It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Tagg: riskanalys

Det finns inga gratiskrav

Det finns inga gratiskrav.Det här är en post-it som sitter strax till höger om min skärm vid skrivbordet. Den är till för att påminna mig om att påminna personer i min närhet om att ”Det finns inga gratiskrav”.

I mina ögon är säkerhetskravställning lite av en konst. Inte för att det är svårt, på sätt och vis är det ganska enkelt att ställa säkerhetskrav: det finns en hel industri kring it-säkerhet som har tagit fram saker från säkerhetsövervakningsavdelningar till MAC och allt där i mellan.

När du sitter med ett system under utveckling och ska formulera säkerhetskrav har du hur många krav som helst att välja på. Häri ligger konsten, du kan inte ställa hur många som helst för förr eller senare ska kraven uppfyllas; någon ska implementera MAC-kontrollen eller organisera säkerhetsövervakningsavdelningen och det kostar resurser i tid och pengar.

Att välja säkerhetskrav

Varje säkerhetskrav kostar resurser och sådana är alltid begränsade. Konsten är att ställa de säkerhetskrav som ger mest bang for the buck. Säkerhetskrav kostar olika mycket resurser och bidrar med olika mycket säkerhet så i grunden handlar det om en cost/benefit-analys för varje krav.

Är den säkerhet som kravet bidrar med värd besväret?

För att kunna svara på denna fråga måste man har koll på tre saker:

  1. Vad kostar kravet?
  2. Hur mycket säkerhet ger kravet?
  3. Vilket behov av säkerhet finns?

Tyvärr finns inga exakta svar på någon av frågorna, det finns inte ens ganska exakta svar, så vi kan sällan räkna på det med siffror. (Jag refererar till två äldre inlägg: Att mäta säkerhet på Internetdagarna och Att mäta säkerhet igen.)

Jag sprang på ett fantastiskt citat igår kväll på tal om det här, ett av ekonomilegenden Keynes (nu såg jag att det inte alls var han utan tydligen Carveth Read):

It is better to be vaguely right than exactly wrong.

Det kommer att handla om olika bra uppskattningar till svaren. Man ska göra avvägningen i alla fall; men man måste acceptera att det inte är en exakt vetenskap och handla därefter. Det här leder ofta till något som det är modernt att hata inom säkerhet; något som slarvigt kallas magkänsla. Jag gnäller en del över det i Att mäta säkerhet igen-inlägget om du är på humör för sånt, annars lägger vi det åt sidan.

Av de tre frågorna följer att alla säkerhetskrav inte är lika mycket värda. Vissa saker ger mycket säkerhet för lite resurser medan andra ger förhållandevis lite säkerhet i utbyte mot stora resurser. De förstnämnda är no-brainers, de sistnämnda kräver analys; kanske är just den lilla säkerhetsdetalj som erbjuds ett måste som inte går att uppnå på något annat sätt? Kanske kan vi inte avgöra riktigt utan blir tvungna att köra för att vara på säkra sidan?

Rabatt på säkerhetskrav

När vi ändå har börjat tala i ekonomiska termer kan vi lika gärna fortsätta, men det får bli nästa gång. Trevlig tredje advent!

Varför är Bildts Gmail ett säkerhetsproblem?

I lördags gick Aftonbladet ut med nyheten att utrikesminister Carl Bildt använder en privat Gmail-adress för officiell kommunikation:

Enligt uppgift till Aftonbladet har Bildt uppmanat höga tjänstemän inom utrikesförvaltningen att kontakta honom på Gmail-adressen i stället för hans officiella via Utrikesdepartementet. Kommunikationssättet ska vara utbrett bland svenska ambassa­dörer trots att systemet är ifrågasatt.

– Gmail är inte säkert. Informationen ligger lagrad på servrar i andra länder. Det är ett amerikanskt företag som inte tvekar att lämna ut material till säkerhetstjänster, säger Joakim von Braun, it-säkerhetsexpert.

Flera källor uppger att Bildt föredrar att kommunicera via sin Ipad, men det har inte varit problemfritt.

