Hace 6 años | Por zamurdo a elconfidencial.com
Publicado hace 6 años por zamurdo a elconfidencial.com

"Cuando vi que me había colado en el sistema de telefonía del Atlético de Madrid no me lo creía. Llamé a Enrique Cerezo y sonó. Colgué por miedo". Así describe el responsable de sistemas de una empresa química española el agujero de seguridad que descubrió en Centrex IP, un servicio de centralita en la nube que ofrece Telefónica a compañías en España para gestionar sus líneas de teléfono en diferentes sedes.

Comentarios

davhcf

#6 En forma de chapa.

ochoceros

#6 Es curioso que en el Twitter de Ana Vázquez Blanco no se vea que pertenece al PP, ni en su portada ni en su descripción. Eso sí, se define como "de centro". ¿Engañará a alguien con eso? ¿Tendrá más efectividad que meter miedo con "sofpapers"?

D

#1 Eeeeeeeeeeeeeeeeetttttttoooo... los xhicos... de los garajeeeeessssssss....

Nadie ha hablado más despectivamente de todos los grandes emprendedores del mundo de la informática e Internet.

Soy experto en análisis de frases dichas por altos cargos tarados con cara de subnormal

D

#35 psicopatas

D

#1 eteeeeeee las redes son nuestras eteeee buenoooo y de etteee atete

uno_ke_va

#14 si la envidia y el infravalorar el trabajo ajeno fuesen deportes olímpicos, nos llevaríamos siempre 2 oros de calle

Frogg_girl

#20 Lo que tu quieras, pero como hacker sigue siendo una broma. No es algo que diga sólo yo. Es opinión común entre la comunidad.
Ah, y no le tengo envidia alguna a ese señor. No le cambiaría ni mi curro ni mi vida.

Trigonometrico

#3 #14 #20 Después de ver esto, tengo la sensación de que lo contrataron más para espiar a los clientes que para tapar agujeros de seguridad.

Frogg_girl

#28 Hombre, tampoco es eso, pero creo que su contratación tuvo más que ver con el efecto publicitario que con su capacidad.

TarekJor

#29 Puede ser, una especie de: ... "véis" Telefónica-Movistar sigue eso de "Don't be Evil", fichamos a los Hackers "Buenos"... entra dentro de su Lógica.

Luego el propio título de su blog juega con el concepto de Bondad vs Maldad ("Un Hacker en el lado del Mal"), como humor supongo.

Esto ha salido en ElConfidentcial, supongo que cualquier empresa seria, estaría muy cabreada con esto (aunque supongo que muchos hace tiempo que tendrán móviles con roaming de alguna Europea mejor), pero "no confío en las capacidades de los "gerifaltes" demasiado...

Tampoco es mi campo lo de los ISP y su Seguridad (tiendo a no confiar en ninguno)

Lo que está claro es, que la SIM como Identidad-rastreo, y su posible duplicado es en sí una "vulnerabilidad" para quien este a "cierto nivel", de facto el Estado o "amigos del Estado" podrían intervenirlo en cualquier momento (incluso con el juez-residente ese, del CNI)

De la línea fija, mejor ni hablar (que me evoca imágenes de GoodFellas) lol, gran película, Joe Pesci.

Trigonometrico

#29 Reflexionando sobre esto, ese tío es un bastante buen divulgador, y yo eso también lo considero un mérito importante. Creo que no hay en Youtube ningún vídeo sobre el mismo tema tan interesante como alguno en el que él aparece.

Frogg_girl

#70 Y lo es. Como director de formación sería un gran fichaje.

Cuestiono otros aspectos, no su capacidad de oratoria ni la de vender una idea o punto de vista.

Trigonometrico

#71 A mi me encantan algunos de sus vídeos, aunque teniendo en cuenta que fue empleado de Microsoft, desde el primer momento se le veía un poco el plumero en algunos detalles .

Frogg_girl

#72 les falta... chicha. Y no es culpa suya. Es el rollo ese de “te lo voy a contar por encima pero me salto tal procedimiento para que no se use contra nadie”

Y es una gilipollez, pues tampoco resulta difícil encontrar la información que se reserva.

