Forbruker, Sikkerhet & Software

Mener Oslos billettautomater er en tikkende bombe

En av Ruters billettautomater med Windows 2000-oppstartskjermen synlig. Bildet ble tatt den 8. november 2016. Foto: Anders Hofseth/NRK
En av Ruters billettautomater med Windows 2000-oppstartskjermen synlig. Bildet ble tatt den 8. november 2016. Foto: Anders Hofseth/NRK

Deler av Ruters datasystemer, blant annet billettautomatene, baserer seg på en versjon av Windows som Microsoft ikke har støttet siden 2010. Denne versjonen har en rekke åpne sikkerhetshull, noe som får sikkerhetseksperter til å reagere. Ruter mener det er for dyrt å oppgradere systemene.

Billettautomatene som er plassert på en rekke steder i Oslo og Akershus, kjører Windows 2000 Professional, et operativsystem som Microsoft ikke har tettet siden 13. juli 2010.

I 2015 gikk over 250 millioner kroner gjennom dette systemet. Billettautomatene lar brukere av Ruters tjenester fornye reisekort, og tar imot betaling med både kontanter og kredittkort.

Denne versjonen av Windows hadde en såkalt «end of life» i 2010, og alle sikkerhetshull og feil ved Windows 2000 som er funnet etter denne datoen, er nært umulig å få tettet.

Standarden for kortbetaling

Bedrifter som tar imot betaling via bankkort skal rette seg etter PCI-standarden – en standard utviklet av VISA og Mastercard, som alle de store kortleverandørene har stilt seg bak.

Krav nr. 6 i PCI-standarden fastslår at bedrifter som tar imot kortbetaling skal sørge for at alle systemkomponenter og programvare i deres systemer er sikret mot kjente sikkerhetshull. Krav 6 spesifiserer også at kritiske sikkerhetshull skal tettes senest én måned etter at de blir kjent.

6.1 Sørg for at alle systemkomponenter og programvare er beskyttet mot kjente sikkerhetshull ved å installere de nyeste oppdateringer fra leverandør. Installer kritiske sikkerhetsoppdateringer senest en måned etter at de frigis.

PCI requirement 6.1

Kommunikasjonsrådgiver i PCI Security Standards Council, Lindsay Goodspeed, bekrefter i en epost til NRKbeta at tilbydere av betalingsløsninger bør oppgradere til siste versjon av aktuelle operativsystemer:

For å beskytte betalingsdataene sine, bør virksomheter som bruker gamle operativsystem oppgradere til nye. I mellomtiden bør de ha en plan for hvordan dette skal foregå. De må også kontinuerlig overvåke og minimere risikoen mot sine gamle eksisterende systemer.

Lindsay Goodspeed, PCI Security Standards Council

Ruter sier de selv ikke er underlagt PCI-standarden, da de har outsourcet selve betalingsformidlingen til en tredjepart, og at betaling skjer gjennom separate PCI-sertifiserte betalingsterminaler med egne linjer. Likevel opererer Ruter datautstyr som er i kontakt med det PCI-sertifiserte betalingssystemet. Sikkerhetseksperter mener at det i verste fall kan utgjøre en sikkerhetsrisiko.

– En tikkende bombe

Torgeir Waterhouse er direktør i IKT-Norge. Foto: IKT-Norge
Torgeir Waterhouse er direktør i IKT-Norge. Foto: IKT-Norge
Direktør Torgeir Waterhouse i IKT-Norge reagerer sterkt på denne informasjonen, og mener at det er oppsiktsvekkende at en samfunnsaktør gambler med sikkerheten på denne måten:

– Det som virkelig er ille her er at en aktør som fyller en samfunnskritisk funksjon, velger å bruke utdatert programvare på en boks som tar folks kredittkort.

Waterhouse sier videre at dette ikke er en ukjent problemstilling, men likevel en av Norges største utfordringer:

– Vi kjenner til utallige tilfeller der foreldede datasystemer med vel og viten har blitt holdt i live, uten at man tar innover seg den risikoen dette kan utgjøre for både kundene og bedriften selv.

