¿Alguna vez te a pasado que vas todo chulo a pagar la luz y sucede que el bendito cajero te atora un billete o se bloquea porque no puede leer correctamente los nips de seguridad de los billetes?, bueno pues eso me paso a mi la semana pasada. Aunque eso sea lo menos que me paso, igual se los cuento como informacion previa, en realidad lo que paso despues fue lo realmente interesante.
Despues de que el billete se atoró y me arrojara un mensaje de error, me dispuse a jugar un tanto con la pantalla táctil que poseen este tipo de aparatejos. Cual fue mi sorpresa cuando accesé al sistema y pude sacar cierta información relevante para este tipo de cajero, y aun mas escribir dentro del mismo [sistema].
Realmente mi objetivo no es que ustedes anden por ahí abriendo cuanto cajero se encuentren, sino informar a nuestros lectores de la baja seguridad que poseen este tipo de sistemas. La forma en como accesé y la forma de escritura es mero sentido común informático. Aquí los detalles.
Al parecer nuestros amigos de administración de CFE se olvidan de que la gente es muy quisquillosa y a todo lo que no sepan le pican aquí y allá. Así que dando clicks consecutivos al mismo tiempo en las esquinas superior izquierda y derecham el sistema te arrojará una pantalla de administración pidiéndote un password; claro está, lo puedes accesar gracias a que trae un teclado virtual para hacerlo (Error, gran error). La seguridad del password no es gran ciencia pues consta de una secuencia de 5 números (mal, mal hecho), y para acabarla consecutivos todos.
Una vez adentro y, quitando la fastidiosa ventana del CFEmático con su error, me dispuse a curiosear el sistema para ver de qué andaba.
Un sistema WinXP SP2 corriendo con bases de datos SQL, y un administrador remoto de escritorio. La base de toda su ciencia, como antivirus el default de Windows y, como cuenta de acceso (o sea como entra al sistema), la del administrador (oh oh). Mala seguridad, mal sistema, mala implementacion.
En solo unos minutos me hice del sistema pudiendo ejecutar a mi antojo los programas contenidos dentro de windows como si de una pc se tratara, pero ahi no terminó. No conforme con ello, me ganó la curiosidad y me dirigí a la línea de comandos para sacar algunos datos esenciales de la máquina.
Hasta aqui algunos se preguntaran «bueno y ¿Como demonios le hizo?». Bueno, nuestro buen amigo Bill, que ayuda y apoya a tantos, nos deja siempre en Win2 las opciones de accesibilidad del sistema. Lo que es increíble es que esten habilitados en un sistema público y de gobierno; asi que, intruduciendome en el Panel de Control, encontré activa la opción del teclado virtual… y ¡tan tan tan!… ya tenía una pc con una pantalla táctil que me servia de mouse y un teclado de virtual para introducir datos.
Asi que me fui a la línea de comandos y poniendo apenas el comando ipconfig me arrojo:
Connection-specific DNS Suffix . : cfmex.xxx.xxx
IP Address. . . . . . . . . . . . : 10.12.XX.XX
Subnet Mask . . . . . . . . . . . : 255.255.XXX.XXX
Default Gateway . . . . . . . . . : 10.12.XX.XX
Por obvias razones omito los numeros.
Una vez viendo los datos en la línea de comandos y sabiendo que su seguridad está de esa manera, me decidí y les deje un mensajito en el escritorio y un mensajito en la unidad C:\. Asi no sólo probaría que se rompió la seguridad del sistema sino les haria ver lo sencillo y fácil que es ingresar datos nuevos al sistema.
No langarianos, no me limité a eso. Vi las configuraciones de las bases de datos, la conexión hacia el servidor, las conexiones remotas existentes y las visitas ultimas del administrador. Pude haber desactivado la cuentas, crear una nueva e inclusive agregar una cuenta al administrador de escritorio remoto. Pero saben, lo realmente preocupante es que nuestro gobierno no invierta en la seguridad debida en este tipo de sistema.
Por ultimo decir, amigos, que para que no sacaran mi billete atorado, apagué totalmente la maquina, dejandola fuera de servicio, hasta otro día que llegaran y se dieran cuenta de ello. Después de eso, amigos, he mandado algunos correos directamente a la CFE para que hagan caso, pero creo q no les importa. Bueno habra quien no se limite solo a dejar un mensaje como yo, eso lo sé, pero que no les digan que no les advertí.
Total, no recuperé mi billete. Pero me divertí tratando de hacerlo.
