Re: Peri asfaleias [was: Re: SOLVED: grep -i και ελληνικά κεφαλαία /πεζά]

[Giannis Papadopoulos]

Nick Demou (enLogic) wrote:
> Giannis Papadopoulos wrote:
> 
>> ...
>>
>>
>> Και γιατί, θα ρωτήσει ένας φιλομαθής νέος, δεν υλοποιήσατε ένα
>> συστηματάκι με κάποιου είδους security μέσω smart cards που θα κάνει
>> authentication για τους χρήστες ή οτιδήποτε άλλο;
>>
>> Και μιλάω να έχετε κάνει τις απαραίτητες κινήσεις-development συστημάτων
>> authentication κλπ κλπ που θα επιτρέπει στον πελάτη που ΔΕΝ θέλει να
>> ασχολείται με το θέμα της ασφάλειας (βέβαια ΜΕΓΙΣΤΗ βλακεία του - το
>> κτίριο ενδιαφέρεται να το κλειδώσει, το υπολογιστικό του σύστημα γιατί
>> το αφήνει να μπάζει από παντού; - αλλά είναι δικιά του η βλακεία) να
>> έχει κάτι καλύτερο από αυτό το ρημαδί password που μπορεί να το
>> φανταστεί και 3χρονο παιδάκι;  
>>
> μα ρε παιδιά γιατί δυσκολευεστε να καταλάβετε οτι δεν μιλάμε για τα
> passwords των δικών μας χρηστών στο δικό μας σύστημα που το ελέγχουμε
> εμείς και ορίζουμε εμείς τους κανόνες και τις μεθόδους? Πάμε με ένα απλό
> παράδειγμα:
> 
> * έχω έναν πελάτη
> * έχει κάνει μια σύνδεση και καλεί τεχνικό να του κάνει τις σχετικές
> ρυθμίσεις (δεν ξέρει ο άνθρωπος).
> * Πάει ο τεχνικός του δήνει ο πελάτης το χαρτάκι με το login / password
> και περιμένει να γήνει η δουλειά του.
> * Όταν μετά από 6 μήνες πάμε για format / επανεγκατάσταση απαιτεί από
> εμένα να γνωρίζω το password του. Αν δεν το ξέρω θεωρεί ότι δεν τον
> προσέχω. Να μα την Παναγία δεν σας κάνω πλάκα - έτσι σκέφτεται αρκετός
> κόσμος.

Δεν μίλησα για τα passwords των χρηστών στην εταιρία σας, μίλησα για την
ασφάλεια των χρηστών-πελατών (μάλλον μπερδέψαμε τους όρους μεταξύ μας).

Από τα πάνω έχουμε 2 προβλήματα:
1) Αυτό το χαρτάκι είναι εξαιρετικά επικίνδυνο - καταστρέφεται σωστά
μετά; Ποιος λέει ότι ο τεχνικός είναι απολύτου εμπιστοσύνης; Και αν
φύγει και θελήσει να εκδικηθεί (αυτό είναι πολύ κλασικό);
2) Μετά από 6 μήνες, αυτό το password κάπου υπάρχει, εκτός από την
εταιρία του πελάτη - συγκεκριμένα στην δικιά σας εταιρία. Σε ένα excel
(μαζί κιόλας με την υποδομή του πελάτη);

Ειλικρινά, αν ήξερα σε ποιες εταιρίες γίνεται αυτό, δεν θα ήθελα
συναλλαγές μαζί τους, όπως και δεν θα τους έδινα την πιστωτική μου...

