Random IRC quote :      <@wzzx> ven aquí que te azote gatita <@ggonzalez> MEW < pancake> miau
REconstruyendo código C en plataformas no x86 (MIPS, Parte II)
Un IDS para reverse(«elcaro»)

¿Está Renfe? ¿Puede bajar a jugar?

Hola amigos de lo ajeno, lo común y lo propio.

Recuperando el espíritu del post de los Rascas, seguimos con «sistemas opacos«. En este caso vamos a aplicar un poco de ingeniería social. Los que estuvieron el año pasado en la LaCon ya se saben todo el tema, aquí voy a intentar tratar algunas cosas, principalmente un análisis del billete online de Renfe. Ese que nos podemos imprimir en nuestra casa.

Habrá muchas sorpresas, regalos y serpentinas… Incluida conversación con atención al cliente de renfe 😉

Dentro vídeo!

Antecedentes
Hurto, tenencia ilí…uy! perdón, esto no.

Vamos a explicar unas cuantas cosas que nos ayudarán a entender mejor el post y el razonamiento asociado.

Allá por el 2000 Renfe lanzó «Tiknet», su servicio de venta online de billetes. Lo comprobas y tenías que «canjearlo» con el resguardo y previa identificación en taquilla,auto-ticketing o si no me equivoco interventor(revisor). Pero fue en el 2006 cuando se introdujo la posibilidad de imprimirte tus propios billetes en casa.

Hay que tener en cuenta que Renfe es más vieja que el fuego, pero como tal ya no existe. La aplicación de la directiva europea de separación entre explotación y gestión de infraestructuras ferroviarias, dió como resultado dos entes:
ADIF
Empresa pública, encargada de gestionar las infraestructuras ferroviarias.
Renfe Operadora
La encargada de explotar estas infraestructuras

Nosotros hablaremos en general de «la Renfe». Ahí to’ guapo, la renfe nano, que no?!

Existen varios sistemas de venta y control, siendo SIRE la base de ellos, también el más antiguo.
– VISIR
– ORION
– VOL/VCX (el de internel https://w1.renfe.es/vol)
VERTANET
Venta billetes en ruta.
Los «aparaticos» móviles.TPVs (vertas)

Infraestructuras

– AVE/Larga distancia
– Media Distancia ( Alvia, Regionales/Express… )
– Cercanías (Madrid, Cataluña, Andalucía)
– Red de Via estrecha. (FEVE)

Las CC.AA tienen transferidas las competencias sobre aquellas infraestructuras que transcurren completamente por su territorio. Esto puee traer que la implantanción de nuevos sistemas o mejoras ejecutadas de forma asíncrona, así como desigualdad de equipamientos según territorios, provincias, poblaciones, estaciones o trenes.

Comunicaciones

-La más antigua y limitada, el Tren-Tierra. Un sistema analógico.UHF 440-460 Mhz – Monocanal – Voz y Datos. Se puede interceptar.
-El estandar es GSM-R, una variación de GSM para ferrocarriles. Se lleva implantando progresívamente desde hace más de 6 años.
-No he podido comprobar que se creen redes WiFi ad-hoc entre ciertos trenes y la estación a su llegada, pero parece que podría ser.

Analizando el billete.

1.- Número de Billete
Identificador unívoco del billete. Generado por Renfe. No nos interesa demasiado.

2.- Localizador
6 códigos alfanuméricos que sirve de identificador de referencia para el billete, imprimirlo etc…

3.-Codigo bidimensional Datamatrix
Una vez decodificado vemos que contiene una secuencia de caracteres alfanumericos con la siguiente disposición.
«nº billete+ID Estación de Origen+ID Estacion de Destino+fecha+ID de tren+ID coche+ID plaza+Localizador» Todo ello sin espacios entre campos.

4.Estaciones de salida y destino.
Cada estación tiene asociado un ID.

5.Tren
El tipo e ID de tren. Cada tren que realiza un determinado recorrido tiene un ID asociado.

6.Cadena de datos
Contiene: IDTren+IDEstacionOrigen+IDEstacionDestino+Fecha+Tipo de Plaza+Coche+nºPlaza+Tarifa

7.Código de Barras.
Es de Tipo EAN 128, y contiene lo mismo que el Datamatrix.

¿Dónde podemos conseguir los códigos de identificación de las estaciones y los trenes? Venga currároslo un poco jeje…una pista https://w1.renfe.es/vol/js2/index.js

¿Necesitamos demasiado GIMP/Photoshop para generarnos un billete? Según Renfe cuenta con las medidas necesarias para evitar su falsificación.Nosotros comprobamos que en vez de generar un pdf opaco que lo dificulte, el sistema de Renfe te genera un pdf compuesto de distintas partes, la imagen de fondo, los glyphs, etc… es decir puedes extraer los caracteres de la fuente, la imagen de fondo y hacer una copia exacta. Tan solo tienes que usar un editor de pdf o cualquier utilidad de extracción de streams.

