Re: Peri asfaleias [was: Re: SOLVED: grep -i και ελληνικά κεφαλαία /πεζά]

[Nick Demou (enLogic)]

θα ξεκινήσω από το τέλος για να φωνάζει ο keramidas ότι παραβαίνω 
κάποιους περίεργους κανόνες posting (joke joke):

Giannis Papadopoulos wrote:

 >
 >Δεν κάνω προσωπική επίθεση και ούτε θέλω να εκληφθεί ως τέτοια, αλλά
 >έπαθα σοκ (σικ)...
 >
ΟΚ το ξέρω, αλλά ρε παιδιά, μην μιλήσει για ασφάλεια κανείς θα πέσετε να 
τον φάτε γιατί δεν έχει το "THE ULTIMATE SECURITY SYSTEM IN THE PLANNET 
(tm)". Όχι, δεν πιστεύω ότι έφτιαξα το τέλειο σύστημα άλλα είναι απλό, 
λειτουργεί και είναι αρκετά ασφαλές για το σκοπό που επιτελεί και για 
τον πεδίο στο οποίο δρα. Και όταν λέω αρκετά εννοώ πάντα με την μία και 
μοναδική για ζήτημα ασφάλειας προσέγγιση που από όσα ξέρω χρησιμοποιούν 
όλοι οι security experts - αυτή της σχετικής ασφάλειας. Δηλαδή είναι 
τόσο ασφαλές ώστε ένας κακόβουλος τρίτος θα βρει έναν άλλο πιο εύκολο 
δρόμο για να αποκτήσει την ίδια πληροφορία σε σχέση με το να επιτεθεί 
στο εν λόγο σύστημα απευθείας [1]. Ένα ανέκδοτο που έλεγε κάποιος 
security expert του οποίου το όνομα ξεχνώ (όπως τα περισσότερα) θα 
ξεδιαλύνει την σημασία αυτής της προσέγγισης καλύτερα:
<<κάθονται δυο φωτογράφοι στην ζούγκλα και φωτογραφίζουν ένα λιοντάρι. 
Ξαφνικά αυτό αρχίζει να τρέχει προς το μέρος τους εμφανώς πεινασμένο. Ο 
ένας πάει να φύγει αλλά βλέπει τον άλλο να φορά τα αθλητικά του 
παπούτσια και τα χάνει. "Καλά" του λέει "περιμένεις πως με αυτά θα 
τρέξεις πιο γρήγορα από το λιοντάρι?". Και ο άλλος του απαντά "όχι, αλλά 
θα τρέξω πιο γρήγορα από εσένα και εσύ είσαι αρκετός για να απασχολήσεις 
το λιοντάρι">>

 >Nick Demou (enLogic) wrote:
 >
 >>μα ρε παιδιά γιατί δυσκολευεστε να καταλάβετε οτι δεν μιλάμε για τα
 >>passwords των δικών μας χρηστών στο δικό μας σύστημα που το ελέγχουμε
 >>εμείς και ορίζουμε εμείς τους κανόνες και τις μεθόδους? Πάμε με ένα απλό
 >>παράδειγμα:
 >>
 >>* έχω έναν πελάτη
 >>* έχει κάνει μια σύνδεση και καλεί τεχνικό να του κάνει τις σχετικές
 >>ρυθμίσεις (δεν ξέρει ο άνθρωπος).
 >>* Πάει ο τεχνικός του δήνει ο πελάτης το χαρτάκι με το login / password
 >>και περιμένει να γήνει η δουλειά του.
 >>* Όταν μετά από 6 μήνες πάμε για format / επανεγκατάσταση απαιτεί από
 >>εμένα να γνωρίζω το password του. Αν δεν το ξέρω θεωρεί ότι δεν τον
 >>προσέχω. Να μα την Παναγία δεν σας κάνω πλάκα - έτσι σκέφτεται αρκετός
 >>κόσμος.
 >
 >
 >Δεν μίλησα για τα passwords των χρηστών στην εταιρία σας, μίλησα για την
 >ασφάλεια των χρηστών-πελατών (μάλλον μπερδέψαμε τους όρους μεταξύ μας).

Ναι, όντως, εύκολα την πατάει κανείς

 >Από τα πάνω έχουμε 2 προβλήματα:
 >1) Αυτό το χαρτάκι είναι εξαιρετικά επικίνδυνο - καταστρέφεται σωστά
 >μετά;

εγώ δηλαδή που στο σπίτι μου το password της σύνδεσης στο Internet το 
έχω σε χαρτάκι πρέπει να λιθοβοληθώ στην πλατεία ε? Μια συμβουλή

Χαλαρώστε... παν μέτρον άριστον...

