Traducción del enlace del post anterior

Reproducimos un e-mail de Francisco José Reyes, un estudiante de Ingeniería Informática Superior en la UAB, que denuncia posibles carencias de seguridad en la red de la UAB. Francesc Borguny, Jefe de Seguridad del Servicio de Informática y Carme Pechoabierto, Jefa del SID de la Facultad de Ciencias responded a este estudiante.

“Soy un lector de <> y usuario de la UAB. El número pasado leí el comentario de una compañera que hacía referencia a la excelente respuesta que tuvieron los administradores de la red de la Universidad frente los virus Magistr.b y Nimda. Me gustaría sumarme a esta felicitación y de paso dar mi modesta opinión sobre algunas carencias de seguridad.

La carencia más grave, es que el usuario, los alumnos, no están del todo protegidos contra personas que quieran actuar de manera maliciosa, cuando ese problema podría ser realmente sencillo de solucionar.

Es excesivamente sencilla la manera en la que se puede llegar a tener acceso, incluso a los datos bancarios de algunos estudiantes y también sería fácil solucionar este problema. Desde mi punto de vista, es un posible error de seguridad y pese a que creo que nadie lo ha explotado, lo mejor sería cerrarlo antes de que alguien lo utilice.

Sobre la pecera y su nueva configuración en el aula de informática de la Facultad de Ciencias en la cual, en un principio, nada más pueden acceder a Internet los ordenadores PC_1C 01 al PC_1C 10, me gustaría decir que creo que hay diferentes maneras de poder acceder a internet con los ordenadores que tienen prohibido el acceso a la red.

El último punto que me gustaría comentar es un posible pequeño error en la configuración de internet Explorer en los ordenadores que tienen acceso a Internet. Este error se basa en el BUG encontrado recientemente por Georgi Guninski en Internet Explorer, que utilizado con maldad podría poner en peligro, incluso datos de los usuarios de la red.

Espero que alguna de mis opiniones sirvan para mejorar el servicio y la seguridad de los estudiantes de la UAB”

Francisco José Reyes Aguilera

Respuestas:

Hola Francisco José,

Agradezco tu felicitación y sobretodo tus comentarios, que sin duda, sirven para mejorar el servicio y la seguridad general de los recursos informáticos del campus.

Quiero aprovechar la ocasión para recomendarte leer la Normativa de Seguridad para Usuarios de los Recursos Informáticos de la Universidad Autónoma de Barcelona (aprobada en la sesión de la Junta de Gobierno, el 25 de abril de 1996). La normativa la puedes encontrar en:

http://si.uab.es/si/cesar/segureta.htm

Su atenta lectura te resolverá los riesgos que existen, según tu opinión, tanto respecto a la protección frente a actuaciones maliciosas, como a la protección de datos sensibles.

El acceso, la transmisión, el procesamiento y la manipulación de los datos sensibles que pertenezcan a las bases de datos institucionales y sus soportes, disponen de las medidas necesarias que regulan el Real Decreto 994/1999 y la Ley orgánica 15/1999.

Frente a posibles errores que puedan haber en el programario o en los sistemas operativos de uso general, el Servicio de Informática instala les correspondientes versiones de actualización que eliminan estos posibles errores o minimizan su impacto. Esta operación se realiza cuando el fabricante o el distribuidor ponen nuevas versiones a nuestra disposición.

Si tienes algún comentario o alguna otra sugerencia, no dudes en contactar con nosotros, cuando creas conveniente.

Atentamente,

Francesc P.Borguny Graullera

Jefe de Seguridad. Servicio de Informática

Francisco José,

El aula de informática de la Facultad de Ciencias dispone en este momento de un total de 136 ordenadores, de los cuales 106 tienen salida libre a Internet y solo 30 tienen aplicada una restricción de salida que solo les permite navegar por la intranet de la UAB.

El objetivo de esta medida aprobada en la Comisión de Usuarios del SID de Ciencias es intentar reducir el uso indebido de los recursos de red por parte de algunos usuarios (uso del chat, juegos en red, visitas a páginas pornográficas, etc.…) y así garantizar el objetivo y la razón de este servicio. Es decir, hacer posible que los profesores puedan llevar a cabo su tarea docente y que los alumnos de la Facultad puedan realizar las practicas encargadas para cada titulación, además de poder utilizar herramientas como el correo electrónico e Internet con el fin de ampliar su espectro profesional. Como la restricción de salida se hace a nivel de router se impide la navegación por la red más allá de los límites de la UAB. Es muy probable que esta medida no sea la mejor pero dada la infraestructura técnica actual es la mejor opción.

Por lo referente a los bugs de programas, tal y como tú mismo comentas, salen cada día miles y las empresas de programario no pueden ofrecer una corrección o solución tan rápida como querrían. Es por este echo y por el tipo de configuración de la instalación de los ordenadores del aula (sistema de imágenes de disco) que las actualizaciones se van aplicando al ritmo que marcan las empresas de programario y dependiendo de la disponibilidad que tenemos del aula para la descarga de imágenes en función de su ocupación para la docencia.

Agradecemos tus aportaciones y siempre que tengas cualquier duda, sugerencia o queja sobre nuestro servicio estaremos encantados de entenderte personalmente en el SID de la Facultad o en el SID de la Facultad de Ciencias.

Carme Pechoabierto Saorín

Jefa del Servicio de Informática Distribuida de la Facultad de Ciencias