EDICIóN GENERAL
886 meneos
4061 clics
El Ministerio de Justicia denuncia al hacker que descubrió el fallo en LexNET

El Ministerio de Justicia denuncia al hacker que descubrió el fallo en LexNET

Habitualmente cuando un hacker descubre una vulnerabilidad en un sistema online, como una red social o una red corporativa, tiene dos opciones: hacerse con la información de manera silenciosa y venderla, o avisar a la compañía en cuestión de que tiene una vulnerabilidad en su código fuente. Esto último fue lo que hizo el joven hacker de 20 años que a finales de julio descubrió un grave fallo en LexNET, el servicio online del Ministerio de Justicia para compartir documentos de los distintos procesos penales existentes(...)

| etiquetas: denuncia , hacker , buscamos ejercito de hackers para defensa
Comentarios destacados:                        
#5 Si empuran a este chaval deberíamos dedicarnos todos los informáticos a buscar otras vulnerabilidades y en lugar de comunicarlas explotarlas a saco. Buscamos datos comprometidos e información confidencial de procesos penales de políticos y gente importante... y a publicarlo por todos los lados. :-|
y como siempre, matan al mensajero en vez de premiarlo.
#1 normal, con lo bien que les venia ese fallo para controlar los centenares de casos que tiene el partido podrido en los tribunales, ahora por culpa del juanker ese no pueden aprovecharlo.
#1 Ojos que no ven, corazón que no siente. No news = good news.

A los mensajeros interesa matarlos para que no espanten al rebaño.
#1 No sólo eso, también nos "gobiernan", hacen "leyes" y las "aplican".

Y por mucho que se les explique algo, no quieren entenderlo porque no eres de "fiar" y ellos o los suyos sí. Hasta que la idea no se les ocurre a ellos, a los demás les hacen peinetas dialécticas o "legales".

No es una cuestión de edad, le puede pasar a gente mayor y joven. Como tampoco es una cuestión de ignorancia o conocimientos. Es una cuestión meramente de como se piensa y como se actúa. Lamentable, pero cierto, y existe en todos los ámbitos de la vida y en otros países.
#1 es lo que siempre pasa, por mas que lo decimos el afán de protagonismo al final expone al mensajero, lo repetiré una y mil veces.
Los fallos de seguridad SIEMPRE se notifican de manera privada al afectado y de forma anónima y a los 15 días ( por defecto) de manera pública y anónima.
Si das tus datos irán a partir para evadir su responsabilidad.
#1 Señores del Ministerio: A los "ciberreservistas" patriotas, voluntarios y gratuítos ¿también los van a denunciar?
#1 Ninguna buena acción queda sin castigo. :-(
#1 Previsible. Lamentable, pero previsible.
#1: Es el PP... ¿Qué esperabas?

A quién hay que pedir responsabilidad es a quién vota al PP, que está apoyando el que se persiga a la gente honrada.
A ver si es que no era una vulneraibilidad sino una feature no documentada ...
#2 Lo más probable, pues les han jodido poder acceder a LexNET desde las cloacas.
#2 para los peperos de mierda seguro
Son..cerriles, paletos
¿Qué quieren? ¿Sistemas seguros o sistemas vulnerables?
Son gilipollas
Si empuran a este chaval deberíamos dedicarnos todos los informáticos a buscar otras vulnerabilidades y en lugar de comunicarlas explotarlas a saco. Buscamos datos comprometidos e información confidencial de procesos penales de políticos y gente importante... y a publicarlo por todos los lados. :-|
#5 es que si al final te va a caer, pues ca caiga con razon.
#5 Y de forma anonymous.
#5 O directamente dejar el servicio X sin funcionar indefinidamente... es lo que acabrá ocurriendo
#5 Por favor, aunque no lo empuren, haganlo.
#5 Ir de buena fe no compensa, casi te animan a ser chantajista o a comerciar con la información...
#5 publicar no, vender en la darknet :troll:
#5 que informaticos? Los que formateais ordenadores por 5€ {0x1f602} no me hagas reir por favor.
Y pensar que en cualquier país medianamente serio le hubiesen contratado para mejorar la seguridad...

:palm:
Ya saben que buscan un ejercito de hackers, así es como les pagan. Por lo visto se bajó archivos de Lexnet, pero supongo que algunos relacionados con el código para poder identificar el error...
#8 Frikis, se dice ejército de frikis.
#10 Esos tíos de los teclados, para resumir.
#8 :palm: (por las leyes, no por el hacker, )
#8 Hay una parte que no termino de entender sobre eso.