Microsofts egne nettsider viser at det siste hullet som ble tettet for denne versjonen av Windows, skjedde den 18. juli 2011.

– Mest sannsynlig har Windows 2000 mange sikkerhetshull som ikke kommer til å bli tettet, og dette er ikke noe annet enn en tikkende bombe, sier Waterhouse.

Han peker også på at dette ikke nødvendigvis bare er et problem for de utsatte automatene, men at ringvirkningene kan være store, siden de fleste systemer på ett eller annet vis er koblet sammen:

– I ytterste konsekvens gambler man med funksjongraden til byen som en helhet, da det i dag og i fremtiden er sånn at datasystemer i stor grad er koblet sammen, og er avhengig av hverandre.

– Bør ta en realitetssjekk

Per Thorsheim er en selvstendig sikkerhetsekspert med lang erfaring innenfor passordsikkerhet.
Per Thorsheim er en selvstendig sikkerhetsrådgiver med svært lang erfaring innen informasjonssikkerhet. Han er også en globalt anerkjent ekspert på passord og digital autentisering. Foto: Einar Otto Stangvik
Han får støtte av sikkerhetsekspert Per Thorsheim, som mener at dette i stor grad er et prinsippspørsmål:

– Saken koker ned til et prinsipielt spørsmål: Man bør bruke supportert programvare, og kunne planlegge hvordan fremtiden ser ut. Og i denne saken er vi jo veldig på overtid.

Thorsheim peker på tilfeller i USA hvor datavirus har infisert en bedrifts nettverk via usikrede maskiner:

– I USA har man tilfeller av datavirus som kommer seg inn via usikre maskiner, og dermed sprer seg på nettverket og utsetter bedriften for et større sikkerhetsproblem. Da er det ikke lenger bare den aktuelle boksen som kan utgjøre et problem, men i verste fall kan dette få store konsekvenser for bedriften som en helhet.

– Hvis det verste scenarioet Ruter kan tenke seg er at noen kan stjele kortopplysningene til sine kunder, da er det på tide med en realitetssjekk, sier Thorsheim til NRKbeta.

– Vil innebære en stor kostnad

Sofie Bruun er kommunikasjonssjef i Ruter. Foto: NRK
Sofie Bruun er kommunikasjonssjef i Ruter. Foto: NRK
Kommunikasjonssjef i Ruter, Sofie Bruun, skriver i en epost at det er utfordrende at systemet ikke er oppdatert:

– Vi har et billettsystem fra begynnelsen av 2000-tallet. Dette billettsystemet utgjør ca. 7 % av omsetningen i dag. Systemet er sikret og isolert fra den andre billettinfrastrukturen. I tillegg har vi et billettsystem som benytter Windows 2003. Det er naturligvis en utfordring at leverandørenes billettsystemer ikke fornyer seg like fort som Windows server. Vi oppgraderer derfor operativsystemer hvor det er mulig å oppgradere.

Ruters billettinntekter i 2015 var på 3.58 milliarder, noe som betyr at dette billettsystemet håndterte omtrent 250 millioner kroner i 2015.

Bruun utdyper videre at de har vurdert oppgradering, men at det kommer til å medføre store kostnader:

– Vi har tidligere gjort vurderinger om å oppgradere den eldste plattformen, men har valgt å fase denne ut over tid. En oppgradering til Windows 7 for det eldste utstyret vårt, vil innebære en stor kostnad. Vi har i stedet valgt å gjøre sikkerhetstiltak som vi har vurdert som tilstrekkelige, inntil vi kan avvikle plattformen helt. Vi i Ruter er opptatt av at våre reisende skal ha trygge betalingsmåter når de reiser med oss, skriver Bruun i en epost.

De ulike sikkerhetstiltakene innebærer bruk av brannmur og egne nett for de eldre systemene. Bruun skriver også at de bruker ulike løsninger for å avdekke misbruk, og at systemene regelmessig blir scannet for virus og skadevare.

