EDICIóN GENERAL
472 meneos
1651 clics

El juez cita como investigado al denunciante del agujero de seguridad en la 'app' de Metrovalencia

El juez ha citado como investigado al denunciante del agujero de seguridad en la app de Metrovalencia y TRAM. Así consta en las diligencias previas emitidas por el juzgado de instrucción número 6 de València, quien emplaza al ingeniero a comparecer esta semana para prestar declaración.
etiquetas: metrovalencia, seguridad
  1. Así aprenderá a no ayudar.
  2. #7 lo verías si no es SSL ( a menos que hagas un man in the middle con mitmproxy o similar ) . Lo que mas me flipa de este tema es que hizo una comunicación de la vulnerabilidad responsable y aún asi quieren empurarle en vez de darle una recompensa en bug bounty.
    O se creen que los abogados les van ayudar cuando un chino loco les robe los datos o les funda el sistema?

    Que alguien te audite el código y te enseñe los "agujeros" de tu sistema para que los parchees y lo haga de forma responsable es de agradecer . Lo que pasa que a la empresa que hizo la aplicación y a MetroValencia no les gusta que les pinten la cara.
  3. #11 Y no les gusta que les pinten la cara porque seguramente se pagó un pastizal por la app... Que se fue en cenas, viajes, dinerito para el de la empresa (que no sus trabajadores), sobrecostes, y chanchullos varios
  4. Y esto es el esperpento...hay un problema, lo denuncio...y como castigo te crujo.
  5. #41 En este caso el chaval en lugar de meterse en tu casa y tu pillarlo allí te ha llamado para decirte que la puerta no cierra bien y ha ido a demostrártelo.

    Hay una importante diferencia.
  6. Qué ridículo están haciendo. Pues nada, al próximo que descubra vulnerabilidades así, que siga el procedimiento para venderla por un cuarto de bitcoin a algún interesado, y ya le habrá salido mucho más rentable que a ésta persona.

    O que se la guarde para sorprender en entrevistas de trabajo 8-D
  7. #7 #11 En realidad, si la defensa del denunciante es medianamente buena y el un poco avispado, podrá explicar al juez que el no estaba haciendo nada malo. Que yo sepa no es ilegal decompilar una aplicación. Puede ser ilegal el acceso a los datos ajenos, ser ilegal la redistribución de software y, hasta cierto punto, la modificación de este. Pero no es ilegal decompilar una aplicación para saber que esta haciendo realmente, de la misma manera que no es ilegal abrir el capó de un coche y mirar dentro, o abrir un portátil o un móvil, o una tostadora para ver si te han puesto un micrófono dentro.
    A ver el juez si se entera de que va la historia y los abogados hacen bien su labor. Otra cosa es que la persona, previamente haya accedido a datos de otras personas y los acusados tengan pruebas de ello (o que el mismo haya presentado pruebas de ello). En este caso, lo más fácil hubiese sido, mirar que el código de la aplicación tuviese la clave en el código. Fácilmente, demostrable sin que sea algo ilegal (si eso fuese ilegal, creo que casi todas las compañías de seguridad informáticas serían unos delincuentes por decomplilar virus y malware. También podría demostrarlo usando los datos de una conexión de la aplicación instalada en su móvil accediendo a sus datos y de algun amigo/familiar que le autorizase a hacer lo mismo con su móvil.

    #8 Si que se puede hacer MiTM en conexiones SSL. Si usan una sola clave para acceso a todos los datos, no creo que se esmerasen en asegurar que la conexión SSL fuese realmente segura.

