Random IRC quote :      <cdr> A un abuelo de Democracia Nacional le toca la lotera de Segi.

Lotería instantanea for learning and non-profit.

Hola amigos robahigos!

Bueno, este es otro de los post que necesitan disclaimer.

Lo que hagas queda bajo tu absoluta responsabilidad. No animo de ninguna manera a realizar ninguna actividad ilegal. Hombre, si te quieres fumar un porro, pues tampoco pasa nada. Pero no abuses.

Como siempre, representantes legales, FSE, miembros del círculo de lectores y ustedes ,apreciados lectores, no pulsen en «leer más» sin echar un ojo a lo siguiente:

  • La falsificación de quinielas, boletos, cupones etc se considera FALSIFICACIÓN DE DOCUMENTO OFICIAL con lo que te pueden caer hasta 6 años de dormir con un tío al que llaman «el polilla».
  • Cantidades defraudadas menores de 300 € son consideradas como hurtos y no estafa, lo que conllevaría penas más graves.
  • El uso de dispositivos electrónicos destinados a interferir,interceptar, dañar o modificar las telecomunicaciones de terceros están prohibidos. ¡Aunque sean baratos!.
  • La ONCE solo hace efectivos premios de hasta 200 € en los kioskos ambulantes.
  • La ONCE delega en los vendedores las costas de cualquier tipo de fraude.Si estafas 3 euros, el señor vendedor los tendrá que poner de su bolsillo. Debido a esto, si me entero que has usado esta información para estafar a trabajadores con dificultades, yo mismo te buscaré con un palo para crujirte la cabeza.
  • El ÚNICO objetivo de este post es aprender la metodología que se puede emplear para obtener información de sistemas complejos y «opacos», como ya hablamos en otro post. Así como satisfacer la legítima curiosidad de aprender cómo funcionan las cosas que te rodean.
  • Para obtener esta información no se ha comprometido ningún sistema o revelado secretos.Ningún animal sufrio daños tampoco.

Cuando te haces una idea de cómo funciona algo, también sabes dónde podría fallar…

Dentro video!

Nos levantamos un día como otro cualquiera, hacemos lo típico, vamos a comprar un rasca de la ONCE como sueles hacer y pun; se te enciende la bombilla de bajo consumo ( y poca luz ) y te preguntas cómo coño funciona el sistema que controla este tipo de lotería.

¿Por dónde se empieza? ¿A quien puedes preguntar? ¿De donde sacas la información? Bien, yo intentaré plasmar el método que uso para acercarme a este tipo de sistemas, en otras ocasiones me ha dado buen resultado asi que digamos que es una forma de «empezar».

No tengo ni idea de cómo se denominan este tipo de sistemas «complejos», si tienen algún nombre técnico dictado en algún master o así. Tampoco he éncontrado nada en concreto, y puede que tampoco haya una aproximación estandar para estas cosas así que yo os cuento mis paranoias, con mis términos inventados etc…Si alguien controla más del tema pues que plantee sus rectificaciones en los comentarios etc…

Yo los llamo «Sistemas Opacos», ¿ por qué ? porque soy un flipao. Por una sencilla razón, de acuerdo con Wikipedia la opacidad «Es una propiedad óptica de la materia, que tiene diversos grados y propiedades» y un sistema es «un conjunto de elementos dinámicamente relacionados formando una actividad para alcanzar un objetivo operando sobre datos, energía y/o materia para proveer información«.

Bajo esta definición, el que un tío
– te de un rasca
– tú lo rasques valga la redundancia
– se lo des para que a continuación lo pase por una máquina y te de dinerico o no

Es un sistema porque está compuesto de varios elementos interrelacionados que buscan un objetivo y operan sobre datos para obtenerlo: el boleto, la máquina, el señor…A su vez, es en cierta medida opaco porque hay algo a lo que tu no puedes llegar, ver o analizar pero que influye determinantemente en el resultado.

Así es que lo primero de todo es realizar una lista de los elementos importantes que componen el sistema, esta lista se irá completando a medida que vayamos ahondando en el conocimiento del mismo.

  • TPV
  • Boletos,cupones…
  • Sistemas informáticos, suministradores, empresas, materiales…
  • Lo siguiente es empezar a buscar toda la información necesaria en todos los ámbitos posibles.
    Partimos de una observación básica previa, donde hemos apreciado que el TPV no tiene cables, que algunos de los quioscos de la ONCE son meras ventanillas sin más infraestructura por debajo. Esto es, no hay linea de teléfono cerca por lo que el TPV tiene que usar un método de conexión sin cables, que le permita estar siempre conectado y que presumíblemente se considere seguro.

    Empezamos por la más obvia y vamos tirando del hilo, la página de la ONCE.

    Allí nos encontramos con el «REGLAMENTO REGULADOR DEL JUEGO «LOTERÍA INSTANTÁNEA
    DE BOLETOS DE LA ONCE»
    » que nos va a dar información interesante.
    Artículo 2 bis. Terminales punto de venta.

    El terminal punto de venta es cualquier terminal móvil o solución informática, debidamente homologado por la ONCE, que se ponga a disposición de los puntos de venta y que asegure la conexión en línea con el Sistema Central de Control de Juego de la ONCE. En caso de que sea necesario, los terminales puntos de venta estarán adaptados para su operación por personas invidentes o con otro tipo de discapacidades.

    Junto con otras tareas administrativas, el terminal punto de venta se utilizará por los puntos de venta para la validación de los boletos premiados.

    Bien, no está mal. Ahora ya sabemos que el TPV que usan tiene conexión directa con el Sistema Central de Juego. Además,es esta TPV la encargada de validar el boleto premiado mediante peticiones contra dicho Sistema. Blanco y en botella, juntando esta información con la que habiamos obtenido mediante observación directa tenemos que el TPV tiene que usar GPRS o 3G para conectarse con el sistema central. Necesitamos cerciorarnos y para ello tenemos que saber qué modelo y marca es ese TPV.

    Realizando una busqueda en google por los TPVs nuevos de la ONCE encontramos un comunicado de prensa interesante : La ONCE lanza un sistema de venta de cupones a la carta Es del 2004, huele a GPRS pero seguimos…En el artículo encontramos lo siguiente.

    El Terminal Punto de Venta (TPV) permite, mediante tecnología móvil de última generación, elegir terminaciones o números completos.
    En el desarrollo de estos aparatos han intervenido, junto con la ONCE, Telefónica Móviles España, pionera a nivel mundial en redes de transmisión de datos; Gtech, líder mundial de sistemas de juego; e Ingenico, empresa número uno en ventas de TPV

    Bingo, ya sabemos la marca que fabrica la TPV; Ingenico. Ahora buscamos el modelo, así que vamos a la web de Ingenico, damos un par de vueltas y vemos una que nos recuerda bastante «i8550»

    Bien, vamos a buscar toda la información posible sobre el bicho, datasheets, manuales de usuario…
    Datasheet: www.paravant.fi/pdf/i8550_esite.pdf
    UserGuide: http://www.ingenico.co.uk/INGENICO_GALLERY_CONTENT/Documents/UnitedKingdom/UserGuides/userguide_i8550_ROHS_uk_DIV1174A.pdf

    Perfecto, comprobamos que usa GPRS, que está especialmente optimizada para temas de loteria instantanea, ya que posee lector de códigos de barras 2D, e incluso tiene el motor text-to-speech disponible en castellano.Además, está certificada como dispositivo apto PCI PED, tiene procesador criptográfico, un sistema operativo multitarea y con separación de privilegios,etc, etc… Vamos que es un bicho seguro. Supongo.

    Ok, podemos hacer un sencillo gráfico de la arquitectura de los kioskos.

