lunes, 7 de agosto de 2017

(España) Justicia no ha entendido nada del 'desastre LexNet' (y este 'email' lo demuestra)

Imagina la situación: vas por la calle y de repente alguien te avisa: se te acaba de caer la cartera. No te habías dado ni cuenta pero un desconocido ha evitado el desastre. Le miras y te entran ganas hasta de abrazarlo, pero te controlas, le das las gracias. Varias veces. Es lo normal pero ¿y si, en lugar de ello, decides poner mala cara y dar media vuelta sin mediar palabra o, peor, amenazas al desconocido con denunciarlo por… intento de robo? Absurdo, ¿verdad? Pues algo algo tan rocambolesco como esto es justo lo que ha hecho el Ministerio de Justicia con una persona que, básicamente, le avisó de que se le acababa de caer la cartera.

El asunto se remonta al pasado viernes 28 de julio. Al menos una persona, un estudiante de ingeniería de 20 años, se da cuenta de un grave (y básico) fallo de seguridad en los sistemas de Justicia: se han dejado un servidor abierto conectado a internet, sin contraseñas. Era un asunto serio. El servidor contenía 11.000 documentos con la arquitectura al completo del sistema Orfila, parte del código fuente de LexNet y de la intranet del Ministerio. Información sensible que no debería estar sin proteger a disposición de cualquiera en internet.
El 'desconocido' avisa por Twitter a Justicia, al responsable técnico de LexNet, José Luis Hernández Carrión, y a la cuenta de soporte de LexNet. Un par de horas después los técnicos del Ministerio se dan cuenta y desconectan el sevidor de la red. Pero no contactan con la persona que les ha avisado de su garrafal despiste ni le agradecen la pista. En otras palabras, se dan media vuelta con la cartera de nuevo a buen recaudo en el bolsillo. Ni las gracias.


El joven estudiante borra sus tuits para evitar que se hagan virales y decide ir más allá: descarga el contenido y lo comparte con varias personas. Cuatro días más tarde, el Ministerio de Justicia le denuncia por "acceso irregular e ilegal" a sus sistemas y por "difundir el contenido a terceros". ¿Acceso ilegal a un servidor que no tenía control de acceso? ¿Denunciado por avisar de un fallo grave, básico y bochornoso que comente el propio Ministerio? ¿Cómo hemos llegado hasta aquí?
Unos 'emails' a los que ha tenido acceso Teknautas intercambiados entre el grupo de delitos telemáticos de la Unidad Central Operativa (UCO) de la Guardia Civil y la Subdirección General de las Nuevas Tecnologías del Ministerio de Justicia dan una pista clave que ayuda a entender lo que ocurre por detrás.
El lunes 31 de julio, a las 17:30, la Guardia Civil avisa al Ministerio de Justicia del problema. Le envía el siguiente 'email' reproducido a continuación:
A/A Subdirección General de Nuevas Tecnologías de la Justicia,
Nos ponemos en contacto con usted para informarle de que, a través de la web de colaboración ciudadana de este Departamento de Delitos Telemáticos de la Guardia Civil (DDT), se nos ha informado de diversas vulnerabilidades en su web https://ishare.justicia.es que serán publicadas próximamente en diversos foros especializados en seguridad informática.
Dichas vulnerabilidades han sido verificadas por esta Unidad pudiendo certificar la existencia de las mismas. Por ello, les damos traslado de la información disponible, animándoles a que adopten las medidas urgentes necesarias para garantizar la seguridad de la información, toda vez que se podrían ver afectados datos reservados de carácter personal.
Reciban un cordial saludo.
Observaciones - A día 31 de julio de 2017 la vulnerabilidad se encuentra activa.
Recomiéndenle cautela en la divulgación de material del Ministerio de Justicia para evitar posibles acciones legales
El 'email' continúa con una descripción bastante exhaustiva de los problemas técnicos en cuestión. Consultada por este diario, la Guardia Civil ha reconocido la existencia de este mensaje y también de la respuesta que recibieron de Justicia. Tarda casi 20 horas en responder y lo hace Jesús Barba Lobatón, subdirector general adjunto de Nuevas Tecnologías (énfasis en negrita añadido):
En primer lugar quisiera agradecerles el apoyo y colaboración en el continuo proceso de revisión y análisis de los sistemas de información necesarios para hacer frente a las continuas amenazas a las que tenemos que hacer frente.
En referencia a la vulnerabilidad, comunicarles que ya ha sido resuelta. Del estudio que se ha realizado de la penetración se ha determinado que no se ha comprometido información interna. No obstante, en el caso de que tengan acceso a la fuente de la vulnerabilidad, por favor recomiéndenle cautela en la divulgación de material del Ministerio de Justicia para evitar posibles acciones legales por parte del Ministerio. Agradecerles de nuevo la colaboración y quedamos a su disposición para cualquier tema que pueda surgir.
Traducido: díganle al 'hacker' que cuidado, vamos a ir a por él. Y lo hicieron. Le denunciaron el martes por la noche ante la Brigada de Investigación Tecnológica de la Policía Nacional en la Comisaria de Canillas (Madrid). ¿Denunciar a una persona que inicialmente solo quería ayudar y a la que ignoraron por completo? ¿Qué está fallando?

La respuesta está justo en esa frase del 'email' de Justicia que hemos resaltado en negrita. Revela una apolillada mentalidad de base que hace que falle todo lo demás. En lugar de establecer una colaboración con la comunidad 'hacker', de animar a cualquier especialista en ciberseguridad a buscar fallos informáticos, a reportarlos y a premiarles por ello, los técnicos del Ministerio de Justicia creen que lo mejor es amenazar, perseguir y denunciar.
¿Quién va a querer ayudarte a mejorar la seguridad de tus sistemas si lo único que va a recibir a cambio es, con un poco de mala suerte, una denuncia ante la policía? ¿Han oído hablar alguna vez los responsables de Justicia de los programas de 'bug bounty' que organizan otros gobiernos y compañías tecnológicas en los que no solo no denuncian a nadie sino que animan a cualquiera a encontrar vulnerabilidades?

El Gobierno de EEUU lanzó el año pasado la iniciativa 'Hack the Pentagon' en la que retaban a encontrar fallos durante tres días en las páginas web de todo el Departamento de Defensa (DoD), pagando entre 100 y 15.000 dólares a quien las encontrase, dependiendo de su gravedad. Publicó además un 'hall of fame' con los nombres de los 'hackers' más prolíficos, una lista que abre decenas de oportunidades profesionales. Las Fuerzas Aéreas de EEUU organizaron el mismo programa en abril. Y el Gobierno holandés lleva desde el 2013 publicando una guía sobre cómo reportar fallos en los sistemas públicos.
Las compañías tecnológicas llevan mucho más tiempo haciendo lo mismo. Google publica hasta una tabla de cuánto paga por cada tipo de fallo reportado, llegando a abonar hasta 31.000 dólares si alguien da con un error de ejecución remota de código en Gmail, el buscador o el navegador Chrome. Facebook, Microsoft, Mozilla, Uber… ¡hasta PornHub ha establecido uno de estos programas de cazarecompensas! En todos la idea es la misma: ayúdanos y te lo reconoceremos pagándote o publicando tu nombre en una página web para que puedes añadirlo en tu CV.
De vuelta a España…
"He notificado ya bastantes vulnerabilidades a diferentes organismos públicos. Lo arreglan, pero pasan de ti. Notiqué fallos al Ayuntamiento de Madrid y a la Universitat Politecnica de Catalunya (UPC) a través del CERTSI y aún estoy esperando respuesta. A través de Twitter avisé al Portal de de la Administración Electrónica de fallos, y nada. En algunos casos he visto que lo han solucionado, pero una vez les pasas la información que les interesa, pasan de ti", me explica al teléfono el estudiante que encontró la vulnerabilidad en Justicia el viernes 28 de julio.

Harto de ello, además de reportar el fallo esta vez decidió descargar los archivos y compartirlos con varias personas. Una decisión arriesgada y a la que se ha lanzado Justicia para denunciarlo agarrándose al artículo 197 del Código Penal que establece penas de hasta cinco años de cárcel por revelación de secretos.
El error, sin embargo, no debería ser la descarga de los documentos. El error es en realidad doble y lo ha cometido el Ministerio de Justicia. Uno es una chapuza, guardar información sensible en un servidor con las puertas abiertas en el que cualquiera se puede colar hasta la cocina; otro es de base, establecer una política de amenaza y persecución hacia la comunidad 'hacker', política que genera el efecto contrario, que alguien te quiera dañar. El 'desastre LexNet' de las dos últimas semanas ha dejado una cosa muy clara: los altos funcionarios de Justicia no han entendido absolutamente nada. (PULSE AQUÍ PARA VER MÁS)

FUENTE: Homepage - MANUEL ÁNGEL MÉNDEZ - https://blogs.elconfidencial.com