faretesto > diritto.* > diritto.internet

THe_ZiPMaN (28.09.2015, 11:23)
Buongiorno,
un cliente X si avvale di un'azienda A per le attività di manutenzione
ordinaria della propria infrastruttura.
Dopo alcuni anni, in seguito ad una gara, l'azienda A perde la commessa
che viene presa dall'azienda B che vi subentra.

Tra le attività svolte da A c'è stata la configurazione della rete
Wireless (con apparati di proprietà del cliente X), che ora deve essere
modificata da B per soddisfare nuove esigenze. Alla richiesta di B di
avere le password di gestione degli apparati, A ha opposto il diniego
sostenendo che le password "sono loro" e che B deve arrangiarsi
resettando gli apparati.

Io ritengo che le password siano tutte del cliente X e che come tale
l'azienda A sia obbligata a comunicarle a X o, se è stata così cretina
da usare password comuni anche con altre clienti, a provvedere a proprie
spese al cambiamento della password con una da comunicare a X affinché X
possa disporre dei propri apparati.
In mancanza, dal mio punto di vista, può esserci una richiesta di danni
da parte di X che si ritrova con il disservizio del reset degli apparati
e con ore di lavoro extra da parte del nuovo assegnatario B.

Premetto che non ho alcuna conoscenza degli esatti termini contrattuali,
ma da quanto mi risulta su questo punto non era specificato nulla di
particolare nel contratto di servizio precedente.

Cosa ne pensano i legulei del NG? Ci sono riferimenti normativi in
proposito?

f/u it.diritto.internet
segarender (28.09.2015, 12:56)
"THe_ZiPMaN" ha scritto nel messaggio
news:bb01

>A ha opposto il diniego
>sostenendo che le password "sono loro" e che B deve arrangiarsi
>resettando gli apparati.


certo che in aGlia siete alla frutta
è pazzesco quel che sento

secondo me, richiesta formale scritta con minaccia di azioni legali in caso
di sconfigurazione da remoto e non fornitura delle pass.
io dico che davanti a lettera così ti danno quel che ti è dovuto.

a meno che, la configurazione non rientri in una proprietà intellettuale e
che quindi non te la vogliano "cedere".
THe_ZiPMaN (28.09.2015, 13:49)
On 28/09/2015 12:56, segarender wrote:
> secondo me, richiesta formale scritta con minaccia di azioni legali in
> caso di sconfigurazione da remoto e non fornitura delle pass.
> io dico che davanti a lettera così ti danno quel che ti è dovuto.


Anche secondo me. Ma volevo avere dei riferimenti legislativi.

> a meno che, la configurazione non rientri in una proprietà intellettuale
> e che quindi non te la vogliano "cedere".


Nessuna IP. Secondo me è perché hanno usato una password generica che
usano un po' per tutto e non vogliono dirla ad altre aziende.
In ogni caso del motivo frega nulla... IMHO loro sono legalmente tenuti
a fornire le password di accesso amministrativo ai dispositivi del cliente.
Gabriele - onenet (28.09.2015, 15:49)
THe_ZiPMaN wrote on 28/09/15 13:49:
> On 28/09/2015 12:56, segarender wrote:
> Anche secondo me. Ma volevo avere dei riferimenti legislativi.
> Nessuna IP. Secondo me è perché hanno usato una password generica che
> usano un po' per tutto e non vogliono dirla ad altre aziende.


Concordo.
Mi era capitata una cosa uguale parecchi anni fa, poi avevo trovato la pw da me
:) però avevano ammesso di usare la stessa per tutti i router ISDN che avevano
venduto in giro!

> In ogni caso del motivo frega nulla... IMHO loro sono legalmente tenuti
> a fornire le password di accesso amministrativo ai dispositivi del cliente.


Facci sapere come va a finire!

ciao

Gabriele
segarender (28.09.2015, 17:15)
"THe_ZiPMaN" ha scritto nel messaggio
news:j6n1

>Nessuna IP. Secondo me è perché hanno usato una password generica che
>usano un po' per tutto e non vogliono dirla ad altre aziende.


se è così basta che entrano dall'esterno, cambiano la pass generica con una
da voi scelta e ve la comunicano.

secondo me è pura e semplice ritorsione.
THe_ZiPMaN (28.09.2015, 17:49)
On 28/09/2015 17:15, segarender wrote:
> "THe_ZiPMaN" ha scritto nel messaggio
> news:j6n1
>> Nessuna IP. Secondo me è perché hanno usato una password generica che
>> usano un po' per tutto e non vogliono dirla ad altre aziende.