    Seguimos investigando sobre el funcionamiento del TPV. Ha llegado un punto en donde no tenemos más remedio que hacer «trabajo de campo», no tenemos un TPV para probar en casa, asi que hay que hacerlo fuera. Analizando la info después en casa, tranquílamente. Para eso nada mejor que grabar todo en video, algunos ejemplos:

    ¿Qué obtenemos de esta fase? una información muy, pero que muy importante: el flujo de ejecución del software. Analizando los videos, las pulsaciones, poniendo en situaciones raras al vendedor para probar todas las posibilidades (i.e «hola por favor, me compruebas si tiene algo pero no me lo cobres vale, que hago colección.» vendedor: «¬¬»)…tienes que echarle cara, no queda otra.Eso o le pides que instale radare en el TPV…

    Junto con la información anteriormente recopilada,construimos este par de gráficos:

    Flujo del Sistema desde un punto de vista global:

    Desde el punto de vista del software del TPV

    En este punto, tenemos un análisis bastante completo, dentro de nuestras posibilidades, del funcionamiento del TPV. Vamos al otro tema importante de nuestra lista: boletos,cupones…

    En el «Reglamento de juego de la lotería instantanea» anterior nos encontramos el siguiente punto:

    «Artículo 4. Fichero informático.

    * 4.1. Junto con los boletos físicos de «lotería instantánea de boletos de la ONCE», la empresa proveedora de boletos de lotería instantánea suministrará a la ONCE, por cada pedido de series, un fichero informático que contendrá la codificación de los boletos premiados, consistente en una parte del código de identificación y los cuatro dígitos del código pin.
    * 4.2. El acceso a dicho fichero se realizará mediante un algoritmo propiedad de la empresa proveedora, impidiendo así cruzar la información con carácter previo al revelado del boleto por el concursante.
    * 4.3. El fichero de códigos de identificación se tratará por la ONCE siguiendo criterios de seguridad y confidencialidad. Esta misma norma se exigirá a la empresa proveedora de los boletos, la cual custodiará una copia de cada fichero entregado. Además, la ONCE entregará otra copia de cada fichero a un fedatario público o a un tercero independiente, que se encargará de su custodia, al menos, hasta la fecha de finalización del producto, así como, en su caso, en aquellos supuestos a que hubiere lugar de conformidad con el presente Reglamento y la legislación aplicable.
    * 4.4. Una vez cargado el fichero en el Sistema Central de Control de Juego de la ONCE, la Dirección General de la ONCE aplicará estrictas medidas de seguridad, de acuerdo con los estándares existentes en cada momento en el mercado.
    »

    Estamos viendo que la empresa recibe los RASCAS de una empresa proveedora: GTECH, como pudimos ver en el comunicado anterior. Esta empresa se dedica a generar este tipo de loterias y todo la infraestructura necesaria para su funcionamiento.

    Nos fijamos en un punto importante «Características de los boletos»

    3.1. El boleto de «lotería instantánea de boletos de la ONCE» constituye el documento o título con el que el concursante participa en el juego. En su confección, la ONCE garantiza su inviolabilidad y su carácter infalsificable, la distribución aleatoria pero cierta de los premios del juego y el desconocimiento de los boletos premiados hasta el momento de su revelado.

    aiii que no es falsificable dice el paiooo! Seguimos leyendo:

    3.2. 3.2. Todo boleto vendrá identificado por los siguientes códigos:

    * Código de identificación: Combinación de 26 números que aparecerá en el reverso del boleto.
    * Código Pin: combinación de 4 números que aparecerá en el anverso del boleto dentro del área de juego, y que junto con el código de identificación determinará si un boleto está premiado y el posible importe del premio.
    * La unión de ambos códigos conforman el «código del boleto».

    Venga, datos, que es lo que nos gusta. Vamos a identificar todos estos numericos y a «descifrar» el cóoooodigooo del booooletooooooo uyuyuyuyyyyyy

    Lo primero es localizarlos en el RASCA:

    Como véis, fácilmente identificable todo. El código bidimensional que es biunívoco (leeros el reglamento) aunque no lo especifican rápidamente descubrimos que es un formato standard PDF417.
    .
    Este es el código bidimensional que usa el TPV para verificar el boleto, en el caso de que esté dañado no se puede usar el de atras. Perdí un rasca de 2 pavos comprobándolo jeje. Vamos a decodificarlo y ver qué «esconde».

