EDICIóN GENERAL
301 meneos
7171 clics
Chema Alonso entona el 'mea culpa' con la brecha de seguridad de Telefónica

Chema Alonso entona el 'mea culpa' con la brecha de seguridad de Telefónica

El Chief Data Officer de la compañía reconoce que se trata de un fallo "clásico, conocido y nada complicado" que "aparece en una auditoría completa".

| etiquetas: hacking , movistar , chemaalonso
Comentarios destacados:                              
#2 Chema está para lo que está. Para deslumbrar con trucos básicos a gente como Pablo Motos que no tenga ni el más mínimo concepto de seguridad.
Solo está por dar una imagen "cool" a telefónica.
Ha dicho que cambiará la marca de gorros por seguridad...
#1 #13 No os engañéis, ese gorrito tan cool lo lleva solo para tapar el gorro de aluminio que lleva debajo :tinfoil: :troll:
#31 más bien la calva que le llega hasta la coronilla
Chema está para lo que está. Para deslumbrar con trucos básicos a gente como Pablo Motos que no tenga ni el más mínimo concepto de seguridad.
Solo está por dar una imagen "cool" a telefónica.
#2

Chema está para lo que está. Para deslumbrar con trucos básicos a gente como Pablo Motos que no tenga ni el más mínimo concepto de seguridad.

:palm: :palm:

Ha sido una cagada, y el problema es el típico de fichar a un técnico bueno a dirigir el area de la que es experto no quiere decir que ese area vaya a ir bien. De ahí a que Chema Alonso solo sabe trucos básicos... Ahí si se nota que tu de seguridad poquito.
#6 Qué pasa? escuece?
#6 Chema Alonso es un showman, un poco charlatan y tecnicamente limitado. Lo llamaria divulgador si no fuera tan exagerado (que explica cuatro chorradas y parece que te este contando el sentido de la vida). No es muy apreciado en la scene salvo por la gente que le sigue el rollo para chupar del bote. Si fuesen los anyos 90 en vez de 2018, su mbox (perdon, su PST) estaria colgado de alguna ezine, por bocas
#36 eso es , por esos 4 trucos magicos sacados de youtube te invitan a la blackhat y a la Defcond #19
#58 Hombre Chema para bien o para mal es famoso en el mundo Hacker.
Y tampoco todos los oradores tienen el mismo nivel.
#58 mira la repercusión que tuvieron sus charlas y su único paper. Ninguna. Es un tío que se sabe mover, y con poca vergüenza. Pero como dicen por ahí, el nivel máximo que puede llegar a tener es el de divulgador. Y si lo asumiera, podría ser hasta un tío que cae bien y que tiene cosas que aportar, pero va de hacker por la vida cuando no hay mas que oirle dos minutos para calarle. Y la gente del mundillo lo tiene caladisimo.
#19 No he entendido nada, pero te voto positivo.
#19 #30 #41 Ojo que yo en ningún sitio digo que sea el mejor. Digo que es bueno.

Sobre todos vuestros colegas diría como decía el que escribió esto: "Show me your code".

El cv de Chema Alonso es conocido y público, sus apariciones en Def Con están ahí y son fácilmente comprobables. Seguro que muchos de vuestros amigos no van a la Def Con porque son más de meterse en la NASA y en CIA pero pasan de alardear no vayan a acabar en la cárcel. Pero supongo que a las charlas Def con fue a contar los mismos trucos básicos que contaba luego a Pablo Motos. Los de Def con son muy de escuchar eso.
#72 Me remito a lo que dice #41. Sobre las charlas en BH/Defcon, que yo recuerde fueron sobre la dichosa Foca y ampliaciones de la misma. Que vale, la Foca una herramienta util pero ni mucho menos algo espectacular. Mucho curro recopilando tecnicas conocidas y partiendo de la idea del Metagoofil (o como se llamara). Mucho desarrollo, supongo que bastante testing, pero poca innovacion.

