(Por El Microsaurio) Un sistema de control con una falla de seguridad ¿es sólo “una” falla de seguridad? Si un programa está instalado en una PC hogareña, y tiene una vulnerabilidad, entrará un atacante, y un usuario tendrá problemas. Si ese programa maneja instalaciones, digamos, “sensibles”… ¿cuántos habitantes de cuántos países tienen un problema? Conseguite una taza de café y preocupate un poquito…
En Estados Unidos hay una empresa, Unidesk, que produce un interesante software llamado Unidesk Management Appliance. Aunque usen la palabra “appliance”, que generalmente remite a “aparato” y tiene la connotación de un objeto físico, es virtual. Es un componente que trabaja en un servidor, junto a herramientas de virtualización. En palabras del departamento de marketing de la empresa, es “el mejor camino para crear y administrar escritorios virtuales configurables por los usuarios, con optimización de espacio de disco, dentro de una infraestructura VMware vSpere…”
Si es el mejor producto o no, no es mi problema. Pero cuando uno se entera de que a) con eso un administrador puede estar controlando dos mil pecés dentro de una institución y b) que el simpático Nathan Power, de SecurityPentest, descubrió y publicó en Internet que en el módulo del Sistema de Informes de Unidesk hay una forma simplísima de obtener (indebidamente) permisos de Administrador, ah, ahí la cosa cambia…
Así es. En palabras de este hacker, el “ReportingService” de ese software no verifica las credenciales de una sesión para que “alguien” acceda a los informes sobre el entorno de la Infraestructura de Escritorios Virtuales que provee vía web este sistema. Más específicamente, “un atacante podrá ganar acceso a los informes si ingresa en la siguiente URL del sistema:….” (y la escribió en su post nomás, el desgraciado).
A esta altura vos tendrás ganas de preguntarme, con el café medio frío, ¿y a mí qué corno me importa?
Mirá, al pobre administrador del Departamento de Atención Familiar del Estado de Wisconsin (1200 pecés controladas con eso) le importará.
Al MIT, sí al Em Ái Tí, que usa eso, también. A la Universidad de Darmstadt, en Alemania, y a un laboratorio farmacéutico del tamaño de Novartis, también. Lo que se pone un poquitín más pesado es que en la lista de clientes de Unidesk encontré a BAE Systems. Escuchá: “Con 100.000 empleados en nuestras sedes del Reino Unido, Suecia y otros países, y con clientes en Australia, India, el Reino de Arabia Saudita y los Estados Unidos de América, BAE Systems es la segunda proveedora mundial de sistemas de armamentos para fuerzas aéreas, terrestres y navales, además de soluciones avanzadas en electrónica, seguridad y tecnología de la información”. Por ejemplo, son proveedores de submarinos atómicos y portaaviones. Para más datos, la sede de Suecia está ahí porque se inició como la empresa de Alfred Nobel para fabricar la recientemente inventada dinamita… y BAE fue el co-fabricante del Concorde, e intervino en la producción del Harrier. ¿Te suenan esas historias?
Espero que puedas terminar tranquilo tu café, sabiendo que, a menos que esas empresas actualicen su producto prontito (¡claro que hay parche, tranquilo!) algún submarino o portaaviones de algún país cercano o no podría tener una gripe aviar en sus sistemas y tirar con algo. En ese caso… el problema ¿será de quienes usan ese software, de los que estén en el lugar del impacto… o tuyo? Creo que quedó café. Voy a buscar uno.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291