    Mmm, parece que hay más de 26+4 números…

  • + Un «5» al princpio de toda la serie. Este numero parece ser invariante, incluso entre distintos tipos de rascas 0,50, 1 euro, rasca de navidul…
  • + Un dígito al final de toda la serie, tenía pinta de checksum asi que era cuestión de probar los distintos tipos de algoritmos. Al final saqué que lo que usaban era un checksum SSCC-18, de los cuales los números «válidos» era el magic 00 + otro 0 de «Extension» + el RandomID (10 últimos números) + 4 números del PIN . Total que quedaría: [00] [0] [NNNNNNNNNN] [PPPP] = [C] donde C es el dígito de checksum SSCC-18.
    y en total el «código del boleto» es [5]+[SERIE]+[LIBRO]+[BOLETO]+[RANDOMID]+[PIN]+[CHECKUM] = 31 números.

    Así es que teniendo un RASCA valido y premiado, podemos generarnos cuantos códigos bidimensionales PDF417 queramos, que equivaldrían al RASCA premiado.Que sería lo mismo que fotocopiar el código, pero pudiendolo generar mediante un ordenador e imprimirlo en la calidad deseada, así como en el soporte que se quiera. La impresión del código bidimensional está hecha exprésamente para durar poco, se estropea al mínimo roce, lo que me hace pensar que es una medida de protección. Manuales de marketing de la ONCE por ahi «perdidos» por google demuestran que el principal objetivo es «picar» al cliente a que rasque allí el RASCA y pille otro más u otro producto con el premio recibido. Esto cuadraría con la rápida degradación de la impresión.

    El poder generar «Códigos de Boleto» válidos o «potencialmente» válidos supone una violación de lo que en un principio el reglamento de la ONCE mantiene, que es su inviolabilidad y que no es falsificable. El único número «aleatorio» es el RANDOMID y el PIN, los otros números que componen el «Código del boleto» son secuenciales y corresponden a los boletos, series y libros según mi investigación.

    ATAQUES

    Ahora vamos con la parte «divertida». Ahora que ya sabemos cómo funciona el tema, vamos a ver cuales podrían ser sus puntos débiles.

  • ATAQUE #1 – BARRIDO DE «CÓDIGO DE BOLETO»
  • LEE UNA DESCRIPCIÓN MÁS DETALLADA DE ESTE ATAQUE AQUI: http://blog.48bits.com/2010/01/23/desarrollando-la-explicacion-del-ataque-1-sobre-los-rascas/

    Esto es, generar todos los posibles RANDOMIDS + PINs e ir generando «códigos de boleto»
    Tendríamos 10.000 millones de combinaciones para generar todos los IDs y 10.000 combinaciones para todos los PINs posibles. Más luego las combinaciones que se generen a partir de los otros componentes del «código del boleto». Aunque puedan parecer muchas combinaciones, no lo son con las máquinas de hoy en día.

    En el caso de tener acceso local al «Sistema Central de Control de Juego de la Once», una persona podría averiguar qué numeros son los premiados antes de la revelación del propio boleto, mediante la emulación de las peticiones de las TPV.Aparéntemente, éstas están basadas en un protocolo sobre XML.

    También podría realizarse mediante las propias TPVs, modificando el software. Lo que rompería la regla

    3.1. El boleto de «lotería instantánea de boletos de la ONCE» constituye el documento o título con el que el concursante participa en el juego. En su confección, la ONCE garantiza su inviolabilidad y su carácter infalsificable, la distribución aleatoria pero cierta de los premios del juego y el desconocimiento de los boletos premiados hasta el momento de su revelado.

    El éxito de estos ataques está supeditado a la seguridad interna tanto del software o Sistema Operativo, proporcionado por la empresa suministradora(GTECH) o del TPV respectivamente(Ingenico), como del «Sistema Central de Control Del Juego» (ONCE).

    Una vez el atacante supiera los «códigos de boleto» premiados, «sólo» tendría que falsificar un RASCA para cobrar la cantidad premiada. Falsificar un RASCA no es muy dificil, por una serie de circunstancias:

    + Los rascas tienen una muesca en la esquina superior izquierda que sirve a los vendedores con dificultades visuales para orientarlo correctamente al colocarlo en la TPV. Esa es la única parte que el vendedor va a tocar del rasca. Una vez cobrado estos son destruidos al final de la jornada.

