Portada
mis comunidades
otras secciones
#11:
#1 Lo comunico, y al cabo de unos días difundió el error.
Y los responsables en lugar de asumir la cagada (¿responsabilizarse? ... ¡eso es de rojos!) la arreglaron de tapadillo para que nadie se enterase.
Si no lo llega a difundir, el público no se entera de la cagada que es. Porque de lo que podéis estar seguros es que de semejante chapuza ya es.muy probable que alguien interesado ya se haya enterado y lleve tiempo explotando la.
Y los responsables en lugar de asumir la cagada (¿responsabilizarse? ... ¡eso es de rojos!) la arreglaron de tapadillo para que nadie se enterase.
Si no lo llega a difundir, el público no se entera de la cagada que es. Porque de lo que podéis estar seguros es que de semejante chapuza ya es.muy probable que alguien interesado ya se haya enterado y lleve tiempo explotando la.
#2:
Según he entendido el hacker divulgó información descargada del servidor, quizá por frustación por el comportamiento del Ministerio.
Muy mal, pero la política en seguridad de este este pais, en general, no sólo las administraciones, el lamentable. No existe cultura ni conocimiento en seguridad, las inversiones son mínimas, se externaliza casi todo el conocimiento, un desastre.
Muy mal, pero la política en seguridad de este este pais, en general, no sólo las administraciones, el lamentable. No existe cultura ni conocimiento en seguridad, las inversiones son mínimas, se externaliza casi todo el conocimiento, un desastre.
#31:
Pues a mi no me extraña nada la situación. Todas las webs de los ministerios las hacen terceros contratados por concurso, y en la mayoría de los casos múltiples proveedores. Llevo 16 años trabajando en cárnicas, de las que hacen ese tipo de proyecto, y en todas las licitaciones establecen unos ANS leoninos, en los cuales se establecen penalizaciones económicas para estos fallos de seguridad. Cuando un hacker reporta un fallo de este tipo, normalmente la información llega a la cárnica, que intenta taparlo por todos los medios y librarse de la culpa. Incluso, como es este caso, culpar al hacker de la vulnerabilidad para evitar que rueden cabezas dentro de la propia cárnica que lleva el proyecto.
No es cuestión del gobierno, es cuestión de la precariedad que hay en el sector y de como los contratos de bienes públicos como lo son las webs de los ministerios se licitan entre múltiples proveedores que compiten entre ellos y donde la única prioridad que tienen es tapar todas las cagadas y quitarse los muertos pasándolos a otros (sacar balones fuera).
Por eso ya digo que no me extraña nada lo que ha pasado. No es la primera vez ni será la última.
No es cuestión del gobierno, es cuestión de la precariedad que hay en el sector y de como los contratos de bienes públicos como lo son las webs de los ministerios se licitan entre múltiples proveedores que compiten entre ellos y donde la única prioridad que tienen es tapar todas las cagadas y quitarse los muertos pasándolos a otros (sacar balones fuera).
Por eso ya digo que no me extraña nada lo que ha pasado. No es la primera vez ni será la última.
#36:
#13 estamos hablando de una maquina abierta de par en par, sin contraseña, abierta de patas, por dicerlo mas toscamente y conteniendo el codigo de lexnet e información confidencia, si no clasificada.
No es un bug en una aplicación que puede requerir días en parchear y distribuir, es un fallo de configuración en un FW que se corta en 30 segundos.
La gente sigue sin aprender, los fallos de organismos públicos y grandes empresas se publican siempre anonimamente, y la información recopilada perfectamente cifrada, nunca sabes lo estúpido que puede ser el responsable de turno.
en este caso hay que proteger al ciudadano, no al incompetente de turno que debería dimitir de manera inmediata por:
No ha aplicado una protección básica a información sensible, e.d. autenticación, y doble factor de autenticación como requiere acceder a información de esta sensibilidad.
No ha aplicado los principios de mínimo privilegio, defensa en profundidad y necesidad de conocer.
No ha adoptado las medidas de visibilidad y control para el acceso a información sensible.
