Por @Wicho — 2 de Agosto de 2017

Ups!Cuando aún colea el fallo de seguridad de LexNet, el sistema de gestión de notificaciones telemáticas entre los juzgados y los profesionales de la justicia que se usa en España, que permitía a cualquiera de sus usuarios registrados hacerse pasar por otro y acceder a sus documentos, se ha hecho público otro fallo de seguridad relacionado con el sistema.

En este caso el fallo no está –estaba– en LexNet propiamente sino en un servidor del Ministerio de Justicia conectado a Internet sin protección alguna para sus contenidos: cualquier persona que conociera su dirección IP podía acceder a él sin que se le pidiera en ningún momento ni usuario ni clave de acceso.

En esta máquina había almacenados miles de documentos acerca de la estructura y el funcionamiento de LexNet, así como con su código fuente. Había también información acerca de Orfila, el sistema que conecta a los Juzgados, Tribunales, Fiscalías y Oficinas del Registro Civil con los Institutos de Medicina Legal (IML) de España. Ninguno de estos documentos estaba cifrado, con lo que cualquiera que haya tenido acceso a ellos los ha podido abrir sin mayor problema.

Y por si fuera poco también era posible acceder a Visor, el sistema de monitorización en tiempo real de LexNet y Orfila.

En Nuevo fiasco informático en Justicia: 11.000 documentos internos al descubierto y Otro error en la seguridad alrededor de Lexnet: un servidor dio acceso a ficheros a cualquiera hay dos buenas explicaciones sobre este problema; la primera quizás un poco más técnica.

Pero el resumen, sacado del artículo de Sergio Carrasco, es que:

  1. Un servidor relacionado con Justicia mostraba archivos de manera pública a través de Internet.
  2. El acceso al servidor no requería de identificación alguna.
  3. El acceso no contaba con ninguna medida restrictiva de seguridad.
  4. Los documentos no estaban cifrados.

La reacción desde el Ministerio es algo así como que «nos han hackeado y el que lo haya hecho las va a pagar», pero en realidad esa actitud no es más que intentar escurrir el bulto, pues lo cierto es que el servidor estaba mal configurado, quizás con las prisas de arreglar el primer problema.

Lo único bueno es que con la filtración del código fuente, cuya liberación se ha pedido varias veces, algo a lo que el Ministerio se ha negado a pesar de que el desarrollo de LexNet ha sido pagado con dinero público, es que posible que éste por fin sea analizado y que pueda ser sometido a una auditoría de seguridad, aunque habría que saber si el código filtrado es el código en funcionamiento.

Se podría argüir que que malo es que este mismo código fuente puede ser usado con fines maliciosos, claro pero como dice el segundo de los seis principios de Kerckhoff respecto a los sistemas criptográficos, «La efectividad del sistema no debe depender de que su diseño permanezca en secreto».

Recomiendo de nuevo la lista de abogados que tengo fichados en Twitter paa seguir el tema.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Wicho — 31 de Julio de 2017

Todo empezó con este tuit de José Muelas el jueves 27 de julio de 2017 en el que avisaba públicamente de un posible fallo crítico de seguridad en LexNet –aunque lógicamente sin dar detalles– tras varios intentos infructuosos mediante comunicaciones privadas de que fuera corregido.

De Ingenio2010:

Lexnet es un sistema de gestión de notificaciones telemáticas entre los juzgados y los profesionales de la justicia (abogados y procuradores) usado en la Administración de Justicia española que sin embargo está gestionado por el Ministerio de Justicia (poder ejecutivo). Lexnet interopera con Minerva, Adriano (Andalucia) y Cicerone (Comunidad Valenciana). Su funcionamiento es similar a un sistema de correo webmail que permite, previa identificación con certificado y firma electrónica con una tarjeta criptográfica, enviar notificaciones a profesionales desde los juzgados y viceversa con efectos legales plenos.

El fallo era tan serio que dejó sin protección datos y documentos de los sumarios que se instruyen en toda España, pues el fallo permitía suplantar a cualquiera de sus 140.000 usuarios mediante un sencillo truco.

Como dice Matthew Bennett:

En ese sistema, si usted tiene algún pleito civil o demanda administrativo contencioso, o si está acusado o víctima de de algo a nivel penal, están sus datos: nombre, DNI, domicilio, cuentas bancarias, Seguridad Social, antecedentes penales, sociedades, y todo lo demás.

Tras el tuit en cuestión LexNet estuvo cerrado durante unas horas el mismo jueves, lo que según los responsables del sistema y del Ministerio de Justicia sirvió para corregir el fallo.

Pero el viernes 28 a las 16:30 volvió a ser cerrado, en principio para no ser abierto hasta el lunes 31 a las 8:00, aunque al final volvió a ser activado el domingo 30 por la tarde, con el objetivo de terminar de bloquear el agujero con un nuevo sistema de seguridad actualizado, lo que sugiere que el fallo era bastante más complicado de corregir.

Además, como los accesos realizados usando este truco no quedan registrados como accesos ilegales, nunca habrá forma de saber cuanta información se filtró mientras ese hueco de seguridad estuvo abierto y habrá que ver qué consecuencias tiene en cuanto a denuncias por violación de la LOPD y similares. Y no hay que olvidar que no sabemos desde cuando existe ese hueco de seguridad porque, entre otras cosas, el código fuente de LexNet no es público, con lo que no se puede estudiar para determinar esto.

