Re: Peri asfaleias [was: Re: SOLVED: grep -i και ελληνικά κεφαλαία /πεζά]

Nick Demou (enLogic) ndemou at enlogic.gr
Fri Dec 16 19:10:41 EET 2005


Giannis Papaioannou wrote:
 >>> Nick Demou (enLogic) wrote:
 >>>
 >>>> Αλήθεια ξέρει κανείς κάτι άλλο που κάνει την ίδια δουλειά με το εν
 >>>> λόγο προγραμματάκι? Δηλαδή επιτρέπει στους τεχνικούς μιας εταιρείας
 >>>> να βλέπουν όλα τα passwords των πελατών αλλά μόνον λίγα κάθε φορά (1
 >>>> query
 >>>
 >>>
 >>> an hmoun pelaths ths etairias 8a ebaza gia password "F*CK YOU! U STUPID
 >>> INCOMPETENT ADMIN, HAVEN'T U HEARD ANYTHING ABOUT PRIVACY"
 >>
 >>
 >> ενδιαφέρεσε να ακούσεις και τη γνώμη μου ή ήθελες απλά να εκτονωθείς?
 >
 >
 > den einai kati pou sto lew se sena proswpika, alla 8a eixa mia paromoia
 > antidrash an h3era oti oi admins se mia yphresia koitousan ta passwords.

ίσως είμαι υπερβολικά συναισθηματικός αλλά μου φάνηκε ότι ξεκίνησες το 
email σου λέγοντας ότι όσοι κάνουν ότι έκανα εγώ είναι stupid and 
icompetend admins. Τώρα, δεν ξέρω με ποιο τρόπο αυτό είναι "μη αγενές" 
και "μη προσωπικό" για 'υτό αν αυτό το email ήταν προσωπικό και όχι 
τμήμα μιας δημόσιας λίστας απλά θα σε αγνοούσα. Επειδή όμως κάποτε 
κάποιος υπάλληλος, συνεργάτης ή πελάτης μου μπορεί να διαβάσει αυτό το 
thread και να βιαστεί να με παρεξηγήσει το ίδιο ή περισσότερο από εσένα 
συνεχίζω. Αν κάπου γίνομαι ελαφρά εριστικός είναι επειδή όπως ανέφερα 
είμαι ίσως υπερβολικά συναισθηματικός.

Πρώτα λοιπόν μια αποσαφήνιση του τι κάνω η οποία θα λύσει κατευθείαν
πολλές παρεξηγήσεις:
Η εταιρεία μου παρέχει τεχνική υποστήριξη σε ιδιώτες και εταιρείες
οι οποίοι έχουν από ελάχιστη έως αρκετή μηχανογραφική υποδομή. Επίσης
πουλάει συχνά και συνδέσεις internet. Το 99% των πελατών μας *απαιτούν*
να ξέρουμε τα passwords (συνήθως τύπου aek ή 123) που χρησιμοποιούν[1].
Φυσικά αν ο πελάτης είναι σοβαρός ή συντρέχουν άλλοι λόγοι[2] ή
έχει την διάθεση να μας ακούσει όταν του εξηγούμε τους κινδύνους, τότε
θα αποφασίσει ο ίδιος πιο password είναι σημαντικό και θα το φυλάξει ενώ
εγώ θα χαρώ πολύ που δεν θα έχω  το χασομέρι και την ευθύνη της
διαχείρισης του.

Με τα χρόνια όπως καταλαβαίνετε έχουμε μαζέψει αρκετά τέτοια passwords
(τα οποία το 90% των πελατών φυσικά και δεν έχουν αλλάξει). Όλα
αυτά τα passwords πρέπει αφενός να τα αποθηκεύσουμε κάπου και αφετέρου
να είναι διαθέσιμα στους τεχνικούς που έρχονται σε επαφή με τον πελάτη
για να κάνουν τη δουλειά τους.

Μέχρι πρότινος όλα τα passwords είτε τα είχα συγκεντρωμένα εγώ (και
έσπαγα κάθε φορά το κεφάλι που πως να τα αποθηκεύσω) είτε ήταν 
αποθυκευμένα σε κάποιο text ή spreadsheet αρχείο με άλλες λεπτομέρειες 
για την τεχνική υποδομή του πελάτη.