    Esta claro que el juez, ya de primeras y sin pruebas de que el denunciante hubiese accedido a datos de otras personas, no debería ni siquiera aceptado la denuncia. Pero, si han presentado pruebas de que si que lo hizo, pues entonces, no le va a quedar otra que aceptar la condena por acceder a datos que no son suyos.
  8. #2 Por eso no se hace así.
    Avisas anónimamente. Das un plazo razonable y lo haces público.
    Si no lo haces público después de un plazo y solo amenazas, no lo arreglan jamás. Por que por un lado están sus intereses económicos y por otro los datos de la gente. Pista, pesa más el dinero siempre.
  9. #7 Por lo que yo entendí, se utilizaba la misma clave para todo el mundo para cifrar las conexiones desde el móvil del usuario al servidor de MetroValencia. Si esnifas paquetes verás una comunicación cifrada pero no debería ser posible saber con qué clave se ha cifrado.
    Por eso descompiló la app y allí vio la clave.
  10. #1 Que se habra creido el jaquer ese.
  11. #17 El se lo comunicó, dijeron que lo habían resuelto, él comprobó que era falso y entonces presentó una denuncia ante la AEPD. Y entonces es cuando le denuncian a él.
  12. #1 en EEUU ya le habrian ofrecido un trabajo. Aqui , se mata al mensajero
  13. La culpa del mensajero¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡ xD xD xD xD xD xD xD
  14. #24 no gobiernan ahora pero los jueces que ascendieron cuando lo hacian ahi siguen debiendoles unos cuantos favorcitos.
  15. #1 No good deed goes unpunished, ninguna buena acción queda sin castigo, que dicen por ahí.

    Que lástima que tantas y tantas veces sea verdad.
  16. #48 #41 el chaval ha avisado a la empresa de la vulnerabilidad para que la arreglen. No se... mejor eso a que nadie los avise y haya cibercriminales explotando esa vulnerabilidad sin que la empresa lo sepa, no?
  17. #41 Imagina que te llaman al móvil y es un chaval que te dice que te has dejado abierta la puerta de casa, y vas tú y le denuncias.
  18. #18 En Valencia ya no gobiernan, cosa que no se puede decir de otros sitios de España donde también se han llevado millones de euros públicos. :-O Y las leyes son las mismas en toda España.

    Por otra parte, menudos mediocres los de FGV.
  19. #7 no es ilegal esnifar los paquetes de tu propia red wifi, faltaría más. A ver si ahora las apps van a poder enviar los datos que quieran a donde quieran y encima tú, que el día de mañana eres el responsable de esa IP, no puedes ni verlo ni impedirlo.

    Redes de otros, no lo sé, y paquetes de un dispositivo que no sea tuyo igual es un poco turbio. Pero tú dispositivo en tu red... Claro que sí
  20. #41 Ahora imagina que construyeron un puente y un chaval dice que es inseguro porque las columnas que lo sostienen están sobre un pantano sin nigún tipo de sustento sólido.. Y viene el juez y mete preso al chaval por señalar eso.
  21. Está en Valencia, si se hubiese lucrado y se hubiese llevado millones de euros del erario público no hubiese pasado nada.

    Ahora bien, ha juankeado la app del metro? A la cárcel con él, así aprenderá.
  22. #41 ya, la diferencia esque el chaval no ha entrado en tu casa, sino que te ha llamado
  23. #15 No hace falta llegar a acceder a datos personales de otras personas. La ley es mucho más vaga:

    El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
  24. #22 Las comunicaciones son inviolables como derecho constitucional. Todas. Es decir, es un delito incluso abrir una carta de tu hijo, o escuchar la conversación de tu mujer desde otro teléfono fijo de tu casa. Puedes esnifar paquetes de tu red, entendido como acceder al contenido de una comunicación, pero sólo si son de tus propias comunicaciones. En este caso, puedes snifarte a ti mismo accediendo a una aplicación y descubrir una vulnerabilidad.

    El problema legal es romper un sistema de seguridad, suplantar las credenciales de otro usuario, o acceder al contenido de la comunicación de otro, incluso actuando como administrador de una red o como experto en seguridad. Es muy delicado, y te puedes encontrar con el problema que se ha encontrado este ingeniero. Lo cual debería ser absurdo, máximo si no hay extorsión o beneficio propio en la revelación de la vulnerabilidad. Pero la ley puede tener una parte absurda en su protección a la intimidad y la seguridad informática. Lógicamente, la seguridad informática implica hacer cosas desde el otro lado, por lo que la revelación del problema tiene que ser muy cuidadosa.

