Gå til innhold

Petter advarte selskapet allerede i 2012. Da systemkræsjen dukket opp igjen på tirsdag, ble han svært overrasket

Martin Braathen Røise

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
0laf

0laf

Skrevet
Skrevet (endret)

Uffda, det er ille å se at Ruter ikke helt får det til, men det er dog enda verre å se at en som jobber med "automatisering av driftstjenester for styring av datatjenester og maskiner" samt en "sikkerhetsekspert" ikke har snøring på det de snakker om.

 

Så å si alle verdens minibanker kjører Windows XP, og så å si alle verdens banker utfører transaksjoner gjennom programvare skrevet på syttitallet.

Det blir ikke tryggere med det siste nye av programvare, i de fleste tilfeller er det nok heller tvert i mot.

 

At man i det hele tatt klarer å lire av seg 

 

– Tukler man med en kabel i dette «lukkede nettet» er man fort i stand til å bryte seg inn...

 

er helt enestående for folk som visst nok jobber med dette til daglig.

No shit Sherlock, tukler man med en nettverkskabel til en slik maskin så spiller det ingen rolle om maskinen kjører MS-DOS eller Windows 3000, tilgang får man jo uansett.

 

Det har seg jo slik at på automater som ikke er koblet til internett og som heller ikke har tastatur/mus, så blir de aller fleste sikkerhetsproblemer i det underliggende operativsystemet irrelevante ettersom de uansett ikke kan utnyttes.

 

Man har særdeles begrensede muligheter for "input" på en slik automat, som er en sikkerhetsfaktor i seg selv, samtidig som Win2K kun benyttes til det grafiske grensesnittet, ikke til hverken betaling eller bestilling.

 

I virkeligheten er OS'et på automaten nærmest helt irrelevant, og på ingen måte mer usikkert enn noe annet.

 

Hvor finner Digi disse "ekspertene" ?

Endret av adeneo
  • Liker 6
Lenke til kommentar
Zork

Zork

Skrevet
Skrevet

 

 

For en som vet hvordan de skal opptre er det nok veldig enkelt å utnytte systemet.

 

Forventer ikke en skritt-for-skritt-forklaring, men litt mer utfyllende informasjon om hvorfor dette er så usikkert kunne det vært greit å få. 

 

Om det er 'veldig enkelt å utnytte systemet' så er det sikkert mulig å få til en (gjerne lukket) demonstrasjon for presse/Ruter for å demonstrere alvoret?

  • Liker 1
Lenke til kommentar
9WB91CR4

9WB91CR4

Skrevet
Skrevet

Uffda, det er ille å se at Ruter ikke helt får det til, men det er dog enda verre å se at en som jobber med "automatisering av driftstjenester for styring av datatjenester og maskiner" samt en "sikkerhetsekspert" ikke har snøring på det de snakker om.

 

Så å si alle verdens minibanker kjører Windows XP, og så å si alle verdens banker utfører transaksjoner gjennom programvare skrevet på syttitallet.

Det blir ikke tryggere med det siste nye av programvare, i de fleste tilfeller er det nok heller tvert i mot.

 

At man i det hele tatt klarer å lire av seg 

 

– Tukler man med en kabel i dette «lukkede nettet» er man fort i stand til å bryte seg inn...

 

er helt enestående for folk som visst nok jobber med dette til daglig.

No shit Sherlock, tukler man med en nettverkskabel til en slik maskin så spiller det ingen rolle om maskinen kjører MS-DOS eller Windows 3000, tilgang får man jo uansett.

 

Det har seg jo slik at på automater som ikke er koblet til internett og som heller ikke har tastatur/mus, så blir de aller fleste sikkerhetsproblemer i det underliggende operativsystemet irrelevante ettersom de uansett ikke kan utnyttes.

 

Man har særdeles begrensede muligheter for "input" på en slik automat, som er en sikkerhetsfaktor i seg selv, samtidig som Win2K kun benyttes til det grafiske grensesnittet, ikke til hverken betaling eller bestilling.

 

I virkeligheten er OS'et på automaten nærmest helt irrelevant, og på ingen måte mer usikkert enn noe annet.

 

Hvor finner Digi disse "ekspertene" ?

 

Man trenger ikke at det er tilkoblet lokale tastatur og mus.. Da hadde det ikke vært særlig mye hacking av servere, for å si det slik.

Og det at de er "offline" er ikke sikkert nok, bare se på Irans atomanlegg og Stuxnet.

