SIKKERHET

Kontrollpanelet til taubane var åpent tilgjengelig via internett

Leverandøren avviser påstandene til sikkerhetsforskere.

Det er langt ned dersom noe skulle gå galt. Fotografiet viser en av gondolene til taubanen Patscherkofelbahn i Østterrike, fotografert i januar 2018.
Det er langt ned dersom noe skulle gå galt. Fotografiet viser en av gondolene til taubanen Patscherkofelbahn i Østterrike, fotografert i januar 2018. Foto: <a href="https://de.wikipedia.org/wiki/Patscherkofelbahn#/media/File:Gondel_der_Patscherkofelbahn_vor_Rosskogel.jpg" target="_blank">Wikipedia/Simon Legner</a> <a href="https://creativecommons.org/licenses/by-sa/4.0/" target="_blank">CC BY-SA 4.0</a>
Harald BrombachHarald BrombachNyhetsleder
2. mai 2018 - 08:47

Den nye taubanen til fjellet Patscherkofel sør for Innsbruck ble stengt i midten av mars etter at to sikkerhetsforskere tilknyttet organisasjonen Internetwache.org oppdaget at de via internett trolig kunne få helt eller delvis kontroll over taubanen.

De to sikkerhetsforskerne, Tim Philipp Schäfers og Sebastian Neef, skal ha oppdaget at kontrollpanelet til taubanen var tilgjengelig som en ikke-kryptert webapplikasjon som heller ikke krevde innlogging. Dette skriver blant annet Golem.de og Bleeping Computer.

Les også: Brøt seg inn stort, norsk fjernvarmesystem og krypterte serverne (Digi ekstra)

Full kontroll?

Via webapplikasjonen skal Schäfers og Neef ha funnet innstillinger for blant å kontrollere farten til gondolen, avstanden mellom gondolene og kabelspenningen. Også logger og andre data skal ha vært tilgjengelige.

Leverandøren av systemet, østerrikske Doppelmayr, har ifølge Golem.de avvist at det dreide seg om noe reelt sikkerhetsproblem og at taubanen ikke kunne kontrolleres på den måten de to sikkerhetsforskerne hevder. 

I alle fall Neef er avvisende til uttalelsen fra Dobbelmayr.

– Vi kunne se kontrollpanelet til banen, med kontrollene for kjøreretning og sikkerhetsavstanden til gondolene, sier han til Golem.de. 

Noe virkelig bevis har de likevel ikke, da de av ganske åpenbare årsaker ikke testet ut panelet de fikk tilgang til. 

I stedet varslet de blant annet leverandøren og CERT.at

Les også: Boligblokker uten sentralvarme i en uke på grunn av DDoS-angrep

Utdatert system

Det var ved en tilfeldighet at de to sikkerhetsforskerne gikk inn på den aktuelle webapplikasjonen. De skal ha vært på leting etter systemer levert av Doppelmayr som hadde noen spesifikke og allerede kjente sårbarheter.

Eksempel på Dobbelmayr Connect-systemet som white hat-hackerne skal ha fått tilgang til. <i>Foto: Dobbelmayr</i>
Eksempel på Dobbelmayr Connect-systemet som white hat-hackerne skal ha fått tilgang til. Foto: Dobbelmayr

Det skal ha vært en utdatert versjon av Doppelmayrs Connect-system som ble brukt av Patscherkofelbahn, til tross for at taubanen ikke skal ha åpnet før i fjor. 

Banen skal i ettertid ha vært stengt, men dette skyldes etter alt å dømme en helt ordinær sesongpause. På taubanens nettsted opplyses det at sommersesongen starter den 19. mai.

Doppelmayr er også leverandør av stolheisen som i mars gikk amok ved et skianlegg i Gudauri, Georgia. Mens det satt mange mennesker i stolene, begynte heisen å gå baklengs med dobbelt fart. Dette førte til at flere ble skadd da de nederst i bakken ble kastet ut av stolene. Det finnes flere opptak av hendelsen, blant annet her.

Årsaken til hendelsen skal i dette tilfellet ha vært en elektrisk feil.

Les også: Har kontrollert varmeanlegg med Amiga i nær 30 år

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.