Hoy me pasaron este blog, que quiero analizar con Uds. Lastimosamente es algo viejo (del 27-11-2008), pero igual creo que vale la pena analizarlo a la luz de los últimos acontecimientos ya conocidos.
El Sr. César Rodas aparentemente trabaja en el CNC, por esta razón me parecen bastante reveladoras sus expresiones, fíjense lo que afirma:
En estos días se hizo eco el "hackeo" a la página del NIC, un buen hackeo realizado por un conocido bastante inteligente (nada contra él, todo bien) que aprovechaba algunos bugs del CGI escrito en Perl (hace más de 10 años) haciendo un inyección (no voy a entrar en detalles). Los "daños" realizado fueron mínimos ya que solo entraron al servidor web que no tiene nada de información, bases de datos ni nada relacionado al NIC o al CNC, si desearían hackear necesitarían hacer algo mejor que eso ya que todo está en una red privada.
El Sr. Rodas minimiza el hack dado que el “daño” realizado. Lo que olvida es el daño gigantesco a la imagen de la Institución y al servicio en si. También olvida mencionar que una vez obtenido el acceso al servidor fácilmente se pueden instalar troyanos y/o desde allí realizar ataques a otras áreas de la instalación, es decir, el hack realizado no es un problema menor, por mas mínimo que haya sido el “daño” original. Como sostuve en varias conversaciones privadas, si ingrese al servidor por alguno de los servicios, solo será cuestión de tiempo y de conocimiento el acceder a otros servidores de la instalación. Es por ello que en la entrevista que me hicieron en Radio Ñandutí sugerí que asuman que toda la instalación fue comprometida en su seguridad. Quien hizo algo de hack ético o no alguna vez sabe de lo que hablo.
El Sr. Rodas luego realiza la de Pilatos, se limpia las manos afirmando:
Si piensan que los culpables somos los funcionarios actuales del CNC, la respuesta es NO, ya que esa página está desde hace mas de 10 años, y tenemos una larga lista de actividades de cosas a hacer, no podemos pasar la vida controlando cosas que fueron hechas hace años y que funcionan (o así parece).
La pregunta que cabe aquí es la siguiente, si los funcionarios actuales del CNC no son responsables de los servicios ofrecidos por el NIC quien lo es? ¿Quiénes son los responsables de estos servicios? ¿ Funcionarios del LED, del CNC o ambos?
No dudo un solo instante de que los funcionarios del CNC estarán atiborrados de tareas, pero esta no es excusa para no atender los servicios que se ofrecen en el NIC, y sí, creo que debe haber personal designado exclusivamente pasándose “la vida controlando” lo que sucede en el NIC. Este servicio es sumamente delicado para todo lo que hace e-commerce en general y hace a la infraestructura de Internet en particular. Además tampoco es excusa eso de que se hizo hace 10 años y “que funcionan” para olvidar por completo el mantenimiento de esos scripts y de la instalación en general, y es a esto lo que yo llamo NEGLIGENCIA. Quien mantiene algún servicio serio en la red esta pendiente de todo lo que sucede en los servicios, donde periódicamente se hacen tareas de mantenimiento, tanto a nivel de software (aplicar parches etc.) como de seguridad (ver logs, ver nuevas formas de ataque, etc.). Si estos trabajos no los puede garantizar el CNC, por la saturación de trabajos o por otra excusa barata, esta simple afirmación es suficiente para empezar a exigir con mayor fuerza la extinción de este monopolio.
Luego sostiene:
Monopolio?!, que otra empresa está preparada para tener el servicio de NIC?, algún grupito de "hackers" o usuarios Unix?, otro ente público? alguna empresa privada?. Si tienen problemas deberían hablar con el Rectorado UNA, no con el CNC.
La respuesta es si, cualquier empresa privada (como los ISP tanto pequeños como los grandes) pueden ofrecer este servicio, y lo mas probable es que sean mas expeditivos y baratos que el actual NIC.
Con respecto a todo lo demás expresado por el Sr. Rodas, sin comentarios adicionales.
No hay comentarios:
Publicar un comentario