Noen må frakte data til og fra systemet, og de er sårbare da de nok er tilkoblet internett. Så man kan targete USB sticks f.eks.

Men dette krever at man har rimelig dyp innsikt i disse automatene, for at man skal kunne få noe ut av det. Da angrepet må være hel-automatisert og targetet mot disse spesifikke automatene.

 

Det sagt, er verdien av et slik angrep på disse automatene rimelig lav tenker jeg. Å sabotere disse vil nok ikke påvirke samfunnet særlig mye. Men det vil kanskje rokke enda mer med folks tillit til Ruter. Noe de vel kan leve med, da de ikke har konkurrenter.

  • Liker 2
Lenke til kommentar
9WB91CR4

9WB91CR4

Skrevet
Skrevet

 

 

 For en som vet hvordan de skal opptre er det nok veldig enkelt å utnytte systemet.

 

Forventer ikke en skritt-for-skritt-forklaring, men litt mer utfyllende informasjon om hvorfor dette er så usikkert kunne det vært greit å få. 

 

Om det er 'veldig enkelt å utnytte systemet' så er det sikkert mulig å få til en (gjerne lukket) demonstrasjon for presse/Ruter for å demonstrere alvoret?

Ved å benytte en av disse:

https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-107/cvssscoremin-5/cvssscoremax-5.99/Microsoft-Windows-2000.html

 

Det finnes vel step-by-step guides på youtube tenker jeg.

 

Men alt dette er hakke værre når systemet ikke er på nett.

Lenke til kommentar
Sturle S

Sturle S

Skrevet
Skrevet

– Tukler man med en kabel i dette «lukkede nettet» er man fort i stand til å bryte seg inn...

 

er helt enestående for folk som visst nok jobber med dette til daglig.

No shit Sherlock, tukler man med en nettverkskabel til en slik maskin så spiller det ingen rolle om maskinen kjører MS-DOS eller Windows 3000, tilgang får man jo uansett.

No demonstrerer du skremmande inkompetanse. Eg køyrer mange Linux-maskiner direkte på internett utan nokon som helst brannmur. Ingen har klart å bryte seg inn på dei. (Det kan eg vite rimeleg sikkert, fordi alle har ei bitcoin-lommebok med ein premie som kanari, og alle er intakte.) Maskinene er oppdaterte og sikre.

 

Desse betalingsterminalane samlar inn kortinformasjon frå massevis av kundar kvar dag. Ei gullgruve for ein kjeltring. Det einaste som skal til for å få tilgang til maskina, er tilgang til nettet. Resten er barnemat, fordi maskinene ikkje er sikre.

 

Det har seg jo slik at på automater som ikke er koblet til internett og som heller ikke har tastatur/mus, så blir de aller fleste sikkerhetsproblemer i det underliggende operativsystemet irrelevante ettersom de uansett ikke kan utnyttes.

Dei er kopla til nett, sjølv om det ikkje er internett. Dersom Windows 2000 har eit hol som kan utnyttast over nett, og du får tilgang til nettet (trivielt, i fylgje artikkelen), har du då enkel tilgang til maskinene. Du treng ikkje tastatur eller mus. Nokre sekund er nok til å setje inn ein dimp som gjev deg trådlaus tilgang til nettet, slik at du kan jobbe uforstyrra vidare frå næraste kafé etterpå.

 

I virkeligheten er OS'et på automaten nærmest helt irrelevant, og på ingen måte mer usikkert enn noe annet.

Det er ikkje sant. Eit gammalt og usikra operativsystem med kjende hol som kan utnyttast over nett som du har tilgang til (om det er intranett eller internett har ingenting å seie) er sjølvsagt svært mykje verre enn eit moderne oppdatert operativsystem utan slike hol. har du det, nyttar det ikkje med tilgang til nettet. Det einaste du vil sjå der er kryptert trafikk mellom maskiner du ikkje kjem inn på.

 

Hvor finner Digi disse "ekspertene" ?

 

Det er godt dei ikkje konsulterte deg, i alle fall.
  • Liker 9
Lenke til kommentar
Dr.B

Dr.B

Skrevet
Skrevet

Sikkerhetsaspektet her handler vel ikke om at en person kan utnytte sikkerhetshull for å styre eller sabotere billettautomatene? Det er vel et større problem at veien inn til en bedrift er dens svakeste sikkerhetsledd.

 

Jeg har aldri brukt en slik automat så jeg aner ikke hvilken informasjon man får på dem, men selv dette "lukkede nettet" har vel en kobling til Ruters servere for å kunne oppdatere prisinformasjon o.l., som igjen har tilgang til andre systemer Ruter bruker. For eksemepel kundedata.