    Al técnico que descubrió el problemón del sistema de justifica (lexnet) también lo han puesto a los pies de los caballos. Ojo al dato. Quizás lo que haya que hacer sea comunicar anónimamente las vulnerabilidades y que se jodan los responsables, o bien entre todos, hacer un mecanismo claro de comunicación y remediación de las vulnerabilidades que mejore la seguridad y no ponga en riesgo a la gente que esté participando en ella.
  25. #17 Lo que realmente pesa para esas "cabezas pensantes" es el "qué diran". Lo que realmente les molesta es el daño a la imagen corporativa. Lo importante no es que sea seguro, sino que lo parezca, que la gente crea que lo es. Lo que se conoce como "falsa sensación de seguridad".
  26. Así es la inquisición marca españa.
  27. #16 vulnerando las medidas de seguridad. Pero compilar no es una medida de seguridad.
  28. #15 el problema que va tener es que son términos muy técnicos para un juez, con lo que se basará en los peritajes y si hay algún informe de la policía. Y esos conceptos para un juez le sonarán a chino , por lo que puede ser una lotería. Algún día habrá algún juzgado sólo para los delitos tecnológicos...tiempo al tiempo
  29. Alguien que sepa del tema.

    Si el problema es un token, ¿necesita realmente descompilar la app? ¿No le vale con wireshark para hacer sniff a la red y analizar los paquetes?

    ¿Es ilegal hacer sniff a los paquetes que vuelan en tu propia red local?

    Yo lo he hecho una vez para demostrar a una gente que si no ponían https en su wordpress cualquiera podría robarles las credenciales de acceso... ¿Voy a ir a la cárcel por hacer usar wireshark en mi propia wifi?
  30. #7 Si la aplicación usa SSL y certificate pinning o la decompila y saca lo que le interés de ahí o la parchea para eliminar el pinning ya que ni instalando una CA propia para hacer un MitM funcionaria con el pinning.
  31. Moraleja: busca y colecciona vulnerabilidades, con la calidad del software que se hace acá (léase cárnicas) hay por montones, y vendelas en la darknet. Hazlo todo en criptomonedas, sé anónimo y luego lárgate de este país de pandereta.
  32. #21 metrovalencia es gestionado por la comunidad, y sí, a nivel de metrovalencia sigue siendo así internamente.
  33. #5 Pues un pretencioso engreido que quería ligar, y ha usado lo más fácil, y que nos pone a todos/as buscar una vulnerabilidad en una app. A la cárcel con el! :-D
  34. Asi el próximo se lo pensara dos veces...
  35. #34 Es que no es una vulnerabilidad: es una "feature"...hay que joderse...que verguenza de país.{palm} :palm: :palm:
  36. Haber pedio unos trajes!
  37. Cualquier persona incluida el juez deberia darse cuenta que el encausado trato de denunciar y advertir del problema en numerosas ocasiones y sin mala fe de ningun tipo. Y espero que FGV le toque pagar costas y una buena indemnizacion a este ingeniero.

    Veremos pronto cuan buena o mala es la justicia de nuestro pais.
  38. #42 Si accedió para demostrarlo, ya está. Quería decir que no es necesario que llegara a acceder a los datos personales de otro. Si se limitó a extraer la clave y no hizo nada con ella, entonces no cometió delito, no.
  39. #57 claro, porque en la comunidad valenciana no estuvieron gobernando los apandadores durante años y años
  40. #62 los ascensos los determina el espirutu santo si te parece
  41. #66 aqui el unico que ha sacado a pastar a los alcaldes eres tu
  42. #68 por favor aprende a buscar en google que ya vas siendo mayorcito para andar pidiendo a los demas que te hagan las busquedas.
  43. #72 para eso te bastas y sobras tu solito
  44. #74 no sabeis ni leer, ni entender lo que leeis, bueno o igual eres realmente tan ignorante que desconoces que las ccaa tienen sus propios tribunales superiores de justicia y que participan en la eleccion de su composicion, todo es posible.
  45. #76 cuando tres caritas sonrientes son tu mejor argumento...
  46. #78 lo dicho, ni leer sabes pero en fin, pobres de los que tengan que aguantarte todos los dias.
  47. #80 a tu edad y que no seas capaz de hacer un busqueda en google es muy triste y eso de andar exigiendo como si los demas te debieramos algo tambien, espabila.
  48. mentir es lo que sueles hacer tu cada vez que tocan a tus corruptos favoritos o a sus titeres, no te confundas.
  49. Para la próxima, robo de datos, venta en cripto y a correr.
  50. #20 son paradigmas diferentes, en el caso de una web el cliente se conecta con un navegador genérico al servicio. Hacer un MitM de SSL a un navegador hoy en día también está más complicado, si no tiene la CA te va a soltar error y ya si el usuario se lo salta se lo merece.

