[vpsFree.cz: community-list] SSH - key fingerprints
Ondrej Kupka
ondra.cap at gmail.com
Thu Nov 29 15:02:40 CET 2012
Jasne no, ve finale je to docela usmevne, ale mozna bych mohl napsat, jak jsem vlastne k dotazu dosel.
Zacal jsem nedavno cist VPN Illustrated, protoze ted delam v praci VPNku. Samozrejme jsem se prokousal nejakym tim uvodem pres PPP, PPTP, L2PT and stuff, kde jsem zjistil, ze situace je vlastne dost hrozna. Prakticky nic neni bezpecne tak, jak technologie puvodne zamyslely a zarucovaly. A z velke casti je to lemplovstvim bud v implementaci nebo nastaveni. No a kdyz jsem byl plny takovychto temnych myslenek a znechuceni, tak jsem si vzpomnel na to, jak jsem JA SAM potvrdil ty fingerprints na vpsFree. A najednou jsem psal email do mailing listu :D
On Nov 29, 2012, at 2:44 PM, Pavel Snajdr wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> On 11/29/2012 02:11 PM, Tomas Volf wrote:
>>>
>>> Z toho, že předseda vpsfree do mailové konference píše jako
>>> patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom
>>> narážka na "ur mum"
>>>
>>
>> No, mozna bysme tu "debatu" (jestli se to tak fakt da nazvat)
>> mohli trosku zklidnit ne? :)
>
>
> Mas pravdu Tomasi.
>
> Zbytecne si to beru moc osobne :)
> Na druhou stranu, to je u mne normalni. Ja se strasne nerad pretvaruju
> a mam za to, ze ani na mailing listech bych se nemel vydavat za
> nekoho, kdo nejsem - nerad pisu strojeny a oficialni odpovedi a
> vyjadreni k "problemu". Kdo mne trochu zna, vi, ze umim veci brat
> vazne, ale zaroven si z nich dost casto delam srandu. Proste to jsem
> ja a menit to nehodlam - komu se nelibi, nemusi se mnou komunikovat.
> Jenom si nekdy neuvedomuju, ze podstatny prvky komunikace, jako napr.
> vyraz ve tvari a intonace se v mailech ztraci - z nich je poznat, jak
> to kdy myslim.
>
> Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi docela
> normalni jev.
>
> Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny,
> utocnik by musel:
>
> 1. vedet, ze si clovek u nas udelal novy VPS
> 2. zachytit jeho IP adresu
> 3. nekde na trase mezi nasim rackem a obeti premostit veskerou
> konektivitu mezi temi body
>
> Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho delam
> srandu?
>
> Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci se
> vubec necim takovym zabyvat, je uz sama o sobe ohromne pravdepodobna.
> Za druhy, vetsina trasy je vcelku secure z pohledu, ze utocnik by
> musel mit opravdu velkou motivaci, aby se do komunikace mohl dostat
> jeste v datacentru (v nasi siti je to docela challenge udelat, kvuli
> tomu, jak funguje OpenVZ a routing nad nim), nebo nekde na trase
> (pristup k tem uzlum nema kdekdo a kdo ho ma, riskoval by vetsinou
> docela krute smluvni pokuty a navic trestni stihani).
> Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny wifi site - ale jestli
> se na VPS obet pripojuje odtamtud, tak to si myslim, ze moznost
> podvrzeni SSH klice je posledni, co je jeji problem.
> Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem
> jeste vubec nic neni? To by ta motivace utocnika musela bejt vylozene
> hodne vysoka vuci konkretni osobe obeti, ktera si myslim, ze by asi o
> takovym riziku vedela - pak by ale napr. Ondra nezacinal mail ve
> smyslu "asi jsem hodne paranoidni, ale...", nybrz by psal "potreboval
> bych, abychom meli..."
>
> Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle riziko
> berou vazne? Seriozne? :)))) Lezim na zemi.
>
> Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale
> nahravame falesnymu pocitu, ze je clovek u nas opravdu 100% secure.
>
> Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny, ze
> 100% bezpecnost se s ni zarucit neda.
> Pro nase pouziti bych to nazval jako "secure-enough", tedy dostatecne
> bezpecne, abychom si nelezli navzajem do zeli a mohli povazovat svoje
> data jako ulozena v bezpeci.
> Nad timhle vsim jsem stravil dlouhe hodiny premejsleni, nez jsme
> vpsfree vubec realizovali - a bude to OpenVZ dostatecne bezpecne? Na
> co bychom si meli dat bacha, abychom zustali dostatecne secure? A
> vubec, co je v nasem kontextu "dostatecne secure"? Jaka data tam budou
> lidi mit a jak moc potrebujeme investovat do bezpecnosti?
>
> Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v
> kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na
> schuzi a uvidite.
>
> Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi. Mno,
> naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze sebe
> nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz
> transparentnost, tak transparentnost :)
> A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho
> nechci delat idiota na verejnosti.
>
> Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety fracek.
> Mysli si, ze mam bezpecnost u zadnice.
>
> No co, pobavili jsme se, cas se vratit k praci a delat neco uzitecnyho.
>
> S uctenym pozdravem poklonu posila
>
> Pavel Snajdr
>
>>
>>
>>
>>
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.12 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iF4EAREIAAYFAlC3ZscACgkQdh+64ds5DaaQTAD/blH/qMwo5a0RoxSPplGGIsT9
> aUX1BBJnLXf2qMs0u14A/0OKjHKwIagPibKRqZbOMkLPgTM5bc5XUTHvXkdrJ5vH
> =hIlR
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
More information about the Community-list
mailing list