Fotografi av Aftonbladets framsida

Både molntjänster och BYOD alltså? Hualigen.

Låt oss först och främst konstatera att säkerhetsproblemen med gmail.com i stort också gäller riksdagen.se (eller var hans formella mail nu ligger), den viktiga skillnaden är att man saknar kontroll över Gmail; det är svårt eller omöjligt för Riksdagens säkerhetsfolk att övervaka, kontrollera eller anpassa säkerheten hos Google.

Vilka säkerhetsproblem riskerar Bildt i praktiken?

Först och främst, (1) med tillgång till Bildts Gmail-konto kan man förstås läsa allt som har skickats och tagits emot. Enligt utsago så ska inget omfattas av sekretess och det kanske stämmer. Bildt är ju en rätt van politiker och har säkerligen koll på vad han skickar, frågan är om de som skickar mail till honom har det.

(2) Någon som får åtkomst till Bildts Gmail-konto kan utge sig för att vara honom, det kan förstås få oanade konsekvenser.

(3) Någon som får åtkomst till Bildts Gmail-konto kan ta bort de mail som har skickats och tagits emot eller varför inte, byta lösenord eller avsluta kontot? Så mycket för allmänna handlingar som kan vara offentliga.

(4) Dessutom, som Jocke nämner i artikeln, servrarna som Bildts mail bor i ägs av ett företag i ett annat land och kan därför bli tvungna att lämna ut åtkomst till myndigheter på ett eller annat sätt. Detta var aktuellt nyligen i samband med Petraeus-affären där en CIA-chef kommunicerade med en älskarinna via Gmail och kraftigt underskattade sina motståndares (FBI) kapacitet.

Faktum är att även om Bildt använder precis samma mailtjänst som ”vanliga” människor så är hans konto utsatt för större risk. Dels för att han är en offentlig person och därför har en större hotbild men också för att han är en offentlig person och därför har avsevärt svårare att lyckas med s k social authentication som är vanlig i sådana sammanhang. För självklart är det lättare att ta reda på svaret till den offentliga Bildts ”hemliga fråga” än hans okände namnes i Häggvik. (Ja, det finns en till Carl Bildt, Henric Robert Carl Bildt närmare bestämt.)

Uppdatering samma dag: Såg nu också att Bildt (på ett härligt bildtskt vis) har kommenterat saken på sin blogg. Tyvärr gör han det något amatörmässiga misstaget att likställa säkerhet med skydd mot att information läcker. Det är ju, enligt ovan, bara ett av problemen.

Säkerhet och begagnade bilar

Jag behöver av olika anledningar köpa en bil och det kommer att bli en begagnad en. Jag har länge fruktat inför det här, dels för att mina bilrelaterade kunskaper är synnerligen begränsade men framför allt för att jag tror på alla fördomar om bilförsäljare.

Used car sign

De flesta av mina åsikter om begagnade bilar kommer från min favoritekonomiuppsats (om man kan ha något sånt) The Market for Lemons: Quality Uncertainty and the Market Mechanism av George Akerlof. Jag har tydligen nämnt den tidigare på bloggen.

Den handlar i korthet om att marknaden för begagnade bilar tenderar att dra till sig dåliga bilar (lemons) snarare än bra bilar (cherries) eftersom köpare har dåliga förutsättningar för att avgöra bilens skick. Säljare inser att köpare inte kan se att bilen är dålig, marknadsför den som bra, köpare inser detta och börjar utgå från att bilarna är dåliga, säljare av bra bilar låter bli att sälja dem på marknaden för att köpare utgår från att de är dåliga, ond spiral. Bad driving out the good.

Jag känner att jag inte har någon som helst anledning att lita på en bilförsäljare. Det ligger i säljarens intresse att sälja en så dålig bil som möjligt för så högt pris som möjligt. Oftast är bilhandlare dessutom köpare emellanåt så när du ska sälja din bil till dem vill de ge så lite pengar som möjligt för en så bra bil som möjligt.

Det här är ju något som gäller oavsett vad man ska köpa men för mig blir det av någon anledning extra tydligt i samband med bilköp.

