¿Es seguro -o más bien inseguro- comprar un billete de Renfe en una de sus máquinas Auto check-in? ¿Y en las máquinas del Metro de Madrid? El joven matemático informático Alberto García Illera ha mostrado en la conferencia de 'hackers' DefCon de Las Vegas hasta qué punto son vulnerables estos sistemas. Y lo son.
#2:
El software "publico" que tenemos en España tiene una calidad que ni se puede considerar que tenga calidad. Prácticamente todo el software esta realizado por grandes consultoras, las cuales destinan a sus becarios mas baratos para realizarlo, mientras los altos cargos se llevan el dinero publico y no precisamente poco.
Hasta que un día pase una desgracia de verdad no se va a cambiar este concepto de realizar software, lo coherente seria tener ingenieros funcionarios dedicados a este tema que ademas pueden trabajar en sistemas libres (y de paso ahorrarnos una tonelada de millones en licencias). Actualmente ya existe este puesto pero no deja de ser anecdotico por que son menos que los inspectores de Hacienda.
#3:
- Paco ¿Esto como dices que se hace?
- Jose, ya te he dicho que siguiente, siguiente, siguietne, y OK.
- Gracias Paco, como molaba el curso del INEM de 100 horas de seguridad informática.
- Te digo, ahora somos unos juankers de la muerte por eso nos ponen a instalar estas cosas, por cierto ¿qué cojones estamos instalando?
- Creo que es una máquina de refrescos y bollitos.
- Joder como se estiran los de Renfe... a no, que puedes usar tarjeta de crédito ¿cuanto cuesta un donnut ahora?
- Ni puta idea, con mis sueldo de becario de 400 laureles al mes no me da. Que raro suena becario con 50 años...
Fijo que no me quedo muy lejos de la realidad.
#1:
Si en cualquier país a éste se le debería contratar para tratar de mejorar el sistema, lo más seguro que acabe pasando en España es que se le denuncie (por el Gobierno) ante el TS por infracción y estafa contra un elemento público y amenaza de muerte contra la autoridad política correspondiente. 5 años de cárcel y ¡au!. Mientras, el diputado de turno elegido a dedo por el cacique madrileño Botellil, cobrando pluses de I+D+i.
#11:
Lo de los descuentos es hacking de bajo nivel, vamos lleva años rulando por ahí el codigo de barras fotocopiado para sacarte el abono de la tercera edad (cuando pides el abono has de introducir el carnet que no es más que un trozo de papel con un código de barras, si le metes uno modificado te sacas el billete con descuento, eso sí el billete es de diferente color al resto y si te lo cazan te cae la multa) y poco o nada tiene que ver con el software.
Lo que si que me parece raro es el poder acceder desdeun terminal con windows embebido a las cámaras de seguridad... Si no pone fuentes sospecho que el periodista se hizo la picha un lío...
El software "publico" que tenemos en España tiene una calidad que ni se puede considerar que tenga calidad. Prácticamente todo el software esta realizado por grandes consultoras, las cuales destinan a sus becarios mas baratos para realizarlo, mientras los altos cargos se llevan el dinero publico y no precisamente poco.
Hasta que un día pase una desgracia de verdad no se va a cambiar este concepto de realizar software, lo coherente seria tener ingenieros funcionarios dedicados a este tema que ademas pueden trabajar en sistemas libres (y de paso ahorrarnos una tonelada de millones en licencias). Actualmente ya existe este puesto pero no deja de ser anecdotico por que son menos que los inspectores de Hacienda.
#2lo coherente seria tener ingenieros funcionarios dedicados a este tema
Haberlos, haylos. El problema es que normalmente se dedican a reinventar la rueda que ordene el político de turno.
¿Solución? Una clausulita que imponga una penalización brutal a la empresa externa que te monte un sistema con fallos (y más si son de seguridad). Es bien simple, pero no caerá esa breva.
¡Que coño! La vida son dos días: entre un software bien hecho y este maletín tan brillante, pues no sé...
- Paco ¿Esto como dices que se hace?
- Jose, ya te he dicho que siguiente, siguiente, siguietne, y OK.
- Gracias Paco, como molaba el curso del INEM de 100 horas de seguridad informática.
- Te digo, ahora somos unos juankers de la muerte por eso nos ponen a instalar estas cosas, por cierto ¿qué cojones estamos instalando?
- Creo que es una máquina de refrescos y bollitos.
- Joder como se estiran los de Renfe... a no, que puedes usar tarjeta de crédito ¿cuanto cuesta un donnut ahora?
- Ni puta idea, con mis sueldo de becario de 400 laureles al mes no me da. Que raro suena becario con 50 años...
Pues no se si te acercas, yo desde luego no he conocido becarios de 50 anhos en empresas de informatica. Si que es verdad que las aplicaciones se suelen testear bastante poco, aunque eso depende de la seriedad de la empresa. Ademas los tests los hacen los propios desarrolladores.
