491 meneos
9370 clics

Los datos críticos en las máquinas de Metro de Madrid o de Renfe muestran una grave vulnerabilidad

www.elmundo.es/elmundo/2012/07/30/navegante/1343645393.html 
por hovercraft85 el 30-07-2012 11:08 UTC publicado: 30-07-2012 16:40 UTC
¿Es seguro -o más bien inseguro- comprar un billete de Renfe en una de sus máquinas Auto check-in? ¿Y en las máquinas del Metro de Madrid? El joven matemático informático Alberto García Illera ha mostrado en la conferencia de 'hackers' DefCon de Las Vegas hasta qué punto son vulnerables estos sistemas. Y lo son.
etiquetas: metro, renfe. máquinas, datos
negativos: 0   usuarios: 230   anónimos: 261  
compartir:  twitter  facebook  tuenti  
31comentarios tecnología, seguridad karma: 644
  1. #1   Si en cualquier país a éste se le debería contratar para tratar de mejorar el sistema, lo más seguro que acabe pasando en España es que se le denuncie (por el Gobierno) ante el TS por infracción y estafa contra un elemento público y amenaza de muerte contra la autoridad política correspondiente. 5 años de cárcel y ¡au!. Mientras, el diputado de turno elegido a dedo por el cacique madrileño Botellil, cobrando pluses de I+D+i.
    votos: 19  karma: 156  link
    el 30-07-2012 11:20 UTC por cklckl cklckl
  2. #2   El software "publico" que tenemos en España tiene una calidad que ni se puede considerar que tenga calidad. Prácticamente todo el software esta realizado por grandes consultoras, las cuales destinan a sus becarios mas baratos para realizarlo, mientras los altos cargos se llevan el dinero publico y no precisamente poco.

    Hasta que un día pase una desgracia de verdad no se va a cambiar este concepto de realizar software, lo coherente seria tener ingenieros funcionarios dedicados a este tema que ademas pueden trabajar en sistemas libres (y de paso ahorrarnos una tonelada de millones en licencias). Actualmente ya existe este puesto pero no deja de ser anecdotico por que son menos que los inspectores de Hacienda.
    votos: 38  karma: 322  link
    el 30-07-2012 11:32 UTC por pepeizq pepeizq
  3. #3   - Paco ¿Esto como dices que se hace?
    - Jose, ya te he dicho que siguiente, siguiente, siguietne, y OK.
    - Gracias Paco, como molaba el curso del INEM de 100 horas de seguridad informática.
    - Te digo, ahora somos unos juankers de la muerte por eso nos ponen a instalar estas cosas, por cierto ¿qué cojones estamos instalando?
    - Creo que es una máquina de refrescos y bollitos.
    - Joder como se estiran los de Renfe... a no, que puedes usar tarjeta de crédito ¿cuanto cuesta un donnut ahora?
    - Ni puta idea, con mis sueldo de becario de 400 laureles al mes no me da. Que raro suena becario con 50 años...

    Fijo que no me quedo muy lejos de la realidad.
    votos: 21  karma: 194  link
    el 30-07-2012 14:12 UTC por medyr medyr
  4. #4   #3 Jajajaja

    Pues no se si te acercas, yo desde luego no he conocido becarios de 50 anhos en empresas de informatica. Si que es verdad que las aplicaciones se suelen testear bastante poco, aunque eso depende de la seriedad de la empresa. Ademas los tests los hacen los propios desarrolladores.

    El codigo lo "pican" normalmente los becarios, eso si suele ser verdad, chavalillos que acaban de salir de la carrera y no saben ni lo que es un iterador. La gente con experiencia normalmente gestiona y habla mas que programa.

    Asi salen las mierdas que salen...
    votos: 2  karma: 23  link
    el 30-07-2012 14:23 UTC por te_digo_que_no te_digo_que_no
  5. #5   #3 Qué currado xD ;)
    votos: 0  karma: 15  link
    el 30-07-2012 14:36 UTC por wooldoor wooldoor
  6. #6   #2 lo coherente seria tener ingenieros funcionarios dedicados a este tema

    Haberlos, haylos. El problema es que normalmente se dedican a reinventar la rueda que ordene el político de turno.

    ¿Solución? Una clausulita que imponga una penalización brutal a la empresa externa que te monte un sistema con fallos (y más si son de seguridad). Es bien simple, pero no caerá esa breva.

    ¡Que coño! La vida son dos días: entre un software bien hecho y este maletín tan brillante, pues no sé...
    votos: 6  karma: 57  link
    el 30-07-2012 15:35 UTC por Gaeddal Gaeddal
  7. #7   #4 >>> La gente con experiencia normalmente gestiona y habla mas que programa.