Bien. Hasta aquí tenemos todos los elementos que componen un billete. En este punto sabríamos cómo generar uno igual, una copia o uno nuevo. Obviamente con datos como el nº de billete y el identificador falseados. ¿Está todo perdido? No! Ahora llega la parte divertida, ¿en qué situaciones un billete aparentemente válido, pero falso, podría «colar?».

El «aparatico»

La clave es el sistema de Venta en Ruta, llamado: «Vertanet» y sus «vertas»; las TPVs que llevan los interventores . En la zona norte, regionales y algunos media distancia tenemos el siguiente dispositivo. Observación y un poco de google nos llevan a este dispositivo:

Intermec PenKey 6110 + módulo impresora 6802 . Tiene soporte para GSM,IrDA y un puerto serie para añadirle módulos adicionales.

Se empezaron a utilizar en 2002 aproximadamente. Por lo tanto, antes de que el billete impreso final estuviera disponible 🙂

La experiencia me dice que los interventores en regionales/regionales express no comprueban los billetes impresos en casa mediante esta TPV.¿ Quiere esto decir que no se pueden comprobar? ¿Están capacitados estos dispostivos para leer códigos de barras/bidimensionales?. Podrían estarlo, lo que no quiere decir que lo estén en todo caso.

¿Están habilitados para comunicarse con el sistema central en tiempo real para poder verificar un billete impreso? Podría ser viable, lo que no quiere decir que esté implementado.

Vamos a hacer un poco de ingeniería social, cambiamos el chip y nos ponemos en el rol de un participante cualquiera de «granjero busca esposa» para llamar a «atención al cliente de Renfe» sin levantar sospechas, a ver qué podemos averiguar 😉 . Esta es una de las llamadas…

¿Conclusiones?. Que cada uno saque las suyas…Yo siempre pago mis viajes. Soy un tío legal… eee!! que os oigo las risas, hijosputa!

De ningún modo estoy animando a la gente a cometer fraude,no merece la pena. Aqui sólo se han expuesto datos técnicos al alcance de cualquiera. El uso o abuso de ellos es responsabilidad de cada uno.

Por cierto, estaré dando charlas por Valencia este julio, 8 y 9 en el Curso de Verano y asegur@IT . El 27 del mismo mes en la Campus Party. ¡Nos vemos por allí!

Por: Ruben Santamarta | 06/14/10 | 48Bits advisories - Noticias | Trackback | Comentarios [RSS 2.0]

26 Comentarios para “¿Está Renfe? ¿Puede bajar a jugar?”

  1. matalaz
    Comment por matalaz | 06/14/10 at 5:04 pm

    Muy buena Ruben 😉

  2. javb
    Comment por javb | 06/14/10 at 5:04 pm

    Enorme como siempre, pero me da que pensar que la de atención al cliente no tenía mucha idea…

    Un saludo!!

  3. Maligno
    Comment por Maligno | 06/14/10 at 5:09 pm

    jajaj, no te he visto avisándola de que ibas a grabar la conversación.. ni le has ofrecido ninguna oferta de contrato.. jajaja.

  4. Grifo
    Comment por Grifo | 06/14/10 at 5:36 pm

    Muy divertido el post xD

    Pueees con el aparatico que tiene ehhrehr…

  5. Peter
    Comment por Peter | 06/14/10 at 5:45 pm

    Muy interesante el post!

    Los revisores suelen llevar una lista con los asientos que se han vendido, aunque no llevan los cambios de última hora, por lo que no existe un control real sobre los que están vacíos.

    Un saludo!

  6. Dani Kachakil
    Comment por Dani Kachakil | 06/14/10 at 6:06 pm

    Jajaja, muy bueno ese minuto largo de silencio e intriga en el que te preguntas cómo acabará la cosa: ¿colgará? ¿dirá que sí, que no, que tal vez?… 😉

    La mujer tenía muy claro que el billete hay que imprimirlo y punto, así que su respuesta creo que está un poco sesgada y tampoco es que se pueda tomar como referencia absoluta. La ingeniería social sería mejor aplicársela al «señor del aparatico», que ese seguro que sabrá si lo puede hacer y en qué condiciones. ¿Se animará alguien a «entrevistarle» y tendremos segunda entrega?