    Las apps son clientes que hace un dev para un servicio, por lo que puede hacer pinning y evitar cualquier otro certificado dando igual que sean de una CA reconocida incluso. Aquí entran problemas como que al actualizar el cert tienen que actualizar la aplicación o reutilizar la misma clave pública y tal.

    Las cosas han ido cambiando poco a poco. No digo que sea infalible frente a investigadores o personas mal intencionadas ya que teniendo el control de donde se ejecuta ya está, pero al menos el usuario está más seguro que antes frente ataques externos si tiene media neurona.
  51. #27 la próxima vez les reventarán la base de datos de usuarios, la publicarán anónimamente en internet, y con suerte alguien les denuncia a la agencia de protección de datos para que les caiga una multa
  52. #16 la clave de cifrado no es la clave de acceso al servidor, es la clave que se utiliza desde tu dispositivo para intercambiar tus datos con el servidor, no los datos de un tercero, los tuyos.
    Que esa clave sea la misma para todos no implica perse que accedas a información de terceros, para ello tienes que acceder a la red del 3o (es decir su wifi o su conexión de datos) e interceptar los paquetes tcp.
  53. #34 No te quito una coma de razón en cuanto a efectividad. Triste, pero cierto. Pero también es una cuestión de responsabilidad. Y lo que hay que pelear es para que estos "sin sentido" como el del artículo no tengan recorrido legal.
  54. #16 "a un sistema de información" ahí se referirian al servidor, no a la apk
  55. #7 Si monitorizas en tu red, debes anunciarlo previamente para que tus familiares y visitas decidan si se conectan a tu wifi.
  56. #9 En mi limitada experiencia...
    En servicios de cloud, se llama contraseña si hay un usuario asociado a ella.
    Si no hay usuario, se llama token a lo que usas para solicitar la autorización.
  57. Españistán, El Estado del Puro.
  58. #8 #7 apesta a aplicación en android (que se puede revertir fácilmente con un dex2jar), que tenía el token hardcodeado
  59. #13 No, desde que cambió la alcaldía ya no funciona así.

    Y no es porque los nuevos sean santo de mi devoción, pero sí que conozco dos pymes que han hecho programas para el ayuntamiento y lo han hecho sin sobres ni mordidas. Antes ni se lo planteaban, porque todos sabían que la única forma era llenar un apartamento de putas y coca.
  60. #9 Yo lo he llamado "token" toda la vida. Una cadena de seguridad entre el cliente y el servidor.

    Para ser exacto, ahora mismo lo llamamos "churro".

    También me pregunto cómo han podido no tenerlo ofuscado, por ejemplo proguard funciona por defecto en Android, desconozco si le dio por decompilar la versión ios.

    Se me ocurre que lo tuvieran en un archivo de configuración suelto, sin ningún tipo de seguridad, por lo que se podía leer con un simple winrar.
  61. #30 El se lo comunicó, dijeron que lo habían resuelto, él comprobó que era falso y entonces presentó una denuncia ante la AEPD. Y entonces es cuando le denuncian a él.
    Las partes mal hechas en negrita.
    Los problemas de seguridad no se arreglan con denuncia a protección de datos si no haciendo el fallo público de forma anónima.
    No entro en el punto de vista ético, moral o legal, solo en qué es lo que funciona y lo que funciona es hacer públicas las vulnerabilidades.
  62. #53 Incluso con una legislación y justicia que a todos nos pareciesen perfectas las empresas grandes tienen firmas de abogados a las que pagan estén en los juzgados o mano sobre mano.
    Esa lucha está perdida, hay que librar las batallas que se pueden ganar. Esa creo que ni se puede ni hace falta a efectos prácticos.