>>> Δεν ασχολούμε με το τι ψάχνουν οι περίεργοι (δεν έχω καν το χρόνο να το
>>> κάνω ακόμα και αν είχα την αρρωστημένη περιέργεια). Αυτό με το οποίο
>>> ασχολούμε είναι το *ποια* passwords πελάτων ζητήσαν να μάθουν οι
>>> τεχνικοί μας (με λίγα κάθε φορά που ο τεχνικός Χ ζητά να του προβάλει το
>>> πρόγραμμα το password του πελάτη Υ με περιγραφή σκοπιμότητας Ζ πέρνω ένα
>>> email με τα Χ,Υ,Ζ). ...
>>>   
>>
>> Αυτά τα e-mails έρχονται και φεύγουν χωρίς ψηφιακές υπογραφές και
>> encryption;
>>  
>>
> !?
> α) μα προς θεού ρε παιδιά αυτά τα emails ΦΥΣΙΚΑ ΚΑΙ ΔΕΝ ΠΕΡΙΕΧΟΥΝ ΤΟ
> PASSWORD ΤΟΥ ΠΕΛΑΤΗ
> β) τι στην ευχή να το κάνω το encryption και το digital signature ενός
> email που το στέλνει το πρόγραμμα μου, που τρέχει στον server μου και
> γράφει απλά
> "ο γιώργος ζήτησε το password του πελάτη Παπαδόπουλου Ν που αφορά σε
> 'σύνδεση στην Forthnet' "?  Τι?

Και ποιος σου είπε ότι αυτό το e-mail έρχεται από κάποιον τεχνικό;

Και άντε, πες θέλει να γίνεται αυτό το πράμα.. (ΙΔΕΑ) Για δεν κάνετε
έναν server που να έχει SSL, να κάνει login ο τεχνικός με το password
του και να ζητά μέσω web interface το password του πελάτη; Αν κάποιος
ξέρει php/cgi/servlets σε κάνα μήνα θα το έχει έτοιμο, και ίσως να
μπορέσει να πουληθεί και σε ανταγωνιστή (τσουπ, να και μία άλλη αγορά
που ανοίγεται). Ουσιαστικά, ένας web-based password manager με
εξαιρετικά στριφνό σύστημα authentication. Θέλει ο τεχνικός τα passwords
 ενός πελάτη; Τα ζητάει και για την υπόλοιπη μισή-μία ώρα να μην μπορεί
να ζητήσει τίποτα άλλο (εκτός και αν είναι ο Flash και τελειώνει τα
πάντα σε ένα 15λεπτο και προλαβαίνει να πάει στον επόμενο πελάτη)...

Επιπλέον, θα γράφεται και σε κάποια βάση πότε και από που αυτός ο
τεχνικός ζήτησε το password (αν βλέπεις κίνηση το βράδυ για παράδειγμα
κάτι περίεργο τρέχει) και θα έχεις και το κεφάλι σου ήσυχο.

>> Αν και δεν είμαι ειδικός της ασφάλειας, διακρίνω πολλές τρύπες
> αν αναζητάς φαντεζί τεχνολογίες και ασφάλεια για την ασφάλεια και όχι
> για να καλύψει μια ανάγκη δεν θα τα βρείς ποτέ σε αυτή την υλοποίηση

Φαντεζί τεχνολογίες οι smart cards και οι ψηφιακές υπογραφές και η
κρυπτογράφηση; Σίγουρα στην Ελλάδα δεν είναι ο κανόνας, αλλά that's the
way to go.

>> - εκτός
>> και αν όντως υπάρχει πρόβλεψη για όλα τα παραπάνω και δεν γίνονται
>> γνωστά για λόγους ασφαλείας ή ανταγωνισμού.
>>  
>>
> περί ασφάλειας: όχι δεν υπάρχει πρόβλεψη για digital signing και
> encryption γιατί όπως εξήγησα δεν προσφέρουν τίποτα στην περι ου ο λόγος
> εφαρμογή
> 
> περί ανταγωνισμού: 7 στους 10 ανταγωνιστές μας δεν ξέρουν τι είναι το
> ssh και νομίζουν ότι το python αφορά μόνο σε φίδια. Ο 1ας στους 10 ίσως
> κάτι να μάθει από μένα αλλά δεν με ενοχλεί καθόλου και οι άλλοι 2 είναι
> σίγουρα καλύτεροι μου και για'υτό δεν νοιάζονται.

Είστε στο top 3-4 και κρατιούνται τα passwords σε ένα txt; Για όνομα του
Θεού ρε παιδιά, ούτε στο σύστημά μου, που το μόνον σημαντικό είναι
κάποιες εργασίες για το πανεπιστήμιο, δεν κάνω τέτοια πράματα.

Δεν κάνω προσωπική επίθεση και ούτε θέλω να εκληφθεί ως τέτοια, αλλά
έπαθα σοκ (σικ)...