SL-spärrar igen: se till hela systemet
Inlägget Säkerheten i tunnelbanans spärrar har hittills varit det mest populära på den här bloggen (besökantalet var omkring 20 gånger högre just den dagen...). Nu har ämnet avhandlats i media ännu en gång, närmare bestämt i City från 2010-08-26 (PDF finns att ladda ner) under rubriken "Det är lättare att planka än någonsin".
Artikeln handlar förstås om SL:s 25-miljonerssatsning på de höga glasspärrarna; Christian Tengblad från planka.nu säger att glasspärrarna har gjort det enklare att planka än tidigare. SL:s ordförande Christer G Wennerholm håller inte med utan har uppfattningen att "det är mycket svårare att planka med de nya dörrarna, eftersom man inte kan hoppa över dem, som med de gamla".
Nonsens, det finns inget ett-till-ett-förhållande mellan att hoppa över och att planka, det går uppenbarligen utmärkt att planka utan att hoppa över. Det är inte överhoppandet SL vill stoppa det är plankningen. Man måste ta av sig toalettpappersrulleglasögonen om man ska försöka hindra någon från att göra något. Man måste se till hela systemet annars blir det lätt "företaget är säkert för man kan inte längre använda SQL injection på den och den applikationen". Nonsens!
For the record, vad jag skrev om glasspärrarna i första inlägget från i våras:
Glasspärrarna är förstås inte immuna mot att hoppas över men det är nog tillräckligt bökigt för att vara tillräckligt avskräckande. Dessutom, om sensorerna på insidan bryts så att dörrarna öppnas kommer ett larm att tjuta om spärren passeras i fel riktning. (T ex om du släpper ner Metro på andra sidan så att fotocellerna bryts på insidan men passerar in från utsidan.) Detta larm är dock tillräckligt vanligt för att lida av samma problem som billarm har gjort i många år. Att larmet inte har någon egentlig effekt gör att tailgating är en genomförbar attack eftersom larmet ljuder även då. Så har dock inte alltid varit fallet, från början stängdes glasdörrarna fortare för att förhindra just tailgating. Detta ledde dock till att folk hamnade i kläm och tidsluckan fick därför ökas så att attacken möjliggjordes.
Om man kan stå ut med pinsamheten i att larmet ljuder alternativt att gå väldigt nära andra resenärer som precis har dragit kortet är man hemma.
--
Stefan Pettersson
Artikeln handlar förstås om SL:s 25-miljonerssatsning på de höga glasspärrarna; Christian Tengblad från planka.nu säger att glasspärrarna har gjort det enklare att planka än tidigare. SL:s ordförande Christer G Wennerholm håller inte med utan har uppfattningen att "det är mycket svårare att planka med de nya dörrarna, eftersom man inte kan hoppa över dem, som med de gamla".
Nonsens, det finns inget ett-till-ett-förhållande mellan att hoppa över och att planka, det går uppenbarligen utmärkt att planka utan att hoppa över. Det är inte överhoppandet SL vill stoppa det är plankningen. Man måste ta av sig toalettpappersrulleglasögonen om man ska försöka hindra någon från att göra något. Man måste se till hela systemet annars blir det lätt "företaget är säkert för man kan inte längre använda SQL injection på den och den applikationen". Nonsens!
For the record, vad jag skrev om glasspärrarna i första inlägget från i våras:
Glasspärrarna är förstås inte immuna mot att hoppas över men det är nog tillräckligt bökigt för att vara tillräckligt avskräckande. Dessutom, om sensorerna på insidan bryts så att dörrarna öppnas kommer ett larm att tjuta om spärren passeras i fel riktning. (T ex om du släpper ner Metro på andra sidan så att fotocellerna bryts på insidan men passerar in från utsidan.) Detta larm är dock tillräckligt vanligt för att lida av samma problem som billarm har gjort i många år. Att larmet inte har någon egentlig effekt gör att tailgating är en genomförbar attack eftersom larmet ljuder även då. Så har dock inte alltid varit fallet, från början stängdes glasdörrarna fortare för att förhindra just tailgating. Detta ledde dock till att folk hamnade i kläm och tidsluckan fick därför ökas så att attacken möjliggjordes.
Om man kan stå ut med pinsamheten i att larmet ljuder alternativt att gå väldigt nära andra resenärer som precis har dragit kortet är man hemma.
--
Stefan Pettersson
Kommentarer
Postat av: Martin da Fonseca
Helt rätt analys.
Jag kommer att anta att SL:s ordförande blev felciterad, då hans uttalande känns väldigt ogenomtänkt. Tyvärr är inte det snedvridna synsättet på säkerhetsdesign helt ovanligt. Ofta så ser jag att man kravställer utifrån fel perspektiv.
Postat av: Stefan Pettersson
Får väl hålla med om att citatet förmodligen är lite missvisande. Det händer ju regelbundet:
http://highperformance.blogg.se/2010/march/trakigt-for-symantec.html
:-)
Trackback