    De todas formas, si te revisan el billete y comprueban que ya hay alguien sentado en el asiento que tengas asignado, seguro que se lía parda… Supongo que en ese hipotético caso se alegaría la típica excusa del error informático y todo solucionado, ¿verdad? 😉

    Saludos! (y nos vemos por Valencia)

  7. Dreg
    Comment por Dreg | 06/14/10 at 7:25 pm

    Muy guapo tio! 🙂

  8. chencho
    Comment por chencho | 06/15/10 at 12:54 am

    Hombre, colarse en un regional es más fácil que todo eso. Sólo hay que estar pendiente de cuando viene el revisor y meterse en el WC :DDD (a mí me lo han contado, eh, que conste. Yo también pagaba mis billetes cuando iba en tren)

    Gran post.

  9. LaNuri
    Comment por LaNuri | 06/15/10 at 3:29 am

    Ruuubencitooo, anda mirate los cacharros del TGV a ver si nos vamos tu yo juntitos a paris cari

  10. sux
    Comment por sux | 06/15/10 at 4:09 am

    Lo más posible es que esa mujer solo supiera que hay que llevar el billete en la mano, cuando dice que se va ha hablar con «alguien» valla al baño o se ponga ha hablar con una compañera que pasaba por ahí.

    Ahora la gracia, seria hablar con un revisor «de confianza» sobre el tema. Ellos seguro se pasan muchas horas con la «verta» como única compañía, así que algo habrán jugueteado con ella.

  11. Ruben
    Comment por Ruben | 06/15/10 at 4:56 am

    Chencho, en el 90% de los viajes que he hecho el revisor mira el baño.

    LaNuri, eso está hecho xD.Yo por paris MAAA TOOO.

    Sux: una cosa es saber lo que se puede hacer con un aparato y otra conocer los procedimientos,como explique en el post que se pueda hacer no quiere decir que se haga. Lo que nos interesa son los procedimientos, porque eso es lo que van a seguir todos los empleados. Por eso, aunque no tenga mucha idea, nos da información bastante valiosa. En cualquier caso si te fijas en el post, «una de las llamadas»…

    Dani: En los Regionales el cambio de asientos es lo típico, no hay problema. No siempre se numeran los billetes.

  12. Karcrack
    Comment por Karcrack | 06/15/10 at 6:59 am

    Buenisimo el post, me encanta la forma de redactar, muy amistosa 😀

    Un tema es interesante. Sin duda no me arriesgaria a «comprar» un asiento ya ocupado… No creo que al revisor le hiciese gracia XD

  13. EgoPL
    Comment por EgoPL | 06/15/10 at 10:44 am

    Muy bueno. Aunque sería mejor probar en directo con el propio revisor como dicen más arriba, eso sería la comprobación de si finalmente pueden hacerlo o no, o directamente probar el método sin comprar billete ni nada.

  14. B4RRe1R0
    Comment por B4RRe1R0 | 06/15/10 at 4:48 pm

    Interesante artículo. Estaría bien hablar con un revisor; lo malo es que lo del asiento te puede joder todo. 😛

  15. Spi
    Comment por Spi | 06/16/10 at 5:01 am

    @Chencho, eso te funcionaría en extremadura (que es más different que Spain) 😛
    @Rubén, i agree with you, miran el baño a saco.

    Guapo el post 🙂

  16. chencho
    Comment por chencho | 06/16/10 at 9:30 am

    Coño, @Spi, qué tal vamos!

    Sí, claro, el mipueblo-cáceres, cáceres-mipueblo me lo he hecho gratis unas cuantas veces (algunas sin querer, llegas tarde a la estación y entras directamente al tren para comprar dentro el billete) por estar en el WC o esquivar al picabilletes de turno.

    Hace 6 ó 7 años no miraban, o al menos las veces que me pasó (que no fueron pocas)

    Por cierto, el anti-spam tiene tela, parece que me ha visto comer.
    anti-spam: filetaco

  17. Pedro Sánchez
    Comment por Pedro Sánchez | 06/17/10 at 9:56 am

    Ruben, muy buenooooooo, nosotros hicimos algo parecido en un Hospital.

    Un abrazo.

    Pedro

  18. Chencho
    Comment por Chencho | 06/17/10 at 4:16 pm

    Una vez leida la información, solamente indicar unas pequeñas matizaciones.
    1º.- El interventor desde hace aproximadamente una año según el BOE tiene la acreditación de Agente de la Autoridad en el tren, por lo que si la jugada sale mal nos encontraremos dándole explicaciones a la Policia Nacional por un lado y con una denuncia por parte de Renfe que oscila entre los 600 y los 6000 €
    2º.- Los listados internos de la Empresa se entregan al interventor 15 min. antes de la salida del tren y los códigos que no se encuentren en dicho listado son considerados al efecto como si no llevasemos billete con lo que el importe en el tren en la actualidad está en el triple de un billete normal para el trayecto que le presentemos.
    3º.- El tema de piratear los ordenadores está chungo ya que Renfe no funciona con ninguna empresa informatica ni para mantenimiento ni para reparación, es decir tiene su propio personal informático y la línea con la que trabajan es propia, de hecho Renfe alquila fibra optica por toda España a diversas empresas de otros sectores.

