It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Tagg: tunnelbanespärrar

Säkerhetsutbildning och användare

Framsida på tidningen MetroNär Metro publicerade det här på förstasidan om att lära trafikanter att gå i spärrar var det svårt att motstå ett blogginlägg om att utbilda användare i säkerhet, så kallad security awareness training.

Det har ju varit en del bråk om just detta efter sommaren. Det började väl mer eller mindre med att Dave Aitel (Immunity) skrev en artikel för CSO i somras med rubriken Why you shouldn’t train employees for security awareness:

If there’s one myth in the information security field that just won’t die, it’s that an organization’s security posture can be substantially improved by regularly training employees in how not to infect the company.

[…]

Instead of spending time, money and human resources on trying to teach employees to be secure, companies should focus on securing the environment and segmenting the network. It’s a much better corporate IT philosophy that employees should be able to click on any link, open any attachment, without risk of harming the organization. Because they’re going to do so anyway, so you might as well plan for it.

Marcus Ranum uttryckte sig, som vanligt, härligt/syrligt någon gång när han sade något i stil med: ”We have trained users for about a decade now, it hasn’t worked very well”.

Samtidigt, självklart fungerar det att utbilda i säkerhet, om inte så hade Aitel och Ranum orsakat lika många incidenter som vanliga användare. Vilket jag antar att de inte gör.

Det går att lära folk att vara på sin vakt. Det är däremot inget att vila säkerheten på, Aitel är spot on när han skriver att användare behöver kunna klicka på vilken länk som helst, öppna vilken bifogad fil som helst utan att riskera att skada organisationen. De kommer att göra det i alla fall förr eller senare så du kan lika gärna förbereda dig på det.

Försök inte göra det mindre sannolikt att de gör något dumt, se till att det inte spelar så stor roll.

Det är förstås inte svart eller vitt. Det är högre ROI på att utbilda få användare som bryr sig än att försöka utbilda många användare som inte bryr sig. Framgång hänger också på hur ofta användare har användning för sina kunskaper. Ställ dig några frågor:

  1. Bryr de sig om vad jag utbildar i?
  2. Hur många är det som ska utbildas?
  3. Är det något de kommer att ha nytta av ofta?

Chansen att SL skulle ha någon framgång i att utbilda sina trafikanter är med andra ord ganska låg.

Det spelar ingen roll att det i teorin är superenkelt att gå genom en glasspärr: (1) vi vill inte behöva bry oss om hur vi gör, vi vill bara lägga kortet mot läsaren och gå framåt. (2) Dessutom är vi så många att SL får svårt att nå ut och (3) det händer nästan aldrig att man blir klämd, oftast går det alldeles utmärkt att inte tänka sig för.

Jag misstänker att ”användare” har motsvarande syn på bifogade filer.

Är du däremot en liten organisation (färre än tjugo?), har en hotbild och drivna medarbetare kanske det är förmånligare att utbilda dem än att låsa ner miljön och förbereda för incidenter.

Annonser

Säkerhet och säkerhet och spärrar

Svenska språket saknar engelskans motsvarighet till safety. Medan engelskan kan prata om car security för att mena säkerhet mot inbrott i och stöld av bilar (larm, rattlås o s v) kan de också prata om car safety för att mena säkerhet för bilens passagerare (bilbälte, airbag o s v).

I Sverige får vi nöja oss med bara ”säkerhet” tills vidare men vem vet, Svenska akademien kanske löser även det i framtiden.

Intressant är att security och safety inte sällan motverkar varandra. Skolexemplet är dörrar för utrymning av byggnader.

Utrymningsskylt

I syfte att skydda byggnaden är det inte alls en bra idé att sätta upp utrymningsdörrar och spiraltrappor eftersom de är utmärkta vägar in för t ex inbrottstjuvar. I syfte att skydda människor vid brand däremot… Med dörrar kommer man sedan in på detaljer som att det ska vara lätt att öppna dörren vid brand men svårt annars.

DN körde en artikel här om dagen om hur SL:s glasspärrar ibland är farliga:

När tunnelbanespärren smällde igen om Anna Fredriksson fick hon blåmärken på ryggen och ett blödande jack ovanför ögat. ”SL:s krig mot plankarna leder till att vanliga resenärer bokstavligen kommer i kläm”, säger Mikael Sundström, ordförande i Kollektivtrafikant Stockholm.

