TECNOLOGíA, INTERNET, JUEGOS
617 meneos
7967 clics
Auditoria de seguridad BiciMAD (desastre total)

Auditoria de seguridad BiciMAD (desastre total)

Fallos de seguridad de principiante que ponen en peligro los datos de los ciudadanos. Incluido un directorio abierto con un certificado privado. Todo esto en un proyecto que costará 884 millones en 12 años, una licitación a bonopark de 25 millones en 10 años…

| etiquetas: seguridad , bicimad
218 399 1 K 234
218 399 1 K 234
Comentarios destacados:                  
#4 #2 da exactamente igual que lo haya hecho un amiguito de cualquiera por una pasta o un becario mal pagado tras un concurso público justo (en el supuesto de que eso existiese), los problemas que tiene esa "API" son inadmisibles sea cual sea el caso y a todos los niveles.

Tratándose de un sistema público debería tener consecuencias. Si donde yo trabajo me dejo algo remotamente parecido a eso me echan ipso facto (y con razón).
Usando en producción www.wampserver.com/en/

WampServer is a Windows WEB DEVELOPMENT ENVIRONMENT. It allows you to create web applications with Apache2, PHP and a MySQL database. Alongside, PhpMyAdmin allows you to manage easily your databases.
#1 joder qué hachas... ni siquiera IIS con PHP, WAMP directamente

31.media.tumblr.com/tumblr_lxpfttmPEq1rn95k2o1_400.gif
Acabo de ejecutar el PRUEBA.php y la primera en la frente: warnings de WAMP. Sin comentarios. (cc #1 #20)
cada proyecto publico es una excusa para llenar los bolsillos de algun amiguito del alma con dinero publico, el servicio a los ciudadanos ni esta ni se le espera.
#2 da exactamente igual que lo haya hecho un amiguito de cualquiera por una pasta o un becario mal pagado tras un concurso público justo (en el supuesto de que eso existiese), los problemas que tiene esa "API" son inadmisibles sea cual sea el caso y a todos los niveles.

Tratándose de un sistema público debería tener consecuencias. Si donde yo trabajo me dejo algo remotamente parecido a eso me echan ipso facto (y con razón).
#4 tu no sabes todavia donde vives? esto es lo normal. esta mal? claro, pero poco se puede hacer mientras sigan alibaba y los apandadores al mando de las instituciones y gestionandorobando el dinero publico
#5 a lo que me refiero es que esto no ha ocurrido porque sean unos ladrones (que lo son), estas cosas ocurren porque son unos ineptos. A muchas instituciones publicas llenas de ladrones (en UK mismamente) esto no les ocurre, idem con la mayoría de las entidades bancarias. Es una falta de respeto a la seguridad del usuario, y suele pasar cuando el está al mando no sabe lo que hace.
#6 te resumo la logica del corrupto: un equipo de profesionales bien cualificados va a querer cobrar un sueldo decente y me queda menos para robar que si junto una recua de becarios que no cobran un duro y encima me los subvencionan.
#7 Con el paro que hay no compro ese argumento, lo siento.
#8 No s'e c'omo ibas a comprar un argumento, aunque quisieras.
#8 ¿Tú vives en España? Porque paro entre desarrolladores experimentados capaces de sacar este proyecto con los mínimos fallos de seguridad no hay.

Pero claro, para sacar a estos desarrolladores de su actual trabajo hay que pagarles más...
#8 un programador que pueda hacer una app o web en condiciones, no baja de 25.000€ al año (para desarrollo de móviles bastante mas). Los que están en el paro, o no son muy buenos, o son juniors, es decir no tienen experiencia o muy poca, o tienen unas expectativas económicas que son mucho mas altas que las de los 0 € de un becario. La informática no se acerca ni de lejos al paro general.
#27 Pero lo triste es que para hacer ese sistema tampoco necesitas un equipo informático grande, con un par de seniors y un pequeño grupo de juniors, la web y el sistema de alquiler lo tendrías montado en unos meses.