    Por eso no tienen experiencia. Un programador o esta continuamente dándole al tema o en seis meses se queda fuera.
    votos: 4  karma: 42  link
    el 30-07-2012 16:29 UTC por radioman radioman
  8. #8   Interesante como empieza el articulo diciendo que ha enseñado unos vídeos que luego al final del articulo dice que no ha querido dar... Cuando en esas conferencias se graba todo...
    votos: 5  karma: 50  link
    el 30-07-2012 16:36 UTC por --319457-- --319457--
  9. #9   Normal, yo me dedico al control de calidad de software y es algo casi inexistente en este país. No se considera importante gastar dinero en un buen equipo de control de calidad del proceso de desarrollo. En finx.
    votos: 4  karma: 44  link
    el 30-07-2012 16:52 UTC por Bapho Bapho
  10. #10   #4 El problema no es que el código lo piquen becarios, que también puede serlo. El tema es que no se tiene un equipo especializado en control de la calidad, por lo que, si se prueba algo, que lo dudo, lo hacen los mismos programadores, que de SQA como que saben bien poco.
    votos: 1  karma: 17  link
    el 30-07-2012 16:54 UTC por Bapho Bapho
  11. #11   Lo de los descuentos es hacking de bajo nivel, vamos lleva años rulando por ahí el codigo de barras fotocopiado para sacarte el abono de la tercera edad (cuando pides el abono has de introducir el carnet que no es más que un trozo de papel con un código de barras, si le metes uno modificado te sacas el billete con descuento, eso sí el billete es de diferente color al resto y si te lo cazan te cae la multa) y poco o nada tiene que ver con el software.

    Lo que si que me parece raro es el poder acceder desdeun terminal con windows embebido a las cámaras de seguridad... Si no pone fuentes sospecho que el periodista se hizo la picha un lío...
    votos: 6  karma: 65  link
    el 30-07-2012 16:56 UTC por SkaWorld SkaWorld
  12. #12   Sin videos no hay meneo.
    votos: 1  karma: 16  link
    el 30-07-2012 16:58 UTC por zaklyuchonny zaklyuchonny
  13. #13   Jajajajaja Me desorino!!
    votos: 0  karma: 6  link
    el 30-07-2012 17:00 UTC por Sauga Sauga
  14. #14   #9 Totalmente de acuerdo, en software a medida el control lo hacen.... los propios usuarios.
    votos: 0  karma: 9  link
    el 30-07-2012 17:06 UTC por frank.smallwell frank.smallwell
  15. #15   #11 Es que no son windows embebidos, por norma general son Windows XP con mas o menos actualización. Yo he llegado a ver Windows con punteros de ratón personalizados (Alguien recuerda Windows Plus?) instalados en una maquina de billetes de metro...

    Y supongo que cada maquina tendrá sus cosas, porque en el caso de Metro Madrid, las hacen al menos 3 fabricantes distintos, Indra y otros dos mas...
    votos: 2  karma: 26  link
    el 30-07-2012 17:13 UTC por Andor Andor
  16. #16   #15 Aun asi, que hacen en el mismo dominio que las camarás de seguridad?
    votos: 1  karma: 18  link
    el 30-07-2012 17:16 UTC por rojovelasco rojovelasco
  17. #17   #16 Desde luego los administradores de red se han lucido en este caso.
    votos: 0  karma: 9  link
    el 30-07-2012 17:21 UTC por Bapho Bapho
  18. #18   Un hacker de los de verdad; de los que no revelan el exploit hasta que lo solucionen :-)
    votos: 2  karma: 27  link
    el 30-07-2012 17:25 UTC por Aladaris Aladaris
  19. #19   Claro ejemplo es la mierda web de renfe. Esta claro que alguno se ha llevado la pasta calentita mientras se ha contratado a hordas de becarios y se les ha dicho que hagan lo que pone en una servilleta de bar usada.

    De todos modos, me imagino por donde pueden ir los tiros:

    Haciendo click en determinado sitio consigues salir a windows, teclado en pantalla y zas...

    O bien como estan basadas en windows, haciendo esto y sacando la IP del terminal, explotar alguna vulnerabilidad de windows, pincharse a la red local o lo que sea...

    Ira por ahi.