  • Liker 1
Lenke til kommentar
Zork

Zork

Skrevet
Skrevet

 

 

 

 For en som vet hvordan de skal opptre er det nok veldig enkelt å utnytte systemet.

 

Forventer ikke en skritt-for-skritt-forklaring, men litt mer utfyllende informasjon om hvorfor dette er så usikkert kunne det vært greit å få. 

 

Om det er 'veldig enkelt å utnytte systemet' så er det sikkert mulig å få til en (gjerne lukket) demonstrasjon for presse/Ruter for å demonstrere alvoret?

Ved å benytte en av disse:

https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-107/cvssscoremin-5/cvssscoremax-5.99/Microsoft-Windows-2000.html

 

Det finnes vel step-by-step guides på youtube tenker jeg.

 

Men alt dette er hakke værre når systemet ikke er på nett.

 

 

Jeg tviler ikke på at W2K har mange sårbarheter - det jeg etterlyser er informasjon om hvilken praktisk betydining de måtte ha i akkurat dette tilfellet.

 

Det blir diffust å bare argumentere med at "flinke folk kan nok utnytte det" når man ikke vet om det er tilfellet - en må vel kjenne til løsningen som helhet for å kunne hevde det. Og videre er jo spørsmålet hva konsekvensene er av en slik utnyttelse - begrenser det seg til å krasje automaten eller er det faktisk mulig å hente ut opplysninger fra en slik utnyttelse?

  • Liker 1
Lenke til kommentar
0laf

0laf

Skrevet
Skrevet (endret)

Man trenger ikke at det er tilkoblet lokale tastatur og mus.. Da hadde det ikke vært særlig mye hacking av servere, for å si det slik.

Og det at de er "offline" er ikke sikkert nok, bare se på Irans atomanlegg og Stuxnet.

Noen må frakte data til og fra systemet, og de er sårbare da de nok er tilkoblet internett. Så man kan targete USB sticks f.eks.

Men dette krever at man har rimelig dyp innsikt i disse automatene, for at man skal kunne få noe ut av det. Da angrepet må være hel-automatisert og targetet mot disse spesifikke automatene.

 

Alt kan hackes, sikkerhet skaleres gjerne i forhold til dataene som behandles, og de dataene som behandles her er lite verdifulle, i beste fall får man tilgang til å bestille en gratisbillett på bussen.

 

No demonstrerer du skremmande inkompetanse. Eg køyrer mange Linux-maskiner direkte på internett utan nokon som helst brannmur. Ingen har klart å bryte seg inn på dei. (Det kan eg vite rimeleg sikkert, fordi alle har ei bitcoin-lommebok med ein premie som kanari, og alle er intakte.) Maskinene er oppdaterte og sikre.

Virkelig, har ingen klart å bryte seg inn på Linux-maskinene dine, og derfor hevder du at Linux er et sikrere operativsystem enn Windows?

 

Ingenting er sikkert her i verden, ei heller Linux, og til syvende og sist ikke disse automatene heller, poenget er at det ikke nødvendigvis er mindre sikkert kun fordi de kjører Win2K.

 

Desse betalingsterminalane samlar inn kortinformasjon frå massevis av kundar kvar dag. Ei gullgruve for ein kjeltring. Det einaste som skal til for å få tilgang til maskina, er tilgang til nettet. Resten er barnemat, fordi maskinene ikkje er sikre.

 

Nei, disse maskinene samler ikke inn kortinformasjon. Betalingsterminalen er adskilt, og sender krypterte data til en mainframe, og fungerer derfor som alle andre betalingsterminaler.

Med andre ord, klarer du å hacke den betalingsterminalen som står integrert i en slik billettautomat, har du lagt gullegget ettersom du også kunne hacket en hvilken som helst annen betalingsautomat.

 

Dei er kopla til nett, sjølv om det ikkje er internett. Dersom Windows 2000 har eit hol som kan utnyttast over nett, og du får tilgang til nettet (trivielt, i fylgje artikkelen), har du då enkel tilgang til maskinene. Du treng ikkje tastatur eller mus. Nokre sekund er nok til å setje inn ein dimp som gjev deg trådlaus tilgang til nettet, slik at du kan jobbe uforstyrra vidare frå næraste kafé etterpå.

De er koblet til et internt nett, og du skal fysisk åpne automaten eller klippe kabelen for å få tilgang, og selv da er det ikke sikkert pakkene du kan se bevege seg over nettverket er til særlig stor hjelp.

