[vpsFree.cz: community-list] SSH - key fingerprints

Pavel Snajdr snajpa at snajpa.net
Thu Nov 29 15:05:23 CET 2012


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Ja jsem si myslel, ze za tim bude neco podobnyho.

Riziko to neni, napad to zlej taky neni, kdyby nam ta diskuze o tom
nezacala, jak zacala, mozna bychom se dopracovali k tomu, ze by to
nekdo implementoval :)

Ale implementovat to ani neni potreba.

Prijdes na schuzi?

Snajpa


On 11/29/2012 03:02 PM, Ondrej Kupka wrote:
> Jasne no, ve finale je to docela usmevne, ale mozna bych mohl
> napsat, jak jsem vlastne k dotazu dosel.
> 
> Zacal jsem nedavno cist VPN Illustrated, protoze ted delam v praci
> VPNku. Samozrejme jsem se prokousal nejakym tim uvodem pres PPP,
> PPTP, L2PT and stuff, kde jsem zjistil, ze situace je vlastne dost
> hrozna. Prakticky nic neni bezpecne tak, jak technologie puvodne
> zamyslely a zarucovaly. A z velke casti je to lemplovstvim bud v
> implementaci nebo nastaveni. No a kdyz jsem byl plny takovychto
> temnych myslenek a znechuceni, tak jsem si vzpomnel na to, jak jsem
> JA SAM potvrdil ty fingerprints na vpsFree. A najednou jsem psal
> email do mailing listu :D
> 
> On Nov 29, 2012, at 2:44 PM, Pavel Snajdr wrote:
> 
> On 11/29/2012 02:11 PM, Tomas Volf wrote:
>>>>> 
>>>>> Z toho, že předseda vpsfree do mailové konference píše jako
>>>>>  patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí
>>>>> jenom narážka na "ur mum"
>>>>> 
>>>> 
>>>> No, mozna bysme tu "debatu" (jestli se to tak fakt da
>>>> nazvat) mohli trosku zklidnit ne? :)
> 
> 
> Mas pravdu Tomasi.
> 
> Zbytecne si to beru moc osobne :) Na druhou stranu, to je u mne
> normalni. Ja se strasne nerad pretvaruju a mam za to, ze ani na
> mailing listech bych se nemel vydavat za nekoho, kdo nejsem - nerad
> pisu strojeny a oficialni odpovedi a vyjadreni k "problemu". Kdo
> mne trochu zna, vi, ze umim veci brat vazne, ale zaroven si z nich
> dost casto delam srandu. Proste to jsem ja a menit to nehodlam -
> komu se nelibi, nemusi se mnou komunikovat. Jenom si nekdy
> neuvedomuju, ze podstatny prvky komunikace, jako napr. vyraz ve
> tvari a intonace se v mailech ztraci - z nich je poznat, jak to kdy
> myslim.
> 
> Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi
> docela normalni jev.
> 
> Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo
> realny, utocnik by musel:
> 
> 1. vedet, ze si clovek u nas udelal novy VPS 2. zachytit jeho IP
> adresu 3. nekde na trase mezi nasim rackem a obeti premostit
> veskerou konektivitu mezi temi body
> 
> Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho
> delam srandu?
> 
> Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci
> se vubec necim takovym zabyvat, je uz sama o sobe ohromne
> pravdepodobna. Za druhy, vetsina trasy je vcelku secure z pohledu,
> ze utocnik by musel mit opravdu velkou motivaci, aby se do
> komunikace mohl dostat jeste v datacentru (v nasi siti je to docela
> challenge udelat, kvuli tomu, jak funguje OpenVZ a routing nad
> nim), nebo nekde na trase (pristup k tem uzlum nema kdekdo a kdo ho
> ma, riskoval by vetsinou docela krute smluvni pokuty a navic
> trestni stihani). Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny
> wifi site - ale jestli se na VPS obet pripojuje odtamtud, tak to si
> myslim, ze moznost podvrzeni SSH klice je posledni, co je jeji
> problem. Za treti, kdo ma vubec duvod navazet se do komunikace VPS,
> na kterem jeste vubec nic neni? To by ta motivace utocnika musela
> bejt vylozene hodne vysoka vuci konkretni osobe obeti, ktera si
> myslim, ze by asi o takovym riziku vedela - pak by ale napr. Ondra
> nezacinal mail ve smyslu "asi jsem hodne paranoidni, ale...", nybrz
> by psal "potreboval bych, abychom meli..."
> 
> Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle
> riziko berou vazne? Seriozne? :)))) Lezim na zemi.
> 
> Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale 
> nahravame falesnymu pocitu, ze je clovek u nas opravdu 100%
> secure.
> 
> Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny,
> ze 100% bezpecnost se s ni zarucit neda. Pro nase pouziti bych to
> nazval jako "secure-enough", tedy dostatecne bezpecne, abychom si
> nelezli navzajem do zeli a mohli povazovat svoje data jako ulozena
> v bezpeci. Nad timhle vsim jsem stravil dlouhe hodiny premejsleni,
> nez jsme vpsfree vubec realizovali - a bude to OpenVZ dostatecne
> bezpecne? Na co bychom si meli dat bacha, abychom zustali
> dostatecne secure? A vubec, co je v nasem kontextu "dostatecne
> secure"? Jaka data tam budou lidi mit a jak moc potrebujeme
> investovat do bezpecnosti?
> 
> Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v 
> kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na 
> schuzi a uvidite.
> 
> Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi.
> Mno, naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze
> sebe nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz 
> transparentnost, tak transparentnost :) A ze je to opakovane? Ano,
> je. Opakovane ze sebe a z toho druheho nechci delat idiota na
> verejnosti.
> 
> Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety
> fracek. Mysli si, ze mam bezpecnost u zadnice.
> 
> No co, pobavili jsme se, cas se vratit k praci a delat neco
> uzitecnyho.
> 
> S uctenym pozdravem poklonu posila
> 
> Pavel Snajdr
> 
>>>> 
>>>> 
>>>> 
>>>> 
>>>> _______________________________________________
>>>> Community-list mailing list Community-list at lists.vpsfree.cz 
>>>> http://lists.vpsfree.cz/listinfo/community-list
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz 
>> http://lists.vpsfree.cz/listinfo/community-list
> 
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz 
> http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAlC3a6MACgkQdh+64ds5DabvLAD/Qn5BYkoyP9JpqnVZ6DnA550K
jdWU4WQJ6mt9MBfJab8BAJIuD0BrpdcGtG1S6nwoExHKGBU2QDathS9V6tWAQ9/B
=mgCq
-----END PGP SIGNATURE-----



More information about the Community-list mailing list