EDICIóN GENERAL
1003 meneos
3980 clics
Nuevo fiasco informático en Justicia: 11.000 documentos internos al descubierto

Nuevo fiasco informático en Justicia: 11.000 documentos internos al descubierto

El Ministerio de Justicia ha confirmado la filtración de casi 11.000 documentos (600 MB) que describen al detalle la arquitectura de parte de sus sistemas informáticos y, lo que es más grave, parte del código fuente de LexNet, la intranet del Ministerio y hasta sus certificados digitales. Suficiente como para conocer hasta el último rincón de las plataformas, encontrar vulnerabilidades y, por ejemplo, lanzar ciberataques.

| etiquetas: lexnet , ministerio de justicia , català , pp , seguridad
Comentarios destacados:                                  
#1 Pues nada, habrá que volver a sacarlo a concurso. En Indra, IECISA & Cía están fuera de sí del disgusto. :->
Pues nada, habrá que volver a sacarlo a concurso. En Indra, IECISA & Cía están fuera de sí del disgusto. :->
#1 Quita, quita "Ingeniería de Sistemas para la Defensa de España S.A."
#54 A cobrar otra vez !!! :-D
#54 "Cuánto peor, mejor, el suyo beneficio propio... "
#1 la próxima vez buscaran putis de calidad para evitar caer en los mismos errores y no becarias como hasta ahora :-D
Y eso que era código desconocido y opaco.
#2 Tam opaco y desconocido como un buen plato de Spaghetti.
#2 Pues ahora es open source :shit:
A esto se le llama transparencia :-D :-D
ya me gustaria saber a los pobres chavales que lo hicieron la mierda que le pagaron y la de putes que se follaron los creadores de la idea.
#4 todo esto se resume en que la culpa fue del becario
:troll:
Huele a cacota en el ministerio, ¿quien se comerá este marrón y le tocará dimitir?.
#5 El chofer
#5 El becario
#71 El becario de la subcontrata de la contrata. :shit:

CC #5
#71 El mismo que destruyó los discos duros justo a tiempo...
#5 Pablo Iglesias, xq Venezuela Venezuela
#5 más bien creo que la pregunta es que caso de corrupción del PP será el primero en hackearse y desaparecer.
Tanta incompetencia no se paga ni con 100 volquetes de putas... ¬¬
#6 Si al final todo esto acaba "colando" como excusa para desestimar todas las acusaciones y procesos abiertas contra los pepitos, pocos volquetes van a ser.

Que de momento tiene toda la pinta. Ya leía el otro día que Correa intenta escaquearse DE TODA LA GÜRTEL porque una prueba se había recogido mal, así que veo posible cualquier manipulación de la justicia por parte de quien la maneja ¬¬
#31 Estos es un no parar de escándalos de los "excelentes" gestores peperos; y, como bien dices, las pifias -intencionadas o no- siempre les favorecen, como la amnistía fiscal ésa...
#31 hicieron exactamente lo mismo en el caso naseiro, y despues se follaron al juez.
Y como son "cosas de ordenadores" que mucha gente no entiende aquí no dimitirá nadie. Ahora, alguien llega a dejar una décima parte de esa documentación olvidada en un bar arde Troya.
Para mí, y llamadme desconfiado, conspiranoico, yo que sé, pero alguien se está leyendo un montón de causas y está preparando un montón de defensas, a partir de un montón de fallos de seguridad, bastante tontos...
#8 si algo nos ha enseñado la estadística es que en españa pueden sucederse infinidad de circustancias que tarde o temprano acaban confluyendo, pero que al fin y al cabo son casi imposibles casualidades.
#61 es que son hechos aislados, son relación entre sí.
¿No querían muchos por un código abierto? :hug:
#9 Esto es lo peor. Código fuente disponible solo para delincuentes.....
#9 Abierto para todos, para poder auditarlo, no para que unos pocos puedan jugar con ventaja con la justicia.
Y librar a los corruptos de la cárcel...
#10 negativo por error
Conocer el código fuente del programa no tiene por qué ser "lo más grave" siempre que se usen los mecanismos de encriptación correctamente. Lo más grave es que se hayan filtrado los certificados digitales, etc.
#11

