Offentlige IT-slagskibe

Der er to nyheder i strømmen idag, som begge handler om manglende fantasi.

I den ene ende har vi NemID der tilsyneladende kører på et aflagt 28.8 modem og en 286 PC som ingen nogensinde kunne forestille sig ville blive DOS'et.

På den anden side har vi en uauthenticeret upload til flyvemaskiner.

Moderne togmateriel lider af en tilsvarende skavank: Sæt et stik i koblingsmekanismen, send den en protokol-besked der siger "jeg er et lokomotiv som nogen har sat en nøgle i" og du er klar til at rulle. Lav eventuelt et langt kabel og send beskeden "åben døren" så du kan sidde i tørvejr.

AIS systemet for skibsfart er ligeledes et "best effort" system. Hvis jeg gad rigge udstyret sammen, kunne jeg få 2 cubanske skibe med atomaffald og et hangarskib ved navn "USS Monica Levinsky" til at sejle rundt i Sorø Sø, på alle AIS modtagere omkring Sjælland.

Sikkerhed er altid en afvejning.

Vores postkasser er ikke bygget af 3" panserstål så de kan modstå at blive tromlet ned af lastvogne, selvom mange postkasser nedlægges på den vis.

På den anden side er det ikke acceptabelt hvis menneskeliv bringes i fare fordi klaphatte designer datakommunikation.

NemID er dumt lavet, på alle mulige måder.

Hvis det var lavet rigtigt, ville danskerne ikke være tvunget til at køre det 3. mest buggy stykke software på nettet for at melde deres børn i dagpleje.

Hvis NemID var lavet rigtigt kunne servicen distribueres, så hospitalers lokale nemid server lod lægerne gøre deres arbejde også når script-kiddies leger.

Begge dele har sit udspring i en mangel på fantasi som er nærmest kronisk i offentlige IT projekter.

Skat bruger f.eks millioner på at dimensionere deres system så de kan klare at alle danskerne, pisket af medierne, logger ind for at se deres skatteopgørelse samtidig.

Med et minimum af fantasi fik man sin skatteopgørelse på sin fødselsdag, så ville Skats kapacitetsproblem kun være 0.3% af hvad det er idag.

Situationen er ikke helt ulig militærmaritim strategisk tænkning for 100 år siden.

Det handlede om slagskibe og stort set kun om slagskibe, ikke mindst takket være det episke søslag ud for Jylland i 1916.

I anden halvleg opdagede man at nogle bambusstænger, lidt lærred, en motor og en propel kunne tage et slagskib ud og de gik af mode hurtigere end Macarena.

Det er en offentlig kendt sandhed, at hangarskibe idag er tilsvarende sårbare, de har ganske vidst et omfattende "anti-aircraft" forsvar, men intet der kan forsvare dem imod en mellemdistance raket der kommer ned ovenfra.

Skandalen med DOSangrebet på NemID er ikke at det kun koster $10 at lægge NemID ned.

Skandalen er at ingen af de mange, der efter sigende har været ind over kvalitetskontrollen af NemID, havde fantasi til at bruge $10 på opgaven.

Men jeg er sikker på at USAnske admiraler var i samme situation: Der var heller ingen af deres specialister der havde spurgt brdr. Wright eller Charles Lindberg hvad man kunne gøre ved et slagskib fra et fly.

phk

Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars K. Hansen

Hvordan ser dit ønske setup ud PHK? Jeg spørger af ren nysgerrighed da du jo gentagne gange har bevist at du ikke er "tabt bag en computer vogn".

Er der nogen i den vide verden som har bygget noget, som du ville føle dig tryg ved at bruge OG som hr. og fru Danmark også kan bruge?

  • 4
  • 2
Jesper Larsen

"Men jeg er sikker på at USAnske admiraler var i samme situation: Der var heller ingen af deres specialister der havde spurgt brdr. Wright eller Charles Lindberg hvad man kunne gøre ved et slagskib fra et fly."