Y charlas en BH/Defcon ha habido bastantes de hackers espanyoles (…   » ver todo el comentario
#6 Amigos que organizan el Navaja Negra y saben bastante de seguridad conocen a Chema Alonso y coinciden en lo que dice #2
#30 Yo conozco un poco el tema de seguridad y las demostraciones de Chema siempre han sido muy básicas.
Estilo correo scam con enlaces a una web falsa con el nombre real del dominio escrito con algún carácter cirílico o similar.
Nada mínimamente complejo o interesante.
#36 yo estuve en una el otro día y no era tan básica
#88 ¿De Chema?
¿De que trataba. Tienes enlace?
#90 fue en directo. Sobre hacking con login de Facebook/demás
#6 Que entiende de seguridad es indudable.
Que es bueno en seguridad, digamos que si.
Que es muy bueno, bastante discutible.
Hay muchos profesionales con menos repercusión mediática generalista y mucha más específica (Gente como Yago Jesús y otros de empresas especializadas que no transcienden fuera del sector)

Pero como divulgador es mediocre tirando a malo tanto en la parte de show como en la parte de divulgación. La payasada de Motos estaba más que guionizada y preparada. Y eso, cualquier tipo medio serio no hubiera aceptado hacerlo.

Entre mis colegas todos opinan más o menos.
#6 y tú de responsabilidad sabes menos. Si el es el jefe, es el RESPONSABLE de que en su equipo trabaje desde el puto Stallman hasta un mono con síndrome de down. Para celebrar los éxitos y sobre todo, para ser RESPONSABLE de los fracasos. Eso es un líder, por eso cobra más, y para eso está.
Así que déjate de mierdas y sácate tu lengua de sus pelotas, que no te va a dar nada
#2 Pues a mi verlo en la tele con la pinta esa de informático de películas de los 90, me parece una carajotez. O que está muy calvo y se ha marcado el rollo este para no enseñar cartón.
#13 positivo por gaditanismo gracioso.
#13 Voto por calvo
#13 sin ninguna duda verlo con pinta de informatico de peliculas de los 90 es una carajotez. Simplemente es un tio que se viste como le sale de los huevos en el año 2018
#13 El gorro de Chema son como las gafas de Superman, sin el no lo reconocerías  media
#77 Y tiene bastantes sin gorro publicadas  media
#79 Solo había que buscar un poco  media
#80 Lo siento, pero no me dejaba subir más de una foto y es lo único que se me ha ocurrido
#13 Es @javierB sin gafas
#13 tiene pelo. Lo he visto sin gorro
#2 Amen. Es tan bueno en seguridad que le colaron un ransomware a toda telefonica y mandaron a casa a toda la plantilla. No lo dirian pero pagaron por recuperar cierta informacion que fue imposible, que no habia copia.
El clasico excel en el PC de Maritrini con datos desde el año 1998 del que nadie hizo copia ni nadie sabia que existia menos ella.

Pero oye que son unos "HESPERTOS":

www.xataka.com/aplicaciones/wannacry-file-restore-la-herramienta-de-te
sólo funciona si el proceso del ransomware no ha finalizado, que es cuando los archivos aún están cifrados y la copia temporal no ha sido eliminada.

Asi tambien yo.
#24 Y qué pinta el responsable del CPD en el wannacry que se coló en la red interna de empleados?
#52 ve a #73
#75 El CPD no es la red interna. No tiene absolutamente nada que ver. Estás hablando de poner un cortafuegos en una red que no es la responsabilidad de la persona a la que acusas.
#78 Ah que sabes sus funciones?
El echo balones fuera en un tweet.
#84 ah claro que lo dice en su perfil. Te repito que cuando paso echo la culpa a los usuarios
#86 Seguí ese hilo, supongo que te referirás a este, y lo veo correctísimo.

