Grimpi IT Blog

diciembre 13, 2008

Un ejemplo de inseguridad…

Filed under: Opinion, Seguridad — Etiquetas: — grimpi @ 1:09 pm

La semana pasada tuve que ir a instalar un sistema en una planta de una empresa de bebidas muy pero muy conocida.
Me sorprendió de sobremanera, la increíble inseguridad a nivel accesos a datos que existe en dicha planta.
Paso a enumerar los horrores bizarros que encontré:
1) El password sa del servidor SQL Server de PRODUCCION era vacio.
2) El password de administrador de todas las PC era el mismo, incluyendo el del Servidor SQL y estaba anotado en marcador rojo indeleble en unos de los monitores!!!.
3) Estaba habilitado el acceso por Terminal Server al servidor de producción (cuya password recordemos estaba anotada en el monitor). No vaya ser que un potencial hacker tenga que tomarse la molestia de tener que ir físicamente al rack de servidores…
4) El usuario administrador del repositorio de reportes (Crystal Reports Server) también era vacio.

Es realmente difícil encontrar un cuadro más patético e inseguro que este. El que instaló todo esto, debía ser un junior y muy vago, porque de otra manera no se explica como un profesional de sistemas sea tan pero tan irresponsable. Como también es terrible que no exista una auditoria, control interno o normas de seguridad mínimas que detecten este tipo de situaciones.
Un dato importante a tener en cuenta que el sistema que instalamos monitorea en tiempo real determinados aparatos de la fábrica, que luego son volcados a una base de datos y visto por distintos reportes. Tal vez no sean datos estratégicos para la empresa que requieran un nivel de acceso excesivamente restrictivos, pero definitivamente semejante nivel de inseguridad no es aceptable en NINGUN sistema. Creo que no tengo que aclarar los desastres que una persona con suficientes conocimientos puede hacer con un acceso tan amplio y fácil a los servidores.

Y no estamos hablando de una pyme familiar de 50 empleados, sino de una empresa multinacional que en la Argentina solamente su facturación debe ser de cientos de millones de dólares y seguramente más.
No es la primera vez que veo este tipo de situaciones, especialmente en las plantas de las empresas. Recuerdo que una vez también en una importante farmacéutica, descubrimos que el password administrador del dominio era de toda la red era “administrador”. En muchas plantas industriales, independientemente del rubro, el sector informático está totalmente ausente.
Porque estoy seguro que en su sector administrativo y contable, este tipo de situaciones no ocurren. Pero como en las plantas, no suele existir ningún tipo de empleado en sistemas, sino mas bien consultores que instalan sistemas y tratan de hacer las cosas lo mas fácil y rápido posible, nadie controla el aspecto de la seguridad.
Me pregunto en cuantos lugares sucederán este tipo de cosas y en cuantas situaciones hay riesgo de desastre absoluto porque el que instalo el servidor de base de datos, no puso un password.

2 comentarios »

  1. Pero como… no es que el sector privado es eficiente, a diferencia del estatal? Estas diciendo que una multinacional esquilma a sus accionistas? O que solo les interesa el profit? ;-P

    Nada open source? todo propietario? SQL Crystal Reports? puaj… por eso no trabajo en multis…

    FC

    Comentario por Fernando Cassia — marzo 17, 2009 @ 2:52 am

  2. El open source dentro del mundo industrial es mala palabra. Las empresas necesitan una marca que los respalde. Puede que sea una vision conservadora, pero ellos no se van a jugar inversiones de millones de dolares en un producto que no tiene un soporte legal, confiable y conocido.
    Por otra parte, el Crystal Reports apesta, pero no existe una alternativa open source que le haga competencia. Jasper Reports, lo mas decente, todavia esta lejos.

    Con respecto al tema de las empresas y la “eficiencia”, bueno… Es un tema para discutir en otro blog :)

    Comentario por grimpi — marzo 17, 2009 @ 2:53 pm


RSS feed for comments on this post. TrackBack URI

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Crea un blog o un sitio web gratuitos con WordPress.com.

A %d blogueros les gusta esto: