Petter Reinholdtsen

Entries tagged "ruter".

Dårlig med sikkerhetsoppdateringer for Ruters billettautomater i Oslo?
13th February 2019

For syv år siden oppdaget jeg at billettautomater for kollektivtrafikken i Oslo kjørte Windows 2000 Professional. Operativsystemet har ikke fått sikkerhetsfikser fra Microsoft siden 2010-07-13 i følge dem selv. Den samme versjonen av operativsystemet var i bruk for to og et halvt år siden, og jammen er det ikke også i bruk den dag i dag:

[Bilde av Ruters billettautomat med Windows 2000-feilmelding]

Bildet er tatt i dag av Kirill Miazine og tilgjengelig for bruk med bruksvilkårene til Creative Commons Attribution 4.0 International (CC BY 4.0).

Kanskje det hadde vært bedre med gratis kollektivtrafikk, slik at vi slapp å stole på datakompetansen til Ruter for å verne våre privatliv samt holde personopplysninger og betalingsinformasjon unna uvedkommende. Eneste måten å sikre at hvor en befinner seg ikke kan hentes ut fra Ruters systemer er å betale enkeltbilletter med kontanter. Jeg vet at Ruter har en god historie om hvor personvernvennlige mobil-app og RFID-kortene er, men den historien er ikke mulig å uavhengig kontrollere uten priviligert tilgang til interne system og blir dermed bare nok en god historie basert på tillit til de som forteller historien. Det er ikke slik en sikrer privatsfæren. Det gjør en ved å sikre at det ikke (kan) registreres informasjon om ens person.

Som vanlig, hvis du bruker Bitcoin og ønsker å vise din støtte til det jeg driver med, setter jeg pris på om du sender Bitcoin-donasjoner til min adresse 15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b. Merk, betaling med bitcoin er ikke anonymt. :)

Tags: betalkontant, norsk, ruter.
Debian used in the subway info screens in Oslo, Norway
2nd March 2018

Today I was pleasantly surprised to discover my operating system of choice, Debian, was used in the info screens on the subway stations. While passing Nydalen subway station in Oslo, Norway, I discovered the info screen booting with some text scrolling. I was not quick enough with my camera to be able to record a video of the scrolling boot screen, but I did get a photo from when the boot got stuck with a corrupt file system:

[photo of subway info screen]

While I am happy to see Debian used more places, some details of the content on the screen worries me.

The image show the version booting is 'Debian GNU/Linux lenny/sid', indicating that this is based on code taken from Debian Unstable/Sid after Debian Etch (version 4) was released 2007-04-08 and before Debian Lenny (version 5) was released 2009-02-14. Since Lenny Debian has released version 6 (Squeeze) 2011-02-06, 7 (Wheezy) 2013-05-04, 8 (Jessie) 2015-04-25 and 9 (Stretch) 2017-06-15, according to a Debian version history on Wikpedia. This mean the system is running around 10 year old code, with no security fixes from the vendor for many years.

This is not the first time I discover the Oslo subway company, Ruter, running outdated software. In 2012, I discovered the ticket vending machines were running Windows 2000, and this was still the case in 2016. Given the response from the responsible people in 2016, I would assume the machines are still running unpatched Windows 2000. Thus, an unpatched Debian setup come as no surprise.

The photo is made available under the license terms Creative Commons 4.0 Attribution International (CC BY 4.0).

As usual, if you use Bitcoin and want to show your support of my activities, please send Bitcoin donations to my address 15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

Tags: english, ruter.
Fortsatt ingen sikkerhetsoppdateringer for billettautomatene til kollektivtrafikken i Oslo?
29th November 2016

For fire og et halvt år siden lot jeg meg overraske over at Ruters billettautomater for kollektivtrafikken i Oslo kjørte Windows 2000 Professional, et og et halvt år etter at Microsoft hadde gitt beskjed om at det ikke lenger kom sikkerhetsoppdateringer til systemet. Støtten fra Microsoft tok slutt 2010-07-13 i følge Wikipedia og Microsoft selv.

For fem dager siden passerte jeg på nytt en slik billettautomat som hadde brutt sammen, og den annonserte fortsatt at den kjører Windows 2000 Professional, nå mer enn seks år siden Microsoft sluttet å komme med sikkerhetspatcher til produktet. Sikret meg et bilde av krasjmeldingen på skjermen.

[foto av billettautomat]

Mon tro om de mangler kildekoden til systemet som kjører på automaten, og dermed ikke uten videre kan oppgradere?

Jeg ser jo fra en innsynshenvendelse om kildekoden til billett-Appen til Ruter på Mimes brønn at Ruter tilsynelatende ikke legger sikkerheten i sertifikater, nøkler og passord, men i stedet baserer seg på at logikken i programvaren holdes hemmelig. Det borger ikke godt for sikkerheten i Ruters datasystemer.

Det er nå tre og et halvt år siden Ruter fortalte Aftenposten at nye automater ble minst seks måneder forsinket, da leverandøren ikke hadde god nok kontroll. Det kan virke som om leverandøren ikke er alene om å ikke ha god nok kontroll.

Bildet er tilgjengelig for bruk med bruksvilkårene til Creative Commons Navngivelse 3.0 Norge (CC BY 3.0).