¡Hasta pronto amigos Langarianos!
Genial, veré si puedo pagar mi cuenta de electricidad apócrifamente :P. Gracias por el dato y genial post.
uy debes de tratar como alocar el sistema nacional de Facturación para ver si hacen algo estos sindicalizados 😛
Bola de idiotas…..
creen poder con esos datos afectar la seguridad en el sistema de facturacion de CFE
estan completamente estupidos…
jajajajaja…
y lo de pagar tu cuenta apocrifamente ….jajajaja…..mugroso miserable si quieres yo te la pago JODIDO …..estas imbecil o que te pasa…. que no ves animal que solo es una interaccion para ti como usuario…pedazo de animal….para accesar al sistema de facturacion debes conocer muchos aspectos … que creo que por ser un pedazo de mierda y un imbecil de poco seso no los conoces…. los datos que muestra el CFEM no te dicen nada en concluso de lo que hace el sistema… Asi que a la proxima que andes hacendo te guey picando aqui y alla mejor emplea tu tiempo en algo provechoso….
¡Pues claro que tiene fallas de seguridad! De entrada, a quien carajos se le ocurre implementar un sistema así en un SO Windows para este tipo de operaciones.
Afortunadamente no utilizan estos mugrientos sistemas en la sala de control de las plantas generadoras eléctricas (esto lo se porque he visitado dos) sino ya nos hubieramos quedado sin luz.
újule usrCFEM… Parece que tocamos una fibra sensible en tu ser para tal arrebato de violencia.. ¿Eres uno de los desarrolladores/administradores de los CFEMáticos, o alguien de la CFE?
No pusimos nada de esto con el fin de que la gente llegara e intentara hackear el sistema, vamos, no fue nuestra intención de hacerlo en primer lugar. Mucho menos pagar nuestras cuentas apócrifamente. Nuestra intención fue totalmente lo contrario: Notar un pequeño agujero de seguridad que puede ser explotado, a manera que los ingenieros informáticos de la CFE tomaran cartas en el asunto.
En otras palabras, mi buen amigo K0th tiene un sombrero blanco sobre la cabeza y los comentarios que la gente haga en este sentido es con toda la intención de atudar y mejorar, no de quebrar las leyes ni nada por el estilo.
Pero, en todo caso, si quieres pagar mi cuenta de electricidad, bueno, no estaría tan mal después de todo… ¿verdad? 😉
Vaya que furor a causado mi comentario en la mente de nuestro amigo userCFE, bueno contestando a tu comentario y aclarando algunos puntos amigo aqui tienes mi respuesta.
1.- No no quiero ni nunca quedre hacer un daño por los conocimientos aqui publicados, ni por los q se sobreentienda nunca fue mi intencion.
2.- Nunca en el pots se publico la intencion de pagar cuentas o enterarte de facturaciones lo unico que se dio a conocer fue la forma en que un agujero de seguridad en el sistema nos permitia tomar el control casi inmediato del cajero del CFE.
3.- No creo con perdon de mi amigo rob que tu seas administrador ni desarrollador de CFEmaticos de serlo te darias cuenta de que el sistema de facturacion del que hablas corre en una interfaz que toma los accesos a las cuentas de una base de datos SQL que corre con una administrador remoto conectado a UltraVNC, de saberlo tu podrias darte cuenta de que podemos interceptar los mensajes enviados a la base de datos desde la dichosa interfaz.
4.- Los CFEmaticos cuentan con un sistema de administracion a parte de la interfaz de la que publique, este les permite hacer un chequeo general del cajero desde ver los movimientos del dia hasta permitir depurar el cajero (esto entiendase como dar mantenimiento) estos datos nos los publique en el pots porque aunq lo vi, no fueron necesarios para el fin del texto (meramente informativo).
5.- Los datos q me muestra el CFE a diferencia de lo que opínas para alguien con los conocimientos necesarios dicen mas de como trabaja el sistema, es por eso que dudo mucho que seas alguien de CFE porque de lo contrario sabrias de lo que hablo.
6.- Saludos a todos los amigos langarianos. Cualquier duda aqui ando.
7.- Por cierto tmb podras intentar pagar mi luz! 😀 no estaria mal….
tienes razon en todo lo qe escrivistes koth, pero al parecer ya an tomado cartas en el asunto. pues ase unos dias intente lo qe escrivistes y qe crees. varias opcines del panel de control estan desabilitradas y la consola ya no te acepta comandos. ademas al parecrer han colocado a todos los cajeros en un domio. lo malo es qe la plicacion cada vez se cae mas rapido por cada 5 usuario ay una salida de la aplicacion.
