martes, julio 01, 2014

BiciMad, BonoPark, un pene erecto y denuncias por doquier

En la capital del mundo para los que de allí somos, la bella y linda ciudad que está centrada en la antaño región de Carpetani, se lanzó con notable éxito de afluencia el servicio BiciMad, una plataforma para poder alquilar vehículos no motorizados de dos ruedas y dos pedales, para con un manillar jugarse la vida lidiando entre autobús de la EMT, el motorista que toma la rotonda de Cibeles en "casco rojo" y coche buscando parking para no pagar zona verde, que va a precio de "sirlion del güeno".

En una semana de puesta en marcha ya tenía 4.000 usuarios registrados en el sistema y se habían pedido más de 6.000 servicios de alquiler. Todo iba de dulce y la alcaldesa pudo hacerse una foto de esas que gustan a los políticos.

Figura 1: La alcaldesa de Madrid en la presentación de BiciMad

Pero...como la gente no aprende, una vez más BiciMad, o mejor dicho, BonoPark, la empresa adjudicataria se había olvidado de hacer los deberes en temas de seguridad, y la cagó, cual Kobe Bryant, haciendo un triple desde el medio del campo:
1) Mal dimensionamiento del servicio: Al poco del lanzamiento entre faustos y algarabías, el servicio se cayó. No es que hubieran sufrido un ataque cibernético de DoS o DDoS, nada más lejos de la realidad. Simplemente el uso normal de los clientes en primera instancia llevó a la lona el servicio 
¿Cómo es posible que el servicio sufriera una denegación de servicio solo por la demanda de usuarios? Si esto ha sido así solo por el uso, hay que suponer que no tienen AntiDDoS ni nada similar, así que en el momento en que alguien le apunte una botnet o haga un ataque de amplificación, esto se va al suelo otra vez. 
Figura 2: Un kiosco de BiciMad sin servicio 
2) Sin auditoría de seguridad web: Clama al cielo ver que en la auditoría que le hicieron inicialmente, con cariño y sin necesidad de que la solicitaran, se pudiera ver que se habían dejado hasta las claves de los certificados publicadas.
Figura 3: Directory Listing en la web de BiciMad y ficheros de claves .pem
Con sus directory listing, con sus APIs sin proteger y con el volcado de todos los datos de la base de datos. Eso sí, como ellos dicen, nunca han sido hackeados.

3) Los kioscos interactivos, también si auditar: Ni sé ni cuantas veces he insistido en que cuando pones un Punto Interactivo, o un kiosco en los que los usuarios tienen acceso físico, la cosa puede acabar en drama. Ya he publicado múltiples ejemplos de estos fallos, pero en esta ocasión en BiciMad, la cosa llegó a las manos, o mejor dicho, a los penes, y acabó sufriendo el defacement de un pene que ha dado la vuelta al mundo.
Figura 4: El vídeo del pene de marras en el Totem de BiciMad 
Este ataque parece un homenaje al hacker que hizo algo parecido en la autopista de Moscú, poniendo un vídeo porno en un video-wall causando kilómetros y kilómetros de atascos, que sólo podrían haberse resuelto si los ciudadanos de Moscú pudieran disponer de un servicio de alquiler de bicicletas tipo BiciMoscú... oh, wait!
Dicho esto, ya los políticos aprovechan el caos que se está montando para cargar con el sistema de licitación, donde parece que la solvencia técnica ha sido lo menos valorado, y una vez más, la solvencia económica - o lo que es lo mismo, el que menos cobraba - se ha llevado el proyecto, dejando una pésima imagen de todo el proceso.

Figura 5: Bonopark denunciará a los atacantes de BiciMad

Eso sí, ahora han avisado que la empresa va a empezar a denunciar a todo el que hackee el sistema, según parece, por presiones del propio ayuntamiento. Espero que si se han llevado datos de los clientes, lo denuncien y los que tengan que velar por los datos robados de los ciudadanos tomen cartas en el asunto, que parece mentira que en el siglo XXI aún haya empresas que saquen cosas a Internet o la calle sin haber pasado una triste auditoría de seguridad externa.

Saludos Malignos!

