miércoles, 29 de abril de 2015

El grave fallo de seguridad que permite hackear miles de gasolineras

Cientos de gasolineras en España y miles en total en otros países son completamente vulnerables a ataques informáticos que, entre otras cosas, podrían poner en riesgo la seguridad de sus tanques de combustible. Un experto en seguridad ha destapado el fallo. Lo más grave: en España, por ejemplo, ni autoridades ni petroleras han solucionado aún el problema.
El agujero de seguridad lo destapó a finales de marzo Amador Aparicio, ingeniero superior en informática y especialista en seguridad. Su hallazgo, detallado por él mismo en un artículo en el blog Security by Default, fue preocupante: por descuido o negligencia profesional, muchas gasolineras tienen su propia red privada conectada a Internet y, lo grave, completamente desprotegida. A esta red interna se conectan todos sus sistemas, desde la caja registradora a los dispositivos de monitorización de los tanques de combustible. Aparicio descubrió no solo que la red está conectada a Internet y que los envíos de datos no están cifrados, sino que el acceso a sistemas críticos ni siquiera está protegido con una simple contraseña y nombre de usuario. Pudo entrar hasta la cocina, desde las cámaras de vigilancia o el TPV para cobrar a los clientes, hasta los sistemas de control de los tanques de combustible. De hecho, cualquier persona con mínimos conocimientos informáticos puede acceder y manipular a placer los sistemas de la gasolinera con consecuencias potencialmente muy graves.
Amador lo explica en conversación telefónica con Gizmodo en Español:
El fallo permite, por ejemplo, manipular el sistema de alarmas de los tanques de combustible. Cada gasolinera tiene unos tanques donde almacena combustible. Estos cuentan con dispositivos que monitorizan el estado de los tanques, su temperatura, si tienen gasolina o gasóleo, cuánto queda… Puedes entrar y desactivar sin problema las alarmas, como las de temperatura. Si la temperatura del tanque empieza a subir por un fallo técnico, el operario no recibiría ninguna alarma. Imagínate qué pasaría…
Desde luego, nada bueno.

¿Cómo es posible?

Amador destapó el problema partiendo de búsquedas en Shodan, un buscador que permite encontrar dispositivos (routers, servidores…) conectados a Internet. Buscó primero por un tipo de conversor utilizado en las gasolineras para enviar los datos desde los tanques de combustible al PC de un operario (en concreto, un conversor a Ethernet del tipo GC-NET2 32-DTE). Bingo. Encontró una lista de gasolineras que lo utilizaban.
Luego probé a buscar cuáles de estos conversores se conectaban al servicio Telnet para monitorizar los tanques en remoto, sin tener que acudir físicamente a la gasolinera. La sorpresa fue que hay decenas de gasolineras con estos equipos conectados a Internet y, además, no utilizan ni usuario ni contraseña. Habían dejado la configuración por defecto del sistema. Basta descargarte el manual de Internet, ver cuál es la configuración por defecto y entrar hasta la cocina”, explica.
Dicho y hecho. Pudo abrir sin problemas la consola de control que permite cambiar todos los parámetros y alertas de control de los tanques de combustible. Debajo, un pantallazo del sistema de una gasolinera en España conectado al servicio Telnet y sin securizar, completamente abierto a cualquiera (las IPs y datos críticos de identificación han sido tapados):
El grave fallo de seguridad que permite hackear miles de gasolineras
Debajo otro pantallazo obtenido esta misma semana en el que se ha accedido al control de las alertas de un tanque de combustible, conectado a Internet, sin cifrado y sin contraseñas y usuario, completamente abierto. Los campos “trigger input”, “message” o “priority” permiten configurar las alertas en casos de emergencia:
El grave fallo de seguridad que permite hackear miles de gasolineras
Amador no es el único que ha comprobado la vulnerabilidad. Javier Olmedo, programador y técnico informático, leyó el artículo de Aparicio y decidió probar por su cuenta. “Al buscar encontré al menos 400 gasolineras en España que están completamente sin securizar. Unas eran vulnerables a la monitorización de los tanques, otras ademas permitían modificar los niveles o hacer saltar alarmas por fugas (aunque realmente todo estuviese correcto), y otras acceder a cámaras de seguridad o a los servidores”, explica Javier por email a Gizmodo en Español.
Olmedo pudo comprobar, paso por paso, que el descubrimiento de Amador era tan preocupante como cierto. “Y la vulnerabilidad de los tanques no es la única”, dice Amador.
Al tener su red privada conectada a Internet y sin securizar, cualquier dispositivo que esté conectado a esa red es vulnerable. Pude acceder a las cámaras IP de seguridad y ver en tiempo real a la gente pagando o echando gasolina en el surtidor. Pude comprobar que varias estaciones de servicio tienen instalado Windows XP, sistema al que Microsoft ya no ofrece soporte desde hace un año. Y lo peor: tienen activado el escritorio remoto con los puertos abiertos. Es decir, cualquiera puede entrar y robar los datos de los clientes que han pagado con tarjeta, por ejemplo, o las imágenes de las cámaras de seguridad y subirlas a YouTube.
Traducido: un auténtica vergüenza, un caos de seguridad y privacidad en unas infraestructuras tan sensibles como las gasolineras.
En España hay en la actualidad unas 10.600 estaciones de servicio. Aparicio desconoce cuántas son vulnerables a ataques informáticos por este fallo, pero cree que el número es considerable. Prefiere no revelar el nombre de las compañías de las gasolineras afectadas, pero dice suficiente: “pertenecen a casi todas las compañías petroleras, entre ellas las principales del país”.

