Historias
Slashboxes
Comentarios
 

Nuevo fallo de seguridad en el Ministerio de Justicia

Entrada escrita por Defero y editada por nettizen el Domingo, 06 Agosto de 2017, 09:13h   Printer-friendly   Email story
El pasado 27 de julio (hace poco más de una semana) saltaba a la actualidad y a la portada de Barrapunto que un fallo en Lexnet permitió acceder a todos los casos abiertos, algo de lo que también se dio cuenta en la bitácora de Alataza. Anteriormente Draco había dado cuenta en su bitácora de otros errores de menor calado en dicha plataforma, pero nada comparable a este fallo de seguridad, que era de un calibre difícilmente imaginable, algo que a duras penas el Ministerio de Justicia intentaba minimizar. Difícil tarea, ya que los medios han empezado a airear las vergüenzas de un sistema chapucero que ha costado más de 7 millones de euros.

Todavía no nos hemos recuperado del susto, cuando se publica en prensa que 11.000 documentos internos del Ministerio de Justicia han quedado al descubierto. Ayer mismo se hacía eco de ello un pobrecito hablador. El error se explica, por ejemplo, en Hipertextual y en Microsiervos, y puede resumirse en que habían alojado un montón de documentos altamente confidenciales en un servidor abierto al público, cuya única medida de seguridad (si es que se puede llamar así) consistía en que no tenía dominio asociado, y se accedía a través de la IP del servidor. Es decir, cualquiera que conociera la IP podría acceder a ABSOLUTAMENTE TODO, sin que ninguna medida de seguridad restringiera el acceso.
EL CONTENIDO. Según se resume en Microsiervos, en el servidor se podía acceder a lo siguiente: "miles de documentos acerca de la estructura y el funcionamiento de LexNet, así como con su código fuente (...), información acerca de Orfila, el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España (...) y por si fuera poco también era posible acceder a Visor, el sistema de monitorización en tiempo real de LexNet y Orfila"-

CÓMO SE DESCUBRIÓ. Según cuentan en ELCONFIDENCIAL, un estudiante de ingeniería de 20 años se enteró de las noticias sobre LexNet la semana pasada, así que se puso a buscar información. "Me metí en Shodan y encontré una IP de Justicia no securizada". Entró, y se encontró accediendo a un directorio sin contraseña, además de un fallo de configuración que permitía "acceder con permisos de administrador al panel de monitorización de LexNet y a carpetas con miles de documentos sobre esta plataforma y sobre Orfila". No conozco el funcionamiento de Shodan, agradecería a quienes lo conozcan que digan cómo de verosímil les parece esta historia.

CÓMO HA REACCIONADO EL MINISTERIO. Según parece, lejos de reconocer su error, el Ministerio de Justicia pretende desviar la atención hacia la culpa del hacker. Niegan que haya habido "ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la admnistración pública". Como decía, la culpa es del hacker, y es que "el hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido". Y justifican este argumento con una analogía del mundo real: "es como si uno va por la calle y ve un coche con las puertas abiertas y decide robar lo que hay en su interior". Dos preguntas para barrapunteros avispados: primera, ¿es buena la analogía con un coche con las puertas abiertas?, segunda, ¿la culpa del ladrón exime de responsabilidad al que se ha dejado las puertas abiertas?

Se abre la veda.

Historias relacionadas

[+] Un fallo en Lexnet permitió acceder a todos los casos abiertos 15 comentarios
Cuentan en El confidencial: "Es un fallo gravísimo, podías acceder a las carpetas privadas de todos los casos que están llevando todos los abogados de España, sea la Gürtel o cualquier pleito local". Así describe a Teknautas el abogado José Muelas el fallo detectado en LexNet, el sistema electrónico que implantó el Ministerio de Justicia en enero de 2016. Él fue uno de los primeros en dar hoy la voz de alarma en las redes sociales ante la "pasividad de Justicia" por resolver el problema tras comunicárselo. Varios abogados han confirmado a Teknatuas que, efectivamente, el fallo existe. José Luis Hernández, Subdirector General de Nuevas Tecnologías en el Ministerio de Justicia y responsable técnico de LexNet, ha confirmado también a Muelas la existencia del problema. Justicia cerró el sistema durante más de 30 minutos y ahora asegura que la vulnerabilidad está resuelta.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • por EsePibe (372) el Sábado, 05 Agosto de 2017, 19:43h (#1379579)
    ( Última bitácora: Domingo, 18 Junio de 2017, 22:54h )
    Una empresa u organismo público quiere desarrollar un proyecto, tal y como una obra pública, o contratar un servicio de comedor para un hospital o escuela o un proyecto de software o desarrollar un nuevo avión de combate o un nuevo submarino. Abren un concurso público y ¿quien se queda con el contrato?. Estoy casi seguro que el que presente el proyecto más barato.

