hector del mundo
Valoración de los usuarios: / 4
PobreEl mejor 
Addthis

seguridadin

En el siguiente artículo, incluyo un texto que me envió uno de nuestros miembros (Héctor) en el que relata un incidente de seguridad del que fue partícipe, y que me pareció significativo para incluirlo en nuestro portal como ejemplo de lo que viene siendo muy habitual en los últimos años. He asistido muchas veces a este debate entre muchos expertos en seguridad a los que nos han ocurrido hechos similares a este. Durante nuestro camino nos hemos encontrado muchos fallos de seguridad en importantes empresas y organismos, que han podido permitir a cualquiera con unos conocimientos bastante básicos en hacking, explotarlos para penetrar y poder hacer de las suyas en el interior (robo de información, aprovechamiento de las infraestructuras para actividades ilícitas, etc.).

Al ser conocedores de esos agujeros de seguridad, los que somos más white hats que black hats, nos sentimos casi obligados a informar a los administradores de seguridad de esas infraestructuras de los problemas que ello puede ocasionar a sus empresas. Y, ¡este es el debate! La mayor parte de colegas te dirán que no te molestes en notificar, ya que esto te traerá más problemas que ventajas, que incluso podrás salir perjudicado de ello, o que simplemente no te harán caso y te tomarán por loco. ¿Qué pensáis de ello, cuál es vuestra experiencia al respecto? Incluyo el texto de Héctor como buena muestra de ello.

...te escribo para comentarte una cosa que me paso la semana pasada...

Mira, estaba en casa y me dije, voy a darme una vuelta por la calle a ver que tipo de seguridad tienen las empresas, y me encuentro una que se dedica a las maquinas “tragaperras” algo muy popular en este país "tercermundista" en el que vivimos. Esto era algo que desde hacia tiempo tenia en mente.

Bueno, me siento “delante” de la empresa con mi antenita omnidireccional de 6 dbi  que me costó menos de 20€. Mi sorpresa es que la empresa tiene una red Wi-Fi con el cifrado WEP y password de 64 bits: 2 minutos y ya esta…al conectar me da el típico error de conectividad limitada o nula, bueno pongo manualmente la IP, mascara de subred, etc y ya esta… Arranco el snifer cain, el observo como unas 20 maquinas en la red conectadas, estuve snifeando datos en la empresa como 2 horas, después de pasar un frío de la hostia…

<<si alguien leyera este correo pensaría: que capullo, pasar frío para snifear una red de una empresa, que loco estás>> pero es lo que hay soy un friqui (perdón).

Los resultados obtenidos fueron:  muchas conversaciones de msn, passwords de tuenti, facebook, MSN, Hotmail, gmail, Outlook. Cuando acabo con todo esto, me voy a mi casa y accedí a los correos para observar que pasaba allí. Cuál fue mi sorpresa cuando observé que todos manejaban información muy sensible de la empresa (facturas, cierres de diferentes años, beneficios, facturas, nominas). También tuve acceso a uno de los correos de los técnicos de las maquinas, donde se guardaban probabilidades, tipos de chipsets de las maquinas y varios manuales, me enteré de cosas personales y otros asuntos, pero todo era información muy sensible porque:

¿¿que empresa es capaz de dejar que los empleados con millones de errores de capa 8, manejar información de la empresa tan sensible con sus correos y encima en texto plano???

Y aparte los empleados la gran responsabilidad que conlleva, manejar información tan sensible por sus correos personales de la empresa. En fin, no llegaré a entender nunca esta política de las empresas.

A los 3 días, me pesaba el conocimiento de esta información y decidí ir a la empresa a advertirles… esto es lo mejor de todo… Pregunto por el responsable de informática, me sale un tio pijo con corbata.

