Deler av Ruters datasystemer, blant annet billettautomatene, baserer seg på en versjon av Windows som Microsoft ikke har støttet siden 2010. Denne versjonen har en rekke åpne sikkerhetshull, noe som får sikkerhetseksperter til å reagere. Ruter mener det er for dyrt å oppgradere systemene.
Billettautomatene som er plassert på en rekke steder i Oslo og Akershus, kjører Windows 2000 Professional, et operativsystem som Microsoft ikke har tettet siden 13. juli 2010.
I 2015 gikk over 250 millioner kroner gjennom dette systemet. Billettautomatene lar brukere av Ruters tjenester fornye reisekort, og tar imot betaling med både kontanter og kredittkort.
Denne versjonen av Windows hadde en såkalt «end of life» i 2010, og alle sikkerhetshull og feil ved Windows 2000 som er funnet etter denne datoen, er nært umulig å få tettet.
Standarden for kortbetaling
Bedrifter som tar imot betaling via bankkort skal rette seg etter PCI-standarden – en standard utviklet av VISA og Mastercard, som alle de store kortleverandørene har stilt seg bak.
Krav nr. 6 i PCI-standarden fastslår at bedrifter som tar imot kortbetaling skal sørge for at alle systemkomponenter og programvare i deres systemer er sikret mot kjente sikkerhetshull. Krav 6 spesifiserer også at kritiske sikkerhetshull skal tettes senest én måned etter at de blir kjent.
6.1 Sørg for at alle systemkomponenter og programvare er beskyttet mot kjente sikkerhetshull ved å installere de nyeste oppdateringer fra leverandør. Installer kritiske sikkerhetsoppdateringer senest en måned etter at de frigis.
Kommunikasjonsrådgiver i PCI Security Standards Council, Lindsay Goodspeed, bekrefter i en epost til NRKbeta at tilbydere av betalingsløsninger bør oppgradere til siste versjon av aktuelle operativsystemer:
For å beskytte betalingsdataene sine, bør virksomheter som bruker gamle operativsystem oppgradere til nye. I mellomtiden bør de ha en plan for hvordan dette skal foregå. De må også kontinuerlig overvåke og minimere risikoen mot sine gamle eksisterende systemer.
Lindsay Goodspeed, PCI Security Standards Council
Ruter sier de selv ikke er underlagt PCI-standarden, da de har outsourcet selve betalingsformidlingen til en tredjepart, og at betaling skjer gjennom separate PCI-sertifiserte betalingsterminaler med egne linjer. Likevel opererer Ruter datautstyr som er i kontakt med det PCI-sertifiserte betalingssystemet. Sikkerhetseksperter mener at det i verste fall kan utgjøre en sikkerhetsrisiko.
– En tikkende bombe
Direktør Torgeir Waterhouse i IKT-Norge reagerer sterkt på denne informasjonen, og mener at det er oppsiktsvekkende at en samfunnsaktør gambler med sikkerheten på denne måten:– Det som virkelig er ille her er at en aktør som fyller en samfunnskritisk funksjon, velger å bruke utdatert programvare på en boks som tar folks kredittkort.
Waterhouse sier videre at dette ikke er en ukjent problemstilling, men likevel en av Norges største utfordringer:
– Vi kjenner til utallige tilfeller der foreldede datasystemer med vel og viten har blitt holdt i live, uten at man tar innover seg den risikoen dette kan utgjøre for både kundene og bedriften selv.
Microsofts egne nettsider viser at det siste hullet som ble tettet for denne versjonen av Windows, skjedde den 18. juli 2011.
– Mest sannsynlig har Windows 2000 mange sikkerhetshull som ikke kommer til å bli tettet, og dette er ikke noe annet enn en tikkende bombe, sier Waterhouse.
Han peker også på at dette ikke nødvendigvis bare er et problem for de utsatte automatene, men at ringvirkningene kan være store, siden de fleste systemer på ett eller annet vis er koblet sammen:
– I ytterste konsekvens gambler man med funksjongraden til byen som en helhet, da det i dag og i fremtiden er sånn at datasystemer i stor grad er koblet sammen, og er avhengig av hverandre.