Ännu värre blir det när man har ”en bil i inbyte”. Det är lätt att tolka det som att handlaren gör dig en tjänst, är bussig, som tar hand om din gamla häck till bil nu när du ska köpa en finare. Det är ju kanon, handlaren fixar med avställning o s v så att du slipper…

…men nu är du ju både köpare och säljare, handlaren kan lura dig två gånger.

I säkerhetsvärlden är det här ett vanligt problem, två parter som inte litar på varandra. Verisign är i den branschen, Kerberos bygger på det. Enter the trusted third party.

Kvarndammen är ett exempel på en bilhandlare som utnyttjar detta. Man låter en s k värderingsman värdera bilen, utifrån denna värdering sker sedan en auktion. Tanken är att värderingsmannen är oberoende och inte har något incitament att vare sig över- eller undervärdera bilen. Lysande.

Modellen vilar dock på att tredjeparten, värderingsmannen, är pålitlig. Värderingsmannen ska bara vara intresserad av att ge en rättvis bedömning av bilens värde, inget annat. Själv känner jag att jag litar på värderingsmannen, åtminstone i mycket större utsträckning än på godtycklig bilhandlare eller Blocket-försäljare. Jag ska dock erkänna att jag inte har några särskilda belägg för detta förtroende. Jag skulle dock önska att Kvarndammen hjälpte mig på traven lite:

  • Skriv ut namnet på värderingsmannen, utnyttja att hon vill uppehålla sitt goda rykte om rättvisa värderingar.
  • Var tydligare med att värderingsmannen inte har några ekonomiska incitament som gynnar vare sig säljare eller köpare. (Om det nu är så det ligger till, vilket jag verkligen hoppas.) Hon ska t ex absolut inte få procent på försäljningspriset.

Ska man ta det ännu längre kanske det går att skapa en lönemodell som gynnar rättvisa värderingar. Omvänd procent på skillnaden mellan listpris och slutgiltigt pris kanske?

(Nej, det här är inte avsett att vara reklam för Kvarndammen, bara ytterligare en observation av säkerhet i vardagen.)

En annan intressant funktion är hur själva auktionen går till. Vid sluttiden som publiceras för varje objekt börjar en nedräkning på tre och en halv minut, om ett nytt bud läggs under denna nedräkning börjar nedräkningen om. Så fortsätter det till någon har det högsta budet.

Det är ett sätt att undvika s k auction snipers där oärliga typer budar över med en liten summa precis innan auktionen är över. Som vanligt har säkerhetsfunktioner bieffekter, hur länge är det tillåtet att förlänga budgivningen? En viss tid? Ett visst antal bud? Hur skyddar du mot att någon snipear den sista förlängningen? För dyrare objekt är det möjligt att avskräcka genom att sätta en lagom hög minsta-höjning men generellt är det ett svårt problem.

Annars kan man ju alltid DoS:a sajten efter att man har lagt sitt bud så att det blir svårt för övriga att buda över. Det känns dock lite fantasilöst. Vad sägs om att sätta sitt användarnamn till

<script>window.location.href="http://www.aftonbladet.se/";</script>

och sen lägga ett bud så att användarnamnet visas på budsidan.

…vi får se om det blir ett vrakpris. Trevlig helg!

Säkerhet och säkerhet och spärrar

Svenska språket saknar engelskans motsvarighet till safety. Medan engelskan kan prata om car security för att mena säkerhet mot inbrott i och stöld av bilar (larm, rattlås o s v) kan de också prata om car safety för att mena säkerhet för bilens passagerare (bilbälte, airbag o s v).

I Sverige får vi nöja oss med bara ”säkerhet” tills vidare men vem vet, Svenska akademien kanske löser även det i framtiden.

Intressant är att security och safety inte sällan motverkar varandra. Skolexemplet är dörrar för utrymning av byggnader.