    Hace ya tiempo que estaba yo detrás de todo esto y después de alguna entrevista con amigos ferroviarios es la información de la que dispongo.

    De todos modos la última de ellas sobre todo en Cercanias y Regionales o Media Distancia, sé que aparte del personal de seguridad que viaja a menudo en los trenes, también desde hace pocos meses para acá suelen viajar policias nacionales de paisano acompañando al interventor y haciendose pasar por viajeros normales y corrientes.

    Hasta luegorrrr

  19. Ruben
    Comment por Ruben | 06/17/10 at 8:00 pm

    Correcto en todo lo que dice Chencho. Lo de los policías nacionales también, que se lo digan al mario xDD

  20. El Vecino
    Comment por El Vecino | 06/18/10 at 8:00 am

    Hola soy ElVecino, pásate por mi casa cuando quieras y te imprimo el billete. Que el aparatico puede estar jodio.

    Hahaha, muy bueno, pobre teleoperadora.

  21. Mario
    Comment por Mario | 06/18/10 at 8:39 am

    Muy bueno el post!, y si.. lo de los Policias es verdad.. una vez me equivoque de asiento en un Alvia y una pareja de senhores mayores que por lo visto se sentaba en el mismo sitio, tuvo la delicadeza de llamar a seguridad al ver que yo estaba dormido, a lo que aparecieron rapidamente dos nacionales de paisano increpandome que a ver donde estaba mi maleta y que me identificara… btw, la maleta estaba donde todo el mundo deja las maletas.. y el resto del vagon estaba completamente vacio… da gusto que te traten como a un criminal.

  22. iroz
    Comment por iroz | 06/18/10 at 2:34 pm

    Cuentales tambien lo del semaforo en bilbao, que vosotros los delincuentes siempre os andais poniendo la piel de cordero!

  23. thesur
    Comment por thesur | 06/24/10 at 7:45 am

    Hola, desde algunos sitios como Huelva puedes montarte en el alvia (huelva-cordoba-madrid) sin necesidad de que sea un billete real. En la estacion de huelva no tienen maquinita para comproba el billete, y sirven los billetes impresos de esos que te dan por la web. Basta con imprimir uno con la hora y tren correcto, y entras dentro :), luego a buscar un asiento vacio o a la cafeteria

  24. Nando
    Comment por Nando | 07/18/11 at 11:42 am

    Bien, os cuento mi experiencia…

    Este fin de semana he viajado en tren, un Regional de 2 horas de duración.
    El villete no tenía asiento ni vagón asignados, es decir aparece en el billete: Coche 0 Plaza 000

    Y como bien explica Rubén aparecen los códigos indicados más arriba. Localizador, numero de billete…etc

    Pero esta vez me fijé muy mucho que miraba el revisor cuando le daba mi billete…y sí tan sólo mira el día y la hora en la que circula ese tren, acto seguido saca una especie de corta uñas y ‘pica’ el billete, es decir ‘pica’ el folio en donde había impreso el billete.

    Recuerdo en otras ocasiones que recortaba la parte final del billete, en donde aparece el código de barras, justo por la línea horizontal que aparece en el billete, pero ya te digo que éste Viernes 15 de Julio del 2011 no me han mirado practicamente nada…

    saludos..ser buenos

  25. carmen a.
    Comment por carmen a. | 08/09/12 at 7:06 pm

    A mi el otro dia iba con mi billete, pero dos minutos antes de ponerse en marcha el tren me dio un apretoncillo, y se puso en marcha el tren y yo seguía ahí en el WC, cuando estucho que aporrean la puerta y me creia que era una señora impertintente, porque seguia aporreando la puerta.

    Pasados un par de minutos, al fin acabo, y abro la puerta y me veo a la revisora, con cara de perro pachón pidiendome el billete con cara de: DELINCUENTE!!! TE CREIAS QUE TE IBAS A ESCAPAAAAAR!!!!

    Y nada, le di mi billete y punto, asi que el truco del WC no funciona xD

  26. Javier Lorente
    Comment por Javier Lorente | 04/13/13 at 9:48 pm

    Grande el aparatico

Se han cerrado los comentarios

48Bits Blog is proudly powered by WordPress & equiX.
Code is Poetry | CSS | XHTML