"Podría bloquear un camión en medio de la M-30" explica José Carlos Norte, un investigador español que ha descubierto lo frágiles que son los sistemas electrónicos que llevan camiones, autobuses, taxis o furgonetas para recibir órdenes de la central. Una marca en concreto, C4max, muy usada en España, Francia y Marruecos, no lleva ni siquiera contraseña para conectarse a Internet. Un 'hacker' podría, desde su casa, saber por dónde está circulando un camión o mandarlo a dónde quisiera.
Comentarios
#26 SOMOS, SOMOS. No te quieras salir del tiesto.
#36 Señor sí señor.
Muy recomendable la cuenta de Twitter Internet of Shit que recopila casos espeluznantes en la carrera de ponerle internet a todo sin sentido y sin la menor comprobación de seguridad
#16 gracias! no lo conocía
En el blog de José Carlos está más y mejor explicado [ENG]
http://jcarlosnorte.com/security/2016/03/06/hacking-tachographs-from-the-internets.html
Alucinante que puedes entrar con un simple telnet
#4 Lo de siempre. No hay autenticación de ningún tipo.
#5 En telnet autenticación sí, lo que no hay es cifrado, y en dispositivos inalámbricos es como sacar la chorra al aire y pedir que no te saquen fotos.
#77 No ya. Lo que quería decir, es que este telnet en concreto, no lo tiene implementado. Con lo que, llamas y estás dentro. Fácil, sencillo y para toda la familia.
#78
#79 Alegra esa cara. Seguramente, después del reporte, llamen a los usuarios de los camiones para que actualicen el software y cierren ese agujero.
#4 Gracias por localizar el original porque en 'elconfidencial' no se entendia un pijo.
#33 No has entendido la parte donde pone "... José Carlos Norte decidió hacerlo público en su blog:..." (con el enlace)
#38 Es lo que me dice mi mujer cuando busco algo en la nevera,
si lo tienes delante de las narices, es mas grande y te come.
Mientras tanto, en otros países se toma en serio esto y se gratifica al que lo descubre:
Así se podía hackear cualquier cuenta de Facebook hasta hace días
Así se podía hackear cualquier cuenta de Facebook ...
malavida.com#12
#13 #12 pues que suplenté identidades, que causé daños... la canción de siempre
http://www.elmundo.es/elmundo/2011/11/28/leon/1322472223.html
El problema lo conozco bastante bien: Es un fallo de "conocimientos transversales".
Para este tipo de desarrollos suele hacer falta tres tipos de perfiles:
1) Programador.
2) Administrador de sistemas.
3) Electrónico.
El programador desarrolla la aplicación bajo la tutela del electrónico y el administrador de sistemas, se encarga de que la comunicación entre la central y los terminales tenga la seguridad adecuada:
Encriptación, claves, etc...
Las empresas, para ahorrase dinero contratan a un tío que tiene que tener conocimientos de programación, electrónica y seguridad de redes y sistemas...
Y claro, luego pasa lo que pasa: Que no se puede controlar a fondo en estos tres campos.
De verdad que este problema lo veo una y otra ves en aplicaciones de control industrial.
Les podría contar a ustedes historias que les dejarían sin dormir meses:
Laboratorios farmacéuticos sin control alguno, sistemas industriales peligrosos con acceso a Internet, etc...
#22 Las empresas, para ahorrase dinero contratan a un tío que tiene que tener conocimientos de programación, electrónica y seguridad de redes y sistemas...
Es lo que hoy llaman "DevOps"
Es decir: el colega que por saber cómo se deploya una app en AWS parece que sabe hacer de todo, cuando en realidad no sabe hacer nada
#34 Más que eso: Un DevOp es un administrador de sistemas con un pié y medio dentro del mundo del desarrollo. Pero un DevOp no tiene ni puta idea de programar un microcontrolador, calcular el grosor de una pista de cobre de una placa impresa para un determinado amperaje o saber lo que es el teorema de Norton y Thévenin
#40 Entonces si no sabe eso es que no es proactivo ni autodidacta y no es un buen DevOp
#45 Autodidacta ? Ya no se da nada de electronica en la carreras de informatica de hoy en dia ?
#40 O sea yo que soy sysadmin via FP2 toqueteando Perl en su día, Python de vez en cuando (lo que me pirran son Smalltalk y Scheme), ¿ya soy devops?
Mejor que contraten a un sysadmin Y a un programador.
#74 Me temo que usted no me ha entendido: Un DevOp tiene que tener una formación sólida en el mundo de la administración de sistemas y en el mundo del desarrollo.
