martes, 2 de febrero de 2010

Prólogo de Anubis

Buenas a todos, se que mas de uno anda deseoso de catar la Alfa de Anubis, pero tocará esperar, las necesidades del proyecto así lo exigen. Cuando sea publicada, quizás antes de lo pensado si la cosa sigue como hasta ahora, le acompañará el libro que presentaré junto con Anubis que hablará sobre el porqué de la herramienta, abordará el estado de la seguridad en la actualidad y las necesidades que hoy en día hay en dicho sector, y por supuesto de como sacarle el mayor jugo posible a todas las funcionalidades de Anubis. Al comienzo del libro podréis encontrar un prólogo que ahora mismo os voy a adelantar para poneros los dientes largos :), no soy un gran escritor, ni tengo mas experiencia escribiendo que el la del proyecto de fin de carrera que presenté el año pasado, pero creo que he plasmado en el Prólogo la idea que quiero transmitir, disfrutadlo:

Prólogo

Consideremos el siguiente supuesto: usted es el administrador de sistemas de una pequeña PyME, su trabajo consiste principalmente en proporcionar y mantener la disponibilidad de la intranet de su empresa. Tras cinco años en la empresa domina todas las posibles incidencias que podrían ocurrir, es un administrador muy valorado en la empresa y su jefe se lo hace notar.

La empresa comienza a triunfar en el mercado, su jefe de departamento propone al director abordar un nuevo sector y dar a conocer sus productos en internet. El director, encantado con su nueva casa que ha podido comprar gracias a los beneficios producidos por el nuevo triunfo de su empresa, ve con buenos ojos dar un salto adelante en el sector, y aprueba la proposición del jefe de su departamento. Pronto venderán productos a través de su página web.

El nuevo sitio web de la empresa ha sido programado por una nueva consultora, una empresa anexa a la universidad. Dicen que los becarios que contratan para hacer las prácticas de las carreras de informática de esa universidad son muy buenos y han hecho un buen trabajo con el nuevo sitio web de su empresa.

El sitio web de la empresa ha salido muy económico. Además de la gran oferta que les hizo la empresa que se la programó, les han instalado gratuitamente un servidor Apache y una Base de Datos MySql por lo que sólo se tiene que preocupar únicamente de su manutención, de la que no le han dado una formación previa, pero que le han dicho que es muy sencilla.

Pasados seis meses, la empresa sigue triunfando en el sector, las ventas aumentan gracias al sitio web y su jefe le sube el sueldo. Además su trabajo como administrador no se ha visto aumentado en gran medida con la instalación del nuevo sitio web.

De repente, recibe una llamada al teléfono móvil, su compañero de despacho le llama desde su casa y le comenta que el sitio web de su empresa no funciona bien. Usted se dispone a revisar el servidor y se da cuenta de que la base de datos ha desparecido, ¿cómo ha sido posible? Al momento recibe una llamada al teléfono de la empresa, es su jefe, dice que le han sacado 10.000€ de su cuenta privada. La empresa es un caos, sus compañeros le ayudan rápidamente a restaurar la base de datos, el tiempo apremia, y la competencia gana puestos con cada minuto que no estén en el mercado online.

A las pocas horas consiguen restaurar la base de datos. El día ha finalizado, ha sido duro, pero lo han logrado superar y se va a su casa a descansar.

Son las 5:00A.M., no puede dormir, enciende el ordenador, y se dispone a ver el correo para entretenerse mientras toca el despertador para irse a trabajar, ve que tiene quince correos de su jefe, está como loco, en todos ellos comenta que en la página principal del sitio web de su empresa sale la foto de un dios egipcio, y bajo ella hay una frase que pone: “H4CK3D By AnUBiS”. Es un desastre, la empresa se va a pique.

El siguiente mes ha sido un clon de los dos días anteriores, desaparecen elementos de la web y de la base de datos, y usted no da abasto restaurándolas y realizando cambios. El director, desesperado, contrata una auditoría de seguridad.

Ha sido contratada una consultora muy experimentada, “ellos podrán solucionarlo”, dice su jefe. Llegan a la empresa, les ponen al día con todo lo sucedido y les llevan ante sus servidores. Los consultores comienzan a trabajar.

A los pocos días, el encargado de la auditoría le presenta un informe de más de quinientas páginas, le mira seriamente y le dice: “hemos tenido que trabajar mucho, la infraestructura de la empresa estaba muy mal, este es el informe”. “¿Mal?, pero si la empresa lleva funcionando de maravilla mucho tiempo”, responde usted. El encargado de la consultoría con una sonrisa le dice: “funcionar no equivale a funcionar seguro”.

A la media hora, su jefe le llama, entra en su despacho, cierra la puerta, y le suelta una gran reprimenda, le comenta que los auditores le han dicho que los problemas en la base de datos han sido producidos por un exploit, debido a que no ha mantenido actualizado su servidor. Usted responde: “¿actualizado?, ¿no lo habían dejado bien instalado la consultora de la universidad?” Su jefe cada vez mas enfadado continúa diciéndole: “los 10.000€ que me han robado de mi cuenta ha sido debido a que alguien estaba esnifándonos la red de la empresa y se ha hecho con mi contraseña del banco, dicen que para ello han usado un tal Caín, y han hecho un ataque Man In The Middle gracias a que por un error de transferencia de zona que nuestro administrador de sistemas debería haber solucionado, han conseguido todas nuestras direcciones IP internas”. Usted agacha la cabeza, prevé lo que va a venir después. Su jefe parece querer desahogarse y continúa diciéndole que la imagen rara que apareció en la web es un ataque hacking denominado “defacement” y que ha sido producido porque se había dejado el fichero de configuración del servidor abierto. La situación es un desastre, ha sido despedido. Al parecer como administrador de sistemas debería haber securizado mejor la empresa de lo que lo había hecho.

Bien, esta historia con la que se ha querido comenzar es un breve ejemplo de la situación en la que se encuentran numerosas empresas en la actualidad. La seguridad informática se está imponiendo, pero aún queda un gran camino por recorrer. Los problemas con los que se ha encontrado el administrador de sistemas podrían haberse solucionado si hubiese recibido una pequeña formación en seguridad informática y hubiese utilizado las herramientas necesarias para adelantarse a los acontecimientos y haber evitado el poner en peligro su empresa, pero, por desgracia, estas formaciones son mínimas y las empresas están muy desprotegidas.

En el presente libro se presenta una herramienta para ayudar al administrador de sistemas de la historia anterior a proteger mejor su empresa, para ayudar a los consultores de seguridad a realizar sus labores de auditoría y, sobre todo, para ayudar a dar formación, enseñar y sensibilizar a la gente, con que la seguridad es probablemente una de las partes más importantes en las instalaciones informáticas de las empresas, inmediatamente después de la disponibilidad de los datos, y muchas veces superándola y situándose en primer lugar.

 

Juan Antonio Calles García

No hay comentarios: