sábado, 25 de setembro de 2010

O que aprendemos com a invasão da Locaweb?

Após os eventos ocorridos nesta semana envolvendo a Red Hat e a Locaweb, quais lições podemos tirar desta história toda?

Resumo da Ópera


Caso você tenha viajado para outro planeta nesta semana e voltado só agora, ou não tenha acompanhado as notícias, aqui vai um breve e superficial resumo do que aconteceu:

  • Foi descoberta uma falha no kernel Linux que afeta sistemas de 64-bit a qual permite escalada de privilégios, ou seja, que um usuário comum possa obter privilégios de root sem necessitar usar comandos como su ou sudo.

  • Um hacker turco chamado iSKORPiTX, utilizando-se da falha, invade os servidores da Locaweb e faz defacing em milhares de sites - alguns dizem 20 mil. Esta notícia de 2006 já noticiava esta ação do hacker e diz que ele age desde 2003.

  • Um vídeo publicado no Twitter mostra que os servidores Linux da Locaweb estão altamente vulneráveis (e a empresa dá uma resposta absurda ao mesmo).

  • Após a tragédia, a Locaweb coloca toda a culpa do ocorrido na Red Hat, empresa que desenvolve a distribuição Linux instalada nos servidores afetados.

  • A Red Hat responde à altura e diz que a Locaweb não é sua cliente.

  • A Locaweb rebate mostrando screenshots de sua subscrição ao Red Hat Enterprise Linux. Tais subscrições estão em nome do CEO da empresa, e não em nome da empresa. Também descobre-se que a Locaweb usa, na verdade, uma versão RC do RHEL e não a versão estável.

  • Após uma misteriosa reunião entre as duas corporações, a Locaweb publica uma nota em seu blog isentando a Red Hat de quaisquer responsabilidades e revelando que entendeu que a subscrição que possui "não inclui suporte aos servidores".

  • Recentemente, no Twitter, foi revelado que a empresa contatou, para seu time, Rene de Paula, evangelizador de produtos Microsoft.


Que lições podemos tirar disso tudo?


Esta série de eventos nos ensina várias lições importantes, dentre as quais podemos destacar:

Linux não é um sistema perfeito.


É sabido que, em muitos fóruns e listas de discussões, os usuários de Linux advogam que seu sistema é infinitamente superior ao sistema dominante, desenvolvido pela Microsoft, argumentando que ele é imune a vírus e é extremamente seguro. Apesar de ser verdade que a segurança do Linux é muito superior à de seu principal concorrente, não podemos apenas confiar cegamente neste fato e precisamos tomar algumas precauções, como:

  • Manter o sistema sempre atualizado, com pacotes oficiais;

  • Instalar apenas os serviços necessários e fechar todas as portas daqueles que não estejam sendo utilizados;

  • Utilizar programas que impedem tentativas de login baseadas em ataques de força bruta.


Não devemos misturar a vida empresarial com a vida pessoal


Aquilo que já é uma regra na Contabilidade deve ser aprendido em todos os campos pelos gerentes e donos de empresas brasileiras: a empresa não deve se confundir com seu presidente - ao menos, não nos assuntos legais e financeiros.

Vimos que as licenças do Red Hat estavam em nome do presidente da Locaweb, enquanto, na verdade, deveriam estar em nome da própria Locaweb. É simples de imaginar: se, amanhã ou depois, esse cara sai da empresa por qualquer motivo, as licenças vão junto a ele e a empresa perde o direito de usar e atualizar seus servidores.

Saiba pelo que você está pagando


Tirando todas as situações hilárias que essa história nos proporcionou, dizer que a subscrição contratada "não inclui suporte aos servidores", sendo que os servidores são a principal ferramenta de trabalho da empresa é algo, no mínimo, digno de ser aplaudido de pé.

Tenha um suporte profissional


Se você é um usuário doméstico, está tudo bem em recorrer a fóruns, mailing lists ou comunidades quando você tem alguma dúvida ou algum problema; no entanto, se você está usando Linux em um ambiente corporativo, ter um contrato de suporte é algo indispensável. Nisto, a Red Hat se destaca, pois foi graças ao seu suporte de qualidade que ela conseguiu se estabelecer como uma das maiores - senão a maior - empresas de Linux do mundo. Com um contrato de suporte profissional, além de ter sempre as últimas atualizações de segurança, você terá profissionais habilitados para resolver seus problemas quando eles surgirem. No entanto, se você não puder pagar por um Red Hat oficial, convém contratar algum profissional com conhecimentos suficientes para fazer este papel.

Pense duas vezes antes de falar qualquer coisa


Com esse incidente, a imagem da Locaweb ficou manchada e muitos clientes estão mudando para outras companhias. Antes de dizer "a culpa é minha e eu ponho em quem eu quiser", pense duas vezes e escolha a melhor estratégia para manter a melhor relação possível com seus clientes e fornecedores.

Que este lamentável episódio sirva de lição e possibilite que o nível dos profissionais brasileiros aumente cada vez mais.
Autor: Marcadores:

2 comentários:

  1. Tomas25 setembro, 2010 05:54

    Ótimo texto! Concordo com você. Acho que o modelo do Debian ainda me parece mais interessante apesar de não ter suporte comercial.

    ResponderExcluir
  2. rene de paula jr27 setembro, 2010 14:33

    muito obrigado pela menção, estou feliz por estar agora na Locaweb. Uma correção apenas: eu nunca fui evangelizador "de produtos". O papel de um evangelista é mostrar uma visão de futuro, mostrar em que caminhos e tendencias a sua empresa aposta. O papel de um evangelista é manter profissionais atualizados e sintonizados no que está por vir. Se um produto ou outro aparece é só para ilustrar, tanto é que jamais tive qualquer papel comercial ou de vendas.

    abraços

    ResponderExcluir

Assinar: Postar comentários (Atom)