Probablemente la mayor parte del dinero se vaya en cosas materiales: instalación de las estaciones, las bicis (con su gps escondido), mantenimiento a futuro de las bicis (en Sevilla se "rompen" bastante),... O incluso en estudios de dónde colocar las estaciones y cuántas…   » ver todo el comentario
#32 Lo del https todavía hay un motón de tiendas online que siguen sin usarlo (lo usan sólo para la plataforma de pago a través de un tercero), ignorando las recomendaciones del Inteco para comercio electrónico, que dice que no sólo se debe usar para los datos de pago sino que todo el proceso de registro e introducción de datos personales debe ir cifrado.
Incluso me he encontrado con que la web para consultar las facturas online para clientes particulares de una compañía eléctrica va en http sin dar opción a usar https y sale el nº de cuenta bancaria sin ningún dígito oculto :-S
#52 Yo llamaría a atención al cliente de esa compañía (y esas tiendas) echándoles la bronca y dejándoles bien claro que están jugando con mis datos personales.

Es más, se podría plantear una denuncia a protección de datos...
#4 #7 #12 Pero que becarios ni que pollas, las cagadas estas las hacen más los tíos que llevan 20 años programando y lo siguen haciendo con en los 90 xD
Marca España.
Al final se demuestra que el objetivo del bicifraude no es otro que enriquecer a un cuñao más que estaba en la lista de recomendados del opus o la Feas.
#10 no tenía idea. Espero a que salga la noticia de las prospecciones.
La cuestión aquí se referirte a algo ya hecho y eso es lo que se discute. Las prospecciones Canarias están en modo futuro y aún es posible un cambio. ;) .
prueba.php

O_0
No pasa nada, se denuncia al autor del blog por hacker, se esconden un poco las claves privadas y las APIs, se le echa la bronca al becario encargado para que no lo vuelva a hacer y a otra cosa.
A ver, que se pueda conseguir una lista de puntos de bicis con algo de informaci'on no tiene nada de grave (al fin y al cabo es b'asicamete la misma informaci'on que se muestra en pantalla, pero en bonito).

Lo que tiene delito es que las directivas del servidor web est'en tan mal implemententadas que se deje ver a usuarios remotos los contenidos de las carpetas. Eso s'i que est'a mal, y m'as a'un cuando se dejan por ah'i tirados los ficheros de claves RSA. Que es una gran cagada.
#13 Esto no es un olvido ni un despiste. Suena a que quien lo hace no sabe lo suficiente y ni siquiera es consciente de lo que no sabe. A poco que te hayas documentado en cualquier cosa sobre programación web y cómo se monta un servidor, es de cajón.
Pero, y lo bonita que está Madrid?
El proyecto lo habrá realizado algún sobrino que se acaba de sacar un master en elaboración de webs por la universidad del Opus del Santo Cristo
¿Y esto no es un microblogging de libro?
Mmm... Unos 80 millones anuales para bicis? :-O :-O Qué van a hacer, tirarlas todos los años y ponerlas nuevas de platino? Nos saldría más a cuenta regalarle una a cada madrileño :palm:

Ayer vi una foto de alguien que en uno de los kioskos estaba editando un documento. Los servidores saturados. Y a quién se le ocurre hacer algo con Windows? En fin, un desastre esperable de la administración que tenemos.

La foto que comentaba:
pbs.twimg.com/media/Bq42b4PIgAAHDBa.jpg
#21 Es verdad, nunca he visto un servidor linux saturado.
Montemos esa aplicación en un linux y todo solucionado.

Los 80 millones entiendo que incluyen mantenimiento y las camionetas que trasladan las bicicletas N veces al día.
#23 Yo si he visto servidores *nix saturados. Pero no iban por ahí los tiros, listillo.

80 millones son muchísimos millones. Pero una barbaridad de ellos. Es que ni usando una furgoneta por bici y viaje me salen las cuentas. Ni aunque se hubieran equivocado y hubieran querido decir 8,84millones anuales me acaban de cuadrar.
#28 ¿y por dónde iban los tiros?
¿has leído el contrato para saber si es mucho o poco? Yo no, y por eso no opino respecto al dinero. A ver si el listillo vas a ser tú...
#23 ¿Ochenta millones de euros unas bicis y unas furgonetas?

Me imagino que las furgonetas las habrán encargado en exclusiva a Ferrari, que además las hará a mano, sin producción en cadena, porque no me jodas :palm:
#40 Y las bases. Y su colocación, y su mantenimiento (Y que este dure varios años), y el de las bicis. Por cierto no te vale una bici comprada en el Carrefour, necesita incluir GPS y que este mande la información. Por tanto un sistema de gestión de la posición de las bicis, y el sistema de gestión de usuarios. Los "cajeros" desde donde se hace esta gestión. Su mantenimiento... ¿Sigo?
#42 Sigue sigue. Estoy interesado en ver cómo te vas a gastar esos 80 millones de euros al año en todo eso.