Το πρώτο (να τα ξέρω μόνο εγώ) δημιουργούσε πρόβληματα όταν έλειπα από
το γραφείο (όχι σπάνιο). Το δεύτερο (χύμα σε κάποιο αρχείο) στερείτε 
σχεδόν παντελώς ασφάλειας ακόμα και όταν πρόκειται για το ευτελέστερο 
password. Δυστηχώς μάλλιστα είχε αρχίσει να γίνεται όλο και περισσότερο 
(είμαστε επιρρεπείς στην αμαρτία εμείς οι άνθρωποι).

Αυτή την κατάσταση θέλησα να λύσω και η πρώτη μου προσπάθεια είναι αυτή
για την οποία συζητάμε.

Τώρα που ξέρουμε για τι μιλάμε μπορώ να συνεχίσω...


 > ... asxolhste me to ti psaxnoun
 > oi periergoi

Δεν ασχολούμε με το τι ψάχνουν οι περίεργοι (δεν έχω καν το χρόνο να το
κάνω ακόμα και αν είχα την αρρωστημένη περιέργεια). Αυτό με το οποίο
ασχολούμε είναι το *ποια* passwords πελάτων ζητήσαν να μάθουν οι
τεχνικοί μας (με λίγα κάθε φορά που ο τεχνικός Χ ζητά να του προβάλει το 
πρόγραμμα το password του πελάτη Υ με περιγραφή σκοπιμότητας Ζ πέρνω ένα 
email με τα Χ,Υ,Ζ). Παρόλο που εμπιστεύομαι τους τεχνικούς στους οποίους 
έχω δώσει δικαίωμα πρόσβασης δεν μπορώ να να μην κάνω μια τόσο απλή 
ενέργεια που αφενός δεν θίγει τους τεχνικούς ενώ αφετέρου προστατεύει 
τους πελάτες μου (όπως είπαμε εμείς οι άνθρωποι είμαστε επιρρεπείς στην 
αμαρτία ειδηκά όταν είναι έυκολη γρήγορη και δεν φαντάζει σοβαρή ως 
παράπτωμα).

 > proswpika de mporw na
 > fantastw kanena logo kai oute pote xreiasthke na 3erw to password
 > kapoiou user,opws pote de xreiasthke na 3erw to ti akribws kanoun otan
 > douleuoun se kapoio systhma.
Αν όταν λες user εννοείς τους πελάτες μου για τους οποίους μίλησα πριν
τότε φαντάζομαι ότι τώρα μπορείς.
Αν εννοείς τους τεχνικούς μας εγώ, όπως και κάθε άλλος στη θέση μου, 
θέλουμε να ξέρουμε τι κάνουν στους Η/Υ της εταιρείας και των πελατών 
μας. Και αυτό τους το λέω και το ξέρουν κι αυτοί και σε κανέναν μας δεν 
κάνει εντύπωση γιατί είναι απόλυτα λογικό.


 > To restricted shell einai swsth taktikh gia epipleon asfaleia, o big
 > brother den einai, to mono pou prosferei einai e3tra ergatowres.
τώρα που κατάλαβες ότι ο brother δεν είναι και τόσο "big" φαντάζομε ότι 
θα χαλάρωσες