Det är viktigt att ta hänsyn till sådana omständigheter när man designar säkerhetslösningar, det är lätt att ökad security innebär minskad safety eller vice versa. Det här är en av anledningarna till att ställa sig frågan ”Vilka andra risker introduceras?” när man utvärderar en säkerhetsmekanism. Jag har tagit upp detta tidigare i samband med ett inlägg om att ha reservnycklar hos larmbolaget.

Som vanligt är det extremt svårt att avgöra om svaret på frågan är värt det. Som sägs i artikeln, någon miljon människor passerar spärrarna varje dygn och majoriteten klarar sig utmärkt. Hur många skador är vi beredda att acceptera?

Vem kunde tro att SL:s spärrar skulle vara så illustrativa?

Response vid plankning

Ni har säkert hört talas om prevention, detection och response; kategorier som säkerhetskontroller kan sorteras i. Personligen lägger jag till ett par kategorier men dessa tre är de vanligt förekommande.

Glasspärrarna är att betrakta som prevention. Tjutandet som uppstår när någon piggybackar (följer efter någon in) eller någon på insidan öppnar för någon på utsidan faller under detection. Cirkeln har nu slutits ty response finns tydligen också med. På en station längs gröna linjen finns en ganska lång rulltrappa innanför spärrarna som leder upp till perrongen. Detta är hittills obekräftat (jag har inte sett det själv) men en av spärrvakterna har tydligen för vana att stänga av sagd rulltrappa när någon klättrar över glasspärrarna. Plankaren får då gå upp för den stillstående rulltrappan. Trist.


Glasspärr-forensics

Kort uppföljning på förra posten om att bl a klättra över glasspärrarna. Det var ju inte riktigt läge att dokumentera attacken när den genomfördes, stämningen hade nog blivit obehaglig. Som tur är har jag studerat CISSP-kapitlet om forensics mycket noggrant och kan nu presentera exhibit A nedan. Det ser ut som att metoden inte är helt ovanlig.

 

Stefan Pettersson

Glasspärrarna: path of least resistance

Jag är ju rätt förtjust i SL:s arbete med att skydda mot plankare, har skrivit om spärrarna generellt, om SMS-biljetter och lite annat.

Stod och väntade på fästmön i tunnelbanan i veckan (de har nyligen satt upp glasdörrar där) och såg då två framgångsrikt genomförda ”attacker”:

Först kom en liten kille, bedömt 150 cm, klättrar upp på plåten mellan ingångarna och gränslar, med viss möda och anträngt ansiktsuttryck (hans ben var marginellt kortare än glaset var högt), glaset och hoppar ner på andra sidan. Inte så märkvärdigt.

Minuter senare kommer en postpubertal herre med mobiltelefon i örat, stannar upp när han inser att det är glasspärrar, säger något i telefonen och går bort till spärrvakten. ”Hörru, öppna spärren”, spärrvakten tittar upp från sin bok och ser förvånat på gossen. Gossen ifråga pekar hotfullt mot rutan, ”Öppna. Spärren!”. Spärrvakten rycker på axlarna och glasdörrarna far upp. Gosse återupptar samtalet i mobilen på vägen bort mot perrongen.

Det anmärkningsvärda här är inte att glasspärrarna inte fungerade. De fyllde faktiskt sin funktion strax innan mobiltelefonkillen dök upp när ett litet gäng efter en stunds förvånade blickar mot glasdörrarna plockade upp sina telefoner och beställde (eventuellt legitima) SMS-biljetter.

Det anmärkningsvärda är att de svårpasserade dörrarna ledde till att spärrvakten hamnade i en obehaglig situation.

Det här är ett vanligt fenomen när nya säkerhetsfunktioner införs, det klassiska exemplet är bilar som har blivit så svåra att stjäla när de är parkerade att de istället stjäls under vapenhot när föraren sitter i bilen. Det är inte orimligt att lägenhetsdörrar av plåt med flera låskolvar och ram i plåt leder till lägenhetsrån istället för lägenhetsinbrott.

Angripare följer minsta motståndets lag vilket egentligen bara är ett annat uttryck för konceptet ”svagaste länken”.

”Människan/användaren är svagaste länken” är en uppfattning som man gärna slänger sig med i våra kretsar, det är dock viktigt att respektera skillnaden mellan sårbarheten ”klantig människa hjälper angripare” och ”hotad människa hjälper angripare”.


Stefan Pettersson

Säkerheten i SL:s SMS-biljetter

Förvarning: det här inlägget rusade ur händerna på mig och blev lite för omfattande. Sorry.

