859 meneos

"Te digo cómo he abierto tu candado super-seguro si se los reemplazas a tus clientes gratis" [Eng]

www.wired.com/threatlevel/2009/08/electronic-locks-defeated/ 
por JanSmite el 03-08-2009 03:37 UTC publicado el 03-08-2009 07:30 UTC

En la conferencia de hackers DefCon, los expertos en candados Marc Weber Tobias, Toby Bluzmanis y Matt Fiddler han demostrado cómo abrir candados electro-mecánicos de alta seguridad, de los que usan grandes compañias y hasta gobiernos para proteger zonas sensibles. Cada uno vale entre 500 y 800 USD. Alguno de ellos lo han abierto con una barrita de metal en 10 segundos. Y les han dado a los fabricantes la posibilidad de conocer el método, para que mejoren los candados... a cambio de que sustituyan los ya vendidos, por inseguros: se han negado.

etiquetas: defcon, hackers, candados electro-mecánicos
negativos: 0   usuarios: 372   anónimos: 487  
compartir:  twitter  facebook  tuenti  
53 comentarios tecnología, seguridad karma: 594
  1. #1   Pues ahora hacen pública la información y sí o sí la empresa tiene que cambiarlos, y si piden pasta, pues los clientes, que no serán pocos, se la pueden liar :-P
    215  votos: 23   link
    el 03-08-2009 03:47 UTC por Cacahuete Cacahuete
  2. #2   Grosos [ícono de anteojos negros acá]
    7  votos: 0   link
    el 03-08-2009 03:50 UTC por --125164-- --125164--
  3. #3   De momento, los clientes YA se la pueden liar, sabiendo que sus candados de "máxima seguridad" los puede abrir un chaval de 15 años con un clip del pelo, como quien dice... :-P
    384  votos: 42   link
    el 03-08-2009 03:52 UTC por JanSmite JanSmite
  4. #4   Lo cual quiere decir que para abrir un candado de esos has de ser un super-especialista :-P
    13  votos: 2   link
    el 03-08-2009 04:08 UTC por Kery Kery
  5. #5   #4 Según ellos, una vez que se conoce el sistema, hasta un chavalín de 15 años lo podría replicar. Lo que me imagino es que el chavalín (ni mucha otra gente) se pueden permitir gastarse 800 pavos para probar... :-P
    31  votos: 2   link
    el 03-08-2009 04:25 UTC por JanSmite JanSmite
  6. #6   #4 o haber visto el pertinente video en youtube
    60  votos: 6   link
    el 03-08-2009 05:25 UTC por temu temu
  7. #7   Me encanta la DefCon, siempre hay una epoca pre y post DefCon.

    La liada con los certificados SSL de hace un año. El primer hack de la Wii. La presentacion de los tios de DeDECTed (Estos tres ultimos recientes) Etc etc xD
    163  votos: 17   link
    el 03-08-2009 06:34 UTC por nemeS nemeS
  8. #8   EPIC FAIL!
    13  votos: 0   link
    el 03-08-2009 06:52 UTC por nade nade
  9. #9   Vaya hombre, no hay tutorial tras el enlace.
    20  votos: 4   link
    el 03-08-2009 06:55 UTC por hidalgoriginal hidalgoriginal
  10. #10   JUAS! menuda putadilla para la empresa. A ver cuanto tardan en mostrarnos como se abren... Lo que no entiendo es la negativa de la empresa :-|
    5  votos: 2   link
    el 03-08-2009 07:23 UTC por Raydenito Raydenito
  11. #11   los de la ferreteria de mi pueblo no los abren ni borrachos...
    13  votos: 1   link
    el 03-08-2009 07:32 UTC por enmafa enmafa
  12. #12   He aqui una definicion perfecta de Hacker.
    83  votos: 9   link
    el 03-08-2009 07:36 UTC por mentperduda mentperduda
  13. #13   #10 La negativa de la empresa? Paxta.
    Sustituir ese porrón de candados a 800pavos unidad...Pues eso, no les merece la pena. Confían en que los hackers no revelen el secreto, y si lo hacen...Pues mala suerte
    35  votos: 3   link
    el 03-08-2009 07:45 UTC por silencer silencer
  15. #15   Parece que el sistema es un simple vibrador... (y no lo digo de coña)
    10  votos: 0   link
    el 03-08-2009 07:55 UTC por KreatoR KreatoR
  16. #16   #14 pues me estoy acordando de un chavalillo llamado Jondvd que reventó un cifrado creado por las corporaciones tecnológicas mas poderosas. Entre otros.
    172  votos: 17   link
    el 03-08-2009 07:56 UTC por mercurio2682 mercurio2682
  17. #17   Si tú vendes un producto que supuestamente tiene unas características (ser un candado de alta seguridad en este caso) y luego resulta que no cumple con estas características (que es lo que han demostrado estos hackers) entonces deberías estar obligado a reemplazar ese producto por uno que cumpla.

