[HACK] medidas legales
miguelangel.joverdiaz at telefonica.es
miguelangel.joverdiaz at telefonica.es
Wed Jun 25 11:49:14 CEST 2003
>El problema está en que a este sistema de tarjeta electrónica se le han
>anulado las contraseñas, o sea, que para usarlo lo único que tienes que
hacer
>es pasar la tarjeta por el lector y cargar, sin absolutamente nada más.
Supongo que el instalador del surtidor no debe tener conocimiento para
hacer esto, y muy poco interes en consultar con el fabricante del lector de
tarjetas.
>Por la falla de seguridad que esto supone, me he puesto en contacto con
los
>responsables del servicio y les estoy exigiendo que activen las
contraseñas
>para evitar el fraude por robo o pérdida de las tarjetas. Me dicen que
>tururú, que como está es más cómoco.
No es una falla de seguridad, los mecanismos de seguridad que se establecen
al lanzar un servicio deben cubrir el compromiso entre facilidad de
uso/riesgo asumido.
Te puede servir de ejemplo las tarjetas de credito
- Para sacar dinero de un cajero necesitas el PIN de 4 digitos
- Si pagas en un establecimiento NO necesitas el PIN, si el importe es bajo
es mas que probable que no te pidan el DNI
- Al comprar un billete de metro no se te solicita ni PIN y mucho menos el
DNI.
Ademas, ¿Que sucede si todas las tarjetas tienen la misma password por
defecto?, ¿O si los usuarios apuntan la clave en la propia tarjeta?
>Lo que yo quisiera saber es si es posible obligarles, aunque sea mediante
>denuncia, a que se activen las contraseñas.
Hasta donde se, lo unico que es exigible es que los datos personales de
cara a la facturacion cumplan la LOPD.
Por lo que ahi no puedes hacer nada.
Alternativas:
Si no puedes modificar la forma en la que funciona el surtidor igual
puedes:
Hacer SIEMPRE responsables a los propietarios de las tarjetas del
combustible servido, si pierden la tarjeta es su problema, Las tarjetas se
podrán anular con la mayor agilidad posible.
Evalua si te interesa poner una persona que surta el combustible solo unas
pocas horas al dia, para aquellos que no acepten el uso de la tarjeta,
reparte los costes de dicha persona entre los usuarios que no acepten la
tarjeta.
Establece una cuota por la emision de la tarjeta, que actuará a modo de
seguro, de manera que repartes el coste del robo del combustible entre
todos los usuarios, tambien puedes incrementar ligeramente el precio del
combustible para repartir la cuota)
Si la tarjeta tiene un limite de combustible por dia, minimizas el robo
maximo que se puede producir, establece tarjetas por cada vehiculo.
Graba en video (digital?) la gasolinera, podras comprobar quien estaba
echando combustible a una hora:minutos concretos, en muchos casos la sola
presencia de la camara sirve como medida persuasiva.
Son unas ideas, Aplica aquellas que veas interesantes, averigua con que
frecuencia se pierden las tarjetas, y que importe es robado con cada una de
ellas, eso te dara una idea de cuanto puedes invertir en las nuevas medidas
de seguridad.
Espero que te sirva.
Miguel Angel Jover
Ingª de Seguridad/Cortafuegos
Telefonica de España
___________________________________________________________________________
Este mensaje se dirige exclusivamente a su destinatario y puede contener
información privilegiada o confidencial. Si no es vd. el destinatario
indicado, queda notificado de que la utilización, divulgación y/o copia sin
autorización está prohibida en virtud de la legislación vigente. Si ha
recibido este mensaje por error, le rogamos que nos lo comunique
inmediatamente por esta misma vía y proceda a su destrucción.
This message is intended exclusively for its addressee and may contain
information that is CONFIDENTIAL and protected by professional privilege.
If you are not the intended recipient you are hereby notified that any
dissemination, copy or disclosure of this communication is strictly
prohibited by law. If this message has been received in error, please
immediately notify us via e-mail and delete it.
___________________________________________________________________________
More information about the hacking
mailing list