Además, tiene que tener años de experiencia.
Para eso, hacen falta muchos años en ambos campos.
Por lo tanto, desconfíe usted cuando alguien de menos de 40 años le dice que es un buen DevOp.
Lo mejores DevOps que me encuentro en Nueva York siempre suelen ser bastante "Seniors".
Vamos, que peinan canas.
#82 Era sarcasmo obviamente. Un DevOp de verdad curtido , ¿40? , échale 45-50 al menos.
#34 Con tantas siglas/abreviaturas no me extraña que nos tengan tanta tirria a los informáticos jajaja
#34 Hola, ¿me llamaban?
jajaja.
Estoy hasta la polla de pedir un administrador de sistemas.
He montado un monstruo con openvpn y docker, que por el momento da el pego, pero miedo me da la de errores que haya podido cometer.
#43 Tranquilo compañero. Yo te comprendo.
Y oye, te diré una cosa: el que venga detrás que arree
#43 Vas a flipar con las tablas NAT que rompe Docker.
Con dos cojones, sí señor, menos mal que hay gente que se preocupa gratuitamente de hacer el trabajo de otros. Tantas auditorías de calidad y tanta polla, hombreya
#51 sé con quien hablo. Yo he desarrollado aplicaciones para vehículo conectado, he trabajado mucho con CAN, sé lo que es hacer ingeniería inversa a tramas CAN, y lo que es meter un errorframe en el bus y reventar todo. Me he tirado horas en boxes intentando encender un intermitente inyectando directamente al bus, y no a través de una interfaz OBD, que es algo muy semejante a lo que usa la TGU para conectarse.
Edito: Y precisamente porque sé con quien hablo, empecé mi comentario con un "con todo el respeto". Y precisamente porque sé con quien hablo, si el muchacho viene y nos dice que ha sido capaz de escribir en CAN a través de la TGU, me callo, le pido perdón, y me maravillaré muy sinceramente de su habilidad.
#54 No puedo decirte yo con quién hablás, pero si te dice que lo hizo, creele.
No es de las personas que sacan pecho ante el menor acierto.
#54 Por otras noticias que he leído de hackeos a vehiculos, en algunos casos, no sé si este es así, el problema reside en que no separan el CAN del resto, y por eso se llega a escribir en el violando la seguridad de por ejemplo, el navegador. Aunque hablo desde la ignorancia, lo mismo me estoy equivocando.
Dependerá del fabricante.
Si hubiera sido gitano bien que hubieran insistido algunos en que se citase en el artículo.
(lamento el calzador, es que tengo el día tontorrón con este asunto)
Que el dispositivo esté conectado al contacto del vehículo no quiere decir que se pueda poner en marcha el motor remotamente. Se trata simplemente de una entrada digital que indica si el motor está parado o en marcha (en este caso la tensión que entra por el pin "Ignition" es 24V y, por tanto, se determina que el motor está en marcha). Se suele hacer para modificar la frecuencia de envío de datos al servidor; si está en marcha se envía cada pocos segundos y con el motor parado no interesa consumir tantos datos porque se supone que no hay movimiento.
Sí podría ser posible inhibir el arranque del camión, ya que es práctica habitual que se controle un relé a través de una salida digital para inhibir el motor de arranque. En ningún caso el camión se parará si está circulando, sólo que si se apaga el motor ya no será posible volver a encenderlo porque no se produce la "chispa" al girar la llave.
#44 Muy interesante lo que cuentas, desafortunadamente no tengo un c4max o otro tgu similar de los que van sin password para comprobar nada. Yo, dentro de la legalidad me detuve inmediatamente al ver que podía entrar sin contraseña y que eso parecia un sistema crítico de algún tipo. Obviamente la curiosidad me mata y me hubiese gustado hacer mil pruebas, pero esos sistemas no son mios y eso va a misa.
#49 Lo realmente grave en este caso es que puedes acceder al CANBus del vehículo (en camiones y buses en que esté conectado, claro). Esto es ya de por sí grave porque puedes acceder a información sensible como número de bastidor, tarjeta de conductor insertada en el tacógrafo y demás, pero es más que probable que en muchos casos el acceso al CANBus esté configurado en modo lectura/escritura...
#44 "chispa" en el motor diesel de un camión. Cuéntanos más
Mira si ahora sale un artículo por ahí diciendo que lo llevan los furgones blindados de trasporte de pasta
Los Simpson siempre nos llevarán siglos de ventaja.
¿Un pavo que juanquea camiones? ¿Relacionada?
