El responsable de datos de Telefónica, Chema Alonso, y el portavoz de Facua, Rubén Sánchez, se han enzarzado en Twitter en lo referente a la gestión del agujero de seguridad que Movistar tapaba el lunes pasado tras recibir un aviso por parte de la organización de consumidores. ¿Cómo empieza la guerra? Comienza con un post de Chema Alonso en su blog, El Lado del Mal, en el que, primero, explica muy bien el origen del problema. Después achaca a Facua un comportamiento incorrecto: “Es decir, lo último que le preocuparon fueron los clientes..."
|
etiquetas: bronca , chema alonso , rubén sánchez , facua , movistar , agujero de seguridad
Primero nos dijo que el no se ponía micros de diadema y que lo ponía en su contrato..así que le dijimos que podía hablar desde el micro del atril...entonces nos dijo que era posible que se moviera y se separara del atril..así que le ofrecimos un micro de mano inalámbrico...a lo que nos dijo que tb usaba las manos con el ordenador y que vaya engorro... ya nos vio la cara de WTF y entonces pidió que le pusieramos el micro de diadema.. a ver, todo así distendido no en plan capullo integral, pero curioso el asunto...
Luego el portatil..el traía su mac, en el que llevaba la presentación que iba a dar...bueno el mac teníais que verlo, daba grima de lo reventao que estaba...la batería además no le iba y la fuente de alimentación iba "si se queda con el cable en esta postura" y rollos de esos...vamos yo estaba flipando... Total que se le colocamos todo y sale a dar su ponencia y me encuentro un tipo hablando de que estamos vigilados, que si te conectas al wifi gratis de un aeropuerto te pueden pillar todas tus cosas y...y ... poco más por no decir nada...2 chistes de estos de congreso, y 4 obviedades simples no, lo siguiente...ni una desmotración de nada, ni algo más técnico sobre seguridad...nada, 0. Bastante decepcionante (para mi)
bugerror de seguridad (por falta de QA presumiblemente) que permitía acceder a facturas sin ninguna credencial, eso si que es Kafkiano...No me voy a detener en citar los más de 1.000 bugs publicados este mes en productos de Microsoft, Oracle, Apple y demás compañías tecnológicas, porque creo que los que trabajamos en seguridad sabemos que este es nuestro día a día. Los bugs aparecen inducidos por muchas causas.
A veces simplemente por error humano. A veces por error en el proceso. A veces por cambios en el software base. A veces por cambios en la configuración. A veces por que simplemente no se pensaban posibles. Estos últimos son los que más me gustan, y denotan una maravilla tecnológica, como BEAST o CRIME contra HTTPs o Spectre & Meltdown contra los micros. Auténticas obras de arte.
Primero nos dijo que el no se ponía micros de diadema y que lo ponía en su contrato..así que le dijimos que podía hablar desde el micro del atril...entonces nos dijo que era posible que se moviera y se separara del atril..así que le ofrecimos un micro de mano inalámbrico...a lo que nos dijo que tb usaba las manos con el ordenador y que vaya engorro... ya nos vio la cara de WTF y entonces pidió que le pusieramos el micro de diadema.. a ver, todo así distendido no en plan capullo integral, pero curioso el asunto...
Luego el portatil..el traía su mac, en el que llevaba la presentación que iba a dar...bueno el mac teníais que verlo, daba grima de lo reventao que estaba...la batería además no le iba y la fuente de alimentación iba "si se queda con el cable en esta postura" y rollos de esos...vamos yo estaba flipando... Total que se le colocamos todo y sale a dar su ponencia y me encuentro un tipo hablando de que estamos vigilados, que si te conectas al wifi gratis de un aeropuerto te pueden pillar todas tus cosas y...y ... poco más por no decir nada...2 chistes de estos de congreso, y 4 obviedades simples no, lo siguiente...ni una desmotración de nada, ni algo más técnico sobre seguridad...nada, 0. Bastante decepcionante (para mi)
Eso después de aquel ataque de ramsonware que afectó a telefónica aprovechando una vulnerabilidad de SAMBA que llevaba PUBLICADA Y CORREGIDA por Microsoft varios meses...vamos no me jodas, eso tiene pinta de ser el coño de la bernarda...lo siguiente que será, instalar el emule y compartir C:?