En resumen, para ser cesado de manera fulminante.
No es un bug en una aplicación que puede requerir días en parchear y distribuir, es un fallo de configuración en un FW que se corta en 30 segundos.
La gente sigue sin aprender, los fallos de organismos públicos y grandes empresas se publican siempre anonimamente, y la información recopilada perfectamente cifrada, nunca sabes lo estúpido que puede ser el responsable de turno.
en este caso hay que proteger al ciudadano, no al incompetente de turno que debería dimitir de manera inmediata por:
No ha aplicado una protección básica a información sensible, e.d. autenticación, y doble factor de autenticación como requiere acceder a información de esta sensibilidad.
No ha aplicado los principios de mínimo privilegio, defensa en profundidad y necesidad de conocer.
No ha adoptado las medidas de visibilidad y control para el acceso a información sensible.
En resumen, para ser cesado de manera fulminante.
#12:
Siguiendo el ejemplo de la cartera que pone al principio del artículo, imaginemos que quien "pierde" la cartera lo hace en realidad para pagar a un traficante de armas y vas tu y le sueltas que se le ha caído la cartera, es normal que se enfade e incluso te denuncie si sabe que tiene a la policía de su lado por joderle el negocio, pues esto apesta a algo así...
Comentarios
Según he entendido el hacker divulgó información descargada del servidor, quizá por frustación por el comportamiento del Ministerio.
Muy mal, pero la política en seguridad de este este pais, en general, no sólo las administraciones, el lamentable. No existe cultura ni conocimiento en seguridad, las inversiones son mínimas, se externaliza casi todo el conocimiento, un desastre.
#2 Así lo entiendo yo, y dice que lo hace tras avisar del fallo sin recibir contestación. La cuestión es que cierran las puertas a actuar bien desde los que deberían garantizar que las cosas funcionan bien, y como señala el artículo, es la garantía de que cada vez habrá más fallos y que serán explotados para sacar beneficio.
#3 De eso se trata. El próximo que lo encuentre antes que acabar denunciado, intentará quitar provecho vendiendo el fallo. ¿Quienes son los que tienen más casos en los juzgados, que pueden pagarlo y que más se beneficiarán? Pues eso.
#10 eso está clarisimo. Dado que la casta político financiera es corrupta por definición, lo que menos les interesa es que la Justicia funcione en condiciones... Ahora lo van a tener aún más fácil: en lugar de tener que mover jueces y pagar abogados para dilatar procesos hasta que prescriban, o pagar a ladrones por que roben papeles o prendan fuego directamente a los archivos de un juzgado, con pagar 4 perras a algún chaval informático medio espabilado en paro para que borre cosas en LexNet tienen más que suficiente....Con lo mal que está hecho seguro que es sencillisimo, lo único que se han pasado de cutres y se le ha visto el plumero antes de tiempo
#3 Una cosa es que la administracion actue mal, y otra que el hacker actue bien al descubrir el error y avisar, y luego actue mal al difundir los datos que se descargo.
El hacker actuo mal al distribuirlos. Tambien tenia que haber esperado a que el agujero estuviese resuelto para anunciarlo.
Es decir, mala cultura en el Ministerio, y tambien en el Hacker.
#27 El tema es que seguramente el hacker ha ayudado más a que esos datos estén protegidos que los propios responsables, no sé que dirán luego los jueces pero no veo que tuviese muchas más alternativas además de pasar o actuar realmente mal y dedicarse a vender los datos.
#39 No, són temas diferentes y separados.
El hacker ayudo, avisó y hasta ahí todo bien.
El hecho de descargar y compartir los datos esta mal. No tenia que haberlos compartido y se le va a perseguir por ello, porque esta mal.
Si el hacker hubiese contactado a los periódicos y explicado el.caso para aumentar la presión, habría hecho bien sin compartir datos.
En el momento que compartió los datos la lio sin necesidad.
#40 Estas seguro? Los datos estaban publicados sin ningún tipo de control de acceso, por que tengo que suponer que esa no era la intencion original? Como se yo que la información no se debe descargar, por ciencia infusa?