Nej, men der var faktisk en general ved navn Billy Mitchell som tidligt lavede forsøg og højlydt argumenterede for at satse på hangarskibe og fly i stedet for slagskibe. Han arrangerede faktisk i 1921 forsøg med at bombe skibe fra fly. Se:

http://en.wikipedia.org/wiki/Billy_Mitchell

At han så blev hældt ud af hæren for sine synspunkter nogle år senere er en anden sag (fordi han karakteriserede det som forræderi at man satsede på slagskibe i stedet for fly og hangarskibe).

  • 10
  • 0
Maciej Szeliga

Begge dele har sit udspring i en mangel på fantasi som er nærmest kronisk i offentlige IT projekter.

How... ikke at jeg er uenig med dig men det er jo ikke kun offentlige IT projekter der har det her problem.
Næsten alle steder hvor det er noget som enten "er smart", skal være billigst muligt eller have højest mulig profit lider sikkerheden, det er ret konsekvent.

  • 3
  • 0
Jesper Lund Stocholm

Hej Poul-Henning,

Det er et pisse-godt indlæg du her har skrevet. Det er underfundigt, tankevækkende og inspirerende - virkeligt i den klasse af indlæg, som du skriver bedst.

:o)

PS: Til alle klik-lidderlige down-voters: det er intet sarkastisk i ovenstående.

  • 11
  • 0
Jesper Lund Stocholm

klik-lidderlige

OT Jesper, men er der ikke stavekontrol i din browser - det staves liderlig.


Joeh ... men det stritter mig meget imod at stave det med kun ét "d". Det udtales jo på samme måde som "ridder" og "sidder" (synes jeg i hvert fald), så lige netop her fejler jeg nogle gange.

Konkret brokkede min browser sig over både "klik" og "lidderlige", så da det ene brok var forkert antog jeg også, at det andet var.

Jeg kunne naturligvis også vælge at bruge ordet oftere og dermed "brute-force" min indlæring af ordet ;o)

"liderlig"
"liderlig"
"liderlig"

  • 7
  • 2
s_ mejlhede

"Det er en offentlig kendt sandhed, at hangarskibe idag er tilsvarende sårbare, de har ganske vidst et omfattende "anti-aircraft" forsvar, men intet der kan forsvare dem imod en mellemdistance raket der kommer ned ovenfra."

Det ved vi jo først hvis der kommer en ned fra himmelen, der stod også lige pludselig en eskadrille fuld operative stealth fly under den 1 golfkrig. Som ingen kendte til.
Så hvad de kan forsvare sig imod er der nok ikke mange der ved før de får brug for det. Amerikansk forsvar bruger mange penge på kloge hoveder, med højere IQ ind vores, der også kan tænke/bruge fantasien, og bag efter har de, for det meste penge til at bygge det.

  • 0
  • 3
Poul-Henning Kamp Blogger

Amerikansk forsvar bruger mange penge på kloge hoveder, [...]

Og det er disse kloge hoveder der har påpeget at USAs hangarskibe er sitting ducks imod enhver bare lidt avanceret fjende, der kan dumpe et konventionelt sprænghovede vertikalt midt på flightdeck.

Selv hvis du træffer det indkommende sprænghovede med kontra-ild, får du stadig alt skramlet i hovedet.

Prøv at se hvor stor en flotille en "carrier-group" faktisk er, de fleste af dem skal holde luftrummet omkring carrier'en rent.