Porque hasta ahora, todo lo que me estás diciendo no suman ochenta millones de euros al año ni de coña. Pero ni de coña, vamos.

Me gustaría que fueses tú el encargado de gestionar ese servicio, el jefe máximo que haya encargado, a ver si 80 millonazos de euros al año por unas furgonetas, unas bicis (con GPS, que me da igual, tronco), unos anclajes (que dudo…   » ver todo el comentario
#44 Cuando te quites la venda seguimos hablando. Una bici con GPS si la encuentras por menos de 2000 euros me parecerá barata. Una bici normal no sube de 1000. Asi que SI es importante.
#45 ¿¿Venda de los ojos?? Y me lo dice alguien que presupuesta 80 millones de euros al año para un servicio de bicicletas urbano xD

Esto sí que es de risa, macho. ¿Y una bici con GPS por 2000 euros? Me imagino que querrás un servicio de bicicletas con Specializeds o Cannondales de último modelo, las más pepinos que tengan en la tienda, ¿no? Porque yo tengo una bici Giant de paseo nueva que está de puta madre, con marchas (no de piñones, que son baratos, sino cambio de marchas en…   » ver todo el comentario
#46 Y la tuya con las tuyas. La mia no porque no estoy casado.

¿Tu bici tiene para cambiar la altura del sillin de tal manera que no pueda sacarse y que este reforzado para evitarlo? No. Pero tu sigue.
#47 ¿Tu bici tiene para cambiar la altura del sillin de tal manera que no pueda sacarse y que este reforzado para evitarlo?

No lo necesito.

Sin embargo, si fuera el Ayuntamiento y quisiera 100 bicis así, me iría a hablar con algún fabricante de bicis español a que me hiciera el mejor precio posible por fabricarme esas 100 bicis. No creo que costasen mil euros cada una, desde luego.

Si en lugar de eso se las compro directamente a mi primo del Opus que es el que hace la gestión por mí…   » ver todo el comentario
#40 añado más a lo que dice #42 , se necesita un call center para resolver incidencias, normalmente sobre temas monetarios. Un seguro para compensar el vandalismo, obras de levantamiento de suelo, tirar cables de comunicaciones y eléctrico a cada una de las estaciones. Posiblemente dinero para demandar a los vándalos anteriormente citados, etc. Y luego recuerda que nadie hace nada gratis y la empresa le tiene que meter su margen de beneficio. No quiero decir que sea barato, pero al igual que tú no conozco los pormenores del contrato como para juzgarlo.

Por cierto, hablo con conocimiento to de causa porque he trabajado en uno de estos sistemas de bicis.
#40 #42 #56 Pues como hayan hecho todo eso de la misma forma que han hecho el software que no te sorprenda que las bicis exploten o las bases se prendan fuego ...
#56 Todo eso que estás enumerando NO cuesta 80 millones de euros al año. Por no mencionar que la mayoría de las cosas que enumeras (instalación de bases, carril bici...) suponen un único gasto, no un gasto anual permanente.

Pero es que no cuesta 880 millones de euros ni de coña, vamos. Que estamos hablando de un puto servicio de bicis urbano, joder, ¿estáis locos? ¿Vostros pensáis lo que son 800 millones de euros???????? Ni que estuviéramos hablando de rehacer todo el puerto de Valencia desde cero!!! :palm:
#61 Es que bicimad no cuesta 80, si no 2,5 millones de euros al año.