Ahora no me acuerdo del nombre, pero hay uno que viene de Guru de la bolsa, y su cartera privada se habia descalabrado y se ganaba realmente la vida con charlas tipicas usanas, de tu puedes coger el control de tu vida y bla bla bla
Siempre va a haber errores humanos, algunos de manual, y más en empresas tan enormes pero es más importante evitar la mala fe al explotar esos errores. No digo que sea el caso. Pero no me gusta que alguien se ponga medallitas a costa del mal ajeno. Lo más ético habría sido comunicar ese error a la empresa.
Entró como fichaje estrella, y desde que está en Telefónica ha habido ya dos “sustos”: el del ransomware (que provocó bastante revuelo y pérdida de productividad) y ahora este.
Y los de Facua parece que lo tuvieran apuntado y no quisieran dejarle pasar una. Porque para ser sinceros, en temas de seguridad, si descubres algo, primero avisas sin crear revuelos, y una vez que ha pasado un tiempo prudencial y ha habido tiempo para tapar el agujero, lo anuncias.
Y Facua, aunque no fuese a dar detalles, salió directo a dar una rueda de prensa. Y eso es más una “vendetta” que una forma de proceder responsable...
En fin, está claro que Facua y Chema Alonso tienen una relación bastante chunga.
#25 Exactamente.
Siempre ha estado en el Lado del Mal. Entre Telefónica y Microsoft.
Si avisas una vez no hacen nada.
Si avisas dos van a por ti con sus abogados exactamente igual que si lo liberas después de haberles dado un mes y no hacer nada.
Funciona así con practicante todas las empresas. Para ellas la seguridad es solo un problema en tanto en cuanto los clientes se enteren y puedan perder dinero. Así que desde su retorcido punto de vista la inseguridad no es problema, el problema lo crea quien lo hace público. Pase una semana o un año desde el aviso.
Aunque en alguna de sus conferencias habló en alguna ocasión de otra gente en España que, aunque no trabajaron en MS, montaron sus propias empresas y luego fueron compradas por multinacionales, y se podría decir que han llegado realmente lejos, aunque no impresionen tanto a los admiradores pardillos de B. Gates.
No leáis más. Si los de FACUA hicieron un denuncia pública para no pillarse los dedos, se puede juzgar mejor o peor, en este caso lograron el objetivo de sensibilizar sobre un fallo importante, que también es necesario.
Pero lo de Chema Alonso es sencillamente un intento impresentable de desviar la responsabilidad, ya sea culpando a Malvados hackers con la "URL Manipulation", que es una ridiculez inventada, ya sea FACUA, por darle publicidad, que me parece correcto si pensamos en evitar esas chapuzas en el futuro.
Ser un comunicador también tiene su merito y hay audiencia que no tiene puta idea pero que quieren entender algo.
Bromas aparte, este tío es el Steve Jobs de los hackers, niño de papa que le monto la empresa (donde otros trabajaban para el), poco después que casualidad, le compró la empresa Timofonica y allí está de jefe (es decir sigue mancharse las manos).
Claro ejemplo de startup española.
Aunque en la rueda de prensa no digan los detalles, podría haber una jauría de informáticos sin escrúpulos buscando el error y a lo mejor el error tarda en resolverse más de una horita ¿no te parece?
En cualquier caso Chema Alonso no trabajó en Microsoft, era MVP, que es otra cosa, simplemente un reconocimiento por parte de MS de que controla de cosas relativas a Microsoft. En el mundo de la seguridad informática ser MVP de Microsoft es como ir a la guía michelín diciendo que has ganado el concurso de tortilla de patata de tu pueblo.
Que no te digo yo que si la guardia civil tiene servidores Windows pues igual le ponen un medalla, igual que se la ponen a la virgen. Pero con esas credenciales en el mundo de la seguridad se reirían de él si no fuera por que no saben quién es.
El bug...un error del becario subcontratado...que se escapó a los deQA.
Pasa en las mejores familias
Estos se creen que programar es como sale en las películas, que en 10 minutos tienes todo hecho, probado, con sus test unitarios y revisada la seguridad de la ñapa que acabas de hacer para que no hackeen las cuentas de varios millones de clientes en 50 minutos.