    Que vamos, tampoco es que se sea.... vamos, que encontrar fallos en software español es mas facil que no encontrarlos :troll:
    votos: 0  karma: 9  link
    el 30-07-2012 17:30 UTC por jrz jrz
  20. #20   #19 www.meneame.net/story/11-5-millones-euros-no-bastan-para-hacer-web-dec

    Con semejante mandanga de web uno puede esperar algo parecido del sistema de Auto Check in... ¬¬
    votos: 0  karma: 6  link
    el 30-07-2012 17:46 UTC por melencho melencho
  21. #21   #19 Ya ves, esto es más viejo que el cagar...
    votos: 0  karma: 8  link
    el 30-07-2012 18:22 UTC por ElcheTV ElcheTV
  22. #22   #2 Yo conozco a unos cuantos ingenieros funcionarios... los que subcontratan empresas para que hagan su trabajo.
    votos: 1  karma: 20  link
    el 30-07-2012 20:50 UTC por HipnoSapo HipnoSapo
  23. #23   #19 Para ir a la defcon hace falta algo más que saltarse las restricciones de input de un kiosko...
    votos: 1  karma: 17  link
    el 30-07-2012 20:56 UTC por HipnoSapo HipnoSapo
  24. #24   #11 ¿Sabes como se puede conseguir el código de barras para conseguir el abono de la tercera edad? De pasar de 77€ a 11€ por el abono B3 hay una diferencia notable aunque me pillarán...
    votos: 2  karma: 13  link
    el 30-07-2012 21:37 UTC por epin3m epin3m
  25. #25   #24 Sin querer ser ofensivo, pero como me ha tocado empadronarme en Madrid y pagar impuestos aquí para poder tener la tarjeta sanitaria, no me siento muy cómodo con el hecho de facilitar a la gente el poder defraudar en un servicio público (además de que de externo si pero yo también trabajo para uno).

    Se lo del despilfarro de la casta y todas esas cosas, no tienes porqué darme las excusas que me las conozco, pero quizá esa diferencia de 77 a 11 sea la que mañana haga cerrar definitivamente el sistema público de salud de la seguridad social.

    Si realmente no puedes permitirte el abono y lo necesitas solo puedo decir que rulaba por la facultad de industriales de la politécnica (y hablo de hace ya unos 4 años) quizá puedas encontrar a alguien q te lo pase, yo en su dia no quise saber nada de ello y con tus disculpas sigo sin querer saber del tema, me resultó curioso en su momento y por eso me acuerdo, pero ahí se acaba la cosa.

    El país ya está lo suficintemente mal como para ahogar aún más la recaudación de las instituciones públicas que son de TODOS.
    votos: 2  karma: 26  link
    el 30-07-2012 21:49 UTC por SkaWorld SkaWorld
  26. #26   #0 No será al revés?? "Una grave vulnerabilidad muestra datos críticos en las máquinas de Metro de Madrid y Renfe", o son los datos los que hacen que la vulnerabilidad salte?
    votos: 0  karma: 9  link
    el 30-07-2012 21:55 UTC por zurt zurt
  27. #27   #26 Totalmente de acuerdo, me salió un titular que no lo entiende ni su abuela. Creo que eres el primero que protestas :-P
    votos: 0  karma: 17  link
    el 30-07-2012 22:03 UTC por hovercraft85 hovercraft85
  28. #28   Yo le juakeo la tarjeta de parkin de un garaje en Bilbao con cinta de casette pegada en una cartulina y grabada con el cabezal de un walkman de los 80 al que le hago warrindongadas desde mi portatil 00101100110101010101000001111 JUAKAJUAKAJUAKAKAKAKAKAK
    Es cuestión de ser imaginativo sin q tu cerebro implosione por ello
    votos: 1  karma: 13  link
    el 30-07-2012 23:09 UTC por kaoporrex kaoporrex
  29. #29   #25 Ok, lo entiendo perfectamente.
    votos: 1  karma: 20  link
    el 31-07-2012 10:05 UTC por epin3m epin3m
  30. #30   Y qué me decís de los que usan billetes del metro untados con pegamento para reventarles la máquina lectora de billetes de metro? A la gente se le ocurre unas ideas!
    votos: 0  karma: 6  link
    el 31-07-2012 10:11 UTC por LimonBay LimonBay
  31. #31   #11 Eso en Cercanías lo han resuelto por las bravas, quitando la posibilidad de comprar billetes con descuento desde las máquinas, eso teniendo en cuenta que cada vez hay menos taquillas, que no se puede comprar billete dentro del tren y que para que reintegren la diferencia del importe te tienes que pasar por una estación con taquilla abierta en un corto plazo.... resultado: se joden los usuarios de Tarjeta Dorada, muerto el perro se acabó la rabia
    votos: 1  karma: 20  link
    el 01-08-2012 14:23 UTC por ann_pe ann_pe
comentarios cerrados

menéame