Confessioni di un consulente IT

Fortunatamente di tanto in tanto il nostro dipartimento IT contribuisce ad allietare le nostre dure giornate lavorative con simpatici diversivi.

Ieri giunge un messaggio dall’IT Director d’oltreoceano che ci informa delle avvenute dimissioni di un membro del suo team, tale E.R., di cui ricordo la fiammante Porsche che faceva bella mostra di sé nel parcheggio del nostro quartier generale sulla costa est. Visto che il tecnico dimissionario gestiva active directory, occorre forzare un cambio password generale di tutti gli account della nostra rete. Il cambio dovrà essere effettuato a partire dalle ore sedici zero zero, fuso orario Centro Europa. Inutile farlo prima perché il cambio password sarà comunque forzato alle sedici zero zero. Fuso orario Centro Europa.

Mi domando il perché di tutto ciò: non sarebbe sufficiente cambiare la password di amministratore di sistema per escludere l’accesso di chi prima lo gestiva? O forse le password degli account di Microsoft Active Directory sono visibili in chiaro all’amministratore?

Obbediente attendo l’ora X e nel frattempo impariamo a memoria le istruzioni che dicono di collegarsi al server VPN, ignorare l’opzione cambio password proposta automaticamente dal client Cisco (perché non funziona) e una volta collegati effettuare la modifica della password tramite la normale procedura di Windows 7, Ctrl+Alt+Canc, ecc. ecc. Piccolo dubbio: non è che se mi resettano l’account mi sarà impossibile collegarmi al server VPN? Soffoco il dubbio, non è possibile che il nostro precisissimo dipartimento IT abbia commesso un errore così marchiano.

Giungono le ore sedici zero zero (fuso orario Centro Europa) e puntualmente Outlook mi si scollega automaticamente dal server. Diligentemente lancio il client VPN Cisco. Inserisco username e vecchia password: l’interfaccia mi informa che la password è scaduta e mi propone di cambiarla, invito che declino come prescritto dalle istruzioni. Fin qui tutto bene.

Clicco su quindi su Cancel ma invece di completare la connessione il client Cisco mi propone di nuovo la finestra di dialogo per l’inserimento di username e password. Evidentemente qualche impercettibile errore il nostro dipartimento IT l’ha commesso.

Tentativo di risoluzione #1: vediamo se per caso la procedura del cambio password dal client Cisco nel frattempo si è messa a funzionare. Rilancio il collegamento VPN, scelgo questa volta l’opzione “Cambio Password” ma niente. Non funziona.

Percepisco qualche mormorio provenire dalla stanza del collega L.C. e capisco di non essere il solo in questa situazione e presumo che vi si troveranno parecchi del paio di centinaia di colleghi dislocati tra l’India e la California. Come farà il nostro IT director a informarli su come risolvere il problema visto che gli account di posta sono disabilitati e non tutti i dipendenti sono dotati di Blackberry?

Decido di contattarlo via skype: per fortuna risponde lesto e mi suggerisce il:

Tentativo di risoluzione #2: provare a effettuare il cambio password dall’interfaccia web di Outlook. So già che non funzionerà, il mio account è andato e certo non mi sarà possibile connettermi in quel modo. Ma diamogli il contentino,mi ci vogliono 5 secondi. Procedura fallita: lo informo via skype.

Evidentemente pure lui vuole farla breve e mi comunica di aver messo in atto il:

Tentativo di risoluzione #3: per consentirmi di connettermi alla rete ha resettato la password utilizzando la solita, notissima e scontatissima stringa di default conosciuta da tutti e tradizionalmente utilizzata per inizializzare gli account della nostra rete. Raccomandandomi ovviamente di cambiarla IMMEDIATAMENTE!

Mi concedo qualche secondo per riflettere su come è stata gestita tutta questa faccenda e quali risultati ha prodotto: per ovviare a un remotissimo rischio di compromissione del sistema, al mio account è stata forzosamente assegnata una password debolissima e stranota.

Come dicevo, una mezz’ora di simpatico sollievo dal duro lavoro quotidiano.