Repsol: “no vamos a comentar nada

El grave fallo de seguridad que permite hackear miles de gasolineras
Tras el hallazgo, Aparicio contactó en España con el Grupo de Delitos Telemáticos de la Guardia Civil. A través de diversos contactos lo puso en conocimiento de capitán del grupo,César Lorenzana. Sin embargo, parece que el asunto se ha quedado olvidado en la mesa de algún despacho. El Grupo de Delitos Telemáticos de la Guardia Civil asegura a través de su portavoz que no tienen constancia de ninguna denuncia oficial sobre el tema.
Desconocemos cuál es la situación. Para que la denuncia nos conste oficialmente se debe realizar mediante un procedimiento determinado. Quizás se ha trasladado a algún miembro del grupo de manera informal, en conversaciones privadas”, asegura telefónicamente el portavoz del Grupo de Delitos Telemáticos de la Guardia Civil. Hemos tratado de contactar repetidamente con el capitán César Lorenzana, sin éxito.
Sorprendentemente, el asunto tampoco ha hecho saltar las alarmas de las compañías petroleras. Gizmodo en Español ha podido confirmar que entre las gasolineras afectadas están estaciones de servicio de Repsol y Campsa. ¿Cómo es posible que un agujero de seguridad tan básico y tan grave no haya sido detectado y solucionado por las compañías? “Contamos con las máximas medidas de seguridad en todas nuestras instalaciones”, dice un portavoz de Repsol en conversación telefónica.
Claramente, la respuesta debe tratarse de una broma: el fallo de seguridad confirma justo lo contrario, que no cuentan con todas las medidas de seguridad necesarias. “No todas las estaciones de servicio de Repsol son propiedad nuestra, muchas son franquicias”, explica la compañía. Aún así, están bajo su marca. ¿No hay unos procedimientos básicos de auditoría de seguridad? ¿Cómo se explica un fallo así? “No vamos a comentar nada”.
Más allá de la burocracia y de compañías tratando de salvar su imagen, la realidad es bastante más serie y urgente. Ahora mismo los sistemas de cientos de gasolineras en España (y otros países) siguen destripados, abiertos a cualquier que quiera manipularlos. Hasta que no lo solucionen, la próxima vez que vayas a una gasolinera recuerda: alguien puede estar robando los datos de la tarjeta con la que acabas de pagar, grabándote desde la cámara de seguridad, o manipulando el tanque de combustible justo debajo de tus pies.
Fuente:http://es.gizmodo.com/

martes, 28 de abril de 2015

Tener visión es ver posibilidad y oportunidades


Cuando ingresas a trabajar en una empresa de IT sin importar su tamaño, uno se enfrenta con una nueva cultura y diferentes maneras de pensar que están impregnados en la cultura que construyó esta empresa.
 
Es muy común hoy en día en grandes y mediana empresas, especialmente las multinacionales, que los nuevos empleados pasen por los procesos de integración para conocer la cultura de la empresa y la forma en la que la empresa construye y establece su estilo de trabajo entre equipos.
 
Un paso importante para usted que está ingresando en una nueva empresa es tratar de entender todo sobre su forma de hacer negocios y ofrecer valor a sus clientes y de ser necesario conocer todo lo relacionado al sector que estas ingresando.
 
Para situarnos mejor en este asunto, conoceremos la historia de Leónidas y Agustin:
 
Agustin y Leónidas llegaron en la misma semana en una consultora que desarrolla software entre otras actividades, Leónidas en soporte técnico y Agustin como Analista de la prueba.
 
Agustin tenía 23 años y todavía estaba decidiendo si seguiría con la universidad o si seguía distintos tipos de certificaciones de as temáticas que a él le gustaban.
 
