1 – El 28 de Diciembre Intereconomía publica un artículo “La Presidencia española de la UE cuesta medio millón de euros al día” donde se compara el gasto que hará este gobierno con el de Aznar. En él se habla de 90 Millones de Euros en total
2 – El Mundo habla el día 3 de Enero de contratos adjudicados por 23 millones de Euros. Entre ellos se hace mención a 11,9 Millones de Euros adjudicados a Telefónica “por prestar asistencia técnica y seguridad a la web de la presidencia española”
3 – Un montón de twitters recogen la historia de los 11,9 Millones de Euros
4 – En menéame se publica la noticia de un fallo de la web que permite explotar vulnerabilidades XSS ese mismo día 3 de Enero. Por supuesto esto no quiere decir que menéame sea responsable de nada, aclaro, pero la información que posteriormente han seguido los medios muy probablemente tenga este origen. Si alguien conoce algún sitio donde se publicara anteriormente ruego me lo comunique para modificar este punto. En todo caso creo que habla muy bien de menéame como una fuente para los medios. Lo que hagan después los medios si no contrastan lo que leen en la red no es responsabilidad de menéame.
5 - El enlace publicado en menéame muestra un ejemplo de dichas vulnerabilidades, que sustituye el vídeo institucional de la web por una imagen de Mr.Bean, alojado en un blog, en concreto en este, y que es el segundo resultado de Google al buscar “Mr. Bean” en sus imágenes (el primero no servía, al parecer).
El script en concreto es este:
“http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en”
5- Un montón de prensa y televisión anuncian que la Web de la presidencia española en la UE ha sido hackeada
Y ahora algunos datos
1 – La partida de 11,9 Millones de Euros para “prestar asistencia técnica y seguridad a la web de la presidencia española”” no es tal, en realidad la partida contempla, tal como se puede ver el documento de adjudicación “contrato de Servicio de asistencia técnica de la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página web para la Presidencia Española de la UE”. Traducido contempla, tal como alguien comenta en la misma menéame : “En realidad la noticia es errónea, por montar y administrar toda la plataforma de hosting se les cobra algo menos de 400k (y esto incluye, entre otros, alojamiento, hw y sw, monitorización, backup, un almacenamiento SAN de la leche y la parte de seguridad y hacking ético de la plataforma) Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela. Además incluye unos SLAs que meten miedo, y eso también se paga.
De los 9 millones de la oferta (sin IVA) la inmensa mayoría van a parar a dar soporte a las 31 cumbres que se tienen preparadas, y eso no tiene nada que ver con la página web. Se incluye entre otras cosas soporte logístico (hay más de 3,5 millones en logística), soporte microinformático, de redes LAN y WIFI, seguridad perimetral y acreditaciones, etc. Los equipos serán propiedad del gobierno al acabar el proyecto, cosa que también hay que tener en cuenta”
2 – La cifra de adjudicación son 9 Millones de Euros. La cifra que se maneja de 11,9 es con impuestos, que por supuesto se reintegra el gobierno, es decir casi 3 Millones de Euros, y ya ven que no es por la seguridad de la web, como he comentado en el anterior punto.
3 – La página Web no ha sido Hackeada, como afirman los medios, porque no ha sido modificada en su origen. Para entender esto y no enrollarme técnicamente les diré que una vulnerabilidad XSS tiene como objeto siempre el usuario del servicio y no el servidor donde se explota. Es decir, en cristiano, el Script o enlace que alguien ha pasado en ningún momento ha modificado la web, si no la visión del usuario que pulsa el enlace, a través de su navegador (siempre que tuviera activado algunas características). Cualquier persona que accediera a la Web a través de su enlace normal, y no el que se publicó vería la web en su aspecto normal, por tanto no hay tal hackeo.
Dicho de otra manera si alguien pulsó el enlace :
“http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en”, se hubiera encontrado a Mr Bean que está en el blog del amigo Tom Keating ,
si alguien hubiera pulsado el enlace http://www.eu2010.es/ no habría visto a Mr. Bean.
4 – Por cierto, esto al autor del blog no le habrá hecho mucha gracia y es una práctica que reprueba cualquier bloguer, porque cada vez que alguien visualizó a Mr Bean estaba consumiendo los recursos y ancho de banda del Sr Keating, y se llama Hotlinking o Inline Linking.
5 – La vulnerabilidad existe, como en muchísimas webs, y debe ser corregida (si no se ha hecho ya). Pero insisto en que ningún caso se puede afirmar que nadie “hackeo la web”, al menos en mi opinión, sino más bien que si alguien “hackeo” algo fue los navegadores de la gente que pulsó el enlace para ofrecer la imagen que no existía, no estaba alojada en la web y en ningún caso pertenecía a nada que estuviera en la infraestructura de la web de Presidencia.
6 – Existe un código entre los técnicos que hace que cuando alguien descubre una vulnerabilidad primero lo comunica a los administradores del sistema para que sea corregida, y luego lo publica. Eso si uno es un buen profesional, o una buena persona y no actúa de mala fe. Obviamente a pesar de ser tan expertos en la red, y tan profesionales, no se hizo. ¿Las razones? Creo que con las simpatías que causan los últimos sucesos de la red (leáse las descargas y demás), el ambiente generado contra el gobierno por este motivo desde focos muy claros de los internautas y estando de por medio Telefónica, uno puede saber perfectamente las razones de porque se hizo así.
7 – Es muy triste que los medios no contrasten la información que ofrecen. Que utilicen imágenes que no han capturado ellos mismos, ni han contrastado (con que hubieran accedido a la web por su enlace normal hubieran visto que no estaba modificada). Que no se documenten ni se informen de lo que realmente ha sucedido y basen sus afirmaciones a unas capturas en una red social. Triste y dice mucho sobre el nivel del periodismo actual.
8 – Más triste es que existiendo tantos “expertos” en la red nadie, salvo honrosas excepciones, explique todo esto, que finalmente quedará como una mancha en la capacidad de una empresa española que seguramente no merece, y en la de los técnicos e informáticos españoles. Buena imagen hemos dado. Para más coña el sistema elegido para confeccionar la web de la presidencia es Open Source, y muchos de quienes han azuzado esta polémica son defensores de este tipo de soluciones. Les invito a ver que impresión han dado de las soluciones que recomiendan.
Saludos