Supones que el código está bien hecho ...
#19 Tienes razón, es mucho suponer... {0x1f605}
#24 Sí, si lo hubieras hecho tú parece que no estás muy seguro.
#11 #12 Al contrario, que se libere el codigo fuente a estas alturas es una cagada y de las gordas. Los proyectos open source tienen el codigo fuente disponible desde el principio, lo que fomenta que te levanten liebres pronto y que el producto madure rapido. En contra, que se filtre el codigo de un producto entregado no ayuda a madurarlo. Al contrario, permite a un atacante crear un clon del sistema y practicar ataques antes de ir a por el sistema real, permite analizar el codigo con herramientas para buscar fallos en vez de buscarlos a ciegas, que se tarda mucho mas... es un problema y gordo. Olvidandonos de que se han filtrado tambien claves privadas, asi que ahora hay ahora mismo certificados digitales de los que no podemos fiarnos...
#11 En la propia noticia dicen que: "Entré y te daba acceso a un directorio, estaba abierto y sin contraseña. Otro fallo de configuración hacía que pudieras acceder con permisos de administrador al panel de monitorización de LexNet y a carpetas con miles de documentos sobre esta plataforma y sobre Orfila. ".

Y de verdad tienes dudas de si usan mecanismos de encriptación correctamente?
Chorrada de noticia. La seguridad no se consigue ocultando el código, sino con buenas medidas de seguridad.

La mayoría de administraciones públicas publican el código de sus aplicaciones como Open source, disponible para todos. Tal como recomienda la UE
#12 Si parte de la seguridad la basas en ocultar el código para que no se vean las ñapas, no quieras que éste se publique.
#32 La noticia no habla de Bugs, sino que acceder al código supone una amenaza porque si. Cuando no es así.

El artículo está escrito por alguien que no tiene ni idea, y los supuestos "expertos" será el típico amigo que repara ordenadores.
#39 Si el acceso no es público y libre, claro que es una amenaza...
#39 yo pensé lo mismo pero luego recapacite. Una cosa es que el código este disponible para todos para los que buscan vulnerabilidades para corregirlas y los que buscar vulnerabilidades para explotarlas y otra es que esté solo disponible para los que buscan vulnerabilidades para explotarlas.
#32 the copy & paste generation
#48 Venga, que eso lo hemos hecho todos en stackOverflow, no fastidies.
#12 Si, pero tener un código pesimo+guardarlo en secreto+ entregarlo solo a delincuentes es el combo perfecto
#12 No creo que la mayoria de administraciones españolas lo hagan... No he mirado el codigo de LexNet, ni voy a perder el tiempo en ello, pero por lo que he leido, hay un fallo enorme desde el diseño. No puede ser que no se tengan en cuenta los fallos de los que habla la noticia, especialmente el de la IP abierta a un directorio sin seguridad...
#41 Que tendrá que ver el código con donde se almacena?
#67 Perdón, me he hecho la picha un lío.

Quería decir que el diseño del sistema es una pifia. No del cóidigo. Pero vamos, seguramente el cóidigo también deje mucho que desear.
#12 Conio! Un tío sensato. Mis dies
#12 si, es lo que tienen los certificados digitales, que si expones la clave privada se va a la mierda la seguridad

Está casi todo: la documentación oficial que explica paso a paso qué hace el código, los certificados del ministerio, los SSL, el código java...
#47 No dice que estén las claves privadas, perfectamente podrían ser las claves públicas utilizadas en la autenticación de servidores.

Dado el tufillo sensacionalista de la noticia, lo probable es que sean claves públicas. Dudo que el periodista conozca la diferència entre una clavé pública o privada.
#91 por eso pego donde dice : los certificados del ministerio, los SSL
#94 Para conectar a un servicio saludos necesitas el certificado público.

Las aplicaciones no suelen tener los certificados privados, sino que estos se guardan en los servidores proxies a través de los cuales se acceden a las aplicaciones.

De esta forma, se simplifica la gestión de los servidores y certificados por la gente de sistemas.
#91 No pone que se hayan accedido a certificados privados, probablemente serán los públicos de autenticación de acceso a otras aplicaciones.

El acceso a las aplicaciones públicas se hacen a través de proxies, son los proxies los que tienen los certificados privados.

Para firmar, tampoco se suele usar directamente certificados privados, sino que se delega a la plataforma @firma.
#12 es por eso que Facebook, Google, Amazon, la CIA o la NSA tienen todo el código fuente de sus servidores en Github. Para que cualquiera haga un fork y les ayude a mejorar su seguridad.

