Forældet Apple-certifikat skyld i aflyste DSB-tog

Et udløbet sikkerhedscertifikat sendte torsdag morgen en række københavnske S-tog til tælling. DSB havde ikke været opmærksomme på udløbsdatoen.

De københavnske togpendlere måtte torsdag morgen tage til takke med stopfyldte S-tog og en reduceret køreplan.

Flere S-tog var tvunget til at stå stille på skinnerne, fordi certifikatet til den iPad-app, som indeholder lokomotivførernes sikkerhedsinformation, var udløbet.

»Når certifikatet ikke er fornyet og opdateret, kan appen ikke bruges,« siger DSB’s it-chef, Martin Börjesson

Allerede onsdag aften oplevede DSB problemer med iPad-appen, og it-afdelingen fandt frem til, at Apple-certifikatet var udløbet samme dag. Det er ifølge Martin Börjesson første gang, at it-afdelingen arbejder med Apple-apps, og derfor overså man, at certifikatet var blevet forældet.

»Vi var ikke opmærksomme på, at det skulle fornyes,« forklarer han og tilføjer:

»Det har været en hård lektie, at vi ikke havde styr på lige præcis dette certifikat.«

App’en, der bærer navnet Den digitale rygsæk, indeholder dokumenter, som er nødvendige, før lokomotivførerne må tage S-toget ud på skinnerne. Og da langt de flest lokomotivførere ikke havde app'en, måtte en række af DSB’s S-tog-linjer i morges køre med halv drift.

Nødskiftede app til morgentrafikken

Enkelte iPads, der har været tændt hele natten, kunne stadig åbne Den digitale rygsæk. Men da medarbejderne som regel slukker enheden om natten, var det kun muligt for et fåtal af lokomotivførerne.

For at undgå total stilstand i den københavnske togtrafik brugte lokomotivførerne en lignende app fra Banedanmark. Men da ikke alle iPads havde erstatnings-app’en installeret, slap togpendlerne ikke uden forsinkede og aflyste tog.

Martin Börjesson arbejder nu sammen med DSB's it-afdeling om at få sendt instrukser ud til medarbejderne og få opdateret certifikatet, så app’en kan køre igen.

»Den skal selvfølgelig blive godkendt af Apple for at kunne blive distribueret. Men det er vores forventning, at det sker inden for de nærmeste timer,« fortæller han.

Et sikkerhedscertifikat fra Apple giver app-skaberen mulighed for at signere programmet og på den måde garantere, at app’en er lavet af for eksempel DSB.

Dropper decentral lagring af certifikater

I fremtiden er det planen at centralisere lagringer af certifikater, så situationen ikke gentager sig.

»Det er desværre sådan, at med denne løsning ligger certifikatet på iPad’en og ikke på en central enhed, som det måske burde være. Og det laver vi faktisk om i februar,« fortæller Martin Börjesson.

Centraliseringsplanerne har dog været undervejs, før Apple-certifikatet sendte it-chefen på overarbejde.

Det er ifølge Martin Börjesson ikke en mulighed at køre togene uden adgang til app’en. Sikkerhedsdokumenterne kan sammenlignes med et kørekort til toget.

»Vi vil ikke gå på kompromis med sikkerheden langs skinnerne,« understreger it-chefen.

Forsinkelserne, der fulgte med det forældede certifikat, ramte S-toglinjerne A, H, B og E, der alle i perioden kørte med halv drift. S-togene har siden i formiddag igen kørt normalt, oplyser DSB.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

sådan en app skal da være 100% uafhængig af en App-store. om det så er apple eller google er underordnet.

Eeh hvordan vil du så ha den køre med begrænset mulighed for at blive kompromiteret i et certificat auth. Miljø ?

Skal DSB udvikle deres egen padde platform ?

Og hvordan kan DSB's udvikler være så dum ? Det er ikke første gang et udløbet certifikat har givet problemer... Og det er jo ikke fordi udløbsdatoen er voldsomt skjult i et certifikat, den står som regel lige ved siden af oprettelses datoen... Men hvad kan man sige... Inkompetance gør nas...

