ind i Oslos kollektive trafiks såkaldt lukkede netværk, lyder det fra ingeniør.

Det kollektive trafikselskab, Ruter i Oslo, har billetautomater i hovedstaden, som kører på Windows 2000 Professional.

Det er senioringeniør, Petter Reinholdtsen, center for informationsteknologi på Oslo Universitet, der ifølge digi.no har fundet en billetautomat, der kører på det gamle styresystem.

Produktet er ikke sikkerhedsopdateret siden 2010.

»Softwaren har mange fejl, og de bliver ikke fikset. For én, der ved, hvad man skal gøre, er det nok meget nemt at udnytte systemet. Jeg tror ikke, Ruter forstår alvoren, når det handler om at sikre it-systemer,« siger Petter Reinholdtsen til digi.no.

Senioringeniøren har tidligere fået det svar fra Ruter, at der ikke er noget problem, fordi det hele kører i et lukket netværk.

»Men fikser man et kabel i dette 'lukkede netværk', er det nemt at bryde ind,« siger ingeniøren, der til daglig arbejder med automatiseret drift inden for datatjenester og udstyr.

Ifølge Reinholdtsen ligger netværkskabler til automaterne nemt tilgængelige i betonkasser overalt i Oslo.

Udskiftning forsinket i årevis

Ruter havde oprindeligt en plan om at udskifte Window 2000-maskinerne i 2013, men indtil videre er intet sket. Dengang lød det fra Ruter, at automatproducenterne ikke havde godt nok styr på opdateringer - og man frygtede indtægtstab.

Ifølge sikkerhedsingeniør Arnfinn Strand, Check Point Software Technologies, udgør udstyr med de gamle styresystemer en stor sikkerhedsrisiko.

»Det er en tikkende bombe. Sandsynligvis sker der ikke noget, før nogen faktisk bliver angrebet. De (ansvarlige, red.) skal have en grund, før nogen ser værdien af ​​at erstatte forældede systemer,« siger han til digi.no.

Også mange norske hospitaler sidder på gammel teknologi. I sommer beskrev digi.no, at Oslo Universitet stadig har 5000 XP klienter i sit spind .

Pressekontakt Sofie Bruun, Ruter, svarer, at maskinerne er sikre nok.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (5)

Maciej Szeliga

...det påstås ellers at man sagtens kan sikre et kablet netværk mod adgang fra maskiner som er ukendte på nettet. Det påstår samtlige netværksproducenter, sikkerhedsfirmaer og div. konsulenthuse, hvilket så bringer følgende spg. op: er sikkerhedsbranchen fulde sf løgn eller er det undersøgelsen som kun ser på hvad kassen kører uden st se på at man slet ikke kan komme til den kasse?

Lasse Mølgaard

Hvis folk får adgang til fysisk at sætte deres eget kabel i en switch, har de lidt mere avancerede switche mulighed for at deaktivere uudnyttede porte.

Derudover kan man kræve at kun en specifik MAC adresse kan koble til en given port.

Denne kan ganske vist forfalsket, men derudover kan man også sikre sig at kommunikation er kryptografi beskyttet af certifikater på både klient og server siden.

Maciej Szeliga

Ja og det er jo HELT sikkert at der ikke er nogen der har fundet fejl i de mekanismer som verificerer certifikaterne indenfor de sidste 6 år.

Det er faktisk lige det som ER min pointe: enten KAN man sikre et kablet netværk og så er det her et non-issue, eller også så kan man ikke og så er det et issue.

Log ind eller opret en konto for at skrive kommentarer