tag:blogger.com,1999:blog-21555208.post3577419286462832869..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: Una historia de hackers, bugs en aplicaciones y la web de MovistarChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger24125tag:blogger.com,1999:blog-21555208.post-33513458919672848862019-08-13T03:05:43.426+02:002019-08-13T03:05:43.426+02:00Veo tanta gente con conocimientos enormes a cerca ...Veo tanta gente con conocimientos enormes a cerca de estos temas que están profundamente escudriñados y mi punto de vista es el siguiente<br /><br />.<br /><br /><br />Gracias por su atención.<br />Sigan en lo suyo amos de la tecnología.<br />Anonymoushttps://www.blogger.com/profile/04947698596473215596noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-81653987571495774052019-02-21T03:32:02.219+01:002019-02-21T03:32:02.219+01:00@Josemaría la externalización en Telefonica/Movist...@Josemaría la externalización en Telefonica/Movistar sigue siendo la misma o más, nada ha cambiado, yo trabaje en el centro de datos de Julian Camarillo de Telefónica y desde hace 10 años he pasado por varias empresas subcontratadas, en cada una reducción de sueldo, yo cuando no entre en la última (multinacional de la India por cierto) me ofrecían 10000 euros anuales de sueldo y llegue a cobrar 15000 en mis inicios y los que estuvieron antes de que entrase yo cobraban más, últimamente metian a cualquiera, rotación tremenda como tu dices, he visto entrar gente de la que no les fiarias ni un euro, auditores pasar por alto fallos escalofriantes en sus auditorías al centro de datos (decíamos los empleados de broma que les pagarían servicios de señoritas de compañia a cambio de tales omisiones), pésimo control de seguridad (los de seguridad también cada vez peor) y asi con todos los departamentos que habia alli en el edificio de Julian Camarillo y otros (Distrito C y Alcalá de Henares) menos jefazos es todo subcontratado y becarios, ay aun me acuerdo de los amigos que curraban igual de mal subcontratados como yo en Telefonica Moviles. Gonzaluskaxhttps://www.blogger.com/profile/14953498890411594899noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-33572162643029393982018-08-17T18:47:30.495+02:002018-08-17T18:47:30.495+02:00Vamos a ver, a los que dicen que Chema está escurr...Vamos a ver, a los que dicen que Chema está escurriendo el bulto es porque sois de aquellos twitteros que habláis de Seguridad y jamás habéis pisado una empresa en vuestra vida, ni sabéis como se gestiona la seguridad, añadamos a esto, que no habéis leído el articulo completo, de hecho, ni siquiera lo leísteis como para hablar<br /><br />Un articulo así de completo nadie lo hace, y más detallando las vulnerabilidades de forma frontal! Yo también he reportado múltiples vulnerabilidades y he detallado, como no podría ser de otra manera, las mismas a los implicados en cada caso, obviamente, mi criterio es que si no lo corriges en 2 semanas, vas al paredón publico, pero ojo! tienen todos los detalles posibles y pueden preguntarme de forma abierta sobre las vulnerabilidades o contratarme para cerrarlas durante esas 2 semanas previas al disclosure, todo vale!<br /><br />Ahora bien, en este caso es claro que el que descubrió la vulnerabilidad quería aprovecharse de la situación, y en un hecho sin precedentes, sin ética, sin moral y sin escrúpulos, no reporto de forma clara la vulnerabilidad y SI quería que todos la explotaran! Si, Telefónica se hubiese perjudicado, pero aún más los usuarios, que son los que más importan en todo este rollo!<br /><br />Davidhttps://www.blogger.com/profile/00578034181060831997noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-46633866355228928112018-08-08T17:18:09.247+02:002018-08-08T17:18:09.247+02:00Ramz