Acotaron mucho la búsqueda diciendo que era de facturación, pero porque había buena relación personal con uno, que de Movistar no se fiaban un pelo de que se la volvieran a jugar. Me parece lógico.
Ahí tienes el caso PRUEBA Y VERÁS de Nintendo. Un usuario de ELOTROLADO se da cuenta que se puede acceder a la base de datos del evento de Nintendo de dicho nombre, donde constan los datos de toda la gente que se apuntó.
En vez de avisar a Nintendo de forma normal, da la impresión de que quería conseguir algún tipo de compensación, escribiendo el aviso de un modo que a todas luces parece un chantaje. Total, que Nintendo le denunció.
#21 Lo que comenta el artículo es acerca del mal rollo existente entre Facua y Telefónica, y cómo eso lo anteponen al problema en sí de seguridad, y que al final el tema se "resolviÓ" gracias a dos empleados que hicieron por entenderse (Serrahima y Sánchez).
Pero la actitud de Facua fue totalmente irresponsable en cuanto a ciberseguridad se refiere. Pero no, aquí la panda discutiendo si el Chemita mea entrecortado y que ellos la tienen más gorda.
cc. #14
Se corre el riesgo de que traten de ocultarlo y que, más pronto que tarde, encuentren otro coladero y terminen explotandolo volcando toda la base de datos en Tor, que es donde estaba el problema.
Esto no es una vulnerabilidad de contar a escondidas, es algo crítico y que afecta a los clientes, que deben conocer el riesgo y que se denuncie esa falta de control en la protección de sus datos.
El problema no es el "Bug" por si mismo. Es la falta de controles y procedimientos para proteger la información de los clientes. Es mucho más grave que tapar un agujero con el dedo y disimular.
Una cosa es ser portavoz y otra ser tertuliano
Puedo hacer que nuestro departamento jurídico te envíe una hora antes...
1) A primera hora presentamos la denuncia...
2) A las 11 rueda de prensa
3) Contamos que tienen un fallo pero no decimos donde.
Suena a que FACUA antes que soluciones quería publicidad, y que iba a hacer todo lo posible para que nadie le arruine el titular.
¿El resto? cada uno sabrá de qué pierna cojea, si quiere creer que telefónica tiene un títere en seguridad o alguien que sabe es, en el fondo, querer meter opinión donde no se debe ya que se habla de una persona y no del fallo.
El problema es ocultar la mala praxis parcheando malamente un acceso aislado y dejando el problema de fondo fuera del conocimiento del público.
Una cosa es el manual del hacker, que no le interesa a nadie, y otra los procedimientos de auditoría y seguridad.
Ojo por ojo y diente por diente es la política de Facua, aunque exponga a los consumidores que les importa un pito. Gran política la de Facua sí señor. Facua no es que deba ayudar, es que por muy mal que te lleves con Telefónica ¿qué culpa tienen sus clientes? ¿tienes que exponerlos a un bug de seguridad? La política de revelación de fallos de seguridad no debería variar según si te cae bien o no la empresa afectada. Eso sólo desvela la baja calidad moral de Facua.
"Los errores encontrados por el equipo del Proyecto Cero son reportados al fabricante y sólo se hacen públicamente visibles una vez que un parche ha sido liberado. O si han pasado 90 días sin que un parche haya sido liberado. La fecha límite de 90 días es la forma en que Google implementa la revelación responsable, dando a las empresas de software 90 días para solucionar un problema antes de informar al público para que los propios usuarios puedan tomar las medidas necesarias para evitar ataques."
es.wikipedia.org/wiki/Proyecto_Cero#Descubrimientos_notables
Yo aquí veo una mala relación y falta de confianza entre ambas partes. Y mala leche por ambos lados tb. Si movistar no se hubiera comportado como un niño de 5 años prohibiendo a facua usar su logo, igual otro gallo habría cantado. Yo creo que facua no se fiaba que movistar corrigiese el bug y luego negase haberlo tenido, si les daban más tiempo.
Ps: le va genial a Assange, sí.
Assange está jodido y lo que sacó no ha hecho casi nada. Su método no ha funcionado.
Parece que tu objetivo es desacreditar a facua y/o lamerle los huevos a Movistar.