Por curiosidad, ¿Puedes mencionar administraciones públicas europeas que divulguen su código fuente, y exactamente qué partes? Igual confundes las políticas de open data con otra cosa...
#57 #58 Quizás #12 haya sido un poco optimista, pero algo hay, por ejemplo esto: github.com/ctt-gob-es?tab=repositories
#97 "Un poco optimista" es una forma de decirlo. El código fuente publicado por la administración del estado no es ni el 0,001% del código fuente del que dispone. Del resto de administraciones no tengo datos, pero me imagino que más o menos por el estilo.
#109 "Según una disposición adicional de la Ley 39/2015, la reutilización del SW es obligatorio para las AAPP."
INVENT ALERT 2ª PARTE

Por lo demás, goto #99
#57 Aquí tienes el repositorio de sw libre de las AAPP españolas:

administracionelectronica.gob.es/pae_Home/pae_SolucionesCTT/pae_CTT_-_

En la AAPP donde trabajo hemos liberado se que utilizan otras Administraciones y reutilizado sw del estado, ahorrando mucho dinero.

Muchas multinacionales se dedican a revender el sw de una Administración a otra, aprovechado el desconocimiento.
#12 La mayoría de administraciones públicas publican el código de sus aplicaciones como Open source, disponible para todos. Tal como recomienda la UE
INVENT ALERT
#58 La UE promociona el sw libre en las administraciones públicas. Por ejemplo a través de premios:

ec.europa.eu/isa2/awards_en

Tiene una licencia Open source para ello:

es.m.wikipedia.org/wiki/European_Union_Public_License

El Gobierno de España tiene un repositorio de sw libre para administración públicas:

administracionelectronica.gob.es/pae_Home/pae_SolucionesCTT/pae_CTT_-_

Según una disposición adicional de la Ley 39/2015, la reutilización del SW es obligatorio para las AAPP.

Otra cosa es que los gestores no tengan ni idea y sigan comprando el sw a las multinacionales como Indra o IECISA, que venden el mismo código libre a las AAPP parrillas.
#109 #58 Hay un detalle importante al que de hecho se acogen para no tener que publicar el código con licencia EUPL 1.1/1.2 (GPLv3 compatible): la ley aplica a las Administraciones Públicas, pero el Poder Judicial no es Administración Pública. Mirad el ámbito subjetivo de aplicación, en el Artículo 2 de la ley 39/2015: www.boe.es/buscar/act.php?id=BOE-A-2015-10565
De hecho, Justicia tiene sus propios esquema de seguridad e interoperabilidad (Ley 18/2011), que son más o menos análogos a los Esquemas nacionales de seguridad e interoperabilidad que afectan a las Administraciones Públicas (RD 3/2010, RD 4/2010) pero que, por la misma razón que comentaba, no son de aplicación directa al Poder Judicial.
#12 la mayoría? :shit:
Manda huevos, un servidor abierto, cualquiera puede bajarse la informacion, una persona honrada lo avisa y encima, le acusan de un delito???
A la mierda con estos politicos de BASURA que no valen para nada.... PP, los buenos gestores? por mis cojones. Un buen gestor admite el fallo, agacha la oreja, saluda a quien le ayuda e intenta arreglarlo con el menor ruido posible.
Cualquier persona honrada que se encuentre una mierda de estas y quiera avisar, que lo publique pero que se asegure que lo hace por medios lo mas confidenciales que pueda, que se oculte como pueda, pero que no diga el nombre para que estos HdlGP no puedan perseguirle.
#13 Pues si tuviera que apostar, diría que va a haber arrestos por esto. A los PPsunos no les mola que les dejen en evidencia.
Aun creo que alguien utilizara esto para librarse de la carcel , espero equivocarme.
El ministerio intentando fomentar el código abierto y vosotros venga a criticar... si es que no os conformais con nada!
#16

Es que se han liado y han confundido código con datos :-> :-> :->
Eso es lo que pasa cuando subcontratas a una subcontrata para que subcontrate a los junior más económicos.
#17 Que falta de empatía, no piensas en cada gerente, administrativo y comercial que dependen de cada nivel de subcontratación, si hubiera un nivel de subcontratación infinita no habría paro, que un programita de nada luego no funciona como se espera es cosa menor :troll:
#21 Eso lo conozco muy bien, gerentes que sólo molestan, vendedores asignados a jefes de proyecto, jefes que se llevan un porcentaje por proyecto, Lucy, Bom y otros jetas del montón.
#17

Más bien el problema es no saber gestionar proyectos gordos con información delicada.

Más que un problema de subcontratación parece un lío de gestión y de.montar parche sobre parche.
#22 Cada nivel de subcontratación que pones, significa trabajadores menos cualificados, porque los cualificados no puedes pagarlos y a la vez llevártelo muerto. Si al final terminas con programadores recién titulados, o gente con 4 ó 5 años de experiencia, no esperes que te hagan el mejor diseño del mundo.
#88 La última subcontrata paga cacahuetes, pero los contribuyentes pagamos caviar; delicias del capitalismo y de las venenosas personas jurídicas.
#88

Eso es tema de gestion.