δεν είναι όλα τα Passwords το ίδια - δεν κινδυνεύουν όλα με τον ίδιο 
τρόπο - δεν πρέπει να τα προστατεύεις όλα με τον ίδιο τρόπο. Η ασφάλεια 
δεν έρχεται χωρίς κόστος και το να προφυλάσσεις το password της σύνδεσης 
του σπιτιού σου με τεχνολογίες που σχεδιάστηκαν για τραπεζικές 
συναλλαγές σημαίνει ότι σπαταλάς resources αλλού παραμελώντας κάποια 
άλλη ανάγκη.

Και εν τέλη να το ξαναπώ γιατί το ξεχνάτε: δεν πληρώνομε από τον πελάτη 
για να του χαράξω την πολιτική του ασφάλειας. Φυσικά και θα τον 
συμβουλέψω όταν βλέπω απλά πράγματα να γίνονται λάθος αλλά από 'κει και 
πέρα δεν θα του επιβάλω τίποτα. Αν θέλει να κρατήσει το χαρτάκι ας το 
κάνει, αν δεν θέλει ας το κάνει επίσης. Για να καταλάβετε όχι μόνο δεν 
τους ελέγχω αλλά αν προσπαθήσω να τους βάλω στον ίσιο δρόμο της 
ασφάλειας θα μου βάλουν και χέρι που τους κάνω τη ζωή δύσκολη (οι 
περισσότεροι θα νομίσουν ότι απλά πάω να κάνω τα πράγματα περίπλοκα για 
να μ' έχουν ανάγκη και να τους παίρνω περισσότερα χρήματα)[2]. Μερικές 
φορές θα έχουν και δίκιο (ότι υπερβάλω - όχι ότι το κάνω για να τους 
πάρω τα χρήματα). Δεν έχουν όλη ανάγκη την ασφάλεια που εγώ φαντάζομε ως 
ελάχιστη. Ο πατέρας μου ποτέ δεν έβαλε πόρτα και κλειδαριά ασφαλείας ενώ 
κάποιοι γείτονες του το έκαναν. Είναι βλάκας και θα τον κλέψουν? Είναι 
μάγκας που γλίτωσε τα έξοδα? Έκαναν οι γείτονες του security risk 
analysis και είδαν ότι είναι συμφέρον να κάνουν την επένδυση? έκανε ο 
πατέρας μου? Έκανα εγώ? Όχι. Οπότε γιατί να του πω ότι πρέπει ή δεν 
πρέπει να κάνει το τάδε ή το δείνα?

 >Ποιος λέει ότι ο τεχνικός είναι απολύτου εμπιστοσύνης; Και αν
 >φύγει και θελήσει να εκδικηθεί (αυτό είναι πολύ κλασικό);
 >
κανείς δεν είναι απολύτου εμπιστοσύνης... ούτε ο εαυτός μου. Δεν σου 
κρύβω ότι κι εγώ έχω σκεφτεί να εκδικηθώ κάποιον πελάτη που μου φέρθηκε 
σκάρτα και πως πιστεύω ότι αν δεν είχα αρκετά ανεπτυγμένο αίσθημα ηθικής 
αλλά και ένα "ωχ αδελφέ" πνεύμα όταν όλα πάνε στραβά, θα το είχα κάνει 
σίγουρα (συγνώμη που ευλογώ τα γένια μου). Αν δεν εμπιστευτείς όμως 
κανέναν πρέπει να τα κάνεις ΟΛΑ μόνος σου (και όταν λέμε όλα εννοούμε να 
διαβάσεις και όλο το source του λειτουργικού και των εφαρμογών που 
χρησιμοποιείς αφότου έχεις μάθει για την C το σύμπαν και τα πάντα).

Παρεμπιπτόντως φαντάζομε ότι σε κάποιες εταιρείες που θεωρούν τους 
τεχνικούς ένα επίπεδο πάνω από τα PC τους μπορεί να είναι κλασικό αλλά 
σε εμάς τα δέκα χρόνια που εργοδοτώ τεχνικούς δεν μας έχει εκδικηθεί 
κανένας. Ίσως ο σεβασμός που προσπαθούμε να τους δείχνουμε να παίζει 
κάποιο ρόλο (...τα γένια μου και πάλι).