Pressevakt Øystein Dahl Johansen i Ruter skriver i en epost at sikkerhet har høy prioritet, og at de ikke kjenner til at angrep på deres systemer har ført til informasjon på avveie:

– Ruters datasystemer, på lik linje med systemene i de fleste andre virksomheter, utsettes jevnlig for angrep av ulike slag og håndteringen av slike situasjoner er en viktig og integrert del av den løpende driften av Ruters systemer. Det har ikke vært situasjoner som Ruter er kjent med hvor det har vært risiko for at informasjon fra Ruters systemer har kunnet komme på avveie.

Dårlig sikkerhetshåndtering kan få store følger. I helgen ble San Franciscos kollektivsystem hacket.

Angrepet av løsepengevirus

I anledning Black Friday fikk San Franciscos reisende en hyggelig overraskelse, nemlig gratis kollektivreiser i hele San Francisco. Men årsaken hadde ingenting med Black Friday å gjøre. En anonym hacker hadde tatt kontroll over datasystemene til Municipal Transport Agency (MUNI).

MUNI styrer majoriteten av kollektivtransporten i San Fransisco, og opererer blant annet busser, leddbusser og trikker i byen. Over 150 000 mennesker benytter seg av dette kollektivtilbudet hver dag.

Datasystemene ser ut til å ha blitt infisert av et løsepengevirus (ransomware) – en type virus som tar kontroll over et datasystem, og krever betaling for å gi systemets rettsmessige eier tilbake tilgangen til systemet.

Man har sett en stor oppgang i denne typen virus de siste årene. Watchcom rapporterte i juni at de har sett en oppgang på 165% blant denne typen virus her til lands så langt i år.

40 kommentarer

      • Det var vore avslørt tidlegare ja. men det er ei stund sidan no. Men kan forstå dei ikkje vil ha hverken Vista, 7, 8, 8.1 eller 10. Dei er alle for tunggrodde. Det var vel derfor XP er den lengstlevande indowsversjonen nokon sinne.
        Har sjølv emigrert til Ubuntu Gnome for snart 8 år sidan. Og der er fleire system som baserer seg på Linux, som til dømes TV, TV-dekoder, BluRay med Java-fork, bilar, maskinpak/fabrikk og mobiltelefon(Android, Firefox etc).

        Svar på denne kommentaren

        • Morten becker (svar til GjB)

          Jeg tror ikke du bør sammenlikne pc brukere og automater. Automatene er ikke veldig bekymret for tungrodde os. De konfigureres en gang så er de ferdig med alt annet enn osets basisfunksjoner. Altså funksjoner alle os har. Utfordringen er å få gammelt utstyr til å snakke med nye os. Ikke hvor komplisert oset er.

          Svar på denne kommentaren

    • Hvilket operativsystem som brukes er forsåvidt ikke det viktigste – kunne like gjerne vært OpenBSD, VxWorks eller noe helt annet.

      Det viktigste hadde vært å få sikkerhet inn i planleggingen, utvilkingen og vedlikeholdet.

      Ok, så Windows har historie for å være full av sikkerhetshull, men om de hadde gjort et skikkelig forarbeid og stilt strenge krav til sikkerhet, så hadde de sannsynligvis endt opp med noe annet.

      Svar på denne kommentaren

      • Det er vesentlig hvilket operativsystem som velges. Når man valgte Windows, visste man at dette kunne bety at man ville bli låst til utdatert software pga. manglende kontroll over drivere, mellomlagssoftware og selve programvaren. Hadde de f.eks. kjørt på linux, kunnde OSet vært oppdatert tilnærmet uavhenig av softwaren som kjører oppå – noen revisjonsoppdateringer av mellomliggende lag som f.eks. Python, Java eller andre ting man måtte finne på å bruke må selvfølgelig taes høyde for. Men det er gjennomførbart på en helt annen måte.

        Svar på denne kommentaren

    • Ja det er virkelig utrolig at industrien oftest bruker Windows – Linux er så klippe-stabilt i forhold til Windows!

      Har lagt et access control system som kjører 100% stabilt på Linux servere. Dem som prøvde på akkurat det samme tidligere brukte Windows servere og de crashet hele tida!

