Contrasenyes xifrades (o no)

He vist i aguantat (darrerament ja no) massa gent, les darreres hores, demanant explicacions per què a menéame guardàvem les contrasenyes en un camp de text senzill dins la base de dades. ÿs una cosa que va estar des del primer moment a la vista, no vam amagar pas cap retxa de codi ni l’estructura de la base de dades. Ningú no va dir res, però ara que algú ha intentat copiar-les –sense aconseguir-ho– els experts en seguretat i els crítics implacables surten devall les pedres.

Alguns programes guarden les contrasenyes en text pla i altres no. Molts, prou importants, no les guarden xifrades. No importa faci cap relació de llocs que no les xifren, cadascú pot fer la seva: si en demanar la contrasenya perduda (o no) us la poden enviar, és perquè la guarden sense xifrar.

En xifrar-la tot plegat és un poc més complicat. Tampoc gaire, però tot pesa quan hi ha tantes coses per a fer. Vam deixar aquesta part per a més endavant. Més d’un pic havíem recordat, amb en Ricardo, que encara estava pendent xifrar-les (i fer el mou-me, i millorar detalls del disseny, i implementar punts de web dins el lloc, i migrar a un servidor nou perquè aquest ja no aguanta tanta visita, i 38 coses més que tenc a les tasques pendents del Kontact).

Ho repetiré: vam pensar que calia xifrar-les, però més endavant. Tanmateix programes d’èxit, que han ajudat a pastar qualque milió [1], avui encara guarden les contrasenyes sense xifrar. Mai no havia vist cap d’aquests experts –els que avui he vist sortir devall les pedres– teoritzant, llarg i espès, sobre el greu que és això que hem fet. Fins i tot il·legal, m’han arribat a dir.

No fa gaire en Cornella deia que manquen iniciatives al nostre redol de món. ÿs fàcil d’explicar: falta empatia. No cal gaire cosa més, però en sobren moltes altres.

Sobren les persones que gasten en destruir els esforços que podrien usar en ajudar a construir. No importa ni tant sols que construeixin, basta no ataquin i tot plegat els sortiria força més econòmic –i a nosaltres també.

Sobren els qui defensen i justifiquen les persones que ataquen mentre no defensen les persones que construeixen.

Sobren lleis absurdes, des de la LSSI fins als impossibles de la LOPD contra persones que no fan cap mal a un món que no és el seu.

Sobren envestides contra el que encara ni ha sortit de l’ou (menéame encara no ha fet 3 mesos) però ai, sembla que ho aconseguiran. Quan surtin de l’ou tindran una feinada per a fer la primera ploma; per això cal plomar-los d’entrada. Així, si sobreviuen, seran ben forts! Tot són bones intencions, clar.

Fas un lloc útil, aconsegueixes que l’usin prou persones per què sigui interessant, no demanes cap dada personal, res és obligatori, poden entrar el nom que vulguin, modificar-ho en voler, els hi regales el codi perquè puguin saber fins al darrer detall d’allò que es fa amb la informació… i l’usen per ajudar-te? Ca! Per a cercar un error i atacar-te. Si t’ataquen t’ofereixen ajuda o simplement t’animen a seguir? Il·lus! T’obren un xat, a les 4 de la matinada per a dir-te que això és molt greu (i en van…) i que no compleixes la LOPD —a un lloc on no es guarden dades personals, que té pebrots la cosa. Ah, i «el meu conegut, saludat o amic» (no ho se ni m’importa) que ahir ens va atacar «estic segur que al principi no ho feia amb mala intenció». Diu que cometem il·legalitats i errors greus de programació algú que, tot seguit, sense despentinar-se, passa a defensar un vàndal informàtic?! I el que no es despentina resulta que fa feina al web

Ara les contrasenyes estan xifrades perquè en Ricardo ha dormit ben poc les darreres 24 hores.

El següent problema és trobar un servidor que no ens costi, cada més, més del que entra per publicitat a l’AdSense –si entra, perquè encara no han ingressat la del gener. No podem fer gaire modificacions més perquè els 192 MB del servidor contractat no donen per a gaire novetats més. Nosaltres tampoc, si ho analitzem amb seny. Mirem de contenir-lo, com sempre.


[1] Seguint el ritme actual d’ingressos, d’aquí a 10.000 mesos haurem fet un milió. Si no descomptem el cost de les hores que hi portem, clar.
Apunt sense més enllaços aposta. Els que falten lincaven històries que ara mateix em fan basarda; cerqueu-les i les trobareu.