– Bør ta en realitetssjekk
Han får støtte av sikkerhetsekspert Per Thorsheim, som mener at dette i stor grad er et prinsippspørsmål:– Saken koker ned til et prinsipielt spørsmål: Man bør bruke supportert programvare, og kunne planlegge hvordan fremtiden ser ut. Og i denne saken er vi jo veldig på overtid.
Thorsheim peker på tilfeller i USA hvor datavirus har infisert en bedrifts nettverk via usikrede maskiner:
– I USA har man tilfeller av datavirus som kommer seg inn via usikre maskiner, og dermed sprer seg på nettverket og utsetter bedriften for et større sikkerhetsproblem. Da er det ikke lenger bare den aktuelle boksen som kan utgjøre et problem, men i verste fall kan dette få store konsekvenser for bedriften som en helhet.
– Hvis det verste scenarioet Ruter kan tenke seg er at noen kan stjele kortopplysningene til sine kunder, da er det på tide med en realitetssjekk, sier Thorsheim til NRKbeta.
– Vil innebære en stor kostnad
Kommunikasjonssjef i Ruter, Sofie Bruun, skriver i en epost at det er utfordrende at systemet ikke er oppdatert:– Vi har et billettsystem fra begynnelsen av 2000-tallet. Dette billettsystemet utgjør ca. 7 % av omsetningen i dag. Systemet er sikret og isolert fra den andre billettinfrastrukturen. I tillegg har vi et billettsystem som benytter Windows 2003. Det er naturligvis en utfordring at leverandørenes billettsystemer ikke fornyer seg like fort som Windows server. Vi oppgraderer derfor operativsystemer hvor det er mulig å oppgradere.
Ruters billettinntekter i 2015 var på 3.58 milliarder, noe som betyr at dette billettsystemet håndterte omtrent 250 millioner kroner i 2015.
Bruun utdyper videre at de har vurdert oppgradering, men at det kommer til å medføre store kostnader:
– Vi har tidligere gjort vurderinger om å oppgradere den eldste plattformen, men har valgt å fase denne ut over tid. En oppgradering til Windows 7 for det eldste utstyret vårt, vil innebære en stor kostnad. Vi har i stedet valgt å gjøre sikkerhetstiltak som vi har vurdert som tilstrekkelige, inntil vi kan avvikle plattformen helt. Vi i Ruter er opptatt av at våre reisende skal ha trygge betalingsmåter når de reiser med oss, skriver Bruun i en epost.
De ulike sikkerhetstiltakene innebærer bruk av brannmur og egne nett for de eldre systemene. Bruun skriver også at de bruker ulike løsninger for å avdekke misbruk, og at systemene regelmessig blir scannet for virus og skadevare.
Pressevakt Øystein Dahl Johansen i Ruter skriver i en epost at sikkerhet har høy prioritet, og at de ikke kjenner til at angrep på deres systemer har ført til informasjon på avveie:
– Ruters datasystemer, på lik linje med systemene i de fleste andre virksomheter, utsettes jevnlig for angrep av ulike slag og håndteringen av slike situasjoner er en viktig og integrert del av den løpende driften av Ruters systemer. Det har ikke vært situasjoner som Ruter er kjent med hvor det har vært risiko for at informasjon fra Ruters systemer har kunnet komme på avveie.
Dårlig sikkerhetshåndtering kan få store følger. I helgen ble San Franciscos kollektivsystem hacket.
Angrepet av løsepengevirus
I anledning Black Friday fikk San Franciscos reisende en hyggelig overraskelse, nemlig gratis kollektivreiser i hele San Francisco. Men årsaken hadde ingenting med Black Friday å gjøre. En anonym hacker hadde tatt kontroll over datasystemene til Municipal Transport Agency (MUNI).
MUNI styrer majoriteten av kollektivtransporten i San Fransisco, og opererer blant annet busser, leddbusser og trikker i byen. Over 150 000 mennesker benytter seg av dette kollektivtilbudet hver dag.
All @sfmta_muni #Muni train machines are down. Investing the problem. All rides are free for now! pic.twitter.com/G2hfCZoT2T
— Lisa Amin Gulezian (@LisaAminABC7) November 27, 2016
Datasystemene ser ut til å ha blitt infisert av et løsepengevirus (ransomware) – en type virus som tar kontroll over et datasystem, og krever betaling for å gi systemets rettsmessige eier tilbake tilgangen til systemet.