Utrymningsskylt

I syfte att skydda byggnaden är det inte alls en bra idé att sätta upp utrymningsdörrar och spiraltrappor eftersom de är utmärkta vägar in för t ex inbrottstjuvar. I syfte att skydda människor vid brand däremot… Med dörrar kommer man sedan in på detaljer som att det ska vara lätt att öppna dörren vid brand men svårt annars.

DN körde en artikel här om dagen om hur SL:s glasspärrar ibland är farliga:

När tunnelbanespärren smällde igen om Anna Fredriksson fick hon blåmärken på ryggen och ett blödande jack ovanför ögat. ”SL:s krig mot plankarna leder till att vanliga resenärer bokstavligen kommer i kläm”, säger Mikael Sundström, ordförande i Kollektivtrafikant Stockholm.

Det är viktigt att ta hänsyn till sådana omständigheter när man designar säkerhetslösningar, det är lätt att ökad security innebär minskad safety eller vice versa. Det här är en av anledningarna till att ställa sig frågan ”Vilka andra risker introduceras?” när man utvärderar en säkerhetsmekanism. Jag har tagit upp detta tidigare i samband med ett inlägg om att ha reservnycklar hos larmbolaget.

Som vanligt är det extremt svårt att avgöra om svaret på frågan är värt det. Som sägs i artikeln, någon miljon människor passerar spärrarna varje dygn och majoriteten klarar sig utmärkt. Hur många skador är vi beredda att acceptera?

Vem kunde tro att SL:s spärrar skulle vara så illustrativa?

Riskanalys à la MSB

I början av december i fjol släppte Myndigheten för samhällsskydd och beredskap (MSB) sitt ”Ramverk för informationssäkerhet” (ramverket verkar inte ha något annat officiellt namn). Det rapporterades på flera håll från intresserade. Från pressmeddelandet den 15 december:

Nu ska det bli lättare för kommuner, myndigheter och företag att arbeta systematiskt med informationssäkerhet i enlighet med internationella standarder.

Detta tack vare ett ramverk för informationssäkerhet som MSB har tagit fram tillsammans med Försvarsmakten, Försvarets materielverk (FMV), Försvarets radioanstalt (FRA), Post- och telestyrelsen (PTS) och Rikspolisstyrelsen/Säkerhetspolisen.

Guess what, det nya ramverket är den gamla trotjänaren ISO 27000 fast omskrivet i arton olika delar under sex rubriker.

 Detta är inte oväntat; i Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (pdf) (MSBFS 2009:10) hittar vi beslutet om att alla myndigheter måste följa ISO 27000-standarden:

6 §  En myndighets arbete enligt 4 och 5 §§ ska bedrivas i former enligt följande etablerade svenska standarder för informationssäkerhet;

–  Ledningssystem för informationssäkerhet – Krav (SS-ISO/IEC 27001:2006 fastställd 2006-01-19), och
–  Riktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005 fastställd 2005-08-12).

Ramverket syftar alltså till att underlätta myndigheternas efterlevnad.

Avundsjuk på Carl-Johans läsvärda (och underhållande) skärskådningar av annat material från MSB blev jag sugen på att titta ytterligare på ramverket. Till att börja med ska vi ta en titt på ”risk” under ”analysera”-rubriken; riskanalys (pdf).

Man inleder med att konstatera att riskanalyser ”används för att anpassa skyddet så att det passar verksamhetens informationstillgångar” och att det ”är ett brett område” med ”många metoder och teorier” men att metoden de beskriver uppfyller kraven i 27001-standarden.

Det viktiga i sammanhanget är att du, när analysen är genomförd; har en uppfattning om aktuella risker, om du behöver skydda dig, vilka skydd du redan har och, om de inte räcker, vilka skydd som behöver införas. Detta framgår av mallen i slutet av dokumentet.

Jag tycker inte att dokumentet är bra. Först och främst så tycker jag inte att den här metoden för att analysera säkerhetsrisker är effektiv. Att samla personal från olika delar av verksamheten så här och ha en workshop ger obetydlig nytta för besväret. Min erfarenhet är att det mesta som kommer fram under sådana här övningar är något som en specialist hade konstaterat och skrivit ner på tio minuter. Å andra sidan, kanske har jag varit en kass analysledare, vad vet jag.