 

Det er nok ikke så enkelt som å stappe inn en usb brikke, sette seg på cafeen ved siden, å så se alle kredittkortene som dras i automaten.

 

Det er ikkje sant. Eit gammalt og usikra operativsystem med kjende hol som kan utnyttast over nett som du har tilgang til (om det er intranett eller internett har ingenting å seie) er sjølvsagt svært mykje verre enn eit moderne oppdatert operativsystem utan slike hol. har du det, nyttar det ikkje med tilgang til nettet. Det einaste du vil sjå der er kryptert trafikk mellom maskiner du ikkje kjem inn på.

Kryptering av dataene på nettverket har da ingenting med operativsystemet å gjøre, men nettverksprotokollen som benyttes.

Endret av adeneo
  • Liker 1
Lenke til kommentar
Gavekort

Gavekort

Skrevet
Skrevet

 

No demonstrerer du skremmande inkompetanse. Eg køyrer mange Linux-maskiner direkte på internett utan nokon som helst brannmur. Ingen har klart å bryte seg inn på dei. (Det kan eg vite rimeleg sikkert, fordi alle har ei bitcoin-lommebok med ein premie som kanari, og alle er intakte.) Maskinene er oppdaterte og sikre.

Virkelig, har ingen klart å bryte seg inn på Linux-maskinene dine, og derfor hevder du at Linux er et sikrere operativsystem enn Windows?

 

Ingenting er sikkert her i verden, ei heller Linux, og til syvende og sist ikke disse automatene heller, poenget er at det ikke nødvendigvis er mindre sikkert kun fordi de kjører Win2K.

 

Jo. Når Microsoft slutter å patche sikkerhetshull så blir Windows 2000 mindre sikkert enn et oppdatert operativsystem. Sikkerhetshullene er hva som gjør at du kan bryte deg inn i systemene.

Lenke til kommentar
0laf

0laf

Skrevet
Skrevet (endret)

Jo. Når Microsoft slutter å patche sikkerhetshull så blir Windows 2000 mindre sikkert enn et oppdatert operativsystem. Sikkerhetshullene er hva som gjør at du kan bryte deg inn i systemene.

 

 

Hvor står det noe om at Linux er sikrere enn Windows? Du gikk jo helt glipp av poenget her.

 

Jeezes, det spiller jo ingen rolle om operativsystemet er patchet eller om det kjøres Windows 2000 eller noe annet.

 

Man kan ikke sammenligne dette med en webserver som kjører Linux eller maskinen hjemme på kontoret.

Den eneste realistiske måten å kompromittere disse automatene på er å enten tappe seg inn på det interne nettverket eller fysisk bryte opp automaten å koble seg til med et tastatur (eller benytte tastaturet inne i maskinen, dersom de har noe slikt).

 

Automatene har ikke trådløst nettverk eller internett, det finnes ingen måte å laste inn programvare på automatene utenfra, og man kan ikke en gang skrive inn noen linjer med kode ettersom all input er begrenset.

 

Har man først fått fysisk tilgang til maskinen ved å bryte den opp å koble til et tastatur, så spiller det jo liten rolle om Windows er oppdatert etter alle kunstens regler, eller om man kjører Linux.

Dette bør jo være helt elementært, dersom noen får fysisk tilgang til datamaskinen din ved å benytte tastaturet ditt, så hjelper det ikke med all verdens sikkerhetsoppdateringer.

 

Hvorvidt nettverket er kryptert vet ikke jeg, men det er jo uansett ikke slik at man automatisk kontrollerer noe som helst selv om man får tilgang til nettverkskabelen, og som nevnt tidligere er betalingsterminalen ikke del av det grafiske grensesnittet som kjører Windows 2000, men er en egen enhet som kobler til en egen mainframe, slik at den får man ikke tilgang til uansett.

Endret av adeneo
Lenke til kommentar
quantum

quantum

Skrevet
Skrevet (endret)

rolle om maskinen kjører MS-DOS eller Windows 3000, tilgang får man jo uansett.

Så enkelt er det ikke, medmindre all trafikk foregår helt ukryptert. Hvis den er kryptert er man avhengig av kjente hull og svakheter for å komme videre etter at man har fått hull på kabelen. Så spørsmålet er egentlig bare om MS faktisk tettet det siste hullet før de la ned [insert-your-favourite-legacy-windows-version-here] ... hva tror du?

Endret av quantum
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...