Man har sett en stor oppgang i denne typen virus de siste årene. Watchcom rapporterte i juni at de har sett en oppgang på 165% blant denne typen virus her til lands så langt i år.
Penguin
kanskje de burde vurdere å gå over til linux?
Alexander
Noen som vet om minibanker fortsatt kjører på Windows XP?
GjB
Det var vore avslørt tidlegare ja. men det er ei stund sidan no. Men kan forstå dei ikkje vil ha hverken Vista, 7, 8, 8.1 eller 10. Dei er alle for tunggrodde. Det var vel derfor XP er den lengstlevande indowsversjonen nokon sinne.
Har sjølv emigrert til Ubuntu Gnome for snart 8 år sidan. Og der er fleire system som baserer seg på Linux, som til dømes TV, TV-dekoder, BluRay med Java-fork, bilar, maskinpak/fabrikk og mobiltelefon(Android, Firefox etc).
Morten becker
Jeg tror ikke du bør sammenlikne pc brukere og automater. Automatene er ikke veldig bekymret for tungrodde os. De konfigureres en gang så er de ferdig med alt annet enn osets basisfunksjoner. Altså funksjoner alle os har. Utfordringen er å få gammelt utstyr til å snakke med nye os. Ikke hvor komplisert oset er.
Kokkel I. Monke
…eller en god gammel versjon av MS DOS?
Kjetil Endresen
Linux var også min tanke – å kjøre Windows på disse systemene virker meningsløst.
Magnus Helleberg
Nemlig. Repositories og git-hub….så enkelt, men da må nok innkjøpsordningene i offentlig sektor ratifiseres. Antar det er tette bånd mellom Oslo Kommune og Microsoft..
Vetle
Hvilket operativsystem som brukes er forsåvidt ikke det viktigste – kunne like gjerne vært OpenBSD, VxWorks eller noe helt annet.
Det viktigste hadde vært å få sikkerhet inn i planleggingen, utvilkingen og vedlikeholdet.
Ok, så Windows har historie for å være full av sikkerhetshull, men om de hadde gjort et skikkelig forarbeid og stilt strenge krav til sikkerhet, så hadde de sannsynligvis endt opp med noe annet.
Gert
Det er vesentlig hvilket operativsystem som velges. Når man valgte Windows, visste man at dette kunne bety at man ville bli låst til utdatert software pga. manglende kontroll over drivere, mellomlagssoftware og selve programvaren. Hadde de f.eks. kjørt på linux, kunnde OSet vært oppdatert tilnærmet uavhenig av softwaren som kjører oppå – noen revisjonsoppdateringer av mellomliggende lag som f.eks. Python, Java eller andre ting man måtte finne på å bruke må selvfølgelig taes høyde for. Men det er gjennomførbart på en helt annen måte.
Allan Jensen
Ja det er virkelig utrolig at industrien oftest bruker Windows – Linux er så klippe-stabilt i forhold til Windows!
Har lagt et access control system som kjører 100% stabilt på Linux servere. Dem som prøvde på akkurat det samme tidligere brukte Windows servere og de crashet hele tida!
Morten becker
Stabiliteten er neppe en issue. Jeg vet om win3.1 systemer som har gått i over 10 år uten restart. Nettopp dedikerte systemer både kan og skal gå stabilt på et hvilket som helst os.
Eirik Bjorkli
Man bør helt klart bruke Apple. Det beste systemet i verden som er helt imunt mot virus eller andre angrep!
NorxMAL
Vanskelig å vite om du mener dette seriøst eller ikke; nesten utelukkende fordi du nevner apple, noe som kan være dønn seriøst hvis du også er apple bruker…
Veronica Olsen
Det virker helt absurd at Windows brukes til annet enn reklameplakater (som forøvrig kræsjer ofte de også).
For meg ville det også vært mye mer logisk å bruke Linux eller et lignende operativsystem. De er fryktelig mye enklere å fjernadministrere og oppdatere, og er programmeringsteknisk enklere å jobbe med. I tillegg er Linux mye mindre krevende å kjøre på utdatert maskinvare.
Morten becker
Windows brukes over alt. Inkludert styring av kjernekraftverk og vår viktigste infrastruktur, strøm. Dette er helt udramatisk. Systemene kjører nok ikke siste sikkerhetspatch en gang. Men de er dønn stabile nettopp fordi de ikke betjenes av klønete Linux «spesialister» men av opplærte operatører og på industriell software
Arve Systad
Uten å ha noe imot Linux i seg selv, så hjelper det heller ikke med en 16 år gammel Linux-installasjon som ikke blir oppdatert.
