#1 RENFE pedía 15 meses de cárcel e indemnización de 5.800 € más intereses y costas del juicio, pero:
Más allá de esto, el tribunal falla en que no ha quedado probado que los hackers vulnerasen la seguridad de la máquina o de que dejasen cualquier tipo de malware en ella, así como que no existe evidencia de la "ruptura de la cadena de custodia informática" (como sí existe de la ineficacia de RENFE a la hora de poner las pruebas a disposición de las Fuerzas de Seguridad).
¡Bravo RENFE!
Si pudo hackear una máquina expendedora de RENFE fue porque se trataba de terminales basados en Windows XP, cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, potencialmente inseguros. Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
Ahora, la Fiscalía debería actuar de oficio y acusar a RENFE por usar medios inseguros (XP está obsoleto, sin actualizaciones de seguridad) y exponer los datos de sus usuarios, pero claro, estarán demasiado ocupados revisando tuits humor negro.
RENFE pedía 15 meses de cárcel e indemnización de 5.800 € más intereses y costas del juicio, pero:
Más allá de esto, el tribunal falla en que no ha quedado probado que los hackers vulnerasen la seguridad de la máquina o de que dejasen cualquier tipo de malware en ella, así como que no existe evidencia de la "ruptura de la cadena de custodia informática" (como sí existe de la ineficacia de RENFE a la hora de poner las pruebas a disposición de las Fuerzas de Seguridad).
¡Bravo RENFE!
Si pudo hackear una máquina expendedora de RENFE fue porque se trataba de terminales basados en Windows XP, cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, potencialmente inseguros. Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
Ahora, la Fiscalía debería actuar de oficio y acusar a RENFE por usar medios inseguros (XP está obsoleto, sin actualizaciones de seguridad) y exponer los datos de sus usuarios, pero claro, estarán demasiado ocupados revisando tuits humor negro.
#2 Y denunciando a quienes reportan los fallos de seguridad lo único que conseguirán será que algún Black Hacker se cabree y explote de verdad sus vulnerabilidades y filtre un montón de datos de carácter personal responsabilidad de RENFE.
#3... no escribas black hacker de esa forma con esas frases, da vergüenza ajena leerlo. Cualquiera que se aburra puede pillar y filtrar datos, hoy en día ya no hace falta ni tener habilidades en muchos casos la gente tira de metasploit o cualquier tutorial del blog guarro de turno si tiene suerte de que la vulnerabilidad está y no está parcheado y pista.
Los que se lo curran más, no pierden el tiempo con tonterías. Y el "black hacker" que se cabrea, lo que hará es intentar pasar desapercibido y robar lo que pueda de la máquina y las tarjetas de crédito no ponerse a filtrar datos ni mierdas en plan justiciero.
#3 Supongo que te refieres a un Black Hat. Y supongo de nuevo que querrás decir que un White Hat se cabree y se pase al lado Black
Si es un Black Hat, ya habría filtrado toda esa información y usarla para su uso personal
Dada la relativa facilidad con la que los hackers consiguieron acceder al sistema, ¿eran las medidas de seguridad suficientes? El Tribunal considera que no. Por todos estos motivos, Alberto García Illera y su compañero han sido absueltos, las costas han sido declaradas de oficio y todo ha quedado en agua de borrajas.
Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
O sea... ¿que son tan idiotas que guardan un listado de las tarjetas de crédito en la propia máquina?
O sea, que unos peligrosos criminales ahora estan sueltos y pueden venir a hackearme el telefonillo del portal impunemente. Carmena, nunca te lo perdonaré.
A pesar de que el hacker se ofrecía a "ayudar a las empresas" a solucionar los errores, RENFE tiró por el camino de en medio y decidió demandarle por exponer sus vergüenzas al público...
Por eso es que hoy en día es mucho más rentable en lugar de ayudar a las empresas a arreglar sus problemas, vender la vulnerabilidad y ganar dinero con ello.
Otro éxito más de esa compañía. Yo trabajé un tiempo con ellos. Huid. Es una empresa grande, algún sitio habrá bueno, pero en general... ¡huid! No aprenderéis mucho, os exprimirán y poco os darán a cambio. Lo dicho, ¡huid!
#12 Los hackers eticos auditaron la seguridad del sistema, comprobando que era una mierda y haciendolo publico, incluso ofreciendo a la empresa la informacion sobre como solucionarlo para evitar que sea un coladero, antes de que lo aprovechen los hacker no eticos, como por ejemplo los que trabajan para el crimen organizado y que roben miles o millones de datos personales, identidad y tarjetas de credito incluidas y desfalquen a miles de personas que cometieron el error de confiar en la profesionalidad de RENFE y de la consultora ("¿hola... esta INDRA... que se ponga?") que hizo la chapuza.
