Hace 6 años | Por Suikoden a lasexta.com
Publicado hace 6 años por Suikoden a lasexta.com

Habitualmente cuando un hacker descubre una vulnerabilidad en un sistema online, como una red social o una red corporativa, tiene dos opciones: hacerse con la información de manera silenciosa y venderla, o avisar a la compañía en cuestión de que tiene una vulnerabilidad en su código fuente. Esto último fue lo que hizo el joven hacker de 20 años que a finales de julio descubrió un grave fallo en LexNET, el servicio online del Ministerio de Justicia para compartir documentos de los distintos procesos penales existentes(...)

Comentarios

D

#5 es que si al final te va a caer, pues ca caiga con razon.

Ferran

#5 Y de forma anonymous.

icedcry

#5 O directamente dejar el servicio X sin funcionar indefinidamente... es lo que acabrá ocurriendo

#5 Por favor, aunque no lo empuren, haganlo.

D

#5 publicar no, vender en la darknet

cocainomano

#5 que informaticos? Los que formateais ordenadores por 5€ 😂 no me hagas reir por favor.

D

#1 Ojos que no ven, corazón que no siente. No news = good news.

A los mensajeros interesa matarlos para que no espanten al rebaño.

D

#1 No sólo eso, también nos "gobiernan", hacen "leyes" y las "aplican".

Y por mucho que se les explique algo, no quieren entenderlo porque no eres de "fiar" y ellos o los suyos sí. Hasta que la idea no se les ocurre a ellos, a los demás les hacen peinetas dialécticas o "legales".

No es una cuestión de edad, le puede pasar a gente mayor y joven. Como tampoco es una cuestión de ignorancia o conocimientos. Es una cuestión meramente de como se piensa y como se actúa. Lamentable, pero cierto, y existe en todos los ámbitos de la vida y en otros países.

sillycon

#1 Señores del Ministerio: A los "ciberreservistas" patriotas, voluntarios y gratuítos ¿también los van a denunciar?

Wayfarer

#1 Ninguna buena acción queda sin castigo.

redscare

#1 Previsible. Lamentable, pero previsible.

m

#1: Es el PP... ¿Qué esperabas?

A quién hay que pedir responsabilidad es a quién vota al PP, que está apoyando el que se persiga a la gente honrada.

D

#2 Lo más probable, pues les han jodido poder acceder a LexNET desde las cloacas.

cocainomano

#2 para los peperos de mierda seguro

makinavaja

#11 No tiene la mentalidad emprendedora que se potencia en este país...

D

#8 Frikis, se dice ejército de frikis.

S

#10 Esos tíos de los teclados, para resumir.

p

#8 (por las leyes, no por el hacker, )

D

#8 Hay una parte que no termino de entender sobre eso.

"Se descargó un archivo con 11.000 documentos de índole informática, como el código fuente de LexNET y que estaban disponibles para todo el mundo a esas horas del 28 de julio."

¿Esto quiere decir que los archivos ya eran públicos o que después de descargarlos él los hizo públicos? El texto es un poco ambiguo...

S

#52 Me imagino que para cualquiera que trastease un poco. Aunque una de las cosas que el juez le preguntará, de prosperar la denuncia, es el motivo de bajarlos (el del código fuente se explica por sí mismo si la intención era analizarlo y evitar el error, no creo que ocupe los 11.000 que se citan), y si realmente era tan fácil hacerse con los datos. Por si "todo el mundo" podía colarse.

Sh0ni0

#55 Tampoco es que se inventen una cifra para así empurarlo.

