Graves fallos de seguridad en sistemas de RENFE y Metro

Escrito por Adrián Crespo
Seguridad
5

Cada día que pasa podemos ver cosas más que asombrosas, pero lo que se ha podido ver en el Defcon de Las Vegas supera lo asombroso.

Durante el último día de conferencias hemos podido ver a un investigador español, Alberto García Illera, que ha demostrado la forma en la que se puede acceder al sistema de control de transportes RENFE y Metro utilizando un terminal de los que se puede encontrar en cualquier estación y que el usuario puede utilizar para comprar billetes.

García Illera ha demostrado las acciones que se pueden llevar a cabo gracias a los graves fallos de seguridad que posee el sistema.

Desde obtener abonos de metro con descuentos de personas de la tercera edad, hasta poder acceder a las cámaras de seguridad de las estaciones pasando por la lista de tarjetas de crédito que han sido utilizadas por las personas para realizar la compra de billetes en los terminales. Estos sólo son algunos de los fallos de seguridad que existen en los sistemas que controlan los Metro de nuestro país y las estaciones de Renfe de toda España.

Fallos de diseño y sistemas operativos obsoletos

Alberto ha querido destacar durante su ponencia las causas a las cuales se deben estos graves fallos de seguridad. En primer lugar ha destacado fallos de diseño en las aplicaciones que muestran poca depuración de errores en su programación los cuales, permiten que el terminal pueda ser controlado por una persona totalmente externa o de forma remota utilizando características DNS.

El punto fuerte de la ponencia ha sido cuando ha demostrado la facilidad con la que se puede acceder al sistema embebido que controla los terminales. Utilizando el mismo terminal que utilizó para demostrar todo lo anterior, ha conseguido acceder con una facilidad pasmosa al sistema operativo (un Windows XP obsoleto y desactualizado) obteniendo permisos de administrador. Una vez dentro, se pueden conseguir desde las listas de todos los números de las tarjetas de crédito que han sido utilizados en cada uno de los terminales, hasta adquirir billetes en cualquier terminal de forma totalmente gratuita.

El investigador español ya ha demostrado su interés para colaborar para subsanar este tipo de problemas que hablando de seguridad siempre son graves, y más si datos personales pueden llegar a ser comprometidos.

¿Por qué estos problemas de seguridad tan graves en servicios públicos?


Noticias relacionadas

Comentarios


5 comentarios
  1. Eli Diota 30 Jul, 12 19:59

    Lastima que no sea publica la forma de hacerlo…

    Responder
    0
  2. xmz 31 Jul, 12 5:31

    La web de renfe siempre ha sido una basura, entre otras chapuzas hay muchas veces que no puedes comprar un billete después de las 12 de la noche.
    Pero lo que no me puedo creer, es que estos mangarranes guarden números de tarjetas de crédito en un windows XP.
    Si es así debería de ir mas de uno a la carcel directamente.

    Responder
    0
  3. Anónimo 31 Jul, 12 10:16

    La web de renfe esta hecha a pedazos y hecha pedazos. no me extraña. Sobre los terminales de las estaciones, joder que cagadas con el programa….

    Responder
    0
  4. Mazmardigan 31 Jul, 12 11:08

    Estas son las consecuencias de que los informáticos no tengamos colegio y por lo tanto cualquiera pueda firmar un proyecto de estas dimensiones. Que luego no se quejen y no pidan responsabilidades.

    Responder
    0
  5. infor 31 Mar, 13 14:21

    este chico es una hacker mediocre que ha estado en la carcel… no os fieis, solo quiere darse fama. no ha conseguido nada

    Responder
    0