#29 ¿Sabes que pasa cuando los buenos no hacen auditorias y las publican? Nada. Salvo que los malos tambien las estan haciendo y ellos no publican lo que descubren. Adivina lo que hacen.
#21 Pues no lo se, probablemente, pero tengo la suerte de no usar máquinas de Renfe, los viajes siempre me los gestiona la agencia de viajes o mi secretaria, creo que la última vez que utilicé una fue en la inauguración de AVE a BCN .
#37 Los clientes a los que les pides que confíen en ti y te den sus datos.
Si es TU ordenador de casa, como si lo quieres dejar encendido en el patio de tu comunidad con la clave en un post-it
Cuenta la leyenda que hay empresas que te dan una recompensa por encontrar ese tipo de vulnerabilidades.
Pero creo que eso no es en España, aqui te llevan ante el juez.
#34 Si fuera su casa y sus datos estaría de acuerdo contigo, si se hubieran llevado algo,en parte también, el problema es que no es "su casa" sino un lugar público de un servicio público y los datos de muchos clientes suyos(quizá los tuyos o los mios).
Cuando se habla de seguridad informática, destapar vulnerabilidades es bueno para la sociedad (y para la empresa si sabe reaccionar), por lo tanto sería absurdo que penasemos a quien hace un bien a la sociedad, ¿no crees?
Si un vecino te llama por teléfono y te dice que ha ido a tu casa a visto la puerta medio abierta, a picado, no habia nadie, a entrado a mirar y se ha encontrado todo patas arriba (y le supones buena fe) ¿Tu le das las gracias o le atizas?
#49 si alguien me demuestra que abrir mi coche es sencillo no, no le partiría la cara. Iría al fabricante a pedir explicaciones. Si tu le partes la cara sigues teniendo un coche inseguro. Al siguiente puede que no le pilles.
#36 "Si en mi casa alguien abre la puerta sin mi consentimiento y lo pillo lo harto a ostias"
Ya veo, un hacker no puede saltarse la ley para proteger a la gente pero tu puedes saltarte la ley para """proteger tu propiedad"""... menudo defensor de la ley y el orden
#54 La empresa será "no se de quien", el servicio es público, y te saltas de mi respuesta 2 partes importantes:
"Los datos son de mucha otra gente"
"El simil"
#56 pero invalida tu argumento "la empresa es mia y lo que quiera contratar lo hago yo y con la empresa que quiera "
La empresa no es de nadie y nadie puede contratar lo que quiera con la empresa que quiera, Renfe es una empresa publica y debe cumplir las normas y las leyes, y al mismo tiempo que yo, como ciudadano, tengo derecho a saber si mi ayuntamiento está cumpliendo su deber, ese otro ciudadano (con mas conocimientos y tiempo que yo) se ha molestado en comprobar si RENFE estaba cumpliendo con el suyo.
#59 "legitima defensa" es "Si en mi casa alguien abre la puerta sin mi consentimiento y lo pillo lo harto a ostias"??
Y cuando he dicho yo que tengas que "dejar que alguien pueda entrar en tu equipo informatico sin tu consentimiento" o "dejarte robar"??
#46 ¡Exacto! Yo voy por la calle intentando abrir las puertas de los coches, si alguna está abierta ... ¿De quién es la culpa de dejarla abierta? En efecto ¡De Renfe!
Además ¿Quién eres tú para llevarle la contraria al Juez?
#63 la diferencia está en que yo no puedo comprarme un coche (en vez de coche es máquina de billetes) y por tanto no puedo probar si mis efectos personales que he dejado en tu coche cuando me llevas (mis datos) están seguros. Me tendré que asegurar de ello. Además te voy a dar gratis la solución antes que alguien te la líe.
Otro comparación sería decir que llevas la cartera al aire y que se te puede caer o alguien pude cogértela sin que te enteres. No me has preguntado si tu cartera estaba segura en tu bolsillo. Yo he ido y te he dicho que no lo estaba porque podía verla.
Y ya que te pones chulito, ¿cual es tu coche y a que hora podrías pillarme?
#36 la diferencia es que NO es tu casa.
Si te pones haz la comparativa con un hotel cuyas habitaciones se abren solo con darle un empujón a la puerta.
Tu obligación legal es garantizar (dentro de lo razonable) la seguridad de tus huespedes y sus posesiones.
Si alguien se da cuenta de que no es así, que se abren de un empujón, y para demostrarlo graba con el móvil como lo hace y lo cuelga en Youtube para demostrar la mierda de puertas que usas, ni hace nada ilegal.
Ni ha roto la puerta ni ha robado en la habitación, solo ha grabado y te ha dejado en evidencia haciéndolo público.
