Proprietà delle password degli apparati

Discussione:

(troppo vecchio per rispondere)

THe_ZiPMaN

2015-09-28 09:23:29 UTC

Buongiorno,
un cliente X si avvale di un'azienda A per le attività di manutenzione
ordinaria della propria infrastruttura.
Dopo alcuni anni, in seguito ad una gara, l'azienda A perde la commessa
che viene presa dall'azienda B che vi subentra.

Tra le attività svolte da A c'è stata la configurazione della rete
Wireless (con apparati di proprietà del cliente X), che ora deve essere
modificata da B per soddisfare nuove esigenze. Alla richiesta di B di
avere le password di gestione degli apparati, A ha opposto il diniego
sostenendo che le password "sono loro" e che B deve arrangiarsi
resettando gli apparati.

Io ritengo che le password siano tutte del cliente X e che come tale
l'azienda A sia obbligata a comunicarle a X o, se è stata così cretina
da usare password comuni anche con altre clienti, a provvedere a proprie
spese al cambiamento della password con una da comunicare a X affinché X
possa disporre dei propri apparati.
In mancanza, dal mio punto di vista, può esserci una richiesta di danni
da parte di X che si ritrova con il disservizio del reset degli apparati
e con ore di lavoro extra da parte del nuovo assegnatario B.

Premetto che non ho alcuna conoscenza degli esatti termini contrattuali,
ma da quanto mi risulta su questo punto non era specificato nulla di
particolare nel contratto di servizio precedente.

Cosa ne pensano i legulei del NG? Ci sono riferimenti normativi in
proposito?

f/u it.diritto.internet

--
Flavio Visentin
There are only 10 types of people in this world:
those who understand binary, and those who don't.
http://al.howardknight.net/msgid.cgi?ID=131971124500

segarender

2015-09-28 10:56:16 UTC

Permalink

Post by THe_ZiPMaN
A ha opposto il diniego
sostenendo che le password "sono loro" e che B deve arrangiarsi
resettando gli apparati.

certo che in aGlia siete alla frutta
è pazzesco quel che sento

secondo me, richiesta formale scritta con minaccia di azioni legali in caso
di sconfigurazione da remoto e non fornitura delle pass.
io dico che davanti a lettera così ti danno quel che ti è dovuto.

a meno che, la configurazione non rientri in una proprietà intellettuale e
che quindi non te la vogliano "cedere".

THe_ZiPMaN

2015-09-28 11:49:49 UTC

Permalink

Post by segarender
secondo me, richiesta formale scritta con minaccia di azioni legali in
caso di sconfigurazione da remoto e non fornitura delle pass.
io dico che davanti a lettera così ti danno quel che ti è dovuto.

Anche secondo me. Ma volevo avere dei riferimenti legislativi.

Post by segarender
a meno che, la configurazione non rientri in una proprietà intellettuale
e che quindi non te la vogliano "cedere".

Nessuna IP. Secondo me è perché hanno usato una password generica che
usano un po' per tutto e non vogliono dirla ad altre aziende.
In ogni caso del motivo frega nulla... IMHO loro sono legalmente tenuti
a fornire le password di accesso amministrativo ai dispositivi del cliente.

--
Flavio Visentin
There are only 10 types of people in this world:
those who understand binary, and those who don't.
http://al.howardknight.net/msgid.cgi?ID=131971124500

Gabriele - onenet

2015-09-28 13:49:03 UTC

Permalink

Post by THe_ZiPMaN

Anche secondo me. Ma volevo avere dei riferimenti legislativi.

Post by segarender
a meno che, la configurazione non rientri in una proprietà intellettuale
e che quindi non te la vogliano "cedere".

Nessuna IP. Secondo me è perché hanno usato una password generica che
usano un po' per tutto e non vogliono dirla ad altre aziende.

Concordo.
Mi era capitata una cosa uguale parecchi anni fa, poi avevo trovato la pw da me
:) però avevano ammesso di usare la stessa per tutti i router ISDN che avevano
venduto in giro!