Si accedo a un periódico online, leo determinado artículo, incluso lo comparto, y más tarde se descubre que esa información no se debía haber publicado, tiene sentido denunciar a los lectores?
El hacker incluso aviso a las autoridades competentes por si acaso, estas lo ignoraron, a partir de ahí me parece totalmente lícito suponer que esos datos se pueden utilizar ya que han sido publicados libremente y los dueños han decidido no pronunciarse.
#46 son ganas de buscarle tres pies al gato. Si avisó a las autoridades es que sabía que eso no debía de ser accesible.
Si luego lo comparte, pues mal.
Si tu dejas la puerta de casa sin cerrar, como se yo que no quieres compartir tus cosas conmigo? Pues si además avisas a la guardia urbana de que la puerta está abierta y que alguien puede robar de la misma forma que tu mismo acabas de hacer... como que no te sorprenderá que te detengan, no?
#49 No comparto tu analogia, el fallo esta en que un servidor en internet no es equivalente a una casa particular, un servidor conectado a internet seria equivalente a un establecimiento publico o una biblioteca por ejemplo, porque una casa particular no tendria servicios de acceso publico activados y publicitados. Si en tu casa por fuera tienes un letrero grande que pone "biblioteca publica" no puedes despues quejarte de que la gente entra en tu casa sin tu permiso.
Si caminas por la calle y te encuentras con una biblioteca con las puertas abiertas, tu entras libremente, si despues resulta que ha sido un fallo y que la biblioteca deberia estar cerrada, eso es un problema del dueño no de los clientes, no tendria sentido denunciar a los clientes por allanamiento de morada.
#50 Quizás no sea tan mal ejemplo, en los locales privados normalmente pone en algunas puertas "solo personal autorizado" y muchas de ellas normalmente no se cierran. También como reflexión transversal diría que solos muy cerrados al hablar de "público" y "privado", por ejemplo el que todo el mundo pueda entrar no significa que todo el mundo entre, así como si hablamos de libertad de expresión no consideraría una discusión en un bar (o meneame) al mismo nivel que un discurso televisado o que no pensaría que todas las habitaciones de un edificio público estarán abiertas al público.
Quizás sea como hablar de que incluso en un baño público se presupone que tiene que haber cierto respeto a la privacidad.
#50 dices que "Si caminas por la calle y te encuentras con una biblioteca con las puertas abiertas, tu entras libremente, si despues resulta que ha sido un fallo y que la biblioteca deberia estar cerrada, eso es un problema del dueño no de los clientes".
Pero lo que el hacker ha hecho es coger los libros de la biblioteca y repartirlos por la calle, por otras bibliotecas, y ya no tiene control sobre ellos. No podría devolverlos ni aunque quisiera.
E incluso no sabemos si se ha lucrado vendiendolos a otros, que pudiera ser.
En definitiva, que el problema es que compartió los datos y no tenia que haberlo hecho.
#49 efectivamente, no soy experto en leyes pero el actuar con dolo y mala fe suele ser agravante
#49 Pues ojo, que cerrar la puerta de casa es básicamente la única forma de proteger tus cosas. Porque si alguien entra, sin forzar la puerta ni entrar por sitios raros como una ventana, y se lleva cosas de tu casa... no tienes forma de denunciarle a menos que confiese (cosa que ha hecho el chaval en este caso).
#61 Por suerte la ley contempla el hecho de que aunque tengas la puerta abierta sigue siendo delito que alguien te coja algo.
#63 Poca suerte, cuando no puedes demostrar que te han entrado en casa, y el seguro se lava las manos:
http://www.cooperativa-cerrajera.es/blog-cerrajero/item/ojo-con-la-diferencia-entre-hurto-y-robo-en-el-hogar
#2 Pues lo mismo que le pasó al pobre que vio que la seguridad del rey y altos cargos del gobierno tenía más agujeros que un colador.