Hivenfour_1

#52 yo entiendo que se los bajó porque eran públicos

D

#69 Se los bajó por que esa era la vulnerabilidad. Permitía acceder a archivos que no debes,

redscare

#72 Y sin embargo ese es un debate interesante. Si tengo una seguridad nula o de mierda, que basta con cambiar la URL en el navegador para acceder a datos que no debería ver... eso es acceso no autorizado? Joder, si están expuestos al publico. Ahí el denunciado debería ser el responsable del sistema, no el que accede a ficheros que son públicos (salvo que luego los venda o algo así).

f

#81 Yo creo que, como debate, tiene poco: si dejas un telefono en la mesa de un bar (sin vigilancia) y alguien lo coge, es un hurto... y eso es independiente del hecho de que tuvieras que haberlo vigilado o no.

No soy abogado, obviamente, pero entiendo que si has codigo 11000 documentos de un sitio web del que acabas de reportar una incidencia de seguridad (porque esos documentos no deberían ser accesibles)... que te empuren es lo mas normal del mundo.

redscare

#86 Tu ejemplo no tiene nada que ver. La razón de ser de un teléfono no es que lo coja el primero que pase. Pero la razón de ser de un servidor web SI es dar acceso a los ficheros configurados con acceso publico a todo el que pase por ahí.

f

#88 si me apuras, tiene "poco" que ver... pero nada, nada... el que coge ambas cosas sabe que está haciendo algo que no debería (mas aun cuando acaba de reportarlo). Reportar la vulnerabilidad no implica tener carta blanca para copiar todo lo que puedas libremente.

Bigus_Dickus

#86 cuñadismo de primera, pero me mola la película que te estás montando.

el código fuente de la página es abierto a todo el mundo; puedes verlo, sencillamente porque si no, no podrías entrar en la página web (otra cosa es que el protocolo de transferencia te dé una papilla cifrada, pero el código te lo va a dar). El código fuente le está diciendo al ordenador cómo mostrarte la página, cuándo pone texto y cuándo pone una foto.

Y si husmeas (que para algo es una web de acceso público) verás muchas redirecciones internas a funciones concretas que hacen cosas como cifrar contenido, restringir acceso, dar acceso temporal por medio de ip, y cosas.

A veces pinchas y encuentras cosas, y ves que no todo está tan cifrado, o encuentras una remanencia de código que te enseña unas funciones ocultas que a lo mejor se plantearon un día pero que se cancelaron, y el esqueleto sigue ahí. Lo que sea.

Toda web tiene un maldito código fuente y puedes verlo. No es hurto. Es el concepto de internet. ¿No te gusta? ¡Pues todo analógico! Coges una nave industrial y lo llenas de tabuladores Hollerith picando tarjetas perforadas, y en el centro del lugar una máquina enigma de los nazis. Para este plan necesitas ir a un museo militar y seducir al guardia con el mejor de tus pintalabios, en plan Bugs Bunny.

kaoD

#96 > el código fuente de la página es abierto a todo el mundo

Mira que estoy de acuerdo con lo que quieres defender, pero no tienes ni idea. El código fuente público es el del frontend, no el backend... Y hoy en día ni siquiera es público el frontend porque en gran parte de los casos el código está minificado (por razones de eficiencia) si no directamente ofuscado.

f

#96 Vale, vamos a ver:
a) Primer parrafo: como dice #98, eso es falso: lo que esta disponible para el navegador es el frontend y, aún así, que yo sepa está disponible para usuarios registrados, dado que son los que tienen derecho de uso de esa pagina (en este caso LexNET, pero vale para cualquier otra que no sea de acceso público).

b) Segundo parrafo: Yo no he hablado en ningún caso de código fuente en mis comentarios, sinó de ficheros privados a los que individuos no autorizados ha tenido acceso y se los han descargado. Eso incluye tanto el codigo fuente como ficheros que pudieran estar "por ahí", de procesos judiciales en curso.

c) Tercer parrafo y sucesivos: gracias por introducirme en el maravilloso mundo de las auditorias de código, de seguridad, etc., el conocimiento que has aportado es impagable. Hablando de películas, tu último párrafo me ha parecido digno de una.

d) Respecto a la entrada de tu comentario: pareces saber hablar y escribir con un mínimo de corrección. En qué escuela te enseñaron eso y se olvidaron de decirte que, a menos de que se lo merezca (y aún así), a las personas se les habla sin faltarles al respeto?

