#1:
RENFE pedía 15 meses de cárcel e indemnización de 5.800 € más intereses y costas del juicio, pero:
Más allá de esto, el tribunal falla en que no ha quedado probado que los hackers vulnerasen la seguridad de la máquina o de que dejasen cualquier tipo de malware en ella, así como que no existe evidencia de la "ruptura de la cadena de custodia informática" (como sí existe de la ineficacia de RENFE a la hora de poner las pruebas a disposición de las Fuerzas de Seguridad).
¡Bravo RENFE!
Si pudo hackear una máquina expendedora de RENFE fue porque se trataba de terminales basados en Windows XP, cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, potencialmente inseguros. Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
Ahora, la Fiscalía debería actuar de oficio y acusar a RENFE por usar medios inseguros (XP está obsoleto, sin actualizaciones de seguridad) y exponer los datos de sus usuarios, pero claro, estarán demasiado ocupados revisando tuits humor negro.
#17:
A pesar de que el hacker se ofrecía a "ayudar a las empresas" a solucionar los errores, RENFE tiró por el camino de en medio y decidió demandarle por exponer sus vergüenzas al público...
Por eso es que hoy en día es mucho más rentable en lugar de ayudar a las empresas a arreglar sus problemas, vender la vulnerabilidad y ganar dinero con ello.
Otro éxito más de esa compañía. Yo trabajé un tiempo con ellos. Huid. Es una empresa grande, algún sitio habrá bueno, pero en general... ¡huid! No aprenderéis mucho, os exprimirán y poco os darán a cambio. Lo dicho, ¡huid!
#2:
#1 La historia de siempre. Les hacen una auditoría de seguridad totalmente gratis y los denuncian. La LOPD castiga a las empresas a las que se vulnera información por no tener correctamente actualizados y securizados los sistemas.
#22:
#12 Los hackers eticos auditaron la seguridad del sistema, comprobando que era una mierda y haciendolo publico, incluso ofreciendo a la empresa la informacion sobre como solucionarlo para evitar que sea un coladero, antes de que lo aprovechen los hacker no eticos, como por ejemplo los que trabajan para el crimen organizado y que roben miles o millones de datos personales, identidad y tarjetas de credito incluidas y desfalquen a miles de personas que cometieron el error de confiar en la profesionalidad de RENFE y de la consultora ("¿hola... esta INDRA... que se ponga?") que hizo la chapuza.
#90:
#12 Te pongo un ejemplo para que entiendas por qué otros no compartimos tu actitud.
Imagínate que eres cliente del Garaje Juane y pagas 50 euros para que tu coche esté tras una puerta y vigilado por un guardia de seguridad. Entrar al garaje sin ser cliente es ilegal, pero lo que impide que roben tu coche es la puerta y el guardia de seguridad.
Un día dos personas (sin antecedentes por allanamiento ni robo de vehículos) explican de forma abierta y pública "Anoche fuimos al garaje, la puerta se abría con solo empujarla y no había ningún guardia de seguridad. Los coches podrían haber sido robados. Pedimos al Garaje Juan que tomes las medidas oportunas para cumplir los objetivos de seguridad".
Y al día siguiente Juan denuncia a esas personas por allanamiento e intento de robo.
Tu coche sigue tras una puerta abierta y protegido por un guardia de seguridad inexistente.
Pero por alguna razón los malos son los que han dicho "Juan no pone medidas de seguridad".
#4:
#3... no escribas black hacker de esa forma con esas frases, da vergüenza ajena leerlo. Cualquiera que se aburra puede pillar y filtrar datos, hoy en día ya no hace falta ni tener habilidades en muchos casos la gente tira de metasploit o cualquier tutorial del blog guarro de turno si tiene suerte de que la vulnerabilidad está y no está parcheado y pista.
Los que se lo curran más, no pierden el tiempo con tonterías. Y el "black hacker" que se cabrea, lo que hará es intentar pasar desapercibido y robar lo que pueda de la máquina y las tarjetas de crédito no ponerse a filtrar datos ni mierdas en plan justiciero.
#8:
Esas máquinas... ¿no serán por un casual desarrollo de una "gran" empresa española verdad?
#3:
#2 Y denunciando a quienes reportan los fallos de seguridad lo único que conseguirán será que algún Black Hacker se cabree y explote de verdad sus vulnerabilidades y filtre un montón de datos de carácter personal responsabilidad de RENFE.
#25:
#10 ¿Entre la carnicas hay alguna que no sea la "Empresa lider en el sector..." ?
#15:
Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
O sea... ¿que son tan idiotas que guardan un listado de las tarjetas de crédito en la propia máquina?
#21:
#18 ¿Qué te juegas a que siguen con equispés?
#5:
Que aprovechen y los contraten para rediseñar la página, y salimos ganando todos
RENFE pedía 15 meses de cárcel e indemnización de 5.800 € más intereses y costas del juicio, pero:
Más allá de esto, el tribunal falla en que no ha quedado probado que los hackers vulnerasen la seguridad de la máquina o de que dejasen cualquier tipo de malware en ella, así como que no existe evidencia de la "ruptura de la cadena de custodia informática" (como sí existe de la ineficacia de RENFE a la hora de poner las pruebas a disposición de las Fuerzas de Seguridad).
¡Bravo RENFE!
Si pudo hackear una máquina expendedora de RENFE fue porque se trataba de terminales basados en Windows XP, cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, potencialmente inseguros. Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
Ahora, la Fiscalía debería actuar de oficio y acusar a RENFE por usar medios inseguros (XP está obsoleto, sin actualizaciones de seguridad) y exponer los datos de sus usuarios, pero claro, estarán demasiado ocupados revisando tuits humor negro.
#1 La historia de siempre. Les hacen una auditoría de seguridad totalmente gratis y los denuncian. La LOPD castiga a las empresas a las que se vulnera información por no tener correctamente actualizados y securizados los sistemas.
#2 Y denunciando a quienes reportan los fallos de seguridad lo único que conseguirán será que algún Black Hacker se cabree y explote de verdad sus vulnerabilidades y filtre un montón de datos de carácter personal responsabilidad de RENFE.
#3... no escribas black hacker de esa forma con esas frases, da vergüenza ajena leerlo. Cualquiera que se aburra puede pillar y filtrar datos, hoy en día ya no hace falta ni tener habilidades en muchos casos la gente tira de metasploit o cualquier tutorial del blog guarro de turno si tiene suerte de que la vulnerabilidad está y no está parcheado y pista.
Los que se lo curran más, no pierden el tiempo con tonterías. Y el "black hacker" que se cabrea, lo que hará es intentar pasar desapercibido y robar lo que pueda de la máquina y las tarjetas de crédito no ponerse a filtrar datos ni mierdas en plan justiciero.
#3 Supongo que te refieres a un Black Hat. Y supongo de nuevo que querrás decir que un White Hat se cabree y se pase al lado Black
Si es un Black Hat, ya habría filtrado toda esa información y usarla para su uso personal
#12 Los hackers eticos auditaron la seguridad del sistema, comprobando que era una mierda y haciendolo publico, incluso ofreciendo a la empresa la informacion sobre como solucionarlo para evitar que sea un coladero, antes de que lo aprovechen los hacker no eticos, como por ejemplo los que trabajan para el crimen organizado y que roben miles o millones de datos personales, identidad y tarjetas de credito incluidas y desfalquen a miles de personas que cometieron el error de confiar en la profesionalidad de RENFE y de la consultora ("¿hola... esta INDRA... que se ponga?") que hizo la chapuza.
#29 ¿Sabes que pasa cuando los buenos no hacen auditorias y las publican? Nada. Salvo que los malos tambien las estan haciendo y ellos no publican lo que descubren. Adivina lo que hacen.
#37 Los clientes a los que les pides que confíen en ti y te den sus datos.