Jag har sedan inlägget om säkerheten i SL:s spärrar (och uppföljarna om tilläggsavgiften och glasspärrarna) funderat på att skriva om problemen med SMS-biljetterna men inte kommit mig för. Nu är det dock dags.

I september 2010 släppte SL Lägesrapport fusk och svinn (pdf), se screenshot nedan. Där framgår att 4,62 % av alla resor är plankade och att detta innebär ett intäktsbortfall på 314,3 miljoner kronor per år. Intressant är också observationen att många plankare bara handlar rationellt. Som jag skrev i första posten om spärrar; med hänsyn taget till tilläggsavgiften, risken att bli kontrollerad och resmönster så är det för somliga helt enkelt värt det.

Vidare framgår det att omkring 10 % av fusket utgörs av ”förfalskade eller felaktiga SMS-biljetter”. Den verkliga andelen är sannolikt högre då man får anta att en del hellre säger att de inte har någon biljett alls.

SMS-biljetter
Det finns en fundamental motsättning i designkraven för SMS-biljetter: (1) de ska vara billiga att massproducera, att skicka femton biljetter eller femton tusen biljetter ska inte innebära någon stor skillnad i pris (för SL). Samtidigt ska de (2) vara omöjliga att kopiera för slutanvändarna. Att en biljett bara består av en liten mängd digitala data uppfyller det första kravet men har samtidigt goda förutsättningar att fullständigt trasha det andra.

Hur kommer det sig? Jo, det fanns ett tredje krav; (3) en spärrvakt ska kunna verifiera biljetten endast genom att titta på den. Utseendet har ändrats flera gånger sen introduktionen men idag ser biljetterna ut så här:

Det tredje kravet gör att allt faller. Detta är enkelt att förvissa sig om, ett simpelt exempel är replay attacks. En spärrvakt har inga möjligheter att avgöra om en biljett har passerat tidigare med mindre än att denne memorerar varje visad biljett. Du köper en biljett, jag skapar en identisk kopia av din biljett, du visar din biljett för spärrvakten, ger denne tio sekunder att glömma och sedan passerar jag.

En annan, vanligare, attack har visat sig vara att skapa biljetter som bara är tillräckligt lika de riktiga. Den vänstra biljetten ovan är äkta medan den högra biljetten är förfalskad. Förfalskningen är inte ens ett riktigt SMS utan bara ett screenshot av ett. (Webbsidorna där dessa kan hämtas verkar flytta runt regelbundet då de blir avstängda efter ett tag. Den ovan är från slsms.300mb.us.)

För att kunna göra en trovärdig förfalskning måste man veta vilka detaljer en spärrvakt, busschaufför eller kontrollant studerar. Egentligen kan det vara vad som helst, t ex att slutsiffran på första raden stämmer överens med slutsiffran i avsändarnumret. Det skulle också kunna vara att kontrollanten vet att dagens biljetter måste ha kombinationen ”C03” efter timme och minut i teckenkombinationen, med mera. Det kan förstås vara en kombination av flera.

(Notera förresten att avsändarnumret inte går att lita på då det är telefonägaren som bestämmer vilket namn (eller nummer) som visas eftersom det hämtas från adressboken.)

Genom att studera hur biljettkoderna är uppbyggda kan man förfina förfalskningen. En hel del arbete har gjorts på det här tidigare, t ex det här från Reklamerad och Malako på Flashback-forumet. Eftersom det är möjligt att probe:a systemet genom att begära olika biljetter från olika telefoner vid olika tidpunkter och jämföra resultatet kan man behandla systemet som en svart låda.

Lösningsförslag
Nu är jag ute på djupt vatten, att designa säkra protokoll är inget man gör framför datorn, på egen hand, medan man bloggar, i realtid, utan djupare erfarenhet. Texten nedan är väl inte så strukturerad och genomtänkt som jag önskat. Jag tar inget ansvar för det här… Men, det är ju för skojs skull. 🙂

Om ett system med SMS-biljetter ska vara pålitligt måste det finnas något i systemet som vi med mobiltelefonerna inte kan påverka.