Ramz<br />Anonymoushttps://www.blogger.com/profile/08320843283429706990noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-49747241542494325552018-07-26T14:45:47.948+02:002018-07-26T14:45:47.948+02:00Opino lo mismo que tú sobre full-disclosure, pero ...Opino lo mismo que tú sobre full-disclosure, pero los de Facua están calentitos desde hace tiempo con Telefónica por un burofax un poco intimidante que recibieron hace ya tiempo [1], e imagino que querían pegar fuerte esta vez, aprovechando las nuevas leyes de GDPR para que le cayera una multa gorda a Telefónica.<br /><br /><br />[1] https://www.elconfidencial.com/tecnologia/2015-11-11/guerra-entre-telefonica-y-facua-por-la-subida-en-las-tarifas-de-movistar-fusion_1091436/NetVicioushttps://www.blogger.com/profile/04005221340226294302noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-74557129595265579032018-07-24T15:22:40.286+02:002018-07-24T15:22:40.286+02:00Pobre persona...eso de tirar mierda al otro para q...Pobre persona...eso de tirar mierda al otro para que la tuya huela menos...NO AYUDAemilitingohttps://www.blogger.com/profile/09654877643530816428noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-77966348085756505842018-07-24T01:31:56.098+02:002018-07-24T01:31:56.098+02:00Me alegra leer un comentario realista sobre algo t...Me alegra leer un comentario realista sobre algo tan grave como la exposición de datos de clientes de la manera más tonta posible.... esta entrada de puro bla-bla-bla es solo para escurrir el bulro mientras don gorrito andsnñor las vegas jajajaja encima diciendo si pensando en volver para “trabajar” con sis compañeros jajajajaja es de risa... crixtohttps://www.blogger.com/profile/11353743276132210867noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-50497089443551197762018-07-23T22:38:20.648+02:002018-07-23T22:38:20.648+02:00Cuanto cobra el becario que arregló el bug y cuant...Cuanto cobra el becario que arregló el bug y cuanto cobras tu por hacer solo bla-bla? Dhttps://www.blogger.com/profile/12070274778968138556noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-9880030394490136962018-07-23T22:14:45.627+02:002018-07-23T22:14:45.627+02:00Estoy de acuerdo en eso, pero no en la forma de es...Estoy de acuerdo en eso, pero no en la forma de escurrir el bulto.Anonymoushttps://www.blogger.com/profile/16499183095051049858noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-74424276362865230042018-07-23T22:13:48.327+02:002018-07-23T22:13:48.327+02:00Si, hay bugs, pero no de este calibre. Nadie esta ...Si, hay bugs, pero no de este calibre. Nadie esta diciendo que no haya bugs. Lo que la gente está diciendo es que este bug es de manual de como no hacer las cosas.Anonymoushttps://www.blogger.com/profile/16499183095051049858noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-59886056887188563432018-07-23T20:07:57.802+02:002018-07-23T20:07:57.802+02:00Yo estoy completamente en contra de la politica de...Yo estoy completamente en contra de la politica de Full disclosure. Hacer publica una vulnerabilidad es ponerselo facil a los atacantes, y eso no debe hacerse nunca. Pone en peligro a los usuarios cuando aun no está reparado el fallo y pone en peligro tambien a aquellos que no pueden subsanarlo instalando parches (como por ejemplo los usuarios corporativos o con sistemas antiguos). Una vulnerabilidad solo debe ser conocida, idealmente, por los encargados de resolverla y el que la descubrio. Toda divulgacion publica es dañar a los usuarios.acerswaphttps://www.blogger.com/profile/16738593743492601786noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-35595589328415518172018-07-23T19:32:01.567+02:002018-07-23T19:32:01.567+02:00Buenas ! Quisiera dar mi punto de vista. Soy softw...Buenas ! Quisiera dar mi punto de vista. Soy software engineer, y no he trabajado en telefónica, pero si he trabajaro en un par de las principales compañias del mundo de la tecnología <br /><br />Pensar que un producto tecnologico, hecho por la empresa que sea y con los recursos que se quiera, no va a tener fallos , bugs, brechas de seguridad ... etc es simplemente idiota. Probablemente los que lo pensais no habeis escrito nada minimamente complejo. <br /><br />Iván Ruizhttps://www.blogger.com/profile/10447429055716503793noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-2483747865689540512018-07-23T18:13:03.855+02:002018-07-23T18:13:03.855+02:00Bonita forma de escurrir el bulto, Chema: matar al...Bonita forma de escurrir el bulto, Chema: matar al mensajero. Tanta parrafada inútil para excusar algo que no tiene excusa.Ramón Solahttps://www.blogger.com/profile/02984589351421448465noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-22926790697987554312018-07-23T16:45:19.217+02:002018-07-23T16:45:19.217+02:00Trabajo para una empresa americana que perfectamen...Trabajo para una empresa americana que perfectamente puede competir con Telefónica. Tenemos un bug bounty publico, el propio equipo de seguridad revisa el codigo que maneja PII (Personal Identificable Information). Lo siento, pero no te compro que en todas las empresas estas cosas pasan. Como mínimo, la persona responsable de esto debería haber dimitido.<br /><br />Fallo de QA? Acaso solo hay un equipo de QA? No se hacen revisiones de código entre companeros, entre departamentos?<br /><br />El fallo fue en vuestra pagina web PRINCIPAL! Manejando información crítica (direcciones, DNIs, nombres, numeros de cuenta, etc). Eso no es un pequeño fallito.<br /><br />Si, pequeños fallos de seguridad pueden ocurrir (invalidar sesiones que no son tuyas, bloquear cuentas por contraseñas incorrectas, CSFR mal manejados) pero no dejar al descubierto la factura de cualquier cliente que contiene TODA su información personal. Eso es una cagada en toda regla.<br /><br />Si, en mi empresa se hacen postmortems, utilizamos tecnicismos como los que tú escribes, pero ante todo, intentamos hacer un buen trabajo y reconocer nuestras cagadas. <br /><br />En mi empresa, un sistema que da acceso a información tan tonta como un apellido, se revisa el código 100 veces, se hacen pentest internos y despues se vuelve hacer lo mismo, se utilizan auditores externos, y cuando finalmente se está satisfecho, se pasa el código a producción. Si alguien ańade un simple print a ese código, la auditoría comienza de nuevo.<br /><br />Un sistema que da acceso a facturas es CRITICO. Un bug por modificación de URL demuestra una falta de rigor técnico que asusta.<br /><br />Hace cosa de 2 ańos reporte un bug en un portal de RIMA (Telefónica) que usando el usuario y contraseña DEMO/DEMO daba acceso a algunas gráficas de peering de algunos clientes nacionales.<br />Tardasteis 4 meses en responder a mi correo y solucionarlo. <br /><br />Lo siento, pero no te compro que “estas cosas pasan”.<br /><br />Como he mencionado más arriba, pequeños fallos de seguridad que no exponen la información de todos sus clientes, ocurren en muchas empresas, pero no cosas como esta, o por lo menos, en empresas de este calibre.<br /><br />Pones como ejemplo a Google, perfecto. Esta fue de las mayores cagadas y el mayor bug bounty pagado hasta la fecha.<br /><br />https://www.google.co.uk/amp/s/www.bizjournals.com/sanjose/news/2018/01/22/google-bug-bounty-android-guang-gong-goog.amp.html<br /><br />Si te lees el CVE, veras como únicamente si se alinean los astros, tal vez, remotamente, se consiga acceso a una parte de Android.<br /><br />Google maneja los datos de billones de personas. Microsoft los datos de cientos de millones de personas. Hasta la fechas, no he escuchado que han tenido un problema de seguridad exponiendo toda la información de TODOS sus clientes modificando una estupida URL.<br /><br />Hablemos con propiedad.Chrishttps://www.blogger.com/profile/00532685340283057763noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-81614328113938844152018-07-23T14:20:28.135+02:002018-07-23T14:20:28.135+02:00¿Y con este bug no tendrá que ver que en Telefónic...