Missuppfatta mig inte här, när det gäller verksamhetsrisker är det ett utmärkt sätt. Det kanske finns verksamhetsanalytiker där ute som inte håller med mig men gällande sådana risker är verksamheten en auktoritet. De vet vilka processer som är beroende av vilka andra, vilka som är nyckelpersoner, vilket verktyg det bara finns ett exemplar av, att det inte går att jobba om det börjar regna, etc.

Säkerhetsrisker verkar inte komma lika naturligt. Läs Schneiers essä om The Security Mindset och Ed Feltens kommentar till den. Men, åter till MSB:s dokument om riskanalys.

Kritik

(1) Dokumentet trivialiserar arbetet. Att tillförlitligt upptäcka och bedöma säkerhetshot är svårt. Mycket svårt. MSB framhåller istället basala detaljer som att ha post-it-lappar tillgängliga, att experter ska tala så att alla förstår och att ha god ventilation i rummet. Tydligen behöver man inte ens några ”större förkunskaper” medan ett gott råd är att bjuda på godis under analysen.

(2) Det man föreslår kommer att bli ett pappersmonster. Om bilaga A ska fyllas i för varje hot som en sådan analysgrupp tar fram kommer det att resultera i ett kompendium av uppskattningar multiplicerade med gissningar.

(3) De fördelaktiga bieffekter som föreslås komma av arbetsprocessen med riskanalyser är befängda. Att ”analysgruppen tar fram en realistisk bild av verkligheten” är inte en bieffekt av arbetsprocessen, det är en förutsättning. Samma sak gäller den s k bieffekten ”analysgruppen gör en realistisk och trovärdig värdering av riskerna”. Möjligen att ”verksamheten blir medvetna om hoten” men det förutsätter att något värdefullt kommer ut av arbetet och det är jag mer skeptisk till.

(4) Samtidigt som man inte nämner att sannolikhet är exceptionellt svårt att bedöma konstaterar man kallt att statistik är nödvändig information inför analysen. Information om var man hittar sådan hade varit betydligt värdefullare. Har ingen av myndigheterna som varit inblandade i framtagandet underlag?

(5) Förutom statistik anses ”allmänna hotbilder” vara fördelaktiga. Aber Natürlich men hur sammanställer man sådana? Det vore bra information men man hänvisar inte ens till dokument där Säkerhetspolisen, på ett föredömligt sätt, diskuterar sådant. Samma lösa hållning har man för övrigt till ”hotkataloger” som kan vara bra att ha ”i fickan som inspiration”. Är det bara jag som inte vet vad en hotkatalog är? Av allt att döma är det en parkerad, polsk domän.

 Hur kan man förutsätta att någon med tillgång till relevant statistik, allmänna hotbilder och aktuella hotkataloger behöver hjälp med god ventilation och godis?

(6) Framförallt är följande avsnitt väldigt talande gällande min inledande kritik om att riskanalyser som de beskrivs inte är ett bra sätt att identifiera säkerhetsrisker:

Det är viktigt att analysdeltagarna verkligen försöker beskriva hoten så att alla förstår. I stället för att skriva ”hacker” som ett hot bör man till exempel skriva ”en extern angripare hackar sig in i systemet x för att ta del av uppgifterna y”. Det blir då lättare att bedöma risken i kommande steg.

Hotet ”hacker” är givetvis värdelöst, det förstår även dokumentets författare. Jag förstår däremot inte hur deras alternativ, ”en extern angripare…”, ska hjälpa den som är ansvarig för systemet att upprätta ett skydd. Det kan betyda precis vad som helst och är bara ett tecken på att analysgruppen (a) inte vet hur attacker genomförs och, implicit, (b) inte vet hur man skyddar mot dem.

Det blir inte ”lättare att bedöma risken i kommande steg”. Den som är ansvarig för att skyddet implementeras kommer att få hotet i knäet (av en självgod analysledare gissar jag) och får sedan själv analysera vad ”hackar sig in i systemet” innebär. Det finns ju ett par olika sätt.