          Entonces tenemos que con los servicios de limpieza subcontratados que contrataba Ana botella cuando estaba en el ayuntamiento de Madrid las calles estaban sucias, que en los hospitales públicos y colegios hay quejas y que los edificios y obras públicas tienen enormes sobrecostes y en algunos casos se agrietan, y que los submarinos se hunden solos y que un F-16 le da sopas con ondas a un F-35.

          Y esto es así por que se presentan muchos candidatos a los concursos públicos y en aras de la competitividad se miente en los informes que se entregan a los organismos públicos bajando considerablemente el precio del proyecto. Así pues tenemos a empleados de cocinas y comedores con salarios que rozan el salario mínimo y cocinando autentica bazofia, desarrolladores de software con salarios de pena y que tienen que hacer horas extras impagadas todos los días y si se retrasan hay penalizaciones para ellos.

          Se nos ha estado vendiendo durante décadas que eso que llaman competitividad es lo más cojonudo que existe. Pero lo cierto es que lo único que nos ha traído es miseria y bazofia.

          Al menos, en lugar de basarse siempre en el proyecto más barato, deberían basarse en el más creíble. Se debería reformar la manera en la que se gestionan los concursos públicos.

    --
    --- 404 Firma no encontrada.
    [ Responder ]
  • Shodan y otros crawlers

    (Puntos:1, Interesante)
    por pobrecito hablador el Domingo, 06 Agosto de 2017, 04:40h (#1379583)
    Me sonaba... y mirando https://en.wikipedia.org/wiki/Shodan_(website) [wikipedia.org] veo que si, es una araña que no va solo a por servidores web, sino que comprueba unos cuantos puertos. Supongo que lo vi en alguna noticia sobre webcams abiertas. La cosa sera algo mas dificil cuando (?) pasemos a ipv6, demasiadas direcciones posibles para ir a ciegas; ipv4 se puede recorrer por fuerza bruta todas las direcciones en poco tiempo. No es el unico: https://www.net.in.tum.de/fileadmin/TUM/NET/NET-20 15-09-1/NET-2015-09-1_11.pdf [in.tum.de] Jajaja, IaaS, Intrusion as a Service.

    Por cierto, hace tiempo mi hosting me mando un email avisandome sobre una notificacion de una agencia de su gobierno acerca de un servicio con problemas (openssl...). Me hizo gracia que se preocuparan. No se si lo hicieron para ver cuanto tardaba en arreglarse (paranoico... nah...). La verdad es que podria hasta cerrarlo, el acceso va via tunel... aunque da un aire de normalidad... hmm... hora de montar un "honeypot"?

    Codigo: yzx ... >_> ... <_< ... o_O

    [ Responder ]
  • por stuka75 (46489) el Domingo, 06 Agosto de 2017, 08:17h (#1379584)
    Una duda: está el error de seguridad de Lexnet, ahora este otro que comentas en Lexnet/Orfila.
    Está relacionado con esta noticia que habla de Minerva? [europapress.es]. Entiendo que Minerva es otro programa diferente aunque comparta datos con Lexnet.
    Si es así, menuda racha.
    [ Responder ]
  • Falacias

    (Puntos:3, Inspirado)
    por pleyades (544) el Domingo, 06 Agosto de 2017, 08:56h (#1379586)
    ( http://barrapunto.com/ | Última bitácora: Jueves, 15 Junio de 2017, 13:17h )

    Hay dos cuestiones:

    1. ¿Se ha cometido un delito al acceder al sitio?
    2. ¿Si alguien quiere acceder ilicitamente a la información, lo tiene fácil?

    A la primera pregunta, no sé que contestar. ¿Había alguna advertencia de que era información confidencial?¿Podía suponerse?¿Si no hizo nada con la información, es delito? Es cosa de un abogado.

    Respecto a la segunda, sí, es facilísimo. Es de risa, facilísimo hasta el ridículo.

    A la pregunta sobre problemas de seguridad, se lía a responder a la primera pregunta, cuando lo importante es la segunda.

    Ya sabéis, si descubrís que la caja fuerte de un banco es de cartón, y para demostrarlo la rompéis y enseñáis un fajo de billetes, el banco no tiene un problema de seguridad. Podéis dejar el dinero en ese banco con tranquilidad.