Bigus_Dickus

#98 ¿Acaso no hay fallas en el frontend? Mira que hoy mismo he extraído un link que apunta al archivo de descarga para no tener que registrarme (y porque no estaba cifrado a partir de una url dinámica en base a la ip). Además desde España no me permitía acceder, así que he cebolleado un pelín. Y mira que no tengo ni zorra, pero tampoco hay que ser Aron Swartz.

D

#86 Totalmente de acuerdo.
No se por que le dan tantas vueltas al tema.
Que un fallo haga accesibles documentos privados y explotes el fallo para acceder no es ni remotamente parecido a que sean "documentos públicos" como están diciendo algunos.
Si sin el fallo de seguridad no podrías acceder a los documentos, ese único hecho ya está prácticamente definiendo que los documentos son privados a ese efecto.
Por ejemplo:
1) Yo tengo una novela de dominio público en un servidor conectado a internet.
2) Normalmente hay varias limitaciones de acceso y sistemas de seguridad cuyo proposito es hacer imposible descargarse la novela si no estás autorizado.
3) Encuentras un fallo en la seguridad y te consigues descargar la novela (de dominio público)
4) Es delito el acceso no autorizado constituye un delito.
No creo que sea tan complicado de entender. La intrusión es un delito. Acceder a material protegido sería otro delito distinto.

ioxoi

#52 el fallo en realidad eran dos, un servidor de desarrollo con documentación y código sin proteger que es de donde se descargó los 11.000 docs y un fallo en la aplicación que permitía a un usuario autenticado ver los casos de cualquier otro.
No conozco más detalles, pero si como se ha dicho el servidor de desarrollo estaba abierto de par en par, la denuncia debería tener muy poco desarrollo ante un juez justo e imparcial.

Peachembela

Es tan español todo esto.

Peazo_galgo

#35 pues no creas, para naniano es very difficult todo esto

D

Forma española de hacer las cosas: ¿Reconocemos un error? JAMAAAASSSS!!!

Antes denunciamos a los que los descubren, con este no podemos hacer nada... Pero ya verás como el siguiente error no sale a la luz.

Hasta que alguien se aproveche a lo grande, claro.

¿Que haremos entonces? Llamarlo terrorismo y echarle la culpa a Podemis.

D

Y otra más. Fuertes con los débiles y débiles con los fuertes.
Y venganzas contra los que ponen en evidencia su injusticia y su ineptitud.

squanchy

Cada vez que alguien descubre una vulnerabilidad, es un hacker. Pues mire, no. Normalmente son personas trabajando con esos sistemas, que encuentran un fallo de forma fortuita, y no porque se dedique a estudiar el sistema buscando vulnerabilidades.

D

"además de avisar a todas las partes afectadas, se descargó un archivo con 11.000 documentos de índole informática, como el código fuente de LexNET y que estaban disponibles para todo el mundo a esas horas del 28 de julio."

O sea que ¿descargó ficheros confidenciales de la web y los publicó para que todo el mundo pudiera acceder a ellos?

Forni

#17 Entiendo yo que "se descargó los ficheros" porque "estaban disponibles para todo el mundo". Es decir, que parte del error fuera que esa base de datos estaba expuesta.

D

#21 descargó los ficheros porque vio una vulnerabilidad que se lo permitía y decidió explotarla. Si encima lo publicó, pues veo base para la denuncia.

Forni

#28 Pero dónde sale que la publicara? De dónde sacas que utilizó dicha información?

D

#23 #24 #25 #29 #34 la redacción es confusa pero parece que se refiere a que "eran públicos" porque había una vulnerabilidad que él decidió explotar.

Habría que debatir si es necesario descargar miles de ficheros para probar que existe dicha vulnerabilidad, o que con uno bastaba. Y también veo un debate posible en valorar qué hacer cuando alguien ha descargado ilícitamente miles de ficheros de tus servidores. Habría que asegurarse de que ese material sea borrado al menos.