www.madrid.es/portales/munimadrid/es/Inicio/Ayuntamiento/Hacienda/Perf
#21 Estaba mirando tu foto y me ha llamado la atención la versión inglesa....¿No es un poco cañí? ¿Reload balance? ¿Purchassing the pass? ¿Incidents? Es inglés correcto, vale, pero me parecen expresiones forzadas que no encajan del todo.
#21 ¿Yo diría que eso es una ubuntu?
#38 No lo sé. Pero el montaje está descrito arriba y se hace sobre Windows. No sé si luego en los Kioskos han usado, mal, otra cosa.
#38 #39 Efectivamente, por lo visto los kioskos van con Ubuntu y sin limar, con toda la paquetería, como si fuera para un escritorio.
#21 que esté bajo linux garantiza que no se va a saturar?
#21 Eso es un Ubuntu Linux y lo que tiene abierto es un LibreOffice Impress.
Y esto es lo que pasa cuando para ahorrar pones a becarios/empleados en practicas sin experiencia y cuya supervisión es nula.
Usan apache y ¿tiene activada la navegación por directorios...???!!! pero si eso hay que ponerlo adrede, de mano no te lo hace... madre míaaaa quén ha sido el capullo...?
Lo ha debido montar Ana Botella en sus clases de informática avanzada
ya está caída
Debe sobrar el dinero, porque no concibo còmo se permite esto en otro caso.
¿Para cuándo un IT Leak? Queremos nombre de empresas, ofertas presentadas, presupuestos, responsables, etc.
¿Esto no es denunciable?
Me pregunto qué empresa líder en su sector habrá perpretado esto...
No sé nada de programación pero los tótem son otra cagada: he ido a darme de alta en uno (foto), he metido todos mis datos y, al dar a pagar, pulsé sin querer el botón iupay. Ahí se quedó, sin que tengas forma de volver atrás al menú de pagar con VISA, que era lo que iba a haber hecho. He pasado media hora después por el tótem y sigue en esa misma pantalla. Ni siquiera tiene establecido que cierre mi sesión. Unos cracks ;)  media
Podrían haberse asesorado un poco por los barceloneses, que aquí el bicing dentro de lo que cabe fuciona. Ui! he dicho catalanes? Herejía!
El servicio de bicis no cuesta 80 millones al año, eso es un disparate, cuesta 25 millones en 10 años (creo que podréis sacar el coste anual sin mi ayuda...)
884 millones es el presupuesto del CONTRATO INTEGRAL DE MOVILIDAD DE LA CIUDAD DE MADRID, que incluye 5 lotes (las bicis es solo uno de ellos)

Toda la información de este concrato se puede encontrar en la web del ayuntamiento de Madrid.

mas info:…   » ver todo el comentario
Se queja de que los datos deban ser abiertos... y lo serán... pero hasta dentro de dos años y medio no. Ya tenemos una Ley de Transparencia y tal, que entró en vigor a finales del año pasado y para la que las administraciones y demás instituciones y proyectos pagados con dinero público entrará en un año desde la publicación, es decir, a finales de este presente año; pero hay más... porque las comunidades autónomas y entidades locales tendrán además un par de años para adaptarse (lo que no sé es si ese par de años cuenta desde el momento de publicación de la ley o desde el momento en que realmente les afecta... pero en cualquier caso, hasta finales del año que viene no podemos exigir nada).
Aunque pretendieran hacer las cosas peor, no lo conseguirían. No solo son corruptos y mentirosos, son inútiles y chapuceros.
Hablando del software que es de lo que entiendo:

- ¿Como puede ser que no hayan pasado un auditoría de seguridad antes de poner esto en la calle?, y si la han pasado pues entonces ya es para alucinar.
- Simplemente echando un vistazo a la lista de "funciones" ya da un poco la risa la arquitectura del invento:
- Usar windows para montar un apache con php y supongo un mysql (por aquello del wamp), desperdicio de dinero en licencias por un lado y sobre todo mucha más dificultad para…   » ver todo el comentario
Han quitado lo del certificado y han puesto un índex.HTML para que no se vea la lista de ficheros
Atentos, que Bicimad responde al post: www.facebook.com/bicimad/posts/862928480403417. No os riáis muy fuerte, que igual tiráis otra vez el sistema :-P
Es un reflejo lamentable de lo que pasa en una cantidad alarmante de empresas.
Y no me refiero a que el problema sea tener becarios inexpertos, seguro que hay becarios a patadas que jamás diseñarían éstas atrocidades. El problema viene de quienes quieren tomar las decisiones desde arriba , siendo dinosaurios anclados y acomodados en sus puestos, que quieren tenerlo todo controlado y por ende al final se comenten ésta serie de gilipolleces.

Me lo imagino perfectamente. Director de proyecto que…   » ver todo el comentario
Muy interesante.

Lo que me rechina es el uso, esta vez por parte de #0 , de los paréntesis en el titular. Sobre todo porque hay quien podría votar microblogging por ello y sería una pena.
Un poco de masilla y listo!!
comentarios cerrados

menéame