El codigo lo "pican" normalmente los becarios, eso si suele ser verdad, chavalillos que acaban de salir de la carrera y no saben ni lo que es un iterador. La gente con experiencia normalmente gestiona y habla mas que programa.
#4 El problema no es que el código lo piquen becarios, que también puede serlo. El tema es que no se tiene un equipo especializado en control de la calidad, por lo que, si se prueba algo, que lo dudo, lo hacen los mismos programadores, que de SQA como que saben bien poco.
Si en cualquier país a éste se le debería contratar para tratar de mejorar el sistema, lo más seguro que acabe pasando en España es que se le denuncie (por el Gobierno) ante el TS por infracción y estafa contra un elemento público y amenaza de muerte contra la autoridad política correspondiente. 5 años de cárcel y ¡au!. Mientras, el diputado de turno elegido a dedo por el cacique madrileño Botellil, cobrando pluses de I+D+i.
Lo de los descuentos es hacking de bajo nivel, vamos lleva años rulando por ahí el codigo de barras fotocopiado para sacarte el abono de la tercera edad (cuando pides el abono has de introducir el carnet que no es más que un trozo de papel con un código de barras, si le metes uno modificado te sacas el billete con descuento, eso sí el billete es de diferente color al resto y si te lo cazan te cae la multa) y poco o nada tiene que ver con el software.
Lo que si que me parece raro es el poder acceder desdeun terminal con windows embebido a las cámaras de seguridad... Si no pone fuentes sospecho que el periodista se hizo la picha un lío...
#11 Es que no son windows embebidos, por norma general son Windows XP con mas o menos actualización. Yo he llegado a ver Windows con punteros de ratón personalizados (Alguien recuerda Windows Plus?) instalados en una maquina de billetes de metro...
Y supongo que cada maquina tendrá sus cosas, porque en el caso de Metro Madrid, las hacen al menos 3 fabricantes distintos, Indra y otros dos mas...
#11 ¿Sabes como se puede conseguir el código de barras para conseguir el abono de la tercera edad? De pasar de 77€ a 11€ por el abono B3 hay una diferencia notable aunque me pillarán...
#24 Sin querer ser ofensivo, pero como me ha tocado empadronarme en Madrid y pagar impuestos aquí para poder tener la tarjeta sanitaria, no me siento muy cómodo con el hecho de facilitar a la gente el poder defraudar en un servicio público (además de que de externo si pero yo también trabajo para uno).
Se lo del despilfarro de la casta y todas esas cosas, no tienes porqué darme las excusas que me las conozco, pero quizá esa diferencia de 77 a 11 sea la que mañana haga cerrar definitivamente el sistema público de salud de la seguridad social.
Si realmente no puedes permitirte el abono y lo necesitas solo puedo decir que rulaba por la facultad de industriales de la politécnica (y hablo de hace ya unos 4 años) quizá puedas encontrar a alguien q te lo pase, yo en su dia no quise saber nada de ello y con tus disculpas sigo sin querer saber del tema, me resultó curioso en su momento y por eso me acuerdo, pero ahí se acaba la cosa.
El país ya está lo suficintemente mal como para ahogar aún más la recaudación de las instituciones públicas que son de TODOS.
#11 Eso en Cercanías lo han resuelto por las bravas, quitando la posibilidad de comprar billetes con descuento desde las máquinas, eso teniendo en cuenta que cada vez hay menos taquillas, que no se puede comprar billete dentro del tren y que para que reintegren la diferencia del importe te tienes que pasar por una estación con taquilla abierta en un corto plazo.... resultado: se joden los usuarios de Tarjeta Dorada, muerto el perro se acabó la rabia
Interesante como empieza el articulo diciendo que ha enseñado unos vídeos que luego al final del articulo dice que no ha querido dar... Cuando en esas conferencias se graba todo...
Normal, yo me dedico al control de calidad de software y es algo casi inexistente en este país. No se considera importante gastar dinero en un buen equipo de control de calidad del proceso de desarrollo. En finx.
Yo le juakeo la tarjeta de parkin de un garaje en Bilbao con cinta de casette pegada en una cartulina y grabada con el cabezal de un walkman de los 80 al que le hago warrindongadas desde mi portatil 00101100110101010101000001111 JUAKAJUAKAJUAKAKAKAKAKAK
Es cuestión de ser imaginativo sin q tu cerebro implosione por ello
Claro ejemplo es la mierda web de renfe. Esta claro que alguno se ha llevado la pasta calentita mientras se ha contratado a hordas de becarios y se les ha dicho que hagan lo que pone en una servilleta de bar usada.
De todos modos, me imagino por donde pueden ir los tiros:
Haciendo click en determinado sitio consigues salir a windows, teclado en pantalla y zas...