Pero Leónidas tenía 20 años y como sabía que quería ser un desarrollador de software y experto en SaaS, estaba cursando Ciencias de la computación y corrió detrás de algunas certificaciones en el área para demostrar sus conocimientos.
 
Luego de su ingreso en la empresa, ambos pasaron por el proceso de integración para conocer todos los equipos y áreas de la empresa.
 
Agustin, estaba muy interesado en ver que puesto podría estar libre en cada sector, como para postularse en un futuro, ya Leónidas se centró en hacer una muy amplia red de contactos internas con las demás áreas y entre los empleados involucrados en cada proyecto la compañía ya que pensaba que todos podrían enseñarle una o dos cosas acerca de cada actividad que la empresa estaba involucrada y proyecto que estaban desarrollando.
 
En el transcurso de los meses en la empresa, Agustin fue capaz de detectar algunas posiciones disponibles y decidió esperar cumplir por lo menos un año para postularse.
 
Como Leónidas ya había hecho contacto con diversos sectores y sobre todo en su área había ya construido la confianza de sus jefes/superiores, siempre comprometido con los procesos de la empresa y cumplir sus objetivos. No solo estaba comprometido en conocer las formas de negocio que la empresa ofrecía, sino que todo el tiempo que podrían mejorar las ofertas y aportar sugerencias para agregar valor a los clientes de la empresa lo hacía.
 
Antes del mínimo tiempo requerido para un ascenso en la compañía, Leónidas fue invitado a reemplazar el Programador despedido de la empresa y tuvo su primer contacto con el desarrollo de software en la empresa y Agustin pensaba que toda esa situación era una falta de consideración con él y decidió cambiar de empresa. Agustin ya venía de un cambio por la misma situación.
 
Agustin iría repetir esos cambios de empresas en varias ocasiones hasta que se dio cuenta que estaba tirando su carrera en la basura y se puso a estudiar para tener más posibilidades y estabilidad por más que a él esa idea mucho no le gustara.
 
Ya Leónidas siguió creciendo en su empresa y después de mucho tiempo, decidió construir su propia compañía de desarrollo de software SaaS, aprovechando los conocimientos y know-how que adquirió.
 
Después de mucho tiempo y el éxito de la empresa de Leónidas, Agustin y Leónidas se encontraron otra vez y después de algunas conversaciones, Agustin fue invitado a trabajar en el área de pruebas de la compañía de Leónidas, como su empleado.
 
¿Sabías que además de Agustin, hay varios jóvenes que han entrado y salido de  muchas empresas pensando en ganar más y tener un buen puesto y no piensan en su crecimiento profesional y la posibilidad que lo rodean.
 
Leónidas siempre fue un joven con una visión empresarial y entendió que si quería crecer y construir una carrera exitosa, necesita más que conocimientos, necesitaría construir relaciones importantes y realmente comprometerse con sus objetivos profesionales.
 
Hay un concepto donde la idea es desarrollar la capacidad de una mentalidad emprendedora aunque seas un empleado de una empresa.  La misma trata de construir en el empleado la visión del dueño de la empresa y que el mismo se comprometa con los resultados que está entregando a la empresa en que trabaja y los clientes de esta. Aprender a tener visión mucho más allá de su tarea y entender los negocios. 
 
Tener visión es ver posibilidad y oportunidades donde nadie es capaz de ver o peor aún, donde la mayoría está viendo una crisis.
 

miércoles, 22 de abril de 2015

Wearable. ¿Sólo una moda pasajera?


 
Es un error pensar que las Wearable computers son sólo una moda pasajera. Los militares estadounidenses ya utilizan ordenadores de muñeca desde 1989 para ayudar a los soldados en los combates. Los atletas ya utilizan hace un largo tiempo relojes que controlan los latidos del corazón durante el ejercicio. Ancianos japoneses utilizan sensores de movimiento para alertar a servicios de monitoreo en caídas en casa. Es decir, Wearable  ya es una realidad hace mucho tiempo. La novedad es con el lanzamiento de Apple Watch, Samsung Gear o el Moto 360 que muestran la atención en explorar nuevas posibilidades.

Los Wearables tienen varias características que pueden utilizarse para las aplicaciones. Sensores de movimiento pueden ser usados en juegos. Sensores de temperatura ayuda en el control de la condición física de los usuarios. Con las señales de muñeca impedir que las personas miren el teléfono todo el tiempo.

Con la popularización de los Wearables surgirán muchas otras aplicaciones. Los desarrolladores tendrán más incentivos para crear nuevas soluciones y debe crecer el mercado. Las previsiones IDC es la comercialización de 45 millones de unidades en 2015 y 126 millones hasta 2019.