Tenemos un gobierno de cráneos privilegiados y por mucho que dure, por mucho que hagan leyes para legalizar cosas ilegales para protegerse, caerán porque son zoquetes.
#2 No se quiere pagar el conocimiento, en Ciencias, trabajos técnicos y en especial el informático. Por su dificultad y porque NO DA LA GANA A LOS QUE GOBIERNAN, no quieren hacerlos funcionarios y no quiere pagarse al brillante, vaya ser que cobre más que a quién se enchufó porque venía con el carnet del partido político en la boca.
La estratagema es clara, los trabajos técnicos y con dificultad se les endosan a empresas(si son de amigos, mejor), si la cosa sale bien todos se hacen felaciones tan felices y forrados de lo que sacaron adelante los miserables subcontratados, si la cosa sale mal la Justicia no podrá determinar, dentro de muchos años, ni dónde se gastó el dinero ni quién lo gastó, quién tuvo la culpa en la cadena de subcontrataciones y los jefes políticos de la Administración aparecerán como víctimas inocentes de no se sabe quién hizo mal las cosas.
Siguiendo el ejemplo de la cartera que pone al principio del artículo, imaginemos que quien "pierde" la cartera lo hace en realidad para pagar a un traficante de armas y vas tu y le sueltas que se le ha caído la cartera, es normal que se enfade e incluso te denuncie si sabe que tiene a la policía de su lado por joderle el negocio, pues esto apesta a algo así...
#12
"Nunca atribuyas a la malicia lo que puede explicarse por la incompetencia."
-- Napoleón Bonaparte.
#15 corolario: "salvo que sean políticos, que ha de suponerse siempre malicia aunque parezca estupidez"
#15 Lo siento. Prefiero ser desconfiado.
¿Quien es la persona jurídica implicada en más casos judiciales por corrupción en España?
¿Este "error" le beneficiaria?¿Cuanto?
¿Tiene dicha persona jurídica la capacidad de haber provocado (por si misma o mediante terceros) ese "error" intencionadamente?
Pues a mi no me extraña nada la situación. Todas las webs de los ministerios las hacen terceros contratados por concurso, y en la mayoría de los casos múltiples proveedores. Llevo 16 años trabajando en cárnicas, de las que hacen ese tipo de proyecto, y en todas las licitaciones establecen unos ANS leoninos, en los cuales se establecen penalizaciones económicas para estos fallos de seguridad. Cuando un hacker reporta un fallo de este tipo, normalmente la información llega a la cárnica, que intenta taparlo por todos los medios y librarse de la culpa. Incluso, como es este caso, culpar al hacker de la vulnerabilidad para evitar que rueden cabezas dentro de la propia cárnica que lleva el proyecto.
No es cuestión del gobierno, es cuestión de la precariedad que hay en el sector y de como los contratos de bienes públicos como lo son las webs de los ministerios se licitan entre múltiples proveedores que compiten entre ellos y donde la única prioridad que tienen es tapar todas las cagadas y quitarse los muertos pasándolos a otros (sacar balones fuera).
Por eso ya digo que no me extraña nada lo que ha pasado. No es la primera vez ni será la última.
#13 estamos hablando de una maquina abierta de par en par, sin contraseña, abierta de patas, por dicerlo mas toscamente y conteniendo el codigo de lexnet e información confidencia, si no clasificada.
No es un bug en una aplicación que puede requerir días en parchear y distribuir, es un fallo de configuración en un FW que se corta en 30 segundos.
La gente sigue sin aprender, los fallos de organismos públicos y grandes empresas se publican siempre anonimamente, y la información recopilada perfectamente cifrada, nunca sabes lo estúpido que puede ser el responsable de turno.
en este caso hay que proteger al ciudadano, no al incompetente de turno que debería dimitir de manera inmediata por:
No ha aplicado una protección básica a información sensible, e.d. autenticación, y doble factor de autenticación como requiere acceder a información de esta sensibilidad.
No ha aplicado los principios de mínimo privilegio, defensa en profundidad y necesidad de conocer.