O bien como estan basadas en windows, haciendo esto y sacando la IP del terminal, explotar alguna vulnerabilidad de windows, pincharse a la red local o lo que sea...
Ira por ahi.
Que vamos, tampoco es que se sea.... vamos, que encontrar fallos en software español es mas facil que no encontrarlos
#0 No será al revés?? "Una grave vulnerabilidad muestra datos críticos en las máquinas de Metro de Madrid y Renfe", o son los datos los que hacen que la vulnerabilidad salte?
Y qué me decís de los que usan billetes del metro untados con pegamento para reventarles la máquina lectora de billetes de metro? A la gente se le ocurre unas ideas!
Comentarios
El software "publico" que tenemos en España tiene una calidad que ni se puede considerar que tenga calidad. Prácticamente todo el software esta realizado por grandes consultoras, las cuales destinan a sus becarios mas baratos para realizarlo, mientras los altos cargos se llevan el dinero publico y no precisamente poco.
Hasta que un día pase una desgracia de verdad no se va a cambiar este concepto de realizar software, lo coherente seria tener ingenieros funcionarios dedicados a este tema que ademas pueden trabajar en sistemas libres (y de paso ahorrarnos una tonelada de millones en licencias). Actualmente ya existe este puesto pero no deja de ser anecdotico por que son menos que los inspectores de Hacienda.
#2 lo coherente seria tener ingenieros funcionarios dedicados a este tema
Haberlos, haylos. El problema es que normalmente se dedican a reinventar la rueda que ordene el político de turno.
¿Solución? Una clausulita que imponga una penalización brutal a la empresa externa que te monte un sistema con fallos (y más si son de seguridad). Es bien simple, pero no caerá esa breva.
¡Que coño! La vida son dos días: entre un software bien hecho y este maletín tan brillante, pues no sé...
#2 Yo conozco a unos cuantos ingenieros funcionarios... los que subcontratan empresas para que hagan su trabajo.
- Paco ¿Esto como dices que se hace?
- Jose, ya te he dicho que siguiente, siguiente, siguietne, y OK.
- Gracias Paco, como molaba el curso del INEM de 100 horas de seguridad informática.
- Te digo, ahora somos unos juankers de la muerte por eso nos ponen a instalar estas cosas, por cierto ¿qué cojones estamos instalando?
- Creo que es una máquina de refrescos y bollitos.
- Joder como se estiran los de Renfe... a no, que puedes usar tarjeta de crédito ¿cuanto cuesta un donnut ahora?
- Ni puta idea, con mis sueldo de becario de 400 laureles al mes no me da. Que raro suena becario con 50 años...
Fijo que no me quedo muy lejos de la realidad.
#3 Jajajaja
Pues no se si te acercas, yo desde luego no he conocido becarios de 50 anhos en empresas de informatica. Si que es verdad que las aplicaciones se suelen testear bastante poco, aunque eso depende de la seriedad de la empresa. Ademas los tests los hacen los propios desarrolladores.
El codigo lo "pican" normalmente los becarios, eso si suele ser verdad, chavalillos que acaban de salir de la carrera y no saben ni lo que es un iterador. La gente con experiencia normalmente gestiona y habla mas que programa.
Asi salen las mierdas que salen...
#4 >>> La gente con experiencia normalmente gestiona y habla mas que programa.
Por eso no tienen experiencia. Un programador o esta continuamente dándole al tema o en seis meses se queda fuera.
#4 El problema no es que el código lo piquen becarios, que también puede serlo. El tema es que no se tiene un equipo especializado en control de la calidad, por lo que, si se prueba algo, que lo dudo, lo hacen los mismos programadores, que de SQA como que saben bien poco.
#3 Qué currado
Si en cualquier país a éste se le debería contratar para tratar de mejorar el sistema, lo más seguro que acabe pasando en España es que se le denuncie (por el Gobierno) ante el TS por infracción y estafa contra un elemento público y amenaza de muerte contra la autoridad política correspondiente. 5 años de cárcel y ¡au!. Mientras, el diputado de turno elegido a dedo por el cacique madrileño Botellil, cobrando pluses de I+D+i.
Lo de los descuentos es hacking de bajo nivel, vamos lleva años rulando por ahí el codigo de barras fotocopiado para sacarte el abono de la tercera edad (cuando pides el abono has de introducir el carnet que no es más que un trozo de papel con un código de barras, si le metes uno modificado te sacas el billete con descuento, eso sí el billete es de diferente color al resto y si te lo cazan te cae la multa) y poco o nada tiene que ver con el software.
Lo que si que me parece raro es el poder acceder desdeun terminal con windows embebido a las cámaras de seguridad... Si no pone fuentes sospecho que el periodista se hizo la picha un lío...