    #14 ¿Y la empresa? bah.. seguro que son unos multimillonarios ineptos en su oficio que ríen a carcajadas pensando en cómo han estafados a sus clientes mientras conducen su Ferrari... Anda ya...

    Hay que leerse los artículos antes de opinar. Teniendo al sistema federal de trenes suizo o el aeropuerto internacional de Ottawa como clientes, muy faltos de pasta no deben ir.
    165  votos: 17   link
    el 03-08-2009 07:56 UTC por roy roy
  18. #18   me acabo de levantar, esta noticia me ha hecho reir, empezamos bien el dia! xD
    16  votos: 1   link
    el 03-08-2009 08:03 UTC por s3m4 s3m4
  19. #19   #14 Las empresas incompetentes DEBEN quebrar. Han hecho mal su trabajo y deben pagar por ello, bien reduciendo sus beneficios bien saliendo del mercado. Que pasa, que si su candado llega a ser el primero totalmente inviolable lo iban a regalar?. No, lo venderian caro y con razon. Estos dos señores NO trabajan para ellos y han conseguido algo que el DEPARTAMENTO DE CALIDAD si deberia haber hecho. Y ni siquiera estan pidiendo que les paguen, sino que se limitan a pedir que la empresa trate a sus clientes como dios manda.

    Para mucha mas conversacion a el tema de unos clientes que han recibido un servicio (candados de alta seguridad) claramente inapropiado por no decir algo mas fuerte.
    321  votos: 37   link
    el 03-08-2009 08:08 UTC por nim nim
  20. #20   #18 Estoy por votarte negativo por levantarte a estas horas y encima restregarnoslo :-P

    #14 Claro que si. Total, si tu compras un candado que te vale solo 800 dólares y luego resulta que se puede abrir con un clip, no esperarás que encima la empresa se haga responsable, ¿no?
    132  votos: 14   link
    el 03-08-2009 08:09 UTC por EdmundoDantes EdmundoDantes
  21. #21   Esto me recuerda al libro "¿Esta Ud. de broma, Sr. Feyman?". Que un tio se dedique a abrir todos los armarios seguros durante el proyecto Manhattan no tiene precio.
    51  votos: 4   link
    el 03-08-2009 08:16 UTC por nether nether
  22. #22   Sin video no hay meneo...
    10  votos: 0   link
    el 03-08-2009 08:16 UTC por --50119-- --50119--
  23. #23   #14

    Curiosa filosfía. Vendo una cosa que presuntamente es segura y que resulta que no lo es aun precio de escándalao y resulta que no tengo ninguna obligación.

    Seguramente tú a eso le llamas economía liberal, pero yo a eso lo llamo estafa. De momento, lo primero que tiene que hacer es suspender la comercialización y luego, ir cambiando esos candados defectuosos.