Si es TU ordenador de casa, como si lo quieres dejar encendido en el patio de tu comunidad con la clave en un post-it
#56 pero invalida tu argumento "la empresa es mia y lo que quiera contratar lo hago yo y con la empresa que quiera "
La empresa no es de nadie y nadie puede contratar lo que quiera con la empresa que quiera, Renfe es una empresa publica y debe cumplir las normas y las leyes, y al mismo tiempo que yo, como ciudadano, tengo derecho a saber si mi ayuntamiento está cumpliendo su deber, ese otro ciudadano (con mas conocimientos y tiempo que yo) se ha molestado en comprobar si RENFE estaba cumpliendo con el suyo.
#61 Las empresas tienen un propietario, eso es lo que digo. El Estado puede tener una empresa privada constituida con capital publico ¿Que me quieres contar con ello?
Las unicos matices son para asuntos de derecho publico y privado, que en este caso no vienen al cuento.
No deja de ser una empresa privada, pero aunque fuera un Colegio. Es que no te tienes que poner a "auditar" nada sin el consentimiento del legitimo propietario
#66 Ademas de mi insistencia en que las leyes no se deberían hacer sino para mejorar la sociedad(si, un poco utopía) y no veo donde mejora nuestra sociedad si metemos en prisión a aquellos que detectan nuestros fallos de seguridad y nos lo dicen, sin "robar" ni publicar nada privado por el camino.
Si entendería que les hubieran denunciado por hechar por tierra su reputación como empresa (aunque siendo Renfe me cuesta no reirme al decirlo)
#78 Ah, ¿mis datos personales de mis comprar con tarjeta en la maquina no son mios? ¿De donde te sacas esa estupidez? ¿De quien son entonces? ¿De mi vecino el del cuarto?
#82 El dato personal es tuyo, la encomienda de la gestion no lo es.
Cuando entras en el ordenador de otro, la información dentro de el no es tuya. Existen datos personales tuyos en el, pero el equipo que hay no es tuyo.
#85 Y la ley les obliga a protegerlos debidamente, esta gente lo ha demostrado. No podemos esperar a que se haga asi mismo una auditoria quien incumple la ley deliberadamente y todavia mas, persigue a quien muestra que la incumple. Y la mayor prueba de lo que dices son tonterías y nosotros tenemos razón, es la resolución del juez que es el que hace cumplir la ley. Si no proteges tu maquina de acceso publico y no se ha dañado o robado nada (o no se ha podido demostrar) el unico responsable de lo que ha pasado eres tu. Y si quieres seguir discutiendo hazlo con el juez.
#44 Voy a poner un ejemplo para que lo entiendas:
Tu estás en tu casa con la ventana abierta mientras estás disfrutando de sexo salvaje con tu pareja. Tu vecino lo ve, te llama por teléfono para que tomes medidas, corras las cortinas y esas cosas, antes de que todo el barrio se ponga a grabarlo en vídeo y subirlos al primer portal porno que elijan.
¿Vas a denunciar a tu vecino o a darle las gracias?
#44 Si tu banco en vez de caja fuerte guardase tu dinero en un cajón sin cerrar... Te parecería bien o crees que como banco tienen la obligación de custodiar tu dinero adecuadamente? Pues eso.
#37 Yo les pedi que les auditaran porque queria saber si tenian la informacion personal de mi abono transporte securizada.
Ahora si veo aun mendigo pidiendome ayuda no se la voy a dar por mucho que la pidan no vaya a ser que me convierta en heroe de alguien.
#51 ¿puedes llegar a la ventana de su casa sin ser percibido por ningun tipo de detector (policía, veicnos, tarnseuntes, etc? Lo tuyo es una estupidez inecesaria. Que se protegan nuestros datos debidamente de ataques informaticos es algo marcado por la ley un un derecho nuestro. Cuando exista la ley de poner barrotes la sueltas otra vez.
#51 Es posible que no, pero si tu dejas la ventana abierta de tu casa y tu vecino no te avisa de que esta abierta y te roban, violan a tu mujer, matan a tus hijos, igual ya no estas tan contento. ¿O si?
No es muy legal lo que han hecho, pero si no lo hace quien tiene que hacerlo mejor que lo haga gente que publica las vulnerabilidades.
#46 ¡Exacto! Yo voy por la calle intentando abrir las puertas de los coches, si alguna está abierta ... ¿De quién es la culpa de dejarla abierta? En efecto ¡De Renfe!
Además ¿Quién eres tú para llevarle la contraria al Juez?
#69 Si a ti te roban el coche y te habias dejado la puerta abierta, lo siento, no es delito... fuiste tu quien lo incito. (e imagino que todos conocemos a alguno al que le ha pasado).
#84 Exacto, pues diselo a #46 que parece que no lo pilla... Te encuentran una vulnerabilidad, te informan de ello para que lo arregles y aún por encima se quejan. ¡Manda huevos!
#69 De hecho creo que podrian acusarte de delito al dejarte la puerta abierta por incitacion al delito, por ello los policias no pueden ponerles este tipo de trampas a los cacos.
#29 Tú sí que sobras
Gracias a lo que hicieron estos dos yo sé que si uso una tarjeta de crédito en una de esas máquinas de RENFE algún delincuente me podría vaciar la cuenta. Y también lo sabe RENFE, por si quiere deshacer el entuerto.
Hay que ser cretino para no ver quién está ayudando (tanto a RENFE como a sus cleintes) y quién está jodiendo la marrana.
#97 Ya, y todos lo que quieran abusar del tema antes de que Renfe reaccione. En realidad tiene parte de razón, tu también la tienes gracias a que en el fondo la intención es arreglar un problema que beneficia a todos.
Decir "tu si que sobras" no es que ayude mucho a un dialogo por eso
#29 No son delincuentes. Pero lógicamente, tenían que haber pedido permiso antes idealmente, podrían haberlo hackeado y no decir nada. igual. En el fondo, yo creo que saben como está el tema y que riesgo tenía.
Obviamente, y por suerte, el Juez no los ha metido en la cárcel y es lamentable que hayan tenido que pasar por un juicio,etc. Pero claro... es que si pillan los datos y tienen acceso tampoco puedes adivinar si es con buenas intenciones o malas, aunque luego lo publiquen.
Sin mencionar que no puedes publicar ciertas cosas sin más. Pero vaya, que todos han cometido errores en este caso.
#29 imagina una puerta con una cerradura puesta para evitar el acceso pero ese modelo tiene un tirador escondido un poco a la vista arriba que si se le jala abre la puerta sin llave. Quien conozca el modelo la puede abrir sin esfuerzo y es un modelo muy conocido por tener esa deficiencia (o característica) Si alguien que va a entrar lo sabe y la abre por ahí ¿estaría violentando la seguridad de la puerta o la estaría utilizando aunque sabe que no tiene permiso para entrar ni se lo han dado para abrir? Bueno si alguien dice. > mira que abre con el tirador escondido y luego avisa de que tienen una puerta con ese problema donde jamás debería estar ¿es muy grave lo que ha hecho o más bien lo más grave es poner esa cutre puerta y acusar al que ha avisado para que no cunda que la empresa en cuestión no se molesta en cumplir con cosas básicas si no se entera la gente ahorrando un dinero con ello?
Me falta información para saber si lo que han hecho puedo considerarlo ético o no.
Por ejemplo, si avisaron a la empresa con un plazo razonable (no se cuál sería: ¿un mes? ¿un año?) para que solucione el grave problema de seguridad y la empresa, que es responsable de esa seguridad les ignoró entonces me parece éticamente correcto avisar del peligro... que lógicamente no bastaría con decir "estos sistemas de RENFE son inseguros y si alguien los usa está exponiendo datos personales que incluyen números de tarjetas de crédito", ya que diciendo solamente eso sin demostrarlo la gente no podría comprobar que es cierto. Así que me parece apropiado no solamente decir eso sino dar los detalles sobre lo fácil que es el ataque, es decir, cómo puede hacerse. Y así todo el mundo puede comprobar que es una vergüenza, que hay un peligro real, etc.