#11 Es que no son windows embebidos, por norma general son Windows XP con mas o menos actualización. Yo he llegado a ver Windows con punteros de ratón personalizados (Alguien recuerda Windows Plus?) instalados en una maquina de billetes de metro...
Y supongo que cada maquina tendrá sus cosas, porque en el caso de Metro Madrid, las hacen al menos 3 fabricantes distintos, Indra y otros dos mas...
#15 Aun asi, que hacen en el mismo dominio que las camarás de seguridad?
#16 Desde luego los administradores de red se han lucido en este caso.
#11 ¿Sabes como se puede conseguir el código de barras para conseguir el abono de la tercera edad? De pasar de 77€ a 11€ por el abono B3 hay una diferencia notable aunque me pillarán...
#24 Sin querer ser ofensivo, pero como me ha tocado empadronarme en Madrid y pagar impuestos aquí para poder tener la tarjeta sanitaria, no me siento muy cómodo con el hecho de facilitar a la gente el poder defraudar en un servicio público (además de que de externo si pero yo también trabajo para uno).
Se lo del despilfarro de la casta y todas esas cosas, no tienes porqué darme las excusas que me las conozco, pero quizá esa diferencia de 77 a 11 sea la que mañana haga cerrar definitivamente el sistema público de salud de la seguridad social.
Si realmente no puedes permitirte el abono y lo necesitas solo puedo decir que rulaba por la facultad de industriales de la politécnica (y hablo de hace ya unos 4 años) quizá puedas encontrar a alguien q te lo pase, yo en su dia no quise saber nada de ello y con tus disculpas sigo sin querer saber del tema, me resultó curioso en su momento y por eso me acuerdo, pero ahí se acaba la cosa.
El país ya está lo suficintemente mal como para ahogar aún más la recaudación de las instituciones públicas que son de TODOS.
#25 Ok, lo entiendo perfectamente.
#11 Eso en Cercanías lo han resuelto por las bravas, quitando la posibilidad de comprar billetes con descuento desde las máquinas, eso teniendo en cuenta que cada vez hay menos taquillas, que no se puede comprar billete dentro del tren y que para que reintegren la diferencia del importe te tienes que pasar por una estación con taquilla abierta en un corto plazo.... resultado: se joden los usuarios de Tarjeta Dorada, muerto el perro se acabó la rabia
Interesante como empieza el articulo diciendo que ha enseñado unos vídeos que luego al final del articulo dice que no ha querido dar... Cuando en esas conferencias se graba todo...
Normal, yo me dedico al control de calidad de software y es algo casi inexistente en este país. No se considera importante gastar dinero en un buen equipo de control de calidad del proceso de desarrollo. En finx.
#9 Totalmente de acuerdo, en software a medida el control lo hacen.... los propios usuarios.
Un hacker de los de verdad; de los que no revelan el exploit hasta que lo solucionen
Sin videos no hay meneo.
Yo le juakeo la tarjeta de parkin de un garaje en Bilbao con cinta de casette pegada en una cartulina y grabada con el cabezal de un walkman de los 80 al que le hago warrindongadas desde mi portatil 00101100110101010101000001111 JUAKAJUAKAJUAKAKAKAKAKAK
Es cuestión de ser imaginativo sin q tu cerebro implosione por ello
Claro ejemplo es la mierda web de renfe. Esta claro que alguno se ha llevado la pasta calentita mientras se ha contratado a hordas de becarios y se les ha dicho que hagan lo que pone en una servilleta de bar usada.
De todos modos, me imagino por donde pueden ir los tiros:
Haciendo click en determinado sitio consigues salir a windows, teclado en pantalla y zas...
O bien como estan basadas en windows, haciendo esto y sacando la IP del terminal, explotar alguna vulnerabilidad de windows, pincharse a la red local o lo que sea...
Ira por ahi.
Que vamos, tampoco es que se sea.... vamos, que encontrar fallos en software español es mas facil que no encontrarlos
#19 11,5 millones de euros no bastan para hacer una web decente, la vergüenza nacional de Renfe.es
11,5 millones de euros no bastan para hacer una we...
loogic.comCon semejante mandanga de web uno puede esperar algo parecido del sistema de Auto Check in...
#19 Ya ves, esto es más viejo que el cagar...
#19 Para ir a la defcon hace falta algo más que saltarse las restricciones de input de un kiosko...
#0 No será al revés?? "Una grave vulnerabilidad muestra datos críticos en las máquinas de Metro de Madrid y Renfe", o son los datos los que hacen que la vulnerabilidad salte?
#26 Totalmente de acuerdo, me salió un titular que no lo entiende ni su abuela. Creo que eres el primero que protestas
Y qué me decís de los que usan billetes del metro untados con pegamento para reventarles la máquina lectora de billetes de metro? A la gente se le ocurre unas ideas!
Jajajajaja Me desorino!!