    + Sabemos cómo generar el código 2D PDF417 del boleto al completo

    + El código 2D PDF417 que identifica biunívocamente al boleto puede ser generado e imprimido de tal manera que es prácticamente imposible distinguirlo de uno normal. El TPV se lo comería con patatas.

    Vamos yo no lo he hecho, pero lo he visto en mi mente.

  • ATAQUE #2- UNO PARA TODOS.
  • Repasad los gráficos de flujo que os puse antes. ¿Qué se os ocurre? Hay una pega en el flujo que sigue el software. Comprueba que el rasca es válido y está premiado e insta al vendedor a Pagar antes de pulsar «Validar». Y si «Validar» falla en la conexión no le insta a «correr detrás del fulano del rasca, que nos la está colando!».

    Asi que, qué pasaría si evitáramos la señal de «Validar», la cual bloquea el uso del RASCA ya que suponemos que lo marca en el fichero de control como PAGADO. Durante el tiempo que la bloquearamos, podríamos usar un RASCA duplicado a partir del premiado en cualquier otro quiosco y así sucesívamente, ya que el rasca seguiría siendo válido hasta no recibir una señal de «Validado».

    ¿Cómo hacerlo? Mediante un Jammer de GSM que evite que el TPV use el GPRS después de haber recibido la señal válida de que el RASCA está premiado.

    Este ataque está supeditado al posible bloqueo sobre un RASCA al hacer una petición de comprobación y no terminarla. Es decir, al recibir una petición sobre el RASCA, el sistema no admitiría más hasta que la que se ha recibido sea resuelta de un modo u otro. Mucho me temo, por algunas situaciones forzadas que he probado, que ese bloqueo no existe o tiene un tiempo de existencia limitado.

    Mejor se entiende con unos gráficos.

    Recuerda que el uso de este tipo de dispositivos esta terminantemente prohibido y te pueden dar una colleja gorda. Yo no los uso tampoco.

    ANEXO: EL CUPÓN. PON PON.

    Pues eso…

    Hay más cosillas, pero eso ya lo veremos algún día si tal…

    CONCLUSIONES

    En el caso de que todo lo que digo aquí fuera cierto:

    * Es posible saber los boletos que están premiados antes de ser revelados por el usuario, lo que rompería la validez del juego de acuerdo con las reglas aprobadas.
    * Es posible mediante el uso de dispositivos Jammer influir en el flujo del software.
    * Es posible que me tenga que exiliar a Corea del Norte.

    32 Comentarios para “Lotería instantanea for learning and non-profit.”

    1. jon
      Comment por jon | 01/23/10 at 4:04 am

      Great read, gran trabajo de ingenieria inversa. 🙂

    2. Comment por Mr.XV | 01/23/10 at 5:40 am

      Increíble trabajo a pie de calle. Ahora ya puedes entrar como reportero de Telecinco!
      Basile te está esperando en la oficina. Sí, por favor, entra por debajo de la mesa. Gracias. Te llamaremos.

    3. piu
      Comment por piu | 01/23/10 at 5:54 am

      Sencillamente magnifico.
      Ingenieria inversa = 1
      ONCE = 0

    4. Comment por wzzx | 01/23/10 at 6:31 am

      Mágnifico tio, te tengo que invitar a que me invites a una birra por este pedazo de post 😉

    5. Comment por La Nuri | 01/23/10 at 6:32 am

      Como me ponen los hacker malotes! Cojamos un boleto premiado desos y marchémonos solos a una isla desierta tú y yo!

    6. Comment por Anonimo | 01/23/10 at 6:35 am

      Me he reido a lo bestia con lo del «dentro video» yo soy gilipollas pero tu no estás fino.