Ahora bien, si descubren un fallo y en lugar de comunicarlo previamente a RENFE y/o Indra lo que hacen es comunicarlo públicamente sin dar tiempo a reparar el fallo... no me parece éticamente correcto.
La ética trata sobre lo que es bueno (en el sentido de bondadoso, no de calidad) y lo que es malo (en el sentido de malvado, n de mala calidad). Lo bueno/bondadoso es buscar la felicidad de los demás y evitar sufrimiento y lo malo/malvado sería lo contrario: saber que algo causa sufrimiento o dificulta que otros sean felices y, aún así hacerlo (normalmente por un interés egoísta: por la propia felicidad o disfrute de uno).
En este caso, si no se comunicó a la empresa o empresas que gestionan eso (RENFE, Indra...) se estaría causando un sufrimiento, no solamente a esas empresas, sino un riesgo a los usuarios que tendrían más expuestos sus datos personales.
Más aún, si el hacer público el defecto fuese una forma de ganar notoriedad / fama / prestigio personal o incluso ganar dinero (ofrecerse a repararlo a cambio de dinero), es decir, beneficios propios a costa de causar un riesgo, entonces creo que en este caso el carácter egoísta y malvado estaría muy claro ¿no os parece?
Si en el castigo te refieres al impartido por el sistema judicial (penas de cárcel, multa, etc) seguramente el juez actuó correctamente y no hay motivo legal para esos castigos oficiales.
Hay que distinguir el concepto de ética / moral de lo que digan las leyes y procedimientos legales.
Una cosa puede ser éticamente mala y no ser punible legalmente... así que el hecho de que legalmente no deban castigarles no implica que no sea éticamente malvado lo que se hizo.
Ahora bien, si te refieres en general a "castigos" no oficiales en plan reprender eso que se hizo, reñirle, decir que eso que se hizo no te parece correcto, etc... no me parecería mal que se hiciese cuando se hace algo éticamente reprobable.
¿Y socialmente hablando? ¿Que daño le han hecho a la sociedad?
Dado que dichas empresas (en especial RENFE) tienen un alto vínculo estatal y que el número de usuarios en riesgo es elevado me parece que el daño puede considerarse contra la sociedad. Si dañas a RENFE y esa empresa tiene capital estatal y usan menos sus servicios entonces esa empresa tendrá menos beneficios y el estado menos dinero... menos dinero para hospitales, para educación, para infraestructuras, lo cual es un daño a la sociedad.
Vuelvo a insistir: no tengo constancia de que no se haya actuado éticamente, y, por mera presunción de inocencia voy a suponer que el hacker avisó previamente con suficiente plazo y que el hacerlo público fue, digamos, el último recurso para proteger a los indefensos usuarios. Y siendo así me parece éticamente correcto y apropiado, que alguien nos alerte de un peligro, de un sistema pésimo que nos pone en riesgo y del que tenemos derecho a saber toda la verdad. Además, amparado por el derecho de libertad de expresión... como cuando se denuncia públicamente un caso de corrupción, una estafa o un producto perjudicial para la salud.
#32 Para mi no hay mucha diferencia, salvo que el ciberdelincuente acaba haciendo daño.
Si yo no te pido una auditoria de seguridad, nadie tiene porque hacerla, de la misma manera que nadie viene a mi casa a comprobar si tengo ventanas y puertas abiertas o solamente estan encajadas.
Si en mi casa alguien abre la puerta sin mi consentimiento y lo pillo lo harto a ostias. Sin embargo, lo hace un hacker con un soporte informático y te dice "es que está abierta" ¿y quien te ha dado permiso para entrar?
#49 si alguien me demuestra que abrir mi coche es sencillo no, no le partiría la cara. Iría al fabricante a pedir explicaciones. Si tu le partes la cara sigues teniendo un coche inseguro. Al siguiente puede que no le pilles.
#63 la diferencia está en que yo no puedo comprarme un coche (en vez de coche es máquina de billetes) y por tanto no puedo probar si mis efectos personales que he dejado en tu coche cuando me llevas (mis datos) están seguros. Me tendré que asegurar de ello. Además te voy a dar gratis la solución antes que alguien te la líe.
Otro comparación sería decir que llevas la cartera al aire y que se te puede caer o alguien pude cogértela sin que te enteres. No me has preguntado si tu cartera estaba segura en tu bolsillo. Yo he ido y te he dicho que no lo estaba porque podía verla.
Y ya que te pones chulito, ¿cual es tu coche y a que hora podrías pillarme?
#70 Si te quieres asegurar, no los cedas. Ahora, si los cedes, estas confiando en la empresa y no tienes porque ir a hacer auditorias que nadie te ha pedido.
#36 "Si en mi casa alguien abre la puerta sin mi consentimiento y lo pillo lo harto a ostias"
Ya veo, un hacker no puede saltarse la ley para proteger a la gente pero tu puedes saltarte la ley para """proteger tu propiedad"""... menudo defensor de la ley y el orden
#57 ¿Conoces la legitima defensa como eximente de la responsabilidad penal? ¿O es que segun tu ademas de dejar que alguien pueda entrar en mi equipo informatico sin mi consentimiento, tambien tengo que dejarme robar?
#59 "legitima defensa" es "Si en mi casa alguien abre la puerta sin mi consentimiento y lo pillo lo harto a ostias"??
Y cuando he dicho yo que tengas que "dejar que alguien pueda entrar en tu equipo informatico sin tu consentimiento" o "dejarte robar"??
Siempre he mantenido que me parece absurdo y que, de hecho, igual que se mete a alguien en la carcel por entrar en tu casa sin permiso, por descubirmiento y revelacion de secretos o por defraudacion de las redes del tejido electrico o analogos; alguien por el simple hecho de hacer un mero escaner de puertos sin tu consentimiento debería ir a la carcel.
#36 la diferencia es que NO es tu casa.
Si te pones haz la comparativa con un hotel cuyas habitaciones se abren solo con darle un empujón a la puerta.
Tu obligación legal es garantizar (dentro de lo razonable) la seguridad de tus huespedes y sus posesiones.
Si alguien se da cuenta de que no es así, que se abren de un empujón, y para demostrarlo graba con el móvil como lo hace y lo cuelga en Youtube para demostrar la mierda de puertas que usas, ni hace nada ilegal.
Ni ha roto la puerta ni ha robado en la habitación, solo ha grabado y te ha dejado en evidencia haciéndolo público.
#76 Mi obligacion es garantizarlo, pero eso no tiene nada que ver con que venga alguien a hacer auditorias que nadie ha pedido.
Si alguien hace algun mal uso de esos datos para eso estan las responsabilidades, pero nadie tiene que venir a hacer "auditorias" que no se han pedido.
#87 ¿Y que? ¿Donde pone que sea ilegal hacer una auditoría, sea solicitada o no?
Lo que a ti te guste o no te guste no modifica las leyes. El juez a juzgado y no es delito.
Que te guste o no, que te parezca bien o mal, no lo cambia.
#36 "Para mi no hay mucha diferencia, salvo que el ciberdelincuente acaba haciendo daño."
Casi ninguna diferencia vamos es lo mismo una caricia y un puñetazo en la cara, salvo que el puñetazo te hace daño
Para mi existe una diferencia entre alguien que me abre el coche para robarmelo y otra persona que se dedica a abrir coches, a ver si son seguros.
Mi coche no tiene porque abrirlo nadie. Me parece muy bien que seas un friki y vayas de hacker salvapatrias, pero mi coche es mio y no lo tiene porque abrir nadie.
#36 "Supongamos" tienes un cochecito de estos supermodernos y automatizados. Resulta que un dia notas que fallan los frenos, lo llevas al taller, lo revisan en el concesionario oficial, te cobran 200 € por 10 minutos y te vas a tu casa.
Una vez alli, al cabo de varios dias comienzan a verse en tv accidentes de ese modelo de coche por fallos en los frenos a mas de 100 km/h, con victimas mortales, etc. etc. La empresa se hace la loca y lo niega todo.