 > [xmm, prepei na exete fobero security, afou]
 > exete homemade python based restricted shell.
και
 > De 3erw ti exeis kanei me thn python, alla sigoura den 8a einai
 > pragmatika secure. hint: chrooted/real restricted shells
θα ήθελες να μας εξηγήσεις για πιο λόγο τα "homemade" python scripts 
είναι by definition insecure ως restricted shells ανεξαρτήτως του τι 
κάνουν και ποιες είναι οι απαιτήσεις ασφάλειας. Μήπως θα μπορούσες 
επίσης να μας πεις ποια επιπλέον ασφάλεια που έχουμε ανάγκη θα μας 
προσφέρει το chrooted real restricted shell? hint: αν θες να κλέψεις ένα 
από αυτά τα passwords υπάρχουν πολύ πιο απλές μεθόδοι από το να 
ασχοληθείς με την υλοποίηση μου (γρήγορο παράδειγμα: ρώτα τον χρήστη τι 
ομάδα είναι και έχεις 50% πιθανότητες να το βρήκες ήδη).
Με λίγα λόγια μου αρκεί να έχω κάτι δεκάδες φορές πιο secure από ότι 
έχει ο ίδιος ο ιδιοκτήτης του password και δεκάδες φορές πιο ασφαλές από 
τους περισσότερους συναδέλφους μου που κυκλοφορούν με εκτύπωση από 
excelόφυλα, τα οποία αν έχουν προστατεύσει με 4ψήφιο κωδικό (τον οποίο 
μάλιστα σιγά σιγά έχουν μάθει όλοι οι φίλοι και γνωστοί) θεωρούν τους 
εαυτούς τους experts. Και ναι, δεν είμαι 100% σίγουρος ότι αυτό που 
έφτιαξα είναι αρκετό και γι' αυτό το λόγο ρωτούσα τι άλλο πιθανόν 
γνωρίζει κανείς αλλά σίγουρα είναι πολύ πιο προσεγμένο από τον μέσο όρο 
των "λύσεων" που έχω δει μέχρι στιγμής (διάβολε, ακόμα και το account 
στον web banking της τράπεζας μου δέχετε το πολύ 5ψήφιο password!). 
Επίσης είναι αρκετά απλό σαν υλοποίηση για να μπορώ (μετά από κοντά 20 
χρόνια εμπειρίας στον προγραμματισμό και κάμποσα βιβλία και άρθρα 
σχετικά με την ασφάλεια υπολογιστών) να κάνω μια σχετικά ασφαλή εκτίμηση 
των security risks που ελλοχεύουν.


 > Den h8ela na se stenaxwrhsw alla... etsi einai, an 8elete asfaleia
 > psa3te epeigontws na breite kapoion pou na 3erei ap' auta.
δεν με στεναχωρείς ιδιαίτερα έτσι κι αλλιώς. Φαντάζομαι ότι αυτό που
εννοείς είναι ότι δεν θα ήθελες να με θίξεις δημόσια. Αυτό όμως είναι 
στο χέρι σου. Την επόμενη φορά προσπάθησε το και θα δεις ότι είναι πολύ 
ωραίο να μπορείς να διαφωνείς χωρίς να προσβάλλεις τον συνομιλητή σου. Η 
κουβέντα είναι ευχάριστη, βγαίνει ένα αξιόλογο συμπέρασμα, ένας από τους 
δύο μαθαίνει κάτι και όλοι είναι ευχαριστημένοι. Όμορφα πράγματα.


______________________________________________________________
[1] Οι περισσότεροι πελάτες μας μάλιστα φτάνουν σε
σημείο να μην θέλουν καν να ξέρουν τα passwords οι ίδιοι.
Θέλουν π.χ. να τους "σετάρει" την σύνδεση στο internet ο τεχνικός, να
περάσει το password ο ίδιος και να τους πει μόνο "Δουλεύει, δοκιμάστε το
... ευχαριστώ, γεια σας". Αν μετά από ένα χρόνο μας πάρουν τηλέφωνο
γιατί ο Γιωργάκης "πάτησε κάτι κι έσβησε το password" ή επειδή "ο Φαίδων
ο γείτονας μας που ξέρει από αυτά μας κάνει την σύνδεση και στο φορητό
αλλά δεν ξέρει το password" απαιτούν να ξέρουμε το passoword και να τους
το πούμε. Αν δεν το κάνουμε θα μας πούνε και "stupid and incopetent
admins" και θα πάνε σε έναν ανταγωνιστή μας που θα τους "εξυπηρετεί"
καλύτερα.

[2] Π.χ. αν κάποιο password είναι αρκετά κρίσιμο ώστε να το καταλαβαίνει 
και ο πελάτης μας χωρίς να χρειάζεται "φροντιστήριο" τότε δεν δεχόμαστε 
να το μάθουμε (και ευτυχώς το
ίδιο κάνει και ο ανταγωνισμός μας).




More information about the Linux-greek-users mailing list