Si contratas una cosa (un experto en seguridad, por poner un ejemplo) y te endilgan a un becario sin experiencia y lo toleras, el problema es el gestor, no del becario.
#17 Esto pasa cuando habla la ignorancia.
#68 ¿Qué ignorancia y de quién?
#78 Tuya, porque no sabes quien ha sido contratado
#79 La ignorancia es muy atrevida. Claro que lo sé.
Una duda, las indemnizaciones son solo para favorecer a los amigetes o lo otro ya tal?
De los creadores de "bajarse canciones de internet, es como entrar en una panadería y llevarte una barra de pan sin pagar", llega "bajar algo de internet en un sitio abierto es como ver un coche con las puertas abiertas y robar lo que hay en su interior". Para mas símiles absurdos, permanezcan atentos a sus pantallas.
#23 Imagino que los mismos que dicen eso dejan su coche abierto en la calle y la cartera en el asiento. No me extrañaria que pusiesen un mensaje diciendo "por favor no nos robeis nada".
#23 El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido.

Descargar sí (has configurado el servidor para enviar esos datos, te jodes), distribuir puede que no, pero qué más da si ya lo estás distribuyendo tú. Podría pensar que es un panoli sin idea, pero dado que va a intentar desviar la responsabilidad denunciando y jodiendo al chaval con unos cuantos años de abogados y juicios, me decanto por pensar que es un hideputa.

P.D. Sr Juez, este comentario es ficción y no representa lo que pienso. Amo al prójimo y pongo la otra mejilla.
"Es como si los técnicos de Justicia hubieran creado una copia de seguridad con esa información, la hubieran puesto en un servidor conectado a internet y no solo se olvidaran de securizarlo, también de borrar el material. Hay datos muy sensibles sobre arquitecturas internas y códigos fuente que, en malas manos, podrían generar muchos problemas", explica otra fuente que también ha tenido acceso a los documentos.

La de veces que me han dicho que suba cosas a DropBox o Bitbucket, que son herramientas muy profesionales y ningun ingeniero que se precie puede vivir sin cuenta ahi.

Me parece que los periodistas y los abogados de España van darse cuenta de como se hacen las cosas por aqui.
#25 Es cierto, hace años que se lleva diciendo que las aplicaciones en la nube son muy interesantes pero no son seguras, no porque las aplicaciones no tengan que serlo, sino porque en nuestro país y en general, en el mundo, no existe todavía educación para la seguridad.
#25 Eso sin contar el chat de empresa en skype público, correos Gmail, Evernotes con información confidencial....... Y una larga lista, la gente cree que el uso persona es lo mismo que el uso empresarial y así nos va.
¿Y donde está el código? Es para un amigo xD
Madre mia, para pleno al 15.

Tranki que haran un frankenstein como la web de renfe y listo.
Esta sí que es la madre de todas las cagadas.
Lo mejor sería tirar el sistema a la basura y hacerlo de cero
De momento, nada firmado con esos certificados es válido. Y cuidadin al acceder a "lexnet".
Los habrán revocado?. Son capaces de no haberlo hecho...
#40 No jodas, a ver si van a anular mi divorcio xD
#90 Bueno, si toda la documentación existente es un documento digital firmado, nadie puede asegurar a día de hoy su veracidad....
Bah, el código de toooooodos los desarrollos de casi toooooodas las empresas está por ahí en usbs, CDs y mails de muchos desarrolladores, otra cosa es que alguien se lo compre.

Incluído el código de aplicaciones de defensa, Indra, iecisa y cia tienen políticas de seguridad de mierda al respecto.
pelillos a la mar
Bueno, pues cuando el chaval publique el código fuente (si es que lo hace) veremos si ha merecido la pena los siete millones de euros.
Menos mal que ya no usan Java y Flash en la Administración Pública.
Malpensados, esto es lo que nuestros politicos entienden por "transparencia".
Tranquilos, Génova maneja los primeros informes que dan un impacto de 1 sobre 10 en la escala Dimitri que mide la polémica social de una noticia.

No se baraja tomar medidas por debajo de un 7, también conocido como PIT a dicho algo.
Negar la evidencia y culpar al que señala el problema... así vamos...
En Justicia, ahora mismo, les han dicho a los funcionarios que no envíen nada por el LexNet y a los Secretarios, que dejen de firmar por el mismo sistema. Así que eso de que lo han arreglado..xD
Este es el resultado de las infinitas contratas y subcontratas corruptas en el sector de las tecnologías de la información. Desgraciadamente esto no sera suficiente para que terminen las corruptelas.

