Quem gerencia meu servidor dedicado?

[Eltern]

Imaginem o seguinte cenário: Comprei um servidor dedicado como resultado do crescimento de meu provedor de serviços de hospedagem na Internet, antes, porém, eu tinha um plano de revenda que me proporcionava os serviços sem me obrigar a ter conhecimentos técnicos tanto no sistema operacional quanto na ferramenta de gerenciamento de serviços do servidor (painel de controle), com isso me preocupava apenas no suporte direto aos meus usuários e clientes, enquanto o provedor que me fornecia revenda cuidava de questões relativas à segurança, atualizações e etc. Mas um pequeno problema ocorreu: o provedor não forneceu nem um dedicado gerenciado, nem o serviço de administração para meu novo servidor dedicado.

Cenários como os descritos acima são bem mais freqüentes do que possamos imaginar, e pode chegar ao nosso cotidiano a qualquer momento, como fruto do sucesso do provedor – mas, como assegurar o crescimento sem ter que investir em contratação de mão de obra especializada e ainda ter que arcar com as atualizações profissionais deste?

Uma empresa não enquadrada no simples nacional, paga num geral, quase 100% sobre o salário de um funcionário (encargos, reserva férias, etc), logo, contratar um profissional Administrador de Sistemas com especialização em Web Services pode ser tarefa difícil e de alto impacto nos cofres da empresa.

Encarar se profissionalizar é uma alternativa quase interessante, mas desprende o empreendedor de seu alvo principal: gerar novos negócios e manter sua base de clientes consolidada.  Aprender do sistema operacional com ênfase em segurança da informação requer um tempo considerável, sem contar a demanda base por uma formação de nível superior ou técnica. Outra questão que não pode ser ignorada é a experiência, esclareço: é quase impossível experimentar todos os problemas de um ambiente web quando se administra apenas um servidor.

Mas, o que fazer? Quase tudo! Menos entregar seu servidor nas mãos de qualquer pessoa ou empresa na Internet.

Este texto nasceu após eu ter vivenciado, por duas vezes, a seguinte situação: clientes (considero cliente qualquer pessoa ou empresa que por qualquer momento se cadastrou nos sistemas da empresa e possui ou não um serviço ativo – será sempre cliente!) com servidores dedicados sendo coagidos e constrangidos pelos “profissionais” que os assessoravam ao menor sinal de problemas, instabilidades e descontentamento. Ao tentarem mudar, eram sufocados com ações criminosas – sim, julgo um crime a ação de manipulação de pessoas a base de mentiras e ameaças.

O primeiro caso foi assim: O cliente identificou que, ocasionalmente, seu servidor era “invadido” (isso não é impossível de acontecer, mas analise os detalhes) e todos os sites (contas dentro do CPanel) eram excluídas, mas nenhum arquivo de configuração ou nenhuma outra informação era alterada, o “invasor” conseguia acesso sem técnicas de força bruta, excluía apenas as contas de hospedagem, excluía os arquivos de backup e deixava todo o resto intacto. Até ai, estranho, mas passível de acontecer não é mesmo!? O cliente então entrava em contato com seu “profissional” que gerenciava o dedicado dizendo que tudo havia sumido de seu servidor. O “profissional” então disse: eu cobro R$800 para restaurar os arquivos através de uma técnica de recuperação de dados excluídos.

Aqui faço uma pausa: Oras! Sabemos que talvez seja possível recuperar arquivos apagados em um disco rígido sem ter que remover o mesmo para um processo forense – mas recuperar isso em questão de poucos minutos, com arquivos de poucas horas antes do suposto ataque, era no mínimo, estranho.

O cliente então, pouco tempo após este primeiro episódio, sofreu um novo “ataque” e tivera seus dados de sites (contas do CPanel) novamente excluídos pelo “invasor”. Houve um novo contato por parte do cliente com o tal “profissional” e uma nova taxa. Isso ocorreu (segundo relato do cliente) por duas ou três vezes (este cliente chegou, conforme me relatou, a enviar o seu notebook para pagar estes serviços extras prestados por este “profissional”).

Em 2008 esse cliente então resolveu procurar nossa empresa para verificar sobre a segurança – afinal, múltiplos ataques deixavam o cidadão em estado de alerta máximo e desgostoso com tudo o que fazia em torno de seu servidor.