Post by THe_ZiPMaN
In ogni caso del motivo frega nulla... IMHO loro sono legalmente tenuti
a fornire le password di accesso amministrativo ai dispositivi del cliente.

Facci sapere come va a finire!

ciao

Gabriele

segarender

2015-09-28 15:15:42 UTC

Permalink

Post by THe_ZiPMaN
Nessuna IP. Secondo me è perché hanno usato una password generica che
usano un po' per tutto e non vogliono dirla ad altre aziende.

se è così basta che entrano dall'esterno, cambiano la pass generica con una
da voi scelta e ve la comunicano.

secondo me è pura e semplice ritorsione.

THe_ZiPMaN

2015-09-28 15:49:27 UTC

Permalink

Post by segarender

Post by THe_ZiPMaN
Nessuna IP. Secondo me è perché hanno usato una password generica che
usano un po' per tutto e non vogliono dirla ad altre aziende.

se è così basta che entrano dall'esterno,

Questo non possono farlo. E' accesso abusivo a sistema informatico.
E comunque (questo non lo so per certo nel caso di specie) la management
del WiFi di solito non è raggiungibile dal WiFi per ovvi motivi di
sicurezza.

Post by segarender
cambiano la pass generica con
una da voi scelta e ve la comunicano.

Certo. Basta che lo facciano e a loro spese. Vanno presso il cliente,
cambiano le password di gestione e se ne vanno.

Post by segarender
secondo me è pura e semplice ritorsione.

Claro.

--
Flavio Visentin
There are only 10 types of people in this world:
those who understand binary, and those who don't.
http://al.howardknight.net/msgid.cgi?ID=131971124500

segarender

2015-09-28 17:44:40 UTC

Permalink

Post by THe_ZiPMaN

Post by segarender
se è così basta che entrano dall'esterno,

Questo non possono farlo. E' accesso abusivo a sistema informatico.

previo accordo dicevo!
così non rivelano le pass comuni di anche altri.
se il problema è questo, ma non credo.

Post by THe_ZiPMaN
E comunque (questo non lo so per certo nel caso di specie) la management
del WiFi di solito non è raggiungibile dal WiFi per ovvi motivi di
sicurezza.

entrano via wan, ovvero gli date l'ip
nel caso viene uno di loro, pagato di quell'ora che perde, entra, cambia e
ve la da.
se devono proteggere la parola perchè su altri clienti è la stessa.

GabrieleMax

2015-10-02 12:32:21 UTC

Permalink

Post by THe_ZiPMaN
Nessuna IP. Secondo me è perché hanno usato una password generica che
usano un po' per tutto e non vogliono dirla ad altre aziende.

Usare la stessa password per tutti i clienti è una bella cagata, gli
apparati in questione si possono forzare avendo un accesso locale e
quindi si potrebbe "tranquillamente" fare un dump di tutta la
configurazione!

In una situazione di questo tipo o supponendo sia cosi' potrei io pinco
pallino farmi configurare l'apparato dall'azienda A forzarlo sapendo che
l'azienda A usa le stesse password per tutti i suoi clienti compresa la
super mega azienda Spa con sedi in tutto il mondo, alla faccia della
sicurezza!

Post by THe_ZiPMaN
In ogni caso del motivo frega nulla... IMHO loro sono legalmente tenuti
a fornire le password di accesso amministrativo ai dispositivi del cliente.

Scusa se mi permetto ma... un'azienda che si fa mettere delle password
da una ditta esterna senza poterle cambiare, resettare, etc. in
autonomia beh... è un'azienda gestita da un pirla!

Saluti!
GabrieleMax

THe_ZiPMaN

2015-10-02 14:51:06 UTC

Permalink

Post by GabrieleMax
In una situazione di questo tipo o supponendo sia cosi' potrei io pinco
pallino farmi configurare l'apparato dall'azienda A forzarlo sapendo che
l'azienda A usa le stesse password per tutti i suoi clienti compresa la
super mega azienda Spa con sedi in tutto il mondo, alla faccia della
sicurezza!