Un par de años más tarde descubrí un fallo que permitía leer los correos electrónicos nuevos de un usuario sin necesidad de saber su contraseña porque el cliente de correo estaba mal configurado. No dije nada: ya tuve bastante con el tema del virus cómo para volver a joderme la vida de nuevo. Me gusta ayudar y que las cosas mejoren pero para salir perjudicado...no gracias.
Insisto en que el viernes tendrían que haber avisado a Movistar para que o parchease si fuese simple (como era el caso, la cuestión era saber donde estaba el problema) o hacer lo que tu dices. Pero desde luego por ciencia infusa no funcionan, si no se les avisa y se les dice donde no pueden hacer nada. No se como te cuesta tanto entenderlo.
El viernes ya Facua lo sabia, hasta el domingo por la tarde no se les da ni un aviso, y el aviso que se les da es a través del cabeza de O2 y no siendo claros con el problema, simplemente diciendo que más información el lunes 1 hora antes de la rueda de prensa. ¿En serio defiendes esta PÉSIMA actuación? Lo único que se dijo es que se podía acceder a facturas de todos los clientes sin más y se me ocurren bastantes sitios o formas de que eso ocurra.
Repito, por ciencia infusa los informáticos no funcionamos. Si me dicen que tengo un fallo que expone daros de mis clientes me voy a tirar hasta la hora que sea y no voy a parar para descubrirlo, pero si me dices donde pues antes podré arreglarlo. Lo que no puedo hacer es tirar el 100% de un servicio a ciegas ya que el fallo puede estar en mil sitios del portal y chapar el 100% no sólo es un problema para mi negocio si no que puedo estar jodiendo a empresas que necesiten operar, y lo mismo con deshabilitar una cosa en concreto (facturas en este caso) podía parar el problema hasta tener más información.
Assange estará jodido, lo cual no tiene absolutamente nada que ver con que el uso de hashes para demostrar que con anterioridad habia afirmado algo es una técnica que funciona. A menos que hayas encontrado tú un fallo general de los algoritmos de hashes que los invalida, en cuyo caso serías el puto amo. Otra cosa es que lo que funciona técnicamente no funcione legal o políticamente.
Parece que tu objetivo es defender todo lo que haga Facua sea correcto o no, y atacar con falacias y ataques ad-hominem a quien la critique, independientemente de todo lo demás. Eso denota una falta de espíritu crítico por tu parte.
Un consejo para Pedro Serrahima, para la proxima, das un email del contacto de seguridad y ahí se acaba la conversación sobre ese tema.
Xq CA se está cubriendo de gloria últimamente con sus explicaciones...
Por otro lado... Un poco de recogimiento bonito!n
Aun en el caso de que sea facil de resolver no sabes si esa parte del sistema comparte codigo con otras y el bug realmente pueda ser mucho mayor.
Fijate que hasta levantaron acta notarial del error porque sospechaban que telefónica lo iba a negar (parece ser que no es la primera vez que actúan así).
cc #83
Y en cuanto a la AEPD, me parece una cagada que va a acabar dando mas de un problema, me explico: si encuentro un bug muy dificil de arreglar, de los que tardan 90 dias en arreglarse y solo 72 horas para notifica, los delincuentes tendran 87 dias para explotarlo.
Esta ley la han hecho los mismos que los del aviso de cookies, quieren algo bueno pero no tienen ni idea de las implicaciones de lo que legislan, y si no ahi esta el tema de whois...
En este caso, había precedentes de malas prácticas de Telefónica. Facua sospechaba que telefónica iba a negar la mayor, y lo importante en este caso era reportar las malas prácticas. El procedimiento ha sido el siguiente:
- Levanto acta notarial del error para poder denunciar a la LOPD
- Les digo que en unos días voy a reportar un error que les atañe pero no les digo detalles para que esten en modo alerta.
- Una hora antes de publicar el error les digo que servicio deben detener para que no se explote.
- Lo publico y les denuncio.
Y ahora Movistar ya no puede librarse del marrón y he mantenido los datos de los clientes a salvo (Si ellos detienen el servicio).
Ninguno de los dos son santo de mi devoción, pero Movistar es de lejos mucho peor que FACUA.
O esperas que el bug se solucione directamente en producción?
jajajajajajaja perdona que me ria... Pero es que ha sonado tan a patio de colegio
notasshowman el tío, pero eso no quita para que tenga conocimientos