En ArsTechnica he leido una noticia anecdótica pero de la cual se pueden extraer valiosas lecciones. Esta es la historia de Steven Barnes, ingeniero y encargado de TIC de la compañía Akimbo Systems, Barnes fue despedido y según su testimonio varios miembros del staff de su ex-empleador, uno de los cuales portaba un bate de baseball, se presentaron en su casa para llevarse tanto su PC personal como la del trabajo, esto ocurrió en abril del 2003. No esta claro si los equipos fueron devueltos a Barnes, pero al parecer dicha acción enfureció bastante a Barnes y alentó sus deseos de venganza.
Cinco meses más tarde, el 30 de setiembre del 2003, según testimonio del propio Barnes que se ha declarado culpable de los cargos, decidió probar unos login/passwords que aún tenía en su poder, Barnes alega que sus ex-empleadores debieron haber cambiado los passwords, según su propio testimonio el descubrió que esto no había ocurrido y se percató que tampoco tenían un firewall, razón por la cuál decidió tomar venganza por lo ocurrido meses atras.
Dado que tenía el privilegio de administrador del sistema, convirtió al servidor de correo en un open relay (es decir un servidor que puede ser usado por cualquiera para enviar spam), luego borro la base de datos del Exchange con todos los contactos y los correos electrónicos de la compañía, finalmente para tratar de borrar sus huellas borro varios archivos para asegurarce de que el sistema jamas pueda arrancar luego de un reinicio. Al parecer no hizo bien esta última parte pues pudo ser rastreado e identificado como el autor del ataque.
En su defensa Barnes alega de que tenía problemas de alcoholismo y drogadicción en esa etapa de su vida y por ello actuó sin pensar en las consecuencias, al parecer ese alegato no convenció al juez que lo ha sentenciado a 1 año y 1 día de prisión efectivo, el pago de $54,000 como compensación por daños a su ex-empleador y a tres años de libertad bajo palabra, efectiva luego de su liberación de la carcel.
Bueno, algunas de las lecciones que podemos extraer de esta historia son las siguientes:
- Cualquiera, incluyendo alguien bajo los efectos del alcohol o las drogas puede manejar un servidor Windows.
- La seguridad impuestas por los system administrators de Windows es realmente muy relajada.
- El alojar servicios criticos para el negocio dentro de la propia red, como lo es el correo, no siempre es más seguro que alojarlo en la nuebe (cloud).
Bromas aparte, como dice muy claramente el conocido hacker Kevin Mitnick, la mayor vulnerabilidad de un sistema no está en la tecnología sino en el factor humano. Para que intentar buscar una vulnerabilidad en un sistema, cuando es más fácil llamar por teléfono a alguien en una compañía y preguntar por un password.
Otro conclusión importante que podemos extraer de este evento, es que si se es una pequeña o mediana compañía no puede pagar el costo de un sistema real que este 99.9% del tiempo en línea, con respaldo automático y un equipo de mantenimiento 24/7, la mejor opción es una solución SaaS como puede ser Google Apps.
Cuando no los linuxeros echándole la culpa de todo a Microsoft 🙂
La lección a aprender es: Si echas a un administrador de red (de cualquier plataforma) quítale sus usuarios y cambia las contraseñas de los usuarios con categoría administrador de su plataforma. Creo que eso lo sabe cualquier becario.
Está bien que lo castiguen. Pero que castiguen también a los ineptos nuevos administradores de red de su empresa, no sé…con un bate sin lijar de baseball??