twitter.com/chemaalonso/status/862996031906205696?lang=en

Para que el wannacry se colase en telefónica tuvieron que juntarse dos cosas:
- Que al departamento de seguridad interna (que no es el departamento de Alonso) se le colase algo (el error de seguridad estaba parcheado, así que hubo un error del departamento interno de sistemas si en telefónica no tenían el parche).
- Que un usuario abriese un fichero…   » ver todo el comentario
#24 El ransonmware fue un coladero de Microsoft y hubo cientos de empresas afectadas. Responsabilizar a chema es estúpido.
#67 perdona pero si la red está bien asegurada con sus cortafuegos y cerrado todo lo necesario y actualizaciones hechas esto no pasa o sería mínimo. El mismo echo balones fuera cuando paso.
#67 que se solucionaba teniendo los Windows actualizados ;)

Eso es lo más básico en seguridad que sabe cualquier administrador de sistemas.

Paso en bastantes empresas, si, pero solo en las cutres, de las que en España tenemos muchas xD xD xD
#2 Tal cual que así.  media
#37 Creo que cuando hicieron ese capítulo el fantasma de Chema Alonso se le apareció a Matt Groening.
#2 ¿a que no adivinas en qué Universidad se sacó el título este supuesto gurú que viste “como los hackers de verdad”? :roll:
#47 A ver si lo adivino, ¿la Juan Carlos I?
#49 Si es que me lo has puesto en bandeja.
#48 #47 es una pena que el nombre de la universidad vaya a quedar en esa guarrada... La gente que realmente ha sacado buenas notas y ha aprendido es la que lo sufrirá.
#53 Empezando a ver los casos no me está quedando muy claro que el sacar buenas notas y aprender haya sido la tónica general.
#55 los casos de los enchufados de turno...
#2 Y para decir que hay que bajar el sueldo al resto un 20%, creo recordar....
#2 hacer otra auditoría dice... en 2018. Automatiza, animal
#2 En cualquier caso asumir su culpa en una cagada de este calibre le honra, no es algo a lo que estemos acostumbrados en este país, que hubiese sido fácil lanzar la mierda hacia abajo como hacen todos.
#92 Yo no he asumido que tenga la culpa.
Solo que está ahí por motivos de marketing.
#94 Digo que él ha asumido su responsabilidad.
Yo no tengo conocimientos para valorar sus dotes informáticas (más allá de que con ese cargo y un doctorado malo no creo que sea por mucho que digáis), pero un alto cargo en España que asuma sus responsabilidades no se ve todos los días y, aunque debería de ser lo normal, para mí es algo que le honra mucho.
#2 lo q acabas de decir es muy de cuñao
#2 Nunca lo quise prejuzgar en su día, pero ya veo que la intuición no me engañaba. Y como no, Telefónica a la altura, como siempre.
¿Sobre las otras hijoputeces de Telefonica a quien hay que pedir disculpas?
#3 A los directores responsables de cada departamento en cuestión.

Fijate que llevo 10 años trabajando casi en exclusiva para ellos y no les confío mis servicios de comunicación, y no precisamente porque lo hagan mal, sino por el hijoputismo.
#4 Como Ex-IECISA es el mismo motivo por el que no entro en un Corte Inglés y tengo dicho en la ofi que yo para ellos no trabajo.
#5 yo entro para tener un detalle con mi abuela en su cumpleaños.
#4 Hace años Telefónica fue cliente de la empresa en la que estaba. Les vendíamos web hosting al por mayor para que lo revendieran. Les importaban una mierda sus clientes, sólo querían sacarles dinero extra por características ya incluidas, el máximo de dinero. Ese era su leitmotiv. Una prepotencia y un despotismo insoportables.
#63 A los clientes les cobran de más y una de las direcciones decidió que unilateral ente le iban a recortar un tercio el importe de los contrato a todas las contratas que dependían de dicha dirección. Y curiosamente otras contratas nuevas nos ficharon a los despedidos por los recortes de las subcontratas, pero claro, sólo a algunos, otros se quedaron por el camino para que el director de turno se llevase su bonus. Gente muy válida. Se quedaron los junior que eran más baratos, mezclaron grupos…   » ver todo el comentario
#3 van a hacer una rueda de prensa conjunta pidiendo perdón Rato, Urdangarín y el Gangoso.
Estas grandes compañías tienen una estructura que las hace lentas e inoperantes. La mano derecha no sabe lo que hace la izquierda. Muy típico de España. No importa ser grande si tú estructura te permite moverte.