 >2) Μετά από 6 μήνες, αυτό το password κάπου υπάρχει, εκτός από την
 >εταιρία του πελάτη - συγκεκριμένα στην δικιά σας εταιρία. Σε ένα excel
 >(μαζί κιόλας με την υποδομή του πελάτη);
 >
ακριβώς επειδή δεν ήθελα να υπάρχει σε ένα excel  ακόμα και το λιγότερο 
κρίσιμο password έκανα ότι έκανα και υπάρχει αυτό το thread τώρα
παρεμπιπτόντως όμως αυτό το Password γίνεται transmit σε Plain text κάθε 
φορά που ο πελάτης παίρνει emails για'υτο... χαλαρώστε (μήπως το ξανάπα 
αυτό?)

 >
 >Ειλικρινά, αν ήξερα σε ποιες εταιρίες γίνεται αυτό, δεν θα ήθελα
 >συναλλαγές μαζί τους, όπως και δεν θα τους έδινα την πιστωτική μου...
 >
αυτό πρέπει να γίνεται περίπου στο 99% των εταιρειών που κάνεις τις 
συναλλαγές σου και δίνεις την πιστωτική σου. Πάντως ακόμα και γίνεται σε 
λιγότερες  θυμήσου ότι το 99% από τις εταιρείες που συναλλάσσεσαι 
τρέχουν στα PC τους windows οπότε περίπου το 15% των υπολογιστών τους 
είναι to some degree owned 
(http://www.groklaw.net/article.php?story=2005120902103731)
Συνεχίζει να σ' απασχολεί το χαρτάκι? Μήπως ο τεχνικός που θα εκδικηθεί?

 >
 >>>>Δεν ασχολούμε με το τι ψάχνουν οι περίεργοι (δεν έχω καν το χρόνο να το
 >>>>κάνω ακόμα και αν είχα την αρρωστημένη περιέργεια). Αυτό με το οποίο
 >>>>ασχολούμε είναι το *ποια* passwords πελάτων ζητήσαν να μάθουν οι
 >>>>τεχνικοί μας (με λίγα κάθε φορά που ο τεχνικός Χ ζητά να του 
προβάλει το
 >>>>πρόγραμμα το password του πελάτη Υ με περιγραφή σκοπιμότητας Ζ 
πέρνω ένα
 >>>>email με τα Χ,Υ,Ζ). ...
 >>>> >>>
 >>>Αυτά τα e-mails έρχονται και φεύγουν χωρίς ψηφιακές υπογραφές και
 >>>encryption;
 >>>
 >>>
 >>!?
 >>α) μα προς θεού ρε παιδιά αυτά τα emails ΦΥΣΙΚΑ ΚΑΙ ΔΕΝ ΠΕΡΙΕΧΟΥΝ ΤΟ
 >>PASSWORD ΤΟΥ ΠΕΛΑΤΗ
 >>β) τι στην ευχή να το κάνω το encryption και το digital signature ενός
 >>email που το στέλνει το πρόγραμμα μου, που τρέχει στον server μου και
 >>γράφει απλά
 >>"ο γιώργος ζήτησε το password του πελάτη Παπαδόπουλου Ν που αφορά σε
 >>'σύνδεση στην Forthnet' "?  Τι?
 >
 >
 >Και ποιος σου είπε ότι αυτό το e-mail έρχεται από κάποιον τεχνικό;
 >
Δεν τα στέλνει ο τεχνικός βρε Γιάννη. Το python script τα στέλνει 
αυτόματα (δεν γράφω τυχαία: "ενός email που το στέλνει το πρόγραμμα μου")

