El Ministerio de Justicia ha confirmado la filtración de casi 11.000 documentos (600 MB) que describen al detalle la arquitectura de parte de sus sistemas informáticos y, lo que es más grave, parte del código fuente de LexNet, la intranet del Ministerio y hasta sus certificados digitales. Suficiente como para conocer hasta el último rincón de las plataformas, encontrar vulnerabilidades y, por ejemplo, lanzar ciberataques.
|
etiquetas: lexnet , ministerio de justicia , català , pp , seguridad
A la mierda con estos politicos de BASURA que no valen para nada.... PP, los buenos gestores? por mis cojones. Un buen gestor admite el fallo, agacha la oreja, saluda a quien le ayuda e intenta arreglarlo con el menor ruido posible.
Cualquier persona honrada que se encuentre una mierda de estas y quiera avisar, que lo publique pero que se asegure que lo hace por medios lo mas confidenciales que pueda, que se oculte como pueda, pero que no diga el nombre para que estos HdlGP no puedan perseguirle.
Supones que el código está bien hecho ...
Es que se han liado y han confundido código con datos
Más bien el problema es no saber gestionar proyectos gordos con información delicada.
Más que un problema de subcontratación parece un lío de gestión y de.montar parche sobre parche.
La de veces que me han dicho que suba cosas a DropBox o Bitbucket, que son herramientas muy profesionales y ningun ingeniero que se precie puede vivir sin cuenta ahi.
Me parece que los periodistas y los abogados de España van darse cuenta de como se hacen las cosas por aqui.
Que de momento tiene toda la pinta. Ya leía el otro día que Correa intenta escaquearse DE TODA LA GÜRTEL porque una prueba se había recogido mal, así que veo posible cualquier manipulación de la justicia por parte de quien la maneja
Lo mejor sería tirar el sistema a la basura y hacerlo de cero
Los habrán revocado?. Son capaces de no haberlo hecho...
Descargar sí (has configurado el servidor para enviar esos datos, te jodes), distribuir puede que no, pero qué más da si ya lo estás distribuyendo tú. Podría pensar que es un panoli sin idea, pero dado que va a intentar desviar la responsabilidad denunciando y jodiendo al chaval con unos cuantos años de abogados y juicios, me decanto por pensar que es un hideputa.
P.D. Sr Juez, este comentario es ficción y no representa lo que pienso. Amo al prójimo y pongo la otra mejilla.
Incluído el código de aplicaciones de defensa, Indra, iecisa y cia tienen políticas de seguridad de mierda al respecto.
Está casi todo: la documentación oficial que explica paso a paso qué hace el código, los certificados del ministerio, los SSL, el código java...
No se baraja tomar medidas por debajo de un 7, también conocido como PIT a dicho algo.
Por curiosidad, ¿Puedes mencionar administraciones públicas europeas que divulguen su código fuente, y exactamente qué partes? Igual confundes las políticas de open data con otra cosa...
INVENT ALERT
Estoy seguro que coste de Lexnet no es ni la cuarta parte de los 7M€. El resto para el bolsillo de las consultoras de turno.
Es la única forma de garantizar que no son una chapuza y que cualquiera se puede colar a robar información privada de la gente.
Me tengo que asegurar que el documento X sólo lo ve Y.
Pero en cambio lo ve todo el puto abecedario porque yo la he cagado.
¿es culpa de 'A' ver el documento y descargarlo? no, el marrón me lo voy a comer yo por no haber hecho mi trabajo
Ahora a ver que dicen esta gente, pero no me extrañaría que encima atacaran al que les está encontrando sus vulnerabilidades.
Quería decir que el diseño del sistema es una pifia. No del cóidigo. Pero vamos, seguramente el cóidigo también deje mucho que desear.
Pensad que los agujeros que haya van a estar ahí independientemente de si la documentación y el código son públicos o no. Pero si la documentación y el código son públicos habrá más ojos escrutando y revisando LexNet y avisando de los errores, e incluso proponiendo soluciones para tapar los agujeros y hacer así que LexNet sea inherentemente más seguro.
Poniendo un ejemplo del mundo real, todo el mundo sabe donde está Fort Knox y no creo que a nadie en su sano juicio le preocupe más que su ubicación sea pública a que su seguridad sea extremadamente férrea. O quizás yo esté loco y crea que es preferible saber donde está y tener vigilantes armados hasta los dientes a que esté en un lugar oculto (pero que se pueda localizar tarde o temprano) y estar guardado por muñequitos de Pin y Pon.
CC #5
Quiero decir, si se publica el código y hay vulnerabilidades (que las va a haber), dudo mucho que las consultoras afines puedan ir tan rápido parcheando como la peña va a ir encontrando fallos, así que... el sistema va a estar comprometido una buena temporada (más de lo que ya estaba), encima, el marrón, se lo van a cargar al que publique el código...
Cuando lo que deberían haber hecho era publicarlo desde un primer momento para precisamente, encontrar toda vulnerabilidad, pero no, en privado está más seguro... Ya que no se puede saber la mierda que hay detrás...Les está bien empleado.
Ahí tienes un posible titular para cuando llegue el momento que comentas.
No existe el código fuente en "formato OpenSource". O el código está disponible, o no lo está. Y desde el punto de vista téncico es abierto si es integrable con otros productos o bien es cerrado si no tiene interfaces con nada ni puede soportar plugins o adaptadores.
Y no, como ya comenta alguno más arriba no es culpa de quien ve el documento por ir a una página que está publicamente accesible por internet. Si metes una URL al azar y aparece algo ese algo está publicado y es público. Es como si te encuentras una cartera perdida. No es un robo, aunque la cartera y su contenido tengan dueño y lo correcto sea recordarlo, o te encuentras un maletín o un pendrive con contendidos alto secreto que alguien se ha dejado en el tren. Lo abres, ves lo que tiene y depende del deber cívico que tiene o avisas a los dueños o se lo das a alguien que pueda aprovecharse de esa información. Allá con la conciencia de cada uno. Pero no es robar y no es espiar.