Nestas ultimas semanas passei por uma experiência interessante com a infraestrutura de TI da empresa na qual presto consultoria. Tudo começa por volta das duas horas da tarde. Estava trabalhando normalmente e percebi uma mensagem de erro no meu email. Erro de autenticação. Estranhei, mas como estava entretido com o trabalho não dei muita importância. Passado uma hora depois disso acusou cabo de rede desconectado. Pensei comigo que a rede havia caido. Comecei a questionar as estações de trabalho do meu lado e todo mundo estava com a rede ok. Me levantei e fui questionar o pessoal da infraestrutura que o meu cabo de rede estava desconectado. A resposta, para a minha surpresa, foi para eu ir falar com o meu diretor. Chegando na sala do diretor, ele me disse que para eu obter acesso a rede, e-mail corporativo, svn, etc, eu necessitaria desinstalar o Ubuntu da minha maquina. Questionei o porque e a resposta foi que uma estação de trabalho com linux é uma ameaça a segurança.
Trabalho com linux a dois anos como estação de trabalho para desenvolvimento. É muito mais produtivo desenvolver em linux por diversos fatores, principalmente para desenvolvimento web, afinal de contas a sua maquina é muito parecida com o servidor final da aplicação. Além do mais, existem diversas opções no shell do linux de são um verdadeiro canivete suiço.
Mas porque então o pessoal de infraestrutura diz que linux é uma ameaça a segurança da rede? Simples, porque eles não sabem lidar com ele. A infraestrutura da empresa é toda composta por maquinas Windows. Administrar uma maquina windows é bem simples: Cria-se um usuário sem permissões administrativas, libera alguma opções administrativas para se poder trabalhar e acabou. Teoricamente você tem uma estação de trabalho segura. Mas e com uma estação de trabalho linux? A grande questão de segurança de uma rede não está em limitar o sistema operacional do usuário. Ainda mais um profissional de TI. Por exemplo, existe uma galera de Delphi na empresa. O que impede de criar uma aplicação que cria pacotes e roteia os pacotes através do proxy de maneira criptografada? Mesmo com PHP dá para fazer isso. Com C, com Java. A partir do ponto em que se está em uma estação de trabalho onde existam desenvolvedores de softwares, estes tem o poder de criar a aplicação que quiserem, independente do sistema operacional, e que estas aplicações furem a segurança da rede.
Então uma rede com desenvolvedores é uma rede insegura? Não. Um administrador de rede bom consegue manter uma rede segura mesmo com desenvolvedores utilizando diversos sistemas operacionais. Conheço diversas empresas que tem área de desenvolvimento e não tem nenhum problema de segurança.
Agora, vamos analisar a discussão principal desta matéria: O perfil profissional do pessoal de infraestrutura da empresa. Vou listar os pontos abaixo para facilitar a leitura:
- Não notificaram o usuário: Ao invés de alguém chegar em mim e dizer assim: “Cara, você está usando linux e isso pode furar a segurança da rede.” ou “O que você acha de tentar adequar a sua maquina ao padrão da empresa”, o pessoal de infraestrutura arranca o cabo de rede.
- Só conseguiram bloquear o usuário via puxar o cabo de rede: Qualquer júnior de administrador de rede consegue bloquear determinado IP de ter acesso a rede via software. Quando os caras só conseguiram me bloquear por completo via desconectar o cabo de rede, eles provaram qual o nível de profissionalismo deles.
- Só conseguem administrar estações de trabalho de determinado SO: Administrar a rede administrando as estações de trabalho e a maneira mais burra que se tem para administrar uma rede. Principalmente quando esta rede é composta por desenvolvedores de software. Conforme já disse acima, qualquer desenvolvedor tem o poder de criar um aplicação que possa furar a segurança da rede ou, até mesmo, escalar privilégios da estação de trabalho. Ter uma postura restritiva só piorá a situação.
O mais engraçado é que a empresa vende o serviço de infraestrutura e o serviço de segurança de rede. Conforme um colega meu disse, comam no meu restaurante mas não visitem a minha cozinha.
Eu já divulguei nas diversas listas e IRC sobre a qualidade da infraestrutura da empresa.
