Administradores, Deuses ou precisam de restrições?

[MisterBlack]

Seguindo o conselho do colega de fórum E. Lima estou abrindo este tópico para discussão, acho interessante e por isso gostaria de ver a opinião de todos.

MM Se o local não foi adequado vai desculpando.

Os administradores são Deuses ou precisam de restrição?

Na minha humilde opinião com certeza eles precisam de restrição. No decorrer deste texto vou tentar mostrar uma parte limitada do por que tenho este pensamento, mas pode acreditar que vai muito mais além dos problemas de como eles guardam, e quem pode ter acesso, as informações dos usuários (falo isso pois este vai ser o foco principal do texto).

Vamos pensar no que um administrador insatisfeito com a empresa pode fazer, um cracker trabalhando como adm. vendendo informações para outras empresas. Um adm. em aviso prévio. Você como usuário comun já se fez estes questionamentos?

Como as senhas ficam guardadas nos servidores dos serviços que você utiliza? Elas são criptografadas? Alguém acessando com privilégios de administrador tem acesso a senha e demais informações dos usuários do serviço? Até onde vai o poder dos administradores?

Essas questões parecem óbvias quando estamos pensando em um servidor seguro, mas ao meu ver nem todos os administradores pensam assim. Por que se preocupar com a maneira como as senhas ficam guardadas no servidor? É fácil imaginar que alguém precisa ter acesso a este servidor, o que impediria que este alguém não veja as informações? Acho que isso é um problema, saber que alguém tem a senha de um serviço que eu utilizo me preocupa muito.

Sendo administrador do sistema para que o adm. precisaria da senha, afinal tem controle total? A maioria dos usuarios utilizam a mesma senha para vários serviços, o adm. poderia pegar a senha e testar nos outros serviços o que não levantaria nenhuma suspeita para si.

Criptografar as informações do usuário é o suficiente? Eu sempre achei que resolveria a maior parte dos problemas, mais percebi que nem todos pensam como eu. Imagino que criptografar as informações dos usuários do meu sistema, não só faria a proteção contra ataques mas também deixaria meus usuários mais tranquilos ao ler as politicas de segurança, afinal acho legal mostrar aos usuários como suas informações estão sendo protegidas, acho que pegaria mal dizer: Só eu (e todos que por um acaso venham a conseguir acesso de adm. no sistema) poderei ver os seus dados (inclusive aquela senha que você usa aqui e que é igual a do seu internet banking). Acho que ninguém se sentiria seguro.

Mas outro dia percebi que alguns adm. criptografam as informações no servidor mas podem desincriptar quando quiserem.

Se antes, com meu pensamento limitado eu já não poderia responder que a criptografia resolveria quanto mais agora que percebo que alguns adm. podem ver as informações? Na minha análise a criptografia, no caso do adm. poder desincriptar, não resolve muito o problema. Afinal se o adm. pode, por que outra pessoa não poderia? E se alguém conseguir acesso de Adm.? E quem protege os usuários do Adm.? Alguns adm. questionam com tom categorico e até zombador: E se o usuário esquecer a senha como vamos passar a senha para ele novamente? Falam isso tentando defender o direito a ter acesso a senha dos usuários.

Totalmente sem fundamento essa questão, um amigo (E.Lima) questionou de forma interessante: O que você acharia se ao ligar para o suporte do seu banco informando que esqueceu a senha de acesso ao internet banking o atendente (help desk) lhe pedisse um minuto e depois te passasse a senha (a que você esqueceu)?

Acho que peguei pesado com o funcionário de helpdesk tendo acesso a senha afinal os defensores falaram que só o adm. tem acesso a senha. Que seja, mesmo que o cara me explique com mil e um argumentos que ele sabe minha senha por que é administrador do sistema, e jurasse com a mão na biblia na frente do Papa que nunca usaria minha senha nem venderia ela para ninguém, eu contiuaria a utilizar os serviços deste banco.

Para os adm. que argumentam a necessidade de acesso a senha prevendo que o usuário possa esquecer a senha tenho uma dica:

- Criar uma senha padrão que obrigue o usuário a escolher uma nova senha no primeiro acesso com ela. Dessa forma sempre que o usuário tentar recuperar a senha seriam seguidos alguns passos que possam garantir que o usuário é realmente quem diz e em seguida a senha seria substituida pela padrão.

Obs. Este método pode ser utilizado obrigando ou não o usuário a trocar a senha no primeiro acesso, no caso de se optar por não aconselho que fique bem claro ao usuário o quanto perigoso é continuar utilizando a senha padrão.

Sei que este método possui suas falhas mais é válido utiliza-lo no caso de não querer chegar ao extremo de perder o usuário caso ele venha a esquecer a senha.