    #52 Precisamente, por eso para ellos es peor el fallo de seguridad conocido y parcheado en un par de días que años de acceso a los datos de sus clientes. Ojos que no ven (clientes) corazón que no sufre (bolsillo de la empresa).
  63. #28 claro, porque a los jueces los eligen los alcaldes...
  64. #58 y son ellos los que eligen a los jueces, verdad?
  65. #65 a ver, para que me quedé claro. Estás diciendo que los jueces son designados a dedo por el gobierno de la comunidad autónoma y/o los alcaldes? Es eso lo que afirmas?
  66. #67 pues contesta por favor, quien elige a los jueces y cómo el gobierno de la ccaa tiene relación con dichos nombramientos
  67. #69 vamos, que no tienes ni puta idea pero vienes a soltar tus cuñadeces. Guay.
    Deja de hacer el ridículo, anda.
  68. #73 xD xD xD claro que sí hombre, soy yo el que ha dicho la gilipollez de que son las ccaa las que eligen a los jueces.
    A no, que has sido tú...
  69. #75 xD xD xD claro que sí. Ahora resulta que todo es posible... Aunque de elegir a los jueces hemos pasado a participar en su elección.
    Venga, tú puedes. Sigue buceando en Google a ver si encuentras algo que te de la razón en tu delirio, mientras, sigue haciendo el ridículo.
    Ánimo!
  70. #77 no son caritas sonrientes, son carcajadas en tu cara. Eres tú el que insiste en que los jueces han sido puestos a dedo por el gobierno de la ccaa. La ley del poder judicial desmiente esa afirmación, y ya te he pedido algún dato que la avale, como no lo aportas, pues seguiré riéndome de ti y tus tonterías. Ya que tú único argumento es llamar ignorante a los demás...
  71. #79 joder, pero dame el enlace o la ley donde dice que los jueces los nombran desde el gobierno de las ccaa y deja de salirte por la tangente. Esa es TU afirmación, no la mía.
    O eso, o mientes, o sencillamente eres un cabezón ignorante. Me decanto más por la segunda opción.
  72. #81 vamos, que te han pillado con el carrito de los helados mintiendo.
    Pos fale.
    Enga, hasta luego.
  73. #8 ¿ A eso no se le llama "token", sino "clave", no ?

    Cosas de periodistas, supongo.
  74. #19 interesante. No caía en la cuenta de que una aplicación puede negarse a aceptar un certificado que no conozca.

    El desarrollador de una app tiene más control que el de una web.
  75. Pues ya sabés, el próximo bug, lo explotáis y os forráis. Al menos no os tocarán los cojones unos gilipollas.
  76. Es lo mínimo que puedes esperar de un país donde todos los altos cargos, políticos, jueces, etc... son analfabetos tecnológicos integrales. Hablamos de gente que navega con el Explorer y le llama "le internet"...
    Es como si fueras a la Edad Media a pedirles que legislaran sobre normas de tráfico aéreo.
  77. #32 Luego llorarán cuando la gente se ponga a publicar exploits directamente en foros de seguridad informatica sin haber dado un tiempo de parcheo y el aviso. Que que malos son los hackers...

    No dejan muchas alternativas...
  78. #52 No te voto positivo mil veces porque no puedo. Esa discusión la he tenido yo ya mil veces en mi trabajo :-(
  79. Pa que se le quiten las ganas
  80. #24 FGV sigue siendo una casa de putas pero con distinto chulo, de verdad.
  81. #11 Buena descripción. No conozco los detalles del caso, pero asumiendo que el ingeniero eso no estaba robando datos para su interés, me sorprende y mucho lo que están haciendo.
  82. #8 pero si hoy se hace todo via https, por lo que "esnifar" es inutil. Entiendo que en el caso de esta app el ssl no lo tendrían puesto
  83. #1 No sé, imagina que entras a tu casa y te ves a un chaval sentado en el sofá y te dice, señor, esa cerradura que tiene ahí no es segura, alguien podría abrirla con una tarjeta de crédito como he hecho yo. Y luego te da las buenas noches mientras se pira por la ventana y te dice "esta ventana...también esta mal, eh, a ver si la arreglamos, que se abre con un empujoncito de mierda".
comentarios cerrados

menéame