"Se descargó un archivo con 11.000 documentos de índole informática, como el código fuente de LexNET y que estaban disponibles para todo el mundo a esas horas del 28 de julio."

¿Esto quiere decir que los archivos ya eran públicos o que después de descargarlos él los hizo públicos? El texto es un poco ambiguo...
#52 Me imagino que para cualquiera que trastease un poco. Aunque una de las cosas que el juez le preguntará, de prosperar la denuncia, es el motivo de bajarlos (el del código fuente se explica por sí mismo si la intención era analizarlo y evitar el error, no creo que ocupe los 11.000 que se citan), y si realmente era tan fácil hacerse con los datos. Por si "todo el mundo" podía colarse.
#55 Tampoco es que se inventen una cifra para así empurarlo.
#52 yo entiendo que se los bajó porque eran públicos
#69 Se los bajó por que esa era la vulnerabilidad. Permitía acceder a archivos que no debes,
#72 Y sin embargo ese es un debate interesante. Si tengo una seguridad nula o de mierda, que basta con cambiar la URL en el navegador para acceder a datos que no debería ver... eso es acceso no autorizado? Joder, si están expuestos al publico. Ahí el denunciado debería ser el responsable del sistema, no el que accede a ficheros que son públicos (salvo que luego los venda o algo así).
#81 Yo creo que, como debate, tiene poco: si dejas un telefono en la mesa de un bar (sin vigilancia) y alguien lo coge, es un hurto... y eso es independiente del hecho de que tuvieras que haberlo vigilado o no.

No soy abogado, obviamente, pero entiendo que si has codigo 11000 documentos de un sitio web del que acabas de reportar una incidencia de seguridad (porque esos documentos no deberían ser accesibles)... que te empuren es lo mas normal del mundo.
#86 Tu ejemplo no tiene nada que ver. La razón de ser de un teléfono no es que lo coja el primero que pase. Pero la razón de ser de un servidor web SI es dar acceso a los ficheros configurados con acceso publico a todo el que pase por ahí.
#88 si me apuras, tiene "poco" que ver... pero nada, nada... el que coge ambas cosas sabe que está haciendo algo que no debería (mas aun cuando acaba de reportarlo). Reportar la vulnerabilidad no implica tener carta blanca para copiar todo lo que puedas libremente.
#86 cuñadismo de primera, pero me mola la película que te estás montando.

el código fuente de la página es abierto a todo el mundo; puedes verlo, sencillamente porque si no, no podrías entrar en la página web (otra cosa es que el protocolo de transferencia te dé una papilla cifrada, pero el código te lo va a dar). El código fuente le está diciendo al ordenador cómo mostrarte la página, cuándo pone texto y cuándo pone una foto.

Y si husmeas (que para algo es una web de acceso público) verás…   » ver todo el comentario
#96 > el código fuente de la página es abierto a todo el mundo

Mira que estoy de acuerdo con lo que quieres defender, pero no tienes ni idea. El código fuente público es el del frontend, no el backend... Y hoy en día ni siquiera es público el frontend porque en gran parte de los casos el código está minificado (por razones de eficiencia) si no directamente ofuscado.
#96 Vale, vamos a ver:
a) Primer parrafo: como dice #98, eso es falso: lo que esta disponible para el navegador es el frontend y, aún así, que yo sepa está disponible para usuarios registrados, dado que son los que tienen derecho de uso de esa pagina (en este caso LexNET, pero vale para cualquier otra que no sea de acceso público).

b) Segundo parrafo: Yo no he hablado en ningún caso de código fuente en mis comentarios, sinó de ficheros privados a los que individuos no autorizados…   » ver todo el comentario
#98 ¿Acaso no hay fallas en el frontend? Mira que hoy mismo he extraído un link que apunta al archivo de descarga para no tener que registrarme (y porque no estaba cifrado a partir de una url dinámica en base a la ip). Además desde España no me permitía acceder, así que he cebolleado un pelín. Y mira que no tengo ni zorra, pero tampoco hay que ser Aron Swartz.
#86 Totalmente de acuerdo.
No se por que le dan tantas vueltas al tema.
Que un fallo haga accesibles documentos privados y explotes el fallo para acceder no es ni remotamente parecido a que sean "documentos públicos" como están diciendo algunos.
Si sin el fallo de seguridad no podrías acceder a los documentos, ese único hecho ya está prácticamente definiendo que los documentos son privados a ese efecto.
Por ejemplo:
1) Yo tengo una novela de dominio público en un servidor conectado a…   » ver todo el comentario
#52 el fallo en realidad eran dos, un servidor de desarrollo con documentación y código sin proteger que es de donde se descargó los 11.000 docs y un fallo en la aplicación que permitía a un usuario autenticado ver los casos de cualquier otro.
No conozco más detalles, pero si como se ha dicho el servidor de desarrollo estaba abierto de par en par, la denuncia debería tener muy poco desarrollo ante un juez justo e imparcial.
Ya tenemos otro candidato para engrosar la larga lista de voluntarios reservistas en ciberseguridad!
#9 y a precio de saldo....
Y así, queridos niños, es como el Ministerio de Justicia demuestra que prefiere que se hagan ilegalidades a que se advierta de los problemas.