23 comentarios:

  1. Lo mejor es que culpan de los problemas a que se ha seleccionado el presupuesto más barato, pero las cifras de presupuesto que se ven para esto tienen magnitud suficiente como para contratar una auditoría.

    Lo que pasa es que el pliego tiene pinta de haberse creado a medida de la empresa a la que se adjudico, es decir, asignado a dedo.

    ResponderEliminar
  2. Si las piedras hablaran...
    No teneis ni idea de en manos de quienes estamos, no teneis ni idea de como esta el percal en la administración pública, la de ineptos que hay, la de carnicas metiendo a cuanto payaso pseudo-informatico de cuatro perras que encuentran...
    La de pseudo-administradores que se sacan 4 certificaciones microsoft, etc. con los exam collection y que además estan copiados en los pc's del curro. Una auditoria básica no te digo yo lo que revelaria...
    Hayyyy si las piedras hablaran... !!

    ResponderEliminar
  3. Si hablaran las paredes anonimo... jajaja
    Esto sigue igual que siempre...se lo doi a mi amiguito y nos repartimos el pastel...
    Aqui les da igual todo, solo les interesa el dinero.
    Ojala que los politicos fueran la mitad de buenos que muchos profesionales de este pais.

    ResponderEliminar
  4. Si es que España es un país de gamberros y gente que reclama mientras mete su palo en las ruedas. Para un ayuntamiento que hace un proyecto pionero en movilidad urbana y a unos críos (en edad mental seguro) no se les ocurre otra cosa que poner penes y romper el servicio para los cuatro mil usuarios de las bicis públicas. Espero que encuentren a aquellos que están haciendo esos ataques del pene. Es una vergüenza que ocurran cosas así ,es que vamos impensable en cualquier país serio, poner unas bicicletas geniales para el ciudadano y que haya gente haciendo gracietas por perjudicar y otros dando leña solo porque no les guste el partido que las ha puesto. En este país parece que solo usamos la cabeza para embestir.

    ResponderEliminar
  5. @ReCiclable, lo que es de vergüenza que una empresa gane un pliego de una administración pública y ponga un sistema informático tan inseguro que hasta unos gamberros pone-penes puedan romperlos. Seamos serios, que el que ha tenido que hacer su trabajo - y por ello le han pagado - no lo ha hecho.

    Lo de los penes es una demostración clara y directa de la incompetencia técnica y la irresponsabilidad.

    Saludos!

    ResponderEliminar
  6. ReCiclable, eres consciente de que casi lo mejor que ha pasado es que lo hayan pillado unos crios en edad mental. Por que si lo pilla alguien "serio" se hace con todos los datos, estafa a todos los clientes, a la empresa y se come tanto esta como el ayuntamiento una demanda que esta criando pelo de por vida. Pero claro... como esas demandas las pagaríamos nosotros y no ellos, no importa.

    ResponderEliminar
  7. Leído en una noticia: «Bonopark ha decidido limitar las funcionalidades de los terminales informáticos de sus estaciones para evitar nuevos ciberataques.»

    Cuando la chapuza que se ha hecho en terminos de seguridad es tan grande, no creo que podamos hablar de "ciberataques". Quizá sería más adecuado hablar de funcionalidades ocultas o huevos de pascua.

    ResponderEliminar
  8. Esto pasa por dar un concurso a una empresa que no es solvente técnicamente...

    Bonopark ha mentido desde el minuto 1 en TODO y lo va a seguir haciendo sistemáticamente.

    El señor Miguel Vital, lo que debería hacer es meterse su ego por donde amargan los pepinos, aceptar su error y asumir las consecuencias.

    Lamentablemente, las AAPP no tienen muy dominado el concepto de SLA.

    ResponderEliminar
  9. No es que hayan "hackeado" los quioscos, es que los quioscos, por llamarlos de alguna manera, son un PC con una versión escritorio de Ubuntu instalada.
    Lo único que hay que hacer es salir de la aplicación de bonopark (que lo haces casi sin querer) y ya tienes un sistema operativo de escritorio para ti solito.
    Puedes poner vídeos porno, o cualquier otra cosa que haya en internet.
    También puedes abrir un terminal y.... (bueno, no lo digo a ver si me cae una denuncia).
    Es el mayor desastre tecnológico que he visto en mi vida. Yo no se de donde han sacado al jefe de proyecto, pero creo que ni con un curso de programación CCC lo haces tan rematadamente mal.
    Una pena, porque la idea era buena y las bicis que he probado van genial.