Oppdatering 2016-12-01: Saken har fått omtale på digi.no og NRK Beta.

Tags: norsk, ruter.
Er billettautomatene til kollektivtrafikken i Oslo uten sikkerhetsoppdateringer?
2nd March 2012

På tur mot jobb i dag fikk jeg se en av Ruters billettautomater i Nydalen som var brutt sammen. Tok bilde av det hele, og lot meg overraske over at den så ut til å kjøre Windows 2000 Professional.

[foto av billettautomat]

Jeg ble overrasket da den versjonen av operativsystemene til Microsoft så vidt jeg vet ikke lenger mottar sikkerhetsoppdateringer. I følge Wikipedia og Microsoft har den ikke hatt støtte fra Microsoft siden 2010-07-13. Det er en ganske stor sikkerhetsrisiko å bruke operativsystemer i et og et halvt år etter at de ikke lenger blir tatt vare på sikkerhetsmessig.

Bildet er tilgjengelig for bruk med bruksvilkårene til Creative Commons Navngivelse 3.0 Norge (CC BY 3.0).

Tags: norsk, ruter.
Hvordan kringkaster T-banen i Oslo sine overvåkningskamerasignaler?
5th January 2011

Jeg er den fornøyde eier av en håndholdt trådløs kamerascanner, dvs. en radioscanner som automatisk scanner frekvensområdet 900 - 2500 MHz og snapper opp radiokilder med PAL eller NTCS TV-signal og viser signalet frem på en liten skjerm. Veldig morsom å ha med seg for å se hva som finnes av trådløse overvåkningskamera. En får se bildet som kameraet tar opp. :)

Men en kilde har den ikke klart å snappe opp: Sporveiens overvåkningskamera på T-banestasjonene. Bildet sendes åpenbart trådløst til T-baneføreren, men min scanner har ikke klart å ta inn signalet. For å forsøke å finne ut av dette tok jeg i dag en nærmere titt på en av boksene som sto på Forskningsparken T-banestasjon for å se hva det er som sendes ut.

Boksen hadde følgende tekst:

SupraLink
Outdoor Transmitter 5.8 GHz

default channel [ ]
  identity code [ ]

VTQ Videotronik
06268 Querfurt
www.vtq.de
Made in Germany

AC 230V   [strekkode]
max 10W   84230936

Det var hyggelig av produsenten å legge inn lenke til nettsiden sin. Der hadde de mye stilig elektronikk. Og forklaringen på hvorfor min scanner ikke tar inn signalet er åpenbar ut fra merkelappen. 5.8 GHz er langt over min scanners grense på 2.5 GHz. Trenger visst en kraftigere scanner. :)

Tags: norsk, ruter, surveillance.
Anonym ferdsel er en menneskerett
15th September 2010

Debatten rundt sporveiselskapet i Oslos (Ruter AS) ønske om å radiomerke med RFID alle sine kunder og registrere hvor hver og en av oss beveger oss pågår, og en ting som har kommet lite frem i debatten er at det faktisk er en menneskerett å kunne ferdes anonymt internt i ens eget land.

Fant en grei kilde for dette i et skriv fra Datatilsynet til Samferdselsdepartementet om tema:

Retten til å ferdes anonymt kan utledes av menneskerettskonvensjonen artikkel 8 og av EUs personverndirektiv. Her heter det at enkeltpersoners grunnleggende rettigheter og frihet må respekteres, særlig retten til privatlivets fred. I både personverndirektivet og i den norske personopplysningsloven er selvråderetten til hver enkelt et av grunnprinsippene, hovedsaklig uttrykt ved at en må gi et frivillig, informert og uttrykkelig samtykke til behandling av personopplysninger.

For meg er det viktig at jeg kan ferdes anonymt, og det er litt av bakgrunnen til at jeg handler med kontanter, ikke har mobiltelefon og forventer å kunne reise med bil og kollektivtrafikk uten at det blir registrert hvor jeg har vært. Ruter angriper min rett til å ferdes uten radiopeiler med sin innføring av RFID-kort, og dokumenterer sitt ønske om å registrere hvor kundene befant seg ved å ønske å gebyrlegge oss som ikke registrerer oss hver gang vi beveger oss med kollektivtrafikken i Oslo. Jeg synes det er hårreisende.

Tags: betalkontant, norsk, nuug, personvern, ruter, sikkerhet.
Massiv overvåkning av kollektivtrafikken i Oslo planlegges
16th May 2009

Flere og flere protesterer på den massive overvåkningen og registrering av trafikkmønster i kollektivtrafikken som planlegges i Oslo. Det er bra. Jeg mister lysten til å bruke kollektivtransport når jeg ser hvordan trafikkselskapet holder på. Jeg forventer og forlanger å ikke bli overvåket med mindre jeg mistenkes for å ha gjort noe alvorlig galt. Den massive registreringen av hvor og når passasjerene reiser med kollektivtrafikk som planegges av Ruter i Oslo er et grotesk overgrep mot alle som bruker buss, trikk T-bane og tog i Osloområdet.

Tags: norsk, nuug, personvern, ruter.

RSS Feed

Created by Chronicle v4.6