    7. Comment por jneira | 01/23/10 at 6:43 am

      morroestufa???? JajajajaJaJa

      en fin impresionante entrada, algunos dirian que eres un friki enfermo y yo si no sufriera la misma enfermedad tambien lo diria, pero a cualquiera que le guste abrir las cosas, desmontarlas, ver como funcionan, y (tal vez) montarlas de nuevo o sea, un hacker o aspirante a, no puede mas que disfrutar de tu relato-investigacion, muy propio de un sherlock holmes tecnologico

    8. Comment por vierito5 | 01/23/10 at 8:05 am

      Nota mental: no darle Rubén un chicle y un clip si veo que ya dispone de una gomita del pelo

      Grandísimo post!

    9. Comment por Ruben | 01/23/10 at 8:18 am

      Anónimo, podrías elaborar más tu comentario? ¿ves Errores? coméntalos…

    10. Comment por Mexicanito | 01/23/10 at 9:40 am

      Se te va la pinza wei, te van a chingar el bolinche mientras duermes con el polilla ensima

    11. Comment por phr0nak | 01/23/10 at 10:05 am

      Cuando uno piensa que todo está invetigado/inventado, llegas con un Jammer y la lías xD!

      Tremendo post 🙂

      Saludos.

    12. Comment por dalvarez_s | 01/23/10 at 10:06 am

      Muy buena investigación!!! y una redacción muy simpática

      eres un crack!!

    13. Comment por ferrervicent | 01/23/10 at 10:38 am

      Muy bueno todo el proceso de investigación, lo del jammer ya es liarse jejej

    14. Comment por Jaime M. | 01/23/10 at 12:14 pm

      Hola

      No entiendo una cosa sobre la siguiente conclusión «Es posible saber los boletos que están premiados antes de ser revelados por el usuario, lo que rompería la validez del juego de acuerdo con las reglas aprobadas.»

      ¿Cómo es posible saber si el boleto ha sido premiado sin revelarlo antes? Porque sin revelarlo (entiendo que revelarlo es rascarlo) tienes oculto tanto el pin, como el código de barras.

      Es decir, ¿podría si vendedor deducir el código de barras e imprimirlo para comprobar el boleto antes de venderlo sin haber rascado el boleto? Del ataque #1 parece que se deduce eso, pero ¿se generaría un único código para ese boleto o habría muchísimos que probar?

      Comento esto porque, si efectivamente se pudiera comprobar el boleto antes de venderlo daría posibilidad a una estafa por parte de la ONCE.

      Un saludo,

    15. Comment por Ruben Santamarta | 01/23/10 at 3:06 pm

      Jaime M, tenías razón en que no estaba bien explicado. He añadido un post nuevo con ese ataque explicado en detalle.
      http://blog.48bits.com/2010/01/23/desarrollando-la-explicacion-del-ataque-1-sobre-los-rascas/

    16. Comment por fossie | 01/23/10 at 4:30 pm

      Fantastico post amigo, me encanta como vas deduciendo las cosas y como las explicas.

      Siempre he dicho que me parece que la gente realmente se cree esas cosas de «esto es infalsificable» y cosas asi pero pienso que siempre hay una forma de darle la vuelta a las cosas.

      Gracias!

    17. Comment por Grifo | 01/23/10 at 6:05 pm

      Cada día me sorprendes más con tus post, muy instructivo, me encanta que seas un pedazo de cabrón y espero que todas las mujeres que lean esto como mínimo te manden sus teléfonos.

      Solo echo en falta una cosa… unos videos con sonido, y contigo preguntando al del kiosko «HOYGA, POR FABOR, ME COMPRUEBAS SI TIENE HALGO PERO NO ME LO COVRES BALE??? KE AGO COLECSION, GRASIAS DE ANTEBRASO»

      y como no, ver el «¬¬» del kioskero 😀

    18. Comment por kktmp1 | 01/23/10 at 7:17 pm

      Cojonudo el post, aprendo a la vez que me descojono… eres el puto amo!!!

      Me quedo con el «Ningún animal sufrio daños tampoco.» LOL

    19. Comment por Miguel | 01/24/10 at 6:06 am

      /*++

      Muy bueno Ruben :o)

      –*/

    20. Comment por Jaime M. | 01/24/10 at 8:35 am

      Gracias :- )

    21. Comment por Manuel Fraga | 01/24/10 at 11:28 am

      ¿Hy franko ke opina de hesto?