Man skulle kunna välja att gå en väg med delade kryptonycklar och MAC:ar av biljettinformationen men förmodligen kommer man då att få lösa samma problem som Kerberos har fått kämpa med genom åren. Dessutom bygger Kerberos på att du som användare inte vill att andra ska använda din identitet. Något som inte gäller i kollektivtrafiken…

En (konceptuellt) enklare lösning skulle vara att som biljett skicka ett slumpmässigt serienummer. Vakter, chaufförer och kontrollanter har möjlighet att fråga en central databas om serienumret finns och i s f vilken sorts biljett den motsvarar och utifrån detta avgöra om personen får åka. Eftersom biljettens nummer inte har någon korrelation till vad det är för biljett och trafikanten inte har tillgång till databasen kan den inte förfalskas. Förutsatt att serienumren inte är förutsägbara.

Metoden har dock problem med replay-attacker, efter att den har använts kan man ”dela med sig” av sin biljett. En lösning på detta kan vara att invalidera den efter att man passerat spärrlinjen så att kopior kan upptäckas. Det här innebär förstås problem när man ska byta trafikslag, biljetten har ju invaliderats. Det kanske skulle kunna lösas genom att man kan begära nya biljetter efterhand man byter:

  1. Köper biljett på T-centralen.
  2. Spärrvakt kontrollerar den.
  3. Biljett invalideras.
  4. Begär ny biljett.
  5. Byter till buss i Fridhemsplan.
  6. Biljetten invalideras.

Nya biljetter kan bara begäras utan kostnad under den tid som den ursprungliga biljetten är giltig därefter får du betala för en ny ”biljettperiod”. Tyvärr leder det här till en ny attack:

  1. Köper biljett.
  2. Busschaufför kontrollerar den.
  3. Biljetten invalideras.
  4. Begär ny biljett, skickar numret till en kumpan.
  5. Busschaufför (eventuellt på annan buss) kontrollerar den.
  6. Biljett invalideras.

Hur binder vi biljetten till mig så att jag inte kan dela med mig? Svaret är nog att det är mycket svårt eller skulle leda till ett extremt komplicerat system. (Det är alltid jobbigt när personer ska identifieras.) Vi kanske kan nöja oss med att binda biljetten till SIM-kortet?

Våra förutsättningar är redan ganska goda. När man begär en ”ny biljett” efter att den initiala har invaliderats måste ju systemet verifera att du har en giltig biljettperiod. Av användbarhetsskäl borde denna kontroll ske med biljettköparens telefonnummer som nyckel i databasen, annars skulle denne vara tvungen att skicka med det initiala serienumret och det verkar jobbigt.

Vakten kan alltså genom att kolla på ditt serienummer på din biljett ta reda på vilket telefonnummer som begärde det serienumret. Så, om du, som i föregående attack, fick en kopia av din kompis förnyade biljett kan vakten se att du försöker lura systemet. Biljetten du har begärdes ju av någon annans telefonnummer.

Tyvärr kan man inte se på en telefon vilket nummer den har. Vakten kan ju naturligtvis inte heller lita på vad trafikanten ifråga säger, det kan ju vara en bov. Vad sägs om att ett nytt SMS skickas till biljettens registrerade telefonnummer när serienumret verifieras? Alltså, som vakt, när du kontrollerar någons biljettnummer mot systemet borde det direkt efteråt dyka upp ett nytt SMS, ett verifikationsmeddelande, på telefonen. Om inte så kan det bero på att det är en kopia av någon annan telefons biljettnummer och då dök meddelandet upp på den istället.

Vidare kan man argumentera för att det här verifikationsmeddelandet måste vara svårt att förfalska, annars kan jag ha en telefon i fickan med vilken jag skickar ett sådant till telefonen som visas för kontrollanten. Oh my… är det inte intressant hur sådana här säkerhetsprotokoll blir mer och mer komplicerade ju mer man tänker på det? 🙂 Jag slutar här.

Det finns flera övergripande problem med det här dock. Ibland kommer SMS inte fram direkt av olika anledningar, kan en kontrollant hålla kvar en trafikant i spärren? (Nej.) Dessutom kommer alla vakter, bussförare och kontrollanter behöva en läsare av någon form som har uppkoppling mot den centrala servern. Blir det för dyrt? Vidare finns problemet med pålitlig enhet, kan SL:s personal överhuvudtaget lita på den telefon som trafikanten håller i handen?

Avslutningsvis
Gör inte misstaget att tro att SMS-biljetterna är som de är för att SL inte vet vad de sysslar med. Systemet togs nog fram i all hast i samband med att kontanthanteringen förbjöds. Att ta fram ett system där biljetter kan verifieras on-line är tidsödande, inte minst för att det kräver läsare med kommunikation till alla som ska verifiera biljetter. Det är till och med sannolikt att systemet redan fungerar så här i viss utsträckning men att det bara är kontrollanter som kan göra kontrollen (deras dosor gör ju nånting).