Si ese chaval hubiese explotado la vulnerabilidad, y hubiese vendido el método o los datos obtenidos... ahora tendría más dinero y hasta un puesto público bien pagado a cambio de su silencio.

Españistán.
#11 No tiene la mentalidad emprendedora que se potencia en este país... :troll:
así se agradecen las cosas en éste país...
igual es que les jodío a algunos el sistema......
"además de avisar a todas las partes afectadas, se descargó un archivo con 11.000 documentos de índole informática, como el código fuente de LexNET y que estaban disponibles para todo el mundo a esas horas del 28 de julio."

O sea que ¿descargó ficheros confidenciales de la web y los publicó para que todo el mundo pudiera acceder a ellos?
#17 Entiendo yo que "se descargó los ficheros" porque "estaban disponibles para todo el mundo". Es decir, que parte del error fuera que esa base de datos estaba expuesta.
#21 descargó los ficheros porque vio una vulnerabilidad que se lo permitía y decidió explotarla. Si encima lo publicó, pues veo base para la denuncia.
#28 Pero dónde sale que la publicara? De dónde sacas que utilizó dicha información?
#23 #24 #25 #29 #34 la redacción es confusa pero parece que se refiere a que "eran públicos" porque había una vulnerabilidad que él decidió explotar.

Habría que debatir si es necesario descargar miles de ficheros para probar que existe dicha vulnerabilidad, o que con uno bastaba. Y también veo un debate posible en valorar qué hacer cuando alguien ha descargado ilícitamente miles de ficheros de tus servidores. Habría que asegurarse de que ese material sea borrado al menos.
#37 Yo no veo confusión en ningún lado, en todo caso una enumeración espantosa xD
#37 Para asegurar la vulnerabilidad si que es necesario descargar los datos y comprobarlos.

Más que nada, porque si puedes "descargar", y no compruebas, puede que en realidad sea una trampa para rastrear hackers o que sea un archivo falso y/o corrupto para despistar.

Que el material sea borrado, si que deberían asegurarse, pero no creo que denunciando sea la mejor opción. A fin de cuentas, aunque sea "delito", les ha hecho un bien, no un mal.
#47 ¿necesitas descargar 11.000 ficheros?

Los motivos de la denuncia en realidad no son claros, ni el proceso que se ha seguido para llegar a esta situación. Puede que los del ministerio sean unos cabrones, o puede que hayan dictaminado que el hacker no ha sido del todo transparente y ético en sus actos y hayan decidido poner una denuncia para asegurar la seguridad de su información. Es perfectamente posible que a través de ella intenten llegar a un acuerdo para salvaguardar la información y se retire la denuncia.

Hay muchas posibilidades entre lo ocurrido, lo que ocurre ahora y lo que puede llegar a ocurrir.
#49 Es lo que pasa con los script-kidies.
Tienen el conocimiento justo para usar una herramienta que comprometa una web o para buscar vulnerabilidades muy básicas y cantosas.
Pero luego no tienen los conocimientos suficientes para hacer eso de una forma segura para ellos.
Lo suyo es redirigir todo el tráfico a una vpn o servidor ssh extranjeros con cifrado fuerte y desde ahí hacer proxy chaining a varios países que no tengan tratado de cooperación con europol.
Ya pueden echarte un galgo.
#49 11.000 como si es medio millón, coge cualquier programa que tengas en el ordenador dale botón derecho y cuenta ficheros. Un python portable contiene 9.000.
El tema será que se descargo contenido del servidor, a mi me lo han comparado con alguien que entra en tu casa que tiene la puerta abierta y coge algo, es un robo/hurto. La puerta estaba abierta, si. Lo que ha cogido es tuyo o suyo, tuyo. Pues es ilegal.
#74 Para mi es mas como si tengo una cesta de naranjas en la puerta con un cartel que pone "fruta gratis". Y al lado tengo una cesta con peras. Pero si coges una pera te digo que me has robado. Coño, si estaban igual de disponibles al publico!
#84 Yo lo discutí (por llamarlo de alguna manera) con alguien del gremio y su argumento es que eso no estaba ahí "para ser cogido" y el que lo cogió lo hizo con intencionalidad, de ahí el delito. Pero vamos, que lo aclare un juez. Además seguramente (como siempre) la info que llega a nosotros es de lo más sesgada.
#93 Lo malo es que los jueces no tienen ni puta idea tampoco (con honrosas excepciones). Para mi la única infracción seria de copyright, por copiarse el código fuente de una aplicación propietaria sin permiso. Y debería ir por lo civil, no por lo penal. Pero fijo que le intentan meter un puro. Cualquier cosa para que no paguen los verdaderos responsables.
#49 #77 La redacción es una mierda porque los periodistas no saben ni escribir hoy en día. Pero yo entiendo que los 11.000 ficheros eran el código fuente y NO ficheros confidenciales de otros abogados. Hay una diferencia enorme. Y si, como programador entiendo perfectamente que después de ver semejante túnel del metro (agujero de seguridad se queda corto) aproveches para echar un ojo al resto a ver que otras mierdas han hecho.
#37 Si tu servidor tiene ficheros de acceso publico, por que va a ser ilicito bajarlos? Solo porque no estan linkados?