Eh... sono i classici negozietti che di informatica sanno sega ma che
danni ne fanno a iosa.

Post by GabrieleMax

Post by THe_ZiPMaN
In ogni caso del motivo frega nulla... IMHO loro sono legalmente tenuti
a fornire le password di accesso amministrativo ai dispositivi del cliente.

Scusa se mi permetto ma... un'azienda che si fa mettere delle password
da una ditta esterna senza poterle cambiare, resettare, etc. in
autonomia beh... è un'azienda gestita da un pirla!

Pubblica amministrazione... quindi direi che ci hai azzeccato.

--
Flavio Visentin
There are only 10 types of people in this world:
those who understand binary, and those who don't.
http://al.howardknight.net/msgid.cgi?ID=131971124500

Paperino

2015-10-05 23:46:35 UTC

Permalink

Post by GabrieleMax

Post by THe_ZiPMaN
Nessuna IP. Secondo me è perché hanno usato una password generica che
usano un po' per tutto e non vogliono dirla ad altre aziende.

Usare la stessa password per tutti i clienti è una bella cagata, gli
apparati in questione si possono forzare avendo un accesso locale e
quindi si potrebbe "tranquillamente" fare un dump di tutta la
configurazione!
In una situazione di questo tipo o supponendo sia cosi' potrei io pinco
pallino farmi configurare l'apparato dall'azienda A forzarlo sapendo che
l'azienda A usa le stesse password per tutti i suoi clienti compresa la
super mega azienda Spa con sedi in tutto il mondo, alla faccia della
sicurezza!

Riporto da un documento chiamato Schema pwd.txt; non dirò, per
ovvii motivi, di che ditta ROTFLinformatica si tratta.Vado a memoria
e probabilmente avrò toppato lo schema, ma è il concetto che conta.

*****************************
Schema pwd.txt

Possibili due approcci:
nomedittaAnnoInstallazioneApparati
oppure
nomeETipoApparatoAnnoDiInstallazione
esempio:
[nomedittaomesso]2007
oppure
Cisco37502007

Le password seguenti, quando è obbligatorio cambiarle, avranno
degli 1 o dei 2 aggiunti alternativamente all'inizio o alla fine, per
sei volte, poi si torna alla password originale:
1nomeditta2007
nomeditta20071
12nomeditta2007
1nomeditta200712
12nomeditta200712
121nomeditta200712
121nomeditta2007121
nomeditta2007

[seguivano altre indicazioni di secondaria importanza e le indicazioni
per cambiare le password]

Attenersi RIGOROSAMENTE a questo schema!!!
[i tre punti esclamativi erano nell'originale]
*****************************

OK, ora potete piangere. Anzi, no: prima dovete ancora sapere
che il foglietto con la stampa del file era appeso nel CED... o lo
sapevate già?

Bye, G.

Nox

2015-09-28 16:09:27 UTC

Permalink

Post by THe_ZiPMaN
Io ritengo che le password siano tutte del cliente X e che come tale
l'azienda A sia obbligata a comunicarle a X o, se è stata così cretina
da usare password comuni anche con altre clienti, a provvedere a proprie
spese al cambiamento della password con una da comunicare a X affinché X
possa disporre dei propri apparati.
In mancanza, dal mio punto di vista, può esserci una richiesta di danni
da parte di X che si ritrova con il disservizio del reset degli apparati
e con ore di lavoro extra da parte del nuovo assegnatario B.
Premetto che non ho alcuna conoscenza degli esatti termini contrattuali,
ma da quanto mi risulta su questo punto non era specificato nulla di
particolare nel contratto di servizio precedente.