Frogg_girl

#30 Cierto. Un genio el cabrón.

ps. Chemita, que se que estás leyendo, so cabrón: Me debes dos cervezas y el libro de la era del diamante que te presté hace ya ni me acuerdo.

kwisatz_haderach

#30 Es que pasa cualquier cosa de seguridad en Telefonica y es ver 1000 twittes insultandole en redes, cuando el ni siquiera es el jefe de seguridad de todo timonofinica, sino de la parte de datos y ciber-ataques, que les metan un virus en las redes locales de oficinas por mal gestion, esa culpa recae en otros responsables (no afecto en ningun momento a los Data center, solo a los terminales de oficina) y el no hizo twitt en plan "que chapuza esa no es mia!" sino fue "No es mi departamento, pero trabajamos para resolverlo". A mi Chema me hace gracia y ha hecho MUCHO por normalizar el tema de "hacker-curioso por la tecnologia y sus limites", pero luego veo tanto tanto insulto entre "comunidad" que en fin...

M

#37 Y a mi me hace gracia los fans que defienden lo indefendible, cuando el mismo reconoció que fue una cagada ese tweet en ese momento: http://www.elmundo.es/economia/empresas/2017/05/20/591f3e9c46163f542c8b461b.html

kwisatz_haderach

#56 Oye, que yo no soy fan y no he dicho que ese tweet estuviera bien!, pero no es para estar insultandolo meses despues!

M

#58 Era un comentario un poco troll, a mi no es que me caiga especialmente mal (ni bien tampoco).

TarekJor

#37 Es "normal", la Jauría está deseando triturar y pasar por encima, sólo necesitan una pequeña justificación "cogida con pinzas", para salir a morder en turba (lo vemos a diario), espejo de su propia Frustración.

El sujeto Chema Alonso, pues tiene su blog y sus cosas, ha editado libros (ha hecho mucho más que otros que van mucho de "clandestinidad" pero de aportar al colectivo realmente poco, por lo demás otro sujeto que escribe en Internet (con sus aciertos y sus errores), sin más, sin tener que compararlo ni nada.

¿Es un buen analista o hacker? (no lo sé, a veces escribe cosas interesantes), tengo otras Referencias, eso sí, y en estos campos hay que siempre contrastar, y saber del detalle y el contexto en el que se habla, y no me va lo de Autoridad, sino argumento a argumento, hecho a hecho... (en ningún campo, menos en este campo...)

D

#14 Lo que no se suele pensar es que la gente realmente capacitada a nivel técnico está trabajando y no dando coferencias o asistiendo a programas de TV.

D

#39 en mi opinión, esa afirmación, sigue la misma linea de "no se suele pensar".

TarekJor

#39 Es posible, pero también, es triste que la gente capacitada no esté dando Conferencias *(1) para transmitir Conocimiento "y esté sólo trabajando" para cuatro gatos... en algo tan sujeto a "Conflicto de Intereses" como la Seguridad en Telecomunicaciones, Computación etc... (Estado, Empresas, Privacidad, Libertad)

Para mi un Hacker, o un analista, tiene una doble función (una es como la de un Periodista, investigar y señalar, otra trabajar en proyectos, pero en ambas profesiones hay Mercenarios ), y hay gente que tiene Responsabilidad, y sabe como debe actuar.

Si un Hacker, "monopoliza" Conocimiento, es su decisión, lo Lógico es compartir y debatir como solucionar la vulnerabilidad, el fallo... (con el sujeto vulnerable antes, por supuesto) (antes de que alguien más lo aproveche, para "hacer el mal")

... Sobre lo que apuntas, es muy cierto, lo que hoy día se entiende muchas veces como "divulgar" (*1) que es directamente mascar regurgitar y soltar cápsulas de simplificación e información "de mierda" mascadita para garrulos (con muchas palabras en inglés)... pero nulo fondo ni Principios ni voluntad de informar o enseñar, sino "basura efectista", en el tema de Hacking tenemos el infame caso de "CSI: Cyber"... (y hay muchos otros)

En eso se han convertido muchas Conferencias (por eso hay pocas que merezcan la pena), para todo lo demás SciHub, SpringerLink (y los "conocidos")... y siempre habrá "monopolización del Conocimiento" en estos campos "por Beneficios personales, o egoísmo".

o

#3 Chema le come los huevos a Gylfoil el de Silicon Valley

D

#46 Que le coma los huevos al Gylfoil no lo sé, pero que le toma el pelo a los jefazos de Timofónica, seguro.