«All computer problems are human problems», er det noe som heter. Dette er en organisatorisk utfordring, ikke et teknisk problem. Teknologien og løsningene finnes overalt rundt oss (heck, kunne jo sikkert bare laga en iphone-app som kunne styrt ti-tolv sånne skjermer med litt custom hardware rundt…).
Merkler Bygvatn
Et Linux system kunne bli oppdatert med gratis patcher! Problemet her er at patchene til Windows 2000 ikke lages lengre og løsningen finnes bare i oppgradering til nye dyre versjoner av Windows.
Per
Er heller ingen fan av hverken Microsoft eller Windows, men valget av operativsystem er ikke problemet her. Her er det noen som ikke har gjort jobben sin mht betingelsene i kontrakter for leveranse og drift av løsninger. Alle slike systemer må holdes oppdatert, og kostnadene for det må tas med i driftsbudsjettene. Dette billettsystemet burde vært gjennom flere generasjoner med oppdateringer allerede.
Vetle
Det er klart at oppgradering til Windows 7 vil være ekstremt kostbart, men en plan for eventuell oppgradering og sikkerhet burde jo vært en del av vedlikeholdsavtale.
Allan Jensen
Systemene bør jo oppgraderes, men de fleste skjønner ikke hvor stor en job og hvor komplisert det kan være – og dermed en kjempestor kostnad. Systemene er ikke like utsatte som en vanlig Internett server – de er høyest sannsynlig isolert mest mulig – og derfor er situasjonen ikke like alvorlig.
At de ikke trenger PCI-sertifisering er sikkert også korrekt (avhengig av hvordan implementasjonen er gjort) – akkurat som en nettbutikk heller ikke trenger PCI-sertifisering hvis de bruker en tredje-part betalingssløsning.
Lars Djupegot
Jeg kjøper ikke at dette er noen større risiko å kjøre windows 2000 pro, enn å oppgradere til nyere OS. I de nyeste operativsystemene vet vi jo at det med vitende og vilje er lagt inn bakdører, keyloggere, konstant datautveksling til OS sin leverandør etc. Vil tro at det innebærer betydelig større risiko å bruke windows 10. Linux hadde sikkert vært et godt alternativ.
Tore Sinding Bekkedal
Er det slik at maskinene faktisk håndterer kredittkort-data? Er ikke betalingsterminalen en separat enhet fra selve Windows-maskinen, som den kommuniserer med via RS-232 el?
Det har jo veldig mye å si for hvor stort problem det faktisk er at maskinene kjører Windows 2000.
Lb
Korrekt, kredittkort data er ikke håndtert av os i det hele tatt, og standard går kommunikasjon over rs-232, eller USB i nyere systemer.
Programvare som styrer utskrift av billetter, gavekort etc. (mtp. De fleste automater fungerer på så godt som samme måte) får en tilbakemelding fra terminal om betaling er godkjent eller ikke, og That’s it.
Karin Ingebrigtsen
Kutt ut hele greia og gå over til APP. La det skure og gå så lenge. Påfyllkort med registrering på bussen/toget er tidkrevende. La folk betale kontant, litt dyrere, som på toget idag. Unntatt pensjonister; mange henger etter med app-bruk av forståelige grunner.
APPen er kjempefin og bør utvides til offentlig transport over hele landet
Jarl Arntzen
Akk så enig 🙂
Christian S.
Hvorfor i alle dager skal disse systemene oppgraderes? De burde fases ut. Med dagens smarttelefonsamfunn så er disse automatene ubrukelige. De som absolutt må kjøpe billetter på gamlemåten får komme seg til en 7/11 eller noe liknende med salg over disk.
Stg
Ruter sier jo at systemene skal fases ut. Men at ting tar litt tid.
Patrick T.
Istedenfor å utfase maskiener og tvinge de som betaler kontant til å finne et åpent utsalgssted kunne de heller tatt bort kortdelen fra automatene og gjeninnført seddelbetaling på automatene. Kontantbetalinger gir som kjent ingen persondataspor, og da slipper Ruter å bryte paragraf 14 i Sentralbankloven (tvungent betalingsmiddel)
Win win for alle parter.