    Estoy seguro que esa empresa (como otras muchas) en lugar de hacer su trabajo ha apretado en toda la cadena de producción recortando costes (entre otras cosas, en pruebas) y así les ha salido la chapuza.
    73  votos: 9   link
    el 03-08-2009 08:21 UTC por jmfer jmfer
  24. #24   #20 trabajo poniendo copas, por la noche salgo a las 3,30 y llego a casa a las 4 ¬¬ U
    64  votos: 7   link
    el 03-08-2009 08:39 UTC por s3m4 s3m4
  25. #25   Joder, aparte de conducir el Red Bull Mark Webber también abre candados, qué crack
    21  votos: 2   link
    el 03-08-2009 08:45 UTC por ketow ketow
  26. #26   Qué forma de hacer el candado...
    6  votos: 0   link
    el 03-08-2009 08:48 UTC por currado currado
  27. #27   Me acabo de levantar ahora y no entiendo el comentario de #20 sobre #18 ;)
    21  votos: 2   link
    el 03-08-2009 08:58 UTC por malacaton malacaton
  28. #28   #27 Me caes mal :-)
    44  votos: 4   link
    el 03-08-2009 09:13 UTC por EdmundoDantes EdmundoDantes
  29. #29   Ese es el auténtico espíritu hacker, y no lo que sacan por la tele.
    15  votos: 1   link
    el 03-08-2009 09:29 UTC por mastorgano mastorgano
  30. #30   #(para el troll, que hoy me apetece alimentarlo... lo veo muy flacucho ultimamente...) es muy posible que esa filosofía tuya sea factible en algunos países... pero normalmente en otros es como decirlo... "muy arriesgada"... tanto que normalmente se pagan sobornos maravillosos para callar bocas, no vaya a destaparse el escándalo y rueden cabezas de alto nivel...
    9  votos: 0   link
    el 03-08-2009 09:54 UTC por nexus7 nexus7
  31. #31   coincido con #28 xD
    15  votos: 1   link
    el 03-08-2009 10:03 UTC por s3m4 s3m4
  32. #32   #1 Los podrían denunciar. Esto ya ha pasado muchas veces. Por ejemplo, un chico hace unos años descubrió una vulnerabilidad en los routers de CISCO que forman el backbone de la red (el esqueleto de Internet a nivel global) y la estuvo comentando por universidades de medio mundo hasta que los señores de CISCO, en lugar de coger esa información y arreglar los routers decidieron amenazar a este chico con cuantiosas demandas por miles de millones de dólares.
    Por cierto, la vulnerabilidad de estos routers sigue existiendo (CISCO no ha hecho nada) y es una vulnerabilidad que da a quien la conoce el control absoluto de estos routers, y por tanto, de la red en sí.
    54  votos: 5   link
    el 03-08-2009 10:24 UTC por Airangel Airangel
  33. #33   MacGyver 1 - Candado 0
    7  votos: 0   link
    el 03-08-2009 10:29 UTC por zull zull
  34. #34   #23 #19 etc... A ver... se os llena la boca... departamento de calidad, estafa, seguro que han recortado en gastos de producción... que sabéis de la empresa? Como bien dice #17 hay que leerse los artículos antes de opinar, y la empresa tenía clientes importantes, con departamentos de compra que si los habían elegido y pagado esos precios por algo sería. Estáis calificando a la empresa, vosotros que tanto sabéis de sistemas de seguridad, como una mierda de empresa. ¿Por qué? porque unos frikis se han dado cuenta de un "error" (sí, entre comillas porque vuelvo a repetir que todas las cajas de seguridad, sistemas de seguridad, alarmas, candados, tienen una forma más o menos fácil de saltárselos, si no buscad en youtube). No voy a entrar en si la empresa deba reponer o no todos los candados, que con la publicidad que le están haciendo no les va a quedar otra. Entro en que eso no es una estafa, entro en que eso no dice que la empresa sea incompetente. Eso lo único que muestra es que todo sistema tiene su fallo. No de esa empresa, si no de todas las de seguridad. Y que la forma de proceder de estos personajes, lejos de buscar mejorar la seguridad de nada ni nadie, es la de colgarse una medallita. Si no, no lo hubieran publicado en Internet antes de consultarlo con la empresa ni hubieran dado un ultimatum. Me parece una niñateria.
    -4  votos: 3   link
    el 03-08-2009 10:29 UTC por Kacko Kacko
  35. #35   es más... VIVA MEDECO!!! (la empresa en cuestión)
    0  votos: 1   link
    el 03-08-2009 10:41 UTC por Kacko Kacko
  36. #36   #34 pero tío, te has leído la noticia?