Jn Madsen

Uendelige rækker af projektledere, mellemledere, konsulenter, kloge Åger, TaskForce grupper, flowcharts der beskriver processer i uendelige kombinationer ... alle har tiltusket sig indflydelse, men ikke en eneste der har ansvar eller overblik :-)

Nu kommer der selvransagelse, møder om det hændte, rapportering, hurtigt arbejdende specialgruppe der skal undersøge status på andre licenser ... så der kommer ro på,- indtil de glemmer det igen :-)

martin nyhjem

Det sker desværre ret tit.. Microsoft hev hele Azure i sænk da deres cert til al storage udløb.. ret nedern..
Jeg er også (næsten) selv skyldig.. Det var kun pga. god service hos CA at vi undgik det.. de udstedte et nyt på 20 mins.. samme døgn det gamle udløb..
Og ja.. man får en email med at det skal fornyes og den kommer også i god tid.. men det er mennesker som skal respondere og nogle gange får man fejlet..
Vi har efter vores sag sat det ind i kalenderen.. det er meget lavteknisk, men det virker.. og tænker DSB gør det samme med deres nu :)

Thomas Johansen

Eeh hvordan vil du så ha den køre med begrænset mulighed for at blive kompromiteret i et certificat auth. Miljø ?

Skal DSB udvikle deres egen padde platform ?

Hvis man er 100% afhængig af om en app virker før man kan køre et tog, så må man sørge for at man har fuld kontrol over den app, Længere er den ikke.

Hvis man derimod har "fallback" løsninger så er det helt fint, men det har de ikke haft i dette tilfælde. deres eneste held var at der var nogen der ikke havde slukket ipad'en.

I en android har man mulighed for at installere en app uden om en app-store, er enig i at det kan have et sikkerheds issue, men på den anden side så er du heller ikke afhængig af om en appstore finder på at "bremse" din opdatering af en app.

Men i min verden bør sådan noget slet ikke "kun" ligge som en app. Fint som en mulighed men absolut ikke som en nødvendighed.

Man kunne vel lige så "let" have lavet en sikker html5 intranet side for tablets med samme indhold, og give muligheden for at hente indholdet som offline. Så har man samme "app" fornemmelse men et mere alsidigt webmiljø bag.

Og så fatter jeg stadigvæk ikke hvorfor staten/regioner/kommuner ikke har deres egen "app-store" til skolerne og alle de andre institutioner der bruger tablets i dagligdagen. På den måde kan man styre hvad eleverne har tilrådighed på deres tablets. Nå men det er en helt anden diskussion.

Elias Sørensen

I en android har man mulighed for at installere en app uden om en app-store, er enig i at det kan have et sikkerheds issue, men på den anden side så er du heller ikke afhængig af om en appstore finder på at "bremse" din opdatering af en app.

Du kan da sagtens installere apps på iOS uden om App Store. Hvad tror du at hele Apple's Enterprise Program er til for? Du kan distribuere og opdatere apps over the air til alle enheder som er koblet på. https://developer.apple.com/programs/ios/enterprise/

Udløb på enterprise certifikater hos Apple er faktisk 3 år, men det undskylder ikke, at der er nogen i udviklingsafdelingen der har dummet sig gevaldigt. Man får op til flere mails med advarsler om at ens certifikat udløber.

Mads Bendixen

Men så mangler DSB stadig en fallback løsning. eller også så virker den bare ikke efter hensigten.

Det er nævnt i artiklen, men det har flere åbenbart misset:

For at undgå total stilstand i den københavnske togtrafik brugte lokomotivførerne en lignende app fra Bane Danmark. Men da ikke alle iPads havde erstatnings-app’en installeret slap togpendlerne ikke uden forsinkede og aflyste tog.

Thomas Johansen

Et hurtigt søg på "app bane danmark" viser at ihvertfald bane danmarks ansatte har materialet tilrådighed på forskellige platforme.

Fra bane.dk:
"Banedanmarks apps til sikkerhedsdokumenter henter udvalgte reglementer fra Banedanmarks websted bane.dk, og indholdet i den opdaterede app vil derfor være identisk med de tilsvarende dokumenter på webstedet. Appsene sikrer, at der kun er adgang til gældende dokumenter samt eventuelle kommende rettelser, som allerede ligger på webstedet. Uaktuelle reglementer bliver automatisk slettet i appen, samtidig med at nye versioner aktiveres. Appsene er udviklet og testet til iOS, Android og Windows Phone. Spørgsmål til appens funktion kan sendes til jernbanesikkerhed At bane.dk."

Så fallback planen har bare ikke været informeret korrekt ud til alle deres lokomotivfører eller også har ipad'en gjort dem "handlingslammet"?

Nu ved jeg ikke hvor meget S-tog og Bane danmark hænger sammen, så kan være jeg har misforstået noget her og at det er pære og bananer.

Nikolai Beier

Apropos distribution af sikkerheds-kritisk information, hvor autenciteten skal kontrolleres . . .

Kan det kommende signalsystem ETCS level 2, hvor kørselstilladelser overføres til togene trådløst via GSM-R, blive ramt af en lignende certifikat-fejl?

Jeg antager at systemet i togene skal verificere om tilladelsen til at køre på en given skinnestrækning kommer fra den forventede afsender/system.

Log ind eller Opret konto for at kommentere