 >
 >Και άντε, πες θέλει να γίνεται αυτό το πράμα.. (ΙΔΕΑ) Για δεν κάνετε
 >έναν server που να έχει SSL, να κάνει login ο τεχνικός με το password
 >του και να ζητά μέσω web interface το password του πελάτη; Αν κάποιος
 >ξέρει php/cgi/servlets σε κάνα μήνα θα το έχει έτοιμο, και ίσως να
 >μπορέσει να πουληθεί και σε ανταγωνιστή (τσουπ, να και μία άλλη αγορά
 >που ανοίγεται). Ουσιαστικά, ένας web-based password manager με
 >εξαιρετικά στριφνό σύστημα authentication. Θέλει ο τεχνικός τα passwords
 > ενός πελάτη; Τα ζητάει και για την υπόλοιπη μισή-μία ώρα να μην μπορεί
 >να ζητήσει τίποτα άλλο (εκτός και αν είναι ο Flash και τελειώνει τα
 >πάντα σε ένα 15λεπτο και προλαβαίνει να πάει στον επόμενο πελάτη)...
 >Επιπλέον, θα γράφεται και σε κάποια βάση πότε και από που αυτός ο
 >τεχνικός ζήτησε το password (αν βλέπεις κίνηση το βράδυ για παράδειγμα
 >κάτι περίεργο τρέχει) και θα έχεις και το κεφάλι σου ήσυχο.
 >
μόλις περιέγραψες την υλοποίηση μου αλλά σε web interface εκδοχή. Η δική 
μου είναι σε command line interface για δύο λόγους:
1) επηδή είναι πολύ πιο απλή μου πήρε 2 ώρες και όχι ένα μήνα
2) επηδή είναι πολύ πιο απλή είμαι πιο σίγουρος ότι είναι σχετικά 
ασφαλής (the experts say that security = 1 / complexity )


 >>>Αν και δεν είμαι ειδικός της ασφάλειας, διακρίνω πολλές τρύπες
 >>
 >>αν αναζητάς φαντεζί τεχνολογίες και ασφάλεια για την ασφάλεια και όχι
 >>για να καλύψει μια ανάγκη δεν θα τα βρείς ποτέ σε αυτή την υλοποίηση
 >
 >
 >Φαντεζί τεχνολογίες οι smart cards και οι ψηφιακές υπογραφές και η
 >κρυπτογράφηση; Σίγουρα στην Ελλάδα δεν είναι ο κανόνας, αλλά that's the
 >way to go.
 >
Φαντεζί με την έννοια του όχι αρμόζουσες: αναφερόμουν στο encryption και 
digital signing του email που στέλνει το script από τον δικό μας server 
στο pc μου περνώντας από το δικό μας τοπικό δίκτυο για να μου πει κάτι 
που βασικά δεν ενδιαφέρει κανέναν άλλο.

 >>...
 >>
 >>περί ανταγωνισμού: 7 στους 10 ανταγωνιστές μας δεν ξέρουν τι είναι το
 >>ssh και νομίζουν ότι το python αφορά μόνο σε φίδια. Ο 1ας στους 10 ίσως
 >>κάτι να μάθει από μένα αλλά δεν με ενοχλεί καθόλου και οι άλλοι 2 είναι
 >>σίγουρα καλύτεροι μου και για'υτό δεν νοιάζονται.
 >
 >
 >Είστε στο top 3-4 και κρατιούνται τα passwords σε ένα txt; Για όνομα του
 >Θεού ρε παιδιά, ούτε στο σύστημά μου, που το μόνον σημαντικό είναι
 >κάποιες εργασίες για το πανεπιστήμιο, δεν κάνω τέτοια πράματα.
 >
αν το top 3 αφορά στην ενασχόληση με linux ναι είμαι ("στους τυφλούς 
βασιλεύει ο μονόφθαλμος...")

όσο για την τακτική της χρήσης txt:
Αν θέλω να το δω χιουμοριστικά θα σε παρέπεμπα να ρωτήσεις τους πιο 
"φανατικούς" Linuxαδες / unixαδες αυτής της λίστας ... αλλά πρόσεξε: εσύ 
μην την κακό-χαρακτηρίσεις ανοιχτά γιατί δεν θα σε πάρουν με καλό μάτι 
(θα αρχίσουν να ουρλιάζουν για κάτι ψευτο-συστήματα σαν το Domain Name 
System -τη ραχοκοκαλιά του internet όπως θα σου πουν- και άλλα τέτοια 
χαζά και το πως βασίζονται εξ ολοκλήρου σε txt).
Αν θέλω να το δω ψυχρά θα πρέπει να σου εξηγήσω τα εξής:
α) το txt file θέλει πολύ πιο απλές μεθόδους προσπέλασης (symplicity is 
good for secuirty, remember?)
β) όταν μιλάμε για ΈΝΑ αρχείο ΤΟ ΠΟΛΥ 100ΚΒ τότε δεν έχει και κανένα 
μειονέκτημα ταχύτητας
γ) όταν το data structure είναι ΕΝΑΣ πίνακας με ΤΕΣΣΕΡΑ FIELDS τότε δεν 
έχει και κανένα μειονέκτημα ευελιξίας
Με λίγα λόγια αν δεν έχω τίποτα να κερδίσω από ένα άλλο format γιατί να 
το αλλάξω? Για να λέω σαν την microsoft ότι έχω "Νέα Τεχνολογία"?