Al cabo de 10 años de juicios la fiscalia consigue acceder a los datos del Software y descubren que estaba mal diseñado y aun cuando los usuarios de los vehículos reportaban los fallos la compañia no los reparaba correctamente muriendo cientos de personas.
¿A que ahora igual molaba que un nerd de estos que usan linux se hubiera jugado el culo para que tu y tu familia no os estamparais contra el culo de un trailer? ¿Eh?
#36 Esa analogía que haces, es muy típica, evita usarla. Porque no, NO es lo mismo.
Se entiende lo que quieres decir pero no, NO es lo mismo un router que tu casa, ni un sistema operativo que tu casa, ni es lo mismo que te entren en el PC que en tu casa.
#12 Te pongo un ejemplo para que entiendas por qué otros no compartimos tu actitud.
Imagínate que eres cliente del Garaje Juane y pagas 50 euros para que tu coche esté tras una puerta y vigilado por un guardia de seguridad. Entrar al garaje sin ser cliente es ilegal, pero lo que impide que roben tu coche es la puerta y el guardia de seguridad.
Un día dos personas (sin antecedentes por allanamiento ni robo de vehículos) explican de forma abierta y pública "Anoche fuimos al garaje, la puerta se abría con solo empujarla y no había ningún guardia de seguridad. Los coches podrían haber sido robados. Pedimos al Garaje Juan que tomes las medidas oportunas para cumplir los objetivos de seguridad".
Y al día siguiente Juan denuncia a esas personas por allanamiento e intento de robo.
Tu coche sigue tras una puerta abierta y protegido por un guardia de seguridad inexistente.
Pero por alguna razón los malos son los que han dicho "Juan no pone medidas de seguridad".
#21 Pues no lo se, probablemente, pero tengo la suerte de no usar máquinas de Renfe, los viajes siempre me los gestiona la agencia de viajes o mi secretaria, creo que la última vez que utilicé una fue en la inauguración de AVE a BCN .
A pesar de que el hacker se ofrecía a "ayudar a las empresas" a solucionar los errores, RENFE tiró por el camino de en medio y decidió demandarle por exponer sus vergüenzas al público...
Por eso es que hoy en día es mucho más rentable en lugar de ayudar a las empresas a arreglar sus problemas, vender la vulnerabilidad y ganar dinero con ello.
#17 El artículo sin embargo (que yo haya visto) no dice si se ofreció a reparlo antes o después de revelar el fallo, lo cuál es crucial para saber si mediante la exposición buscaba alertar a los usuarios por una falta de responsabilidad por parte de renfe o no.
Otro éxito más de esa compañía. Yo trabajé un tiempo con ellos. Huid. Es una empresa grande, algún sitio habrá bueno, pero en general... ¡huid! No aprenderéis mucho, os exprimirán y poco os darán a cambio. Lo dicho, ¡huid!
#8 Bueno, la "gran" empresa española habrá hecho el software que, algún avispado (de no se sabe de qué "gran" empresa española o extranjera), se le habrá ocurrido poner a correr sobre un sistema operativo obsoleto; no?
#28 Acceder indebidamente a datos no suministrados voluntariamente por el atacado.
De todas maneras, es cierto que el Código Penal hay que mejorarlo porque hay un vacio legal en el que se puede estar, pero en mi opinion, no me da la gana de que nadie haga una auditoria sin mi consentimiento aunque no la explote.
Nadie, por ejemplo, se tiene porque dedicar a escanear a ver que puertos tengo abiertos, aunque luego no lo explote.
#34 Si fuera su casa y sus datos estaría de acuerdo contigo, si se hubieran llevado algo,en parte también, el problema es que no es "su casa" sino un lugar público de un servicio público y los datos de muchos clientes suyos(quizá los tuyos o los mios).
Cuando se habla de seguridad informática, destapar vulnerabilidades es bueno para la sociedad (y para la empresa si sabe reaccionar), por lo tanto sería absurdo que penasemos a quien hace un bien a la sociedad, ¿no crees?
Si un vecino te llama por teléfono y te dice que ha ido a tu casa a visto la puerta medio abierta, a picado, no habia nadie, a entrado a mirar y se ha encontrado todo patas arriba (y le supones buena fe) ¿Tu le das las gracias o le atizas?
#54 La empresa será "no se de quien", el servicio es público, y te saltas de mi respuesta 2 partes importantes:
"Los datos son de mucha otra gente"
"El simil"
#13 No merecían ir a la cárcel, me parece justo como ha terminado el asunto. Se podría haber hecho mejor seguro, pero también el puto sistema podría ser mejor en lugar de dejarnos a todos desprotegidos y no contratar las auditorias adecuadas al mismo tiempo que tiran el dinero de nuestros impuestos.
Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
O sea... ¿que son tan idiotas que guardan un listado de las tarjetas de crédito en la propia máquina?
Cuenta la leyenda que hay empresas que te dan una recompensa por encontrar ese tipo de vulnerabilidades.
Pero creo que eso no es en España, aqui te llevan ante el juez.
Ayer estuve ojeando la rueda de prensa que dio Donald Trump y me partía el culo de risa escuchándole prometer mayor "hacking defense".
Me temo que Trump solo es un buen ejemplo de como está el patio, A TODOS LOS NIVELES. Recordad que los directivos y consejeros de Caja Madrid / Bankia, eran tan "profesionales" que pagan en negro usando tarjetas de crédito
#33 Donald Trump sólo sabe que él es el jefe. Está acostumbrado a que en sus empresas el da una orden y sus empleados corren para hacerlo sea como sea. Así que cree que puede ordenar que se haga algo contra el hacking y listo. No sabe ni le interesa saber cómo se hará. Él es el jefe y se hace lo que él dice sea como sea.
Dada la relativa facilidad con la que los hackers consiguieron acceder al sistema, ¿eran las medidas de seguridad suficientes? El Tribunal considera que no. Por todos estos motivos, Alberto García Illera y su compañero han sido absueltos, las costas han sido declaradas de oficio y todo ha quedado en agua de borrajas.
O sea, que unos peligrosos criminales ahora estan sueltos y pueden venir a hackearme el telefonillo del portal impunemente. Carmena, nunca te lo perdonaré.
Comentarios
RENFE pedía 15 meses de cárcel e indemnización de 5.800 € más intereses y costas del juicio, pero:
Más allá de esto, el tribunal falla en que no ha quedado probado que los hackers vulnerasen la seguridad de la máquina o de que dejasen cualquier tipo de malware en ella, así como que no existe evidencia de la "ruptura de la cadena de custodia informática" (como sí existe de la ineficacia de RENFE a la hora de poner las pruebas a disposición de las Fuerzas de Seguridad).
¡Bravo RENFE!
Si pudo hackear una máquina expendedora de RENFE fue porque se trataba de terminales basados en Windows XP, cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, potencialmente inseguros. Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
Ahora, la Fiscalía debería actuar de oficio y acusar a RENFE por usar medios inseguros (XP está obsoleto, sin actualizaciones de seguridad) y exponer los datos de sus usuarios, pero claro, estarán demasiado ocupados revisando tuits humor negro.
#1 La historia de siempre. Les hacen una auditoría de seguridad totalmente gratis y los denuncian. La LOPD castiga a las empresas a las que se vulnera información por no tener correctamente actualizados y securizados los sistemas.
#2 Y denunciando a quienes reportan los fallos de seguridad lo único que conseguirán será que algún Black Hacker se cabree y explote de verdad sus vulnerabilidades y filtre un montón de datos de carácter personal responsabilidad de RENFE.
#3... no escribas black hacker de esa forma con esas frases, da vergüenza ajena leerlo. Cualquiera que se aburra puede pillar y filtrar datos, hoy en día ya no hace falta ni tener habilidades en muchos casos la gente tira de metasploit o cualquier tutorial del blog guarro de turno si tiene suerte de que la vulnerabilidad está y no está parcheado y pista.
Los que se lo curran más, no pierden el tiempo con tonterías. Y el "black hacker" que se cabrea, lo que hará es intentar pasar desapercibido y robar lo que pueda de la máquina y las tarjetas de crédito no ponerse a filtrar datos ni mierdas en plan justiciero.
