Un informático de 24 años, Alberto García Illera, mostró durante una presentación en una de las conferencias de Def Con las vulnerabilidades de las máquinas expendedoras de billetes de Metro de Madrid y Renfe, de las que se puede extraer información de las tarjetas de crédito de sus usuarios. En esa conferencia estuvo Josep Albors, director del laboratorio Ontinet.com, con el que hablamos.
Albors, que prefiere utilizar la palabra investigador antes que hacker, por las connotaciones que tiene, explicó que en esta demostración no se dieron todos los detalles para evitar que se explotase la vulnerabilidad.
Sin embargo, dio algunas pistas: las máquinas expendedoras utilizan Windows XP SP 2 (“ni siquiera la última versión”), que fue, precisamente, lo que llamó la atención de Illera. Este sistema operativo tiene “fallos conocidos por todo el mundo”, por lo que “es muy fácil conseguir acceder a una línea de comandos y, por defecto, casi siempre te vienen con permisos de administrador”. Si no, es fácil conseguirlos por sus fallos de seguridad.
Pregunta: ¿Podría ser explotado este fallo por alguien con ciertos conocimientos de informática?
Respuesta: Sí, los conocimientos no son tan grandes como te crees. Cualquier que tenga un poco de conocimiento de redes y del sistema operativo lo puede hacer perfectamente. Solamente hay que estar ahí en el momento adecuado para descubrirlo.
P: Alberto notificó rápidamente a Metro de Madrid y a Renfe. ¿Hicieron algo para solucionarlo?
R: Por lo que yo sé, ya están trabajando para solucionarlo. De hecho, esta mañana me ha confirmado que el departamento técnico de Renfe se ha puesto de nuevo en contacto con él para trabajar en ello.
P: ¿Es común que se den este tipo de problemas en España?
R: Sí, sí. Es más común de lo que la gente se piensa. Cualquier empresa que se dedique a pentesting, consultoría o auditoría de seguridad lo puede confirmar. Este tipo de fallos aparecen en todo tipo de empresas, grandes y pequeñas. Son fallos de diseño, cosas que no se piensan cuando se planifican las redes o un sistema de acceso, como en este caso; que, o bien porque se considera una política de seguridad por oscuridad en el que al no darse a conocer no lo va a encontrar nadie, o por falta de presupuesto y no implementar unas medidas de seguridad más robustas, se dejan ahí hasta que alguien lo descubre.
P: ¿En otros países se invierte más?
R: En otros países, sí, pero no te creas que se libran mucho… Lo que pasa es que últimamente estamos viendo que en España este tipo de inversiones se están descuidando mucho, con sus consecuencias.
P: ¿Ocurre tanto en empresas públicas como en privadas?
R: Ahí no hay distinción. Todo depende de lo que se haya decidido gastar en la seguridad. Si te fijas, la mayoría de las filtraciones que se ven, de Anonymous y demás, no hacen distinción entre empresas públicas y privadas. Todas tienen sus fallos, desde empresas multinacionales a pequeñas empresas u organismos nacionales.
R: Menciona Anonymous. ¿Ha hecho que haya más miedo o más inversión?
P: Yo creo que la gente no reacciona hasta que ya ha pasado el ataque. Hasta ese momento siempre piensan en ‘a mí no me va a tocar’. Se intenta esquivar, esconder la cabeza bajo la tierra, pero no creo que se estén tomando muchas medidas, a pesar de todos los ataques que estamos viendo. Y se deberían tomar, realmente. Hemos visto que han caído empresas multinacionales como Sony, grandes redes sociales como Linkedin, grandes organismos como el FBI, han caído gobiernos… Más que eso no puede caer. Caen todos.
R: Pero también hay gente que avisa de los fallos. ¿Lo hacen con algún fin económico?
R: No es tanto por reconocimiento. Los conocidos como White hackers o White hat desvelan los secretos, no se los quedan para aprovecharlo. Lo que quieren es concienciar.
Respecto a Anonymous, ha habido una charla muy interesante en la conferencia. No es una gente que se dedique a atacar, es un pensamiento, un movimiento. Y, como en todo, hay una gente más radical y otros que abogan por otra manera de actuar. Incluso dentro de Anonymous, como cualquiera puede formar parte, hay gente que no comulga con las ideas principales y hay luchas internas. Por ejemplo, la semana pasada hubo un caso de un supuesto miembro de Anonymous que atacó una página de una asociación que se dedica a proteger los derechos de las mujeres en África. Pues nada más hacerlo público, se le tiró casi toda la comunidad encima y salió al día siguiente pidiendo perdón. Se intenta evitar ese tipo de prácticas de hacer daño por hacer daño y a cualquiera. Ya sabemos que luchan contra grandes corporaciones y gobiernos, pero como puede entrar cualquiera, todo el mundo puede actuar en su nombre.
P: Alberto no dio toda la información sobre la vulnerabilidad por seguridad.
R: Él lo que hizo fue una demo. Se dieron una serie de pautas generales para que la gente entendiera el fallo. En la Def Con los vídeos que se graban no se suelen publicar hasta dos meses después. Hay muchas presentaciones que sí están en los CD que nos dan a los que asistimos, pero otras como ésta no están. Otras ni se graban, por la gravedad del fallo. Se da un tiempo de cortesía para que las empresas afectadas tomen medidas en el asunto, como ya han empezado a tomar.
P: ¿Funciona mejor esta forma de actuar o publicar el fallo para presionar a la empresa?
R: El problema en España, sobre todo para in investigador, si vas de cara a la empresa, como he visto en otros caros, muchas veces te culpan y te responsabilizan a ti. Incluso te intentan llevar a juicio. Entonces, se pueden tomar dos políticas: avisar y lanzar el caso o política de full disclosure. Las empresas suelen reaccionar bastante rápido cuando hay un full disclosure, pero si se hace por la vía que las empresas prefieren, pueden pasar hasta dos años sin que se solucione el fallo, como se han visto casos. Cuando no afecta sólo a la empresa, sino también a los usuarios, sí que es interesante que se solucione cuanto antes.
P: ¿Sabe si Alberto trabaja en alguna otra vulnerabilidad?
R: Me comentó que tiene algo entre manos. Cuando un investigador publica una cosa, es que ya está pensando en otra. Son gente que no para, que son muy curiosos y que les gusta afrontar nuevos retos. Una de las cosas que hay que destacar de esta Def Con es que vino el General que se encarga de la ciberseguridad en Estados Unidos y directamente pidió ayuda a los hackers, porque sabe que esta gente tiene mucho conocimiento.
from TICbeat http://feedproxy.google.com/~r/rwwes/~3/NH1-NdECeqI/