D

#3 con esa pinta de hacker con grasa en el pelo, ducha cada 10 días y ropa de humana... es normal que solo se lo crean en el hormiguero y en empresas de enchufes como timofonica.

Pablosky

#10 Eso va a ser un fiasco del tamaño de la catedral de burgos.

TarekJor

#10 Me siento segurooo... (bee, beee, beee...)

puff eso de la plataforma Aura, tiene un tufillo a Luz, Iluminados, Opus y caspa, que tira para atrás...

"... nos dejarán controlar nuestros datos", vaya nos dejarán "ejercer nuestro Derecho a controlar nuestros datos, que buenos que son estos de Telefónica-Movistar...

Gobernados por borrachos y chusma rancia... (lo que nos queda...)
Al menos no estamos solos, y somos más de cuatro gatos (anque minoría), los que nos damos cuenta de ello.

Agujero en Telefónica: al descubierto miles de líneas de teléfono de grandes empresas/c64#c-64

Salu2, y estoy de acuerdo con lo que planteas.

D

#5 Les avisaria a ese fax que tienen para las reclamaciones.

TarekJor

#5 Qué quieres decir con el barbudo al lado del troll (pregunta en serio)?

difusion

#66 La promoción de la conchabanza inmoral de el único troll que dispone de emoticono propio en Menéame (@professor).

/cc #5

verocla

Lo peor de todo es el estilo de gestión de este tipo de incidentes made in Españistán, por que la cagada ya está hecha y no hay vuelta atrás pero la gestión posterior apesta.

verocla

#11 Te faltó la fase de subcontratación

m

#12 y que para arreglar eso dejarán otra puerta abierta...

m

#13 dios cuando cierra una puerta abre una ventana

D

#18

...para que te tires de cabeza...

m

#11 no mientas.....tu has trabajado en consultoria....

D

#22 No, no miento.

Sí que trabajé en consultoras, por eso conozco el proceso .

m

#24 el expertise se huele a distancia. Te felicito si saliste de ahí

#11 No funciona así en Telefónica. El director que está a cargo de ese área, o el gerente que depende de él lo leerá en las noticias, pedirá un desarrollo a su gente de Telefónica, que lo harán o delegará en el jefe responsable, que lo delegará en alguien de la casa que tiene muchas posibilidades de emnarronar a un externo que tienen allí en cesión ilegal.

Cuando tengan el desarrollo hecho y probado deberán abrir un boletín de cambios, que tendrá que estar relleno con toda la documentación relacionda y avanzado de estado antes de un miércoles a las ocho de la mañana y tendrá que ser aprobado en el comité de los jueves.

D

#38 Y si no está el miércoles, hay que esperar una semana?

Trabajé para cierta entidad que tenía un proceso muy similar, pero tenía definido un proceso de urgencia para estas situaciones. Es lo mismo pero el proceso no espera fechas, cada una de las partes implicadas actúa en cuanto tiene los datos suficientes para hacerlo. Eso sí, el pobre externo que tiene que solicitar este procedimiento pasa bastante miedo.

#42 Si. El miércoles a las nueve de la mañana. Si. Existe un método de urgencia para cosas que no pueden esperar. Hay que solicitárselo a un director. Las dos veces que lo he usado he utilizado a mi responsable de de la casa para que lo haga, que para algo soy esbirra subcontratada.

Algo bueno tiene que tener ser externa a cambio de hacer todo lo que sus esbirros no subcontratados no desea hacer pero debe hacerse: no hablo con nadie con cargo superior a gerente que no sea el mío ni aunque vaya la vida de la organiazción en ello ni apruebo nada que tenga que ver con dinero directamente, por mucho que los de arriba confíen en mi y en mi equipo de externos. Si hay algún problema con eso se lo comen los de la casa.

D

A ver, la cosa no es tan grave como la pintan (bueno, algo de gravedad sí que tiene)

Es una cagada meter esa contraseña tan simplona, es un fallo causado por dejadez pero muy fácilmente solucionable, no es un problema intrínseco en el sistema.

Ese problema (y el de las password por defecto) no es exclusivo de Telefónica. Por ejemplo:

http://www.dailymail.co.uk/news/article-2515598/Launch-code-US-nuclear-weapons-easy-00000000.html

xamecansei

#4 lo de las contraseñas del código nuclear era por un motivo tan simple como que fuese posible lanzarlas siempre por cualquier persona.