Faktumet att en hackare kanske kan försöka hacka sig in i systemet är så uppenbart att det inte behöver analyseras fram. Hur och om det skulle kunna gå till är däremot centralt. Jag får uppfattningen att analysledaren tror att de nu drog den viktiga slutsatsen att hackerskyddet på system x måste vara i läge ”på” för att inte bli av med uppgifterna y. Vilken tur, annars hade vi blivit hackade.

 Avslutningsvis

Nu har jag rejvat klart över MSB:s riskanalyser, tack för att ni stod ut med mig. Trevlig helg!

PS. Nej, jag garanterar att den sammansättning som föreslås i avsnitt 2.1 i dokumentet inte kommer att bryta ner ”hackar sig in i systemet” till den nivå som krävs för att kunna ta åtgärder mot det.

PPS. Det här betyder inte att Ramverk för informationssäkerhet är dåligt, bara att dess beskrivning av riskanalyser är det. Men å andra sidan, om du bara är intresserad av efterlevnad så är det ju tydligen ett godkänt sätt.

I början av december i fjol släppte Myndigheten för samhällsskydd och beredskap (MSB) sitt ”Ramverk för informationssäkerhet” (ramverket verkar inte ha något annat officiellt namn). Det rapporterades på alla håll och kanter. Från pressmeddelandet den 15 december:
Nu ska det bli lättare för kommuner, myndigheter och företag att arbeta systematiskt med informationssäkerhet i enlighet med internationella standarder.
Detta tack vare ett ramverk för informationssäkerhet som MSB har tagit fram tillsammans med Försvarsmakten, Försvarets materielverk (FMV), Försvarets radioanstalt (FRA), Post- och telestyrelsen (PTS) och Rikspolisstyrelsen/Säkerhetspolisen.
Guess what, det nya ramverket är den gamla trotjänaren ISO 27000 fast omskrivet i arton olika delar under sex rubriker.

Säkerheten i tunnelbanans spärrar

Stockholms lokaltrafik (SL) har under många år kämpat mot trafikanter som inte betalar för sin resa; i folkmun så kallade plankare. Det har på senare år (och tidigare år också antar jag) varit en kontinuerlig debatt om huruvida det ska kosta att åka kollektivt. Jag är inte här för att lägga några värderingar i det hela så vi skippar den biten.

Ekonomiska styrmedel
Vad som är mer intressant är vad SL gör för att förhindra plankning. Det mest kända motmedlet är förmodligen bötern eller tilläggsavgiften som det kallas när man blir tagen på bar gärning utan giltig biljett. År 2007 höjdes avgiften från 600 kr till 1200 kr. Böter är en form av ekonomiskt styrmedel som syftar till att plankare ska gå i förlust på sina aktiviteter och därför låta bli. Tanken är att en böter kostar mer än biljetten gör per månad och att det räcker med att åka dit en gång i månaden för att förlora på det.

Styrmedlet lider av ett par problem. Att bli ”tagen på bar gärning” innebär att en biljettkontrollant stoppar dig innanför spärrarna och ber dig visa din biljett, om du inte kan göra det får du ett inbetalningskort på 1200 spänn.

Problem #1: Det är inte särskilt vanligt med kontrollanter. Jag åker tunnelbana och buss varje vardag och har de senaste fem åren varit med om det två gånger. Andra gången hade det varit möjligt att undvika kontrollen helt. De flesta man pratar med verkar ha ungefär samma uppfattning.

Problem #2: Kontrollanterna har inga särskilda rättigheter. Majoriteten av den personal som arbetar som biljettkontrollanter har inte rätt att tvinga dig att visa din biljett eller att stoppa dig. Plankaren kan alltså i regel ignorera kontrollanten och lugnt promenera vidare.