Stefan Pettersson

SL-spärrar igen: se till hela systemet

Inlägget Säkerheten i tunnelbanans spärrar har hittills varit det mest populära på den här bloggen (besökantalet var omkring 20 gånger högre just den dagen…). Nu har ämnet avhandlats i media ännu en gång, närmare bestämt i City från 2010-08-26 (PDF finns att ladda ner) under rubriken ”Det är lättare att planka än någonsin”.

Artikeln handlar förstås om SL:s 25-miljonerssatsning på de höga glasspärrarna; Christian Tengblad från planka.nu säger att glasspärrarna har gjort det enklare att planka än tidigare. SL:s ordförande Christer G Wennerholm håller inte med utan har uppfattningen att ”det är mycket svårare att planka med de nya dörrarna, eftersom man inte kan hoppa över dem, som med de gamla”.

Nonsens, det finns inget ett-till-ett-förhållande mellan att hoppa över och att planka, det går uppenbarligen utmärkt att planka utan att hoppa över. Det är inte överhoppandet SL vill stoppa det är plankningen. Man måste ta av sig toalettpappersrulleglasögonen om man ska försöka hindra någon från att göra något. Man måste se till hela systemet annars blir det lätt ”företaget är säkert för man kan inte längre använda SQL injection på den och den applikationen”. Nonsens!

For the record, vad jag skrev om glasspärrarna i första inlägget från i våras:

Glasspärrarna är förstås inte immuna mot att hoppas över men det är nog tillräckligt bökigt för att vara tillräckligt avskräckande. Dessutom, om sensorerna på insidan bryts så att dörrarna öppnas kommer ett larm att tjuta om spärren passeras i fel riktning. (T ex om du släpper ner Metro på andra sidan så att fotocellerna bryts på insidan men passerar in från utsidan.) Detta larm är dock tillräckligt vanligt för att lida av samma problem som billarm har gjort i många år. Att larmet inte har någon egentlig effekt gör att tailgating är en genomförbar attack eftersom larmet ljuder även då. Så har dock inte alltid varit fallet, från början stängdes glasdörrarna fortare för att förhindra just tailgating. Detta ledde dock till att folk hamnade i kläm och tidsluckan fick därför ökas så att attacken möjliggjordes.

Om man kan stå ut med pinsamheten i att larmet ljuder alternativt att gå väldigt nära andra resenärer som precis har dragit kortet är man hemma.


Stefan Pettersson

Säkerheten i tunnelbanans spärrar

Stockholms lokaltrafik (SL) har under många år kämpat mot trafikanter som inte betalar för sin resa; i folkmun så kallade plankare. Det har på senare år (och tidigare år också antar jag) varit en kontinuerlig debatt om huruvida det ska kosta att åka kollektivt. Jag är inte här för att lägga några värderingar i det hela så vi skippar den biten.

Ekonomiska styrmedel
Vad som är mer intressant är vad SL gör för att förhindra plankning. Det mest kända motmedlet är förmodligen bötern eller tilläggsavgiften som det kallas när man blir tagen på bar gärning utan giltig biljett. År 2007 höjdes avgiften från 600 kr till 1200 kr. Böter är en form av ekonomiskt styrmedel som syftar till att plankare ska gå i förlust på sina aktiviteter och därför låta bli. Tanken är att en böter kostar mer än biljetten gör per månad och att det räcker med att åka dit en gång i månaden för att förlora på det.

Styrmedlet lider av ett par problem. Att bli ”tagen på bar gärning” innebär att en biljettkontrollant stoppar dig innanför spärrarna och ber dig visa din biljett, om du inte kan göra det får du ett inbetalningskort på 1200 spänn.

Problem #1: Det är inte särskilt vanligt med kontrollanter. Jag åker tunnelbana och buss varje vardag och har de senaste fem åren varit med om det två gånger. Andra gången hade det varit möjligt att undvika kontrollen helt. De flesta man pratar med verkar ha ungefär samma uppfattning.

Problem #2: Kontrollanterna har inga särskilda rättigheter. Majoriteten av den personal som arbetar som biljettkontrollanter har inte rätt att tvinga dig att visa din biljett eller att stoppa dig. Plankaren kan alltså i regel ignorera kontrollanten och lugnt promenera vidare.