    22. Syd
      Comment por Syd | 01/24/10 at 7:41 pm

      Felicidades, es genial!

    23. Comment por Mario Ballano | 01/25/10 at 7:19 am

      Absolutely awesome post! 🙂

    24. Comment por Profesional Seguridad TIC | 01/27/10 at 7:10 am

      Me parece una gran tontería lo que acabas de exponer, desde el respeto. No tienes absolutamente nada para reproducir un ataque: ni algoritmo, ni el randomID, ni los protocolos de comunicación ni procedimientos de seguridad, ni acceso a las máquinas…

      Te tenía en mayor consideración antes de este articulo.

      Saludos

    25. Comment por Primo Zumosol de La Nuri | 01/27/10 at 8:47 am

      Estimado Profesional Seguridad TIC (Tienes Ingenio Carente), desde mi más estimado respeto, me parece que para ser un análisis partiendo de cero y de un sistemas más o menos opaco, ha llegado mucho más lejos de otros ciudadanos de a pie se han preocupado por llegar. Pero al fin y al cabo… que cojones! es cierto! si no tiene absolutamente nada para reproducir el ataque, así que sientaté tranquilo con tu café y tu SIC, que todo está en buenas manos.

      Un cordial saludo

    26. Comment por Ruben Santamarta | 01/27/10 at 9:38 am

      Entiendo que escribo para gente que tiene más o menos tienes una cierta capacidad de comprensión lectora. Esta claro que este no es tu caso. No se si realmente has leido el post entero, o has visto las fotos sólo.

      «Me parece una gran tontería lo que acabas de exponer»
      Estás en tu derecho. En cuestiones subjetivas no entro.

      «No tienes absolutamente nada para reproducir un ataque:»
      No entiendo muy bien esta frase. ¿Que no tengo nada para reproducir un ataque? A que te refieres con reproducir un ataque. Que la ONCE me de permiso para hacerlo y entonces veremos donde queda todo. Lo que no voy a hacer es publicar cosas abiertamente ilegales para que me metan 6 años en el talego. Y eso que alguna gente me conminó a ni siquiera publicar ésto.

      «ni algoritmo»
      El señor vendedor de la ONCE tiene el algoritmo? Le impide eso realizar el ataque? NO. El algoritmo es transparente al usuario final. Que en el Sistema de Control Central Del Juego haya una parte totalmente «opaca» incluso para la propia ONCE, como es el algoritmo de acceso a los ficheros de código de boleto, no quita para que este mismo sistema implemente un protocolo de comunicaciones con el TPV. Leete el esquema del flujo de datos.

      «ni el randomID»
      ¿No lo tengo? Qué me importa el algoritmo que genere «n» números si puedo generar «n» números por fuerza bruta… ES como decir, oiga mire usted no puede genera el pin secreto de 4 números porque no sabe el algoritmo. Cierto, «sólo» puedo generar todos los posibles pins…

      «ni los protocolos de comunicación ni procedimientos de seguridad»
      Ahí tienes razón, no se los procedimientos de seguridad internos de la ONCE o de la empresa. Que despues de 4 pruebas fallidas te bloqueen el acceso por ejemplo, cosas así… POR ESO LO HE ESPECIFICADO CLARAMENTE EN EL POST, QUE ESTOS ATAQUES ESTÁN SUPEDITADOS A LOS PROCEDIMIENTOS DE SEGURIDAD:
      «El éxito de estos ataques está supeditado a la seguridad interna tanto del software o Sistema Operativo, proporcionado por la empresa suministradora(GTECH) o del TPV respectivamente(Ingenico), como del “Sistema Central de Control Del Juego” (ONCE). »

      En cuanto a los protocols, siendo la base GPRS, y analizando las posibilidades la SDK de los dispositivos ingenico 8550, te puedes hacer una idea…

      «Ni acceso a las máquinas»
      Pero a ver, en el caso remoto de que tuviera acceso a las máquinas, ¿tú crees que lo iba a poner aquí? ¿NO HAS LEIDO EL POST O QUE? Que he dicho que el atacante no tiene porque ser alguien de fuera, estamos hablando de mucho dinero, puede ser alguien de dentro. Estamos hablando de una loteria regulada, la posibilidad teórica de que pueda ser objeto de fraude ya es un ataque.