(es algo que nunca entenderé y luego no sabrá ni como encender un pc seguramente, pero claro la imagen es lo que cuenta)

Bueno da igual… comenzamos a hablar. Le digo que ayer estuve delante de la puerta con mi pc haciendo correr unos programas en su red mediante la Wi-Fi y que pude extraer toda la información, bla, bla, bla... y le di un CD con todo dentro. El, a todo esto, con cara de tonto, sin saber qué hacer ni qué decir. Rápidamente llamo a Seguridad para que miraran en los vídeos de las cámaras se seguridad para ver si era verdad que había estado allí, cosa que yo no había hecho: estar delante de las cámaras para que me filmaran en el acto. El tío este se lleva el CD y a los 10 minutos regresa y me pregunta:

Qué ciertamente es información muy delicada, qué como la habia conseguido, etc, etc, etc. Se puso muy pesado y no le dije toda la verdad, le comente que trasteado la red wifi y demás. Le metí un rollo que ni mi primita con 5 años se lo cree…y ya está. Esto fue todo, nos dimos la mano y adiós, no me dió ni las gracias.

Lo que mas me sorprendió es que una empresa como esta, que gana tanta pasta tenga un responsable de Informática al que le dé todo igual; me defraudo mucho.

Cuando se marcho con el CD pensaba que llamarían a los policías que todavía saben menos que ellos, por tener esa información y todo eso, pero no fue así. También pensé que no sería un responsable de Seguridad Informática, que sería un cualquiera al que le dieron la chapa de Responsable de Informática, o al menos eso es lo que quiero pensar.

Ahora viene la pregunta. ¿Todo esto es normal? Porque entonces no me extrañan los fraudes que hay en la Red.

El conocimiento es lo que tiene, nos hace más críticos con nuestro entorno.

 

Comentarios (2)
  • hector  - Lo tenia que hacer.
    avatar
    Hola a todos.

    Mirad cuando les dije a mis "amigos" que iba a ir a la empresa a comunicar la incidencia me dijeron que no fuese que pasara de todo... que no dijera nada porque no era mi empresa y que podía tener problemas puesto que llamarían a la policía para obligarme a decirles como conseguí toda la información...
    Se que podía haber tenido problemas serios pero lo hice igual y me salio bien, quizá un poco de suerte.

    Bueno un saludo.
  • juanfra  - Comentario en otro grupo
    avatar
    Yago escribe: "La mayor parte de colegas te dirán que no te molestes en notificar, ya que esto te traerá más problemas que ventajas, que incluso podrás salir perjudicado de ello, o que simplemente no te harán caso y te tomarán por loco"

    Creo que, la mayor parte de tus colegas tienen razón.

    Por ejemplo, tu eres experto en seguridad informática. Y habrás "visto" las diferentes web que tienen los compañeros de este grupo de debate y que han querido publicitarla en su perfil. Y con tu "especial mirada" habrás comprobado que la mayor parte necesitan pasar un filtro de "seguridad" porque ni siquiera siguen los consejos de instalación de Drupal, Silverstripe o similares- ¡no borran, mueven o cambian permisos de los archivos de instalación! Y todo lo demás, que como experto, tu sabes.

    Así que lo que comentas y cuenta, ocurre en esas empresas y también en éstas empresas.

    ¿Todo esto es normal?, preguntas.

    Claro que, sí. Si por lo normal entendemos lo corriente, lo mayoritario.

    ¿Porqué no actúan? Por desconocimiento, por un aparte; impericia del "técnico contratado" , por otra parte. Y sobre todo- ¡por dejadez! También, en ciertos aspectos, como hacen las grandes empresas ( también a su nivel "permiten" esto) - ¡por los costes que ellos consideran asumibles !

    Existe también una razón social que explicaría mejor esa "normalidad";.

    Mi opinión, Yago, es que desde el punto de vista de la Red de Conocimiento Global, estar en el limbo ( 50% white hats, 50% black hats ) da más oportunidades- ¡a todos! A los ladrones de guante blanco ( los que tienen secuestrado el capital y el mercado con leyes que impiden desarrollarse a los "productores independientes" en calidad y en cantidad) y a los ladrones sin adjetivos.

    Por último. perdona mi escepticismo y mi cínica ironía...

    Por Joseph Affonso Xaxo Intermediador y Emprendedor en redes sociales P2P y empresariales P2P
¡Sólo los usuarios registrados pueden escribir comentarios!

Relacionadas Noticias similares