Compartir

Entrada anterior
Entrevista a n’Albert Astals Cid
Entrada següent
Llei de Drew

5 comentaris. Leave new

  • No sé si sols és cosa del nostre ofici, però està molt extés el criticar la feina d’altres sense aportar res. ÿs molt més fàcil destruir que construir, això tots els vàndals ho saben prou bé, i de vàndals n’hi ha molts a la nostra societat i ara estan passant cap al món virtual.

    No puc entendre de cap de les maneres que la gent es dediqui a destruir enlloc de dedicar-se a construir coses o a ajudar a construir-les. Destruir no té mèrit i en el vostre cas m’ha sobtat veure tantes sangoneres justificant l’injustificable. Molta enveja és el que hi ha! Alguns en lloc de reconèixer la feina feta, la idea i la capacitat de posar-la en marxa, s’afegeixen a l’amoralitat dels capdefaves que sols fan mal per fet de fer-ho. Ho saben les seves mares el que han criat?

    El que em fa més gràcia són totes aquestes referències a la LOPD i a que és il·legal guardar les claus en clar. Collons, se l’han llegida alguna vegada a la llei aquests? La llei no diu com s’han de guardar les coses, sinó que s’han de tenir les mesures de seguretat suficients per a garantir l’integritat de les dades, i que les dades personals sols s’utilitzin per la finalitat que han estat captades.

    Quan em vaig enregistrar al meneame a cap lloc em deia que posas el meu nom i adreça. A cap lloc hi vaig posar la meva tarja. En definitiva, les dades que pot tenir el menéame de mi no fan que els gestors del web puguin identificar-me, i aquí rau gran part del quid de la llei. ÿs a dir, es podrien captar tota casta de dades personals, sempre que aquests no pemetéssin identificar unívocament un individui aquestes no es poden considerar subjectes a la LOPD.

    Una altra, des de quant menéame es dedica al comerç electrònic. Si no és així difícilment se li pot aplicar la LSSI.

    Està clar que les dues lleis estan tan mal fetes que qualsevol jutge les pot interpretar com li doni molt bé la gana i que segurament tothom que tengui una web o que tengui una empresa (del tipus que sigui) incumpleix d’una manera o altra alguna de les dues lleis (me pareix que d’això s’en diu indefensió legal). Treure la LOPD o la LSSI a cada petita cosa sols demostra dues coses: la ignorància o mala llet del que ho fa, i el mal fetes que estan aquestes lleis.

    Respon
  • La LOPD té bones intencions, cal protegir la gent. Però per aconseguir-ho demanen coses que fan que sigui just com dius: indefensió legal. Tothom amb un servidor s’exposa als 300.000 Eur només per un descuid de seguretat que deixi copiar un log del servidor, car consideren les IP (variables i tot) una dada personal! ÿs impossible tenir programari 100% segur. Tot i posar sistemàticament les darreres actualitzacions del sistema, amb tota la cura del món, sempre hi haurà algú que pot entrar-hi. Ningú no hauria de tenir un lloc web sense una vidriola de 300.000 Eur preparada pel que pugui passar? Un blog com el nostre també compta: el WordPress guarda adreces IP a la taula de comentaris. Podem dir que tenir un blog a Espanya significa córrer un risc molt greu –300.000 Eur no són broma. Tot plegat causa vertigen.

    Per altre banda, una història relacionada interessant, tant penosa que no mereix apunt, però que no em puc estar d’explicar. Mirau què passa quan trobes forats i els informes a alguns webmestres:

    Fart d’històries com aquesta a Blogmemes i després de l’atac de divendres al Menéame, en Ricardo envia un missatge al webmestre de Blogmemes (Eduardo Diaz) amb la idea d’ajudar-lo i que no alimenti aquestes històries. L’avisa de problemes de seguretat. Tampoc no amaga que està molest per les envestides personals –la noticia esmentada, recolzada pel Diaz; un apunt d’ell mateix al seu blog explicant perquè no s’havia d’usar Menéame i sí Blogmemes, aquest provocava vergonya aliena, tanta que sembla que l’ha esborrat.

    Què fa el Diaz? Arreglar tot d’una els problemes i donar les gràcies? Doncs no, publica el missatge del Ricardo al seu blog i tot seguit ho explica a Blogmemes dient que si Blogmemes desapareix, ja sabreu qui és!