Tienes que permitir que tu equipo de seguridad sea lo suficientemente autónomo y rápido.
#7 el fallo no parece que sea culpa del equipo de seguridad, si no de alguien que es un poquito gañancete a la hora de programar y deja cosas bien a la vista en formularios GET sin hacer validaciones al usarlas.
#10 Ahora piensa quien gestiona esa web: Una subcontrata que a su vez subcontratara a otras 2 por la cual ruedan becarios y gente quemada a diario con presiones.
Ahi tienes la respuesta.
#28 TESA es un conjunto de empresas subcontratadas. Todos los que trabajamos en ellas lo sabemos. El SAT no es suyo, I+M tampoco, la mayoría de desarrollos tampoco, Infrastructuras por lo que sé también subcontratado.... y así todo.
#28 conozca telefonica y hay mas torpes entre los "propios" que entre los "ajenos", pero en cualquier caso, si aprietas en el precio y pagas por becarios, lo que tienes son becarios.
Esto aleja a Alonso de Timofónica
Iba a poner el enlace al artículo del Blog, pero no lo hice porque habría tenido que hacer microbloging en la entradilla... Es decir, habría tenido que escribir un pequeño resumen de lo que dice, que es para lo que se supone que están las entradillas.

Este es el link:

www.elladodelmal.com/2018/07/una-historia-de-hackers-bugs-en.html?m=1

Y básicamente se resume en que sí, que la han cagado pero que "y tú más" y además los que lo han publicado son muy malos.
#9 He leido el artículo y creo que tiene razón. Si descubres el fallo y vas con buenas intenciones, les comunicas lo que pasa.
#11 sí si el que encuentra el fallo es buena gente, pero creo que en este caso el problema es otro, y es que ese código llegó a producción. Un fallo tan básico no debería estar en producción de ninguna manera porque no estamos hablando de que si capturas paquetes y empapas los paquetes pares en sangre de virgen a luz de la luna... Que parece bastante trivial.

El problema real es que eso llegó a producción sin que no el desarrollador ni los de pruebas ni ninguno de los seguramente muchos "jefes" se dieran cuenta. Telefónica tiene un problema de RRHH.
#14 Llevo décadas en informática, y habría sido la primera vez que veo "un jefe" revisando el código fuente de un programa que llega a producción.
Y eso mismo he visto ocurrir con todas las empresas que me he relacionado, españolas y extranjeras.
#20 En casi todo proyecto mediano grande hay un set de pruebas unitarias ... y tenía que haber saltado fácil.
#26 en casi todo proyecto.. xD
#61 Si el proyecto tiene que cumplir ISOs... desde luego es así. Que se lo han pasado por el arco del triunfo... pues si.
#26 esto no habria saltado con pruebas unitarias porque esto funciona. Una prueba unitaria no ve por el rabillo del ojo un numero raro en la barra de direcciones y cambia unnumero a ver que pasa, eso lo hace un cachocabronambicioso. El problema es que como nos hemos acostumbrado al REST vemos una url de 200 caracteres y no salibamos, pero es para hacerlo...
#99 Puede ser. Nosotros desde luego en la materia de test siempre ponemos una burrada de pruebas de seguridad. Pero vamos, que puede ser.
#99 exacto, el unico test para este caso seria end to end (e2e).
#26 Con pruebas unitarias te refieres a los unit tests, que los escribe la misma persona que ha escrito el código con el fallo de seguridad? O a los tests ya más de equipo de calidad, que raramente van a buscar fallos de seguridad más allá de lo básico?

