Portada
mis comunidades
otras secciones
#11:
#7 son tan estúpidos, que se sienten atacados, no entienden que nadie por curiosidad busque fallos o simplemente quiera saber cómo funciona una aplicación, un protocolo, un sistema, etc.
Partiendo de eso para ellos el hacker siempre es un atacante, y no a alguien que quiere ayudarles a evitar que "los malos" exploten el fallo.
Y sí, la solución siempre es notificar anónimamente, ni siquiera hacerlo a través de terceros sirve, así que notificación anónima y privada indicando el plazo en el que se hará público lo solucionen o no, si no se pone este plazo lo ignorarán. Cumplido el plazo notificarlo anonima y públicamente.
Partiendo de eso para ellos el hacker siempre es un atacante, y no a alguien que quiere ayudarles a evitar que "los malos" exploten el fallo.
Y sí, la solución siempre es notificar anónimamente, ni siquiera hacerlo a través de terceros sirve, así que notificación anónima y privada indicando el plazo en el que se hará público lo solucionen o no, si no se pone este plazo lo ignorarán. Cumplido el plazo notificarlo anonima y públicamente.
#9:
Tranquilo que el próximo fallo de seguridad no lo va a publicar. Lo va a vender.
#49:
#c-24" class="content-link" style="color: rgb(, , )" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment//order/24">#24 ¿Conoces SDRSHARP#?
Muchas redes Tetra se montan sin cifrar.Con un escaner barato solo escucharás la portadora y las tramas.
Hoy en día nadie decodifica Tetra o DMR con un escaner.Todo está al alcance de tu mano con rtlsdr en un pc.
Conozco un caso curioso. Una policía local de una ciudad de Castilla y León se gastó una pasta para montar la red digital.
Pasaron años y las comunicaciones no estaban cifradas. Con un escaner de mano/base solo escuchabas "RRRRRRRRRRRRRRRRRRRRRRRRR" Pero ay amigo al meter esa trama en GnuRadio, llegó la sorpresa.
Muchas redes Tetra se montan sin cifrar.Con un escaner barato solo escucharás la portadora y las tramas.
Hoy en día nadie decodifica Tetra o DMR con un escaner.Todo está al alcance de tu mano con rtlsdr en un pc.
Conozco un caso curioso. Una policía local de una ciudad de Castilla y León se gastó una pasta para montar la red digital.
Pasaron años y las comunicaciones no estaban cifradas. Con un escaner de mano/base solo escuchabas "RRRRRRRRRRRRRRRRRRRRRRRRR" Pero ay amigo al meter esa trama en GnuRadio, llegó la sorpresa.
#19:
#13 Pues si ese tio te dice que ventanas son y no te roba pudiendolo hacer, te esta haciendo un favorazo. Tendrias que pegarte muchisimas horas intentando forzarlas tu para saber si son o no son realmente seguras. Si tu en agradecimiento le denuncias a la policia, el siguiente que te venga y descubra una ventana que pueda reventar no te dejara ni los calzoncillos.
#24:
#22 Y decir que le han pillado un terminal radio ( $25 custom device with which he was able to interrupt TETRA ) es como decir que te han pillado un telefono movil. TETRA es un estandar ETSI o IEEE, no me acuerdo... pero bueno, es un estandar de trunk radio que no solo es para la policia o ejercito. Tambien se usa por civiles en multitud de aplicaciones ( de hecho, cada vez que veas a un tio con un walkie profesional, casi puedes jugarte lo que quieras a que es un Tetra ).
El chiste de tetra es que tiene cifrado, autenticacion y otro monton de medidas de seguridad nativas, bastante robustas, pero claro HAY QUE CONFIGURARLAS cuando montas la red tetra. Si este gañan con un chisme de 25 pavos ( un scanner barato ) dice que pillaba el 70% de las comunicaciones en abierto, me da a mi que es que el 70% de los terminales negociaban en abierto y el montaba la frecuencia en el escaner y como no le pedia autenticacion, para alla que iba a oir a los polis. Desde luego no creo que con un escaner barato hubiese podido cargarse la autenticacion de una red tetra. Y ni aunque usara un portatil con el juguete para darle un poco de fuerza...
