Ayer por la noche estaba leyendo un articulo de Amador Aparicio de la Fuente en el que aseguraba que los conversores de serie a Ethernet del tipo GC-NET2 32-DTE que utilizan las gasolineras españolas para controlar los tanques de combustible eran vulnerables (más que vulnerables, mala securización), nada más leer el artículo algo me decía que ya había leído yo eso en algún sitio, hasta que recordé y ví el siguiente tweet, que en un principio no dí mucha importancia ni me dio por investigar.
El conversor del cual hablamos es el siguiente:
Este conversor envia datos a un servidor y monitoriza el estado de los tanques de combustible: tipo de combustible almacenado, temperatura del combustible dentro del tanque, cantidad de combustible que queda, porcentaje de agua (algo que me llamo la atención, agua en el tanque del combustible) etc…
Mediante este sistema, los administradores de las gasolineras saben cuando pedir combustible a la central, verificar si algo no va bien dentro de los tanques (temperatura, fugas, etc) y alarmar en caso que fuese necesario y tomar medidas.
Pero, ¿Que pasaría si alguien pudiese acceder y cambiar los datos del sistema a su antojo?, ¿Y si cambiase la temperatura del tanque o lo hiciese parecer que esta lleno cuando en realidad está vacío en plena operación salida de Semana Santa?
Todas estas preguntas pasaron por mi cabeza, y me picó la curiosidad, lo primero que hice fue buscar gasolineras que pudiesen ser vulnerables, me fuí a SHODAN (buscador que registra dispositivos conectados a Internet con sus servicios) y filtré la búsqueda por nacionalidad (España) y puerto (10001, el utilizado por el conversor GC-NET2 32-DTE).
country:es port:10001
Los primeros resultados, ya me hacían creer que se iba a poder entrar hasta la cocina.
Fuí a la terminal y utilicé Telnet para intentar entrar al servidor y …..
Ya estaba dentro del servidor, ¿Así de fácil?, cuesta creer que algunas gasolineras tenían deshabilitadas las contraseñas, y en otras bastaba con leer el manual del fabricante para dar con el usuario/contraseña por defecto para acceder al sistema, una vez dentro solo tenía que poner los códigos necesarios para gestionarlo, que también lo saqué del manual que podéis encontrar AQUÍ, los códigos necesarios están en la página 17, son los siguientes:
Con toda esta información ya podía administrar los tanques de combustible de la gasolinera, evidentemente no toqué nada, informé a la gasolinera del grave fallo (varias de sus estaciones eran vulnerables) y los posibles riesgos que podrían tener si alguien malintencionadamente modificara los datos. Muestro algunas capturas:
La última imagen muestra la existencia de exceso de agua en el tanque, algo que podría estropear el motor de nuestros vehículos.
Con esto queda mostrado la poca seguridad de la que disponen las estaciones, algo que podría poner en riesgo nuestra seguridad.
Un Saludo a todos.
Me sorprende esto que indicas, ¿qué acciones de modificación en el sistema puedes hacer?
Muchas gracias por el artículo, me ha parecido muy interesante.
Sigo sin entender como se publica cualquier servicio en Internet y menos aún como se publica sin contraseña
Lo del agua en los depósitos es un problema endémico provocado por las condensaciones del vapor de agua que contiene el aire. Con el tiempo se acumulan en el fondo de los depósitos. Antiguamente se utilizaba una pasta que se introducía con una varilla en los tanques y según el cambio de color de dicha pasta se sabía el porcentaje de agua, que si llega a un nivel obliga a vaciar y limpiar los depósitos.
En el caso del gasoil es más preocupante el agua que en las gasolinas, ya que si el agua se integra al combustible y recibe luz solar termina criando algas (con bastante tiempo, por supuesto).
Por otra parte, las pérdidas de octanaje en las gasolinas es bastante preocupante: no hay controles de calidad por parte de asociaciones de consumidores por lo que el producto que se nos vende puede tener muchas variaciones de calidad y los precios suelen ser siempre muy similares. El sector continúa siendo un monopolio de facto; si se controlara lo que se nos vende muchas estaciones deberían cerrar (depósitos viejos con filtraciones al medio ambiente y deterioro de la calidad de los productos).
Gracias por la información.
Gracias por aclararnos el problema del agua.
Saludos.
Te sorprende que los hidrocarburos tengan agua?? Los gasóleos y las gasolinas parte de su componente es agua… ademas, los depósitos están enterrados y así controlan de posibles filtraciones…
Realmente si me sorprende, no creo que siente nada bien al motor utilizar gasolina con alto porcentaje en agua. Lo desconocía.
Saludos
Siempre aparece el mismo mensaje 9999FF1B pienso que lo han arreglado ya
realemte he probado con toda la lista de las cinco primeras paginas y no he tenido acceso a ninguna. Realmente no creo que la seguridad sea tan cutre
Hola fer,
Supongo que lo han parcheado ya, pues lo reporté antes de publicarlo.
Un Saludo.
Probado ahora mismo:
I20200
ABR 19, 2015 14:55
E.S.XXXXXXX S.A
N-15416
XXXXXXXXXX
REPORTE CARGA
T 1:T1 GASOLEO A
AUMENTO HORA/FECHA LITROS CT LITROS AGUA TEMP GRA C NIVEL
FIN: ABR 18, 2015 8:55 22516 22482 0.00 17.31 1676.29
INICIO: ABR 18, 2015 8:22 7535 7524 0.00 17.04 721.71
etc…
Por lo que veo sigue igual, una lástima, parece que no importa nada la seguridad.
ccreo que tenia que afinar la busqueda. enhorabuena por la pagina