D

#7

Una intención muy loable y para nada peligrosa.

xamecansei

#43 no me refiero a eso. Me refiero que en unos casos se mantienen contraseñas por defecto por ineptitud, pero la que enlazas no era ese el motivo. Hay ejemplos mejores.

Penetrator

#7 Justo lo que el mundo necesitaba: un arsenal nuclear al alcance del primero que pase por allí.

omegapoint

#4 admin / admin
Root / admin
Y admin / 1234 como pass.

Te cuelas en un porcentaje significativo de sistemas españoles. Que si bien no son criticos, pueden tener datos de clientes.

D

#17

Me suena, me suena.

Cehona

#32 ¿Un silbido de 2600 Hz?

D

#4 El problema es que si se ha filtrado información ya no se puede "desrevelar". Si algún hacker se ha aprovechado del bug antes de que lo corrigieran es muy probable que la BBDD esté en las darknets por un puñado de Bitcoin.

S

Pues si esto sirve para que se fulmine de una vez los 902 me alegro

D

#19 como mezclar las churras con las merinas, claro ejemplo

D

En la puta nube de mis cojones. Ahí voy a poner yo los sistemas de mi empresa.

D

#16 No los pongas.

Al final el de sistemas de tu empresa hará lo mismo, o usará un programa externo que tiene el mismo agujero de seguridad.

Imag0

Quien dice empresas dice partidos políticos, ministros, jueces, periodistas, abogados y fiscales????
Agujero recién descubierto????
SEGURO????
roll

#25 No, lo descubrió él, otra cosa es que otra gente no lo hubiera descubierto antes.

Jokessoℝ

No puedo entender cómo una empresa puede pensar que pagar 40€ al mes por cada línea (en la nube,fuera de tu control) es una buena inversión, pero subirle el sueldo a sus empleados es perder dinero.

D

#44 Es porque los bancos hacen test de liquidez (que dictan el tipo de interés de los préstamos y que al publicarse influyen en el valor de las acciones y la aceptación por parte de grupos de inversión) favoreciendo la compra de "productos y servicios" frente a la contratación o los salarios. Eso es porque se considera que lo primero son activos que dan productividad y los empleados en cambio son un gasto fijo.
Las entidades financieras no quieren que se contrate gente ni que se paguen buenos sueldos porque esto distribuiría la riqueza y fomentaría el consumo, reactivando el mercado, mitigando la crisis y arrebatándoles la posición dominante que se han procurado.

TarekJor

El ISP, ese gran agujero de Seguridad, mejor pensar en "inSeguridad" por defecto de cosas que no dependan de nosotros, que pensar que "son Casos Aislados" que es Telefónica-Movistar (que puede salir mal)

ete... eteee... (Cesar Alierta, Telefónica-Movistar)



Son los Mejores, joder, nos dirigen los Mejores... borrachos-puteros...

Azucena1980

Mierda, han encontrado las páginas amarillas!!!!

kumo

Hehe, la centralita cloud de mi curro...

D

¿Pero ahí no curra ese que va con el gorrito disfrazado de hacker? lol

TarekJor

Centrex IP, Lexnet, Ibex35, Indra, Telefónica (Marca cárnicas España) ya habrá "pagado los platos rotos" el eslabón más débil, como siempre, vayan tomando nota.

Chapuzas a nivel máximo, de las "Grandes Empresas" esas que son las que "elige el Mercado como mejores" porque los Consumidores son seres de Luz, aunque malos votantes.

Que ganas tengo de que alguien le meta mano, a la Caspa, y les de una mínima pero fuerte Disciplina (sin ser tan mínima, incluso), que llevan décadas viciados y en la involución permanente, y lastrando nuestro futuro.

ÆGEAN

Ay, Chema, Chemita, Chemaaaaa, Chemaaaaa
Chema de mi corazóóóóón...
Que te van a echar del temaaa, Chemaaaa
Movistar te da portóóóóón...

Un hacker reconocido encargado de la seguridad de Telefónica, ¿qué podía salir mal?

Pues que fuera Chema Alonso, claro.

D

que alguien me pase el de rajoi que voy a decirle cuatro cosas...