#4 exacto, véase el caso de los cajeros de Tailandia.
#3 Supongo que te refieres a un Black Hat. Y supongo de nuevo que querrás decir que un White Hat se cabree y se pase al lado Black
Si es un Black Hat, ya habría filtrado toda esa información y usarla para su uso personal
#3 ¿Black hacker? Es así como se llaman ahora a los Cracker, por que lo que dices que haría el Black Hacker es lo que haría un Cracker
#144 #3 Para mí los Crackers mejor con mermelada.
#1 O sea, que según el juez la culpa es de Renfe por no dotar de mayor seguridad las instalaciones.
Los hackers no han tenido nada que ver, según parece.
#12 Los hackers eticos auditaron la seguridad del sistema, comprobando que era una mierda y haciendolo publico, incluso ofreciendo a la empresa la informacion sobre como solucionarlo para evitar que sea un coladero, antes de que lo aprovechen los hacker no eticos, como por ejemplo los que trabajan para el crimen organizado y que roben miles o millones de datos personales, identidad y tarjetas de credito incluidas y desfalquen a miles de personas que cometieron el error de confiar en la profesionalidad de RENFE y de la consultora ("¿hola... esta INDRA... que se ponga?") que hizo la chapuza.
#22 ¿Quien pidio la auditoria? A mi me parecen delincuentes, independientemente de la intencion.
Cuando alguien quiere hacer una auditoria simplemente la contrata. Los heroes y telepredicadores me sobran.
#29 ¿Sabes que pasa cuando los buenos no hacen auditorias y las publican? Nada. Salvo que los malos tambien las estan haciendo y ellos no publican lo que descubren. Adivina lo que hacen.
#30 Insisto ¿Quien te ha pedido que vengas a auditarme?
#37 Los clientes a los que les pides que confíen en ti y te den sus datos.
Si es TU ordenador de casa, como si lo quieres dejar encendido en el patio de tu comunidad con la clave en un post-it
#42 La empresa es mia y lo que quiera contratar lo hago yo y con la empresa que quiera
#44 Renfe es una empresa pública.
#53 Renfe puede ser todo lo publica que quiera, pero no tiene que ir nadie a hacerle una auditoria que nadie ha pedido.
Para eso estan los gestores.
Que sea publico no significa que tu puedas hacer lo que te salga de los huevos. No es tuyo.
#56 pero invalida tu argumento "la empresa es mia y lo que quiera contratar lo hago yo y con la empresa que quiera "
La empresa no es de nadie y nadie puede contratar lo que quiera con la empresa que quiera, Renfe es una empresa publica y debe cumplir las normas y las leyes, y al mismo tiempo que yo, como ciudadano, tengo derecho a saber si mi ayuntamiento está cumpliendo su deber, ese otro ciudadano (con mas conocimientos y tiempo que yo) se ha molestado en comprobar si RENFE estaba cumpliendo con el suyo.
#61 Las empresas tienen un propietario, eso es lo que digo. El Estado puede tener una empresa privada constituida con capital publico ¿Que me quieres contar con ello?
Las unicos matices son para asuntos de derecho publico y privado, que en este caso no vienen al cuento.
No deja de ser una empresa privada, pero aunque fuera un Colegio. Es que no te tienes que poner a "auditar" nada sin el consentimiento del legitimo propietario
c/c #60
#66 Entonces no debo auditar la puerta de la casa de mi vecino sin que me lo pida???
#66 Y vuelves a omitir lo que no te interesa: "Los datos que hay dentro son de otras personas"
#66 Ademas de mi insistencia en que las leyes no se deberían hacer sino para mejorar la sociedad(si, un poco utopía) y no veo donde mejora nuestra sociedad si metemos en prisión a aquellos que detectan nuestros fallos de seguridad y nos lo dicen, sin "robar" ni publicar nada privado por el camino.
Si entendería que les hubieran denunciado por hechar por tierra su reputación como empresa (aunque siendo Renfe me cuesta no reirme al decirlo)
#66 "El Estado puede tener una empresa privada constituida con capital público"
#44 Los datos son nuestros y no puedes hacer con ellos lo que quieras. O los proteges bien o te jodes. Esa gente defiende nuestra privacidad.
#71 Los datos no son tuyos. Hay datos personales tuyos que esta gestionando un tercero y tu no eres nadie para reventar un sistema para "auditarlos".
Cuando alguien te lo pida, pues adelante.
#78 Ah, ¿mis datos personales de mis comprar con tarjeta en la maquina no son mios? ¿De donde te sacas esa estupidez? ¿De quien son entonces? ¿De mi vecino el del cuarto?
#82 El dato personal es tuyo, la encomienda de la gestion no lo es.
Cuando entras en el ordenador de otro, la información dentro de el no es tuya. Existen datos personales tuyos en el, pero el equipo que hay no es tuyo.
#85 Y la ley les obliga a protegerlos debidamente, esta gente lo ha demostrado. No podemos esperar a que se haga asi mismo una auditoria quien incumple la ley deliberadamente y todavia mas, persigue a quien muestra que la incumple. Y la mayor prueba de lo que dices son tonterías y nosotros tenemos razón, es la resolución del juez que es el que hace cumplir la ley. Si no proteges tu maquina de acceso publico y no se ha dañado o robado nada (o no se ha podido demostrar) el unico responsable de lo que ha pasado eres tu. Y si quieres seguir discutiendo hazlo con el juez.
#44 Voy a poner un ejemplo para que lo entiendas:
Tu estás en tu casa con la ventana abierta mientras estás disfrutando de sexo salvaje con tu pareja. Tu vecino lo ve, te llama por teléfono para que tomes medidas, corras las cortinas y esas cosas, antes de que todo el barrio se ponga a grabarlo en vídeo y subirlos al primer portal porno que elijan.
¿Vas a denunciar a tu vecino o a darle las gracias?
#44 Si tu banco en vez de caja fuerte guardase tu dinero en un cajón sin cerrar... Te parecería bien o crees que como banco tienen la obligación de custodiar tu dinero adecuadamente? Pues eso.
#37 Yo les pedi que les auditaran porque queria saber si tenian la informacion personal de mi abono transporte securizada.
Ahora si veo aun mendigo pidiendome ayuda no se la voy a dar por mucho que la pidan no vaya a ser que me convierta en heroe de alguien.
#52 Tu puedes pedir lo que quieras y ellos pueden hacerte o no caso, y si entiendes algun derecho vulnerado te vas a los tribunales.
El resto son todo peliculas.
#30 Si me cuelo por una ventana abierta de tu casa para venderte barrotes te parecería bien?
#51 ¿puedes llegar a la ventana de su casa sin ser percibido por ningun tipo de detector (policía, veicnos, tarnseuntes, etc? Lo tuyo es una estupidez inecesaria. Que se protegan nuestros datos debidamente de ataques informaticos es algo marcado por la ley un un derecho nuestro. Cuando exista la ley de poner barrotes la sueltas otra vez.
#51 Es posible que no, pero si tu dejas la ventana abierta de tu casa y tu vecino no te avisa de que esta abierta y te roban, violan a tu mujer, matan a tus hijos, igual ya no estas tan contento. ¿O si?
No es muy legal lo que han hecho, pero si no lo hace quien tiene que hacerlo mejor que lo haga gente que publica las vulnerabilidades.
#29 vale, cuando se te caiga la cartera por la calle no te la devolveré hasta que no me la pidas.
#41 Menuda comparativa mas absurda.
Yo puedo comparar escanear puertos con ponerse a abrir puertas de los coches, a ver si hay alguno abierto, por poner un ejemplo
Es que es absurdo.
#46 ¡Exacto! Yo voy por la calle intentando abrir las puertas de los coches, si alguna está abierta ... ¿De quién es la culpa de dejarla abierta? En efecto ¡De Renfe!
Además ¿Quién eres tú para llevarle la contraria al Juez?