  • 3
  • 0
s_ mejlhede

At alle skibe har været sårbare overfor fly, og vigtigheden af at beskytte hangarskibe har jo være kendt siden Slaget om Midway og tabet af Prince of Wales og Repulse.
Det er jo der for at et hangarskib er så farligt for fjenden, at have en lufthavn med et større slagstyrke ind de fleste mindre landes samlet luftvåben, som man kan "parkere" lige uden for døren.
At beskytte hangarskibe har aldrig været let, især med den teknologiske udvikling siden Kamikaze.
Men england var ved at lægge deres letvægt hangarskibe i mølposen inden Falklandskrigen, hvordan skulle de have kunne føre denne krig uden ?
Det lykkes også at beskytte den.
Så indtil det lykkes nogen at sænke/beskadige et hangarskib, vil fordelen ved at have et sådan nok være større.
Jeg tror at det der sænker eller minimere deres antal først er budgetunderskudet i USA, prisen for den samle flåde, som er med et hangarskib incl. en enkelt atomubåd, er meget høj.

  • 1
  • 1
Torben Mogensen Blogger

Amerikansk forsvar bruger mange penge på kloge hoveder, med højere IQ ind vores, der også kan tænke/bruge fantasien, og bag efter har de, for det meste penge til at bygge det.

Problemet er, at de kloge hoveder ikke bestemmer. Det gør de mange senatorer, der ser bygning af store flådeskibe som potentielle arbejdspladser i deres stater.
Af samme grund bliver store skibe eller fly ikke kun bygget et sted: For at få projekterne gennem senatet, skal alle stater have deres del af kagen. Hvilket selvfølgelig fordyrer projekterne og øger risikoen for fejl grundet manglende koordination og kommunikation mellem leverandørerne.

  • 7
  • 0
Esben A Black

AIS systemet er et åbent informations system hvor alle kan give oplysninger.

At disse oplysninger kan være forkerte ændre ikke ved systemets kvaliteter som skal ses i relation til den teknologi det er i sameksistens med, primært VHF & Radar.

Systemet benyttes primært i navigatørernes daglige arbejde som supplement til VHF kommunikation og radar observationer.

Hvis AIS'en siger at der ligger et skib som tydeligvis ikke er der, eller er noget andet end AIS'en siger det er, da vil AIS'en blive ignoreret.

  • 3
  • 0
Anonym Anonym

Er problemet i virkeligheden ikke, at vi har en tyrkertro på, at internettet i dets nuværende form kan bruges til, at løse sikkerhedskritiske opgaver, som er vitale for samfundet?

Hvornår har vores dankortsystem, for eksempel, sidst været udsat for et DOS-angreb? Måske skulle vi til at overveje parallelle infrastrukturer igen, fysisk adskillelse forhindrer i høj grad den type af angreb.

Sålænge man er på internettet, så udgør hele verden i princippet en fjende.

  • 4
  • 1
Poul-Henning Kamp Blogger

Hvis AIS'en siger at der ligger et skib som tydeligvis ikke er der, eller er noget andet end AIS'en siger det er, da vil AIS'en blive ignoreret.

Det sagde man også om GPS i biler, ikke desto mindre havner folk de mest utrolige steder, fordi de blindt gør hvad GPS'en siger.

Pointen med AIS er dog mere at det er totalt utroværdigt og at det ville være trivielt at DoS'e det ved at fylde hele storebælt med skibe der ikke er der, således at man intet brugbart kan se på skærmen.

  • 4
  • 0
Anonym Anonym

Jeg ved ikke om dankortterminaler bruger internettet i vore dage, men jeg må efterhånden indrømme, at jeg ikke håber det. Mht. internetbutikker, så er der vel tale om en selvstændig løsning? Mao. et DOS-angreb på den vil ikke betyde, at jeg forhindres i, at kunne betale for mine varer hos købmanden nede på hjørnet.

  • 0
  • 0
Mads Claus Henriksen

Pointen med AIS er dog mere at det er totalt utroværdigt og at det ville være trivielt at DoS'e det ved at fylde hele storebælt med skibe der ikke er der, således at man intet brugbart kan se på skærmen.

AIS er et støttesystem for Navigatøren. Det han ser ud af vinduet er den virkelighed, som han skal agere i forhold til. AIS behøver derfor ikke at være bullet-proof i samme grad som fx skibets manøvre-/styremaskinesystem.

