Benvolguts,
A partir de l’article
de la Lucia Etxeberria del 09/08/2017 sobre Lexnet, hem cercat més informació d’aquest
desatre:
Justicia no ha entendido nada del
'desastre LexNet' (y este 'email' lo demuestra)
Mientras
otros gobiernos y empresas tecnológicas animan a especialistas en seguridad a
encontrar fallos en sus sistemas (pagándoles por ello), en España el Ministerio
de Justicia les denuncia
Rafael Catalá, ministro
de Justicia.
Manuel Ángel Méndez
07/08/2017 - 09:34H.
Imagina la situación:
vas por la calle y de repente alguien te avisa: se te acaba de caer la cartera.
No te habías dado ni cuenta pero un desconocido ha evitado el desastre. Le
miras y te entran ganas hasta de abrazarlo, pero te controlas, le das
las gracias. Varias veces. Es lo normal pero ¿y si, en lugar de ello, decides poner
mala cara y dar media vuelta sin mediar palabra o, peor, amenazas al
desconocido con denunciarlo por… intento de robo? Absurdo, ¿verdad? Pues algo algo tan rocambolesco como esto es justo lo que ha
hecho el Ministerio de Justicia con una persona que,
básicamente, le avisó de que se le acababa de caer la cartera.
El asunto se remonta
al pasado viernes 28 de julio. Al menos una persona, un
estudiante de ingeniería de 20 años, se da
cuenta de un grave (y básico) fallo de seguridad en los sistemas de Justicia: se han dejado un
servidor abierto conectado a internet, sin contraseñas. Era un asunto serio. El servidor contenía 11.000 documentos con la
arquitectura al completo del sistema Orfila, parte del código fuente de LexNet
y de la intranet del Ministerio. Información sensible que no debería estar sin proteger a
disposición de cualquiera en internet.
El 'desconocido' avisa
por Twitter a Justicia, al
responsable técnico de LexNet, José Luis Hernández Carrión, y a la cuenta
de soporte de LexNet. Un par de horas
después los técnicos del Ministerio se dan cuenta y desconectan el sevidor de
la red. Pero no contactan con la persona que les ha
avisado de su garrafal despiste ni le agradecen la pista. En otras palabras, se dan media vuelta con la cartera
de nuevo a buen recaudo en el bolsillo. Ni las gracias.
El joven estudiante borra sus tuits para
evitar que se hagan virales y decide ir más allá: descarga el contenido y lo comparte con varias personas.
Cuatro días más tarde, el Ministerio de Justicia le denuncia
por "acceso irregular e ilegal" a sus sistemas y por "difundir
el contenido a terceros".
¿Acceso ilegal a un servidor que no tenía
control de acceso?
¿Denunciado por
avisar de un fallo grave, básico y bochornoso que comente el propio Ministerio?
¿Cómo hemos llegado hasta aquí?
Unos 'emails' a los
que ha tenido acceso Teknautas intercambiados entre el grupo de delitos
telemáticos de la Unidad Central Operativa (UCO) de la Guardia Civil y
la Subdirección General de las Nuevas Tecnologías del Ministerio de Justicia dan
una pista clave que ayuda a entender lo que ocurre por detrás.
El lunes 31 de julio,
a las 17:30, la Guardia Civil avisa al Ministerio de Justicia del problema. Le
envía el siguiente 'email' reproducido a continuación:
A/A Subdirección General de Nuevas Tecnologías de la
Justicia,
Nos ponemos en contacto con usted para informarle de que, a
través de la web de colaboración ciudadana de este Departamento de Delitos
Telemáticos de la Guardia Civil (DDT), se nos ha informado de diversas
vulnerabilidades en su web https://ishare.justicia.es que serán publicadas
próximamente en diversos foros especializados en seguridad informática.
Dichas vulnerabilidades han sido verificadas por esta Unidad
pudiendo certificar la existencia de las mismas. Por ello, les damos traslado
de la información disponible, animándoles a que adopten las medidas urgentes
necesarias para garantizar la seguridad de la información, toda vez que se
podrían ver afectados datos reservados de carácter personal.
Reciban un cordial saludo.
Observaciones - A día 31 de julio de 2017 la
vulnerabilidad se encuentra activa.
Recomiéndenle cautela en la divulgación de
material del Ministerio de Justicia para evitar posibles acciones legales
El 'email' continúa
con una descripción bastante exhaustiva de los problemas técnicos en cuestión.
Consultada por este diario, la Guardia Civil ha reconocido la
existencia de este mensaje y también de la respuesta que recibieron de Justicia.
Tarda casi 20
horas en responder y lo hace Jesús Barba Lobatón, subdirector general adjunto
de Nuevas Tecnologías (énfasis en
negrita añadido):
En primer lugar quisiera agradecerles el apoyo y colaboración
en el continuo proceso de revisión y análisis de los sistemas de información
necesarios para hacer frente a las continuas amenazas a las que tenemos que
hacer frente.