Si resulta que meneame tiene una pagina tal que
www.meneame.net/mi-pagina-secreta

Que no esta linkada en ningun sitio pero accesible si la tecleas a mano. Donde esta el acceso no autorizado si entro?? Donde esta la ilegalidad??
#82 aquí se habla de una vulnerabilidad explotada, no de algo de acceso público pero medio oculto.
#83 Porque los periodistas no tienen ni puta idea. Pero yo me acuerdo cuando paso esto y básicamente tenían TODO abierto. Ni vulnerabilidad ni pollas. Es como si vas en un descapotable y dices que la lluvia "aprovecha una vulnerabilidad" para mojarte. Pues no colega, es que no tienes techo xD
#17 no, la misma vulnerabilidad hacia que se pudieran descargar esos archivos publicamente.
#17 Yo interpreto que simplemente usó el fallo que permitía la descarga. No dice que el sea responsable de que estuvieran disponibles.

Y obviamente, para encontrar un fallo, tienes que usarlo. Si no, no es un fallo, es la suposición de que existe un fallo.
#17 La redacción es confusa
Yo he entendido que estaban disponibles por el fallo del sistema, no porque él los pusiera a disposición.
#17 Yo lo que he entendido es que esos archivos estaban disponibles para todo el mundo y que el los descargó, como podría haberlo hecho cualquier otro, no que fuera él el que los hiciera públicos. También es lógico que los descargara, si encuentras una posible vulnerabilidad tienes que comprobar hasta qué punto es grave y el alcance de la misma, y si la vulnerabilidad consiste en que se pueden descargar archivos habrá que probar si es posible, cómo se puede llevar a cabo, y cuánto se puede descargar para poder informar de la gravedad del problema.
#29 y el "dijo que se los bajó", bajárselos vete tú a saber si lo han hecho mucha más gente o no, su "error" fue ser "legal" y decirlo....
#17 ¿y quien dice que los descargo los mismos inútiles que no tenían ni idea del bug de seguridad? ¿O los mismos inútiles que “descabezaron” a anonymous?
#17: Hablas de ficheros como quién habla de expedientes judiciales.

Son ficheros "de toda índole informática", ni siquiera sabemos si es el historial de versiones del código fuente (que de ahí pueden salir números así de altos sin problema), pero nada, que por echar mierda contra las personas de abajo, que no falte.

Así funciona la derecha, vertiendo bulos para engañar a las personas poco informadas.
Luego quieren hackers que trabajen para ellos xD
Prisión incondicional para el vecino que avisó a otro vecino de que se había dejado la ventanilla del coche bajada.

"Siempre saludaba", señalan los vecinos de la finca.
No era u fallo, era una feature.

Yo personalmente hubiera dicho lo que pasa pero desde el anonimato. Sino luego te acusan de lo que sea proque tienen que buscar un cabeza de turco que cubra su puta inutilidad.
Ya paso con otro caso que el que lo denuncio no le hacian ni puto caso y al final tuvo que joder la marrana para que se pusieran las pilas.
Eso le pasa por no llevar un gorro de lana mientras lo hacia....
#31 No solo hay que ser un friki, hay que parecerlo. I llueven los contratos.
Esta es la manera en la que el Golfo para la justicia e inútil para la gestión del indecente del ministro Catala tiene para cubrirse de toda la mierda que el mismo genera cuando toca cualquier asunto :clap:
No es mundo para White Hats.
Es tan español todo esto.
#35 pues no creas, para naniano es very difficult todo esto :-D
Hijos de la gran puta.
Cada vez que alguien descubre una vulnerabilidad, es un hacker. Pues mire, no. Normalmente son personas trabajando con esos sistemas, que encuentran un fallo de forma fortuita, y no porque se dedique a estudiar el sistema buscando vulnerabilidades.
Forma española de hacer las cosas: ¿Reconocemos un error? JAMAAAASSSS!!!