El mismo camión cargado de naranjas se atasca en los montes riojanos por segunda vez
El mismo camión cargado de naranjas se atasca en l...
radioharo.comSabiendo por donde está circulando un camión se puede planificar mejor su robo. La semana pasada o hace dos semanas emergió el tema de los robos de los camiones, en la agenda mediática. Igual a cuenta del reportaje de equipo de investigación.
Aparte me he acordado de esta historia de los terroristas que envian sus armas en multiples contenedores y entonces les dicen donde pueden recuperarlas (ahora pueden saber por donde viajan para interceptarlos)
Francia prohíbe la venta de combustibles domésticos para evitar bombas caseras/c11#c-11
Aparte la clásica diferencia entre security y safety.
El accidente del Airbus A400M se produjo por un problema de sofware[DE]/c118#c-118
Hay un libro de Stephen King, ahora no recuerdo el título, que casi prevé esto.
Pronto hackerán hasta los patinetes
Es mas facil denunciar a los investigadores que establecer unas normas de seguridad y exigir que se cumplan para poder vender un producto. Igual que las normas que regulan las emisiones de radiofrecuencia por ejemplo. (Si, estan las ISO27011 y derivadas, pero solo son guías)
Pero claro, eso de dar atribuciones a los informaticos ya tal...
Miradlo por el lado bueno, para los que nos dedicamos a la seguridad de las tic va a ser divertido encender y apagar las luces del vecino/a a deshoras. O subirle la temperatura del aire acondicionado y al rato subirle las persianas con un par de clicks.
Titular erróneo. No ha descubierto como hackear nada. De hecho él mismo dice que se detuvo al ver qué podía acceder sin contraseña.
Desde es posible que alguien logre hackear el dispositivo y acceder al encendido del camión, o no.
No voto errónea porque es interesante.
#24 100% de acuerdo contigo.
Nos preocupamos de que los ordenadores sean seguros, después tenemos todo tipo de aparatos conectados a Internet con una pésima seguridad, y nos empeñándonos en tener cada día más: Televisiones, termostatos, neveras, lavadoras... eso solo en el hogar.
Un día de estos pasará algo grave.
#73 si, ahí hay router, yo pensaba en casos como éste camión y otros que van con su propio módem y SIM de datos GPRS - 3G - 4G
Lástima que no se haya extendido el botón de autodestrucción, estaría guay.
#1 Autodestruccion masiva, como los lemmings tirándose de los pelos.
Yo cuando hago algún tipo de trabajo informático, intento proteger a los usuarios dentro de lo que da de sí el presupuesto. Por poner un ejemplo que no cuesta nada, nunca guardo las claves sin cifrar de los usuarios. Lo que guardo es un hash, y si el presupuesto da para echar una hora más de currele, uso salt&pepper.
Siempre me ha sorprendido que empresas medianas que ganan millones de euros al año, descuiden tanto la seguridad informática.
#0
El TGU va conectado al sistema central de electrónica del camión", explica. Debemos pues aplicar la imaginación: quien 'hackee' un TGU podría parar de golpe el camión y causar un accidente, mandarle coordenadas GPS falsas para llevarlo a un descampado ...
Bueno, por lo que leo tampoco es que hayas conseguido "parar un camion en la M-30". Afirmar que el acceso a ese dispositivo te da control total del motor, GPS... que no digo que a lo mejor se pueda o segun el modelo, pero vamos..
Y como hacerlo con los trenes del METRO...
ahora a cobrar de la empresa como consultor técnico para no difundir el fallo...
o mandarlo a dónde quisiera
¡Parece divertido!
Esto es como suele suceder. Ya pasó con ethernet. Se desarrolla una cosa, que de momento es solo experimental y tal, que si consigues que funcione algo ya es mucho, y nadie se preocupa por la seguridad. Además que para trastear mientras desarrollas, la seguridad molesta.
Luego, esa chapuza se convierte en un estándard de facto y meter la seguridad después resulta muy complicado.
Lo triste es que meter la seguridad ya de entrada es más que facil. El problema es que los ingenieros que hacen los desarrollos no saben nada de seguridad. La seguridad no es algo evidente o algo que te puedas inventar tu. Hace falta un tio que sepa, hace falta ir a a buscarlo.
Ideal para que dejen los pedidos a tiempo y no se entretengan algunos con las señoras del polígono.
Claro porque eso de avisar al fabricante antes de hacerlo público ya tal
#7 Hola, soy el autor del artículo y me parece sorprendente lo que aquí se está diciendo.
En primer lugar, quiero aclarar que soy una persona aficionada a la seguridad informática que se ha encontrado esto por casualidad y que lo único que ha hecho es denunciarlo publicamente.