[E.Lima]

Agora podemos discutir melhor a questão.

a) Não repúdio
Se o administrador pode "ver" a minha senha, então o princípio do não repúldio não prevalece. Qualquer "caca" que for feita com o meu usuário, eu posso alegar
"Mas tem outras pessoas que sabem minha senha"
"Mas quem sabe?" o juiz pergunta
"Eu não sei TODOS, mas sei que o Administrador sabe".
A responsabilidade deixou de ser só minha e eu escapo pela tangente.

b) O acesso universal
Esta história que administrador tem que ter acesso tudo é coisa de v. NÂO TEM NÃO. Eu mesmo desenvolvo um trabalho em empresas para acabar com estes administradores-deus. NÃO TEM POR QUE TER ACESSO A QUALQUER COISA.
Existe um princípio de segregação de funções. Cada um só deve fazer o que está associado à sua função. Por que diabos o administrador tem que ter acesso ao cadastro de cliente? Ele vende algum produto? Não? então não tem que ter.
"ah, mas ele é root e tem acesso automático. Não dá para tirar".
O administrador não que ficar logado como root o dia inteiro. Isso é preguiça do administrador. Aliás, muitas empresas proibem(sabiamente) que o administrador use um "super-usuário" para suas atividades rotineiras como mandar e-mail, administrar uma série de coisas que não precisar ser "root" para fazer.
"ah, mas tem coisa que precisa"
QUANDO FOR NECESSÁRIO, use o super-usuário. No entanto quando "entrar" como root, todas as suas atividades DEVEM SER registradas.
Outro fato comum é que o administrador acaba tendo direito geral. Tem acesso como SYSADM no SGBD, às aplicações, etc.
"ah, só tem uma pessoa para fazer"
Ótimo. Então ele tem que ter acesso à tudo e mais alguma coisa. Mas se não houver outro para AUDITAR então a empresa tá ferrada. Precisa ter pelo menos DOIS para funcionar:
1) o administrador-deus que pode tudo MENOS desligar as trilhas de auditoria
2) o auditor, que pode nada mas pode acessar as trilhas de auditoria
Sem isso, não há segurança, pois não há controle de qualidade
Ah, outra coisa: administrador de segurança NÃO DEVE SER a mesma pessoa que efetua a manutenção do sistema operacional, aplicações, banco de dados, etc. UM administra a SEGURANçA, os outros administram PRODUTOS. Misturar as funções é criar problemas.

Posso dar aqui exemplos de trabalhos que fiz/estou fazendo.

Na empresa A, os administradores tinham acesso à tudo "por que e se desse um problema de madrugada?". Pois é, uma dia deu e o administrador, PARA NÂO IR de madrugada resolver, deu a senha dele ao operador para que este "efetuasse" os comandos necessários. Olha que lindo.
- Enquanto o operador falava com o administrador, ele estava fazendo outra atividade também, que era dar recriar uns arquivos de teste. ele estava eliminando um monte de arquivos do sistema de teste, e estava resolvendo um problem no sistema de produção.
- na hora do aperto, o operador se enganou e efetou o comando de eliminação do sistema de produção. O operador não tem acesso aos arquivos de produção e não conseguiria apagá-los, MAS...
- ele estava "logado" com o usuário do administrador....
- resultado: apagou o banco de dados de produção....
- pergunta que foi feita na época (depois de comer o toco do administrador por emprestar a senha) : por que o administrador pode eliminar arquivos de produção?????

Na empresa B, mesmo problema. O administrador da segurança era também o DBA. Bacana, ele podia ver o salário de todo mundo (e outras informações também). Aí, um outro cara ganhou aumento (escondido) mas ele ficou sabendo...
O que deu? ele pediu demissão. Mas a empresa B ficou com medo que ele tivesse plantado uma "bomba relógio" na empresa. Resultado, fomos lá para verificar.
"A que recursos ele tinha acesso?"
"A tudo"
"TUdo?"
"É"
Bom, resumindo não achamos nada. (Também se tivesse achado, eu ia me esforçar para que esse cara NUNCA mais teria arrumado emprego em outro lugar). O cara só ficou puto e foi trabalhar em outro lugar. Na boa.
Mas a empresa ficou parada algum tempo para descobrir isso.
c) criptografia/cifragem
Gostaria que alguem aqui me informasse um (unzinho só) motivo para o administrador colocar o sistema de "criptografia" de senhas em modo reversível (Dá para fazer isso no Windows, por exemplo). Os algoritmos atuais unidirecionais são tão comuns e difundidos que não sei por que fazer de outra maneira. Realmente não conheço. Armazenar senhas de um modo que possam ser tornadas "claras" de novo parece um furo enorme de segurança.

[Spectrum]