Forni

#37 Yo no veo confusión en ningún lado, en todo caso una enumeración espantosa lol

#37 Para asegurar la vulnerabilidad si que es necesario descargar los datos y comprobarlos.

Más que nada, porque si puedes "descargar", y no compruebas, puede que en realidad sea una trampa para rastrear hackers o que sea un archivo falso y/o corrupto para despistar.

Que el material sea borrado, si que deberían asegurarse, pero no creo que denunciando sea la mejor opción. A fin de cuentas, aunque sea "delito", les ha hecho un bien, no un mal.

D

#47 ¿necesitas descargar 11.000 ficheros?

Los motivos de la denuncia en realidad no son claros, ni el proceso que se ha seguido para llegar a esta situación. Puede que los del ministerio sean unos cabrones, o puede que hayan dictaminado que el hacker no ha sido del todo transparente y ético en sus actos y hayan decidido poner una denuncia para asegurar la seguridad de su información. Es perfectamente posible que a través de ella intenten llegar a un acuerdo para salvaguardar la información y se retire la denuncia.

Hay muchas posibilidades entre lo ocurrido, lo que ocurre ahora y lo que puede llegar a ocurrir.

D

#49 Es lo que pasa con los script-kidies.
Tienen el conocimiento justo para usar una herramienta que comprometa una web o para buscar vulnerabilidades muy básicas y cantosas.
Pero luego no tienen los conocimientos suficientes para hacer eso de una forma segura para ellos.
Lo suyo es redirigir todo el tráfico a una vpn o servidor ssh extranjeros con cifrado fuerte y desde ahí hacer proxy chaining a varios países que no tengan tratado de cooperación con europol.
Ya pueden echarte un galgo.

j

#49 11.000 como si es medio millón, coge cualquier programa que tengas en el ordenador dale botón derecho y cuenta ficheros. Un python portable contiene 9.000.
El tema será que se descargo contenido del servidor, a mi me lo han comparado con alguien que entra en tu casa que tiene la puerta abierta y coge algo, es un robo/hurto. La puerta estaba abierta, si. Lo que ha cogido es tuyo o suyo, tuyo. Pues es ilegal.

redscare

#74 Para mi es mas como si tengo una cesta de naranjas en la puerta con un cartel que pone "fruta gratis". Y al lado tengo una cesta con peras. Pero si coges una pera te digo que me has robado. Coño, si estaban igual de disponibles al publico!

j

#84 Yo lo discutí (por llamarlo de alguna manera) con alguien del gremio y su argumento es que eso no estaba ahí "para ser cogido" y el que lo cogió lo hizo con intencionalidad, de ahí el delito. Pero vamos, que lo aclare un juez. Además seguramente (como siempre) la info que llega a nosotros es de lo más sesgada.

redscare

#93 Lo malo es que los jueces no tienen ni puta idea tampoco (con honrosas excepciones). Para mi la única infracción seria de copyright, por copiarse el código fuente de una aplicación propietaria sin permiso. Y debería ir por lo civil, no por lo penal. Pero fijo que le intentan meter un puro. Cualquier cosa para que no paguen los verdaderos responsables.

redscare

#49 #77 La redacción es una mierda porque los periodistas no saben ni escribir hoy en día. Pero yo entiendo que los 11.000 ficheros eran el código fuente y NO ficheros confidenciales de otros abogados. Hay una diferencia enorme. Y si, como programador entiendo perfectamente que después de ver semejante túnel del metro (agujero de seguridad se queda corto) aproveches para echar un ojo al resto a ver que otras mierdas han hecho.

redscare

#37 Si tu servidor tiene ficheros de acceso publico, por que va a ser ilicito bajarlos? Solo porque no estan linkados?