Ele conversou comigo por telefone, e entendemos que algo não estava normal – pois o tal “profissional” tinha acesso forçado ao servidor deste cliente, mesmo quando ele alterava a senha root. Sempre que ele alterava a senha root pra tentar sair fora deste “profissional”, o servidor era instantaneamente bombardeado e então, em seguida, uma mensagem do “profissional” dizendo que: Se sair de mim, seu servidor fica vulnerável, blá blá. Sem contar que os usuários deste cliente eram ocasionalmente transferidos para o provedor de hospedagem deste “profissional”. Desleal até nisso.

Ao recebermos esse servidor, sem saber ainda de fato que algo de sinistro estava ocorrendo, bastávamos acessá-lo que algo era feito contra este. O que nos impressionava era a condição das duas partes em conviver com tal condição. O “profissional” tinha total controle sobre o dedicado do cliente, alterava a integridade de contas dentro do cpanel para mesmo após a mesma ser transportada para outro servidor, tivesse acesso ao servidor e apagasse as contas desse cliente. Imaginem o sumário deste primeiro caso: O cliente tinha um servidor e era obrigado a se manter na mira deste “profissional”, pois o mesmo tinha em sua mente que era inaceitável que o cliente tivesse opção em alterar seu fornecedor.

O segundo caso ocorreu no último dia 19 de abril de 2010, vejam que curioso. O dono de um portal de conteúdo para o público estudantil entrou em contato conosco querendo que cooperássemos numa investigação: saber por qual motivo seu site fica tanto tempo fora do ar (indisponível) mesmo tendo ele um servidor dedicado. O cliente disse: O “técnico” que cuida de meu dedicado nunca esta on-line (ultimamente) e por isso estou pensando em alterar esse “técnico”.

Pessoal, este cliente contratou um servidor dedicado com este tal “técnico”, mas olhem que interessante – o cliente não tinha a senha root, nem mesmo acesso ao WHM como usuário normal, ele só tinha acesso ao login cpanel do domínio dele

Podemos aqui imaginar: pode ser que na venda do servidor, tivesse sido negociado que o cliente não teria acesso root – mas, vejam os detalhes logo abaixo.

Ao nos contratar, logicamente pedimos a senha root, e ele sem saber, pediu que migrássemos a conta de hospedagem dele via geração de backup no painel de controle CPanel. Sabem o que houve? O tal “técnico” percebendo isso removeu os arquivos que possibilitavam a geração do backup e ainda, alterava a senha CPanel da conta do cliente, impedindo que ele tivesse acesso.

Ou seja, agora o cliente (que afirmou estar em dia com seus pagamentos lá) não tinha nem senha root do seu próprio servidor e nem a senha que dava acesso ao FTP de seus arquivos.

Mas isso não parou por aí, após alguns dias passados o cliente desistiu e se entregou a ação criminosa (sim, crime contra a liberdade de ir e vir - ahaha) ao tal “técnico”. Ele entrava quase que todos os dias em nosso canal de atendimento, tentando ver conosco uma alternativa para seu problema – mas totalmente amedrontado, pois o tal “técnico” claramente lhe constrangia – o cliente tinha medo, literalmente.

Eu me enfureci bastante com o cenário e me indignei por não poder dar sugestões claras ao cliente sobre como requerer seus direitos (denunciando este “técnico” para o departamento responsável da polícia civil) e resolvi investigar algo: saber se no servidor dedicado dele havia apenas o site dele hospedado. O tal “técnico” tinha seis domínios hospedados no servidor deste cliente (por isso não permitia que ele tivesse a senha root), ou seja, o servidor não era dedicado ao cliente coisa nenhuma.

Este cliente então nos contratou para intermediar a contratação de um novo dedicado para ele na SoftLayer – não conseguindo remover seu site, resolveu tentar a sorte pedindo ao “técnico” que transferisse para ele seu site par ao novo servidor (ação suicida). O tal “técnico” então diz ao cliente: este dedicado que compraste não agüentará seu site. Pessoal, o servidor deste cliente era “estressado” com sites de arquivos e jogos de propriedade deste tal “técnico”, que, aliás, tem um site pra venda de servidores dedicados e um site para venda de hospedagem web na Internet.

Não há mais condições de eu ser mais claro sobre as fatalidades que presenciei, parece conto, mas é real. E estes dois clientes não foram os únicos alvos, muitas pessoas desinformadas, colocam a vida de sua empresa nas mãos de pessoas sem escrúpulos, sem caráter e sem idoneidade, e é por isso que deixo um guia muito simples para que, caso você esteja pensando em contratar uma pessoa que gerencia servidores, consiga ter maiores chances de sucesso. Vamos lá:

1. 
   
