Este artículo se publicó por primera vez en SEGURIDAD ITK.

Última actualización antes de 1 año a través de Patrick Ruppelt

Tiempo de lectura: 6 minutos

El año pasado descubrimos que el Colegio Federal de Abogados (BRAK) persuadía a sus usuarios para que instalaran en sus ordenadores copias piratas ilegales del software Oracle Java. El BRAK lo ha admitido ahora en su último boletín. Ya era hora.

Las instrucciones facilitadas a los usuarios del "buzón electrónico especial del abogado" (beA) solicitaban la descarga e instalación del respectivo software JAVA actual de Oracle. Al BRAK no le interesaba en absoluto que este software fuera de pago, ni siquiera para cada abogado que lo instalara.

Por el contrario, BRAK hacía referencia a las disposiciones sobre licencias en su sitio web, aunque el BRAK no tenía ninguna licencia. El fabricante Oracle nos lo confirmó por escrito en su momento y se refirió al hecho de que el BRAK había citado el modelo de licencia equivocado como supuesta legitimidad de todos modos.1).

Dado que todos los abogados, bufetes y tribunales están legalmente obligados a utilizar el sistema beA, hemos calculado que, por tanto, es un Fraude de licencias por valor de unos 5 millones de USD anuales negociado2).

A esto hay que añadir la preocupación por la seguridad, debido a las demostrables El software del servidor no se actualiza desde hace meses en el Colegio Federal de Abogados. El software utilizado tenía innumerables vulnerabilidades de seguridad conocidas3).

Cuando se lo pedimos, el BRAK se mostró muy poco dispuesto a ayudarnos. No estaban agradecidos por la información.

Varios abogados de BRAK intentaron silenciarnosnegándolo todo en general, negándolo todo e intentando refugiarse en excusas cada vez más escandalosas.4).

A quienes deseen leer sobre los incidentes con más detalle, les recomiendo los siguientes artículos, que parecen casi divertidos en retrospectiva:

  1. ¿Los usuarios de beA tienen realmente licencias JAVA válidas? Experimento de reflexión sobre la correcta concesión de licencias de software Oracle JAVA por parte de abogados y bufetes de abogados5) a partir del 11 de agosto de 2019
  2. Carta abierta al Colegio Federal de Abogados (BRAK)6) a partir del 23 de septiembre de 2019
  3. BRAK renuncia a las actualizaciones de seguridad para beA7) a partir del 3 de octubre de 2019
  4. Confirmado oficialmente: los usuarios de beA necesitan una licencia JAVA de pago8)/ a partir del 9 de octubre de 2019

Con el cambio de operador de Atos al consorcio licitador Westernacher/rockenstein9) todo debería mejorar, como siempre.

Y, en efecto, al menos el problema de la licencia de Oracle Java ha quedado aparentemente "resuelto". Resuelto en la medida en que se ha suprimido este componente y ahora se utiliza una alternativa gratuita que viene con otras restricciones. Por ejemplo, ya no funciona en nuestros ordenadores Linux. Según las instrucciones, sólo es compatible con Windows 7, Windows 10 y Mac OS X 10. Nuestra prueba práctica confirma que no funciona mucho con Linux:

Fuente: Ventana de inicio de sesión del BNotK para la configuración del PIN de las tarjetas beA en Linux / Chrome (captura de pantalla creada el 22.2.2020 a las 11:14 a.m.)10)

Es agradable ver que sigue funcionando con Windows 7, que tiene diez años y ya no recibe ningún tipo de apoyo de Microsoft -completamente inseguro-, pero no en un PC Linux actual y seguro.

Bueno, como es bien sabido, el Colegio Federal de Abogados nunca ha pensado mucho en el software de seguridad actualizado, y como todavía hay al menos 33.000 PC con Windows 7 en la administración alemana11)así tenía que ser. La próxima Kammergericht-GAU12) está preprogramado.

Hoy en día también existe la encriptación de extremo a extremo de este sistema de mensajería supuestamente tan seguro. a el cambio de operador sigue sin13). Porque los expertos de los Colegios de Abogados y de los tribunales están de acuerdo en esto: No es necesaria una seguridad de última generación para el tráfico judicial (cf. AGH Berlín, sentencia de 14 de noviembre de 2019 - I AGH 6/1814).