Non credo che una password si possa definire "di qualcuno", e non credo
nemmeno che ci siano molte aziende che per affidare la gestione dei *propri*
sistemi a qualcuno, siano tanto imbecilli da farsi tagliare fuori dalla
propria infrastruttura, quindi dovrai cercare sentenza di casi simili o
assimilabili.
Ci sono sentenze riguardo dipendenti che non riconsegnano beni aziendale,
chiavi, e anche password. Mi viene in mente l'ordinanza 12450 21/05/2013
della cassazione riguardo un dipendente licenziato perchè negò la password
di un sistema ad un superiore.
Credo che la cosa sia + o - assimilabile ad un dipendente che non riconsegna
le chiavi di un mezzo aziendale, di una struttura o di un sistema
informatico come nel tuo caso.. quindi che fai? Non lo puoi ammazzare,
quindi al massimo cambi serratura a tue spese e poi vedi se vale la pena di
chiedere i danni.
Prima però bisogna mettere assieme tutti i pezzi della questione e *FARE*
leggere bene (da qualcuno che capisca quel che legge) ciò che c'era scritto
nel contratto per prevedere cosa l'azienda A potrebbe far saltar fuori dal
cappello una volta che siete entrambi in tribunale con le braghe calate.

Bruno

2015-09-28 18:16:30 UTC

Permalink

Post by THe_ZiPMaN
Buongiorno,
un cliente X si avvale di un'azienda A per le attività di manutenzione
ordinaria della propria infrastruttura.
Dopo alcuni anni, in seguito ad una gara, l'azienda A perde la commessa
che viene presa dall'azienda B che vi subentra.
Tra le attività svolte da A c'è stata la configurazione della rete
Wireless (con apparati di proprietà del cliente X), che ora deve essere
modificata da B per soddisfare nuove esigenze. Alla richiesta di B di
avere le password di gestione degli apparati, A ha opposto il diniego
sostenendo che le password "sono loro" e che B deve arrangiarsi
resettando gli apparati.

Se gli apparati sono del cliente, la soluzione migliore è quella di
richiedere di reimpostare le password degli apparati a default, con
contemporaneo scarico di responsabilità da parte di chi gestiva il tutto
Viceversa se gli apparati erano di proprietà della ditta che aveva
l'appalto allora non potrete avere nulla.
Ovviamente non si puo' pretendere di avere le loro password (potrebbe
benissimo essere che le abbiano usate anche su altri impianti), ma la
reimpostazione a default mi sembra molto piu' ragionevole.
Bisognerebbe anche vedere esattamente cosa c'era scritto sul contratto
di manutenzione.
Di solito (quando mi capita di amministrare sistemi wireless) il "guru"
del sistema possiede le password di accesso agli apparati messe in busta
chiusa e conservate in cassaforte (se per un qalsiasi motivo non dovessi
essere disponibile qualsiasi altro addetto deve essere in grado di
risolvere la situazione)

Di solito la password è dell'amministratore del sistema, ma comunque in
caso estremo dovreste avere un tabulato con riportata la configurazione
(o al limite il file di backup).
Spero che queste cose siano state scritte nel vecchio contratto (anche
eprchè se per caso si guastava un apparato se non si ha il backup sono
comunque cavoli amari).
Se invece non ci sono i backup direi che l'amministratore di sistema non
ha fatto correttamente il suo lavoro....

Post by THe_ZiPMaN
Premetto che non ho alcuna conoscenza degli esatti termini contrattuali,
ma da quanto mi risulta su questo punto non era specificato nulla di
particolare nel contratto di servizio precedente.
Cosa ne pensano i legulei del NG? Ci sono riferimenti normativi in
proposito?
f/u it.diritto.internet

--
Saluti
Bruno

Max max

2015-09-28 18:30:14 UTC

Permalink

Post by THe_ZiPMaN
Cosa ne pensano

Che A rischia grosso.
Non servono norme specifiche ma valgono quelle generali.
Un dato non irrilevante è quanto tempo è passato dalla nuova gara.