Criptografologia
Lo sapevo che prima o poi succedeva... Uno dei clienti della societa'
ha ricevuto una "visita" indesiderata. No, non sto' parlando dell'ufficio
delle tasse, ma di un ladro, che nottetempo si e' introdotto negli
uffici di questa gente e (tra le altre cose) si e' portato via un
laptop di proprieta' del Super-Pisquano del cliente stesso.
Il che non sarebbe un grosso problema se Super-Pisquano non avesse avuto
un foglietto con la password di accesso al laptop appiccicato al laptop
stesso, ed in bella vista sul 'desktop' del laptop una volta acceso un
file con l'esotico nome di "lista password"...
Ovviamente il super-pisquano non ha pensato di informarci della cosa, cosi'
24 ore dopo il furto ci siamo trovati con un'ospite indesiderato su uno
dei server, fortunatamente il wannabe-cracker ha solo spianato un paio di
database, ed io ho i backup, e sputtanato un paio di siti internet, ed io ho
i backup.
Cosi' cambiate tutte le password e ripristinate le cose, siamo a consulto
con il SL-Team, il motivo della chiamata: Security!
SL - I recenti avvenimenti da ${nome_cliente} hanno evidenziato cio' che
si era temuto: la nostra rete e' esposta bla bla bla, yada yada yada...
...20 minuti dopo...
SL - ...e' pertanto necessario riassestare le nostre priorita' e le capacita'
operative utilizzando un'ottica orientativa bla bla bla, yada yada yada...
...45 minuti dopo...
SL - ...cosi' il secondo monaco entra nel bordello ed il primo dice
all'altro bla bla bla, yada yada yada...
...un'ora e 10 minuti dopo...
SL - ...poi si aggiunge un po' di pepe e si fa' rosolare aggiungendo marsala
e girando lentamente bla bla bla, yada yada yada...
...un'ora e mezza dopo...
SL - ...e dopo la rotazione del polso, per ottenere un'ottimo swing e'
necessario bilanciare il peso sulla gamba sinistra, muovendo la mazza verso
l'alto ed in avanti bla bla bla, yada yada yada...
...un'ora e tre quarti dopo...
SL - (rivolgendosi a me) tu che ne pensi ?
IO - rrronff...zzz... rronnfff... *** EEEE??? CHE?COSA?COME?DOVE???
SL - hemmm... si parlava dei modi per migliorare la sicurezza...
IO - (sbadigliando) semplice: non usare password idiote e non scriverle su
un foglio di carta appiccicato al computer.
SL - be', si', ma supponiamo che un'intruso si introduca dentro e...
IO - e non usare quell'accrocchio che memorizza le password in Windows.
SL - ...e riesca ad accedere ad uno dei server...
IO - senti, se qualcuno riesce a sfasciare una porta corazzata spessa
10 centimetri, piu' due porte in vetro antisfondamento, se li puo'
anche prendere i server, io non vado certo li' a chiedergli cosa sta'
facendo.
SL - no, intendevo dall'esterno...
IO - l'unico modo che qualcuno ha di accedere dall'esterno e' usando un
computer riconosciuto, con una password riconosciuta ed un nome utente
riconosciuto. Se quel beota non avesse scritto la sua schifosa password
su un foglio di carta appiccicato al computer non sarebbe successo
niente.
SL - appunto, bisognerebbe poter prevenire questi problemi.
IO - intendi fare un trapianto di cervello a tutti i nostri clienti?
SL - he? No! Intendo dire, esistono modi di migliorare la sicurezza...
...eccolo! lo so, adesso comincia con la storia della crittografia...
SL - ...per esempio usando un sistema crittografico...
...ecchetavevodettoio...
IO - la crittografia non ti fa' un'accidente se sai il nome e la password.
SL - ma come puoi sapere il nome e la password se sono crittografate ?
IO - ...leggendole da un fetentissimo file chiamato "Server e Password" che
un'idiota tiene in bella vista sul suo desktop ?
SL - ma se il file e' crittografato ?
IO - e se il file non c'e' per niente ?
SL - ma non puoi impedire ai clienti di tenere questa roba sul loro computer!
IO - e non puoi nemmeno obbligarli a crittografarli.
SL - infatti! Io intendevo dire di crittografare la connessione!
IO - e quale vantaggio speri di ottenere con questo ?
SL - hemmm...se la connessione e' crittografata nessuno puo' scoprire la
password!
IO - nessuno ha "scoperto" la password. L'hanno letta direttamente! E non
che ci fosse un gran che da scoprire! Il nome utente era "admin" e
la password "password"! Un ragazzino di 3 anni l'avrebbe indovinata al
primo colpo!
SL - appunto per questo io *Proibisco* di usare password cosi' semplici in
futuro!
IO - qualcuno assai piu' potente di te ha *proibito* di rubare un 2500 anni
fa' circa... non mi pare che i ladri siano spariti da allora...
SL - intendo dire che noi dobbiamo *impedire* che i clienti scelgano password
cosi' stupide!
IO - e come conti di impedirglielo ? e come conti di impedirgli di scrivere
le non-stupide password in un file o su un pezzo di carta che poi viene
lasciato in bella vista sul computer o appiccicato allo stesso ?
SL - hemmm... e' necessario che noi per primi si dimostri come vengono
utilizzate delle password seriamente...
IO - in tal caso hai voglia! la meta' dei clown che lavorano qua' dentro
non sa' nemmeno che cosa e' una password! E questo mi ricorda... hai
cambiato la tua password dall'ultima volta che te l'ho resettata
perche' non te la ricordavi piu' ?
SL - certo che si'...
IO - vuoi dire che adesso non e' piu' (guardo il mio disorganizer)...
le tue iniziali 3 volte ?
SL - ...hemmm... e tu come fai a saperlo ???
IO - perche' e' la stessa password che avevi prima di dimenticartela...
in confronto la password di "default" (welcome) e' piu' sicura...
SL - ..hemmm... dobbiamo insistere durante le discussioni con i nostri
clienti che vengano utilizzate delle password significative e che
tali password rimangano segrete e non vengano facilmente divulgate!
Dobbiamo "stressare" sulla sicurezza internamente e dimostrare che
una buona sicurezza e' possibile...
IO - con questo branco di mammalucchi ?
SL - suvvia, non sono poi cosi' mammalucchi...
In quel momento un CL mette dentro la testa ...
CL - (rivolto a me) scusa... hai un'attimo ?
SL - (piuttosto seccato) siamo in riunione...
CL - si' ma devo scaricare la posta...
SL - embe' ?
CL - non mi ricordo piu' la password, l'avevo scritta su un foglio di carta
ed incollato alla tastiera, ma quelli delle pulizie l'hanno buttato
via....
SL - (cercando di ignorare il mio sguardo alla "te l'avevo detto") e non
puoi aspettare un'attimo a scaricare la posta ?
CL - e' che ${nome_cliente} mi ha mandato via mail la password che devo
usare per accedere al loro server ed aggiornare i loro dati...
IO - (rivolto ad SL) dicevi? "stressare sulla sicurezza internamente"?
SL - ...hemmm....
Si', lo so che non dovrei rigirare il coltello nella piaga, pero'...
Davide
30/07/2002 00:00
Previous Next