    El tono no me gusta, y por eso lo hago público.
    Si dejan de ver este sitio, pueden preguntarse con justa razón de donde vienen los problemas.

    Com es pot ser tant ruc. Fer públiques vulnerabilitats del propi lloc i interpretant com amenaça una oferta d’ajuda! Així pensen els nostres «enemics». Desprès ens estranyem d’algunes coses, i tot plegat hauria de servir per a curar-nos d’espants.

    Respon
  • Benjamí, la LOPD és en el seu conjunt una llei que qualificaria com de força positiva (especialment si la comparem amb la resta de legislació que tracten temes més o menys relacionats). Primer per que estableix un concepte que considero molt important: el propietari de les dades és la persona i no el propietari del fitxer. En facilitar unes dades per tal que siguin incorporades en un fitxer, la persona dóna un dret temporal d’emmagatzemament de les mateixes i, en cap cas, la seva propietat.

    En conseqüència, com les dades són uns elements propietats de la persona, el propietari del fitxer ha d’aplicar les mesures de seguretat necessàries per tal de garantir que aquesta cessió temporal no es veu pertorbada d’alguna forma.

    Només per aquest concepte, em penso que gran part de la LOPD ja és una bona llei.

    No obstant, la legislació és del tot menys perfecta… per exemple, l’administració no pot ‘castigar’ amb multes a la pròpia administració. L’únic que pot fer és renyar-la en públic i poca cosa més.

    Sobre el tema de les adreces IP… l’agència les qualifica de dades de caràcter personal, però això que dius dels 300.000 euros de ‘preu de sortida’ per tenir una web és, senzillament, demagògia 😉 Al ser dades de caràcter bàsic. Per tant si aquesta és la única dada personal que tens, en cas d’un mal ús de les mateixes la sanció va des dels 600 euros fins als 60.000 euros.

    A més a més. el fet que algú entri als teus sistemes i et robi les dades, en cas de divulgar-les o fer-ne ús, el responsable seria justament el que t’ataca i no pas tu. Una altra cosa és que un usuari, a nivell particular, et denunciés en considerar que no has aplicat les mesures de protecció necessàries per a la dades, que han de ser proporcionals en funció de la criticitat de les mateixes.

    D’aquesta forma és com sempre han explicat la gent especialitzada en el tema que conec, que em mereix tota la credibilitat.

    Respon
  • Xavier, estem d’acord amb les intencions positives de la LOPD i també em va agradar aquest concepte de propietat de les dades, que sovint he repetit com a cosa bona.

    Però vaig trobar inquietant el cas de les IP, que vaig mirar en obrir aquest blog i tenir un MySQL amb una base de dades. Vaig trescar per un parell de fòrums, llegir articles de llocs especialitzats en dret, i vaig veure-hi la història dels 300.000 Eur, relacionada aposta, i em vaig escarrufar. Em va impactar. Ja pot ser que alguns missèrs ho facin gros per a semblar més necessaris. Gràcies per l’aclariment que poden ser de 600 fins a 60.000… em quedo més tranquil 😉

    Just per a reproduir l’impacte he cercat els llocs d’aleshores, però no els trobo. Aquest és el que s’hi assembla més:

    http://www.estudisjuridics.net/comentario.php?id=46

    Veig que relacionen la multa de 300.000 Eur amb el no registre. Caldria doncs que tots els blogaires registréssim les nostres bases de dades? Jo no puc furgar aquests temes; és que m’agafen mals de ventre 🙁

    Respon
  • […] ÿltimament en Ricardo i en Benjamí estan tinguent encara més crítiques, relacionades en aquest cas amb forats trobats al codi del Menéame i la gestió de les contrassenyes. ÿs vergonyós que el fet d’alliberar el codi bàsicament serveixi per patir aquest tipus d’atacs. Crec que són bones les crítiques, només faltaria, i que si quelcom no funciona o hi ha un bug s’ha de notificar i solucionar-ho a qui li pertoqui. Però si es vol ser constructiu aquestes no són les formes; aquestes són les formes d’un simple cracker. […]

    Respon

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Fill out this field
Fill out this field
Introduïu una adreça electrònica vàlida.

Aquest lloc utilitza Akismet per reduir els comentaris brossa. Apreneu com es processen les dades dels comentaris.