Mr Bean "ataca" a Zapatero

Buenas a todos/as


Antes de nada, comentaros que este es mi bautismo de fuego en esto de los blogs, y espero no seáis muy duros conmigo. El que me haya animado finalmente, venciendo mi proverbial timidez, a dejar mi modestísima opinión en este rinconcito de Internet, se debe principalmente a 2 razones:

1.- La insistencia del amigo Vicente en que escribamos algo en este fantástico blog.

2.- La noticia que ha sido publicada en diferentes medios sobre el “hackeo”/”ataque” a la página web de la presidencia europea.


Con los datos que a estas horas manejamos, parece ser que el ataque ha sido producido, aprovechando una vulnerabilidad XSS en la funcionalidad de búsquedas de la página web en cuestión. Digamos que es una vulnerabilidad que se ejecuta en el lado del cliente (navegador), y que en este caso no está afectando al servidor en sí. Es decir, no se ha modificado el contenido del servidor web, y la vulnerabilidad afecta a lo que ven los usuarios cuando acceden al servidor “cliqueando” un enlace especialmente modificado, para la ocasión. A este respecto, podéis consultar la entrada en SecurityByDefault, que lo podrán decir más alto, pero en ningún caso más claro.

Posteriormente, se publicaron actualizaciones a esta noticia en distintos medios, unos más afines que otros al gobierno, y que adjunto a continuación para su valoración:


El Mundo

El Pais

ABC


Visto lo visto, me vienen varias preguntas a la cabeza, que os expongo a continuación. Quizás algunas de estas tienen una fácil explicación, a las que yo no he sabido encontrar respuesta, por lo que os ruego, que si es así, no dudéis en comentar lo que consideréis oportuno:

- El alarmismo de la noticia inicial, ¿viene dada por simple desconocimiento de la materia, o por ganas de tocar los huevos al gobierno?

- Restar importancia a la noticia, ¿viene dado igualmente por desconocimiento, o por intereses oscuros?

- ¿No disponen los medios de comunicación anteriormente mencionados, de expertos en seguridad con los que contrastar la noticia antes de publicarla? Si es así, ¿los consultan? Y si es así, ¿tienen en cuenta lo que les responden?

- El proyecto de la web de la presidencia europea ha sido vendido a Telefónica por 11,9 millones de euros, que comprende asistencia técnica y seguridad a la web en cuestión. ¿Cuánto de este montante se habrá asignado a “seguridad”?

- Dentro del apartado de “seguridad”, ¿se habrán hecho auditorias de seguridad de la web en cuestión antes de hacerla pública?

- En caso afirmativo, ¿se habrá detectado la vulnerabilidad XSS? (me resisto a pensar que no….)

- Si se detectó, ¿por qué no se corrigió? ¿Por no afectar al servidor y solo al cliente? ¿Por falta de presupuesto? ¿Por urgencias en la puesta en marcha de la web?...

- ¿Como se debería catalogar este tipo de vulnerabilidades? ¿Riesgo bajo por no afectar al servidor? ¿Riesgo alto por provocar lo que ha provocado?

- ¿No habría valido la pena corregir esta vulnerabilidad y ahorrarse todas esta últimas noticias publicadas?

- ¿Cuánto tiempo se habría “perdido” en corregir la dichosa vulnerabilidad?

- ¿Se podría valorar de alguna manera el prestigio y reputación perdidas por las partes implicadas (Gobierno, Telefónica…)?

- ¿Servirá esto de ejemplo para concienciar a ciertas cabezas pensantes?...


Saludos a todos/as y feliz año



Comentarios