El único set de pruebas que serviría es un test específico de vulnerabilidades, tanto externo como interno (probando todos los endpoints uno a uno, incluyendo inyecciones y timeouts de todo tipo y eliminando cualquier llamada no documentada, y luego probar todas las páginas de la interfaz gráfica en busca de amenazas, también una a una. Y eso no lo hace nadie por falta de tiempo.
#20 No se revisa leyéndolo como si fuese El Quijote, ni el jefe ni el becario. Hay muchas formas de testear un código de forma automática antes de que salga a producción. La cobertura de tests (los tests automáticos que se hacen a una web) seguramente era escasa o inexistente.
#20 El único jefe que he tenido que revisaba código (jefe de equipo, no directivo) es precisamente el tipo de jefe que retrasaba a todos con chorradas y acababa dejando todo peor que estaba y se cargaba todo. Pero claro, quería demostrar que además de jefe sabía programar.
#14 tiene razón en que facua no hizo una comunicación responsable... El problema de las bigcorp es que hay mil y un sistema , y tener auditado al día es jodío. También es un problema del programador en cuestión porque ese tipo de cosas son bastante básicas. No existe el sistema 100% invulnerable
#9: Entonces más que mea culpa es my pwned. :-P
#9 "De estos bugs sencillos - de estos últimos que son conocidos y fáciles en teoría de evitar - yo sé bastante"...
Menudo arrogante de mierda.
#9 He leído el post. Y esta es, la explicación pública y para los medios de una empresa multinacional, que dice que necesita 90 días de preaviso, cuando según el reglamento general de datos deben comunicar el fallo inmediatamente a la AEPD. Es ridículo.

Pero de qué hackers o qué bugs nos cuenta historias, si es un fallo del producto tan básico que hasta un niño puede usarlo. Que dice que le "inyectan un Bug". :-O En el Cola Cao, no te jode. xD
#95 Según el RGPD tienen 72 horas para informar...después de que conozcan el fallo. Si no lo conocen, ya me dirás cómo lo reportan.
Lo que ha demostrado este fallo es que no usan seguridad por diseño, al implementar la solución.
Claro a Telefónica le importan mucho sus usuarios, como se ha podido ver históricamente...

Salu2
es accionista?
Pues no es ni muy guapo ni muy simpático.
#25 tiene un aire a George Clooney. Mira en google las comparaciones.
#35 Y de Rosendo.
#35 ¡Pues es verdad!
El gorro de aluminio está para cubrir la calvicie?
Chemita lleva bien la seguridad para dar cuatro charlas y escribir un par de blogs y tal, llevar la seguridad de una multinacional requiere experiencia de verdad.
Que siga dando charlas para Microsoft que se le daba muy bien vender Windows y el Microsoft Explorer. "Bien".
A mi me chiirria más esta parte...

"¿Cómo empieza la guerra?
Comienza con un post de Chema Alonso en su blog, El Lado del Mal, en el que, primero, explica muy bien el origen del problema: “Es un fallo clásico, conocido. Nada complicado. Solo hay que buscarlo dentro de una auditoría completa del sistema. Y aparece. Claro que aparece. El problema es que si se hacen cambios menores en la web, y se inyecta el bug por error humano una vez auditada, hay que volver a auditar. Debería ser así. Pero a veces se cometen errores. Y ese bug sencillo se quedó en esa parte de la web”."

Nos ahorramos una auditoria enviamos a producción y a otra cosa mariposa :palm:
#42 chirría porque es un cuento.
#42 el tipico “mierda, despues de 1 semana pasando QA he visto este pequeño error, bueno lo corrijo y subimos, que está muy focalizado y seguro que no afecta a ninguna otra parte”

Anda que no le he tenido que decir más de una vez a un desarrollador “quieto y parao!” cuando he visto que estaban cambiando una “chorradilla” al código que habia sido testeado y se iba a publicar
#42 No, no chirría. Es que no tiene ni idea de lo que está hablando. Se lo ha contado alguien y de oídas está dando explicaciones por quien debería darlas, que son los responsables directos y que no quieren pringar en los medios de comunicación.