¿Y con este bug no tendrá que ver que en Telefónica hay "becarios" y "becarios senior"? Yo ahora mismo hace tiempo que no trabajo para Telefónica, pero he trabajado para Telefónica hace bastante y mientras estuve allí descubrimos (en pruebas, donde se tienen que descubrir estas cosas, por cierto) exactamente lo mismo; un tipo ponía el id de la factura en una petición GET, ahí, golosa para la vista, y sacaba la factura que hubiera en el parámetro del GET sin validar nada más. Es que pedía a gritos cambiarlo a ver que pasaba. Yo fui muy educado y dije que eso se podría mejorar, pero otro con menos tacto dijo que el fulano no sabía programar. ¿La solución final por las fechas y tal? Pues se pone en formulario en POST y así al menos hay que saber algo para sacar facturas que no sean tuyas porque no canta en la barra de direcciones. Quiero pensar que la solución esta vez no ha sido pasarlo a POST...<br /><br />Pero el problema de fondo es que mesa de compras racanea, paga poco y por eso las consultoras os mandan becarios. Y RRHH contrata becarios que además piensan que saben mucho más de lo que creen porque, bueno, son de Telefónica.<br /><br />Hacer las cosas bien tiene un coste. Normalmente no se nota cuando se hace con los pies, pero esta vez ha cantado. Y tú te enfadas con el que ha dado la noticia. Enfádate mejor con los que piensan que es igual que las cosas las haga un "recurso" o las haga otro "recurso".eneashttps://www.blogger.com/profile/09325166280732367898noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-53398818629726069702018-07-23T13:04:59.127+02:002018-07-23T13:04:59.127+02:00Esto no va de empresas queridas, desqueridas, amad...Esto no va de empresas queridas, desqueridas, amadas u odiadas. Los gustos, filias, fobias o paranoias detrás de un reporte de seguridad son irrelevantes. Esto va de responsabilidad o de irresponsabilidad. Y en este caso, por lo que leo, va de una irresponsabilidad como pocas veces he visto en mi vida profesional.<br /><br />Esperar a una rueda de prensa para comunicar casi simultáneamente a la empresa afectada y al público la existencia de una vulnerabilidad que afecta a datos de ciudadanos es simplemente irresponsable, imprudente, insensato …. Y si me apuro, hasta infantil. ¿Qué preocupación real tenía el denunciante por la privacidad (derecho fundamental) de los usuarios de Telefónica, ciudadanos corrientes y molientes, en el momento de decidir sobre que hacer con esa información? <br />El equilibrio entre el “Medal Management vs Responsible Disclosure” es un clásico en el mundo de la seguridad, y tenemos la historia llena de encuentros y desencuentros al respecto (los más sonados últimamente los relacionados con Google y Microsoft al respecto de vulnerabilidades en Chrome y Edge). Pero en todos ellos, JAMAS se ha expuesto como en este caso de forma tan cruda el desprecio por la seguridad del potencial afectado (lease, usuario, ciudadano, consumidor etc..). La discusión se centraba en opinar sobre si el tiempo dado para resolver un problema era suficiente o no para haberlo corregido antes de su publicación. Hablamos de semanas, meses…. Pero en este caso ….¿¿¿Horas???? y en una Rueda de Prensa???<br />Afortunadamente para sus usuarios, Telefónica ha encontrado la forma de responder de forma rápida y corregir en horas el problema.<br />¿Qué hubiera pasado si el problema hubiera sido más complejo, con incidencias en otros sistemas o servicios y el problema hubiera tardado en resolverse digamos…. ¿Un mes? ¿Un mes con todos los datos de los clientes de Movistar expuestos de forma irremediable? ¿No se habría convertido el denunciante en parte fundamental del problema a cambio de un minuto de “gloria”? <br />En Resumen, y para la próxima. No se trata de ocultar vulnerabilidades encontradas en el mundo de la seguridad. Todo lo contrario. La seguridad por ocultación simplemente no es seguridad. Se trata de reportarlas en la forma y tiempo adecuado para