Si resulta que meneame tiene una pagina tal que
https://www.meneame.net/mi-pagina-secreta

Que no esta linkada en ningun sitio pero accesible si la tecleas a mano. Donde esta el acceso no autorizado si entro?? Donde esta la ilegalidad??

D

#82 aquí se habla de una vulnerabilidad explotada, no de algo de acceso público pero medio oculto.

obmultimedia

#17 no, la misma vulnerabilidad hacia que se pudieran descargar esos archivos publicamente.

#17 Yo interpreto que simplemente usó el fallo que permitía la descarga. No dice que el sea responsable de que estuvieran disponibles.

Y obviamente, para encontrar un fallo, tienes que usarlo. Si no, no es un fallo, es la suposición de que existe un fallo.

thorin

#17 La redacción es confusa
Yo he entendido que estaban disponibles por el fallo del sistema, no porque él los pusiera a disposición.

Maseo

#17 Yo lo que he entendido es que esos archivos estaban disponibles para todo el mundo y que el los descargó, como podría haberlo hecho cualquier otro, no que fuera él el que los hiciera públicos. También es lógico que los descargara, si encuentras una posible vulnerabilidad tienes que comprobar hasta qué punto es grave y el alcance de la misma, y si la vulnerabilidad consiste en que se pueden descargar archivos habrá que probar si es posible, cómo se puede llevar a cabo, y cuánto se puede descargar para poder informar de la gravedad del problema.

PauMarí

#29 y el "dijo que se los bajó", bajárselos vete tú a saber si lo han hecho mucha más gente o no, su "error" fue ser "legal" y decirlo....

Sh0ni0

#17 ¿y quien dice que los descargo los mismos inútiles que no tenían ni idea del bug de seguridad? ¿O los mismos inútiles que “descabezaron” a anonymous?

m

#17: Hablas de ficheros como quién habla de expedientes judiciales.

Son ficheros "de toda índole informática", ni siquiera sabemos si es el historial de versiones del código fuente (que de ahí pueden salir números así de altos sin problema), pero nada, que por echar mierda contra las personas de abajo, que no falte.

Así funciona la derecha, vertiendo bulos para engañar a las personas poco informadas.

nathanp10

¿Pero esta gente piensa gobernar o solo denunciar gente? Vaya legislatura llevamos...

D

Esta es la manera en la que el Golfo para la justicia e inútil para la gestión del indecente del ministro Catala tiene para cubrirse de toda la mierda que el mismo genera cuando toca cualquier asunto clap

z3t4

Eso le pasa por no llevar un gorro de lana mientras lo hacia....

SuperQQ

#31 No solo hay que ser un friki, hay que parecerlo. I llueven los contratos.

I

Ya tenemos otro candidato para engrosar la larga lista de voluntarios reservistas en ciberseguridad!

p

#9 y a precio de saldo....

Ironizator

Prisión incondicional para el vecino que avisó a otro vecino de que se había dejado la ventanilla del coche bajada.

"Siempre saludaba", señalan los vecinos de la finca.

D

No era u fallo, era una feature.

Yo personalmente hubiera dicho lo que pasa pero desde el anonimato. Sino luego te acusan de lo que sea proque tienen que buscar un cabeza de turco que cubra su puta inutilidad.
Ya paso con otro caso que el que lo denuncio no le hacian ni puto caso y al final tuvo que joder la marrana para que se pusieran las pilas.

e

Cito un fragmento de un libro de Antonio Salas, al respecto de esta noticia:

"Imagina que en la próxima Rooted se va a presentar una conferencia sobre las vulnerabilidades que tiene la central de Garoña, que está expuesta a un ataque desde internet. Imagínate, es un supuesto, que hemos descubierto vulnerabilidades tan graves como para hacer explotar la central. Imagina ahora que yo, cuando mando la nota de prensa anunciando los contenidos de la Rooted, incluyo que vamos a demostrar que hay vulnerabilidadesreales en infraestructuras críticas como una central nuclear. Imagina que al Consejo de Seguridad Nuclear, o al político de turno que lleve la cartera de Industria, Fomento o Defensa, se le cruza el cable y dice «¿Qué hacen estos gilipollas de hackers hablando de la central nuclear en prensa?». Yo en mi ordenador tengo herramientas de hacking, y estoy hablando de cómo se puede hacer explotar una central nuclear que es Garoña. Así que interpreto esta ley como una herramienta contra la libertad de expresión, un mecanismo para censurarnos y que no podamos denunciar situaciones graves, y una forma de poder llevarse por delante a quien les dé la gana."