Antes denunciamos a los que los descubren, con este no podemos hacer nada... Pero ya verás como el siguiente error no sale a la luz.

Hasta que alguien se aproveche a lo grande, claro.

¿Que haremos entonces? Llamarlo terrorismo y echarle la culpa a Podemis.
Y otra más. Fuertes con los débiles y débiles con los fuertes.
Y venganzas contra los que ponen en evidencia su injusticia y su ineptitud.
¿Pero esta gente piensa gobernar o solo denunciar gente? Vaya legislatura llevamos...
El ministerio de Justicia de está luciendo últimamente, deberían darle el TP de oro o algo.
Como cantaba Ismael Serrano:

… Queda lejos aquel mayo, queda lejos Saint Denis
Que lejos queda Jean Paul Sartre, muy lejos aquel París
Sin embargo a veces pienso que al final todo dio igual
Las ostias siguen cayendo sobre quien habla de más
Estos son los que querian contratar un ejercito de hackers (frikis, segun ellos)... ¿para poder empurarlos cuando descubran algo?
En serio, lo de la serie de tropa de élite se queda corto con este gobierno
El próximo que encuentre una vulnerabilidad ya sabe lo que tiene que hacer.
#57 Sí, explotarla/venderla
#61 por lo visto esa es mejor forma de evitarse problemas con la ley.
Noticia mal redactada y mal informada.
1.- El fallo grave de LexNet lo anuncia José Muelas (abogado) por Twitter y el responsable del Ministerio le da las gracias públicamente también por Twitter.
2.- A los pocos días, el "hacker" que ha sido denunciado, descubre que en una url del Minsiterio de Justicia accesible de forma no trivial tiene una carpeta con miles de documentos sobre LexNet y otras aplicaciones. Es a este segundo al que se denunció... en Agosto.
#65 Define trivial. Un script moñas con wget se prepara en menos de 5min. Y no hace falta ser experto en nada, basta con saber 4 cosas.
Seguramente en este asunto hay toda una cadena de mando que va desde el programador hasta el ministro que ha ido tirando balones fuera hasta que ese balón ha acabado cayendo en el tejado del hacker.

Pues nada, suerte reclutando a ese ejército de 2000 hackers.
Lo que les jode, con perdón, a estos políticos, es que les demuestren lo auténticamente paletos que son en temas de informática, seguridad e Internet.

Salu2
A ver si con suerte se vuelve contra ellos y les denuncia él con sus pruebas por pasividad al respecto....
Para la siguiente, le va a informar de una falla su puta madre, y va a ser explotada hasta la saciedad
Yo creo que no era necesaria la descarga de esos 11.000 ficheros. Con avisar de que estaban ahí disponibles serían suficientes.
Que el Ministerio haya denunciado es normal. Una vez descargados esos ficheros tiene que proteger los intereses de quienes aparezcan en ellos.
"Esta hacker tuvo piedad y en vez de aprovecharse de ello.."
¿Pero qué puta mierda es esto?
#80 A ver, la redacción es penosa y la información es casi inexistente, pero...

Si, y digo si, no se descargó más contenido que el estrictamente necesario para probar que realmente había un agujero y luego lo borró, y los 11.000 archivos son del código que se bajó para analizar... Sería como cuando un señor de un bar saca las llaves de la moto que alguien se ha dejado en el contacto y le deja una nota de que pase a buscarlas y va ese alguien y le denuncia por tocar lo que no es suyo y robarle las llaves. Más o menos...

Y pongo ese ejemplo porque a veces, pasa (la denuncia no)
Cito un fragmento de un libro de Antonio Salas, al respecto de esta noticia:

"Imagina que en la próxima Rooted se va a presentar una conferencia sobre las vulnerabilidades que tiene la central de Garoña, que está expuesta a un ataque desde internet. Imagínate, es un supuesto, que hemos descubierto vulnerabilidades tan graves como para hacer explotar la central. Imagina ahora que yo, cuando mando la nota de prensa anunciando los contenidos de la Rooted, incluyo que vamos a demostrar que…   » ver todo el comentario
«12
comentarios cerrados

menéame