Glasspärr-forensics
Kort uppföljning på förra posten om att bl a klättra över glasspärrarna. Det var ju inte riktigt läge att dokumentera attacken när den genomfördes, stämningen hade nog blivit obehaglig. Som tur är har jag studerat CISSP-kapitlet om forensics mycket noggrant och kan nu presentera exhibit A nedan. Det ser ut som att metoden inte är helt ovanlig.
--
Stefan Pettersson
Glasspärrarna: path of least resistance
Jag är ju rätt förtjust i SL:s arbete med att skydda mot plankare, har skrivit om spärrarna generellt, om SMS-biljetter och lite annat.
Stod och väntade på fästmön i tunnelbanan i veckan (de har nyligen satt upp glasdörrar där) och såg då två framgångsrikt genomförda "attacker":
Först kom en liten kille, bedömt 150 cm, klättrar upp på plåten mellan ingångarna och gränslar, med viss möda och anträngt ansiktsuttryck (hans ben var marginellt kortare än glaset var högt), glaset och hoppar ner på andra sidan. Inte så märkvärdigt.
Minuter senare kommer en postpubertal herre med mobiltelefon i örat, stannar upp när han inser att det är glasspärrar, säger något i telefonen och går bort till spärrvakten. "Hörru, öppna spärren", spärrvakten tittar upp från sin bok och ser förvånat på gossen. Gossen ifråga pekar hotfullt mot rutan, "Öppna. Spärren!". Spärrvakten rycker på axlarna och glasdörrarna far upp. Gosse återupptar samtalet i mobilen på vägen bort mot perrongen.
Det anmärkningsvärda här är inte att glasspärrarna inte fungerade. De fyllde faktiskt sin funktion strax innan mobiltelefonkillen dök upp när ett litet gäng efter en stunds förvånade blickar mot glasdörrarna plockade upp sina telefoner och beställde (eventuellt legitima) SMS-biljetter.
Det anmärkningsvärda är att de svårpasserade dörrarna ledde till att spärrvakten hamnade i en obehaglig situation.
Det här är ett vanligt fenomen när nya säkerhetsfunktioner införs, det klassiska exemplet är bilar som har blivit så svåra att stjäla när de är parkerade att de istället stjäls under vapenhot när föraren sitter i bilen. Det är inte orimligt att lägenhetsdörrar av plåt med flera låskolvar och ram i plåt leder till lägenhetsrån istället för lägenhetsinbrott.
Angripare följer minsta motståndets lag vilket egentligen bara är ett annat uttryck för konceptet "svagaste länken".
"Människan/användaren är svagaste länken" är en uppfattning som man gärna slänger sig med i våra kretsar, det är dock viktigt att respektera skillnaden mellan sårbarheten "klantig människa hjälper angripare" och "hotad människa hjälper angripare".
--
Stefan Pettersson
Stod och väntade på fästmön i tunnelbanan i veckan (de har nyligen satt upp glasdörrar där) och såg då två framgångsrikt genomförda "attacker":
Först kom en liten kille, bedömt 150 cm, klättrar upp på plåten mellan ingångarna och gränslar, med viss möda och anträngt ansiktsuttryck (hans ben var marginellt kortare än glaset var högt), glaset och hoppar ner på andra sidan. Inte så märkvärdigt.
Minuter senare kommer en postpubertal herre med mobiltelefon i örat, stannar upp när han inser att det är glasspärrar, säger något i telefonen och går bort till spärrvakten. "Hörru, öppna spärren", spärrvakten tittar upp från sin bok och ser förvånat på gossen. Gossen ifråga pekar hotfullt mot rutan, "Öppna. Spärren!". Spärrvakten rycker på axlarna och glasdörrarna far upp. Gosse återupptar samtalet i mobilen på vägen bort mot perrongen.
Det anmärkningsvärda här är inte att glasspärrarna inte fungerade. De fyllde faktiskt sin funktion strax innan mobiltelefonkillen dök upp när ett litet gäng efter en stunds förvånade blickar mot glasdörrarna plockade upp sina telefoner och beställde (eventuellt legitima) SMS-biljetter.
Det anmärkningsvärda är att de svårpasserade dörrarna ledde till att spärrvakten hamnade i en obehaglig situation.
Det här är ett vanligt fenomen när nya säkerhetsfunktioner införs, det klassiska exemplet är bilar som har blivit så svåra att stjäla när de är parkerade att de istället stjäls under vapenhot när föraren sitter i bilen. Det är inte orimligt att lägenhetsdörrar av plåt med flera låskolvar och ram i plåt leder till lägenhetsrån istället för lägenhetsinbrott.
Angripare följer minsta motståndets lag vilket egentligen bara är ett annat uttryck för konceptet "svagaste länken".
"Människan/användaren är svagaste länken" är en uppfattning som man gärna slänger sig med i våra kretsar, det är dock viktigt att respektera skillnaden mellan sårbarheten "klantig människa hjälper angripare" och "hotad människa hjälper angripare".
--
Stefan Pettersson
Trivial mognadsmodell för säkerhetsarbete
Det finns ett svar på den uråldriga frågan:
Hur kan vi jämföra vår egen säkerhetsnivå med våra konkurrenters utan att (1) kunna särskilt mycket om säkerhet generellt eller (2) ha detaljkunskaper om varken vårt eget eller deras säkerhetsarbete?
Jo, varje organisation som utför någon form av säkerhetsarbete faller i en av följande tre kategorier. Organisationen
Det är egentligen en stretch att kalla det här för en mognadsmodell... men sen sade jag ju också att den var trivial. Vi ignorerar förstås här faktumet att man kan vara olika bra inom respektive kategori. Det är inte det viktiga, det viktiga är att framhäva att det finns tre, grundläggande utvecklingsstadier.
