DOVETE LEGGERLO!!!!
(è tutto vero ed estremamente vissuto!!!)
Lo sapevo che prima o poi succedeva... Uno dei clienti della societa' ha ricevuto una "visita" indesiderata. No, non sto' parlando dell'ufficio delle tasse, ma di un ladro, che nottetempo si e' introdotto negli uffici di questa gente e (tra le altre cose) si e' portato via un laptop di proprieta' del Super-Pisquano del cliente stesso.
Il che non sarebbe un grosso problema se Super-Pisquano non avesse avuto un foglietto con la password di accesso al laptop appiccicato al laptop stesso, ed in bella vista sul 'desktop' del laptop una volta acceso un file con l'esotico nome di "lista password"...
Ovviamente il super-pisquano non ha pensato di informarci della cosa, cosi' 24 ore dopo il furto ci siamo trovati con un'ospite indesiderato su uno dei server, fortunatamente il wannabe-cracker ha solo spianato un paio di database, ed io ho i backup, e sputtanato un paio di siti internet, ed io ho i backup.
Cosi' cambiate tutte le password e ripristinate le cose, siamo a consulto con il SL-Team, il motivo della chiamata: Security!
SL - I recenti avvenimenti da ${nome_cliente} hanno evidenziato cio' che si era temuto: la nostra rete e' esposta bla bla bla, yada yada yada...
...20 minuti dopo...
SL - ...e' pertanto necessario riassestare le nostre priorita' e le capacita' operative utilizzando un'ottica orientativa bla bla bla, yada yada yada...
...45 minuti dopo...
SL - ...cosi' il secondo monaco entra nel bordello ed il primo dice all'altro bla bla bla, yada yada yada...
...un'ora e 10 minuti dopo...
SL - ...poi si aggiunge un po' di pepe e si fa' rosolare aggiungendo marsala e girando lentamente bla bla bla, yada yada yada...
...un'ora e mezza dopo...
SL - ...e dopo la rotazione del polso, per ottenere un'ottimo swing e' necessario bilanciare il peso sulla gamba sinistra, muovendo la mazza verso l'alto ed in avanti bla bla bla, yada yada yada...
...un'ora e tre quarti dopo...
SL - (rivolgendosi a me) tu che ne pensi ?
IO - rrronff...zzz... rronnfff... *** EEEE??? CHE?COSA?COME?DOVE???
SL - hemmm... si parlava dei modi per migliorare la sicurezza...
IO - (sbadigliando) semplice: non usare password idiote e non scriverle su un foglio di carta appiccicato al computer.
SL - be', si', ma supponiamo che un'intruso si introduca dentro e...
IO - e non usare quell'accrocchio che memorizza le password in Windows.
SL - ...e riesca ad accedere ad uno dei server...
IO - senti, se qualcuno riesce a sfasciare una porta corazzata spessa 10 centimetri, piu' due porte in vetro antisfondamento, se li puo' anche prendere i server, io non vado certo li' a chiedergli cosa sta' facendo.
SL - no, intendevo dall'esterno...
IO - l'unico modo che qualcuno ha di accedere dall'esterno e' usando un computer riconosciuto, con una password riconosciuta ed un nome utente riconosciuto. Se quel beota non avesse scritto la sua schifosa password su un foglio di carta appiccicato al computer non sarebbe successo niente.
SL - appunto, bisognerebbe poter prevenire questi problemi.
IO - intendi fare un trapianto di cervello a tutti i nostri clienti?
SL - he? No! Intendo dire, esistono modi di migliorare la sicurezza...
...eccolo! lo so, adesso comincia con la storia della crittografia...
SL - ...per esempio usando un sistema crittografico...
...ecchetavevodettoio...
IO - la crittografia non ti fa' un'accidente se sai il nome e la password.
SL - ma come puoi sapere il nome e la password se sono crittografate ?
IO - ...leggendole da un fetentissimo file chiamato "Server e Password" che
un'idiota tiene in bella vista sul suo desktop ?
SL - ma se il file e' crittografato ?
IO - e se il file non c'e' per niente ?
SL - ma non puoi impedire ai clienti di tenere questa roba sul loro computer!
IO - e non puoi nemmeno obbligarli a crittografarli.
SL - infatti! Io intendevo dire di crittografare la connessione!
IO - e quale vantaggio speri di ottenere con questo ?
SL - hemmm...se la connessione e' crittografata nessuno puo' scoprire la password! IO - nessuno ha "scoperto" la password. L'hanno letta direttamente! E non che ci fosse un gran che da scoprire! Il nome utente era "admin" e la password "password"! Un ragazzino di 3 anni l'avrebbe indovinata al primo colpo! SL - appunto per questo io *Proibisco* di usare password cosi' semplici in futuro!
IO - qualcuno assai piu' potente di te ha *proibito* di rubare un 2500 anni fa' circa... non mi pare che i ladri siano spariti da allora...
SL - intendo dire che noi dobbiamo *impedire* che i clienti scelgano password cosi' stupide!
IO - e come conti di impedirglielo ? e come conti di impedirgli di scrivere le non-stupide password in un file o su un pezzo di carta che poi viene lasciato in bella vista sul computer o appiccicato allo stesso ?
SL - hemmm... e' necessario che noi per primi si dimostri come vengono utilizzate delle password seriamente...
IO - in tal caso hai voglia! la meta' dei clown che lavorano qua' dentro non sa' nemmeno che cosa e' una password! E questo mi ricorda... hai cambiato la tua password dall'ultima volta che te l'ho resettata perche' non te la ricordavi piu' ?
SL - certo che si'...
IO - vuoi dire che adesso non e' piu' (guardo il mio disorganizer)... le tue iniziali 3 volte ?
SL - ...hemmm... e tu come fai a saperlo ???
IO - perche' e' la stessa password che avevi prima di dimenticartela... in confronto la password di "default" (welcome) e' piu' sicura...
SL - ..hemmm... dobbiamo insistere durante le discussioni con i nostri clienti che vengano utilizzate delle password significative e che tali password rimangano segrete e non vengano facilmente divulgate! Dobbiamo "stressare" sulla sicurezza internamente e dimostrare che una buona sicurezza e' possibile...
IO - con questo branco di mammalucchi ?
SL - suvvia, non sono poi cosi' mammalucchi...
In quel momento un CL mette dentro la testa ...
CL - (rivolto a me) scusa... hai un'attimo ?
SL - (piuttosto seccato) siamo in riunione...
CL - si' ma devo scaricare la posta...
SL - embe' ?
CL - non mi ricordo piu' la password, l'avevo scritta su un foglio di carta ed incollato alla tastiera, ma quelli delle pulizie l'hanno buttato via....
SL - (cercando di ignorare il mio sguardo alla "te l'avevo detto") e non puoi aspettare un'attimo a scaricare la posta ?
CL - e' che ${nome_cliente} mi ha mandato via mail la password che devo usare per accedere al loro server ed aggiornare i loro dati...
IO - (rivolto ad SL) dicevi? "stressare sulla sicurezza internamente"? SL - ...hemmm....
Si', lo so che non dovrei rigirare il coltello nella piaga, pero'...