___________________________________________
[1] Πριν λίγο καιρό ένας γνωστός παράτησε τον υπολογιστή του σε ADSL με 
το RDP ενεργοποιημένο και χωρίς Password και όταν του είπα ότι 
κυνδηνευει μου είπε "αν μου το αποδήξεις και δεν μου λες μόνο μπαρούφες 
πάω πάσο" σε μια στιγμή που είχα μάθαινα το nmap. Έγραψα λοιπόν ένα bash 
script ελάχιστες γραμμές και όταν σε 1-2 ώρες τελείωσε είχα μια λίστα με 
200 hosts του OTEnet που είχαν RDP enabled στην default πόρτα εκ των 
οποίων 2 χωρίς password. Το ένα του φίλου μου. Θα είχε πλάκα να δω πόσοι 
ακόμα απο τους 200 θα είχαν password user/user ή 123 και τα σχετικά αλλά 
που να βρω καμιά ώρα ακόμα (δεν πάω στοίχημα αλλά δεν φαντάζομε να θέλει 
και πολύ παραπάνω). Φανταστείτε όλα αυτά από έναν κατά βάση άσχετο με το 
cracking και χωρίς να ψάξω για έτοιμα tools. Σκέφτηκα να συνδεθώ και 
αφήσω και στους άλλους ένα ευγενικό μήνυμα ότι έχουν ξεχάσει τα κλειδιά 
στην πόρτα αλλά μετά αποφάσισα ότι δεν άξιζε τον κόπο γιατί μπορεί και 
να έβρισκα εγώ τον μπελά μου (εδώ που τα λέμε δεν ξέρω αν είμαι ήδη 
υπόλογος σύμφωνα με το ελληνικό νόμο[3]). Anyway, το νόημα είναι ότι αν 
αυτό που ψάχνεις είναι τα εύκολα θύματα θα τα βρεις πολύ πολύ πιο 
γρήγορα αλλού. Και θα γλιτώσεις τον κόπο του να "σπάσεις" ένα αξιοπρεπές 
sshd και μετά να βρεις τρόπο για να δραπετεύσεις από ένα restricted 
application που έχει τρία operations (read a line from a well formed 
text file, write a line to this text file, send a one line email) 
υλοποιημένα με τις πιο απλές - παλιές - πολυ-δοκιμασμένες ρουτίνες της 
python και με user interface απελπιστικά μινιμαλιστικό. Γιατί λοιπόν να 
μπει στον κόπο κανείς?

[2] Μην ξεχνάτε ότι αναφέρομε στους ίδιους ανθρώπους που μαλλιάζει η 
γλώσσα σου να τους πείσεις να ξεκινήσουν μια κάποια μέθοδο backup και 
δεν το κάνουν Τους ίδιους ανθρώπους που δεν μπορείς να τους πείσεις ότι 
έχουν ανάγκη ένα decent firewall. Τους ίδιους ανθρώπους που έχουν 
Password 12345. Δεν είναι φυσικά όλοι οι πελάτες μας έτσι αλλά είναι 
αρκετοί (μιλάμε βέβαια στην πλειοψηφία τους για ιδιώτες και μικρές 
επιχειρήσεις με 3,4 PCs - δεν έχω αρκετή εμπειρία από μεγάλες 
επιχειρήσεις για να σας πω τι γίνεται εκεί)

[3] Έχω δει κάτι απίστευτες κοτσάνες στους ελληνικούς νόμους σχετικά με 
Η/Υ και έχω τρομάξει. Ας πούμε το ξέρετε ότι βάση του νόμου ένα email το 
οποίο λέει ότι προέρχεται από το "ndemou at enlogic.gr" έχει την ισχύ ενός 
έντυπου με την υπογραφή μου!!! Πρέπει να αποδείξω ότι είναι πλαστό 
αλλιώς θεωρείτε by default γνήσιο!!! (έτσι τουλάχιστον έγραφε μια 
δικηγόρος στο RAM σε ένα μονοσέλιδο αφιερωμένο ακριβώς σε αυτό το θέμα - 
χωρίς μάλλιστα να σχολιάζει πουθενά την τεχνική γελοιότητα του θέματος)
Ξέρει κανείς κανένα site που να ασχολείται με τέτοια θέματα (ελληνική 
νομοθεσία και Η/Υ)?