      He repetido que es solo mi opinión, que el objetivo del post es explicar la metología para acercarse a sistemas opacos. NO estoy diciendo que sea verdad. El que vea errores de bulto que los fundamente con lógica y agacharé las orejas como el que más.El que sepa algo más del sistema que diga, «chaval estás equivocado desde el principio». NO PRETENDO TENER LA RAZÓN. EL OBJETIVO DEL POST ES LO QUE HE REPETIDO 40 VECES COJONES.

      Tanto tontería no será, cuando después de pasar algún que otro filtro, los señores de la ONCE estaban leyendo este post a las 9 de la mañana del Lunes….

      Tu consideración me importa una mierda. Por mi me puedes hasta tener asco.

    27. Comment por Ruben | 01/27/10 at 10:14 am

      Y si por cualquier motivo tienes datos que no pueden hacerse públicos y quieres discutirlo por privado advisories ( at ) reversemode ( dot ) com Y rectificaré sin dudarlo un momento.

    28. Comment por neur0x | 01/27/10 at 11:04 am

      Posts como estos me hacen volver a creer en la «scene» española, me ha encantado el articulo, entretenido y ameno, lo único que no me mola es que ahora me dan ganas de probar a mi (:

      Un saludo y sigue así

    29. Comment por La Nuri | 01/27/10 at 8:18 pm

      !!Dejad en paz a Ruben!! Es para mi, zorras arpias de la internet!! Vais a probar el genio que se gasta La Nuri… ÑÑÑÑÑÑÑÑÑÑÑÑÑÑÑÑÑÑÑ!!!!

      Ruben… Terroncito mio, alegria de mi garbancito… vamos a relajarnos tu y yo anda, que el mequetrefe este me ha sacado de quicio!

      Ainss, voy a cantar un poco a ver si se me pasa el mal rato… «Yo soy Profesional Seguridad TIC, yo soy Profesional Seguridad TAC, somos dos… en un reloj… y mirandonos tu podras decir, si hora de leer cuarentaiochobitsss» Me lo paso pipaaaaaaa!

    30. Comment por Zatxio | 01/29/10 at 4:58 am

      Increible trabajo… toda una mente hacker desde luego, y de exiliarte nada, tu aki con nosotros en españa y divulgando todo lo que se pueda, que para eso son las comunicaciones. Gracias a lecturas como esta uno se inspira y encuentra que aun queda gente con pelotas cerebro y ganas de compartir

    31. Comment por Victor | 02/11/10 at 5:06 pm

      Buenas Rubén, me gustaría felicitarte por el excelente artículo, la verdad es que es un trabajo de investigación acojonante (al menos para un novato como yo, no como para el supuesto «profesional TIC» xD)
      He estado leyendo todo lo que has indicado y la verdad es que coincido en todos los planteamientos que comentas, lo único que no acabo de entender es el uso del Jammer,¿de qué sirve utilizar el jammer durante la validación y utilizar el mismo rasca en otro sitio? Se supone que en cuanto en uno de los sitios se valide ya el resto dejaría de estar activo, ¿cierto? Quizás me perdí algo…

      Lo dicho, me ha encantado el artículo y espero que pronto nos publiques otro de este nivel 😀

      PD: Buenísima la frase de «sientate con el café y tu SIC», no me reía tanto en mucho tiempo

    32. Comment por Ruben | 02/12/10 at 7:53 am

      Gracias Victor,

      Sí, el funcionamiento es así, por eso puse el gráfico «piramidal». Mientras todos mantegan inutilizada la conexion mediante el jammer, todos los que vayan uniendo a la «campaña» podran cobrar el rasca. En el momento que uno falle, el castillo de naipes se cae. Digamos que se necesita sincronización en el ataque y cada persona implicada necesitaría un jammer.

      Saludos.

    Se han cerrado los comentarios