martes, 8 de agosto de 2017

NUEVO FIASCO INFORMÁTICO EN JUSTICIA: 11.000 DOCUMENTOS INTERNOS AL DESCUBIERTO



Nuevo fiasco informático en Justicia: 11.000 documentos internos al descubierto 
http://www.ajfv.es
El Ministerio de Justicia ha confirmado la filtración de casi 11.000 documentos (600 MB) que describen al detalle la arquitectura de parte de sus sistemas informáticos y, lo que es más grave, parte del código fuente de LexNet, la intranet del Ministerio y hasta sus certificados digitales. Suficiente como para conocer hasta el último rincón de las plataformas, encontrar vulnerabilidades y, por ejemplo, lanzar ciberataques. Los archivos, a los que ha tenido acceso Teknutas en exclusiva a través de varias fuentes, estaban colgados en internet en un servidor del Ministerio de Justicia completamente abierto, sin contraseñas. Un despiste que especialistas en seguridad informática consultados califican de “error básico y garrafal”. Uno más tras el ya conocido ‘desastre LexNet’ de los últimos días.  Leer +


“Cuando vi lo que ocurrió con LexNet la semana pasada me puse a buscar información. No sabía cómo funcionaba. Me metí en Shodan y encontré una IP de Justicia no securizada. Entré y te daba acceso a un directorio, estaba abierto y sin contraseña. Otro fallo de configuración hacía que pudieras acceder con permisos de administrador al panel de monitorización de LexNet y a carpetas con miles de documentos sobre esta plataforma y sobre Orfila. Todo eso no debería estar ahí”, explica a Teknautas una de las personas que accedió al material, un estudiante de ingeniería de 20 años. “Si yo lo he encontrado, cualquiera podría haberlo hecho”.
“Es como si los técnicos de Justicia hubieran creado una copia de seguridad con esa información, la hubieran puesto en un servidor conectado a internet y no solo se olvidaran de securizarlo, también de borrar el material. Hay datos muy sensibles sobre arquitecturas internas y códigos fuente que, en malas manos, podrían generar muchos problemas”, explica otra fuente que también ha tenido acceso a los documentos.

En las tripas de Orfila

Buena parte de los documentos olvidados por Justicia en internet describen la arquitectura técnica de Orfila, el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España.
A través de Orfila, los IML envían a los Juzgados informes forenses, autopsias y pruebas médicas de todo tipo de casos en plena investigación (asesinatos, violaciones, suicidios, accidentes…). La información que contiene Orfila, que se integra también con LexNet, es por tanto de máxima confidencialidad. Es por eso que imágenes filtradas como la de debajo, mostrando la arquitectura tecnológica al completo de Orfila, revelan demasiados detalles que no deberían estar ahí.

Arquitectura técnica de Orfila filtrada en los documentos, con los nombres de las diversas plataformas usadas.



Arquitectura técnica de Orfila filtrada en los documentos, con los nombres de las diversas plataformas usadas.
Entre los casi 11.000 documentos al descubierto se encuentran decenas de informes que diseccionan el funcionamiento interno de las plataformas. Uno de ellos, titulado “Manual de Explotación Orfila“, marcado como documento de “Difusión Limitada” y aprobado el 20 de noviembre de 2013, detalla en más de 50 páginas la arquitectura técnica del sistema. Otro, llamado “Manual de Desarrollo”, de 31 páginas y también de difusión limitada, explica de forma pormenorizada los módulos que componen Orfila.
“Por sí sola esta información no es extremadamente peligrosa. Pero si la unes al resto de archivos y códigos filtrados, tanto de LexNet como de Orfila y del resto de servicios web de Justicia, es cuando empiezas a dar muchos más detalles de los que deberías. Demasiados”, explica a Teknautas una tercera fuente conocedora de los documentos.




Extracto de uno de los manuales técnicos de Orfila
Extracto de uno de los manuales técnicos de Orfila
Igual de preocupante es la posibilidad de que, una vez dentro del servidor, se podía tener acceso al sistema de monitorización en tiempo real de LexNet y Orfila, denominado ‘Visor’. “Lo hicieron probablemente para que los técnicos tuvieran acceso remoto desde el móvil y vieran incidencias, tráfico, peticiones etc… El problema es que lo configuraron mal. Se cargaban las ‘cookies’ de permisos de administrador de forma automática y al volver a iniciar la página no te pedía contraseñas. Podías ver en tiempo real qué le pasaba al sistema y hasta modificar ciertos parámetros”, explica a Teknautas una de las fuentes consultadas.
Debajo puedes ver unos pantallazos obtenidos dentro de Visor, la herramienta de monitorización de LexNet y Orfila:









