Mr. Bean nun sitiu web del gobiernu
Vimos la noticia de que la páxina web de la presidencia española de la UE foi atacáa pa que saliera una semeya de Mr. Bean.
Y esti ye un exemplu de mal periodismu. Ye mentira.
Primero: prestaríame saber cómo se xeneró la noticia. De ónde salió, y cómo se escribió.
Segundo: El Mundo saca una entrevista a un responsable que desplica lo que pasó. Ye un decir, porque pa la primera entruga que-y faen, que ye la que interesa, yo nun entiendo la contestación. Nun tien xacíu. Pa mí que el periodista nun entendió lo que-y decíen, y escribió un amagüestu con les pallabres que pilló.
Tercero: ye mentira que un pirata entrara nel sitiu web. Agora toos lo arreglen, y lo despliquen meyor o peor. ABC avérase un poco; nun ye desactamente una captura d'imaxe, ye o que llamen cross-scripting, pero bueno, paézse.
Total: un puntu fizo una tontada que permite ver una imaxen de la páxina con el Mr. Bean pintáu enriba, ensin falta de entrar de verdá a los ordenaores. Ye un trucu, y la páxina sí tenía un furaquín de seguridá que igual podía aprovechase pa dalgo más, pero nun ye lo que nos contaron al principiu.
Y esto foi noticia, ¿por qué?
4 comentarios:
No, no, no. Usted perdone, pero en esta, por poca simpatía que tenga hacia los periodistas, no les voy a echar toda la culpa.
Lo primero, no es mentira que un pirata entrara en el sitio web. La cosa es que tuvieron DOS problemas: la vulnerabilidad XSS, que ya de por sí es bastante grave: insertar una imagen es gracioso, insertar código arbitrario (como efectivamente se podía), no. El segundo problema fue un deface, y es que por poco tiempo, pero el suficiente, la página principal apuntó hacia la payasada de Mr. Bean.
Hay que tener POCA VERGÜENZA para encima negar la mayor y decir que aquí no ha pasado nada. Un XSS en una página de ese nivel es chungo, pero encima negar que te han chuleado A LO GRANDE, haciendo tal ridículo que hasta el Times se hace eco... Tiene cojones. Me da vergüenza como profesional.
La noticia es que una página que representa en la red la presidencia europea de España, y que -junto a los servicios de voz y comunicaciones- ha costado la friolera de CASI DOCE MILLONES DE EUROS para un proyecto de 6 MESES DE VIDA es un CMS retocado, con vulnerabilidades de seguridad _serias_.
No se si te haces a la idea de lo que son DOCE MILLONES de euros. Casi dos mil millones de pesetas. Leetelo otra vez y piénsalo. Y luego busca cual es el presupuesto para la concesión de servicios de voz y datos de la Universidad de Oviedo para los próximos años.
Si esto no es noticia, no sé qué puede serlo. Es el equivalente a los trajes de Camps, y a la gente se la suda... Es increíble.
Interesante, y se agradece. Y estaría encantado de rectificar, de verdad, pero...
...yo sí que les voy a echar toda la culpa a los periodistas; más todavía. Precisamente... por todo lo que dices tú :-)
Respecto al deface, no tengo absolutamente ninguna noticia. ¿Dónde puedo leerlo? Voy a buscar más ahora, pero no había visto nada, y de lo que he podido descifrar de la entrevista al responsable, entendí que este (no el periodista) negaba el deface explícitamente. Y la única prueba que vi, que es esa fotito que ponen todos, tiene un mensaje de error, por lo que me pareció que efectivamente era algún chamullín como el XSS o similar, no una entrada en el equipo.
Si te digo la verdad, lo que pensé al principio ante la noticia fue: "Estos han usado un CMS cutre, y la página de error ya viene de fábrica con Mr. Bean, y no es más que eso" (aunque no fuera poco). Era mucha coincidencia feliz respecto a Zapatero y tal, pero esas coincidencias existen.
Respecto a coger un CMS y cobrar doce millones de euros, podría considerarse un escándalo mayúsculo (no sé exactamente cuál es el alcance del contrato, pero creo que es algo más que esa página), y no es ni mucho menos el primero ni el más grave, y es tema para otro artículo. Pero creo que es de lo que viven empresas como Telefónica y otras "multinacionales de alta tecnología" del país. Al final, todos somos empresas superexitosas que queremos que el Estado no nos moleste, pero luego vivimos del dinero público. No obstante, si es un escándalo tan grande, tiene que ser posible criticarlo como adultos, sin necesidad de historias gilipollas de hackers que entran en ordenadores. (Insisto: sin tener en cuenta el deface). Así que en todo caso la noticia que han dado es una chorrada, y han dejado sin publicar lo relevante.
Opino como Mafias, lo escandaloso es que un sistema "profesional" y pagado por bueno tenga una vulnerabilidad de XSS. Aunque sea pequeña. Con ese presupuesto se da por supuesto que se comprueban estas cosas (lo cual es elemental en estos momentos, por otra parte).
Yo también opino como Mafias :-)
Pero si el problema es tan escandaloso, tiene que ser posible exponerlo diciendo la verdad.
Insisto: "un fulano entra en el Banco de España y cuelga una pancarta en la fachada" no es lo mismo que "un fulano saca una foto del Banco de España y hace un fotomontaje poniendo una pancarta en la fachada". A lo mejor debería haber vigilancia ante el Banco de España e impedir (es un decir) que la gente le haga fotos, y es justo indignarse si los vigilantes estaban jugando al mus; pero no vale que me digan que alguien entró al edificio si es mentira. Las consecuencias no son las mismas.
Todos sabemos que TODO sitio web tiene vulnerabilidades, inevitablemente (y quien diga lo contrario sabe poco de seguridad); la cuestión es ver dónde está el listón. Para mí, el XSS es una vulnerabilidad mala, pero menos mala que otras. No me parece correcto que se hable de ella como si fuera una de rango superior, si no lo ha sido (insisto, no he conseguido encontrar nada sobre un defacement real).
Publicar un comentario