minimizar el riesgo al que se expone a los usuarios potencialmente afectados. Pero no por ello “renunciar” al reconocimiento del esfuerzo y mérito de haber identificado esa vulnerabilidad. En absoluto. Pero eso ha de producirse, y de hecho afortunadamente es así en la inmensa mayoría de los casos, una vez resuelto el problema y protegido a los usuarios. Otra cosa es un lamentable desequilibrio en la gestión de la medalla.Héctorhttps://www.blogger.com/profile/17204819376655049241noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-11606300589855454222018-07-23T12:43:07.777+02:002018-07-23T12:43:07.777+02:00Pues sinceramente, siendo la empresa que es, con l...Pues sinceramente, siendo la empresa que es, con los recursos que tiene, intentar excusar un fallo de seguridad es simplemente, ridículo. Creo que en este tipo de empresas, digamos el TOP 10 mundial, o TOP 20, o 50 me da igual, la única respuesta válida es que alguien asuma su responsabilidad y salga por donde tenga que salir.<br /><br />Como has dicho Chema, el que descubre un "bug", yo lo llamo brecha de datos en este caso, es libre de elegir cómo, cuándo y dónde lo hace público. Si esa acción que toma tiene consecuencias legales, ya se verá donde se tenga que ver, pero en ningún caso son los culpables de todo este embrollo. ¿Qué pensarías si hoy, dentro de esas empresas del TOP 50 mundial se conociera otra brecha de información? ¿No estarías asustado por lo que haya podido pasar con tus datos? Seguro que no querrías explicaciones, sino soluciones y respuestas proporcionadas a la gravedad del asunto.blackwallhttps://www.blogger.com/profile/01903085588784985704noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-72225961693131117912018-07-23T12:03:47.280+02:002018-07-23T12:03:47.280+02:00@Josemaria , han pasado 18 años de aquello , igual...@Josemaria , han pasado 18 años de aquello , igual lo inteligente antes de postear es hacer un apt-get update o un sleep() hasta tener datos reales. SaludosAlvariCokehttps://www.blogger.com/profile/09479223160860597388noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-30399041460679263892018-07-23T10:26:04.902+02:002018-07-23T10:26:04.902+02:00@Raul: el problema es el de siempre. Externalizaci...@Raul: el problema es el de siempre. Externalización y reducción de costes. Repito que hablo de hace años, pero en torno al 2000 toda la parte de facturación de telefónica estaba subcontratada "al mejor postor" con una rotación tremenda en los equipos debido a los sueldos de penuria y las lamentables condiciones de trabajo. Repito también que espero que desde entonces las cosas hayan cambiado, pero en aquellas circunstancias considero que es muy difícil construir sistemas que cumplan unos mínimos.Josemariahttps://www.blogger.com/profile/08799686486156229283noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-29525353065381792462018-07-23T10:20:01.291+02:002018-07-23T10:20:01.291+02:00Lo que no me parece bien es que se anuncie en un c...Lo que no me parece bien es que se anuncie en un comunicado a bombo y platillo que se han comprobado los datos y no ha habido fuga de datos cuando como mínimo los que encontraron el bug y los de facua habían accedido a datos de las personas. <br /><br />Por otra parte es lo que siempre pienso, que en España no hay buenos programadores y los pocos que he conocido han emigrado al extranjero. Se sigue programando como si fueran unas prácticas de primero de carrera y entre esto y el anterior fallo de no actualizar a los últimos parches de Windows y luego oigo al ciso de Telefónica echar las culpas de eso a la falta de formación de los propios trabajadoresRaulhttps://www.blogger.com/profile/15199483925868583992noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-50339096602536977922018-07-23T10:18:39.875+02:002018-07-23T10:18:39.875+02:00Por cierto: conozco Telefónica desde dentro. Creo ...Por cierto: conozco Telefónica desde