Escrito por hector del mundo
|
13 de Febrero de 2010
Posted in
Otros temas -
Curiosidades
En el siguiente artículo, incluyo un texto que me envió uno de nuestros miembros (Héctor) en el que relata un incidente de seguridad del que fue partícipe, y que me pareció significativo para incluirlo en nuestro portal como ejemplo de lo que viene siendo muy habitual en los últimos años. He asistido muchas veces a este debate entre muchos expertos en seguridad a los que nos han ocurrido hechos similares a este. Durante nuestro camino nos hemos encontrado muchos fallos de seguridad en importantes empresas y organismos, que han podido permitir a cualquiera con unos conocimientos bastante básicos en hacking, explotarlos para penetrar y poder hacer de las suyas en el interior (robo de información, aprovechamiento de las infraestructuras para actividades ilícitas, etc.).
Al ser conocedores de esos agujeros de seguridad, los que somos más white hats que black hats, nos sentimos casi obligados a informar a los administradores de seguridad de esas infraestructuras de los problemas que ello puede ocasionar a sus empresas. Y, ¡este es el debate! La mayor parte de colegas te dirán que no te molestes en notificar, ya que esto te traerá más problemas que ventajas, que incluso podrás salir perjudicado de ello, o que simplemente no te harán caso y te tomarán por loco. ¿Qué pensáis de ello, cuál es vuestra experiencia al respecto? Incluyo el texto de Héctor como buena muestra de ello.
...te escribo para comentarte una cosa que me paso la semana pasada...
Mira, estaba en casa y me dije, voy a darme una vuelta por la calle a ver que tipo de seguridad tienen las empresas, y me encuentro una que se dedica a las maquinas “tragaperras” algo muy popular en este país "tercermundista" en el que vivimos. Esto era algo que desde hacia tiempo tenia en mente.
Bueno, me siento “delante” de la empresa con mi antenita omnidireccional de 6 dbi que me costó menos de 20€. Mi sorpresa es que la empresa tiene una red Wi-Fi con el cifrado WEP y password de 64 bits: 2 minutos y ya esta…al conectar me da el típico error de conectividad limitada o nula, bueno pongo manualmente la IP, mascara de subred, etc y ya esta… Arranco el snifer cain, el observo como unas 20 maquinas en la red conectadas, estuve snifeando datos en la empresa como 2 horas, después de pasar un frío de la hostia…
<<si alguien leyera este correo pensaría: que capullo, pasar frío para snifear una red de una empresa, que loco estás>> pero es lo que hay soy un friqui (perdón).
Los resultados obtenidos fueron: muchas conversaciones de msn, passwords de tuenti, facebook, MSN, Hotmail, gmail, Outlook. Cuando acabo con todo esto, me voy a mi casa y accedí a los correos para observar que pasaba allí. Cuál fue mi sorpresa cuando observé que todos manejaban información muy sensible de la empresa (facturas, cierres de diferentes años, beneficios, facturas, nominas). También tuve acceso a uno de los correos de los técnicos de las maquinas, donde se guardaban probabilidades, tipos de chipsets de las maquinas y varios manuales, me enteré de cosas personales y otros asuntos, pero todo era información muy sensible porque:
¿¿que empresa es capaz de dejar que los empleados con millones de errores de capa 8, manejar información de la empresa tan sensible con sus correos y encima en texto plano???
Y aparte los empleados la gran responsabilidad que conlleva, manejar información tan sensible por sus correos personales de la empresa. En fin, no llegaré a entender nunca esta política de las empresas.
A los 3 días, me pesaba el conocimiento de esta información y decidí ir a la empresa a advertirles… esto es lo mejor de todo… Pregunto por el responsable de informática, me sale un tio pijo con corbata.
(es algo que nunca entenderé y luego no sabrá ni como encender un pc seguramente, pero claro la imagen es lo que cuenta)
Bueno da igual… comenzamos a hablar. Le digo que ayer estuve delante de la puerta con mi pc haciendo correr unos programas en su red mediante la Wi-Fi y que pude extraer toda la información, bla, bla, bla... y le di un CD con todo dentro. El, a todo esto, con cara de tonto, sin saber qué hacer ni qué decir. Rápidamente llamo a Seguridad para que miraran en los vídeos de las cámaras se seguridad para ver si era verdad que había estado allí, cosa que yo no había hecho: estar delante de las cámaras para que me filmaran en el acto. El tío este se lleva el CD y a los 10 minutos regresa y me pregunta:
Qué ciertamente es información muy delicada, qué como la habia conseguido, etc, etc, etc. Se puso muy pesado y no le dije toda la verdad, le comente que trasteado la red wifi y demás. Le metí un rollo que ni mi primita con 5 años se lo cree…y ya está. Esto fue todo, nos dimos la mano y adiós, no me dió ni las gracias.
Lo que mas me sorprendió es que una empresa como esta, que gana tanta pasta tenga un responsable de Informática al que le dé todo igual; me defraudo mucho.
Cuando se marcho con el CD pensaba que llamarían a los policías que todavía saben menos que ellos, por tener esa información y todo eso, pero no fue así. También pensé que no sería un responsable de Seguridad Informática, que sería un cualquiera al que le dieron la chapa de Responsable de Informática, o al menos eso es lo que quiero pensar.
Ahora viene la pregunta. ¿Todo esto es normal? Porque entonces no me extrañan los fraudes que hay en la Red.
El conocimiento es lo que tiene, nos hace más críticos con nuestro entorno.