#69 Si a ti te roban el coche y te habias dejado la puerta abierta, lo siento, no es delito... fuiste tu quien lo incito. (e imagino que todos conocemos a alguno al que le ha pasado).
#36 "Para mi no hay mucha diferencia, salvo que el ciberdelincuente acaba haciendo daño."
Casi ninguna diferencia vamos es lo mismo una caricia y un puñetazo en la cara, salvo que el puñetazo te hace daño
#12 Te pongo un ejemplo para que entiendas por qué otros no compartimos tu actitud.
Imagínate que eres cliente del Garaje Juane y pagas 50 euros para que tu coche esté tras una puerta y vigilado por un guardia de seguridad. Entrar al garaje sin ser cliente es ilegal, pero lo que impide que roben tu coche es la puerta y el guardia de seguridad.
Un día dos personas (sin antecedentes por allanamiento ni robo de vehículos) explican de forma abierta y pública "Anoche fuimos al garaje, la puerta se abría con solo empujarla y no había ningún guardia de seguridad. Los coches podrían haber sido robados. Pedimos al Garaje Juan que tomes las medidas oportunas para cumplir los objetivos de seguridad".
Y al día siguiente Juan denuncia a esas personas por allanamiento e intento de robo.
Tu coche sigue tras una puerta abierta y protegido por un guardia de seguridad inexistente.
Pero por alguna razón los malos son los que han dicho "Juan no pone medidas de seguridad".
#29 Tú sí que sobras
Gracias a lo que hicieron estos dos yo sé que si uso una tarjeta de crédito en una de esas máquinas de RENFE algún delincuente me podría vaciar la cuenta. Y también lo sabe RENFE, por si quiere deshacer el entuerto.
Hay que ser cretino para no ver quién está ayudando (tanto a RENFE como a sus cleintes) y quién está jodiendo la marrana.
#51 Es posible que no, pero si tu dejas la ventana abierta de tu casa y tu vecino no te avisa de que esta abierta y te roban, violan a tu mujer, matan a tus hijos, igual ya no estas tan contento. ¿O si?
No es muy legal lo que han hecho, pero si no lo hace quien tiene que hacerlo mejor que lo haga gente que publica las vulnerabilidades.
Más allá de esto, el tribunal falla en que no ha quedado probado que los hackers vulnerasen la seguridad de la máquina o de que dejasen cualquier tipo de malware en ella, así como que no existe evidencia de la "ruptura de la cadena de custodia informática" (como sí existe de la ineficacia de RENFE a la hora de poner las pruebas a disposición de las Fuerzas de Seguridad).
¡Bravo RENFE!
Si pudo hackear una máquina expendedora de RENFE fue porque se trataba de terminales basados en Windows XP, cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, potencialmente inseguros. Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
Ahora, la Fiscalía debería actuar de oficio y acusar a RENFE por usar medios inseguros (XP está obsoleto, sin actualizaciones de seguridad) y exponer los datos de sus usuarios, pero claro, estarán demasiado ocupados revisando tuits humor negro.
Más allá de esto, el tribunal falla en que no ha quedado probado que los hackers vulnerasen la seguridad de la máquina o de que dejasen cualquier tipo de malware en ella, así como que no existe evidencia de la "ruptura de la cadena de custodia informática" (como sí existe de la ineficacia de RENFE a la hora de poner las pruebas a disposición de las Fuerzas de Seguridad).
¡Bravo RENFE!
Si pudo hackear una máquina expendedora de RENFE fue porque se trataba de terminales basados en Windows XP, cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, potencialmente inseguros. Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
Ahora, la Fiscalía debería actuar de oficio y acusar a RENFE por usar medios inseguros (XP está obsoleto, sin actualizaciones de seguridad) y exponer los datos de sus usuarios, pero claro, estarán demasiado ocupados revisando tuits humor negro.
Los que se lo curran más, no pierden el tiempo con tonterías. Y el "black hacker" que se cabrea, lo que hará es intentar pasar desapercibido y robar lo que pueda de la máquina y las tarjetas de crédito no ponerse a filtrar datos ni mierdas en plan justiciero.
Si es un Black Hat, ya habría filtrado toda esa información y usarla para su uso personal
Dada la relativa facilidad con la que los hackers consiguieron acceder al sistema, ¿eran las medidas de seguridad suficientes? El Tribunal considera que no. Por todos estos motivos, Alberto García Illera y su compañero han sido absueltos, las costas han sido declaradas de oficio y todo ha quedado en agua de borrajas.
O sea... ¿que son tan idiotas que guardan un listado de las tarjetas de crédito en la propia máquina?