Estoy seguro que coste de Lexnet no es ni la cuarta parte de los 7M€. El resto para el bolsillo de las consultoras de turno.
#63 Los 7 millones es el coste de proyectos que convocaron públicamente, la mayor parte del gasto se realizó sin concurso y ahora es incalculable.
Yo estoy esperando a ver como consiguen relacionar esto con Venezuela, porque algun pepero seguro que lo hará !!! :troll:
#64 "La incursión a los servidores de LexNet puede haber sido propiciada por hackers bolivarianos al servicio de Maduro."

Ahí tienes un posible titular para cuando llegue el momento que comentas.
Los documentos que describen el funcionamiento de los sistemas del Estado deberían haber sido públicos desde siempre.
Es la única forma de garantizar que no son una chapuza y que cualquiera se puede colar a robar información privada de la gente.
Trabajando como programador, en mi empresa, viene mi jefe y me dice que:
Me tengo que asegurar que el documento X sólo lo ve Y.
Pero en cambio lo ve todo el puto abecedario porque yo la he cagado.
¿es culpa de 'A' ver el documento y descargarlo? no, el marrón me lo voy a comer yo por no haber hecho mi trabajo

Ahora a ver que dicen esta gente, pero no me extrañaría que encima atacaran al que les está encontrando sus vulnerabilidades.
#70 Discrepo. En mi humilde opinión, el marrón sólo debe comérselo tu jefe, ya que es él el que debiera dar el visto bueno a lo que tu hayas hecho, o tener la visión y el control suficiente sobre su proyecto para saber que está entregable, y ya si eso ajustar luego cuentas contigo, por no haber hecho lo que te dijo como te dijo.
La seguridad por ocultación no es buena, es decir, que se filtren la documentación y el código no es malo, sino potencialmente bueno.

Pensad que los agujeros que haya van a estar ahí independientemente de si la documentación y el código son públicos o no. Pero si la documentación y el código son públicos habrá más ojos escrutando y revisando LexNet y avisando de los errores, e incluso proponiendo soluciones para tapar los agujeros y hacer así que LexNet sea inherentemente más seguro.

Poniendo…   » ver todo el comentario
#73 El problema es quien tiene adjudicado el desarrollo de esto...

Quiero decir, si se publica el código y hay vulnerabilidades (que las va a haber), dudo mucho que las consultoras afines puedan ir tan rápido parcheando como la peña va a ir encontrando fallos, así que... el sistema va a estar comprometido una buena temporada (más de lo que ya estaba), encima, el marrón, se lo van a cargar al que publique el código...

Cuando lo que deberían haber hecho era publicarlo desde un primer momento para precisamente, encontrar toda vulnerabilidad, pero no, en privado está más seguro... Ya que no se puede saber la mierda que hay detrás...Les está bien empleado.
#76 Bueno, pues para el Confidencial usar programas Open Source es lo peor que se podría hacer.... eso si, ya deberían empezar ellos por eliminar todo lo que tengan hecho con Open Source, como sus aplicaciones web en PHP, ....
Yo creía que a Menéame le molaba el open source.
En realidad si la aplicación es pública lo suyo sería que el código fuente también lo fuera. La seguridad por ocultación es una ñapa.
a saber desde cuando llevan curioseando los casos de otros y por eso había tantas filtraciones a los medios.
Según me ha parecido entender Lexnet está desarrollado com plataforma genérica que se puede vender y adaptar a clientes, o al menos una parte de ella. Parece que la instalación en España es la maqueta de pruebas. De ahí que esté sin securizar debidamente.

No existe el código fuente en "formato OpenSource". O el código está disponible, o no lo está. Y desde el punto de vista téncico es abierto si es integrable con otros productos o bien es cerrado si no tiene interfaces con nada ni…   » ver todo el comentario
Rota la cadena de custodia de los documentos secretos ahora los abogados se apresuraran a librar a sus clientes por estos "defectos"... Quiza algun PPsuno se libre de todo gracias a esto... veremos ¬¬
#92 Y no Pepesuno. Los abogados hacen lo que pueden para atender a las necesidades de sus clientes.
Por bajo que caiga un ministro de justicia, siempre podrá caer muchísimo más bajo.
El Ministerio de Justicia apostando por el software libre :troll:
«12

menéame