[vpsFree.cz: community-list] SSH - key fingerprints

Ondrej Kupka ondra.cap at gmail.com
Thu Nov 29 15:07:04 CET 2012


> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
> 
> Ja jsem si myslel, ze za tim bude neco podobnyho.
> 
> Riziko to neni, napad to zlej taky neni, kdyby nam ta diskuze o tom
> nezacala, jak zacala, mozna bychom se dopracovali k tomu, ze by to
> nekdo implementoval :)
> 
> Ale implementovat to ani neni potreba.
> 
> Prijdes na schuzi?
> 

Jojo, je to v planu, i kdyz je tenhle tejden docela pekelnej.

Ondra

> Snajpa
> 
> 
> On 11/29/2012 03:02 PM, Ondrej Kupka wrote:
>> Jasne no, ve finale je to docela usmevne, ale mozna bych mohl
>> napsat, jak jsem vlastne k dotazu dosel.
>> 
>> Zacal jsem nedavno cist VPN Illustrated, protoze ted delam v praci
>> VPNku. Samozrejme jsem se prokousal nejakym tim uvodem pres PPP,
>> PPTP, L2PT and stuff, kde jsem zjistil, ze situace je vlastne dost
>> hrozna. Prakticky nic neni bezpecne tak, jak technologie puvodne
>> zamyslely a zarucovaly. A z velke casti je to lemplovstvim bud v
>> implementaci nebo nastaveni. No a kdyz jsem byl plny takovychto
>> temnych myslenek a znechuceni, tak jsem si vzpomnel na to, jak jsem
>> JA SAM potvrdil ty fingerprints na vpsFree. A najednou jsem psal
>> email do mailing listu :D
>> 
>> On Nov 29, 2012, at 2:44 PM, Pavel Snajdr wrote:
>> 
>> On 11/29/2012 02:11 PM, Tomas Volf wrote:
>>>>>> 
>>>>>> Z toho, že předseda vpsfree do mailové konference píše jako
>>>>>> patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí
>>>>>> jenom narážka na "ur mum"
>>>>>> 
>>>>> 
>>>>> No, mozna bysme tu "debatu" (jestli se to tak fakt da
>>>>> nazvat) mohli trosku zklidnit ne? :)
>> 
>> 
>> Mas pravdu Tomasi.
>> 
>> Zbytecne si to beru moc osobne :) Na druhou stranu, to je u mne
>> normalni. Ja se strasne nerad pretvaruju a mam za to, ze ani na
>> mailing listech bych se nemel vydavat za nekoho, kdo nejsem - nerad
>> pisu strojeny a oficialni odpovedi a vyjadreni k "problemu". Kdo
>> mne trochu zna, vi, ze umim veci brat vazne, ale zaroven si z nich
>> dost casto delam srandu. Proste to jsem ja a menit to nehodlam -
>> komu se nelibi, nemusi se mnou komunikovat. Jenom si nekdy
>> neuvedomuju, ze podstatny prvky komunikace, jako napr. vyraz ve
>> tvari a intonace se v mailech ztraci - z nich je poznat, jak to kdy
>> myslim.
>> 
>> Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi
>> docela normalni jev.
>> 
>> Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo
>> realny, utocnik by musel:
>> 
>> 1. vedet, ze si clovek u nas udelal novy VPS 2. zachytit jeho IP
>> adresu 3. nekde na trase mezi nasim rackem a obeti premostit
>> veskerou konektivitu mezi temi body
>> 
>> Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho
>> delam srandu?
>> 
>> Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci
>> se vubec necim takovym zabyvat, je uz sama o sobe ohromne
>> pravdepodobna. Za druhy, vetsina trasy je vcelku secure z pohledu,
>> ze utocnik by musel mit opravdu velkou motivaci, aby se do
>> komunikace mohl dostat jeste v datacentru (v nasi siti je to docela
>> challenge udelat, kvuli tomu, jak funguje OpenVZ a routing nad
>> nim), nebo nekde na trase (pristup k tem uzlum nema kdekdo a kdo ho
>> ma, riskoval by vetsinou docela krute smluvni pokuty a navic
>> trestni stihani). Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny
>> wifi site - ale jestli se na VPS obet pripojuje odtamtud, tak to si
>> myslim, ze moznost podvrzeni SSH klice je posledni, co je jeji
>> problem. Za treti, kdo ma vubec duvod navazet se do komunikace VPS,
>> na kterem jeste vubec nic neni? To by ta motivace utocnika musela
>> bejt vylozene hodne vysoka vuci konkretni osobe obeti, ktera si
>> myslim, ze by asi o takovym riziku vedela - pak by ale napr. Ondra
>> nezacinal mail ve smyslu "asi jsem hodne paranoidni, ale...", nybrz
>> by psal "potreboval bych, abychom meli..."
>> 
>> Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle
>> riziko berou vazne? Seriozne? :)))) Lezim na zemi.
>> 
>> Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale 
>> nahravame falesnymu pocitu, ze je clovek u nas opravdu 100%
>> secure.
>> 
>> Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny,
>> ze 100% bezpecnost se s ni zarucit neda. Pro nase pouziti bych to
>> nazval jako "secure-enough", tedy dostatecne bezpecne, abychom si
>> nelezli navzajem do zeli a mohli povazovat svoje data jako ulozena
>> v bezpeci. Nad timhle vsim jsem stravil dlouhe hodiny premejsleni,
>> nez jsme vpsfree vubec realizovali - a bude to OpenVZ dostatecne
>> bezpecne? Na co bychom si meli dat bacha, abychom zustali
>> dostatecne secure? A vubec, co je v nasem kontextu "dostatecne
>> secure"? Jaka data tam budou lidi mit a jak moc potrebujeme
>> investovat do bezpecnosti?
>> 
>> Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v 
>> kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na 
>> schuzi a uvidite.
>> 
>> Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi.
>> Mno, naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze
>> sebe nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz 
>> transparentnost, tak transparentnost :) A ze je to opakovane? Ano,
>> je. Opakovane ze sebe a z toho druheho nechci delat idiota na
>> verejnosti.
>> 
>> Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety
>> fracek. Mysli si, ze mam bezpecnost u zadnice.
>> 
>> No co, pobavili jsme se, cas se vratit k praci a delat neco
>> uzitecnyho.
>> 
>> S uctenym pozdravem poklonu posila
>> 
>> Pavel Snajdr
>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> _______________________________________________
>>>>> Community-list mailing list Community-list at lists.vpsfree.cz 
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>> _______________________________________________ Community-list
>>> mailing list Community-list at lists.vpsfree.cz 
>>> http://lists.vpsfree.cz/listinfo/community-list
>> 
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz 
>> http://lists.vpsfree.cz/listinfo/community-list
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.12 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
> 
> iF4EAREIAAYFAlC3a6MACgkQdh+64ds5DabvLAD/Qn5BYkoyP9JpqnVZ6DnA550K
> jdWU4WQJ6mt9MBfJab8BAJIuD0BrpdcGtG1S6nwoExHKGBU2QDathS9V6tWAQ9/B
> =mgCq
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list




More information about the Community-list mailing list