Dessa två problem har tillsammans resulterat i att man, i det långa loppet, sparar pengar på att planka. Även om du har kolossal otur och åker på tre böter första månaden så kommer det att jämna ut sig över tiden (om biljettkontrollerna fortsätter som de gjort historiskt). Dock är 3600 kr i böter på en månad något som många inte kan hantera i väntan på att det ska löna sig på sikt. Lösningen på det här ”problemet” kom med P-kassan, en bötesfond skapad av organisationen Planka.nu. Som medlem betalar man 100 kr per månad till fonden och när man åker fast i en kontroll betalas boten med medel från fonden. (Den förväntande bötessumman per månad är alltså mindre än 100 kr.) På det här viset kan man som plankare kliva rakt in i ”det långa loppet” eftersom man delar risken med alla andra. Fonden går inte back på grund av de två problemen ovan. Om SL dessutom skulle få för sig att fördubbla mängden kontroller borde alltså P-kassan bara kunna fördubbla sin medlemsavgift.

Organisationen Planka.nu går dessutom ut med information som underlättar för plankare. Till exempel vilken personal som har rätt att göra vad i tunnelbanan och hur man passerar olika typer av spärrar. Vilket för oss till nästa motmedel.

Fysiska hinder
Alla som har åkt tunnelbana i Stockholm har förstås sett spärrarna längs spärrlinjen, grindar som bara kan passeras med en giltig biljett. Spärrarnas utseende är olika beroende på station och utvecklas förstås över tiden. Som sig bör inom säkerhet handlar det om en kapprustning.

Spärrlinjen ovan består av (vad vi här kallar) första generationens spärrar. Hindret är ett treben som bara snurrar inåt om en giltig biljett har dragits. Säkerhetshålet som utnyttjades mot dessa är att trebenet snurrar utåt utan vidare (för trafikanter som passerar ut från tunnelbanan). Genom att dra trebenet emot sig ett sjättedels varv bildas en lucka som man kan gå genom (pedagogisk illustration).

För att förhindra detta sattes en sensor upp i form av en fotocell på insidan av varje spärr. Trebenet går bara att snurra om fotocellen har brytits (vilket den gör naturligt av ens ben när man passerar ut genom spärren). Problemet var att fotocellen är lätt att nå med foten från utsidan, spärren kan sedan passeras på samma sätt som innan (ytterligare illustration).

SL gick till motattack och flyttade ut sensorerna så att de inte går att nå med foten, se bilden nedan.

Det naturliga sättet att ta sig förbi det nya hindret blir att ta sig över det genom att ta tag på sidorna och hoppa (illustration). Något som SL på vissa stationer försöker försvåra genom att sätta upp plåtar på spärrarna.

Det är dock möjligt för agila personer att hoppa över även dessa (illustration). Den senaste modellen av spärr har en viss Star Trek-känsla med glasdörrar som glider åt sidan.

 

Glasspärrarna är förstås inte immuna mot att hoppas över men det är nog tillräckligt bökigt för att vara tillräckligt avskräckande. Dessutom, om sensorerna på insidan bryts så att dörrarna öppnas kommer ett larm att tjuta om spärren passeras i fel riktning. (T ex om du släpper ner Metro på andra sidan så att fotocellerna bryts på insidan men passerar in från utsidan.) Detta larm är dock tillräckligt vanligt för att lida av samma problem som billarm har gjort i många år. Att larmet inte har någon egentlig effekt gör att tailgating är en genomförbar attack eftersom larmet ljuder även då. Så har dock inte alltid varit fallet, från början stängdes glasdörrarna fortare för att förhindra just tailgating. Detta ledde dock till att folk hamnade i kläm och tidsluckan fick därför ökas så att attacken möjliggjordes.

 

För den inbitne plankaren som inte är beredd att dra åt sig uppmärksamhet genom att klättra, tailgatea eller släppa en tidning på insidan finns det en annan lösning. Åk inte från stationer där dessa spärrar är uppsatta, eftersom de inte finns överallt kan man välja vilken säkerhetsnivå man är beredd att försöka passera. Åk från Hötorget istället för T-Centralen.

 

”Men, vad har tunnelbanan med något att göra egentligen?”, hör jag dig säga. Det är bra övning att fundera kring system på det här sättet, oavsett om systemet är en Exchange-server, kollektivtrafiken eller telefontävlingar.

Stefan Pettersson