Erik
Windows 2000 er fortsatt det beste operativsystemet Microsoft har kommet med, hvorfor kødde med noe som virker, all den tid betalingstransaksjoner faktisk blir gjort på en egen platform?
Kjetil Nesheim
Etter å ha jobbet meg gjennom alle versjoner siden DOS 3.0 så må jeg si meg enig at når det gjelder stabilitet så er W2K best.
Det er den eneste versjonen hvor jeg har oppleved at en server kan svive uten problem i ett år og to uten restart.
For sikkerhet så er den fysiske sikring av utstyr langt viktigere enn hvilke OS som er i bruk.
Veronica Olsen
Nå sluttet jeg å jobbe med Windows fra driftssiden ca rundt 2010, men mellom NT3.5/Win3.11 og Windows 2008/Windows 7 vil jeg si meg enig i at Windows 2000 er noe av det beste Microsoft har levert.
Men det hjelper så lite når systemet ikke lenger kan oppdateres.
Stig
Jeg synes Ruter svarer godt for seg. De er klarover utfordringen. De har tatt grep, men på andre steder i systemet. Og de jobber for å fase den aktuelle programvaren ut.
Det er vanskelig for oss på utsiden å vurdere disse tiltakene. Men svarene virker for meg tillitsvekkende.
Ruter ticket system still runs Windows 2000 and Router think that is just fine. – Enåsen.no
[…] Source: Mener Oslos billettautomater er en tikkende bombe […]
Øyvind Kjelsvik
jeg skal f… ikke ha lumske apper med kredittkortinfo på mobilen min så dere kan bare glemme det RUTER. Nå blir det vel å kjøpe på narvesen istedetfor på automat fremover 🙁 Savner de gode gamle billettmaskinene med fysiske knapper og seddelmottak, og de gamle t-banevognene med supergode seter. I dag føler man seg svært lite verdsatt på mange områder desverre.
Patrick T.
For ikke å snakke om bussjåfører som himler med øya om man kjøper en enkeltbillet kontant, og om man drister seg til å betale med en seddel som gjør at sjåføren må gi tilbake vekslepenger blir han som oftest tydelig irritert. Sånn var det ihvertfall sist jeg tok buss eller trikk.
Sjåførene var kanskje mer interessert i å håndtere kontanter før når de solgte brukte billetter de fant på gulvet og putta pengene rett i lomma. Griske Oslo Sporveier, nå Ruter, klarte ikke tanken på å at en stakkars utarbeida bussjåfør ordnet seg 150,- svart i løpet av skiftet… Smålig med tanke på at mange av dem ofte må jobbe doble skift for at rutetidene skal stemme.
Harald Henriksen
Har 1 PC med Windows XP den fungerer perfekt år etter år.Har også 1 PC med Windows 7 den er meir ustabil og full av problem
Harald
Anonym drittsekk
Fikk en Windows XP lyd fra NSB sin reisekort aktiveringsautomat når kortet mitt var utgått.
Ikke så altfor kritisk ettersom man ikke kan betale på dem, but still, exploitable ettersom de har nettverkstilkobling :p
Lisa
«Supportert» :'(
Jaja…
Jan
Ingen overraskes over at sikkerhetsfolk og ikt-bransje anbefaler oppgradering.
Men alle systemer kan få feil. At systemene ikke har blittt hacket med stor synlig skade (eks tapping og misbruk av mange kredittkort) tyder på at risikoen ikke er så stor som os-sårbarheten tyder på.
Det viktige er å vite hva du skal gjøre hvis/når feil inntreffer. Og der hevder Ruter å ha kontroll.
Bra at de ikke kaster bort masse billettinntekter på oppgradering av et system som skal utfases.
Rolf Bilet
Rett og slett utrolig at slike «sikkerhets eksperter» klarer å lire ut av seg slik drit.
1. Disse går på lukket nett.
2: Windows er ikke og kommer heller ikke noen gang til å bli sikker.
3: HW er ett gedigent sikkerhets hull, så lenge det er x86 basert.
3a. BIOS/UEFI virus.
3b. Trenger ikke OS for å få virus.
3c. Backdoor i nesten alle produkter nå.
Så det er ikke uten grunn at x86 er satt til EOL hos meg. Nye enheter skal være basert på RISC/ARM.