Después de la reforma del código penal español es muy complejo como reportar este tipo de cosas. Si me pongo en contacto con el fabricante, se puede considerar que les estoy extorsionando.
Si no me pongo en contacto con el fabricante y no lo publico, basicamente estoy mirando para otro lado, ignorando lo que he descubierto por casualidad por miedo a la ley.
Creo que no habeis entendido que este problema no lo he puesto yo ahí, que yo no me dedico a hackear camiones por internet y que de lo único que soy culpable es de encontrarme esto ahí. Que no he manipulado ningún camión ni nada parecido.
Entonces, basicamente tenemos a un chico normal, aficionado a la seguridad informática, que encuentra un problema que puede afectar a la seguridad vial y que además le preocupa que alguien pueda pensar que le está extorsionando etc.
Al final, después de hablarlo con personas también expertas en seguridad informática, decidí que lo mejor era compartirlo publicamente, y por supuesto, enviar INMEDIATAMENTE un aviso a la empresa, a la vez que lo hacía público, de forma que no hay ningún tipo de extorsión a cambio de la no publicación.
En realidad, es impresionante por que al final de este país se va a ir todo el mundo. Se van los cientificos por que no se entiende su trabajo y no tienen fondos, y al final se van a ir hasta los investigadores en seguridad, cansados de ser perseguidos y criminalizados.
En estados unidos y en todo el mundo se publican papers de seguridad TODOS LOS DIAS y nadie piensa que las personas que los publican sean delincuentes. Es decir, ¿hemos llegado al punto que incluso escribir sobre seguridad es un delito? Pues lo siento, pero voy a seguir investigando y publicando del tema que mas me apasiona. Por supuesto me gustaria que la ley española fuese mas clara sobre todo este tema y que entre todos construyamos un internet mas seguro, pero es muy fácil hablar desde detrás de la barrera... en fin.
De hecho, voy a poneros algunos ejemplo de gente que ha hecho exactamente lo mismo que yo, es decir, encontrar cosas, NO EXPLOTARLAS NI ATACAR A NADIE, y publicarlas para que se conozcan:
http://www.elladodelmal.com/2010/05/shodan-y-ataques-telefonia-voip.html
https://community.rapid7.com/community/metasploit/blog/2012/01/23/video-conferencing-and-self-selecting-targets
etc etc. Entiendo que todos esos tienen que ir también a la carcel, verdad?
#8 cc
Al final va a ser verdad que tenemos lo que nos merecemos, aquí basicamente la gente está defendiendo que escribir libremente sobre seguridad informatica sin hackear a nadie puede ser un delito... en fin.
Entiendo que para vosotros metasploit es una ciberarma y poseerla debería ser tambien delito?
Y por último y me olvidaba: ¿Sabeis lo que realmente NO va a ayudar a mejorar la seguridad de estos dispositivos? CALLARNOS TODOS y mirar para otro lado. Por que no todo el mundo es legal y hay gente que puede usar esto para el mal. Y ocultarlo y callarnos no nos ayuda en nada.
Mas info sobre todo esto:
https://en.wikipedia.org/wiki/Full_disclosure_(computer_security)
Luego podemos hablar de full disclossure responsable (o no responsable) y de como eso encaja o no con la legislación Española. Yo opino que mi única obligación moral es hablar de esto abiertamente para que se arregle y mi única obligación legal es no usarlo contra nadie ni incitar a nadie a hacerlo, de hecho entiendo que publicándolo abiertamente estoy haciendo todo lo contrario: joder a los que conocían esto y lo usaban ya, por que ahora se va a arreglar
#9 ayer mismo salio la noticia de que facebook pago 15k dolares por avisarles de un bug.
#9 Llevas muchos años aquí, deberías saber que aquí son todos cuñados. No te sulfures.
#30 Tú como #26, saliéndote del tiesto a la primera, no hijo no!!!, No nos pidas demasiado a los que puplulamos por aquí.
#9 si no llevas gorro de lana no molas.
Bromas aparte, venía a decír que en cualquier país del norte de Europa, vamos, medianamente civilizado, esto se premiaría con un trabajo de lujo y con sueldazo pero que aquí en Ejpaña las cosas no son así pero vista tu explicación, me callo y aprendo.
Ánimo
#9 No te dejes trollear 🍺 , ¡enhorabuena!
#9 Dios mío... nos vamos a quedar en un país de usuarios de menéame!!! NOOOOOO!!!!!