dentro. Creo que ya te lo he dicho alguna vez. Estuve tres años trabajando en OSI. Tenían un personal de sistemas maravilloso. Aprendí mucho con ellos... Pero, sin embargo, un desprecio casi absoluto por la seguridad. Eran otros tiempos (alrededor del año 2000) pero te puedo contar anécdotas absolutamente escalofriantes de aquellos tiempos. Y lo digo realmente en serio. Imagino que el hecho de que vosotros esteis ahí ahora indica que las cosas han cambiado mucho. O eso espero.Josemariahttps://www.blogger.com/profile/08799686486156229283noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-37572784072813327912018-07-23T10:12:34.585+02:002018-07-23T10:12:34.585+02:00No entiendo esa agresividad Chema. No hablo de gen...No entiendo esa agresividad Chema. No hablo de generalidades. Hablo de una impresión sobre ambas empresas que, me atrevería a decir es casi estadísticamente demostrable y que estoy seguro, conoces de sobra. Ni siquiera juzgo que sea fundamentada. Digo que existe. Punto. Y si no quieres verla es que miras para otro lado. En cuanto a ese reparto de culpas del que hablas tampoco refleja para nada lo que quería decir. Digo (y tu reconoces) que ha sido un fallo por parte de los equipos que auditan la seguridad en vuestros sitios. Justificable o no, pero ha sido un fallo. Y también digo que estoy de acuerdo contigo en que no ha sido una forma correcta de actuar por parte de la gente que ha reportado el bug. En ningún caso me meto en quien la ha metido mas gorda. Un poco de tranquilidad, por favor, que es lunes y muy temprano.Josemariahttps://www.blogger.com/profile/08799686486156229283noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71651281702092391492018-07-23T10:02:15.677+02:002018-07-23T10:02:15.677+02:00@Josemaría, no voy a entrar a debatir todas las ge...@Josemaría, no voy a entrar a debatir todas las generalidades que dices sobre Telefónica o Microsoft, que los que argumentan sin dar datos concretos nunca me han gustado. Hacer totum revolutum en un comentario es la forma más sencilla de hacer FUD. Hablas de los 127.000 empleados directos de Telefónica que estamos luchando todos los días con mucha frugalidad y no me gusta.<br /><br /> En cuanto al fallo, que es de lo que trata este artículo, creo que he sido claro, detallista y no he escatimado un minuto de tiempo en explicar todo lo que puedo contar hasta el momento. Si tu visión es que es 50% para seguridad y 50% para los que lo han reportado, es que, o no me he explicado bien, o no lo has leído correctamente.<br /><br />Los bugs existen y existirán. Los que inyectan el bug no son los de seguridad, son los del sistema en sí. Los de seguridad tienen la misión de detectar los más posibles y de gestionar el 100% de los que se detecten, y ahí lo han bordado. <br /><br />Lo otro... creo que he sido suficientemente claro en el post. Si yo doy una rueda de prensa de cada XSS, SQLi, RCE, BLDAPi que reporto no me da la vida. <br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-85516781642447146382018-07-23T09:29:39.799+02:002018-07-23T09:29:39.799+02:00Telefónica no es una empresa "querida" e...Telefónica no es una empresa "querida" en nuestro país. Imagino que ya lo sabías cuando fichaste por ella. Ese abuso de posición dominante y de chanchullos políticos en su directiva durante tantos años (y, ejem, aún ahora...) sigue pasando factura a su imagen. Igual que siempre has sabido que Microsoft tampoco es una empresa querida y has elegido posicionarte apostado por ella. Ahora viéndolo con distancia se ve que es una constante en tu trayectoria :-) Independientemente de eso, estoy de acuerdo contigo en que se trata de un error lamentable e inexcusable por parte de los equipos de seguridad de telefónica pero también por parte de quienes reportan ese bug. Fail-Fail para ambos ;-) Ánimo y a seguir peleando Chema.Josemariahttps://www.blogger.com/profile/08799686486156229283noreply@blogger.com