    ResponderEliminar
  10. Menuda chapuza... Otra liada de la Botella y sus "amiguetes".

    ResponderEliminar
  11. No los han hackeado porque no hace falta, si te puedes bajar los certificados con pedirlos al servidor WEB, pues vamos buenos.

    No les han jakeado y en realidad... ¿a quién coño le importa?

    En el tribunal de cuentas son todos familiares, de todos los "informáticos" sólo 6 tienen formación técnica y esa formación es saber hacer una carta con el word.

    No te ciegues con la seguridad, el problema es cómo se concedió este contrato, cómo se contrataron a los informáticos del tribunal de cuentas, como se puede "despedir en diferido", como un juez dice que un partido político se ha financiado ilegalmente... y no pasa nada. ¿Y tú preocupándote por la seguridad?

    Es que si ni siquiera funciona.

    ResponderEliminar
  12. Pues a mi me está gustando toda esta historia, quizás de esta forma, con una infraestructura que tiene tanto impacto en la vida pública de la gente, se empiece a crear conciencia de seguridad en todo aquello que contenga un componente "informático". O dicho de otra manera: a ver si así espabilan!

    ResponderEliminar
  13. sí sabía yo que hacía bien ni tocando eso con un palo no fuera que me diesen tentaciones raras... ahora sólo falta que alguien audite lo de los parkímetros inteligentes que es otra cosa que me da miedito

    ResponderEliminar
  14. Bonopark ya tuvo problemas cuando se implanto en dbizi de san sebastian. Se supone q tuvieron q escarmentar, pero se ve q no y al ser una ciudad mucho mas grande los problemas son a gran escala.

    ResponderEliminar
  15. Ayuntamiento de Madrid y Gobierno de España. Expertos en poner tiritas en vez de curar heridas.

    ResponderEliminar
  16. Si accedéis a http://www.bicimad.com/login
    , no introducis ningún dato y pulsais el botón, aparecerá una traza de error de Spring-security. Lamentable.

    ResponderEliminar
  17. Con lo sencillo que hubiera sido llamarle a Chema y decirle, "toma majo, aquí te dejo este quiosco de bicis, a ver qué fallos le sacas"...

    Ahora en serio, para este tipo de cosas deberían de hacerse auditorías de seguridad antes de sacar el proyecto a uso.

    ResponderEliminar
  18. Joder si es que hasta el nombre viene a huevo. "Bici""Mad" en serio? Vaya unos putos inútiles. Tanto el gobierno como la empresa

    ResponderEliminar
  19. Lo del login clama al cielo.. ni una simple validación en el front :( El checkeo de seguridad me ha recordado este gif :) http://thecodinglove.com/post/88357959749/when-i-have-to-test-my-own-code

    ResponderEliminar
  20. Seguro en esos quioscos pusieron un Windoze, especialmente un XP.
    Debieron haberle puesto un Linux para que no los hakearan, lo que hubiese hecho cualquiera que sabe algo de seguridad.

    ResponderEliminar
  21. Como para coger una bici ahí... ¡lo que harán con tus datos!

    ResponderEliminar
  22. Pues si en el login no comprueban que usuario sea una cadena vacía, igual tampoco comprueban otras cadenas más peligrosas que se pueden meter por ahí... y me callo que me juego una denuncia...

    ResponderEliminar
  23. Estoy harta de lo mal que funciona Bicimad, firmemos la petición en Change.org por favor! Muchas gracias!

    https://www.change.org/p/bonopark-sl-bicimad-ayuntamiento-de-madrid-mejoren-los-servicios-de-bicimad-urgentemente-6fa08c15-72a4-4b13-80b8-f2e4d968fcf0?recruiter=75246917&utm_source=share_petition&utm_medium=copylink&rp_sharecordion_checklist=checklist_promote_share_first

    ResponderEliminar