Demuestran en la DefCon varios fallos de seguridad de Renfe y Metro Madrid

Seguro que muchos ya habréis leído en algún medio la noticia acerca de la charla de Alberto García Illera en la DefCon, "How to hack all the transport networks of a country", donde demostraba las deficiencias de seguridad de algunos de los sistemas de Renfe y Metro Madrid.

Aunque los vídeos con las pruebas de concepto no serán publicados hasta la resolución de las vulnerabilidades correspondientes, en Las Vegas Alberto demostró que era posible comprometer las máquinas expendedoras de billetes (Windows XP sin parchear), obtener el listado de tarjetas de sus clientes, acceder remotamente a otros terminales y a la red de cámaras de vigilancia, capturar y clonar keychains RFIDs de las tarjetas de acceso del personal e incluso expedir un abono transporte con tarifa de la tercera edad (mostró uno a nombre de 'hacker' XD).

El caso es que estas cosas se ven venir de lejos pues no es difícil encontrarte en estas máquinas algún pantallazo o alguna ventana de aviso de Windows (hace unos meses vi una de PCAnywhere) e incluso alguna entrada en algún blog como la de Germán. Lo que parece increíble es que haya que esperar a que un investigador demuestre a medio mundo las vergüenzas de una Cía que gestiona una gran red de transporte para que ésta reaccione.

Realmente no es importante conocer el detalle de la explotación de los sistemas (es fácil imaginar los vectores de ataque), lo que importa es que los fallos de seguridad sean corregidos cuanto antes y que la seguridad informática se tome en cuenta desde el principio en todo proceso de implantación y mantenimiento. La seguridad de miles de clientes depende de ello.

10 comentarios :

  1. Ya he dejado por ahí constancia de mi interés en conocer los vectores, como dices se pueden imaginar, pero siempre es interesante tener acceso al proceso.

    Lo curioso de este asunto, y nadie se ha hecho eco, es el acceso a las videocámaras. ¡¡ACCESO A LAS CÁMARAS!! Puedo llegar a entender con algo de dificultad, el acceso a los datos bancarios, ok, está bien, se procesan en la máquina. ¿Pero el acceso a otros recursos? Creo, que deberían estar aislados unos de otros.

    Otra observación, es en los puestos de DNI, se pueden ver accesos a RJ45. -que no digo, se pueda llegar a nada-, digo que esos puntos existen. Lo cierto es que no tendría el valor suficiente para hacer ahí precisamente un análisis.

    ResponderEliminar
  2. Anónimo que estuvo en la defcon1 de agosto de 2012, 7:35

    Hombre, demostrar, lo que se dice demostrar ... poco.

    ResponderEliminar
  3. Me gustaria que cuando muestre estos videos ver si todo esto que comenta es cierto, que lo dudo mucho. Estoy bastante metido en este tema y tanto Renfe como Metro han pasado y estan certificados en PCI-DSS asi que dudo que los datos de tarjetas de credito esten sin cifrar y puedan ser capturados. Así que a la espera estoy ;)

    ResponderEliminar
  4. hombre imagino que en la charla mostrarìa cada PoC a los asistentes de la DefCon. ¿Alguna cámara de video casera o algún afortunado en Las Vegas? ¿Román?

    ResponderEliminar
  5. Pues es muy plausible lo de las tarjetas, el tema de las certificaciones PCI-DSS en la práctica se suele hacer con miras a conseguir el papelito y abaratar costes, no para cumplir ninguna ley (la ley de proteccion de datos no lo abarca explicitamente asique estamos en una zona gris).

    Sin embargo estoy de acuerdo con vosotros en que demostraciones ninguna, y aplicación a perdidas económicas ninguna. :S Veremos...

    ResponderEliminar
  6. Anónimo que estuvo en la defcon2 de agosto de 2012, 5:42

    Que no, que no, que ni demostración ni nada.

    Este pimpollo no ha tenido acceso a nada, ni mucho menos ha podido demostrarlo.

    Lamentable que a la defcon se le cuele tal morralla.

    ResponderEliminar
  7. Me llama la atención que 4 de los comentarios son desmintiendo el posible acceso. Y un anónimo que estuvo en la Defcon -con lo que implica ser anónimo-, dice que no hubo demostración ninguna. Tendremos que esperar a ver si se filtra más información.

    Por cierto, en cuanto a los datos que se pueden obtener, en este tipo de accesos quizá lo más interesante, no es acceder a los datos ya guardados y cifrados, si no a los datos que se pueden recolectar. ¿No lo creéis así? Ya que o bien parcheas el proceso para obtener los datos, o bien atacas al receptor (No sé como se llama el lector de tarjetas).

    ResponderEliminar
  8. No se si será cierto o no pero me inclino a pensar que si ya que la seguridad del portal nunca ha sido el fuerte de Metro de Madrid.

    ResponderEliminar
  9. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  10. esta persona trabaja en una clinica veterinaria. no ha demostrado nada en la charla ni despues. lo único que ha conseguido es una demanda judicial. que pregunten a metro

    ResponderEliminar