No ha adoptado las medidas de visibilidad y control para el acceso a información sensible.
En resumen, para ser cesado de manera fulminante.
(Politicosaurios + Empresaurios + Padefosaurios - Exiliados) = Realidad actual española.
PD. PaDeFo : 'Paso De Follones', típica excusa de la clare obrera patria. Término originado en el blog http://laboro-spain.blogspot.no/
Llamar hacker a cambiar el id en la url...
#5 Pues anda que llamar programador al que programó eso.
#7 en España las empresas de desarrollo informático se llaman carniceras
#37 y como se llaman las de Inglaterra?
#37 La única diferencia es que las de verdad venden carne de caballos, estas venden carne de monos.
#54 los monos son más inteligentes: por esas condiciones de trabajo prefieren cagarse sobre las máquinas
#5 ¿No conoces la fábula del tornillo y el ingeniero? No se trata de apretar un tornillo, es saber que tornillo apretar.
Mi padre es algo mas bruto y con una frase de pueblo lo resume: Después de ver los cojones dices que es macho.
#8 Yo lo había oido: "a cojon visto, macho seguro".
#5 Ese era otro fallo, en este no hacía falta ID ni login ni nada, es la dirección que sale en los mensajes de la noticia.
#5 Recuerdo cuando muchos sitios pornográficos protegían los contenidos VIP de esa forma. Al menos eso decían mis amigos, no me consta.
#5 Quizás el fallo era muy garrafal, pero en informática saber que botón es el que hay que tocar para "arreglar" o "romper" algo, vale más que saber apretar un botón. Quien ha gastado su tiempo en hacer pentest en una página del ministerio y ha encontrado horribles fallos de seguridad. ¿Cuanta gente conoces que sepa buscar fallos de seguridad? #5 Exacto.
#13 Según qué ética. A mi parecer, hay muchos fallos que hay que publicar, para que se solucione el problema. Es un debate muy polarizado, "full disclosure", o no.
Tener a los más inútiles y corruptos al mando hace que paguemos las consecuencias, en esto y en todo lo demás.
Pero se ve que es lo que quieren sus millones de cómplices votantes.
Luego en el gobierno dicen que quieren crear un ejército de hackers voluntarios. No han entendido el gran negocio que hay detrás del cibercrimen, probablemente mueve más dinero que la droga y que la trata de blancas y está panda de paletos pretende que lo que no hacen ellos se lo haga unos chavalitos por el morro. Me recuerda al típico pequeño empresario que lleva a su hijo a que le arregle el Windows en la oficina. Ps d pndrt
La organización criminal maneja aspectos de la vida que son muy sensibles, disfrutemos lo votado con la mayor inseguridad posible... Recordad lo que han hecho con el CSN también acojona, y mucho!!
#9 su gobierno sólo peligra si no se pueden pagar las pensiones o si se publica que Mariano es gay.
#33 En mi primera empresa, la contraseña de administrador de dominio era 3412, o algo parecido, pero de 4 dígitos. Y era así, porque pusieron la misma que la alarma de la oficina.
#59 yo en la que estaba la de administrador la conocia todo cristo, hubo un segundo dominio de estos que "bueno, lo hacemos provisional " pero al final termino siendo definitivo y teniamos 2 usuarios y en este la contraseña era generica, mucha gente nunca la habia cambiado ni por supuesto obligaba a cambiar la constraseña nunca. Y otras cosas que no voy a contar.
Seguridad era de chiste.
En España la seguridad es que te de la contraseña pero guarda la bien en un cajón
#17 en un cajón?...eso es de profesional de la seguridad ; di más bien, que cuando te dan la contraseña (de lo que sea), se pone en un post-it en el monitor...
Eso sí, solo se hace con las contraseñas del trabajo...las del banco , bien que se guardan bajo llave.
Se es "tonto/tonta" para lo que se quiere.