2. Se não pode pagar por um profissional interno ou terceirizado, não contrate um servidor dedicado: Sim, continue com uma revenda até poder obter recursos para tal investida.
   
3. Ao buscar o profissional, tente optar por uma empresa devidamente registrada, mas se não for possível, tenha algumas certezas sobre a pessoa física que estará contratando, são elas:
   2.1 – Ela é localizável?  Se só atende por MSN é já um sinal de problema.
   2.2 - O telefone de contato é fixo,  VoIP ou móvel?
   2.3 - Consegue ter um documento com foto deste?
   2.4 – Há um comprovante de endereço desta pessoa?
   2.5 – Possui referências confiáveis desta pessoa?
   2.6 – Ela permite que você consulte sua idoneidade, junto aos órgãos de proteção ao crédito, caso necessário? (ter o CPF negativado no Serasa por não ter quitado a conta de telefone é uma coisa, mas ter vários cheques no CCF ou vários protestos no cartório ou ainda, várias ações em pequenas causas locais pode ser uma pista que a pessoa tem coisas mais importantes pra resolver do que cuidar de seu dedicado)
   
   Isso não assegura que terás sucesso, e parece ser radical demais – porém lembre-se: você é civil e criminalmente responsável pelas informações de seus clientes hospedadas em seu servidor. Se algo ocorrer, não adiantará tentar dizer que a culpa é do profissional que gerencia seu servidor, se ele não “existir” na sociedade. Sua obrigação não será menor por ter estes dados dele, mas poderá ao menos repassar uma ação contra este num momento qualquer.
   
   
   
4. A empresa escolhida possui cadastro ativo na base da receita federal?
   
5. Você consegue obter alguma referência da empresa e de seu principal sócio?
   Neste ponto uma nota: Clientes de gerenciamento não gostam de registrar depoimentos pelo seguinte motivo: Pra que falar bem de uma empresa ou profissional que me coloca em vantagem diante da concorrência? Ou seja, pra que dizer ou revelar a qualidade de um dos principais pilares de meu sucesso para meu concorrente?
   
   
   
6. O principal sócio transparece lucidez e bom senso em suas interações em sites de relacionamento, blogs e afins?
   
7. Existe algum registro negativo ou positivo desta empresa na Internet? São toleráveis?
   

1. 
   
2. Há uma conta corrente em nome da empresa em algum banco nacional?
   
3. Onde está hospedado o site da empresa? É hospedagem compartilhada ou dedicada? Imagine informações importantes de sua empresa (login e senha de seus servidores, dentre outras informações) nas mãos de estagiários em provedores de hospedagem ou de staffs que não tenham assinado um termo de confidencialidade junto ao provedor?
   
4. A empresa pode emitir uma Nota Fiscal para comprovar sua conformidade junto aos órgãos municipal e federal?
   
5. As ferramentas utilizadas para atendimento são legalizadas? Se uma empresa ou profissional liberal não consegue utilizar softwares originais (limitamos aqui a consultar os softwares web conhecidos, quando possível), o que o impedirá de pegar algo em seu servidor para uso indevido e não autorizado?
   

O que poucos sabem é que qualquer pessoa pode conseguir até mesmo o endereço dos sócios de qualquer empresa sem precisar mover uma ação contra a mesma. Se houver motivos suficientes, o interessado pode solicitar a cópia do contrato social no cartório (lógico que isso deve ser feito com muita responsabilidade, pois o pedido fica registrado e os donos da empresa podem requerer de você as intenções sobre esta ação alegando que há risco em sua segurança particular) e obter informações deste cunho.

Ainda no tema: você pode contratar uma empresa de uma pessoa só, isso nunca será um problema – problema mesmo será quando você sofrer a perda de seus direitos ou de acesso aos seus dados. A liberdade de troca de fornecedor deve estar assegurada em qualquer estágio da negociação em curso.

Finalizando: Infelizmente não criaram ainda um medidor de caráter, nem mesmo um método que nos permita ter na vida maiores acertos do que erros, porém podemos ser mais eficientes em nosso favor, promovendo esforços para tal.

Por questões jurídicas, tão somente, não posso em qualquer hipótese revelar o nome dos envolvidos. Ah se pudéssemos!