Por cierto, enhorabuena por tu trabajo Y no les pidas demasiado a los que pululan por aquí
#8 Ya te lo explica en #9: podrían decir que es una forma de extorsión.
#9 Con todo el respeto, que tengas acceso al TGU dista un mundo de que puedas escribir en CAN. Todo lo que menciona el artículo de llevar al camión a un descampado es ciencia ficción.
#50 si supieras con quién estás hablando ese comentario lo dejarías para mesa de un bar con tus colegas.
#50 No llevarlo controlándolo tú remotamente, pero si da la casualidad de que tiene conectado un navegador Garmin a través de RS232 podrías enviarle destinos falsos al conductor...
#9 Muchas gracias por ayudar en la seguridad informática.
#9 enviar INMEDIATAMENTE un aviso a la empresa
Como sabrás perfectamente bien, ese email no va a hacer que la empresa vaya corriendo a solucionar nada.
La única forma de conseguir que muevan el culo, repito: la única, es soltar en internet un script que implemente el exploit y que pueda usar hasta mi abuela. Entonces sí que correrán.
#9 y comunicar-lo a la policia / juez y que ellos se lo comuniquen a la empresa sin tenerlo que hacer público?
#9 Aviso formal a la empresa .
#9 Ánimo, este país necesita más profesionales como vosotros y menos ministros.
#9 Buen trabajo No prestes atención a comentarios absurdos. Probablemente sea gente frustrada.
#8 Lo responsable es avisar al fabricante para que lo arreglen, aunque hay que admitir que existe un abismo entre detectar una vulnerabilidad que se le haya pasado por alto al fabricante a que éste no ponga ningún tipo de protección mínima para el acceso a sus sistemas.
#10 Es que el problema es que no hay vulnerabilidad: simplemente los sistemas están ahí.
Tecnicamente no he encontrado ninguna vulnerabilidad, si nos ponemos serios. Y técnicamente tampoco he buscado ninguna vulnerabilidad: me han aparecido en un buscador especializado (shodan).
Lo que está pasando aquí es que los dipositivos industriales están en una carrera hacía el IoT, todo el mundo quiere ser IoT y tener el sello de marketing de decir: "now, with IoT" y no se están planteando absolutamente nada, le enganchan a las cosas un pincho 3g y palante. Entonces no hablamos de VULNERABILIDADES. Hablamos que por DISEÑO, ese aparato acepta conexiones de cualquiera, que nunca ha tenido contraseña y que está diseñado para ser así. De hecho, no hay ningún 'hacking' aquí.
Luego podemos discutir de como los periodistas escriben las cosas, pero entiendo que eso ya no es mi responsabilidad, o eso espero!
#11 Es que lo de las busquedas con shodan es de traca. Ni te imaginas la de sistemas de producción que tienen acceso via vnc sin passwd - yo no he dicho nada -
#14 Y cámaras IP sin desproteger. Es un chiste.
#71 Sin desproteger = Protegidas
#11 Y ahora aún hay muchos cacharros que no están directamente expuestos gracias al NAT. Cuando todo esté conectado direcatmente a Internet con IPv6 nos vamos a reir
#18 Lo que en IPV4 se filtraba con NAT en IPV6 se puede filtrar con firewall en el router si se quiere, otra cosa es que no se quiera para hacer más fácil el IoT
Y las direcciones MAC tampoco tienen que formar parte de la IP, en Debian la configuración por defecto es no revelar la MAC.
https://www.debian.org/doc/manuals/debian-handbook/sect.ipv6.es.html
#55 ¿en qué router si tienen su propia SIM y se conectan a Internet directamente y no a través de un APN controlado?
Pregunto sin maldad
#62 Estaba pensando en aparatos domésticos que suben datos a la nube de la empresa de turno, y ahí el wifi creo que es lo más usado con diferencia por el momento.
Por poner un ejemplo, unos aparatos un poquito intrusivos, los medidores de consumo eléctrico que suben datos a la nube del fabricante para analizarlos y te dicen a que hora has puesto el microondas a potencia máxima durante X segundos para calentarte el café, a que hora se ha puesto la lavadora, etc (bueno hay consumos que no adivina de que aparato son pero muchos sí):
http://nergiza.com/mirubee-mirubox-revisamos-el-monitor-de-consumo-definitivo/
A este le va a caer una buena y puede que con razón.
#7 Deberías darle las gracias por destapar agujeros con los que verdaderos hijos de puta podrían fastidiarte pero bien. El hace el trabajo que las empresas deberían hacer con su software. El hace lo que deberíamos hacer todos nosotros, exigir unos minimos de seguridad en el software que nos venden.