Fallo de seguridad que permite hackear miles de gasolineras

Cientos de gasolineras en España y miles en total en otros países son completamente vulnerables a ataques informáticos que, entre otras cosas, podrían poner en riesgo la seguridad de sus tanques de combustible. Un experto en seguridad ha destapado el fallo. Lo más grave: en España, por ejemplo, ni autoridades ni petroleras han solucionado aún el problema.

El agujero de seguridad lo destapó a finales de marzo Amador Aparicio, ingeniero superior en informática y especialista en seguridad. Su hallazgo, detallado por él mismo en un artículo en el blog Security by Default, fue preocupante: por descuido o negligencia profesional, muchas gasolineras tienen su propia red privada conectada a Internet y, lo grave, completamente desprotegida. A esta red interna se conectan todos sus sistemas, desde la caja registradora a los dispositivos de monitorización de los tanques de combustible. Aparicio descubrió no solo que la red está conectada a Internet y que los envíos de datos no están cifrados, sino que el acceso a sistemas críticos ni siquiera está protegido con una simple contraseña y nombre de usuario. Pudo entrar hasta la cocina, desde las cámaras de vigilancia o el TPV para cobrar a los clientes, hasta los sistemas de control de los tanques de combustible. De hecho, cualquier persona con mínimos conocimientos informáticos puede acceder y manipular a placer los sistemas de la gasolinera con consecuencias potencialmente muy graves.

Amador lo explica en conversación telefónica con Gizmodo en Español:

El fallo permite, por ejemplo, manipular el sistema de alarmas de los tanques de combustible. Cada gasolinera tiene unos tanques donde almacena combustible. Estos cuentan con dispositivos que monitorizan el estado de los tanques, su temperatura, si tienen gasolina o gasóleo, cuánto queda... Puedes entrar y desactivar sin problema las alarmas, como las de temperatura. Si la temperatura del tanque empieza a subir por un fallo técnico, el operario no recibiría ninguna alarma. Imagínate qué pasaría...

Desde luego, nada bueno.

¿Cómo es posible?

Amador destapó el problema partiendo de búsquedas en Shodan, un buscador que permite encontrar dispositivos (routers, servidores...) conectados a Internet. Buscó primero por un tipo de conversor utilizado en las gasolineras para enviar los datos desde los tanques de combustible al PC de un operario (en concreto, un conversor a Ethernet del tipo GC-NET2 32-DTE). Bingo. Encontró una lista de gasolineras que lo utilizaban.

Luego probé a buscar cuáles de estos conversores se conectaban al servicio Telnet para monitorizar los tanques en remoto, sin tener que acudir físicamente a la gasolinera. La sorpresa fue que hay decenas de gasolineras con estos equipos conectados a Internet y, además, no utilizan ni usuario ni contraseña. Habían dejado la configuración por defecto del sistema. Basta descargarte el manual de Internet, ver cuál es la configuración por defecto y entrar hasta la cocina”, explica.

Dicho y hecho. Pudo abrir sin problemas la consola de control que permite cambiar todos los parámetros y alertas de control de los tanques de combustible. Debajo, un pantallazo del sistema de una gasolinera en España conectado al servicio Telnet y sin securizar, completamente abierto a cualquiera (las IPs y datos críticos de identificación han sido tapados):

Fuente: gizmodo

Vila-real duplicará las cámaras de control de tráfico en zonas públicas

El Ayuntamiento de Vila-real (Castellón) ha completado el plan de cámaras de control del tráfico y seguridad con la instalación de ocho dispositivos en los últimos dos años. El alcalde, José Benlloch, visitó este miércoles la sala de control de la Policía Local, desde la que se maneja toda la nueva tecnología de seguridad y anunció además que su intención, si repite en la alcaldía, es la de duplicar esta cifra de cámaras de tráfico instaladas en los últimos meses.

Así, el primer edil se mostró partidario de colocar nuevos dispositivos en las plazas José Soriano y la Mayorazga, así como en el parque ubicado junto al Centro de Tecnificación Deportiva y también en la piscina del Termet y el edificio de El Molí, entre otros.

El plan de cámaras de tráfico y seguridad ha supuesto una inversión de 300.000 euros y Benlloch señaló que «aunque la finalidad primera es controlar la circulación de vehículos, estas tecnologías nos permiten prevenir y sancionar otras actitudes incívicas». Así, recordó que a la hora de instalar las cámaras se han tenido en cuenta criterios como la cercanía con zonas sensibles como jardines o parques así como colegios con la intención de mejorar la seguridad en estos puntos.

Con estos ocho nuevos dispositivos de videovigilancia, Vila-real cuenta en la actualidad con un total de 72, en edificios públicos, zonas peatonales y viales, una cifra que el alcalde tiene intención de seguir ampliando «porque creo que podemos multiplicar aún más la sensación de seguridad que damos a los vecinos».

Por su parte, el intendente jefe de la Policía Local, José Ramón Nieto, detalló que Vila-real cuenta con un parque móvil de 24.327 vehículos, así como 3.625 de dos ruedas, «de ahí la importancia de contar con cámaras de tráfico». No obstante, estos dispositivos de videovigilancia se utilizan también para perseguir otras infracciones como hurtos ya que funcionan con un sistema domótico que permite a los agentes manejarlos desde la sala de control.

Nieto remarcó que la Policía Local de Vila-real es «pionera» en la instalación de nuevas tecnologías de seguridad y que con la ampliación del plan de cámaras de tráfico y la conclusión del plan de control de accesos a edificios públicos «seremos en poco tiempo una smart city en tema de seguridad y Policía Local».