    [ Responder ]
  • Analogía

    (Puntos:2, Inspirado)
    por Defero (14845) el Domingo, 06 Agosto de 2017, 11:10h (#1379591)
    ( http://www.ekinabokatuak.com/ | Última bitácora: Lunes, 14 Agosto de 2017, 22:01h )
    Voy a dar la mía, a ver si alguien se anima a dar la suya:

    Es como si el personal de un hospital se dedicara a amontonar expedientes con información confidencial en la vía pública. Eso sí, no en una calle concurrida, sino en un callejón sin nombre por el que nunca pasa nadie, que está en la parte trasera del hospital. Entonces un ciudadano cotilla rodea el edificio del hospital (más allá de la entrada principal, pero en todo caso, en la vía pública), y se encuentra con los expedientes. Hace copias de dichos expedientes con información confidencial, DEJA LOS ORIGINALES DONDE ESTABAN, y contacta con la prensa para denunciar el hecho.


    La analogía del coche no me vale, porque no es que no se hayan acordado de cerrar el coche, es que el coche no tiene ni cerradura ni puertas, cosa que no les ha importado a la hora de depositar ahí información confidencial, porque confiaban en que nadie iba a pasar por ese descampado en el que estaban almacenando información. Mal hecho está coger esos archivos, pero lo realmente censurable es que se estén almacenando de esa manera.
    --
    abogado en Errenteria [ekinabokatuak.com]
    [ Responder ]
  • Van a por él

    (Puntos:1)
    por Defero (14845) el Domingo, 06 Agosto de 2017, 12:24h (#1379592)
    ( http://www.ekinabokatuak.com/ | Última bitácora: Lunes, 14 Agosto de 2017, 22:01h )
    El chaval que descubrió la vulnerabilidad pecó de inocencia, pensó que alguien agradecería que avisara del fallo, y en vez de eso, van a ir a por él [elconfidencial.com]. Con estas cosas hay que andarse con tiento, y asegurarte de que tienes amigos suficientes [barrapunto.com] como para que no compense ir a por ti. El que aireara los fallos de LexNet la semana pasada, de manera coherente, critica la persecución a este chaval [twitter.com]; a ver hasta dónde llega su defensa pública.
    --
    abogado en Errenteria [ekinabokatuak.com]
    [ Responder ]
  • Internos

    (Puntos:2)
    por Ricardo Estalmán (102) el Domingo, 06 Agosto de 2017, 17:23h (#1379597)
    ( http://barrapunto.com/tags/restalman | Última bitácora: Martes, 11 Julio de 2017, 22:01h )
    Si la mayor parte de los documentos es código fuente y documentación, ¿es tan grave? ¿No se supone que la seguridad mediante la oscuridad es falsa seguridad?
    --

    __
    Comprare è combattere.
    [ Responder ]
    • Re:Internos de Defero (Puntos:1) Lunes, 07 Agosto de 2017, 06:43h
    • Re:Internos de Defero (Puntos:1) Lunes, 07 Agosto de 2017, 08:15h
      • Gracias de Ricardo Estalmán (Puntos:1) Jueves, 10 Agosto de 2017, 17:36h
      • 1 respuesta por debajo de tu umbral de lectura actual.
  • Mis dos centimillos

    (Puntos:2)
    por jubete (49435) el Viernes, 11 Agosto de 2017, 06:48h (#1379643)
    Como fulano que se dedica a la tecla y que ha visto chapuzas sin cuento, creo que a los del ministerio, a los de la empresa de desarrollo, o en resumen, al lumbreras que dijo "vamos a poner la documentacion aqui como backup para tenerla disponible desde casa y poder teletrabajar" hay que embrearlos y emplumarlos como minimo. Eso no creo que lo dude nadie. Se han ganado el despido fulminante igual que el que se deja abierta la caja fuerte de un banco o al policia que se deja la pistola en un bar.

    Ahora, en cuanto al tema legal, si eso es delito, falta o mediochungo es cosa de abogados. Me suena un tal Defero, buscalo por internet.

    En cuanto al chavalillo, tengo entendido que el no se limito a decir "oye, que os habeis dejado la puerta abierta", si no que se bajo el fichero y lo compartio. No se si la linea de "hacking etico" se sobrepasa cuando en vez de comunicar una vulnerabilidad de forma discreta al administrador para que lo arregle la publicas en redes sociales directamente, pero estoy seguro de que se sobrepasa cuando bajas contenido y lo compartes, asi que respecto al chavalillo, a lo hecho pecho. Y a los del servidor, tambien.
    [ Responder ]
  • 1 respuesta por debajo de tu umbral de lectura actual.