    Primero les llamas frikis a pesar de que estas personas son las que mejoran la seguridad día a día. No son Robin Hood, en eso estamos de acuerdo, pero no están pidiendo recompensa ni hostias, están pidiendo que cambien las cerraduras INSEGURAS a su clientes antes de revelar cómo se abren "fácilmente".

    Nadie se está metiendo con la empresa, pero sí con su producto, que no ofrece la calidad que aseguran. A 800 pavos el cerrojo y con clientes como el aeropuerto de Ottawa no se les puede dejar inseguros en el mismo momento en el que te prueban que las cerraduras son violables (y supongo que ese momento será en el DefCon de este año).
    6  votos: 0   link
    el 03-08-2009 10:43 UTC por ElGatoConBotas ElGatoConBotas
  37. #37   #36 Ah bueno. Nota mental: nunca montar una empresa de seguridad porque un friki se va a dedicar a buscar un fallo y, oh! sorpresa, al final lo encontrará, lo publicará por todos lados y te chafará el negocio

    Eso no es un Hacker, eso es un hijo de puta. Los hackers ven una falla y lo comunican a la empresa. Estos lo dicen en el DefCon. Ole los huevos. Ah por cierto, la noticia no dice que sea sólo esta empresa, si no que hay varias. ¿Son todas las empresas de seguridad unas incompetentes? ¿porqué no se dedican entonces los de DefCon a hacer candados? ah... porque seguramente venga otro friki y averigüe como abrirlo también... de verdad me parece que veis todo o blanco o negro....
    -31  votos: 12   link
    el 03-08-2009 10:51 UTC por Kacko Kacko
  38. #38   #37 deberías redefinir tu concepto de hacker, ya que este se extiende más allá de la temática informática, un crio de 12 años que desmonta su bicicleta y la vuelve a armar por simple curiosidad a ver como se mueve todo el mecanismo y su funcionamiento tiene más de "hacker" que una persona que haya estado delante de un pc durante 20 años y sin embargo lo único que ha hecho ha sido "adaptarse" al SO de turno. :-)
    13  votos: 1   link
    el 03-08-2009 11:00 UTC por s3m4 s3m4
  39. #39   #37 ¿Son todas las empresas de seguridad unas incompetentes? Si todas fabrican candados de alta seguridad y resulta que es cierto que se abren en diez segundos con una barrita de metal, la respuesta es SI.
    45  votos: 3   link
    el 03-08-2009 11:05 UTC por pablicius pablicius
  40. #40   Parece que estamos debajo de un puente (lo digo por el troll)... xD
    25  votos: 2   link
    el 03-08-2009 11:11 UTC por Airangel Airangel
  41. #41   #38 pfff trabajo en una empresa de hosting y ya conozco hackers con buena intención, con intención de agrandar su ego o con intención sólo de forrarse... no conozco al del niño de la bicicleta

    #39 esperamos ansiosos que montes tu propia empresa de seguridad, la primera segura 100%. Si quieres soy tu socio capitalista xD
    -4  votos: 1   link
    el 03-08-2009 11:16 UTC por Kacko Kacko
  42. #42   #41 Lo que tu conoces probablemente solo sea una panda de script-kiddies (es.wikipedia.org/wiki/Script_kiddie) o, como mucho, algun cracker (es.wikipedia.org/wiki/Cracker).

    Dudo mucho que sean hackers de verdad.
    9  votos: 0   link
    el 03-08-2009 12:08 UTC por worm worm
  43. #43   #41 Ese ataque ad hominem es una bonita forma de defender tus argumentos, ahora ya entiendo que tienes mucha razón.
    21  votos: 1   link
    el 03-08-2009 12:36 UTC por pablicius pablicius
  44. #44   Cuando compras/alquilas un candado de ese tipo, no estas comprando un aparato en si, sino un SISTEMA que GARANTIZA una ALTA COTA DE SEGURIDAD. Para ello, firmas un contrato de compra venta (factura) en el cual te garantizan que el producto adquirido responde a lo anunciado por la empresa y cumple con las expectativas creadas por el producto.