#69 Si a ti te roban el coche y te habias dejado la puerta abierta, lo siento, no es delito... fuiste tu quien lo incito. (e imagino que todos conocemos a alguno al que le ha pasado).
#84 Exacto, pues diselo a #46 que parece que no lo pilla... Te encuentran una vulnerabilidad, te informan de ello para que lo arregles y aún por encima se quejan. ¡Manda huevos!
#69 De hecho creo que podrian acusarte de delito al dejarte la puerta abierta por incitacion al delito, por ello los policias no pueden ponerles este tipo de trampas a los cacos.
c/c #46
#46 Que yo sepa no es un delito probar puertas de coches. Siempre que la cierre sin hacerle nada.
#46 No estoy de acuerdo contigo, pero no entiendo la pila de negativos en la mayoría de tus comentarios, estas dando tu opinión
#29 Tú sí que sobras
Gracias a lo que hicieron estos dos yo sé que si uso una tarjeta de crédito en una de esas máquinas de RENFE algún delincuente me podría vaciar la cuenta. Y también lo sabe RENFE, por si quiere deshacer el entuerto.
Hay que ser cretino para no ver quién está ayudando (tanto a RENFE como a sus cleintes) y quién está jodiendo la marrana.
#97 Ya, y todos lo que quieran abusar del tema antes de que Renfe reaccione. En realidad tiene parte de razón, tu también la tienes gracias a que en el fondo la intención es arreglar un problema que beneficia a todos.
Decir "tu si que sobras" no es que ayude mucho a un dialogo por eso
#29 No son delincuentes. Pero lógicamente, tenían que haber pedido permiso antes idealmente, podrían haberlo hackeado y no decir nada. igual. En el fondo, yo creo que saben como está el tema y que riesgo tenía.
Obviamente, y por suerte, el Juez no los ha metido en la cárcel y es lamentable que hayan tenido que pasar por un juicio,etc. Pero claro... es que si pillan los datos y tienen acceso tampoco puedes adivinar si es con buenas intenciones o malas, aunque luego lo publiquen.
Sin mencionar que no puedes publicar ciertas cosas sin más. Pero vaya, que todos han cometido errores en este caso.
#29 A mi me parecen delincuentes, independientemente de la intencion.
Es respetable, pero no lo son. Lo ha dicho el juez.
#29 imagina una puerta con una cerradura puesta para evitar el acceso pero ese modelo tiene un tirador escondido un poco a la vista arriba que si se le jala abre la puerta sin llave. Quien conozca el modelo la puede abrir sin esfuerzo y es un modelo muy conocido por tener esa deficiencia (o característica) Si alguien que va a entrar lo sabe y la abre por ahí ¿estaría violentando la seguridad de la puerta o la estaría utilizando aunque sabe que no tiene permiso para entrar ni se lo han dado para abrir? Bueno si alguien dice. > mira que abre con el tirador escondido y luego avisa de que tienen una puerta con ese problema donde jamás debería estar ¿es muy grave lo que ha hecho o más bien lo más grave es poner esa cutre puerta y acusar al que ha avisado para que no cunda que la empresa en cuestión no se molesta en cumplir con cosas básicas si no se entera la gente ahorrando un dinero con ello?
#28
Me falta información para saber si lo que han hecho puedo considerarlo ético o no.
Por ejemplo, si avisaron a la empresa con un plazo razonable (no se cuál sería: ¿un mes? ¿un año?) para que solucione el grave problema de seguridad y la empresa, que es responsable de esa seguridad les ignoró entonces me parece éticamente correcto avisar del peligro... que lógicamente no bastaría con decir "estos sistemas de RENFE son inseguros y si alguien los usa está exponiendo datos personales que incluyen números de tarjetas de crédito", ya que diciendo solamente eso sin demostrarlo la gente no podría comprobar que es cierto. Así que me parece apropiado no solamente decir eso sino dar los detalles sobre lo fácil que es el ataque, es decir, cómo puede hacerse. Y así todo el mundo puede comprobar que es una vergüenza, que hay un peligro real, etc.
Ahora bien, si descubren un fallo y en lugar de comunicarlo previamente a RENFE y/o Indra lo que hacen es comunicarlo públicamente sin dar tiempo a reparar el fallo... no me parece éticamente correcto.
La ética trata sobre lo que es bueno (en el sentido de bondadoso, no de calidad) y lo que es malo (en el sentido de malvado, n de mala calidad). Lo bueno/bondadoso es buscar la felicidad de los demás y evitar sufrimiento y lo malo/malvado sería lo contrario: saber que algo causa sufrimiento o dificulta que otros sean felices y, aún así hacerlo (normalmente por un interés egoísta: por la propia felicidad o disfrute de uno).
En este caso, si no se comunicó a la empresa o empresas que gestionan eso (RENFE, Indra...) se estaría causando un sufrimiento, no solamente a esas empresas, sino un riesgo a los usuarios que tendrían más expuestos sus datos personales.
Más aún, si el hacer público el defecto fuese una forma de ganar notoriedad / fama / prestigio personal o incluso ganar dinero (ofrecerse a repararlo a cambio de dinero), es decir, beneficios propios a costa de causar un riesgo, entonces creo que en este caso el carácter egoísta y malvado estaría muy claro ¿no os parece?
¿Porque, moralmente hablando, deberían castigarles?
Si en el castigo te refieres al impartido por el sistema judicial (penas de cárcel, multa, etc) seguramente el juez actuó correctamente y no hay motivo legal para esos castigos oficiales.
Hay que distinguir el concepto de ética / moral de lo que digan las leyes y procedimientos legales.
Una cosa puede ser éticamente mala y no ser punible legalmente... así que el hecho de que legalmente no deban castigarles no implica que no sea éticamente malvado lo que se hizo.
Ahora bien, si te refieres en general a "castigos" no oficiales en plan reprender eso que se hizo, reñirle, decir que eso que se hizo no te parece correcto, etc... no me parecería mal que se hiciese cuando se hace algo éticamente reprobable.
¿Y socialmente hablando? ¿Que daño le han hecho a la sociedad?
Dado que dichas empresas (en especial RENFE) tienen un alto vínculo estatal y que el número de usuarios en riesgo es elevado me parece que el daño puede considerarse contra la sociedad. Si dañas a RENFE y esa empresa tiene capital estatal y usan menos sus servicios entonces esa empresa tendrá menos beneficios y el estado menos dinero... menos dinero para hospitales, para educación, para infraestructuras, lo cual es un daño a la sociedad.
Vuelvo a insistir: no tengo constancia de que no se haya actuado éticamente, y, por mera presunción de inocencia voy a suponer que el hacker avisó previamente con suficiente plazo y que el hacerlo público fue, digamos, el último recurso para proteger a los indefensos usuarios. Y siendo así me parece éticamente correcto y apropiado, que alguien nos alerte de un peligro, de un sistema pésimo que nos pone en riesgo y del que tenemos derecho a saber toda la verdad. Además, amparado por el derecho de libertad de expresión... como cuando se denuncia públicamente un caso de corrupción, una estafa o un producto perjudicial para la salud.
cc #13 #22
#12 Cuando se enteraran que Hacker != ciberdelincuente
#32 Para mi no hay mucha diferencia, salvo que el ciberdelincuente acaba haciendo daño.
Si yo no te pido una auditoria de seguridad, nadie tiene porque hacerla, de la misma manera que nadie viene a mi casa a comprobar si tengo ventanas y puertas abiertas o solamente estan encajadas.
Si en mi casa alguien abre la puerta sin mi consentimiento y lo pillo lo harto a ostias. Sin embargo, lo hace un hacker con un soporte informático y te dice "es que está abierta" ¿y quien te ha dado permiso para entrar?
#36 si te llamo por teléfono y te digo que te has dejado la puerta abierta ¿también me denunciarás?
#47 Evidentemente es accidental. No tiene nada que ver con hacer una auditoria.
Si te veo por la calle abriendo mi coche y te parto la cara ¿te extrañarias?