Parte del código fuente de LexNet, al descubierto

Si lo anterior ya es comprometedor, el resto de documentos va más allá. Especialmente varias carpetas en las que se almacena parte del código fuente de LexNet, el mismo código por el que el Ministerio de Justicia ha pagado más de 7 millones de euros a media docena de proveedores tecnológicos, de Avalon a Satec o Sermicro, y que se negó a liberar en múltiples solicitudes de acceso a información pública alegando “secreto profesional y de la propiedad intelectual e industrial”.
“Está casi todo: la documentación oficial que explica paso a paso qué hace el código, los certificados del ministerio, los SSL, el código java, una carpeta ‘webapp’ con 3.000 archivos en 559 carpetas que contiene los CCS, las imágenes, el javascrip… Si alguien quisiera replicar esto en local podría conseguir parte del sistema LexNet, analizar vulnerabilidades a placer y lanzar ciberataques contra esta infraestructura. Y, recordemos, esto estaba colgado en internet sin control de acceso ni contraseñas para que cualquiera lo pudiera coger”, señala una de las personas que ha tenido acceso a la información.
Parte de las carpetas filtradas que contienen el código y detalles técnicos de LexNet y otros servicios web de Justicia.



Parte de las carpetas filtradas que contienen el código y detalles técnicos de LexNet y otros servicios web de Justicia.
Otra fuente consultada asegura que se trata solo de parte del código y, curiosamente, en formato ‘open source’ para ser usado por terceras compañías que deseen integrarse con LexNet. Aún así, coincide: demasiada información confidencial disponible para cualquiera.

“No hemos cometido un fallo, es un delito”

Preguntado por este diario sobre la filtración, un portavoz del Ministerio ha reconocido el problema y asegurado que los técnicos de Justicia detectaron una “intrusión” en la tarde del pasado viernes día 28 de julio. Durante las siguientes horas procedieron a eliminar los archivos del servidor. “Lo vi en tiempo real. Tenía la pantalla delante y empecé a ver cómo iban desapareciendo las carpetas. Una a una”, explica una de las fuentes que accedió al material.
Horas después de que este diario preguntara ayer al Ministerio de Justicia sobre el incidente, un portavoz del mismo confirmó la presentación de una denuncia a uno de los supuestos responsables del acceso. Se formalizó pasadas las 21:00 horas de ayer martes 1 de agosto ante la Brigada de Investigación Tecnológica de la Policía Nacional en la Comisaria de Canillas (Madrid).
“Consideramos que no ha habido ningún fallo por nuestra parte, sino un delito de acceso ilícito a una web interna destinada a intercambio de datos dentro de la admnistración pública. Podemos confirmar que no se han accedido a datos sensibles ni personales. Pero estamos ante un delito. El hecho de que la página no exigiera contraseñas no significa que se puede descargar y distribuir su contenido. Es como si uno va por la calle y ve un coche con las puertas abiertas y decide robar lo que hay en su interior”, explica un portavoz de Justicia.
“No he hecho nada ilegal. Todo estaba abierto, sin securizar. Es igual que si entras en Google y descargas un documento. De hecho, avisé al Ministerio y a Lexnet por Twitter, pero al poco borré los mensajes, no quería que el problema se hiciese viral. Luego me di cuenta que algo así no podía quedar en el aire. He reportado a las administraciones decenas de fallos, y no me han dado ni las gracias. Ahora pienso publicar en las próximas horas el código fuente de LexNet. Creo que es bueno que salga a la luz. Eso les obligará a rediseñarlo”, señala a este diario uno de los supuestos responsables del acceso al contenido.
“Esto no es un hackeo. No se puede decir que ha habido un acceso saltándose medidas de seguridad, porque no había ninguna medida de seguridad. Otra cosa es lo que esta persona se ha descargado”, dice el abogado e ingeniero Sergio Carrasco. “Pero me temo que el Ministerio de Justicia está buscando un cabeza de turco a los problemas informáticos que ha tenido últimamente. Y tenemos que quedarnos con lo esencial: aquí ha habido un error muy grande, otro más. Contra quien hay que actuar es contra el responsable de adoptar unas medidas de seguridad que no existían. Y ese es el Ministerio”.
Fuente: elconfidencial.com
Para la AJFV: “Sólo el ingenuo desconocimiento del mundo informático explica la tibieza de la reacción en la comunidad jurídica. Esta nueva noticia suma mayor alarma al escandaloso fallo sistémico que sufrió Lexnet a finales de este verano. Y no hay disculpa, no hay cabeza de turco que pueda salvar la grave negligencia cometida por el Ministerio. Siendo de su exclusiva responsabilidad proporcionar seguridad informática a la Justicia este episodio no puede salvarse sin una explicación oficial cumplida y detallada y sin exigencia de responsabilidad. Para restablecer la confianza, que la administración de Justicia requiere, es necesario mucho más”.
_____________________________

0 comentarios:

Publicar un comentario