Hola, pues que detallaso el de ustedes, fijense que si encontre una opción en la cual puedo interactuar con el enlace con la base de datos, si tienen una duda comentenla
Me da mucho gusto que el tema del CFEmatico siga en pie y que vayan encontrando otras cosas, Amigo Maradona que bien que hayas encontrado el enlace para interactuar con la base de datos, porque no posteas algo acerca de eso te invito a complementar un poco mas el tema…:D
Así es, si quieres poner algo, aquí tienes un espacio donde publicarlos. Adelante.
Bueno creo que ya estoy un poco fuera de tiempo para comentar este post, pero nunca es tarde para aclarar unas cosas.
efectivamente aquellos que damos una opinion en contra de este post de manera directa sabemos o vemos del manejo de los cfematicos.
Hay detalles que no apruebo de estos equipos, pero lamentablemente los tiene y en parte se debe al mal uso que le da el mismo usuario que realiza su pago, que en muchas ocasiones no lee las instrucciones que existen alrededor de estas maquinas.
Efectivamente es una pc, comun y corriente, ohhh!! donde esta lo sorprendente!!??? los Cfematicos nadie dijo que sean traidos de otro planeta y es mas ni de otro continente, es un producto 100% armado en Mexico, y la pc que tiene,y como cualquier pc, es propensa a hackear. El pequeño detalle y lo cual, AMIGO KOTH te has librado de gran lio legal: «ES PROPIEDAD FEDERAL»… si sabes no?? en todo caso, el haberte puesto a «jugar» como practicamente lo describes, lo podemos encasillar como daños a la Nacion, lo cual, mi querido amigo, te has librado afortunadamente de ir al bote, por ser delito federal… corriste con suerte de que no te vieran, o de ser asi, aparecerias en las camaras de seguridad de los equipos, pero tal como lo veo yo, a como lo ve el supervisor de CFEmaticos que intentaste fastidiar con este post, sabemos que lo que puedas hacer con sus bastos conocimientos informaticos, no afecta ni a la seguridad ni a nuestro sistema de cobranza (no es facturacion, eso es otra cosa que comprendo no sepas). Que a la pc le entre virus, que robes ips (que seria muy tonto ya que serias rastreado) es algo que meramente no nos quita el sueño, ya que tenemos contemplado que existen gente «cosquillosa» como tu. Asi que si te hechaste un solitario o un buscaminas o escuchaste musica no esperes que te aplauda la gente por eso.
Aclaro esto con el fin de que las personas que lean tu post, no sean tan ingenuas en creer que la Seguridad del todo el Sistema Nacional o las redes de CFE estan en peligro…. jajaja disculpa es que me da risa que te alarmes por algo asi.
En cuanto a tu billete atorado, lamento mucho que te ocurriera,te aconsejo que a la proxima si no sabes hacer uso de dicho equipo pidas asesoria tecnica o leas antes.Y si no te lo devolvieron, posiblemente no gestionaste adecuadamente, ya que esa maquina solo se dedica a cobrar y al apagarla como lo hiciste, borras el error que nos daba tu rpu para poder terminar de procesar tu pago 😛
Salu2 !!!
@Supervisora de CFE – maticos –
Buenas noches mi querida Lyla Dolce solo para contestarte rapidamente.
1.- No ni me importa ni me interesa hacer nada ni recibir aplausos el posteo del texto es meramente informativo aunqe me da mucho gusto que gente como tu siga participando.
2.- Tu ya lo dijiste las maquinas hechas en donde sea siguen siendo maquinas, y reciben ordenes te pregunto y si a tu cajero que solo se dedica a cobrar le dieras otra orden que haria?…
3.- Jaja, lo menos que hago con una computadora es jugar amiga…pero el dia que quieras te puedo enseñar a hacer mas que solo eso…por ejemplo a depurar los errores de tu RPU para que procese el pago correctamente…porque a que de errores eh!
4.- Si es propiedad intelectual y…crees que eso va a detener a alguien malintencionado? te lo vuelvo a repetir yo solo hice mi parte informar si lo quieres ver de otra manera lo siento entonces busca otro lugar donde postear…
5.- No creo que la gente se alarme por esto tampoco ni espero que lo haga, digo yo no me alarmo te alarmas tu? simplemente encontre un error en un cajero y ya por eso tengo q escuchar personas como tu q no entienden q es solo un texto informativo sin animo de lucro o maldad solo informacion (ya me canse de repetirlo)
6.- Grax por la preocupacion por el billete no paso de que me lo regresaran al final y por cierto, si por fas para la proxima les dices que le den limpieza y mantenimiento a tus supuestos cajeros amiga supervisora, tmb que sugeriria un cartel 4 cartas 4×0 con el proceso con «manzanitas» para la gente que no sabe ni mover un dedo por la pantalla se preocupe menos y entenderlo mas su uso.