#49 si alguien me demuestra que abrir mi coche es sencillo no, no le partiría la cara. Iría al fabricante a pedir explicaciones. Si tu le partes la cara sigues teniendo un coche inseguro. Al siguiente puede que no le pilles.
#55 A mi, si coges tu propio coche, te dedicas a investigarlo y haces lo que te de la gana, me parece muy bien.
Si vienes a mi coche y te pones a intentar abrirlo para ver si es seguro, sin mi consentimiento,, procura que no te vea
#63 la diferencia está en que yo no puedo comprarme un coche (en vez de coche es máquina de billetes) y por tanto no puedo probar si mis efectos personales que he dejado en tu coche cuando me llevas (mis datos) están seguros. Me tendré que asegurar de ello. Además te voy a dar gratis la solución antes que alguien te la líe.
Otro comparación sería decir que llevas la cartera al aire y que se te puede caer o alguien pude cogértela sin que te enteres. No me has preguntado si tu cartera estaba segura en tu bolsillo. Yo he ido y te he dicho que no lo estaba porque podía verla.
Y ya que te pones chulito, ¿cual es tu coche y a que hora podrías pillarme?
#70 Si te quieres asegurar, no los cedas. Ahora, si los cedes, estas confiando en la empresa y no tienes porque ir a hacer auditorias que nadie te ha pedido.
#83 ¿y si me piden mi nombre y tarjeta para comprar un billete? ¿no compro el billete?
Por el bien de las personas espero que nadie te avise que se te está a punto de caer la cartera por no guardara correctamente en tu bolsillo.
#55 No pierdas el tiempo, esta claro que no entiende la diferencia y tampoco intentará entenderla, es un caso perdido.
#65 Ten cuidado que@MrBurnbury te parte la cara como sigas así. Siguiendo la mas estricta legalidad, por supuesto.
#88 Nada nada este es inofensivo, se le habrá olvidado tomarse las pastillitas homeopáticas.
#94 joder, le pilla todo al colega....
#55 Ademas de ser un imbecil por agredir a quien te ayuda.
#49 En legítima defensa, claro.....
#36 Hay mucha diferencia, pero viendo el ejemplo que pones entiendo que no lo distingas.
#36 "Si en mi casa alguien abre la puerta sin mi consentimiento y lo pillo lo harto a ostias"
Ya veo, un hacker no puede saltarse la ley para proteger a la gente pero tu puedes saltarte la ley para """proteger tu propiedad"""... menudo defensor de la ley y el orden
#57 ¿Conoces la legitima defensa como eximente de la responsabilidad penal? ¿O es que segun tu ademas de dejar que alguien pueda entrar en mi equipo informatico sin mi consentimiento, tambien tengo que dejarme robar?
#59 "legitima defensa" es "Si en mi casa alguien abre la puerta sin mi consentimiento y lo pillo lo harto a ostias"??
Y cuando he dicho yo que tengas que "dejar que alguien pueda entrar en tu equipo informatico sin tu consentimiento" o "dejarte robar"??
#62 Mira el comentario que me has dejado. Dices que hago algo ilegal.
#64 Hasta donde yo se, liarte a ostias con gente es ilegal....
#67 Pues entiendes mal.
#73 JAJAJAAJAJAJAJAJAJAJAJAJAJAJA
Joder con el defensor de la justicia y la ley
#64 Me alegro de que ignores la primera parte de mi comentario, al menos parece que estas reculando y entrando en razón.
#68 No he reculado en ningun momento.
Siempre he mantenido que me parece absurdo y que, de hecho, igual que se mete a alguien en la carcel por entrar en tu casa sin permiso, por descubirmiento y revelacion de secretos o por defraudacion de las redes del tejido electrico o analogos; alguien por el simple hecho de hacer un mero escaner de puertos sin tu consentimiento debería ir a la carcel.
#72 y yo no he dicho lo contrario en ningún momento. Yo solo digo que eres un jodido hipócrita, nada más.
#36 la diferencia es que NO es tu casa.
Si te pones haz la comparativa con un hotel cuyas habitaciones se abren solo con darle un empujón a la puerta.
Tu obligación legal es garantizar (dentro de lo razonable) la seguridad de tus huespedes y sus posesiones.
Si alguien se da cuenta de que no es así, que se abren de un empujón, y para demostrarlo graba con el móvil como lo hace y lo cuelga en Youtube para demostrar la mierda de puertas que usas, ni hace nada ilegal.
Ni ha roto la puerta ni ha robado en la habitación, solo ha grabado y te ha dejado en evidencia haciéndolo público.
#76 Mi obligacion es garantizarlo, pero eso no tiene nada que ver con que venga alguien a hacer auditorias que nadie ha pedido.
Si alguien hace algun mal uso de esos datos para eso estan las responsabilidades, pero nadie tiene que venir a hacer "auditorias" que no se han pedido.
#87 ¿Y que? ¿Donde pone que sea ilegal hacer una auditoría, sea solicitada o no?
Lo que a ti te guste o no te guste no modifica las leyes. El juez a juzgado y no es delito.
Que te guste o no, que te parezca bien o mal, no lo cambia.
#36 "Para mi no hay mucha diferencia, salvo que el ciberdelincuente acaba haciendo daño."
Casi ninguna diferencia vamos es lo mismo una caricia y un puñetazo en la cara, salvo que el puñetazo te hace daño
#86 Un simil.
Para mi existe una diferencia entre alguien que me abre el coche para robarmelo y otra persona que se dedica a abrir coches, a ver si son seguros.
Mi coche no tiene porque abrirlo nadie. Me parece muy bien que seas un friki y vayas de hacker salvapatrias, pero mi coche es mio y no lo tiene porque abrir nadie.
#89 Pues a mí que me abran el coche por una vulnerabilidad que hay en mi modelo no me importaría si con eso consiguiese que la marca lo arreglara.
#89 si alguien dice que tu coche es vulnerable y la marca dice que son unos ladrones tu les crees...
#36 "Supongamos" tienes un cochecito de estos supermodernos y automatizados. Resulta que un dia notas que fallan los frenos, lo llevas al taller, lo revisan en el concesionario oficial, te cobran 200 € por 10 minutos y te vas a tu casa.
Una vez alli, al cabo de varios dias comienzan a verse en tv accidentes de ese modelo de coche por fallos en los frenos a mas de 100 km/h, con victimas mortales, etc. etc. La empresa se hace la loca y lo niega todo.
Al cabo de 10 años de juicios la fiscalia consigue acceder a los datos del Software y descubren que estaba mal diseñado y aun cuando los usuarios de los vehículos reportaban los fallos la compañia no los reparaba correctamente muriendo cientos de personas.
¿A que ahora igual molaba que un nerd de estos que usan linux se hubiera jugado el culo para que tu y tu familia no os estamparais contra el culo de un trailer? ¿Eh?
#36 Esa analogía que haces, es muy típica, evita usarla. Porque no, NO es lo mismo.
Se entiende lo que quieres decir pero no, NO es lo mismo un router que tu casa, ni un sistema operativo que tu casa, ni es lo mismo que te entren en el PC que en tu casa.
#32 Cuando no la haya se enteraran.
#12 Te pongo un ejemplo para que entiendas por qué otros no compartimos tu actitud.
Imagínate que eres cliente del Garaje Juane y pagas 50 euros para que tu coche esté tras una puerta y vigilado por un guardia de seguridad. Entrar al garaje sin ser cliente es ilegal, pero lo que impide que roben tu coche es la puerta y el guardia de seguridad.
Un día dos personas (sin antecedentes por allanamiento ni robo de vehículos) explican de forma abierta y pública "Anoche fuimos al garaje, la puerta se abría con solo empujarla y no había ningún guardia de seguridad. Los coches podrían haber sido robados. Pedimos al Garaje Juan que tomes las medidas oportunas para cumplir los objetivos de seguridad".
Y al día siguiente Juan denuncia a esas personas por allanamiento e intento de robo.