#20 o la contraseña es verano17 para todo el mundo y nunca se cambia en años
#17 Pues eso no está muy lejos de lo que recomienda un experto como Bruce Schneier; escribir la contraseña en un papel y guardarla donde pones el resto de papelitos importantes que no quieres perder, en la cartera. https://www.schneier.com/blog/archives/2005/06/write_down_your.html
Yo de él sabiendo cómo las gastan a la próxima publico todo, doy cómo acceder y que revienten.
A lo mejor sale documentación de dirigentes con putas o una tal trotona que pillaba sobres.
Que alguien ponga el torrent de los papeles de la Gurtel. (ironía y broma, no me persigan por favor)
A mí me parece que es como si un desconocido entra en mi casa y luego se sienta en el salón a esperarme y explicarme como ha entrado. Vale que podría haberme robado y marcharse sin más, pero el delito de allanamiento también lo ha cometido. Otra cosa sería que se hubiera encontrado la puerta abierta de par en par, pero no ha sido así. Ha tenido que ir probando "puerta" a "puerta" o "ventana" a "ventana" hasta encontrar una que cerrase mal.
¿Denuncian al hacker por divulgar informació confidencial? Pues a los encargados de publicar "la información clasificada" ¿los deberíamos de denunciar por revelación de secretos por publicar información secreta?
#19 si les hubiera puesto el enlace o la explicación de cómo acceder a sus colegas, en lugar de descargar y compartir archivos, no se hubiera metido en líos...
#25 Igual lo que se debía haber hecho es denunciarlo donde procediese, no publicarlo en prensa.
entendio lo que tenia que entender. reconocer el problema puede hacer rodar cabezas (o no, que esto es españa) y arreglar el problema es dinero.
¿ Pero el hacker divulgó el fallo ?
Porque el artículo mezcla cosas
#1 Lo comunico, y al cabo de unos días difundió el error.
Y los responsables en lugar de asumir la cagada (¿responsabilizarse? ... ¡eso es de rojos!) la arreglaron de tapadillo para que nadie se enterase.
Si no lo llega a difundir, el público no se entera de la cagada que es. Porque de lo que podéis estar seguros es que de semejante chapuza ya es.muy probable que alguien interesado ya se haya enterado y lleve tiempo explotando la.
#11
Normalmente, la ética marca que se dilvulgue cuando esté solucionado
#1 El "hacker" descargó información sensible, es ilegal y está denunciado por eso, no por encontrar el fallo
#28 y lo que es peor, la envio a terceros, pero parece que a los del artículo no les parece interesante hacer hincapié.
Impresionante lo de LexNet. El cúmulo de despropósitos, mala gestión y malas decisiones más grande del desarrollo español y jústamente en el ministerio de Justicia.
Por no hablar de la interfaz en sí del propio lexnet. Cuando no contiene fallos del sistema hay que actualizar Java. Olvídate de usar Chrome o un Mac para trabajar en España si eres abogado.
Un mal de cabeza constante para todos los abogados autónomos españoles obligados a pasar por el aro para recibir las notificaciones oficiales en la plataforma con peor experiencia de usuario que jamás haya visto.
Que podemos esperar de unos Tio que ponen jueces y ministros que defienden a gente corrupta SPAIN IS DIFERENT
Creo que se está mezclando cosas, el problema ha sido descargarse y difundir esos ficheros y está tipificado en el código penal. Podemos discutir detalles, pero sí que hay base... Y creo que esto es importante que se conozca para evitar problemas parecidos.
http://noticias.juridicas.com/base_datos/Penal/lo10-1995.l2t10.html
Esperemos se regularice de una vez las atribuciones de la ing. Informática para comenzar a limpiar el sector, poner nombre y apellidos a los proyectos y darle la importancia que tienen, que es mucha como se puede ver en desastres como este.
El software que usa la administración pública debería ser público, salvo aquel que pueda afectar a la seguridad, y, si me apuras, debería se código libre, de esta forma se podría revisar, mejorar y solucionar errores, tal como dice el artículo además debería existir un sistema de recompensas para las personas que colaboren.
#30 El problema es que la principal recompensa sería explotar o vender la vulnerabilidad al mejor postor.