Aconteceu um fato interessante ontem aqui na empresa. Eu resolvi pesquisar sobre meu dominio no google e vi uma referência interessante no site de um de nossos clientes.
Quando acessei o link eram relatórios de e-mails, controle de banda, controle de conteúdo (sarg). Ou seja, o acesso estava liberado para rede externa da empresa.
Me senti no dever de entrar em contato com nosso cliente para reportar esse problema. Mas antes resolvi falar com meu diretor, não sábia como esse erro poderia ser encarado pelo cliente.
O diretor mais que imediatamente ligou para seu contato direto no cliente e o mesmo veio até a empresa (não precisava, mas vou discutir com o chefe?).
Enfim, quando eles chegaram na empresa, fizeram pouco caso da informação que passamos com o seguinte comentário: “Ah! Era isso?” Como se essas informações não tivessem importância para empresa.
Concordo que a relevância das informações não é a das maiores… mas convenhamos, uma informação relevante é composta por vários fragmentos de informações.
Por exemplo, o que os relatórios do sarg poderiam ser úteis para uma pessoa má intencionada?
- Poderia saber todos os IP’s da rede Interna;
- Descobriria os bancos com o qual a empresa trabalha, afinal, quase todas as empresas trabalham hoje com internet bank;
- Poderia coletar informações de alguns fornecedores: essa informação poderia ser útil para espionagem industrial;
- Entre outras…
Com essas informações um ataque de engenharia social seria rico em informações.
Posso ir um pouco mais longe.
Só com essas informações eu já sei que a plataforma que esse servidor está rodando é Linux, que está rodando Squid para gerar os relatórios do Sarg. Com certeza tem o apache como webserver.
Um dos relatórios se tratava de controle de banda, certamente a máquina está ligada diretamente no roteador para fazer esse papel e se duvidar a máquina ainda é Firewall.
Existe também alguns relatórios de e-mail, que retornavam informações como banda utilizada no mês, quantidade de e-mails enviados/recebidos. Ou seja, provavelmente a máquina ainda está rodando um serviço de smtp e pop.
Será que essas informações são tão irrelevantes assim? Estamos falando de uma indústria com um faturamento anual de aproximadamente 150 milhões.
Aqui em Manaus eu vejo que as empresas não se preocupam com a segurança da informação. É preciso estabelecer políticas de segurança bem definidas para evitar problemas como esse. Uma pessoa má intencionada pode usar essas informações e causar estragos irreparáveis na empresa.
Lembre-se, foi só uma consulta no Google.
como diz os colegas da internet e bom e velho amigo Google!
o que ele nao faz por nos user!!
falo e disse!