Sea como fuere, para nuestro gran asombro, leímos una frase en el último boletín de BRAK que supusimos que simplemente se barrería bajo la mesa, como todo lo anterior:

El Colegio Federal de Notarios ha modificado recientemente el SAK. Antes era necesario instalar ORACLE Java por separado para poder utilizarlo. Esto ya no es necesario.

Fuente: Boletín beA Número 4/2020 v. 20.2.2020 15)énfasis añadido por nosotros

Detengámonos un momento. "Hasta ahora, era necesaria una instalación separada de ORACLE Java para poder utilizarlo", escribe BRAK.

Pero hasta ahora se nos ha asegurado una y otra vez, como un molino de oración, que es exactamente no ser necesario instalar este software facturable y para - cito - "que no supondría ningún coste separado del sistema beA y de la aplicación beA o de la seguridad del cliente (...)" (cf. correo electrónico de BRAK a mí de fecha 29.08.2019).

Esto es muy interesante en la medida en que supone un giro de 180 grados. Hasta ahora, el BRAK había hecho todo lo posible para garantizarme que todo estaba correctamente autorizado. Con este boletín, el BRAK admite ahora exactamente lo contrario. Hasta ahora, todos los usuarios de beA tenían que comprar una licencia de Oracle JAVA por cada ordenador en el que utilizaran beA. Lo que nos lleva a la suma del fraude de la licencia de unos 5 millones de dólares estadounidenses de la época. Qed.

Por cierto, el hecho de que el BRAK esté dejando obsoleto el software JAVA de Oracle no significa que ahora todo esté bien. De ninguna manera es así, porque este componente de software fue desarrollado por los usuarios o sus administradores. probablemente instalado en al menos 85.000 ordenadores, sigue funcionando allí felizmente y, por supuesto, sigue siendo de pagosin ninguna duda16) . Y eso hasta que se desinstale de nuevo. Mientras el usuario no se asegure de que Oracle JAVA es eliminado de su ordenador, seguirá utilizando copias piratas y así lleva haciéndolo desde principios de 2019. Sin embargo, el BRAK -quien hubiera esperado otra cosa- no dice ni una sola palabra al respecto.

Lista de fuentes

↑1https://www.itk-security.de/offener-brief-an-die-bundesrechtsanwaltskammer-brak-bea/
↑2https://www.itk-security.de/offiziell-bestaetigt-bea-anwender-benoetigen-kostenpflichtige-java-lizenz/
↑3https://www.itk-security.de/brak-verzichtet-bei-bea-auf-sicherheitsupdates/
↑4https://www.itk-security.de/haben-bea-nutzer-eigentlich-gueltige-java-lizenzen/
↑5https://www.itk-security.de/haben-bea-nutzer-eigentlich-gueltige-java-lizenzen/
↑6https://www.itk-security.de/offener-brief-an-die-bundesrechtsanwaltskammer-brak-bea/
↑7https://www.itk-security.de/brak-verzichtet-bei-bea-auf-sicherheitsupdates/
↑8https://www.itk-security.de/offiziell-bestaetigt-bea-anwender-benoetigen-kostenpflichtige-java-lizenz/
↑9https://www.lto.de/recht/juristen/b/bea-vergabeverfahren-neuer-dienstleister-westernacher-rockstein-folgt-atos/
↑10https://secure.bnotk.de/idp/Authn/Smartcard/
↑11https://www.handelsblatt.com/politik/deutschland/windows-7-bundesregierung-zahlt-fast-eine-million-euro-fuer-veraltetes-microsoft-betriebssystem/25452158.html?ticket=ST-7494672-79NK0UVPqdwhvPmgZf2K-ap1
↑12https://www.itk-security.de/wort-zum-sonntag-berliner-kammergericht-von-altbekanntem-virus-bis-naechstes-jahr-lahm-gelegt/
↑13https://anwaltsblatt.anwaltverein.de/de/news/agh-berlin-bea-ist-sicher-keine-ende-zu-fin-verschluesselung-noetig
↑14https://anwaltsblatt.anwaltverein.de/files/anwaltsblatt.de/anwaltsblatt-online/2020-003.pdf
↑15https://mailcluster.wegewerk.com/mailing/36/2620027/7696415/3951/c90ce8ac25/index.html
↑16https://shop.oracle.com/apex/f?p=DSTORE:PRODUCT:::NO:RP,6:P6_LPI,P6_PROD_HIER_ID:132208699270491131625576,123775488249871532594385