Swedish Survivalist

Har gått och funderat, någon typ av krigsspel kan man säga, hur skulle man enklast kunna slå ut samhället idag med minsta möjliga resurser?
Jag fick problem med MobilBankId. Hur än jag gjorde så kunde inte starta om den. Kunde inte logga in på:

Ica-banken
Swedbank
Försäkringskassan
Skatteverket

Skulle handla online med Mastercard kortet men den krävde signering och kunde inte köpa det iom MobilId startar inte.

Är ni lika beroende av MobilBankID för att vardagen ska fungera?

Ja, i princip allt jag gör i min yrkesverksamhet kräver ständiga signeringar med Mobilt BankID. Än så länge finns ju dosor av olika slag och en del alternativ med lösenord och certifikat, men dessa försvinner fort. Om Mobilt BankID skulle sluta fungera under en vecka eller två så skulle kaoset vara i det närmaste totalt, för att inte tala om hur roligt det skulle bli om det sker vid deklarationsdags (som i mitt fall innebär 12 deklarationer varje månad runt den 10:e).

Mobilt BankID är förmodligen en av de känsligare funktionerna i vårt vardagssamhälle idag. Förmodligen är det enklare att störa/slå ut än annan infrastruktur, men i och för sig inbillar jag mig att det finns rätt god beredskap och redundans vad gäller driften... Eller så är det just bara så att jag inbillar mig.

Att ge sig på mobilt bankID kräver väl ändå en viss kompetens? Sen gissar jag att det finns redundans och backupper.

Ibland när jag far kring i vårt land sneglar jag lite tveksamt på alla de stora elstolpar med massor av kiloVolt i sig som står här och där och vars ledningar går kors och tvärs genom landet. Sen funderar jag lite över ett stort strömavbrott vi hade i och kring Mälardalen nån gång på 80-talet då det var avbrott. Som jag minns det var avbrottet över ett dygn och stökade till det rejält och då var det, åter med reservation för minnet, nån kråka eller nåt som landat på fel ställe och blivit snabbgrillad vilket gett upphov till kaskadeffekter.

Några klåpare med enkel utrustning skulle kunna ställa till det ordentligt.

Oj, IT-attack var det ju...

En annan grej jag funderat över är ett virus, självklart självförökande, som slumpmässigt ändrar enstaka siffror i Excelfiler. Får man in ett sånt i sina system och varje Excelfil som öppnas (kanske efter nån enkel analys) får 2-5 siffror i själva kalkylarket ändrade och det får hålla på ett tag... Helst så att även säkerhetskopiorna blir ändrade. Kunde bli intressant. Inte spektakulärt, men intressant.

/MD

Vist de krävs kompetens och inget ett gäng JoltCola drickande hackers klarar men om Ivan skulle vilja ställa till så är just BankID idealisk för riktade attacker där man påverkar mycket och många med en enda tjänst.

Vart har man sin bankdosa? När har du använt den sist? Sen är det så att många tjänster tex FK har inte egna dosor så där får man skriva under och skicka brev igen. Problemet är att dagens myndigheter har rationaliserat och saknar både personal och kompetens att återigen hantera så mycket papper.

Att återgå till papper lär inte fungera på riktigt, kan kanske täcka upp en del, men med tanke på hur uselt posten fungerar idag så...

Vår verksamhet skulle på relativt kort tid (5-10 dagar) totalt tvärnita eftersom alla ekonomiska transaktioner med mera är direkt beroende av Mobilt BankID (har inte längre kvar vanligt bankid, det går knappt att få via flera banker numera).

Personligen tycker jag att en så viktig funktion borde vara statskontrollerad och inte ligga på bankerna, men det skulle, med inträffade händelser helt nyligen, sannolikt inte vara säkrare...

Eftersom BankId är en state-less tjänst dvs det finns inget data som behöver uppdateras vid varje login och säkerhetskopieras varje sekund då är det en utomordentlig lätt tjänst att drifta med redundans i olika separata miljöer. Ja, det kommer in uppdateringar i form av nya och ändrade konti nån gång i dygnet men det är ändå en mycket enklare datamodell än t.ex. kreditkortsbetalningar och banksystem i almenhet. Och dessutom en ganska statisk tjänst med väldigt låg release-takt för nya features - ibland en ny konsument som ansluter sig men inga ändringar i API som måste stressas ut fredag eftermiddag eller liknande felbenägent beteende.

Men som med alla andra 'nättjänster så hjälper det ju inte att servrarna för just BankId är uppe om någon har släckt merparten av svenska näten så data inte kommer fram dit och de tjänsterna som kopplar mot BankId är ändå offline. Att "internettet" går i svart och att strömmen går, det är nog två av de mest sannolika brunlägesscenarierna att preppa för - och om samhället i stort är ström- och nätlöst i en månad då kommer det bli stora konsekvenser även om enskild prepper klarar sig utan Facebook och Twitter

Inte direkt. Klart att det kunde bli lite besvärligare med vissa saker, men inget som det inte vore relativt lätt att anpassa sig till.