      Svar på denne kommentaren

    • Veronica Olsen (svar til Penguin)

      Det virker helt absurd at Windows brukes til annet enn reklameplakater (som forøvrig kræsjer ofte de også).

      For meg ville det også vært mye mer logisk å bruke Linux eller et lignende operativsystem. De er fryktelig mye enklere å fjernadministrere og oppdatere, og er programmeringsteknisk enklere å jobbe med. I tillegg er Linux mye mindre krevende å kjøre på utdatert maskinvare.

      Svar på denne kommentaren

      • Morten becker (svar til Veronica Olsen)

        Windows brukes over alt. Inkludert styring av kjernekraftverk og vår viktigste infrastruktur, strøm. Dette er helt udramatisk. Systemene kjører nok ikke siste sikkerhetspatch en gang. Men de er dønn stabile nettopp fordi de ikke betjenes av klønete Linux «spesialister» men av opplærte operatører og på industriell software

        Svar på denne kommentaren

    • Arve Systad (svar til Penguin)

      Uten å ha noe imot Linux i seg selv, så hjelper det heller ikke med en 16 år gammel Linux-installasjon som ikke blir oppdatert.

      «All computer problems are human problems», er det noe som heter. Dette er en organisatorisk utfordring, ikke et teknisk problem. Teknologien og løsningene finnes overalt rundt oss (heck, kunne jo sikkert bare laga en iphone-app som kunne styrt ti-tolv sånne skjermer med litt custom hardware rundt…).

      Svar på denne kommentaren

    • Er heller ingen fan av hverken Microsoft eller Windows, men valget av operativsystem er ikke problemet her. Her er det noen som ikke har gjort jobben sin mht betingelsene i kontrakter for leveranse og drift av løsninger. Alle slike systemer må holdes oppdatert, og kostnadene for det må tas med i driftsbudsjettene. Dette billettsystemet burde vært gjennom flere generasjoner med oppdateringer allerede.

      Svar på denne kommentaren

  1. Systemene bør jo oppgraderes, men de fleste skjønner ikke hvor stor en job og hvor komplisert det kan være – og dermed en kjempestor kostnad. Systemene er ikke like utsatte som en vanlig Internett server – de er høyest sannsynlig isolert mest mulig – og derfor er situasjonen ikke like alvorlig.

    At de ikke trenger PCI-sertifisering er sikkert også korrekt (avhengig av hvordan implementasjonen er gjort) – akkurat som en nettbutikk heller ikke trenger PCI-sertifisering hvis de bruker en tredje-part betalingssløsning.

    Svar på denne kommentaren

  2. Jeg kjøper ikke at dette er noen større risiko å kjøre windows 2000 pro, enn å oppgradere til nyere OS. I de nyeste operativsystemene vet vi jo at det med vitende og vilje er lagt inn bakdører, keyloggere, konstant datautveksling til OS sin leverandør etc. Vil tro at det innebærer betydelig større risiko å bruke windows 10. Linux hadde sikkert vært et godt alternativ.

    Svar på denne kommentaren

    • Korrekt, kredittkort data er ikke håndtert av os i det hele tatt, og standard går kommunikasjon over rs-232, eller USB i nyere systemer.

      Programvare som styrer utskrift av billetter, gavekort etc. (mtp. De fleste automater fungerer på så godt som samme måte) får en tilbakemelding fra terminal om betaling er godkjent eller ikke, og That’s it.

      Svar på denne kommentaren

  3. Kutt ut hele greia og gå over til APP. La det skure og gå så lenge. Påfyllkort med registrering på bussen/toget er tidkrevende. La folk betale kontant, litt dyrere, som på toget idag. Unntatt pensjonister; mange henger etter med app-bruk av forståelige grunner.
    APPen er kjempefin og bør utvides til offentlig transport over hele landet

    Svar på denne kommentaren

  4. Hvorfor i alle dager skal disse systemene oppgraderes? De burde fases ut. Med dagens smarttelefonsamfunn så er disse automatene ubrukelige. De som absolutt må kjøpe billetter på gamlemåten får komme seg til en 7/11 eller noe liknende med salg over disk.

