Reproduïm un e-mail de Francisco José Reyes, estudiant d'Enginyeria Informàtica Superior a la UAB, que denúncia possibles mancances de seguretat a la xarxa de la UAB. Francesc Borguny, Cap de Seguretat del Servei d'Informàtica i Carme Pechoabierto, Cap del SID de la Facultat de Ciències responen a aquest estudiant.

"Sóc un lector de L'enllaç i usuari de la xarxa de la UAB. Al passat número vaig llegir el comentari d'una companya que feia referència a l'excel·lent resposta que van tenir els administradors de la xarxa de la Universitat en front els virus Magistr.b i Nimda. Voldria sumar-me a aquesta felicitació i de pas donar la meva modesta opinió sobre algunes possibles mancances de seguretat.

La mancança més greu, és que l'usuari, els alumnes, no estan del tot protegits contra persones que vulguin actuar de manera maliciosa, quan aquest problema seria realment senzill de solucionar.

És excesivament senzilla la manera en la qual es podria arribar a tenir accés, inclús a les dades bancàries d'alguns estudiants i també seria senzill solucionar aquest problema. Des del meu punt de vista, és un possible error de seguretat i malgrat que crec que ningú l'ha explotat, el millor seria cobrir-lo abans que algú ho utilitzi.

Sobre la peixera i la seva nova configuració a l'aula d'informàtica de la Facultat de Ciències en la qual, en un principi, només poden accedir a Internet els ordinadors PC_1C 01 al PC_1C 10, m'agradaria dir que crec que hi ha diferents maneres de poder accedir a Internet amb els ordinadors que tenen prohibit l'accés a la xarxa.

El darrer punt que m'agradaria comentar és un possible petit error en la configuració del Internet Explorer en els ordinadors que tenen accés a Internet. Aquest error es basa en el bug trobat recentment per Georgi Guninski a l'Internet Explorer, que utilitzat amb malícia podria posar en perill, inclús dades dels usuaris de la xarxa.

Espero que alguna de les meves opinions serveixin per millorar el servei i la seguretat dels estudiants de la UAB".

Francisco José Reyes Aguilera

Respostes:

Hola Francisco José,

Agraeixo la teva felicitació i sobretot els teus comentaris, que sens dubte, serveixen per millorar el servei i la seguretat general dels recursos informàtics del campus.

Vull aprofitar aquesta ocasió per recomenar-te llegir la Normativa de Seguretat pels Usuaris del Recursos Informàtics de la Universitat Autònoma de Barcelona (aprovada a la sessió de la Junta de Govern, el 25 d'abril del 1996). La normativa la pots trobar a:

http://si.uab.es/si/cesar/segureta.htm

La seva atenta lectura et resoldrà aquells riscos que existeixen, segons la teva opinió, tant respecte a la protecció davant actuacions malicioses, com respecte a la protecció de dades sensibles.

L'accés, la transmissió, el processament i la manipulació de les dades sensibles que pertanyin a les bases de dades institucionals i als seus suports, disposen de les mesures necessàries que regulen el Reial Decret 994/1999 i la Llei Orgànica 15/1999.

Davant possibles errors que pugui haver en el programari o en els sistemes operatius d'ús general, el Servei d'Informàtica instal·la les corresponents versions d'actualització que eliminen aquests possibles errors o minimitzen el seu impacte. Aquesta operació es realitza quan el fabricant o el distribuidor posa les noves versions a la nostra disposició.

Si tens cap comentari o cap altre suggeriment, no dubtis en contactar amb nosaltres, quan ho creguis convenient.

Atentament,

Francesc P. Borguny Graullera

Cap de Seguretat. Servei d'Informàtica

Francisco José,

L'aula d'informàtica de la Facultat de Ciències disposa en aquest moment d'un total de 136 ordinadors, dels quals 106 tenen sortida lliure a Internet i només 30 tenen aplicada una restricció de sortida que només els permet navegar per la intranet de la UAB.

L'objectiu d'aquesta mesura aprovada a la Comissió d'Usuaris del Sid de Ciències és intentar reduir l'ús indegut dels recursos de la xarxa per part d'alguns usuaris (ús del xat, jocs en xarxa, visites a pàgines pornogràfiques, etc..) i així garantir l'objectiu i la raó de ser d'aquest servei. És a dir, fer possible que els professors puguin dur a terme la seva tasca docent i que els alumnes de la Facultat puguin realitzar les pràctiques encarregades per cada titulació, a més de poder utilitzar eines com el correu electrònic i Internet per tal d'ampliar el seu espectre professional. Com que la restricció de sortida es fa a nivell de router així s'impedeix la navegació per la xarxa més enllà dels límits de la UAB. És molt probable que aquesta mesura no sigui la millor però donada la infraestructura tècnica actual és la millor opció.

Pel que fa als bugs de programes, tal com tu mateix comentes, surten cada dia milers i les empreses de programari no poden oferir una correcció o sol·lució tant ràpida com es voldria. És per aquest fet i pel tipus de configuració de la instal·lació dels ordinadors de l'aula (sistema d'imatges de disc) que les actualitzacions es van aplicant al ritme que marquen les empreses de programari i depenent de la disponibilitat que tenim de l'aula per a la descàrrega d'imatges en funció de la seva ocupació per la docència.

Agraïm les teves aportacions i sempre que tinguis qualsevol dubte, suggeriment o queixa sobre el nostre servei estarem encantats d'atendre't personalment al Sid de la teva Facultat o al Sid de la Facultat de Ciències.

Carme Pechoabierto Saorín

Cap del Servei d'Informàtica Distribuïda de la Facultat de Ciències