7.- Lo mas increible es que este comentario ya lo habia leido anteriormente jaja, siempre es lo mismo nosotros somos los que no sabemos ocupar la maquina » el error que nos daba tu rpu para poder terminar de procesar tu pago» ehem el recibo lo emiten ustedes eh…
8.- Por cierto si leiste los comentarios hay quien pudo encontrar la forma de interactuar con tu base de datos en algun lugar de mexico, sabes?, no es para alarmar es para informate simplemente de que tengan mas cuidado porque no toda la gente «jugara» como lo hice en aquella ocasion.
9.- Para terminar, disculpa mi sarcasmo mi burla y cualquier cosa que te pudiera ofender.
Buenas Noches y hasta luego amiga Dolce.
Buenos días Supervisora de CFEmaticos:
El artículo hecho por K0th a nuestros amigos langáricos, lejos de alarmarnos o ponernos a hacer travesuras en CFEmáticos (con supuesto riesgo de meternos al bote) lo único que nos ha causado es muchísima gracia, mas aun cuando al estar criticando a la implementación del sistema de los CFEMáticos aparecen miembros de la CFE molestos y tratando de justificar estos evidentes hechos.
¡Gracias por comentar!
Vaya parece q toque una fibra sencible …..
No para nada amigo, si te daras cuenta, a diferencia de los comentarios ofensivos, bueno solo veo uno, la verdad no me tome la molestia de leer todos, q te han dejado en este post, no es con la intencion de alarmarlos, mucho menos q sea producto mi comentario por q estuvera alarmada. como bien dices es SOLO un COMENTARIOOOOO!!! no una amenaza ni una ayuda, al igual q tu post, q como dices q es para fines informativos (demasiado extenso a mi gusto para entrar en esa categoria), mi observacion se fundamenta en la experiencia q he adquirido y lo que veo a diario, asi como tambien como parte de mi funcion publica regido bajo los principios de transparencia.
bueno y si como dices no te gusta recibir aplausos te repito de tus bastos conocimientos informaticos, bien pudiste ahorrarte el comentario al publicarlo aqui y dirigirte directamente a mi correo que con toda confianza te deje para tu respuesta, pero me he dado cuenta q tampoco respetas la identidad de la gente q escribe en tu post, eso pa q veas si me molesto ehh!! q basura!! charros para eso son los nicks bueno pero en fin.
por cierto q si me encantaria q me aclararas el punto tres de tu respuesta. en verdad….no te entiendo, no se a que te refieres, no empleamos dicha terminologia. tu punto siete, tampoco me quedo claro a q te refieras … x favor EXPLICAMELO
Mantenimientos??? sale amigo, no sabes de lo q hablas, manttos se hacen cada semana, lamentablemente insisto q la gente no lo sabe usar x q he comprobado q aparte de ciega (q no lee instrucciones.. y deberas q los q yo tengo puestos x poco y las manzanitas dibujo) es SORDA!!, con el mismo fin de evitarles problemas implemente un instructivo de audio en base a las fallas q mas operan para evitarlas y q crees?? NO ESCUCHAN!!! la verdad q no se q mas hacerle.
en serio q no pense q te tomaras tan mal mi comentario, tal vez hubieras preferido que te insultara, pero no, sabes q te hable con la realidad de las cosas, y eso … x lo visto te ofendio.
Y ya me pensabasentar a tomarme una taza de cafe contigo, pero en vista de q no respetas la privacidad de los usuarios de este post y de q veo q te sigues auto alabando con los comentarios de cualquier tipo q dejemos… no vale la pena q me vuelva a molestar en escribios…
si si si me enoje,…. no tenias xq poner ni nombre….
sale bye
@supervisora cfe-maticos – Que tal, ya han pasado varios meses desde su último comentario. A pesar de que este ya es un post viejo, me place informar que los agujeros de seguridad de los CFEmáticos persisten y parece que no los han solucionado del todo.