    Si a los 10 minutos se abre, NO CUMPLE con la garantía de seguridad, que es esencialmente por lo que lo adquiriste, por lo cual, estas en el derecho de que te devuelvan el dinero o que el producto funcione correctamente. Asi de claro.

    Tu compras un coche para viajar, pero solo funciona bien una de cada 10 veces. Si, tienes un aparato, que tiene forma de coche, con piezas de coche, pero que no hace lo que tiene que hacer un coche... o por lo menos, no lo hace correctamente.
    56  votos: 5   link
    el 03-08-2009 12:37 UTC por Quietman Quietman
  45. #45   De momento no le doy credibilidad a esta noticia, los candados de las fotos parecen mas de bazares chinos que de alta seguridad.
    7  votos: 0   link
    el 03-08-2009 13:41 UTC por Josepf Josepf
  46. #46   Candadowned!
    7  votos: 0   link
    el 03-08-2009 19:02 UTC por --123612-- --123612--
  47. #47   Este tipo de demostraciones siempre rozan una linea que no se como definirla.

    Si yo tengo una empresa de seguridad, alarmas etc y publico como la puerta trasera de tu casa no esta cerrada, o que facil se pondria tumbar (obviamente demostrandolo no en la puerta en cuestion porque seria ilegal) el asunto no seria tan entretenido.

    Estoy de acuerdo con #37
    19  votos: 2   link
    el 03-08-2009 19:43 UTC por pepete pepete
  48. #48   #47 Hombre! una persona que piensa como yo... habrá más pero no quieren que los frian a negativos por hablar mal del DefCon?
    12  votos: 1   link
    el 03-08-2009 21:18 UTC por Kacko Kacko
  49. #49   Arriesgandome a ser bombardeado por una colosal lluvia de negativos,tengo que decir que en algo si que estoy deacuerdo con #34,un buen hacker no revela los fallos que descubre al público sin antes entablar unas conversaciones privadas con la empresa/empresas en cuestión,estos señores directamente lo han hecho público en un evento en el que puedes encontrar de todo.

    No han pedido nada a cambio por guardar silencio,muy bién por ellos,pero soltar una amenaza así sin más, de que o cambian todas esas cerraduras "defectuosas" a sus clientes o sacan a la luz como se puede abrir en 10 segundos...y repito que lo han dicho en una Defcon,vamos que ya lo sabe más de la mitad de la población mundial,deberían haber sido un poco más profesionales y haber entablado conversaciones privadas antes con las empresas afectadas,y si después de eso las empresas decicen no hacer nada,pués bién merecidas tendrían las consecuencias.

    Como dice #34 no hay sistema de seguridad que no se pueda saltar,los hay más fáciles y los hay más dificiles de saltar,pero infalibles no hay ninguno.
    6  votos: 0   link
    el 03-08-2009 23:07 UTC por Laslo Laslo
  50. #50   #44 Estás confundiendo churros con merinas,comparar un coche con una cerradura de seguridad roza lo absurdo.

    El problema de esta noticia,es la falta de profesionalidad de estos supuestos "hackers",a los que yo más bién definiría como "crackers",si de verdad lo que quieren conseguir es la seguridad de todos esos clientes,la han cagado pero ampliamente,ahora no solo van a tener más inseguridad,si no que además van a estar paranoicos,pero vamos que tampoco deberían de preocuparse tanto,han descubierto una vulnerabilidad antes del tiempo que tendrían estimado estas empresas que ocurriría,por que tengamos claro que estas empresas saben que tarde o temprano alguien aparecerá de la nada abriendo sus maravillosas cerraduras super-ultra-seguras con la punta del capullo.