Las auditorias de código o de producto no son lo mismo que las de seguridad, pero cualquiera de las numerosas auditorias de calidad tendría que haber detectado esa pifia, más con datos sensibles de los clientes y con un fallo que deberían haber anunciado públicamente según el RGDP.

El responsable de seguridad global es Alejandro Becerra. Habrá que rebuscar en Linkedin para encontrar el responsable de calidad.
Por cierto, donde está la movida esa de que telefónica te iba a dar "pasta" o no se que paja mental por los datos que recopila del usuario?

Ayyyyy i cant hold all these Gorritos.
#43 Pues la movida acaba en que ahora Movistar los recopila y con ayuda de Amazon, Facebook...hace explotación comercial de ellos (de lo que tu ni opinas ni ves un duro). A qué ha cambiado la película?
Cito del blog de Chema Alonso:

Pero que se anuncie un bug en una empresa, se convoque una rueda de prensa y se le diga a la empresa que NO le va a dar los detalles hasta la rueda de prensa, es lo más kafkiano que he visto en mi vida como investigador de seguridad. Y actuar de esta forma defendiendo que es para ayudar a los clientes que se pueden ver afectados por ese bug es rizar el rizo de lo absurdo.

Pues si es así como ha sido, los de Facua son unos auténticos hijos de puta, ¿no?
#44 si ha sido así sí, lo son y con todas las letras
#44 Vale, pues no, no ha sido así.

Facua NO ha publicado los detalles del bug. Ha dicho que había un bug y una hora después ha dado la rueda de prensa, pero los detalles solo se los han dado a Movistar. Así que aquí Chema estaba solamente desviando la atención y echar mierda para distraer de la responsabilidad que tienen ellos.
Es leer Chief Data Officer y me lo imagino con la estrella y el sombrero de Cowboy. Luego le veo el sombrero de lana en verano y se me pasa.
Un Chief Data Officer no se encarga de la seguridad de los sistemas de la empresa.

Pero bueno, que si, que es un paquete con labia, que cualquier meneante presenta en la Def Con. Lo que pasa es que no les apetece.
Hombre, el error es de becario y malote...
Cuanta envidia veo por aquí a Chema Alonso, que oyes, igual no sabe tanto de seguridad (o sí), pero tiene más proyección y gana más que todos los que le habéis criticado :-D :-D :-D

En una cosa tiene razón, lo de FACUA, la rueda de prensa y Rubén Sánchez fue una hijoputez de cuidado, todo por llamar la atención.
Atrevida es la ignorancia. Amigos de mis amigos dicen que..., Lo del Hormiguero no se si estaría preparado, pero hizo mas por la seguridad informatica a nivel de usuario novato que cualquier otra cosa. A mi madre no le veo leyendo ningun paper sobre seguridad. Estar de ponente en la DefCon, y mas de una vez, esta al alcance de muy pocos. Pues yo conozco a gente de la escena hacker que no lo critican mucho, y de varios colores sus sombreros (white buenos, black malos, gray depende). Y luego decir que no es comunicador ya es de no tener ni idea
#74 Pero qué dices loco. Si aquí el que menos ha escrito como mínimo dos libros blancos de seguridad, y ha hecho ponencias en convenciones de ámbito internacional. Menéame es el centro neurálgico de la escen andergraun gromenauer :troll:
Esto acerca a Alonso a Ferrari
Fue el típico bug de programador novato.
En una empresa pequeña, das cursos de buenas prácticas, les tienes al día,...pero aquí es la subcontrata de la subcontrata.

Como él dice, pasas QA, pasas pentests...pero siempre se puede escapar algo cuando subes a prod saltándote el procedimiento

Los de facua...muy mal, unos gilipollas que se han preocupado más de dejar mal a Teléfonica que en proteger a los consumidores
«12

menéame