De todas formas este clamoroso fallo no es más que la gota que ha colmado el vaso, porque en realidad hace tiempo que muchos abogados, entre ellos el mismo José Muelas, vienen protestando por los múltiples problemas técnicos, pero sobre todo conceptuales de este sistema, obligatorio en España desde el 1 de enero de 2016.

Como muestra, la anotación del propio José Muelas del 9 de enero de 2016 titulada LexNet: siete pecados capitales (el peor de ellos, que todo está en manos del Ministerio de Justicia, lo que se lleva por delante la separación de poderes), ésta de David Maeztu, Qué está mal con Lexnet y la separación de poderes, o la denuncia que hay en marcha contra el sistema, Lexnet: Así, no.

Es un tema que, lógicamente está dando mucho de qué hablar entre los abogados que tengo fichados en Twitter; habrá que ver cómo evoluciona.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 24 de Julio de 2017

Nathan Seidle construyó este robot abrecajas cuando su mujer le regaló una caja fuerte con cerradura de disco que estaba cerrada, “ella sabe que me encantan los desafíos, loz puzzles, las cerraduras y la robótica.”

Como Nathan no tenía los tres número de la combinación para abrirla construyó un dispositivo para dar con la combinación correcta entre un millón de combinaciones posibles. Para construir y programar el robot Nathan tuvo en cuenta una debilidad en la cerradura de la caja: el recorrido de la palanca varía su recorrido en una milésimas conforme se van seleccionando los números correctos.

Esto tiene que ver con la manera en que funciona la cerradura, diseñada para difucultar su apertura por el método de “ir probando” combinaciones. Pero el resultado de ese diseño es “uno de esos casos en los que al tratar de hacer que la caja sea más segura se consigue que la caja se vuelve más insegura”, explica. Eso sí, Nathan pudo dar con la vulnerabilidad porque disponía de una caja fuerte igual que le permitió explorar el mecanismo “desde dentro”.

Como sea, usando su mecanismo abrecajas Nathan tardó apenas 15 minutos es dar con la combinación de tres número que la abre limpiamente.

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 22 de Julio de 2017

Decoding Enigma RNN

Sam Greydanus, un físico que investiga sobre aprendizaje profundo (deep learning) y neurociencia explica cómo se puede crear una red neuronal recursiva (RNN) para descifrar mensajes cifrados por la famosa máquina Enigma que utilizaron los alemanes durante la Segunda Guerra Mundial.

Durante la Segunda Guerra Mundial el criptoanálisis de la máquina Enigma fue una auténtica proeza casi sobrehumana que requirió el trabajo de las mejores mentes de la época, como la de Alan Turing. Miles de matemáticos, criptólogos e ingenieros que resolvieron el problema y de paso crearon los que fueron los precursores de los ordenadores actuales. Todo ello está contado en Codebreakers: The Inside Story of Bletchley Park y muchos otros libros y películas. Es interesante que en el Siglo XXI esa tarea sea prácticamente un proyecto de «hacking casero» que se puede completar en un fin de semana, lo cual nos da una idea de cómo han avanzado los tiempos.

Con la llegada del aprendizaje automático todo esto está cambiando nuevamente. El criptoanálisis clásico resulta anacrónico; de hecho toda la complejidad de la máquina Enigma con sus rotores y claves secretas pasa a un segundo plano. Tal y como explica Greydanus en Decoding the Enigma with Recurrent Neural Networks simplemente se aplica la regla criptográfica de la «caja negra», según la cual da igual saber cómo funciona el algoritmo original si una simulación creada por el criptólogo puede obtener los mismos datos de salida para los mismos datos de entrada. En la práctica, de hecho, ni siquiera es necesario que esto funcione el 100% de las veces.

Para afinar el modelo primero se generaron textos de prueba con un simulador de Enigma para alimentar a la red neuronal recursiva con equivalencias del tipo texto cifrado de salida = f(texto de entrada). La RNN funcionaba sobre una GPU k40 y mostró resultados llegando hasta un millón de pasos con 3.000 unidades de LSTM («gran memoria de corto plazo»). El resultado fue que este modelo puede descifrar correctamente mensajes con un 96% de precisión. El código está en Github: crypto-rnn.

Lo relevante del asunto es que el modelo lo hace solo a partir de datos de entrada y de salida: no necesita saber cómo funciona la máquina internamente y –lo cual es también muy interesante– no hace falta que esos textos sean reales o tengan sentido. (Normalmente los criptógrafos buscan patrones y frecuencias en los textos originales para utilizarlos en el descifrado.) Vuelve a repetirse aquí esa idea de que las inteligencias artificiales se comportan como tales pero ni ellas ni muchas veces sus creadores sabemos muy bien qué están haciendo.

Tal y como añade al final, el Santo Grial de esta idea sería descifrar contenidos cifrados con el algoritmo RSA. La máquina Enigma es un buen reto, pero ya no se usa ni sirve para nada práctico. RSA en cambio sigue siendo el método por el que nos comunicamos por Internet de forma segura y también el que usamos para las transacciones y el comercio electrónico.

Por desgracia (o por suerte) el problema criptográfico del RSA es que emplea operaciones matemáticas diseñadas específicamente para ser difíciles de resolver, algo que probablemente queda fuera del alcance incluso de estas redes neuronales. En otras palabras: estaríamos pidiendo a la máquina que descubriera cómo factorizar números pseudoprimos sumamente grandes, algo que sabemos que es difícil y ha escapado del análisis de los matemáticos durante décadas.

Compartir en Flipboard  Compartir en Facebook  Tuitear