Con la proliferación de los Wearables crece la cantidad de datos. Esto seguramente debe impulsar nuevas aplicaciones Big Data en entornos Cloud Computing. Una cosa lleva a la otra.

lunes, 13 de abril de 2015

Web application security tests en una única imagen

Como profesional, estudiante y entusiasta del tema seguridad, ya leí diversos posts, asistí decenas de entrenamientos e leí varios libros, pero en muy pocas ocasiones he encontrado algo, como la imagen abajo, que presenta de forma clara y objetiva, como son realizados los testes de instrucción focalizados en aplicaciones Web.


Web Application Testing v1.1


View Full Size
  --  Image Only  

Luego les dejo la lista complete de mind maps de Aman Hardikar que están muy buenos como apoyo.

Security Tests v1.0
Cryptography v1.1 
VoIP v1.1
Hacking Practice Lab v2.4 
Infrastructure Testing v1.2 
VMs and LiveCDs v1.7 
ISO 27001:2013 v1.1 

View Full Size  --  Image Only 
Virus Classification v1.0 
Code Review v0.1draft 

View Full Size  --  Image Only 
Securing Home Computers v1.1 
PKI v1.2 
VPN v1.1 
Forensics Practice Lab v1.1 
Wireless Network Review v1.5 
Useful Browser Plugins v1.6 
PCI DSS v3 v1.1 
Worm Classification v1.0 
Forensics v0.1draft 




domingo, 12 de abril de 2015

Enigma en fotos y desde varios ángulos


Simon Singh, el autor del libro "The Code Book", público em su sitio un conjunto de fotos em alta resolução da Máquina Enigma - ou melhor, da Máquina Enigma DELE !!!
Las fotos están muy buenas – un trabajo espectacular que captura varios  ángulos de las máquinas.


Las fotos están disponibles para uso no-comercial, y el apenas pide que, cuando utilizadas, sea dado o debido crédito: “Courtesy of Simon Singh“.



Vale recordar que el site de Wikimedia Commons también dispone alunas fotos y diagramas de la Maquina Enigma. Como las que se usaron durante la guerra.

miércoles, 1 de abril de 2015

Baufest desarrolló una plataforma de procesamiento transaccional y gestión de tarjetas de Oh! Gift Card


La empresa invirtió $ 1,8 millón y permite atender el incremento de las demandas de los clientes y acompañar el crecimiento del negocio.
Oh! Gift Card, la empresa dedicada a la emisión, procesamiento, distribución y comercialización de tarjetas de regalo de más de 100 marcas de indumentaria, jugueterías, electrónica, artículos para el hogar y otros rubros, invirtió $1,8 millón e implementó una nueva plataforma desarrollada por Baufest que les permite escalar el negocio y hacer frente a la mayor demanda de los clientes.
En el año 2014, las ventas de tarjetas de regalo que se operaron a través del sistema de Oh! Gift Card alcanzaron los $45 millones. Las ventas de productos y servicios de la empresa fueron de $18,3 millones, con una facturación de $13, 4 millones.
El crecimiento de los canales comerciales de la marca se apoya en desarrollos tecnológicos, como herramientas para gestión y envío de tarjetas de regalo virtuales, aplicaciones móviles, sistemas de fidelización e incentivos para empresas, e integraciones con catálogos de premios. Por este motivo, contar con una solución escalable y robusta era clave.
En la Argentina el nivel de actividad de las tarjetas de regalo es bajo en comparación con otros países, por lo cual esperamos un crecimiento de este mercado. Nuestro enfoque de negocios integra todos los servicios que componen la cadena de valor de la industria”, explica Cruz González Smith, director de la empresa.
La compañía diseñó junto a Baufest una solución a medida con tecnología que permite hacer frente a la demanda de nuevos clientes y el creciente volumen transaccional de tarjetas y tiene en cuenta todo el proceso de la gestión: recepción de tarjetas físicas o virtuales, liquidación y facturación. Esta nueva versión está desarrollada en Java y utiliza, entre otras tecnologías Akka-Camel, Play Framework y Bootstrap. Este mix de tecnologías permite disponer de un sistema que soporta un alto volumen de transacciones sin un consumo excesivo de recursos.
Este modelo de desarrollo es un ejemplo de “arquitectura reactiva”, que permite que plataformas como Twitter puedan soportar el incremento de la capacidad de procesamiento en función de los usuarios, al tiempo que admite picos de uso muy por encima del promedio.
Entre las ventajas de esta nueva solución se destacan las facilidades en el acceso y la disponibilidad de la información. Asimismo, tiene mejor herramientas de trazabilidad y gestión, y es más rápida para realizar las operaciones.
Para más información visite www.baufest.com