Re: Consulenze e assunzione di responsabilita'

Il ven, 2003-10-24 alle 10:01, J0mb ha scritto:
> Buongiorno alla lista.
> Mi sembrava fosse passato un topic simile in lista ma o non ricordo bene o
> non l'ho trovato (nel qual caso mi scuso fin d'ora per il doppione).
> Effettuando consulenze per numerose aziende, mi trovo spesso nell'esigenza
> di lavorare con credenziali di root/domain admin. 
> A questo punto possono succedere diverse cose: 
> 
> - c'e' chi mi vorrebbe candidamente fornire la pass di root o administrator
> (sic) che rifiuto, e chiedo che mi venga configurato un account nominale con
> pari privilegi (quelli che mi servono per l'attivita' e nulla piu'). Al
> termine dell'attivita' ne richiedo la cancellazione.
> 
> - c'e' chi mi DEVE fornire la pass di root o administrator perche' quello e'
> l'unico account amministrativo sulla macchina e nessuno e' in grado di
> configurarmene uno.
> 
> - c'e' chi mi digita la password e mi sblocca la console (salvo poi
> lasciarmi intere ore da solo a fare, in teoria, cio' che voglio)...
> 
> In tutti i casi, i fatti sono che:
> 1) ricevo le credenziali di accesso ai sistemi e, con ogni probabilita'
> -nessuno- si preoccupera' di cambiarle quando me ne vado.
> 2) tutto il processo si svolge "a voce". 
> 3) Nessun'azienda mi ha mai chiesto di firmare un documento di assunzione di
> responsabilita' o simile, ne' ne sto usando uno io.
> 
> A questo punto vorrei chiedere agli esperti della lista un parere. Quale
> dovrebbe essere il miglior modo di procedere, in questi casi? E,
> soprattutto, non dovrebbe essere doverosa la presenza di un apposito
> documento scritto, in cui io dichiaro di ricevere le credenziali di accesso
> ai sistemi? (e tutelandomi quindi da abusi effettuati con tale account da
> eventuali terzi?). Oppure, non dovrei essere io ad avere un documento da
> utilizzare allo scopo? Se cosi' fosse, dove posso eventualmente trovare
> delle linee guida?
> 
> Per concludere, una precisazione: il contesto in cui si applica tutto questo
> consiste in realta' aziendali medio/piccole, senza personale IT e con
> livelli di informatizzazione bassissimi.
> 
> Grazie anticipatamente
> Alex
> 

L'annosa questione del rilascio di credenziali root/account credo abbia
colpito bene o male un po tutti quelli che, lavorando nell'IT o in
settori ad esso collegati, si ritrovano a fare lavori che necessitano
forzatamente di privilegi particolari. Personalmente ho avuto esperienze
di aziende i cui server venivano gestiti da gente che immaginava la
password come l'unico modo per tutelarsi, dimenticando che lasciare
qualcuno loggato da amministratore ha effetti peggiori del rilasciare
password root che si cambieranno sucessivamente. Politiche errate di
"tutto a stessa password" o "password sicura per sempre" sono alla base
di diverbi e discussioni su problemi legati al funzionamento stesso del
sistema. Sicuramente considerando la questione dal tuo lato, incorrere
in problemi di "responsabilit�" è una cosa molto probabile, e
proporzionale all'inettitudine dei presunti esperti con cui si ha a che
fare. Account temporanei sono ottime soluzioni, ma personalmente
dichiarazioni di responsabilitÃ? limitata e affini rimangono la scelta
migliore, soprattutto in caso di lavori presso aziende con dati
sensibili e cmq particolarmente delicati. Sicuramente ci si chiede se
questa non sia altro che una soluzione tappabuchi della cattiva gestione
dei privilegi da parte di admin/soci, ma sicuramente viaggiare su una
linea di fiducia o solo verbale risulta alla lunga controproducente e
dannosa per te e per chi gestisce il sistema. Quindi tutelarsi è meglio,
e soprattutto dimenticarsi la parola FIDUCIA. Quando si tratta di soldi,
la gente è pazza.
Aspetto con ansia opinioni a riguardo.

Andrea "cento" Mondelli



--
Email.it, the professional e-mail, gratis per te: http://www.email.it/f

Sponsor:
Conto Arancio. Zero spese, stessa banca, più interessi.
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mide7&d%-10

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List