Creo que los chismes mas modernos tiran de cifrado AES256 y autentica en tres niveles anidados ( terminal, link y grupo ) vamos, que necesitas mucho equipo para intentar pescar algo en una red securizada de esa manera ( y suerte ).
El chiste de tetra es que tiene cifrado, autenticacion y otro monton de medidas de seguridad nativas, bastante robustas, pero claro HAY QUE CONFIGURARLAS cuando montas la red tetra. Si este gañan con un chisme de 25 pavos ( un scanner barato ) dice que pillaba el 70% de las comunicaciones en abierto, me da a mi que es que el 70% de los terminales negociaban en abierto y el montaba la frecuencia en el escaner y como no le pedia autenticacion, para alla que iba a oir a los polis. Desde luego no creo que con un escaner barato hubiese podido cargarse la autenticacion de una red tetra. Y ni aunque usara un portatil con el juguete para darle un poco de fuerza...
Creo que los chismes mas modernos tiran de cifrado AES256 y autentica en tres niveles anidados ( terminal, link y grupo ) vamos, que necesitas mucho equipo para intentar pescar algo en una red securizada de esa manera ( y suerte ).
Comentarios
Tranquilo que el próximo fallo de seguridad no lo va a publicar. Lo va a vender.
#9 Y entonces irá a la cárcel, lo tienen todo friamente calculado...
#14 Si lo pillan.
#14 Si en vez de comunicarlo con su identidad real, hubiese empezado por venderlo de forma anónima, no le pillaban.
El fallo fue publicarlo después de haberse identificado.
#16 Tetra que fallo descubre, no es fallo, no elucubre
En la cara no, por favor
#17 y yo pensando en los peces...
Hay tetras, hay meneo
#10 Vaya tetras! [ · ][ · ]
#16 Hay que esperar cuando llegan esos discos duras de varios tetras al mercado.
#10 Alguien me llama?
Menuda justicia...
El siguiente que encuentre algun bug de estos, ya sabe lo que tiene que hacer, entrar en thor y...
#6 Supongo que es lo que "buscan", que el próximo lo venda o directamente lo use... total si lo descubren el resultado es el mismo...
Lo que sí espero que el que lo use, los joda bien... por gilipollas.
#7 son tan estúpidos, que se sienten atacados, no entienden que nadie por curiosidad busque fallos o simplemente quiera saber cómo funciona una aplicación, un protocolo, un sistema, etc.
Partiendo de eso para ellos el hacker siempre es un atacante, y no a alguien que quiere ayudarles a evitar que "los malos" exploten el fallo.
Y sí, la solución siempre es notificar anónimamente, ni siquiera hacerlo a través de terceros sirve, así que notificación anónima y privada indicando el plazo en el que se hará público lo solucionen o no, si no se pone este plazo lo ignorarán. Cumplido el plazo notificarlo anonima y públicamente.
#11 Da igual, viendo lo de la "cupula española de Anonymous" queda claro el pobre nivel técnico y forma de pensar que tienen los responsable de seguridad informatica de los gobiernos. El mensaje queda claro, ni blanco, ni gris, ni negro, todos al mismo saco.
Con esto van a conseguir que muchos sombreros blancos y grises que van por libre y precisamente por eso tienen tiempo para investigar lo que les da la gana, dejen de querer ir de buenos samaritanos y coloquen sus zerodays donde mejor les paguen o los posteen de forma anonima en foros hackers, con lo que las empresas van a sudar sangre para parchear todo contrareloj, y eso si se enteran.
Ademas, en general la industria de la seguridad informatica, donde curran los hacker legales, esta cada vez gobernada en mas medida por ejecutivos que no tienen formación tecnica y que estan dando mas importancia a los de compliant (ISO y demas zarandajas de auditoria, mucho mas faciles de vender) que el trabajo tecnico de los ingenieros ( pentesters, red/blue teams, etc) ... por lo que ingenieros que puedan sacar en laboratorio zerodays tienen mas carga de curro y hay que tener muchas ganas de ponerte a hacer proyectos en tu casa cuando no das abasto en la oficina.
#6 No lo veo yo tan claro, al final dicen que hasta le pillaron con una placa de policía falsa y con grabaciones de su exjefe, suponiendo que sea cierto no parece tan simple como que le condenan por avisar de un error de configuración.
#8 No dan mucha información, una placa falsa puede ser cualquier cosa y no implica que la use, lo de las grabaciones de su ex-jefe, tampoco creo que tenga nada que ver así que no entro en ello.
A mi esa parte de la noticia simplemente me parece que fueron a por él y sacaron toda la mierda que pudieron para matizar el caso lo máximo posible en su contra.
Eso sí, no descarto que pueda haber más, o que quizás tengan razón en que debiera pedir permiso, etc, etc. Yo tampoco comparto del todo esa filosofía hacker que a veces, y digo a veces, parece entenderse como un "oye, he intentado reventar todas las ventanas de tu casa, y he podido con dos, agradécemelo".
#13 Pues si ese tio te dice que ventanas son y no te roba pudiendolo hacer, te esta haciendo un favorazo. Tendrias que pegarte muchisimas horas intentando forzarlas tu para saber si son o no son realmente seguras. Si tu en agradecimiento le denuncias a la policia, el siguiente que te venga y descubra una ventana que pueda reventar no te dejara ni los calzoncillos.
#19 Por no hablar de que es una ventana hipotética, no tiene coste ninguno el que a un hacker le dé por poner a prueba tu seguridad.
#27 No tiene porque, en algunos casos será así, en otros no.
#19 Al final del todo depende, no me hagas escribir en mayúsculas que dije "A VECES PARECE DECIR QUE [...]", no es lo mismo para todos los casos.
Así como bien dicen algunos la próxima vez podría vender la información, así que es muy cómodo que si te pillan decir que eras un hacker bueno e ibas a avisar, así que tienes un ladrón que intenta forzar todas tus puertas, en algunos casos los daños pueden ser reales, y si le pillan dice que no, que era por tu bien.
Repito, esta vez añado las mayúsculas porque sino parece que no se notan matices importantes. Al final DEPENDE de CADA CASO.
#13 no. Cuando entras en un sistema no rompes nada. En teoría no tocaría reemplazar nada. Un símil sería un tío que te dice que tu puerta de casa se puede abrir dando 2 toques suaves, 3 fuertes, hacer el pinopuente y empujando la puerta con el meñique del pie en la parte alta derecha. No te ha dañado la puerta y no te ha robado nada pero te lo avisa.
#31 No tiene porque, aunque no niego que la mayoría de los veces sea así, pero dependiendo del caso también es posible que estés cometiendo otros crímenes. Si yo dejo las ventanas abiertas nadie tiene porque entrar en mi casa, y mirar por todas partes si hay algo que "robar", pero solo para avisarme.
Tampoco olvidemos que la ocasión hace al ladrón. Y como dije, que parecéis analfabetos, ALGUNAS VECES parece que la filosofía hacker quiere decir eso. Al final DEPENDE de CADA CASO PARTICULAR.
#8 no sería la primera ni la última vez que una institución pública plantase pruebas falsas
#8 Placas de policia las encuentras en cualquier tienda de disfraces y en ocasiones hasta en los sexshops.
#22 Y decir que le han pillado un terminal radio ( $25 custom device with which he was able to interrupt TETRA ) es como decir que te han pillado un telefono movil. TETRA es un estandar ETSI o IEEE, no me acuerdo... pero bueno, es un estandar de trunk radio que no solo es para la policia o ejercito. Tambien se usa por civiles en multitud de aplicaciones ( de hecho, cada vez que veas a un tio con un walkie profesional, casi puedes jugarte lo que quieras a que es un Tetra ).
El chiste de tetra es que tiene cifrado, autenticacion y otro monton de medidas de seguridad nativas, bastante robustas, pero claro HAY QUE CONFIGURARLAS cuando montas la red tetra. Si este gañan con un chisme de 25 pavos ( un scanner barato ) dice que pillaba el 70% de las comunicaciones en abierto, me da a mi que es que el 70% de los terminales negociaban en abierto y el montaba la frecuencia en el escaner y como no le pedia autenticacion, para alla que iba a oir a los polis. Desde luego no creo que con un escaner barato hubiese podido cargarse la autenticacion de una red tetra. Y ni aunque usara un portatil con el juguete para darle un poco de fuerza...
Creo que los chismes mas modernos tiran de cifrado AES256 y autentica en tres niveles anidados ( terminal, link y grupo ) vamos, que necesitas mucho equipo para intentar pescar algo en una red securizada de esa manera ( y suerte ).
#c-24" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/2621573/order/24">#24 ¿Conoces SDRSHARP#?
Muchas redes Tetra se montan sin cifrar.Con un escaner barato solo escucharás la portadora y las tramas.
Hoy en día nadie decodifica Tetra o DMR con un escaner.Todo está al alcance de tu mano con rtlsdr en un pc.
Conozco un caso curioso. Una policía local de una ciudad de Castilla y León se gastó una pasta para montar la red digital.
Pasaron años y las comunicaciones no estaban cifradas. Con un escaner de mano/base solo escuchabas "RRRRRRRRRRRRRRRRRRRRRRRRR" Pero ay amigo al meter esa trama en GnuRadio, llegó la sorpresa.
#49 Estoy muy oxidado en radio como se puede ver. Le he echado un vistazo al tema de SDR y como diria mi abuelo, los tiempos avanzan que es una barbaridad. Por 10 pavos he visto decoders que unidos al software SDR hacen virguerias. Y rebuscando he encontrado un articulo tecnico sobre el asunto en que se confirma el uso por el chico de un SDR y la conjetura de que emitian en abierto porque no habian configurado ningun cifrado. Gracias por los apuntes RoB.
#49 #24 Para cosas serias se usa Tetrapol. Que parece parecido a Tetra por el nombre pero ni de coña.
El Tetra en España lo usan los polis locales. Es un trunking que casi nunca va cifrado. Protocolo de Motorola por el que cobran una pasta al año en regalías que se acaba de dejar de pagar y listo.
En los 90 cogíamos a los nacionales en limpio con los escáneres, y era época de ETA, en Donosti y no pasaba nada: lápiz, ojo uno y otoño cerrado. Te acababas aprendiendo sus claves.
Y algún día hablamos del Pocsag de los buscas pasando las matrículas en limpio de protegidos. Con zona de salida y dirección. Si no pasó más es porque los de la txapela no estaban muy puestos en esto.
#6 #6 "entrar en thor y..."
Mariconadas no, hoye.
No le han condenado por revelar el fallo del protocolo, le han condenado por poner en evidencia lo inutiles que son los funcionarios que lo llevan.
#25 Sí, se creen que actuando con la ley de manera troglodita harán que la comunidad hacker se acojone.
Bueno niños, ya sabeis si descubris algo darlo a conocer con mucha precaucion , no sea que os echen la culpa de querer ayudar.
#12 A poder ser, de forma anónima y a cambio de dinero. Que se jodan por imbéciles.
Si se rompe la seguridad en Tetra, ¿entonces hablamos de un... tetra-break?
#29 Y si lo rompe un Freak, hablamos de mí.
Vale. Ya me voy. SIN EMPUJAR!
* entradilla: "un estudiante eslovaco"
* etiqueta: "eslovenos"
* conclusión: corrige lo que esté mal (probablemente la etiqueta)
#1 uy, perdón.
Por otro lado ¿Es dupe? No la vi... ¿Cuál?
#2 La verdad es que la tuya ofrece más información y corrige a las anteriores...
Relacionada?
Ps: con estos comportamientos cada vez queda más claro cómo de obsoleta se está quedando la policía y otros organismos estatales en materia de ciberseguridad.
Al final vamos a tener que volver a las ciberturbas furiosas
Así que no era un "bug", era una "feature".
Matan al mensajero para variar
Es tiempo de interiorizar que castigando el genio no vamos para ninguna parte. La ingeniería del software no puede prescindir de gente tan capaz como este hacker.
#23 No, es tiempo de interiorizar que los responsables llevan cientos si no miles de años sin terminar de interiorizar que castigando al genio no vamos a ninguna parte, y que lo más probable es que nunca terminen de hacerlo.
#0 Es esloveno...
#4 Me lié bien liado... gracias.
#70 de acuerdo.
#66 se condena para reinsertar a la sociedad no como castigo.
#69 No, no entiendo porque siempre sale este tema se cae en un "la parte por el todo". Se condena por muchas razones y no diría que la reinserción sea la principal de ellas, pero vamos, tampoco voy a dedicarme a discutirlo.
Es logico que lo deban sancionar de alguna forma.
Aun cuando aqui muchos no entendáis de logicas y sentido comun, y solo veais conspiraciones y extrañas cábalas.
La realidad es que si no proceden a su castigo, se arriesgan a crear un precedente que sirva a otros, peor intencionados, a "urgar" en la seguridad de cualquier sistema, y que al ser pillados pongan como excusa sus buenas intenciones, y que solo estaban buscando debilidades en el sistema.
Por que aunque no os lo creais, existen las malas personas y la "mala fe".
No siempre es el gobierno y autoridades los malos malisimos, a veces otros que compran placas falsas van con mala idea, por muy "inocente" que os pueda parecer.
#32 Tienrs razón. Dados los precedentes lo proximo será que se venda la vulnerabilidad por 100000 o 200000 en el mercado negro y que no se entere ni dios. Ojos que no ven...
Así, todos felices.
#34 pues no sabes la cantidad de dinero que mueven los datos y las amenazas de vulnerabilidad, y no es rollo!!.
#36 Precisamente eso es lo que favorecen con esa actitud. Si hubiera vendido el fallo tendría más pasta y menos problemas legales. Y la policía feliz pensando que utiliza un sistema seguro.
#37 que si, pero que no. Que no pueden dejar sin castigo la intromision , por que da pie a nuevas intromisiones. Por muy buenas intenciones que tenga el chaval, la reslidad es que han de protegerse y protegernos asi. O mañana entran en tu red y dicen que estaban probando la seguridad de tu red ( por poner un ejemplo tonto, no me pegues!!)
#38 Si alguien puede entrar en mi red, prefiero que me avise a que no lo haga.
Si mi red es vulnerable, prefiero saberlo.
#39 creo que no he sabido explicarme. Si pillas a uno, y no dices nada por que asegura que esta probando tu seguridad, el resto de "listos" que vayan con otras intenciones te podra dar la misma excusa y tendras que creertelo.
#42 "Pillas a uno"?. Pero si fué él mismo quien les avisó!
#44 que siiii... Da igual, no consigo hacerme entender. Olvidalo todo.
#45 No, lo que no entiendes es que hay una diferencia entre "pillar a alguien que intenta putearte" y "romperle la cara a alguien que intenta ayudarte".
Haciendo lo segundo, consigues que la gente no quiera ayudarte, y en cambio que sí quieran putearte.
#56 Eso sería como si estás fumando y alguien decide "ayudarte" disparandole agua a la cara para apagar un cigarillo. No entiendo porque piensas que cualquiera puede "imponer" su ayuda "no requerida" a otros, y espera que encima le den las gracias.
#65 Salvo porque informar no es lo mismo que atacar, y porque los cuerpos de seguridad están la servicio del ciudadano y es su deber cuidar de, precisamente, la seguridad... pues a lo mejor tienes razón, a lo mejor el tío tenía que haberles denunciado por putos inútiles en vez de "imponer" su ayuda "no requerida" a otros.
Igual que ahora si ves a alguien fumando en un bar, no hay que ayudarle informándole de que eso es malo para su salud, sino directamente llamar a la policía y que le claven una multa a él y al del bar.
Si es que, hablando se entiende la gente, pero claramente con algunos no hay forma de entenderse.
#73 Sí, hablando se entiende la gente, pero si quieres defender un punto extremo sin ánimo de llegar a ningún acuerdo, no se va a entender nadie. Al final esto no es tan simple como avisar, y aunque idealmente estaría de acuerdo, ya menciono en otros comentarios que el tema es mucho más complicado de que pasaba por allí y aviso.
De todas formas, si no nos vamos a entender, pues tampoco sigo intentándolo.
#74 El tema no es nada complicado:
* Tío analiza sistema de seguridad junto con otros 25 compañeros de facultad
* Tío descubre fallo de seguridad en el sistema, e informa de ellos a las autoridades
* Las autoridades se tocan las pelotas durante 2 años
* Tío se harta de que las autoridades de su país sean unas putas inútiles, y hace público el fallo
* Al mismo día siguiente, las autoridades de repente consiguen corregir el fallo como por arte de magia
* ...y entonces deciden denunciarle por haber atacado su red 2 años atrás, hacer una revisión en su domicilio, y todo lo demás.
Eso se llama cabronada simple y pura, no tiene vuelta de hoja.
#75 Sí, es mucho más complicado, pero ya lo solucionaste tu, así que no tengo nada que decir. Realmente hablando no se entiende la gente porque hay muchas personas dispuestas a no querer más allá de lo que quieren ver.
#38 el condenar a alguien esperando un efecto disuasorio ya se ha visto que no funciona.
#46 Yo diría que sí funciona, en gran medida en eso se basan las leyes y es mucho mejor que no condenar a nadie.
#36 pues por eso mismo no hay que penar al que te ayuda a ponerle trabas a ese mercado
#41 es una situacion muy interpretable. Aqui damos por sentado que "to er mundo es weno" y no quieren hacer daño. La realidad es otra y por uno que diga ir con buenas intenciones, no puedes arriesgarte a repetir "hazañas" y creerte siempre sus buenas intenciones.
#43 si alguien va con malas intenciones, es muy tonto si le dice a la policía donde ha encontrado el error. Así que a los que reportan, habría que reconocer les el aporte, no criminalizarles.
#32 claro, porque a un blackhat hay que darle ejemplos de que hay una cosa que se llama cyberseguridad y que puede ser vulnerable en ciertos sitios.
Si hay alguien mal intencionado, urgará sin que nadie le tenga que decir nada. Y la policía siempre será un buen candidato para recibir ataques.
#32
El chico no debe ser sancionado de ninguna forma, porque no hay delito. Y tu comentario es muy triste... porfavor papa gobierno, dame seguridad aunque me quites todos mis derechos. Aqui conspiracion ninguna, son hechos contantes y sonantes, solo hay que leer el BOE ( y si ya te lees las leyes USA flipas aun mas ).
1º El chaval no ha roto ningun sistema, solo ha escuchado algo que estaba ahi. Apuesto a que el y muchos miles mas.
1A Emitian en abierto. El chico sintonizo su frecuencia y tuvo el detalle de estar dos putos años avisandoles antes de postear no una vulnerabilidad, sino una desconfiguracion, desconfiguracion que por cierto las mafias seguro que tenian localizada desde el principio permitiendoles controlar las comunicaciones de la policia.
1B El espacio radioelectrico es público. Si emites y no cifras te jodes. Es como si pones la wifi de tu casa en abierto y te quejas de que tus vecinos se conecten a tu red.
2º Es mejor que sea un nacional tuyo el que hurgue en el sistema y que avise a que lo haga un bureau de hackers de una agencia de inteligencia extranjera o técnicos de una organizacion criminal.
A los unicos que hay que sancionar es al ingeniero que les haya montado el Tetra por dejar semejante brecha de seguridad y a la policia eslovena por detencion ilegal.
#32 No pienso que sea tan lógico, pero los hackers de verdad suelen tener bastante claro hasta donde pueden llegar legalmente, interceptar comunicaciones ajenas no lo es. Además, es cierto cualquiera puede hacer algo similar para descubrir fallos, espiar, venderlos, y luego encima cubrirse en salud avisando poco tiempo después para cubrirse en salud.
Me parece normal que a partir de cierto punto, como mínimo tengas que pedir permiso. Dicho eso, también creo que esto es más o una venganza, o una arbitrariedad legal.
Nunca es buena idea dejar en evidencia a vagos e incompetentes con poder.
#35 "Nunca es buena idea dejarse pillar dejando en evidencia a vagos e incompetentes con poder."
FTFY
Bueno, algo más hizo:
"The police also discovered a fake police badge, then the situation became more complex."
"The analysis of the Ornig’s computer revealed the presence of illegitimately recording his former employer"
#48 Pero en principio eso no tiene nada que ver, como si a ti te registran por pornografía infantil, no encuentran nada, y dicen que tenías una mascara de anonymous y películas sin devolver de un blockbuster. Y luego dice alguien que sí, algo hiciste...
Código 343: Hacer ver la estupidez de la policía
#33 Matar a todos los jedi? ah, no ese era otro.