Skulle säga att fysiska attacker är det enklaste sättet att slå ut sånt här. Har sett en del contingency plans, och de brukar försöka tänka på det mesta, men påfallande ofta saknar de planer för detta. Förmodligen för att folk i allmänhet inte är mördare och psykopater, och det blir dyrt att skydda sig mot.

Ett Grg med spräng rätt in genom fönstret strax innan lunch i ett kontorslandskap på de företag med IT-tjänster man vill släcka + handgranater i några ställverk runt staden där deras servrar står skulle nog få vilken anarkist som helst att bli helt våt i byxan.
Tre, fyra såna attacker så kommer nog fackförbunden plocka hem all annan personal på liknande andra ställen också.

Ja, vår infrastruktur är känslig, inte bara Bank-ID och andra it-system. Det har alltid förvånat mig, och på sätt och vis glatt mig (ta nu inte detta fel), att terrorister fokuserar på att spränga sig själva och några få offer i närheten i stället för att faktiskt jävlas på riktigt. Det är som du säger, Gloomyvice, relativt enkelt att sabotera rejält. Även om alla datahallar m.m. har reservkraft så om man slår elförsörjning rejält och dessutom hindrar personal från att reparera skador så är det snart totalt kaos.

Fast nu var det ju frågan om "ren" en it-attack och där tror jag att Bank-ID hamnar högt upp på listan över vad som skulle kunna orsaka väldigt stor skada (framför allt ekonomisk sådan), om det skulle slås ut.

En IT attack mot kraftnät brukar också rankas högt.
http://www.nerc.com/pa/CI/ESISAC/Docume ... ar2016.pdf

Sedan är ju kommunikationer i allmänhet en mycket viktig punkt för samhället, på många olika nivåer.
http://www.expressen.se/nyheter/service ... -flygkaos/

Med tanke på Just-In-Time så är väl transporterna en stor pelare om man vill orsaka stor skada för många samtidigt.
https://www.nyteknik.se/digitalisering/ ... ck-6859096

"Fördelen" med IT attacker är att man kan göra det från stora avstånd och utan risk för liv eller lem.
Fysiska attacker skulle alltid sluta med döden för förövarna och trots saftiga rubriker i tidningar så blir antallet döda mindre än "månadsförbrukningen" ute på Svenska vägnätet.
Min känsla är att vi är alltför beroende av tex MobilId, tjänst som förmodligen saknar redundans iom banker prioriterar vinst framför samhällsnytta, vilket är helt naturligt.

du har inte provat kontanter?


alla system där det är datorer som kräver kontakt med internet är sårbara, ska det finnas en digital valuta och identifiering skall den kunna köras offline för att vara samhällssäker

lite småkul om kontanter

http://www.hogstaforvaltningsdomstolen.se/Domstolar/regeringsratten/Avg%C3%B6randen/2015/September/2793-14.pdf

och en öppen tolkning...

http://mobil.andersleander.bloggplatsen.se/2017/01/23/11409549-hogsta-forvaltningsratten-vagrar-nagon-ta-kontanter-sa-ar-varan-eller-tjansten-gratis/

Mmm den som inget bankid har, står mycket snart utanför systemet/samhället ...
fy f.. eller..usch...

Hoppas det här inte är för off topic för det skulle vara väldigt svårt att göra. Men det är mother of all hacks...

Något som skulle kunna få oerhörda konsekvenser är om en någon/några på något vis lyckades ta kontroll över Windows update-funktionen och/eller android play. Utan att veta är det nog samma sak med Apple Store.
Jobbar inte med de systemen, men liknande har faktisk hänt linux-leverantörer, så jag misstänker starkt att det också hänt (eller pågår just nu) hos något eller flera av ovanstående företag redan.
Då har man kontroll över en gigantisk del av noderna där ute, och vill man"ta kontroll" över exempelvis BankID så skickar man helt enkelt ut en automatuppdatering med sin hackade variant till klienten istället för att hacka tjänsten.

Då och då kommer det ibland ut mindre roliga sårbarheter. Fanns tex ett sätt att ta över DNS för några år sen har jag för mig, utmärkt för mitm-attacker.
Andra stora sårbarheter kommer att uppdagas i framtiden, och det finns nog många som används idag innan någon ärlig person upptäcker och publicerar sårbarheten.

Tex när det gäller SSL så kan man också göra bort sig. Börjar väl bli lite bättre ordning ni om man rensar lite i sina CA trusts, men om jag förstått det rätt så har det funnits några just tvivelaktiga utgivare av certifikat som många browsers litat på.
Vet du vilka utgivare din telefon eller dator litar på? Jag vet det inte, och jag uppskattar mitt eget intresse för digital säkerhet vara någon procent högre än medelsvenssons.