AN�LISIS DE LA APLICACI�N (Cibercontrol/Ciberpuesto):
NOTA: Este documento solamente pretende ser una mera introducci�n, no se analiza en profundidad C/C, cada uno que se las apa�e como pueda ;)
Para que esta tarea resulte menos aburrida dividiremos el an�lisis en varias partes, empezando por la parte del interfaz gr�fico y acabando por la parte mas "jugosa" que parece que es la parte de red.
1.
INTRODUCCI�N.
2. INTERFAZ GR�FICO.
3. MS-ACCESS.
4. RED.
INTRODUCCI�N
Para todos aquellos que no sepan que es Cibercontrol/Ciberpuesto, ambos programas se podr�an ver como si se tratase de una suite de programas para controlar y llevar la gesti�n de un cibercaf�.
Esta suite de programas es utilizada de forma masiva, aunque es verdad que la mayor�a de los propietarios de los cibercaf�s no pagan la licencia de este programa.
La plataforma preferida por el administrador de un ciber para implantar el sistema Cibercontrol/Ciberpuesto es W'98, no se si es posible instalarlo sobre W'2000 o NT pero se prefiere evitar las configuraciones que puedan ser dif�ciles antes que la seguridad. Tambi�n es verdad que W'98 es la plataforma ideal para jugar.
El mayor problema es el de proporcionar un entorno seguro sobre un sistema operativo que de forma nativa no proporciona ning�n tipo de seguridad. Si bien el programa nos "evita" el acceso a las unidades desde "Mi PC", y otras cosas como quitar el men� archivo en el explorer y dem�s, si nos hacemos con un prompt el sistema ser� nuestro otra vez. Aparte tampoco hay que olvidar que las ventanas de abrir y guardar son como peque�os exploradores. Existen otras aplicaciones que vienen con browsers integrados, como "Winamp", y estos suelen utilizar el motor del IExplorer. Por lo tanto en una situaci�n en la que C/C est� montado sobre W'98 tendremos acceso a todo el disco duro de forma inmediata, con todo lo que ello supone (modificaci�n, eliminaci�n de los datos).
INTERFAZ GR�FICO.
Este aspecto no lo he tocado muy de cerca porque tampoco me interesaba mucho, si que parece que el aspecto del interfaz con el usuario se encuentra muy cuidado.
MS-ACCESS.
Un gran fallo a mi modo de ver es el de utilizar MS-ACCESS, o la manera de integrar este modulo en el proyecto. En las bases de datos de C/C se almacena informaci�n muy sensible como son las passwords de los administradores y en el lado de Cibercontrol, todas las cuentas de ususario, etc.
El primer problema de acceder a la password del administrador, parece que lo han querido solucionar de una forma un poco chapucera en la versi�n 4.0 ya que �nicamente se a�ade la password 8730AX0418W en el inicio de la base de datos. La base de datos de Cibercontrol se encontrara bien protegida si el equipo en el que se ejecute se encuentra bien protegida, esto es l�gico pero no es ninguna bobada, porque hay cada servidor por ah� que flipas ;)
En la versi�n 4.0 si se desea abrir la base de datos, el programa Ciberpuesto debe estar cerrado, ya que este abre la base de datos ("c:\windows\cp40.mdb") de forma exclusiva. Esta es una de las opciones incluidas en CrashCC.
RED.
Pues este parece ser el apartado menos cuidado de todos, y vamos a dar las razones para que no se diga que hablamos sin sentido ;)
1- C/C no sigue ning�n esquema de Cliente/Servidor racional.
2- El tr�fico generado por C/C es "inmenso" y los recursos consumidos en la maquina que ejecuta este proceso tambi�n.
3- Ciberpuesto acepta conexiones de cualquier maquina, incluso de una fuera de la propia red.
4- No debe existir el cifrado de la informaci�n sensible en este pa�s ya que las pass de los usuarios se env�an en texto plano ;) no solo en el inicio de la sesi�n sino a cada PING que se haga sobre la maquina. (esto es realmente desconcertante, ya que si la topolog�a de la red es multipunto, podr�amos hacernos con las pass de todos aquellos que se encuentren conectados en ese mismo instante).
5- Los "comandos" son realmente f�ciles de conseguir. Y con el esquema anterior, aquel que los consiga tiene el control de la sala. Aclaraci�n: no es posible aumentar el cr�dito si no se tiene acceso a base de datos de Cibercontrol, pero si que podemos apagar los ordenadores, bajar el volumen, etc. (esto es lo que viene a demostrar el programa CrashCC en su parte de red)
CONCLUSI�N.
Existen soluciones para todos estos problemas, ahora no tengo ninguna gana de seguir escribiendo, adem�s si alguien las quisiera escuchar me escribir�a un mail. El Programa CrashCC se ha desarrollado con la �nica pretensi�n de documentar todo lo dicho anteriormente.