> se è così basta che entrano dall'esterno,


Questo non possono farlo. E' accesso abusivo a sistema informatico.
E comunque (questo non lo so per certo nel caso di specie) la management
del WiFi di solito non è raggiungibile dal WiFi per ovvi motivi di
sicurezza.

> cambiano la pass generica con
> una da voi scelta e ve la comunicano.


Certo. Basta che lo facciano e a loro spese. Vanno presso il cliente,
cambiano le password di gestione e se ne vanno.

> secondo me è pura e semplice ritorsione.


Claro.
Nox (28.09.2015, 18:09)
>"THe_ZiPMaN" ha scritto nel messaggio
[..]
>Premetto che non ho alcuna conoscenza degli esatti termini contrattuali,
>ma da quanto mi risulta su questo punto non era specificato nulla di
>particolare nel contratto di servizio precedente.


Non credo che una password si possa definire "di qualcuno", e non credo
nemmeno che ci siano molte aziende che per affidare la gestione dei *propri*
sistemi a qualcuno, siano tanto imbecilli da farsi tagliare fuori dalla
propria infrastruttura, quindi dovrai cercare sentenza di casi simili o
assimilabili.
Ci sono sentenze riguardo dipendenti che non riconsegnano beni aziendale,
chiavi, e anche password. Mi viene in mente l'ordinanza 12450 21/05/2013
della cassazione riguardo un dipendente licenziato perchè negò la password
di un sistema ad un superiore.
Credo che la cosa sia + o - assimilabile ad un dipendente che non riconsegna
le chiavi di un mezzo aziendale, di una struttura o di un sistema
informatico come nel tuo caso.. quindi che fai? Non lo puoi ammazzare,
quindi al massimo cambi serratura a tue spese e poi vedi se vale la pena di
chiedere i danni.
Prima però bisogna mettere assieme tutti i pezzi della questione e *FARE*
leggere bene (da qualcuno che capisca quel che legge) ciò che c'era scritto
nel contratto per prevedere cosa l'azienda A potrebbe far saltar fuori dal
cappello una volta che siete entrambi in tribunale con le braghe calate.
segarender (28.09.2015, 19:44)
"THe_ZiPMaN" ha scritto nel messaggio
news:1rf1

>> se è così basta che entrano dall'esterno,


>Questo non possono farlo. E' accesso abusivo a sistema informatico.


previo accordo dicevo!
così non rivelano le pass comuni di anche altri.
se il problema è questo, ma non credo.

>E comunque (questo non lo so per certo nel caso di specie) la management
>del WiFi di solito non è raggiungibile dal WiFi per ovvi motivi di
>sicurezza.


entrano via wan, ovvero gli date l'ip
nel caso viene uno di loro, pagato di quell'ora che perde, entra, cambia e
ve la da.
se devono proteggere la parola perchè su altri clienti è la stessa.
Bruno (28.09.2015, 20:16)
Il 28/09/15 11:23, THe_ZiPMaN ha scritto:
[..]
> avere le password di gestione degli apparati, A ha opposto il diniego
> sostenendo che le password "sono loro" e che B deve arrangiarsi
> resettando gli apparati.


Se gli apparati sono del cliente, la soluzione migliore è quella di
richiedere di reimpostare le password degli apparati a default, con
contemporaneo scarico di responsabilità da parte di chi gestiva il tutto
Viceversa se gli apparati erano di proprietà della ditta che aveva
l'appalto allora non potrete avere nulla.
Ovviamente non si puo' pretendere di avere le loro password (potrebbe
benissimo essere che le abbiano usate anche su altri impianti), ma la
reimpostazione a default mi sembra molto piu' ragionevole.
Bisognerebbe anche vedere esattamente cosa c'era scritto sul contratto
di manutenzione.
Di solito (quando mi capita di amministrare sistemi wireless) il "guru"
del sistema possiede le password di accesso agli apparati messe in busta
chiusa e conservate in cassaforte (se per un qalsiasi motivo non dovessi
essere disponibile qualsiasi altro addetto deve essere in grado di
risolvere la situazione)

> Io ritengo che le password siano tutte del cliente X e che come tale
> l'azienda A sia obbligata a comunicarle a X o, se è stata così cretina
> da usare password comuni anche con altre clienti, a provvedere a proprie
> spese al cambiamento della password con una da comunicare a X affinché X
> possa disporre dei propri apparati.
> In mancanza, dal mio punto di vista, può esserci una richiesta di danni
> da parte di X che si ritrova con il disservizio del reset degli apparati
> e con ore di lavoro extra da parte del nuovo assegnatario B.