Les contaré mi mas reciente anécdota:
Fui a pagar mi recibo junto con mi padre, cuando llegamos al CFEMático, nos percatamos de que todos tenían letreros de no pagar con un cambio mayor de 50$. Dicho y hecho, intentamos meter billetes de 50, los cuales NO AGARRÓ, el caso es que por no tener otro cambio menor a de 50$ pesos, me arriesgué a hacer CASO OMISO al letrero pegado y pagar con billetes de 100, a riesgo de pagar de más sin que me devuelva efectivo.
Y asì fué, me arrojó un error en la pantalla. Por lo general, los errores se despliegan en una ventana pequeña a la que hay un botón que le das aceptar. Al generar esta ventana de error, la ventana principal que supuestamente no puedes cerrar normalmente, pude cerrarla y así, casi repito la historia de koth.
Haciedo doble click en el escritorio apareció el menú incio y por supuesto como era de esperarse, estan todas las opciones de accesibilidad como El teclado virtual… Peor aun, la computadora tenia un acceso directo de FTP y Red local con alguna de las maquinas posiblemente de las oficinas, pues había documentos de word, excel que preferí no abrir(Además mi papá traía prisa).
Dentro del menú inicio habia una aplicación llamada «VNC Viewer» o algo así, la cual ejecuté y pues resultó ser la aplicación que corría el CFEMático. Sin querer puse «en servicio» la máquina, y así fué como comprobé que si me procesó el pago…
En conclusión, no han hecho nada para resolver estos problemas de seguridad, o lo hicieron a medias.
@mrlindowsmac – Me alegra verte por aqui amigo mrlindowsmac, q bueno que sigamos con el tema vivo despues de tanto tiempo, interesante el aspecto que mencionas de que el sistema donde sea q los estes ejecutando es similar el agujero de seguridad q se tiene y que aunque nuestros amigos de CFE aqui presentes han contestado sigue sin haber una respuesta real y creible de que las cosas han cambiado, parece q siguen actualizando sin corregir sus errores…veamos si nuestra amiga supervisora del CFEmatico nos contesa 😀 …
@k0th – Segun recuerdo, la supervisora de los CFEmáticos no tienen nada impresionante, pues son PC’s comunes armadas en México. Yo le compro este hecho, lo que me parece inaceptable, es que hayan implementado en un sistema operativo PARA USO DOMÉSTICO!
Windows apenas se debe usar en casa,oficinas y escuelas, pero usar este sistema operativo en algo que no fué diseñado (como un CFEMático) es erróneo.
Es como si yo comprara un servidor para ponerlo en mi casa y sólo usarlo para escribir con el word, cuando obviamente un servidor no es para eso.
¿Por qué no usaron Unix o Linux, que es totalmente compatible con una PC común como la que usan en los CFEMáticos?
Corrijo la primer línea: Segun recuerdo, la supervisora de los CFEMáticos nos dijo que […]
BUENAS NOCHES
YO SOY SUPERVISOR DE CFEMATICOS EN LA ZONA TAMPICO LA DIVISION GOLFO CENTRO ME GUSTARIA
QUE ME MANDARAS TU NOMBRE COMPLETO PARA
HACERTE UNAS PREGUNTAS SOBRE LA EFECTIVIDAD DE LOS CFEMATICOS DE 24
YO TENGO A MI CARGO 6 CAJERO DE 24 Y LOS TENGO EN UNA PRODUCTIVIDAD DE UN 95%
MANDA UN MENDAJE VIA LOTUS NOTE
YO SALGO COMO JAVIER TOLEDANO VILLALOBOS
O AGREGAME A TU SAME TIME
SALUDO ESPERO TU RESPUESTA PRONTO.
JAJAJAJAJAJAA amigo mrlindowsmac … NO SABES Q ES EL VNC !!!!!!
@SUPERvisora JUBILADA … de este post – Según tengo entendido es una aplicación que permite tomar el control de una computadora de manera remota. Válga, coloquialmente conocido como «escritorio remoto».
Pero no es como si fuera algo de conocimiento popular.
Y podría agregar que para ser una SUPERvisora no se expresa de manera como alguien de su nivel debería.
@JAVIER TOLEDANO – Buen día, Me reconforta un poco su interés en el tema, aunque yo no soy el autor de este articulo,le sugeriría que para realmente poder contactarlo usted debería proveernos de una dirección de e-mail, o contacto IM de MSN, Yahoo! Messenger, SkyPE, Twitter,etc. ,pues probablemente nadie de nosotros utiliza «Lotus Notes» o «Lotus Sametime» por tratarse de software meramente empresarial.