    Svar på denne kommentaren

    • Kjetil Nesheim (svar til Erik)

      Etter å ha jobbet meg gjennom alle versjoner siden DOS 3.0 så må jeg si meg enig at når det gjelder stabilitet så er W2K best.
      Det er den eneste versjonen hvor jeg har oppleved at en server kan svive uten problem i ett år og to uten restart.
      For sikkerhet så er den fysiske sikring av utstyr langt viktigere enn hvilke OS som er i bruk.

      Svar på denne kommentaren

    • Veronica Olsen (svar til Erik)

      Nå sluttet jeg å jobbe med Windows fra driftssiden ca rundt 2010, men mellom NT3.5/Win3.11 og Windows 2008/Windows 7 vil jeg si meg enig i at Windows 2000 er noe av det beste Microsoft har levert.

      Men det hjelper så lite når systemet ikke lenger kan oppdateres.

      Svar på denne kommentaren

  5. Jeg synes Ruter svarer godt for seg. De er klarover utfordringen. De har tatt grep, men på andre steder i systemet. Og de jobber for å fase den aktuelle programvaren ut.

    Det er vanskelig for oss på utsiden å vurdere disse tiltakene. Men svarene virker for meg tillitsvekkende.

    Svar på denne kommentaren

  6. Øyvind Kjelsvik

    jeg skal f… ikke ha lumske apper med kredittkortinfo på mobilen min så dere kan bare glemme det RUTER. Nå blir det vel å kjøpe på narvesen istedetfor på automat fremover 🙁 Savner de gode gamle billettmaskinene med fysiske knapper og seddelmottak, og de gamle t-banevognene med supergode seter. I dag føler man seg svært lite verdsatt på mange områder desverre.

    Svar på denne kommentaren

    • For ikke å snakke om bussjåfører som himler med øya om man kjøper en enkeltbillet kontant, og om man drister seg til å betale med en seddel som gjør at sjåføren må gi tilbake vekslepenger blir han som oftest tydelig irritert. Sånn var det ihvertfall sist jeg tok buss eller trikk.

      Sjåførene var kanskje mer interessert i å håndtere kontanter før når de solgte brukte billetter de fant på gulvet og putta pengene rett i lomma. Griske Oslo Sporveier, nå Ruter, klarte ikke tanken på å at en stakkars utarbeida bussjåfør ordnet seg 150,- svart i løpet av skiftet… Smålig med tanke på at mange av dem ofte må jobbe doble skift for at rutetidene skal stemme.

      Svar på denne kommentaren

  7. Anonym drittsekk

    Fikk en Windows XP lyd fra NSB sin reisekort aktiveringsautomat når kortet mitt var utgått.
    Ikke så altfor kritisk ettersom man ikke kan betale på dem, but still, exploitable ettersom de har nettverkstilkobling :p

    Svar på denne kommentaren

  8. Ingen overraskes over at sikkerhetsfolk og ikt-bransje anbefaler oppgradering.

    Men alle systemer kan få feil. At systemene ikke har blittt hacket med stor synlig skade (eks tapping og misbruk av mange kredittkort) tyder på at risikoen ikke er så stor som os-sårbarheten tyder på.

    Det viktige er å vite hva du skal gjøre hvis/når feil inntreffer. Og der hevder Ruter å ha kontroll.

    Bra at de ikke kaster bort masse billettinntekter på oppgradering av et system som skal utfases.

    Svar på denne kommentaren

  9. Rett og slett utrolig at slike «sikkerhets eksperter» klarer å lire ut av seg slik drit.
    1. Disse går på lukket nett.
    2: Windows er ikke og kommer heller ikke noen gang til å bli sikker.
    3: HW er ett gedigent sikkerhets hull, så lenge det er x86 basert.
    3a. BIOS/UEFI virus.
    3b. Trenger ikke OS for å få virus.
    3c. Backdoor i nesten alle produkter nå.
    Så det er ikke uten grunn at x86 er satt til EOL hos meg. Nye enheter skal være basert på RISC/ARM.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *