Portada
Hace 11 años | Por hovercraft85 a elmundo.es
Publicado hace 11 años por hovercraft85 a elmundo.es
Los datos críticos en las máquinas de Metro de Madrid o de Renfe muestran una grave vulnerabilidad

Los datos críticos en las máquinas de Metro de Madrid o de Renfe muestran una grave vulnerabilidad

 elmundo.es

¿Es seguro -o más bien inseguro- comprar un billete de Renfe en una de sus máquinas Auto check-in? ¿Y en las máquinas del Metro de Madrid? El joven matemático informático Alberto García Illera ha mostrado en la conferencia de 'hackers' DefCon de Las Vegas hasta qué punto son vulnerables estos sistemas. Y lo son.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 9.4k 31

Comentarios

D

El software "publico" que tenemos en España tiene una calidad que ni se puede considerar que tenga calidad. Prácticamente todo el software esta realizado por grandes consultoras, las cuales destinan a sus becarios mas baratos para realizarlo, mientras los altos cargos se llevan el dinero publico y no precisamente poco.

Hasta que un día pase una desgracia de verdad no se va a cambiar este concepto de realizar software, lo coherente seria tener ingenieros funcionarios dedicados a este tema que ademas pueden trabajar en sistemas libres (y de paso ahorrarnos una tonelada de millones en licencias). Actualmente ya existe este puesto pero no deja de ser anecdotico por que son menos que los inspectores de Hacienda.

V 38
K 322
Gaeddal

#2 lo coherente seria tener ingenieros funcionarios dedicados a este tema

Haberlos, haylos. El problema es que normalmente se dedican a reinventar la rueda que ordene el político de turno.

¿Solución? Una clausulita que imponga una penalización brutal a la empresa externa que te monte un sistema con fallos (y más si son de seguridad). Es bien simple, pero no caerá esa breva.

¡Que coño! La vida son dos días: entre un software bien hecho y este maletín tan brillante, pues no sé...

V 6
K 57
D

#2 Yo conozco a unos cuantos ingenieros funcionarios... los que subcontratan empresas para que hagan su trabajo.

V 1
K 20
m

- Paco ¿Esto como dices que se hace?
- Jose, ya te he dicho que siguiente, siguiente, siguietne, y OK.
- Gracias Paco, como molaba el curso del INEM de 100 horas de seguridad informática.
- Te digo, ahora somos unos juankers de la muerte por eso nos ponen a instalar estas cosas, por cierto ¿qué cojones estamos instalando?
- Creo que es una máquina de refrescos y bollitos.
- Joder como se estiran los de Renfe... a no, que puedes usar tarjeta de crédito ¿cuanto cuesta un donnut ahora?
- Ni puta idea, con mis sueldo de becario de 400 laureles al mes no me da. Que raro suena becario con 50 años...

Fijo que no me quedo muy lejos de la realidad.

V 21
K 194
te_digo_que_no

#3 Jajajaja

Pues no se si te acercas, yo desde luego no he conocido becarios de 50 anhos en empresas de informatica. Si que es verdad que las aplicaciones se suelen testear bastante poco, aunque eso depende de la seriedad de la empresa. Ademas los tests los hacen los propios desarrolladores.

El codigo lo "pican" normalmente los becarios, eso si suele ser verdad, chavalillos que acaban de salir de la carrera y no saben ni lo que es un iterador. La gente con experiencia normalmente gestiona y habla mas que programa.

Asi salen las mierdas que salen...

V 2
K 23
D

#4 >>> La gente con experiencia normalmente gestiona y habla mas que programa.

Por eso no tienen experiencia. Un programador o esta continuamente dándole al tema o en seis meses se queda fuera.

V 4
K 42
Bapho
editado

#4 El problema no es que el código lo piquen becarios, que también puede serlo. El tema es que no se tiene un equipo especializado en control de la calidad, por lo que, si se prueba algo, que lo dudo, lo hacen los mismos programadores, que de SQA como que saben bien poco.

V 1
K 17
wooldoor

#3 Qué currado lol

V 0
K 15
D
editado

Si en cualquier país a éste se le debería contratar para tratar de mejorar el sistema, lo más seguro que acabe pasando en España es que se le denuncie (por el Gobierno) ante el TS por infracción y estafa contra un elemento público y amenaza de muerte contra la autoridad política correspondiente. 5 años de cárcel y ¡au!. Mientras, el diputado de turno elegido a dedo por el cacique madrileño Botellil, cobrando pluses de I+D+i.

V 19
K 156
skaworld
editado

Lo de los descuentos es hacking de bajo nivel, vamos lleva años rulando por ahí el codigo de barras fotocopiado para sacarte el abono de la tercera edad (cuando pides el abono has de introducir el carnet que no es más que un trozo de papel con un código de barras, si le metes uno modificado te sacas el billete con descuento, eso sí el billete es de diferente color al resto y si te lo cazan te cae la multa) y poco o nada tiene que ver con el software.

Lo que si que me parece raro es el poder acceder desdeun terminal con windows embebido a las cámaras de seguridad... Si no pone fuentes sospecho que el periodista se hizo la picha un lío...

V 6
K 65
Andor

#11 Es que no son windows embebidos, por norma general son Windows XP con mas o menos actualización. Yo he llegado a ver Windows con punteros de ratón personalizados (Alguien recuerda Windows Plus?) instalados en una maquina de billetes de metro...

Y supongo que cada maquina tendrá sus cosas, porque en el caso de Metro Madrid, las hacen al menos 3 fabricantes distintos, Indra y otros dos mas...

V 2
K 26
RojoVelasco

#15 Aun asi, que hacen en el mismo dominio que las camarás de seguridad?

V 1
K 18
Bapho

#16 Desde luego los administradores de red se han lucido en este caso.

V 0
K 9
e

#11 ¿Sabes como se puede conseguir el código de barras para conseguir el abono de la tercera edad? De pasar de 77€ a 11€ por el abono B3 hay una diferencia notable aunque me pillarán...

V 2
K 13
skaworld

#24 Sin querer ser ofensivo, pero como me ha tocado empadronarme en Madrid y pagar impuestos aquí para poder tener la tarjeta sanitaria, no me siento muy cómodo con el hecho de facilitar a la gente el poder defraudar en un servicio público (además de que de externo si pero yo también trabajo para uno).

Se lo del despilfarro de la casta y todas esas cosas, no tienes porqué darme las excusas que me las conozco, pero quizá esa diferencia de 77 a 11 sea la que mañana haga cerrar definitivamente el sistema público de salud de la seguridad social.

Si realmente no puedes permitirte el abono y lo necesitas solo puedo decir que rulaba por la facultad de industriales de la politécnica (y hablo de hace ya unos 4 años) quizá puedas encontrar a alguien q te lo pase, yo en su dia no quise saber nada de ello y con tus disculpas sigo sin querer saber del tema, me resultó curioso en su momento y por eso me acuerdo, pero ahí se acaba la cosa.

El país ya está lo suficintemente mal como para ahogar aún más la recaudación de las instituciones públicas que son de TODOS.

V 2
K 26
e

#25 Ok, lo entiendo perfectamente.

V 1
K 20
ann_pe
editado

#11 Eso en Cercanías lo han resuelto por las bravas, quitando la posibilidad de comprar billetes con descuento desde las máquinas, eso teniendo en cuenta que cada vez hay menos taquillas, que no se puede comprar billete dentro del tren y que para que reintegren la diferencia del importe te tienes que pasar por una estación con taquilla abierta en un corto plazo.... resultado: se joden los usuarios de Tarjeta Dorada, muerto el perro se acabó la rabia

V 1
K 20
D

Interesante como empieza el articulo diciendo que ha enseñado unos vídeos que luego al final del articulo dice que no ha querido dar... Cuando en esas conferencias se graba todo...

V 5
K 50
Bapho
editado

Normal, yo me dedico al control de calidad de software y es algo casi inexistente en este país. No se considera importante gastar dinero en un buen equipo de control de calidad del proceso de desarrollo. En finx.

V 4
K 44
AsK0S1t10

#9 Totalmente de acuerdo, en software a medida el control lo hacen.... los propios usuarios.

V 0
K 9
Aladaris

Un hacker de los de verdad; de los que no revelan el exploit hasta que lo solucionen

V 2
K 27
zaklyuchonny

Sin videos no hay meneo.