Oi vcs!
Eu acho que esse tópico vai dar muito oque falar....
Para começar eu queria dizer que concordo plenamente com vcs ao dizerem que os admins não deveriam ter acesso a tudo, eu particularmente iria matar um admin com uma serra elétrica se soubesse que ele (Todo Poderoso) tinha a senha do meu banco. Em outro post eu disse que tinha visto as senhas dos funcionários do hospital onde trabalho e acho que foi lá que essa discussão começou (de pensar que tudo isso começou com chocolate), então eu gostaria de me "explicar" antes de falar qualquer coisa. Nesse hospital o programa de gerenciamento hospitalar desde almoxarifado até o CTI foi feito por mim e pelo analista de sistemas do hospital, nesse programa as senhas são criptografadas sim, mas com método bidirecional, é uma criptografia simples que somente serve para impedir que alguém a veja em qualquer visualizador de texto puro. Eu realmente não pensem na ideia das pessoas usarem suas senhas do programa em outros lugares, como um banco por exemplo, e sinceramente eu não teria animo de testa-las uma a uma para conferir. O companheiro E.Lima não podiam ter dado exemplos melhores do que pode acontecer caso admins "super-man" tenham acesso pleno ao sistema, inclusive a nível judicial como foi citado por ele. Já faz uns 4 meses que eu e meu amigo estamos buscando implementar a segurança do nosso programa para vende-lo para outros hospitais, uma das soluções encontradas foi justamente a "descentralização do poder", tanto que para alteração do banco de dados é necessária as senhas de três usuários, evitando assim que o usuário responsável pelo banco de dados pudesse modifica-lo e até mesmo destrui-lo caso fosse demitido da empresa. Eu em minha humilde opnião acho que o principio para se acabar com os "super-man" é exatamente esse: descentralizar e desfocalizar o poder deles, utilizando-se também da auditoria como nosso amigo falou. Hoje para muitas empresas o seu banco de dados vale mais que a alma dos funcionários, não é correto que a chave da porta da frente do BD esteja na mão de uma pessoa que por dinheiro pode vende-la para qualquer concorrente. Eu com toda sinceridade sempre odiei administradores, mas já estou me acostumando com uma chícara de café gelado do lado do monitor o dia inteiro.

[Number One]

Nossa, como vocês escrevem... Tantas letras, me deixam tonto...

# Respondendo a pergunta do tópico

Conjuguem comigo crianças:
Eu erro
...
Eles erram
...
Nós erramos

Não necessariamente nesta ordem, porém acho que deu para entender. Não existem deuses (com "d", uma vez que com "D" só para Deus - onipotente, onipresente, oniciente e cristão!), todos são passíveis de erros, quem não admite isso já está errando.

Proposta para futuras respostas: Com espaços entre os parágrafos para não doer minha vista. Obrigado.

N1

[MisterBlack]

Citar[/b] (Number One @ Abr. 30 2004,02:16)]Nossa, como vocês escrevem... Tantas letras, me deixam tonto...

# Respondendo a pergunta do tópico

Conjuguem comigo crianças:
Eu erro
...
Eles erram
...
Nós erramos

Não necessariamente nesta ordem, porém acho que deu para entender.

Até este ponto deu para entender sim, mas o resto da sua mensagem ficou confuso.

Acho que uma discussão sobre o “D” ou “d” fugiria totalmente o tópico principal, por isso não explicarei o que pensei ao escrever com “D”.

Quanto ao assunto principal do tópico, spectrum, cuidado se alguém do seu hospital tentar te matar com uma serra elétrica. =)

Concordo com o E.Lima e achei muito interessante o exemplo de problemas judiciais, eu ainda não tinha imaginado este lado do problema em se ter um adm. que saiba a senha dos usuários.

[Number One]

MisterBlack, desculpa ae, ultimamente tenho sido meio rebuscado ao passar as minhas idéias. Mas a intenção foi das melhores :)

Falando em aspectos juridicos, coisa que eu deveria ter comentado no outro post se não estivesse tão tarde, essa semana saiu um artigo no portal Módulo sobre "A responsabilidade civil dos profissionais da informação". Recomendo a todos que leiam, pois é uma excelente explanação sobre o assunto, que é muito pouco abordado.

Até mais,

N1

[Chernobil_RS]

Realmente os "A"dministradores de sistemas têm um acesso muito alto e com muitas sobras!

 Porém supõen-se que seja este o propósito de uma conta administrativa, na minha opinião não devería-mos "atar" as permissões de um administrador, e sim procurar pessoas capazes e com caráter para serem administradoras!

 Esta é apenas a minha opinião!

 Saibam que a palavra que mais vejo durante o dia inteiro é:    ACCESS DENIED    ou simplesmente   ACESSO NEGADO!

ENQUANTO SOFRO NO MEU ESTÁGIO, APROVEITO AS HORAS VAGAS PARA PENSAR NO DIA EM QUE SEREI UM ADMINISTRADOR

[E.Lima]

na verdade, caro Chernobyl, pessoas 100% honestas (e queiram ser administradores) é um material muito raro; geralmente são mais "ligados"  em levitar, fazer milagres e outros atos afins....:)

[Number One]

Como dizia Jean-Jacques Rousseau; o homem nasce bom, a sociedade (ou melhor, as forças corruptoras da sociedade) que o corrompem.

N1

[Chernobil_RS]

Concordo plenamente com vocês, pena que não possamos descompilar o homem para criar um Administrador perfeito, mas enquanto isto nos contentamos com "Microsoft humanos" cheios de falhas!

 Estamos a meio caminho andado, pois fiquei sabendo que um Hacker descriptografou o GENOMA humano, quem sabe adicionando mais alguma variáveis não ficaria bom?
 E quem sabe até adicionar mais comandos antes do nosso "END."!!!

 Quem nunca errou que poste os próximos bytes!!!!