Navigatøren bruger summen af alle sine systemer til at træffe de rigtige beslutninger. Hvis et eller flere systemer afviger fra det forventede, så vægtes disse mindre i navigatørens vurderinger. Man kan med andre ord kalde det for faglighed, at kunne tolke sine instrumenter, uagtet om de viser ret eller ej.

Desuden vil de fleste kommercielle skibe kunne sejle igennem Storebælt uden GPS, AIS, Radar og VHF - det vil i givet fald blot kræve flere ressourcer og foregå med reduceret fart. Sejladsen vil i givet fald blive baseret på sømærker, landmærker, log ("kilometertæller på et skib"), kompas (evt. gyrokompas).

  • 1
  • 0
Poul-Henning Kamp Blogger

Navigatøren bruger summen af alle sine systemer til at træffe de rigtige beslutninger.

Ja, det siger teorien jo.

I praksis virker mennesker anderledes: Et "i princippet ikke sikkert støttesystem" som virker perfekt 99.99% af tiden er årsag til forbavsende mange problemer den sidste 0.01% af tiden.

Den eneste måde at sikre at et system ikke bliver stolet for meget på, er at lave det så man aldrig får det indtryk at man kan stole for meget på det.

  • 0
  • 1
Poul-Henning Kamp Blogger

Nej det er ikke teori, det er den måde navigatører arbejder på.

Nu er det jo så ikke alt der flyder der er i en klasse hvor det har en dedikeret navigatør...

Ligeledes er det altså ikke alle navigatører der er helt oppe på mærkerne hele tiden.

Det er fint at du er stolt over faget og alt det der, men i praksis er der nogle mærker i beton'en ovre på lavbroen som underminerer ethvert argument du kan komme med for at skibsførsel er et problem der er helt under kontrol...

AIS systemet er, som mange andre systemer, lavet af folk der ikke har skyggen af it-sikkerheds-expertise og det er der ikke nogen søforklaringer der kan bortforklare.

  • 1
  • 0
Bent Ojgaard

"tBegge dele har sit udspring i en mangel på fantasi som er nærmest kronisk i offentlige IT projekter."

Måske mangler der i disse projekter nogle dygtige mennesker med en lavpraktisk tilgang til tingene. Nogen som kan få ideér og praktik til at hænge sammen, men hvis arsenal af smarte ord måske ikke er så imponerende.

Lommestrategerne kunne passende læse "Militær ledelse af Marco Smedberg" og finde ud af, at enhver ny krig kæmpes med den forrige krigs doktriner - i hvertfald til at starte med. Udfordringerne har gennem tiderne været at få beslutningstagerne til at erkende behovet for ændringer. Altså ikke ulig de udfordringer som vores digitale samfund står over for.

  • 0
  • 0
Mogens Hansen

Moderne togmateriel lider af en tilsvarende skavank: Sæt et stik i koblingsmekanismen, send den en protokol-besked der siger "jeg er et lokomotiv som nogen har sat en nøgle i" og du er klar til at rulle.

...lige hen til det første røde signal, hvor div. sikkerhedssystemer vil koble ind og trykke på samtlige bremser. Hvis ikke dødemandsknappen allerede har gjort det.

På den anden side er det ikke acceptabelt hvis menneskeliv bringes i fare fordi klaphatte designer datakommunikation.

Det argument kan man jo fremføre inden for enhver del-disciplin af et givet system. Og det vil altid være noget vrøvl. At menneskeliv kan bringes i fare er en risiko vi altid må påtage os som samfund. Hvad enten det drejer sig om forøgelse af hastigheden på motorvejene, risikoen for at nogen sejler ind i en bro, osv. osv.

Specifikt mht data: det er jo også et spørgsmål om interoperabilitet: skal vi lave systemer så sikre, at de ikke kan kommunikere med hinanden? Opnår vi en større sikkerhed ved at hente data fra et ikke-sikret netværk og koble det med nye tiltag, fremfor at ignorere data som er tilgængelige?