Tu coche sigue tras una puerta abierta y protegido por un guardia de seguridad inexistente.
Pero por alguna razón los malos son los que han dicho "Juan no pone medidas de seguridad".
#1 Está hablando de una defcon de 2012, por tanto XP todavía estaba dentro del plazo, el hackeo no se trata de una noticia "actual".
#18 ¿Qué te juegas a que siguen con equispés?
#21 Pues no lo se, probablemente, pero tengo la suerte de no usar máquinas de Renfe, los viajes siempre me los gestiona la agencia de viajes o mi secretaria, creo que la última vez que utilicé una fue en la inauguración de AVE a BCN .
#21 ¿Ese mensaje de error que se encuentra arriba en qué sistemas operativos aparece?
#18 La noticia es el fallo sensato del juez.
#23 Sí, por eso es, la noticia no es el hackeo que fue cuando XP estaba en soporte, sino el fallo judicial.
#1 Windows XP? Pues debe ser de las modernas, hace menos de dos años vi reiniciarse una máquina de Renfe y usaba Windows 2000.
#26 Demasiado modernos: Windows 3.1 aún existe y acaba de fulminar el sistema informático de un aeropuerto galo https://news.vice.com/es/article/windows-31-aun-existe-y-acaba-fulminar-sistema-informatico-aeropuerto-galo
#26 Pues como veas el SO que usan los tanques Leopard españoles se te caen los huevos.
#1 La Fiscalía no, pero FACUA por jemplo si que podría denunciar usando las actas de este juicio como fuente de información y prueba
A pesar de que el hacker se ofrecía a "ayudar a las empresas" a solucionar los errores, RENFE tiró por el camino de en medio y decidió demandarle por exponer sus vergüenzas al público...
Por eso es que hoy en día es mucho más rentable en lugar de ayudar a las empresas a arreglar sus problemas, vender la vulnerabilidad y ganar dinero con ello.
#17: Manía típica actual: resolver con abogados los problemas que deberían resolver ingenieros.
#17 El artículo sin embargo (que yo haya visto) no dice si se ofreció a reparlo antes o después de revelar el fallo, lo cuál es crucial para saber si mediante la exposición buscaba alertar a los usuarios por una falta de responsabilidad por parte de renfe o no.
Esas máquinas... ¿no serán por un casual desarrollo de una "gran" empresa española verdad?
#8 empresa lider en el sector ha...
#10 ¿Entre la carnicas hay alguna que no sea la "Empresa lider en el sector..." ?
#8 Yo no veo ningun palo
#8 Sí, las de Metro y las de RENFE las hace Indra:
http://www.indracompany.com/sites/default/files/Ticketing_Esp_baja.pdf
Otro éxito más de esa compañía. Yo trabajé un tiempo con ellos. Huid. Es una empresa grande, algún sitio habrá bueno, pero en general... ¡huid! No aprenderéis mucho, os exprimirán y poco os darán a cambio. Lo dicho, ¡huid!
#19 "Corred insensatos"
- Gandafl dixit
#8 Creo que puedo INDRuir en que empresa estas pensando
#8 Bueno, la "gran" empresa española habrá hecho el software que, algún avispado (de no se sabe de qué "gran" empresa española o extranjera), se le habrá ocurrido poner a correr sobre un sistema operativo obsoleto; no?
Que aprovechen y los contraten para rediseñar la página, y salimos ganando todos
#5 Eso iba a comentar yo... Que se dejen hackear, los resultados solo pueden ser positivos.
#5 Claro, ya no solo es que no los manden a la carcel. Tambien les damos un premio
#13 Si no han hecho nada mas que lo que dice la noticia, ¡SI, UN PREMIO!
¿Porque, moralmente hablando, deberían castigarles?
¿Y socialmente hablando? ¿Que daño le han hecho a la sociedad?
#28 Acceder indebidamente a datos no suministrados voluntariamente por el atacado.
De todas maneras, es cierto que el Código Penal hay que mejorarlo porque hay un vacio legal en el que se puede estar, pero en mi opinion, no me da la gana de que nadie haga una auditoria sin mi consentimiento aunque no la explote.
Nadie, por ejemplo, se tiene porque dedicar a escanear a ver que puertos tengo abiertos, aunque luego no lo explote.
#34 Si fuera su casa y sus datos estaría de acuerdo contigo, si se hubieran llevado algo,en parte también, el problema es que no es "su casa" sino un lugar público de un servicio público y los datos de muchos clientes suyos(quizá los tuyos o los mios).
Cuando se habla de seguridad informática, destapar vulnerabilidades es bueno para la sociedad (y para la empresa si sabe reaccionar), por lo tanto sería absurdo que penasemos a quien hace un bien a la sociedad, ¿no crees?
Si un vecino te llama por teléfono y te dice que ha ido a tu casa a visto la puerta medio abierta, a picado, no habia nadie, a entrado a mirar y se ha encontrado todo patas arriba (y le supones buena fe) ¿Tu le das las gracias o le atizas?
#50 Es que la empresa no es algo de todos. Un bar puede ser un servicio publico o un establecimiento publico, pero es una empresa privada.
Nadie tiene porque venir a hacerme auditorias que nadie ha pedido.
Otra cosa es que observes algo accidentalmente, como que un cliente ha perdido la cartera.
#54 La empresa será "no se de quien", el servicio es público, y te saltas de mi respuesta 2 partes importantes:
"Los datos son de mucha otra gente"
"El simil"
#54 "Es que la empresa no es algo de todos"
Renfe es una empresa pública
#13 No merecían ir a la cárcel, me parece justo como ha terminado el asunto. Se podría haber hecho mejor seguro, pero también el puto sistema podría ser mejor en lugar de dejarnos a todos desprotegidos y no contratar las auditorias adecuadas al mismo tiempo que tiran el dinero de nuestros impuestos.
Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
O sea... ¿que son tan idiotas que guardan un listado de las tarjetas de crédito en la propia máquina?
Cuenta la leyenda que hay empresas que te dan una recompensa por encontrar ese tipo de vulnerabilidades.
Pero creo que eso no es en España, aqui te llevan ante el juez.
#45 solo si la empresa es pública y no le importa a nadie
#95 Solo si es empresa. Punto.
#45 Pues mal que hacen.
La informatica de Renfe es igual que el resto de la empresa, una puta mierda.
La página de renfe va como el puto culo. Y no actualizan los equipos ni la misma desde hace caracoles. Olé por esta gente
#11 Han hackeado una máquina de billetes, no la web.
Ayer estuve ojeando la rueda de prensa que dio Donald Trump y me partía el culo de risa escuchándole prometer mayor "hacking defense".
Me temo que Trump solo es un buen ejemplo de como está el patio, A TODOS LOS NIVELES. Recordad que los directivos y consejeros de Caja Madrid / Bankia, eran tan "profesionales" que pagan en negro usando tarjetas de crédito
#33 Donald Trump sólo sabe que él es el jefe. Está acostumbrado a que en sus empresas el da una orden y sus empleados corren para hacerlo sea como sea. Así que cree que puede ordenar que se haga algo contra el hacking y listo. No sabe ni le interesa saber cómo se hará. Él es el jefe y se hace lo que él dice sea como sea.
¿Cuales, esas máquinas que funcionan con windows?
Dada la relativa facilidad con la que los hackers consiguieron acceder al sistema, ¿eran las medidas de seguridad suficientes? El Tribunal considera que no. Por todos estos motivos, Alberto García Illera y su compañero han sido absueltos, las costas han sido declaradas de oficio y todo ha quedado en agua de borrajas.
O sea, que unos peligrosos criminales ahora estan sueltos y pueden venir a hackearme el telefonillo del portal impunemente. Carmena, nunca te lo perdonaré.
Ahora el CNI los fichará para su equipo.
#40 CNI los mismos que aseguraban haber detenido a la cúpula de anonimouus. Bueno vale fue un policía que fue ascendido pero da igual .
#43 el CNI nunca lo dijo. En fin... Gente que se cree informada por leer los titulares de esta pagina.