El juez ha citado como investigado al denunciante del agujero de seguridad en la app de Metrovalencia y TRAM. Así consta en las diligencias previas emitidas por el juzgado de instrucción número 6 de València, quien emplaza al ingeniero a comparecer esta semana para prestar declaración.
|
etiquetas: metrovalencia , seguridad
O se creen que los abogados les van ayudar cuando un chino loco les robe los datos o les funda el sistema?
Que alguien te audite el código y te enseñe los "agujeros" de tu sistema para que los parchees y lo haga de forma responsable es de agradecer . Lo que pasa que a la empresa que hizo la aplicación y a MetroValencia no les gusta que les pinten la cara.
Si el problema es un token, ¿necesita realmente descompilar la app? ¿No le vale con wireshark para hacer sniff a la red y analizar los paquetes?
¿Es ilegal hacer sniff a los paquetes que vuelan en tu propia red local?
Yo lo he hecho una vez para demostrar a una gente que si no ponían https en su wordpress cualquiera podría robarles las credenciales de acceso... ¿Voy a ir a la cárcel por hacer usar wireshark en mi propia wifi?
Por eso descompiló la app y allí vio la clave.
Cosas de periodistas, supongo.
O se creen que los abogados les van ayudar cuando un chino loco les robe los datos o les funda el sistema?
Que alguien te audite el código y te enseñe los "agujeros" de tu sistema para que los parchees y lo haga de forma responsable es de agradecer . Lo que pasa que a la empresa que hizo la aplicación y a MetroValencia no les gusta que les pinten la cara.
En servicios de cloud, se llama contraseña si hay un usuario asociado a ella.
Si no hay usuario, se llama token a lo que usas para solicitar la autorización.
O que se la guarde para sorprender en entrevistas de trabajo
A ver el juez si se entera de que va la historia y los abogados hacen bien su labor. Otra cosa es que la persona, previamente haya accedido a datos de otras personas y los acusados tengan pruebas de ello (o que el mismo haya presentado pruebas de ello). En este caso, lo más fácil hubiese sido, mirar que el código de la aplicación tuviese la clave en el código. Fácilmente, demostrable sin que sea algo ilegal (si eso fuese ilegal, creo que casi todas las compañías de seguridad informáticas serían unos delincuentes por decomplilar virus y malware. También podría demostrarlo usando los datos de una conexión de la aplicación instalada en su móvil accediendo a sus datos y de algun amigo/familiar que le autorizase a hacer lo mismo con su móvil.
#8 Si que se puede hacer MiTM en conexiones SSL. Si usan una sola clave para acceso a todos los datos, no creo que se esmerasen en asegurar que la conexión SSL fuese realmente segura.
Esta claro que el juez, ya de primeras y sin pruebas de que el denunciante hubiese accedido a datos de otras personas, no debería ni siquiera aceptado la denuncia. Pero, si han presentado pruebas de que si que lo hizo, pues entonces, no le va a quedar otra que aceptar la condena por acceder a datos que no son suyos.
El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
Avisas anónimamente. Das un plazo razonable y lo haces público.
Si no lo haces público después de un plazo y solo amenazas, no lo arreglan jamás. Por que por un lado están sus intereses económicos y por otro los datos de la gente. Pista, pesa más el dinero siempre.
Ahora bien, ha juankeado la app del metro? A la cárcel con él, así aprenderá.
El desarrollador de una app tiene más control que el de una web.
Y no es porque los nuevos sean santo de mi devoción, pero sí que conozco dos pymes que han hecho programas para el ayuntamiento y lo han hecho sin sobres ni mordidas. Antes ni se lo planteaban, porque todos sabían que la única forma era llenar un apartamento de putas y coca.
Redes de otros, no lo sé, y paquetes de un dispositivo que no sea tuyo igual es un poco turbio. Pero tú dispositivo en tu red... Claro que sí
Las apps son clientes que hace un dev para un servicio, por lo que puede hacer pinning y evitar cualquier otro certificado dando igual que sean de una CA reconocida incluso. Aquí entran problemas como que al actualizar el cert tienen que actualizar la aplicación o reutilizar la misma clave pública y tal.
Las cosas han ido cambiando poco a poco. No digo que sea infalible frente a investigadores o personas mal intencionadas ya que teniendo el control de donde se ejecuta ya está, pero al menos el usuario está más seguro que antes frente ataques externos si tiene media neurona.
Por otra parte, menudos mediocres los de FGV.
Para ser exacto, ahora mismo lo llamamos "churro".
También me pregunto cómo han podido no tenerlo ofuscado, por ejemplo proguard funciona por defecto en Android, desconozco si le dio por decompilar la versión ios.
Se me ocurre que lo tuvieran en un archivo de configuración suelto, sin ningún tipo de seguridad, por lo que se podía leer con un simple winrar.
El problema legal es romper un sistema de seguridad, suplantar las credenciales de otro usuario, o acceder al contenido de la comunicación de otro, incluso actuando como administrador de una red o como experto en seguridad. Es muy delicado, y te puedes encontrar con el problema que se ha encontrado este ingeniero. Lo cual debería ser absurdo, máximo si no hay extorsión o beneficio propio en la revelación de la vulnerabilidad. Pero la ley puede tener una parte absurda en su protección a la intimidad y la seguridad informática. Lógicamente, la seguridad informática implica hacer cosas desde el otro lado, por lo que la revelación del problema tiene que ser muy cuidadosa.
Al técnico que descubrió el problemón del sistema de justifica (lexnet) también lo han puesto a los pies de los caballos. Ojo al dato. Quizás lo que haya que hacer sea comunicar anónimamente las vulnerabilidades y que se jodan los responsables, o bien entre todos, hacer un mecanismo claro de comunicación y remediación de las vulnerabilidades que mejore la seguridad y no ponga en riesgo a la gente que esté participando en ella.
Las partes mal hechas en negrita.
Los problemas de seguridad no se arreglan con denuncia a protección de datos si no haciendo el fallo público de forma anónima.
No entro en el punto de vista ético, moral o legal, solo en qué es lo que funciona y lo que funciona es hacer públicas las vulnerabilidades.
Veremos pronto cuan buena o mala es la justicia de nuestro pais.
Que esa clave sea la misma para todos no implica perse que accedas a información de terceros, para ello tienes que acceder a la red del 3o (es decir su wifi o su conexión de datos) e interceptar los paquetes tcp.
Que lástima que tantas y tantas veces sea verdad.
Hay una importante diferencia.
Esa lucha está perdida, hay que librar las batallas que se pueden ganar. Esa creo que ni se puede ni hace falta a efectos prácticos.
#52 Precisamente, por eso para ellos es peor el fallo de seguridad conocido y parcheado en un par de días que años de acceso a los datos de sus clientes. Ojos que no ven (clientes) corazón que no sufre (bolsillo de la empresa).
Es como si fueras a la Edad Media a pedirles que legislaran sobre normas de tráfico aéreo.
Deja de hacer el ridículo, anda.
A no, que has sido tú...
Venga, tú puedes. Sigue buceando en Google a ver si encuentras algo que te de la razón en tu delirio, mientras, sigue haciendo el ridículo.
Ánimo!
O eso, o mientes, o sencillamente eres un cabezón ignorante. Me decanto más por la segunda opción.
Pos fale.
Enga, hasta luego.