Dessa två problem har tillsammans resulterat i att man, i det långa loppet, sparar pengar på att planka. Även om du har kolossal otur och åker på tre böter första månaden så kommer det att jämna ut sig över tiden (om biljettkontrollerna fortsätter som de gjort historiskt). Dock är 3600 kr i böter på en månad något som många inte kan hantera i väntan på att det ska löna sig på sikt. Lösningen på det här ”problemet” kom med P-kassan, en bötesfond skapad av organisationen Planka.nu. Som medlem betalar man 100 kr per månad till fonden och när man åker fast i en kontroll betalas boten med medel från fonden. (Den förväntande bötessumman per månad är alltså mindre än 100 kr.) På det här viset kan man som plankare kliva rakt in i ”det långa loppet” eftersom man delar risken med alla andra. Fonden går inte back på grund av de två problemen ovan. Om SL dessutom skulle få för sig att fördubbla mängden kontroller borde alltså P-kassan bara kunna fördubbla sin medlemsavgift.

Organisationen Planka.nu går dessutom ut med information som underlättar för plankare. Till exempel vilken personal som har rätt att göra vad i tunnelbanan och hur man passerar olika typer av spärrar. Vilket för oss till nästa motmedel.

Fysiska hinder
Alla som har åkt tunnelbana i Stockholm har förstås sett spärrarna längs spärrlinjen, grindar som bara kan passeras med en giltig biljett. Spärrarnas utseende är olika beroende på station och utvecklas förstås över tiden. Som sig bör inom säkerhet handlar det om en kapprustning.

Spärrlinjen ovan består av (vad vi här kallar) första generationens spärrar. Hindret är ett treben som bara snurrar inåt om en giltig biljett har dragits. Säkerhetshålet som utnyttjades mot dessa är att trebenet snurrar utåt utan vidare (för trafikanter som passerar ut från tunnelbanan). Genom att dra trebenet emot sig ett sjättedels varv bildas en lucka som man kan gå genom (pedagogisk illustration).

För att förhindra detta sattes en sensor upp i form av en fotocell på insidan av varje spärr. Trebenet går bara att snurra om fotocellen har brytits (vilket den gör naturligt av ens ben när man passerar ut genom spärren). Problemet var att fotocellen är lätt att nå med foten från utsidan, spärren kan sedan passeras på samma sätt som innan (ytterligare illustration).

SL gick till motattack och flyttade ut sensorerna så att de inte går att nå med foten, se bilden nedan.

Det naturliga sättet att ta sig förbi det nya hindret blir att ta sig över det genom att ta tag på sidorna och hoppa (illustration). Något som SL på vissa stationer försöker försvåra genom att sätta upp plåtar på spärrarna.

Det är dock möjligt för agila personer att hoppa över även dessa (illustration). Den senaste modellen av spärr har en viss Star Trek-känsla med glasdörrar som glider åt sidan.

 

Glasspärrarna är förstås inte immuna mot att hoppas över men det är nog tillräckligt bökigt för att vara tillräckligt avskräckande. Dessutom, om sensorerna på insidan bryts så att dörrarna öppnas kommer ett larm att tjuta om spärren passeras i fel riktning. (T ex om du släpper ner Metro på andra sidan så att fotocellerna bryts på insidan men passerar in från utsidan.) Detta larm är dock tillräckligt vanligt för att lida av samma problem som billarm har gjort i många år. Att larmet inte har någon egentlig effekt gör att tailgating är en genomförbar attack eftersom larmet ljuder även då. Så har dock inte alltid varit fallet, från början stängdes glasdörrarna fortare för att förhindra just tailgating. Detta ledde dock till att folk hamnade i kläm och tidsluckan fick därför ökas så att attacken möjliggjordes.

 

För den inbitne plankaren som inte är beredd att dra åt sig uppmärksamhet genom att klättra, tailgatea eller släppa en tidning på insidan finns det en annan lösning. Åk inte från stationer där dessa spärrar är uppsatta, eftersom de inte finns överallt kan man välja vilken säkerhetsnivå man är beredd att försöka passera. Åk från Hötorget istället för T-Centralen.

 

”Men, vad har tunnelbanan med något att göra egentligen?”, hör jag dig säga. Det är bra övning att fundera kring system på det här sättet, oavsett om systemet är en Exchange-server, kollektivtrafiken eller telefontävlingar.

Stefan Pettersson