    Ya puestos,¿por que no sacan a la luz la cantidad de fallos de seguridad de todos los aparatos tecnológicos que usamos a diario y de los no tan tecnológicos así de golpe y porrazo?,seguro que a más de uno se le caería el mundo encima después de comprobar que aquello que compró con total seguridad de que no iva a fallar nunca,resulta que con un clip y un chicle te lo joden en cero coma.

    Aún así reconozco que su merito tienen al averiguar algo tan serio como esto,pero que les falta profesionalidad y un poco de sentido común es más que evidente.
    6  votos: 0   link
    el 03-08-2009 23:18 UTC por Laslo Laslo
  51. #51   Por cierto #44,a los diez minutos no se abrió,por lo tanto no se que dices de "NO CUMPLE con la garantía de seguridad",estas empresas han tenido la mala suerte de toparse en su negocio con dos cracks de las cerraduras,que más les valdría contratarlos como testers,eso no quiere decir que CUALQUIER persona normal o con ciertos conocimientos pueda lograr lo mismo,evidentemente si estos dos cracks sueltan al público como abrir esas cerraduras,está claro que hasta forrest gump la abriría sin esfuerzo,pero no caigamos en el error de generalizar a la hora de criticar la seguridad de nada,siempre habrá quién se salte cualquier medida de seguridad con el forro,pero los podremos contar con los dedos de las manos.
    6  votos: 0   link
    el 03-08-2009 23:24 UTC por Laslo Laslo
  52. #52   #51 y #50 sin problema hombre.... la comparación es eso,... una comparación. Si quieres hago la comparación con las tarjetas de crédito, o con cualquier sistema de cerradura de seguridad:
    por conocimiento
    biometrica
    personal
    material
    combinadas
    ...

    Tu argumentación esta bien... es exactamente la que le gustaría escuchar a las empresas de informatica con vulnerabilidades en sus programas... o la de un banco con agujeros de seguridad

    Igual soy un paranoico, pero... en respuesta a tu comentario: SI, EXIJO que me digan donde están los fallos en los sistemas que utilizo, en las maquinas con las que trabajo, en los electrodomesticos que compro. Si la empresa falla en los diseños, es su maldito problema. Que lo resuelvan, pero que no me lo pasen a mi... y si me lo pasan, RECLAMARÉ.

    Todo oscurantismo en los diseños es malo, ya lo vemos en el software, en los canones, en la restricción a la información.

    ¿mala suerte de toparse con dos cracks?... Si tu tienes las joyas de tu familia en una caja de seguridad con esa cerradura creo que no te haria gracia que la empresa te dijera "a mi no me mire!!!... busque usted a los ladrones!!"
    6  votos: 0   link
    el 03-08-2009 23:52 UTC por Quietman Quietman
  53. #53   #52 no puedes reclamar ni exigir que una cerradura sea infalible. No todos los productos son iguales, y en este caso has topado con uno en que no es posible, aunque queramos. Me parece que el error es la regla con lo que lo estamos midiendo. Para mi que los de los Defcon hayan descubierto cómo se abre un candado de alta seguridad no me parece significativo (podrían terminar sacando errores a casi todo lo que se propusieran) y sin embargo si me parece patético la forma de publicarlo. No es profesional, bueno sí, si lo que buscas es hacer publicidad del evento. Ups!. También decís que son unos ineptos porque el candado se abre en 10 segundos, y me parece otro razonamiento estúpido. Que se tarde tan poco (que habría que verlo...) no significa que el problema sea más o menos grave. También hay cortafríos que pueden abrir esos candados en menos de 10 segundos. Mi cabreo es la visión que se tiene sobre la empresa en general, que siempre es el objetivo de todos los comentarios negativos y desprestigiadores sin tener ni puta idea de como opera, en contraposición de unos "hackers" a los que se venera por hacer un acto irresponsable, pero que queda muy "cool". A cada cosa y en cada momento por su nombre...
    6  votos: 0   link
    el 04-08-2009 08:20 UTC por Kacko Kacko
comentarios cerrados

menéame