Di solito la password è dell'amministratore del sistema, ma comunque in
caso estremo dovreste avere un tabulato con riportata la configurazione
(o al limite il file di backup).
Spero che queste cose siano state scritte nel vecchio contratto (anche
eprchè se per caso si guastava un apparato se non si ha il backup sono
comunque cavoli amari).
Se invece non ci sono i backup direi che l'amministratore di sistema non
ha fatto correttamente il suo lavoro....
[..]
Max max (28.09.2015, 20:30)
Il 28/09/2015 11.23, THe_ZiPMaN ha scritto:

> Cosa ne pensano


Che A rischia grosso.
Non servono norme specifiche ma valgono quelle generali.
Un dato non irrilevante è quanto tempo è passato dalla nuova gara.
GabrieleMax (02.10.2015, 14:32)
> Nessuna IP. Secondo me è perché hanno usato una password generica che
> usano un po' per tutto e non vogliono dirla ad altre aziende.


Usare la stessa password per tutti i clienti è una bella cagata, gli
apparati in questione si possono forzare avendo un accesso locale e
quindi si potrebbe "tranquillamente" fare un dump di tutta la
configurazione!

In una situazione di questo tipo o supponendo sia cosi' potrei io pinco
pallino farmi configurare l'apparato dall'azienda A forzarlo sapendo che
l'azienda A usa le stesse password per tutti i suoi clienti compresa la
super mega azienda Spa con sedi in tutto il mondo, alla faccia della
sicurezza!

> In ogni caso del motivo frega nulla... IMHO loro sono legalmente tenuti
> a fornire le password di accesso amministrativo ai dispositivi del cliente.


Scusa se mi permetto ma... un'azienda che si fa mettere delle password
da una ditta esterna senza poterle cambiare, resettare, etc. in
autonomia beh... è un'azienda gestita da un pirla!

Saluti!
GabrieleMax
THe_ZiPMaN (02.10.2015, 16:51)
On 02/10/2015 14:32, GabrieleMax wrote:
> In una situazione di questo tipo o supponendo sia cosi' potrei io pinco
> pallino farmi configurare l'apparato dall'azienda A forzarlo sapendo che
> l'azienda A usa le stesse password per tutti i suoi clienti compresa la
> super mega azienda Spa con sedi in tutto il mondo, alla faccia della
> sicurezza!


Eh... sono i classici negozietti che di informatica sanno sega ma che
danni ne fanno a iosa.

>> In ogni caso del motivo frega nulla... IMHO loro sono legalmente tenuti
>> a fornire le password di accesso amministrativo ai dispositivi del
>> cliente.

> Scusa se mi permetto ma... un'azienda che si fa mettere delle password
> da una ditta esterna senza poterle cambiare, resettare, etc. in
> autonomia beh... è un'azienda gestita da un pirla!


Pubblica amministrazione... quindi direi che ci hai azzeccato.
Paperino (06.10.2015, 01:46)
GabrieleMax ha scritto:
> Usare la stessa password per tutti i clienti è una bella cagata, gli
> apparati in questione si possono forzare avendo un accesso locale e
> quindi si potrebbe "tranquillamente" fare un dump di tutta la
> configurazione!
> In una situazione di questo tipo o supponendo sia cosi' potrei io pinco
> pallino farmi configurare l'apparato dall'azienda A forzarlo sapendo che
> l'azienda A usa le stesse password per tutti i suoi clienti compresa la
> super mega azienda Spa con sedi in tutto il mondo, alla faccia della
> sicurezza!


Riporto da un documento chiamato Schema pwd.txt; non dirò, per
ovvii motivi, di che ditta ROTFLinformatica si tratta.Vado a memoria
e probabilmente avrò toppato lo schema, ma è il concetto che conta.

*****************************
Schema pwd.txt

Possibili due approcci:
nomedittaAnnoInstallazioneApparati
oppure
nomeETipoApparatoAnnoDiInstallazione
esempio:
[nomedittaomesso]2007
oppure
Cisco37502007

Le password seguenti, quando è obbligatorio cambiarle, avranno
degli 1 o dei 2 aggiunti alternativamente all'inizio o alla fine, per
sei volte, poi si torna alla password originale:
1nomeditta2007
nomeditta20071
12nomeditta2007
1nomeditta200712
12nomeditta200712
121nomeditta200712
121nomeditta2007121
nomeditta2007

[seguivano altre indicazioni di secondaria importanza e le indicazioni
per cambiare le password]

Attenersi RIGOROSAMENTE a questo schema!!!
[i tre punti esclamativi erano nell'originale]
*****************************

OK, ora potete piangere. Anzi, no: prima dovete ancora sapere
che il foglietto con la stampa del file era appeso nel CED... o lo
sapevate già?

Bye, G.
Discussioni simili