En referencia a la vulnerabilidad, comunicarles que ya ha
sido resuelta. Del estudio que se ha realizado de la penetración se ha determinado
que no se ha comprometido información interna. No obstante, en
el caso de que tengan acceso a la fuente de la vulnerabilidad, por favor
recomiéndenle cautela en la divulgación de material del Ministerio de Justicia para
evitar posibles acciones legales por parte del Ministerio.
Agradecerles de
nuevo la colaboración y quedamos a su disposición para cualquier tema que pueda
surgir.
Traducido: díganle al 'hacker' que cuidado, vamos a ir
a por él.
Y lo hicieron. Le
denunciaron el martes 1 de agosto por la
noche ante la Brigada de Investigación
Tecnológica de la Policía Nacional en la Comisaria de Canillas (Madrid).
¿Denunciar a una persona que inicialmente solo quería ayudar y a la que
ignoraron por completo? ¿Qué está fallando?
El ministro de Justicia,
Rafael Catalá. (EFE)
La respuesta está
justo en esa frase del 'email' de Justicia que hemos resaltado en negrita.
Revela una apolillada mentalidad de base que hace que falle todo lo demás. En lugar de
establecer una colaboración con la comunidad 'hacker', de animar a cualquier
especialista en ciberseguridad a buscar fallos informáticos, a reportarlos y a
premiarles por ello, los técnicos del Ministerio de Justicia creen que lo mejor es amenazar,
perseguir y denunciar.
¿Quién va a querer ayudarte a mejorar la seguridad
de tus sistemas si lo único que va a recibir a cambio es, con un poco de mala
suerte, una denuncia ante la policía? ¿Han oído hablar alguna vez los
responsables de Justicia de los programas de 'bug bounty' que
organizan otros gobiernos y compañías tecnológicas en los que no solo no
denuncian a nadie sino que animan a cualquiera a encontrar vulnerabilidades?
El Gobierno de EEUU
lanzó el año pasado la iniciativa 'Hack the Pentagon'
en la que retaban a encontrar fallos durante tres días en las páginas web de
todo el Departamento de Defensa (DoD), pagando entre 100 y 15.000 dólares a quien
las encontrase, dependiendo de su gravedad. Publicó además un 'hall of fame' con los nombres de los
'hackers' más prolíficos, una lista que abre decenas de oportunidades
profesionales. Las Fuerzas Aéreas de EEUU organizaron el mismo programa en
abril. Y el Gobierno holandés lleva desde el 2013 publicando una
guía sobre cómo reportar fallos en los sistemas públicos.
Las compañías
tecnológicas llevan mucho más tiempo haciendo lo mismo. Google publica hasta una tabla de cuánto
paga por cada tipo de fallo reportado, llegando a abonar hasta 31.000
dólares si alguien da con un error de ejecución remota de código en
Gmail, el buscador o el navegador Chrome. Facebook, Microsoft, Mozilla, Uber…
¡hasta PornHub ha establecido uno de estos
programas de cazarecompensas! En todos la idea es la misma: ayúdanos y te lo
reconoceremos pagándote o publicando tu nombre
en una página web para que puedes añadirlo en tu CV.
De vuelta a
España…
"He notificado ya
bastantes vulnerabilidades a diferentes organismos públicos. Lo
arreglan, pero pasan de ti. Notiqué fallos al Ayuntamiento de Madrid y a la Universitat Politecnica de Catalunya
(UPC) a través del CERTSI y aún estoy esperando respuesta.
A través de Twitter avisé al Portal de
de la Administración Electrónica de fallos, y nada. En algunos casos he
visto que lo han solucionado, pero una vez les pasas la información que les
interesa, pasan de ti", me explica al teléfono el estudiante que encontró la
vulnerabilidad en Justicia el viernes 28 de julio.
Harto de ello, además de reportar el fallo
esta vez decidió descargar los archivos y compartirlos con varias personas. Una
decisión arriesgada y a la que se ha lanzado Justicia para denunciarlo agarrándose al artículo 197 del
Código Penal que establece penas de hasta
cinco años de cárcel por revelación de secretos.
El error, sin embargo,
no debería ser la descarga de los documentos. El
error es en realidad doble y lo ha cometido el Ministerio de Justicia:
·
Uno es una chapuza, guardar información sensible en un servidor con las
puertas abiertas en el que cualquiera se puede colar hasta la cocina;
·
otro es de base, establecer una política de amenaza y persecución hacia
la comunidad 'hacker', política que genera el efecto contrario, que alguien te
quiera dañar.
El 'desastre LexNet' de las dos últimas semanas ha dejado una
cosa muy clara: los altos funcionarios de Justicia no han entendido
absolutamente nada.
Manuel Ángel Méndez
Joan
A. ForèsReflexions
Cap comentari:
Publica un comentari a l'entrada