Por eso es que hoy en día es mucho más rentable en lugar de ayudar a las empresas a arreglar sus problemas, vender la vulnerabilidad y ganar dinero con ello.
www.indracompany.com/sites/default/files/Ticketing_Esp_baja.pdf
Otro éxito más de esa compañía. Yo trabajé un tiempo con ellos. Huid. Es una empresa grande, algún sitio habrá bueno, pero en general... ¡huid! No aprenderéis mucho, os exprimirán y poco os darán a cambio. Lo dicho, ¡huid!
- Gandafl dixit
¿Porque, moralmente hablando, deberían castigarles?
¿Y socialmente hablando? ¿Que daño le han hecho a la sociedad?
Si es TU ordenador de casa, como si lo quieres dejar encendido en el patio de tu comunidad con la clave en un post-it
Pero creo que eso no es en España, aqui te llevan ante el juez.
Cuando se habla de seguridad informática, destapar vulnerabilidades es bueno para la sociedad (y para la empresa si sabe reaccionar), por lo tanto sería absurdo que penasemos a quien hace un bien a la sociedad, ¿no crees?
Si un vecino te llama por teléfono y te dice que ha ido a tu casa a visto la puerta medio abierta, a picado, no habia nadie, a entrado a mirar y se ha encontrado todo patas arriba (y le supones buena fe) ¿Tu le das las gracias o le atizas?
Ya veo, un hacker no puede saltarse la ley para proteger a la gente pero tu puedes saltarte la ley para """proteger tu propiedad"""... menudo defensor de la ley y el orden
"Los datos son de mucha otra gente"
"El simil"
La empresa no es de nadie y nadie puede contratar lo que quiera con la empresa que quiera, Renfe es una empresa publica y debe cumplir las normas y las leyes, y al mismo tiempo que yo, como ciudadano, tengo derecho a saber si mi ayuntamiento está cumpliendo su deber, ese otro ciudadano (con mas conocimientos y tiempo que yo) se ha molestado en comprobar si RENFE estaba cumpliendo con el suyo.
Y cuando he dicho yo que tengas que "dejar que alguien pueda entrar en tu equipo informatico sin tu consentimiento" o "dejarte robar"??
Además ¿Quién eres tú para llevarle la contraria al Juez?
Otro comparación sería decir que llevas la cartera al aire y que se te puede caer o alguien pude cogértela sin que te enteres. No me has preguntado si tu cartera estaba segura en tu bolsillo. Yo he ido y te he dicho que no lo estaba porque podía verla.
Y ya que te pones chulito, ¿cual es tu coche y a que hora podrías pillarme?
Si te pones haz la comparativa con un hotel cuyas habitaciones se abren solo con darle un empujón a la puerta.
Tu obligación legal es garantizar (dentro de lo razonable) la seguridad de tus huespedes y sus posesiones.
Si alguien se da cuenta de que no es así, que se abren de un empujón, y para demostrarlo graba con el móvil como lo hace y lo cuelga en Youtube para demostrar la mierda de puertas que usas, ni hace nada ilegal.
Ni ha roto la puerta ni ha robado en la habitación, solo ha grabado y te ha dejado en evidencia haciéndolo público.
Joder con el defensor de la justicia y la ley
Casi ninguna diferencia vamos es lo mismo una caricia y un puñetazo en la cara, salvo que el puñetazo te hace daño
Imagínate que eres cliente del Garaje Juane y pagas 50 euros para que tu coche esté tras una puerta y vigilado por un guardia de seguridad. Entrar al garaje sin ser cliente es ilegal, pero lo que impide que roben tu coche es la puerta y el guardia de seguridad.
Un día dos personas (sin antecedentes por allanamiento ni robo de vehículos) explican de forma abierta y pública "Anoche fuimos al garaje, la puerta se abría con solo empujarla y no había ningún guardia de seguridad. Los coches podrían haber sido robados. Pedimos al Garaje Juan que tomes las medidas oportunas para cumplir los objetivos de seguridad".
Y al día siguiente Juan denuncia a esas personas por allanamiento e intento de robo.
Tu coche sigue tras una puerta abierta y protegido por un guardia de seguridad inexistente.
Pero por alguna razón los malos son los que han dicho "Juan no pone medidas de seguridad".
Renfe es una empresa pública
Por el bien de las personas espero que nadie te avise que se te está a punto de caer la cartera por no guardara correctamente en tu bolsillo.
Gracias a lo que hicieron estos dos yo sé que si uso una tarjeta de crédito en una de esas máquinas de RENFE algún delincuente me podría vaciar la cuenta. Y también lo sabe RENFE, por si quiere deshacer el entuerto.
Hay que ser cretino para no ver quién está ayudando (tanto a RENFE como a sus cleintes) y quién está jodiendo la marrana.
No es muy legal lo que han hecho, pero si no lo hace quien tiene que hacerlo mejor que lo haga gente que publica las vulnerabilidades.