V 1
K 16
D

Yo le juakeo la tarjeta de parkin de un garaje en Bilbao con cinta de casette pegada en una cartulina y grabada con el cabezal de un walkman de los 80 al que le hago warrindongadas desde mi portatil 00101100110101010101000001111 JUAKAJUAKAJUAKAKAKAKAKAK
Es cuestión de ser imaginativo sin q tu cerebro implosione por ello

V 1
K 13
Candidatas
38
meneos
actualidad Adriana Lastra abre la puerta a no acudir a Covadonga el Día de Asturias por los discursos "ultraderechistas" del Arzobispo
23
meneos
cultura El oso de ámbar de Słupsk, un excepcional amuleto prehistórico
23
meneos
actualidad El PP ordenó a la Policía requisar ordenadores del Ayuntamiento de Ronda sin existir orden judicial
26
meneos
actualidad Presos amontonados en el suelo y en las letrinas, heridos sin tratar y muertos a diario: así es la vida en la mayor cárcel del Congo
44
meneos
actualidad El Gobierno de Ayuso ignoró una inspección de Hacienda sobre uno de los centros de FP reformados ilegalmente
30
meneos
actualidad Reino Unido dice 'basta' al trato de España a los militares en Gibraltar sin el carné rojo
28
meneos
actualidad ¿Qué debo hacer si me pica una garrapata?
18
meneos
actualidad “Me arrepiento de ser un narco arrepentido”: Así vive Manuel Padín, el testigo que desató la operación Nécora y cuyo apellido ha inspirado la serie ‘Clanes’
29
meneos
actualidad Dimite la jefa del Servicio Secreto de EEUU por los errores en el atentado contra Trump
31
meneos
actualidad El Ayuntamiento de A Coruña declara la emergencia sanitaria en la ciudad tras un mes de huelga en la recogida de la basura
27
meneos
actualidad Olimpiadas: la indignación por el deportista neerlandés que fue condenado por violar a una niña de 12 años y que participará en los Juegos Olímpicos de París
19
meneos
ocio El TAD abre expediente a Javier Tebas tras una denuncia de Florentino Pérez
25
meneos
actualidad Un turista agrede al ladrón que intentó robarle la cartera en Tenerife
D
editado

Claro ejemplo es la mierda web de renfe. Esta claro que alguno se ha llevado la pasta calentita mientras se ha contratado a hordas de becarios y se les ha dicho que hagan lo que pone en una servilleta de bar usada.

De todos modos, me imagino por donde pueden ir los tiros:

Haciendo click en determinado sitio consigues salir a windows, teclado en pantalla y zas...

O bien como estan basadas en windows, haciendo esto y sacando la IP del terminal, explotar alguna vulnerabilidad de windows, pincharse a la red local o lo que sea...

Ira por ahi.

Que vamos, tampoco es que se sea.... vamos, que encontrar fallos en software español es mas facil que no encontrarlos

V 0
K 9
melencho

#19 11,5 millones de euros no bastan para hacer una web decente, la vergüenza nacional de Renfe.es

Hace 15 años | Por torpedo a loogic.com
Publicado hace 15 años por torpedo a loogic.com

11,5 millones de euros no bastan para hacer una we...

 loogic.com


Con semejante mandanga de web uno puede esperar algo parecido del sistema de Auto Check in...

V 0
K 6
B.Macklin

#19 Ya ves, esto es más viejo que el cagar...

V 0
K 8
D

#19 Para ir a la defcon hace falta algo más que saltarse las restricciones de input de un kiosko...

V 1
K 17
z

#0 No será al revés?? "Una grave vulnerabilidad muestra datos críticos en las máquinas de Metro de Madrid y Renfe", o son los datos los que hacen que la vulnerabilidad salte?

V 0
K 9
hovercraft85
autor
editado

#26 Totalmente de acuerdo, me salió un titular que no lo entiende ni su abuela. Creo que eres el primero que protestas

V 0
K 17
L

Y qué me decís de los que usan billetes del metro untados con pegamento para reventarles la máquina lectora de billetes de metro? A la gente se le ocurre unas ideas!

V 0
K 6
S

Jajajajaja Me desorino!!

V 0
K 6