D

Luego quieren hackers que trabajen para ellos lol

D

No es mundo para White Hats.

D

Hijos de la gran puta.

J

Noticia mal redactada y mal informada.
1.- El fallo grave de LexNet lo anuncia José Muelas (abogado) por Twitter y el responsable del Ministerio le da las gracias públicamente también por Twitter.
2.- A los pocos días, el "hacker" que ha sido denunciado, descubre que en una url del Minsiterio de Justicia accesible de forma no trivial tiene una carpeta con miles de documentos sobre LexNet y otras aplicaciones. Es a este segundo al que se denunció... en Agosto.

redscare

#65 Define trivial. Un script moñas con wget se prepara en menos de 5min. Y no hace falta ser experto en nada, basta con saber 4 cosas.

Nova6K0

Lo que les jode, con perdón, a estos políticos, es que les demuestren lo auténticamente paletos que son en temas de informática, seguridad e Internet.

Salu2

D

Como cantaba Ismael Serrano:

… Queda lejos aquel mayo, queda lejos Saint Denis
Que lejos queda Jean Paul Sartre, muy lejos aquel París
Sin embargo a veces pienso que al final todo dio igual
Las ostias siguen cayendo sobre quien habla de más

frandura

R

El ministerio de Justicia de está luciendo últimamente, deberían darle el TP de oro o algo.

p

así se agradecen las cosas en éste país...
igual es que les jodío a algunos el sistema......

madeagle

Estos son los que querian contratar un ejercito de hackers (frikis, segun ellos)... ¿para poder empurarlos cuando descubran algo?

O

En serio, lo de la serie de tropa de élite se queda corto con este gobierno

D

A ver si con suerte se vuelve contra ellos y les denuncia él con sus pruebas por pasividad al respecto....

D

Para la siguiente, le va a informar de una falla su puta madre, y va a ser explotada hasta la saciedad

c

Yo creo que no era necesaria la descarga de esos 11.000 ficheros. Con avisar de que estaban ahí disponibles serían suficientes.
Que el Ministerio haya denunciado es normal. Una vez descargados esos ficheros tiene que proteger los intereses de quienes aparezcan en ellos.

D

Seguramente en este asunto hay toda una cadena de mando que va desde el programador hasta el ministro que ha ido tirando balones fuera hasta que ese balón ha acabado cayendo en el tejado del hacker.

Pues nada, suerte reclutando a ese ejército de 2000 hackers.

D

El próximo que encuentre una vulnerabilidad ya sabe lo que tiene que hacer.

P

#57 Sí, explotarla/venderla

D

#61 por lo visto esa es mejor forma de evitarse problemas con la ley.

D

"Esta hacker tuvo piedad y en vez de aprovecharse de ello.."
¿Pero qué puta mierda es esto?

swapdisk

#80 A ver, la redacción es penosa y la información es casi inexistente, pero...

Si, y digo si, no se descargó más contenido que el estrictamente necesario para probar que realmente había un agujero y luego lo borró, y los 11.000 archivos son del código que se bajó para analizar... Sería como cuando un señor de un bar saca las llaves de la moto que alguien se ha dejado en el contacto y le deja una nota de que pase a buscarlas y va ese alguien y le denuncia por tocar lo que no es suyo y robarle las llaves. Más o menos...

Y pongo ese ejemplo porque a veces, pasa (la denuncia no)

1 2