Billetautomater i Oslo kører på gammel Windows-version: »Det er en tikkende bombe«

Med et kabel er det nemt at hacke sig ind i Oslos kollektive trafiks såkaldt lukkede netværk, lyder det fra ingeniør.

Det kollektive trafikselskab, Ruter i Oslo, har billetautomater i hovedstaden, som kører på Windows 2000 Professional.

Det er senioringeniør, Petter Reinholdtsen, center for informationsteknologi på Oslo Universitet, der ifølge digi.no har fundet en billetautomat, der kører på det gamle styresystem.

Produktet er ikke sikkerhedsopdateret siden 2010.

»Softwaren har mange fejl, og de bliver ikke fikset. For én, der ved, hvad man skal gøre, er det nok meget nemt at udnytte systemet. Jeg tror ikke, Ruter forstår alvoren, når det handler om at sikre it-systemer,« siger Petter Reinholdtsen til digi.no.

Senioringeniøren har tidligere fået det svar fra Ruter, at der ikke er noget problem, fordi det hele kører i et lukket netværk.

»Men fikser man et kabel i dette 'lukkede netværk', er det nemt at bryde ind,« siger ingeniøren, der til daglig arbejder med automatiseret drift inden for datatjenester og udstyr.

Ifølge Reinholdtsen ligger netværkskabler til automaterne nemt tilgængelige i betonkasser overalt i Oslo.

Udskiftning forsinket i årevis

Ruter havde oprindeligt en plan om at udskifte Window 2000-maskinerne i 2013, men indtil videre er intet sket. Dengang lød det fra Ruter, at automatproducenterne ikke havde godt nok styr på opdateringer - og man frygtede indtægtstab.

Ifølge sikkerhedsingeniør Arnfinn Strand, Check Point Software Technologies, udgør udstyr med de gamle styresystemer en stor sikkerhedsrisiko.

»Det er en tikkende bombe. Sandsynligvis sker der ikke noget, før nogen faktisk bliver angrebet. De (ansvarlige, red.) skal have en grund, før nogen ser værdien af ​​at erstatte forældede systemer,« siger han til digi.no.

Også mange norske hospitaler sidder på gammel teknologi. I sommer beskrev digi.no, at Oslo Universitet stadig har 5000 XP klienter i sit spind .

Pressekontakt Sofie Bruun, Ruter, svarer, at maskinerne er sikre nok.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
Maciej Szeliga

...det påstås ellers at man sagtens kan sikre et kablet netværk mod adgang fra maskiner som er ukendte på nettet. Det påstår samtlige netværksproducenter, sikkerhedsfirmaer og div. konsulenthuse, hvilket så bringer følgende spg. op: er sikkerhedsbranchen fulde sf løgn eller er det undersøgelsen som kun ser på hvad kassen kører uden st se på at man slet ikke kan komme til den kasse?

Lasse Mølgaard

Hvis folk får adgang til fysisk at sætte deres eget kabel i en switch, har de lidt mere avancerede switche mulighed for at deaktivere uudnyttede porte.

Derudover kan man kræve at kun en specifik MAC adresse kan koble til en given port.

Denne kan ganske vist forfalsket, men derudover kan man også sikre sig at kommunikation er kryptografi beskyttet af certifikater på både klient og server siden.

Maciej Szeliga

Ja og det er jo HELT sikkert at der ikke er nogen der har fundet fejl i de mekanismer som verificerer certifikaterne indenfor de sidste 6 år.

Det er faktisk lige det som ER min pointe: enten KAN man sikre et kablet netværk og så er det her et non-issue, eller også så kan man ikke og så er det et issue.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017