Fuente: elmundo.es

El pabellón Madrid Arena contará con  cámaras de seguridad

El registro seguía haciéndose a mano aunque tras la tragedia se prometió uno electrónico 

 

El pabellón Madrid Arena contará en breve con un circuito cerrado de cámaras móviles exclusivo para hacer recuento de las personas que lo ocupan en los distintos eventos que en él tienen lugar.

Dos años y medio después de la tragedia en que fallecieron cinco chicas de entre 18 y 19 años por una aglomeración en un vomitorio, Madrid Destino, la empresa pública que gestiona el espacio, negocia la instalación de cámaras con una novedosa tecnología llamada Omega, producido por la firma PJC y comercializado por la empresa Comunycarse, que realizará un recuento muy aproximado de ocupantes incluso con mapas de calor de las áreas más ocupadas, como confirmaron ayer a este diario fuentes de Madrid Destino.

Dicho sistema será instalado, de prosperar las pruebas que se realizan en estos días -también se prueba otro sistema, mediante códigos de barras, para el flujo de visitantes por las distintas puertas-, no sólo en Arena, sino en todos los recintos de grandes dimensiones gestionados por Madrid Destino, la marca que recogió las competencias de Madrid Espacios y Congresos, el nombre quemado tras la tragedia de la noche de Halloween de 2012.

El pabellón tenía hasta ahora un circuito de cámaras fijas pero no para controlar el aforo, sino para funciones de seguridad, aunque no en el propio vomitorio de la avalancha mortal, en el que sólo había una carcasa sin cámara, como denunció en su momento este diario. Al no haber cámara ahí, el juez Eduardo López-Palop, que investiga los hechos, no ha podido contar con un documento directo de la avalancha en la instrucción que finaliza en estos días.

Fuente: elmundo

CASI EL 30 % DE CÁMARAS DE VIGILANCIA EN MANTENIMIENTO

De un total de 30 cámaras de vigilancia colocadas estratégicamente en diferentes puntos de la ciudad, 8 de ellas se encuentran en mantenimiento preventivo.

Así lo comentó el vocero de seguridad pública municipal, el Lic. Fernando Lara, quien dijo que es casi el 30 por ciento de las cámaras de vigilancia las que se encuentran en mantenimiento preventivo, el cual se aplica con frecuencia para mantener los equipos del C4 en óptimas condiciones.


Para recabar evidencia o realizar alguna investigación, las autoridades correspondientes se apoyan del equipo del C4, inclusive, se han presentado casos que gracias a las vídeo filmaciones se han recuperado vehículos con reporte de robo.


La información es totalmente cerrada, y se proporciona únicamente a las autoridades policiales con sus respectivas restricciones.


Cada una de las cámaras está colocada en puntos estratégicos de la ciudad.


A pregunta expresa, el vocero de seguridad municipal dijo que las cámaras que se encuentran en las instalaciones de la comandancia zona sur como en la zona norte, se encuentran en pleno funcionamiento.

Fuente:elmonitorparral

AXIS lanza altavoz IP

Axis Communications, líder en videovigilancia IP, anuncia el lanzamiento del AXIS C3003-E, el primer altavoz de plataforma abierta estilo corneta. El dispositivo puede ser conectado a un sistema de video vigilancia o de telefonía IP para que el usuario pueda hacer anuncios desde cualquier parte en la red.

Con un sonido proyectado que alcanza los 100 metros, el AXIS C3003-E es ideal para áreas abiertas en plazas públicas, estaciones de autobuses y trenes, patios escolares o universidades y estadios, además de estacionamientos, construcciones y parques industriales. En todos esos locales, se puede utilizar la corneta para fines de seguridad al evitar accidentes y delitos, o para mejorar la gestión del espacio.

A diferencia de muchos altavoces analógicos, éste no requiere de un amplificador separado o de una cámara IP para conectarse a la red. Tampoco es necesaria una fuente alimentación externa, gracias a la tecnología Power over Ethernet (PoE). Con un solo cable de red, el altavoz se enciende y se conecta directamente a un sistema de gestión de video y/o a un sistema de telefonía Voz sobre IP (VoIP), ya que soporta el protocolo SIP. Simplemente con asociar un número de teléfono al dispositivo, el usuario podrá llamar a ese número y hablar normalmente por el teléfono para tener su voz amplificada.

“El altavoz C3003-E estilo corneta es un verdadero dispositivo IoT (Internet of Things) que ofrece muchas ventajas por estar conectado a una red IP”, comenta Sergio Fukushima, gerente técnico de Axis. “Una de las diferencias, por ejemplo, es la función Auto Test, que comprueba si el dispositivo está en funcionamiento y proporciona retroalimentación de audio al sistema. Esto permite tener la certeza de que el mensaje está siendo emitido”, acota Fukushima.

El AXIS C3003-E puede incluso reproducir un archivo de audio pre-grabado manual o automáticamente en respuesta a un evento inusual. El propio usuario puede cargar el archivo deseado. El dispositivo se integra fácilmente con los sistemas de gestión de video. Es compatible con softwares que incluyen Aimetis, Genetec, Milestone Systems y Nice Systems, así como el software AXIS Camera Station (versión 4.20). Al ser un producto de red, cada AXIS C3003-E puede ser direccionado individualmente a través de una dirección IP dedicada.

Fuente: neike