Barrapunto
La información que te interesa
http://espana.barrapunto.com/

Title    Nuevo fallo de seguridad en el Ministerio de Justicia
Date    Domingo, 06 Agosto de 2017, 09:13h
Author    nettizen
Topic   
from the dept.
http://espana.barrapunto.com/article.pl?sid=17/08/06/1055247

El pasado 27 de julio (hace poco más de una semana) saltaba a la actualidad y a la portada de Barrapunto que un fallo en Lexnet permitió acceder a todos los casos abiertos, algo de lo que también se dio cuenta en la bitácora de Alataza. Anteriormente Draco había dado cuenta en su bitácora de otros errores de menor calado en dicha plataforma, pero nada comparable a este fallo de seguridad, que era de un calibre difícilmente imaginable, algo que a duras penas el Ministerio de Justicia intentaba minimizar. Difícil tarea, ya que los medios han empezado a airear las vergüenzas de un sistema chapucero que ha costado más de 7 millones de euros.

Todavía no nos hemos recuperado del susto, cuando se publica en prensa que 11.000 documentos internos del Ministerio de Justicia han quedado al descubierto. Ayer mismo se hacía eco de ello un pobrecito hablador. El error se explica, por ejemplo, en Hipertextual y en Microsiervos, y puede resumirse en que habían alojado un montón de documentos altamente confidenciales en un servidor abierto al público, cuya única medida de seguridad (si es que se puede llamar así) consistía en que no tenía dominio asociado, y se accedía a través de la IP del servidor. Es decir, cualquiera que conociera la IP podría acceder a ABSOLUTAMENTE TODO, sin que ninguna medida de seguridad restringiera el acceso.

EL CONTENIDO. Según se resume en Microsiervos, en el servidor se podía acceder a lo siguiente: "miles de documentos acerca de la estructura y el funcionamiento de LexNet, así como con su código fuente (...), información acerca de Orfila, el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España (...) y por si fuera poco también era posible acceder a Visor, el sistema de monitorización en tiempo real de LexNet y Orfila"-

CÓMO SE DESCUBRIÓ. Según cuentan en ELCONFIDENCIAL, un estudiante de ingeniería de 20 años se enteró de las noticias sobre LexNet la semana pasada, así que se puso a buscar información. "Me metí en Shodan y encontré una IP de Justicia no securizada". Entró, y se encontró accediendo a un directorio sin contraseña, además de un fallo de configuración que permitía "acceder con permisos de administrador al panel de monitorización de LexNet y a carpetas con miles de documentos sobre esta plataforma y sobre Orfila". No conozco el funcionamiento de Shodan, agradecería a quienes lo conozcan que digan cómo de verosímil les parece esta historia.

CÓMO HA REACCIONADO EL MINISTERIO. Según parece, lejos de reconocer su error, el Ministerio de Justicia pretende desviar la atención hacia la culpa del hacker. Niegan que haya habido "ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la admnistración pública". Como decía, la culpa es del hacker, y es que "el hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido". Y justifican este argumento con una analogía del mundo real: "es como si uno va por la calle y ve un coche con las puertas abiertas y decide robar lo que hay en su interior". Dos preguntas para barrapunteros avispados: primera, ¿es buena la analogía con un coche con las puertas abiertas?, segunda, ¿la culpa del ladrón exime de responsabilidad al que se ha dejado las puertas abiertas?

Se abre la veda.

Links

  1. "un fallo en Lexnet permitió acceder a todos los casos abiertos" - http://espana.barrapunto.com/article.pl?sid=17/07/27/1523246&tid=74
  2. "bitácora de Alataza" - http://barrapunto.com/~Alataza/journal/38754
  3. "otros errores de menor calado" - http://barrapunto.com/~Draco/journal/38458
  4. "el Ministerio de Justicia intentaba minimizar" - http://espana.barrapunto.com/comments.pl?cid=1379407&sid=92330&tid=74
  5. "ha costado más de 7 millones de euros" - https://www.elconfidencial.com/tecnologia/2017-07-28/lexnet-justicia-informatica-ciberseguridad-rafael-catala_1421916/
  6. "11.000 documentos internos del Ministerio de Justicia han quedado al descubierto" - https://www.elconfidencial.com/tecnologia/2017-08-02/justicia-lexnet-orfila-seguridad_1423771/
  7. "un pobrecito hablador" - http://espana.barrapunto.com/comments.pl?cid=1379549&sid=92330&tid=74
  8. "Hipertextual" - https://hipertextual.com/2017/08/desastre-lexnet
  9. "Microsiervos" - http://www.microsiervos.com/archivo/seguridad/otro-grave-agujero-seguridad-relacionado-lexnet.html
  10. "Shodan" - https://www.shodan.io/

© Copyright 2017 - Barrapunto S.L., All Rights Reserved

printed from Barrapunto, Nuevo fallo de seguridad en el Ministerio de Justicia on 2017-08-19 08:03:25