Majoriteten, man kan nog säga "nästan alla" utan att skämmas, sitter och häckar i första kategorin. Synnerligen få befinner sig i den tredje, det rör sig nästan uteslutande om storbanker, militära organisationer och gigantiska företag (i Sverige Ericsson, Ikea, H&M och motsvarande).
I en värld av (det vi tydligen har kommit överens om att kalla) APT, d v s någon som har bestämt sig för att göra intrång hos just dig och inte tänker sluta försöka förrän det lyckas, blir kategori två och tre viktiga. Prevention eventually fails, som Richard Bejtlich säger.
...fast sannolikheten att du har en alldeles egen APT är ju ganska låg så du kan ju chansa.
In other news, den riskvilliga bocken i Gävle brann ner i fredags, i år igen, något som togs upp här för två år sedan ungefär.
--
Stefan Pettersson
Hur kan vi jämföra vår egen säkerhetsnivå med våra konkurrenters utan att (1) kunna särskilt mycket om säkerhet generellt eller (2) ha detaljkunskaper om varken vårt eget eller deras säkerhetsarbete?
Jo, varje organisation som utför någon form av säkerhetsarbete faller i en av följande tre kategorier. Organisationen
- försöker förhindra intrång och incidenter,
- förbereder sig på intrång och incidenter, eller
- försöker upptäcka intrång och incidenter.
Det är egentligen en stretch att kalla det här för en mognadsmodell... men sen sade jag ju också att den var trivial. Vi ignorerar förstås här faktumet att man kan vara olika bra inom respektive kategori. Det är inte det viktiga, det viktiga är att framhäva att det finns tre, grundläggande utvecklingsstadier.
Majoriteten, man kan nog säga "nästan alla" utan att skämmas, sitter och häckar i första kategorin. Synnerligen få befinner sig i den tredje, det rör sig nästan uteslutande om storbanker, militära organisationer och gigantiska företag (i Sverige Ericsson, Ikea, H&M och motsvarande).
I en värld av (det vi tydligen har kommit överens om att kalla) APT, d v s någon som har bestämt sig för att göra intrång hos just dig och inte tänker sluta försöka förrän det lyckas, blir kategori två och tre viktiga. Prevention eventually fails, som Richard Bejtlich säger.
...fast sannolikheten att du har en alldeles egen APT är ju ganska låg så du kan ju chansa.
In other news, den riskvilliga bocken i Gävle brann ner i fredags, i år igen, något som togs upp här för två år sedan ungefär.
--
Stefan Pettersson
Det finns ett svar på den uråldriga frågan:
Hur kan ni jämföra er egen säkerhetsnivå med era konkurrenters utan att (1) kunna särskilt mycket om säkerhet generellt eller (2) ha detaljkunskaper om varken ert eget eller deras säkerhetsarbete?
Jo, varje organisation som utför någon form av säkerhetsarbete faller i en av följande tre kategorier. Organisationen
Naturligtvis implicerar andra och tredje kategorin de föregående.
Det är egentligen en stretch att kalla det här för en mognadsmodell... men sen sade jag ju också att den var trivial. Vi ignorerar förstås här faktumet att man kan vara olika bra inom respektive kategori. Det är inte det viktiga, det viktiga är att framhäva att det finns tre, grundläggande utvecklingsstadier.
Majoriteten, man kan nog säga ”nästan alla” utan att skämmas, sitter och häckar i första kategorin. Synnerligen få befinner sig i den tredje, det rör sig nästan uteslutande om storbanker, militära organisationer och gigantiska företag (i Sverige Ericsson, Ikea, H&M och motsvarande).
I en värld av (det vi tydligen har kommit överens om att kalla) APT, d v s någon som har bestämt sig för att göra intrång hos just dig och inte tänker sluta försöka förrän det lyckas, blir kategori två och tre oundvikliga.
...fast sannolikheten att du har en alldeles egen APT är ju ganska låg så du kan ju chansa.
Hur kan ni jämföra er egen säkerhetsnivå med era konkurrenters utan att (1) kunna särskilt mycket om säkerhet generellt eller (2) ha detaljkunskaper om varken ert eget eller deras säkerhetsarbete?
Jo, varje organisation som utför någon form av säkerhetsarbete faller i en av följande tre kategorier. Organisationen
- försöker förhindra intrång och incidenter,
- förbereder sig på intrång och incidenter, eller
- försöker upptäcka intrång och incidenter.
Naturligtvis implicerar andra och tredje kategorin de föregående.
Det är egentligen en stretch att kalla det här för en mognadsmodell... men sen sade jag ju också att den var trivial. Vi ignorerar förstås här faktumet att man kan vara olika bra inom respektive kategori. Det är inte det viktiga, det viktiga är att framhäva att det finns tre, grundläggande utvecklingsstadier.
Majoriteten, man kan nog säga ”nästan alla” utan att skämmas, sitter och häckar i första kategorin. Synnerligen få befinner sig i den tredje, det rör sig nästan uteslutande om storbanker, militära organisationer och gigantiska företag (i Sverige Ericsson, Ikea, H&M och motsvarande).
I en värld av (det vi tydligen har kommit överens om att kalla) APT, d v s någon som har bestämt sig för att göra intrång hos just dig och inte tänker sluta försöka förrän det lyckas, blir kategori två och tre oundvikliga.
...fast sannolikheten att du har en alldeles egen APT är ju ganska låg så du kan ju chansa.