(Den grundlæggende konklusion på indlægget er jeg enig i, syntes blot der mangler lidt nuancer)

  • 0
  • 0
s_ mejlhede

Men som med Nem-ID ol.:
Så længe man kun møder de scenarier men har forberedet sig på, så går det jo nok...


Hvis man ikke forberede sig på det, hvorfor holder man så øvelser med dem ?
Det er også grunden til at søværnet var kede af at vi afskaffet Ubådene i det danske forsvar. Det var det mest effektive våben mod skibe i østersøen. Men de er ikke gode til at jagte pirater.
Der hvor der er lavdeling af vand, som i østersøen, er det svært at finde ubåde, som kan gemme sig under et lag. Lydbølgerne reflekteres af disse forskellige lag, som i østersøen er forskel i salt indholdet, men også kan være kolde/varme lag.
Det er også der for at man bruger andre ubåde til at jage ubåde, de kan befinde sig i det samme lag, hvor ved de kan finde de ubåde der gemmer sig. Man ved tit at der er en ubåd, men bare ikke helt hvor, så en nem og enkelt måde, at jage disse ubåde på er brug af små taktiske A-våben.

  • 1
  • 0
Poul-Henning Kamp Blogger

...lige hen til det første røde signal, hvor div. sikkerhedssystemer vil koble ind og trykke på samtlige bremser. Hvis ikke dødemandsknappen allerede har gjort det.

Du har tydeligvis ikke forstået scenariet.

Forestil dig en togstamme ned et loko forrest og et andet bagerst.

Det bagerste lokomotiv gør bare som det forreste siger det skal.

Det er f.eks ikke nødvendigt at nogen sidder og holder dødemandsgrebet nede i det bagerste lokomotiv.

Hvis man istedet for et lokomotiv sætter en laptop til at kommunikere med et lokomotiv og forklarer det at det er sekundær drivenhed, gør det præcis som det bliver bedt om.

Vedr. signalsystemer/ATC er det faktisk ikke engang indlysende at det vil have nogen virkning, det er oftest kun det primære førested ("der hvor nøglen sidder i") der tager sig af den slags.

Under alle omstændigheder tillader de fleste signal/ATC systemer at du ruller forbi med lav hastighed.

Designfejlen her er at ingen åbenbart har overvejet at nogen kunne finde på at kobler andet end et stykke protokol-overholdende rullende materiel til stikket.

  • 1
  • 1
Mogens Hansen

Du har tydeligvis ikke forstået scenariet.


Det mener jeg nu nok at jeg gør. Det scenarie du beskriver kræver meget stor forståelse af, hvad det er man gør. Det kræver fysisk adgang, det kræver at du lister rundt på steder der ofte er befærdet med ansatte/vagter mv. Og resultatet er, at du kan tøffe af sted med lav hastighed.

Du ignorerer helt, at der er en fjernstyringscentral med i billedet hvor lamper vil lyse, alarmer vil bimle og displayet gå i rødt. Hvorfra en bruger uden større vanskelighed kan sende toget ind på et sidespor el. lign., sende advarsler ud til alle der befinder sig i nærheden af strækningen, tilkalde politi, mv.

  • 2
  • 0
Esben A Black
  • 4
  • 0
Poul-Henning Kamp Blogger

Det mener jeg nu nok at jeg gør. Det scenarie du beskriver kræver meget stor forståelse af, hvad det er man gør.

Designfejl #2: "Der er ingen andre end os der ved hvordan det virker." :-)

Mht dine sikkerhedsvagter, er der toggraffiti nok til at dokumentere hvor godt det virker når det kommer til stykket.

Og ja, det kan godt være at man kun kan tulle rundt i langsom hastighed, men selv det vil kaste myldretidstrafikken totalt i kaos hvis det sker...

"Denial of Service" er et begreb de færreste har noget begreb om og specielt er det helt galt når fagbrancher bruger IT og netværk uden at involvere nogen der har disse begreber in mente.

  • 6
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize