Una temporada en el infierno

Juan Pedro Quiñonero

Zapatero contrata a Mister Bean

25 Comments

Me parece fantástica la idea de contratar a Mister Bean para presentar la web de la presidencia española, desde la Moncloa.

[ .. ]

http://www.eu2010.es/
Confieso mi admiración por los piratas capaces de realizar un trabajo de esa índole, con una limpieza aparentemente implacable, ofreciéndonos -¿durante cuantas horas?- la imagen más feliz que podía esperarse de la presidencia del gobierno, llamémoslo así.

Comments

  1. Security by Default EU2010.es: el FAIL es para…

    La función javascript document.write recibe como parámetro una cadena de texto, y esta es escrita en el documento actual. Pero no escrita directamente en el fichero, si no en el documento que estamos visualizando en el navegador, repito, EN EL NAVEGADOR. Como podéis deducir, la cadena de texto es un código HTML que importa una imagen, que recoge de la dirección web http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg.

    De Cross-Site Scripting y sus tipos (persistente y no persistente) os hemos hablado por aquí largo y tendido, e incluso, hemos practicado con ellos, teniendo corazonadas o estudiando audiencias web de los blogs, entre otros…

    Resumiendo: medios de (in)comunicación ->PAPELERA

    Tanto da la materia, los redactores de las noticias no tienen ni pajolera idea de casi nada, salvo de política, deporte y espectáculos.

    A los redactores jefe no les importa con tal de que el titular sea llamativo y atraiga tráfico para incrementar los impactos publicitarios.

    Excepciones haylas, pero cada vez menos.

    Responder

  3. Tú y otros tenéis disculpa, no así los redactores de las agencias y de quienes se dedican a copiar y pegar sin más.

    Dicho esto, conociendo el patio, era fácil colarla. Ahora bien, una vez que se sabe la verdad ¿anotarán explicándola? NO.

    Tanto da que sean medios con solera o nuevos, los redactores de los digitales no tienen conocimientos ni se plantean verificar. Tal vez porque no tengan tiempo, pues están siendo explotados.

    Antaño, en la Antigua NAUTOPÍA, idoru (David F. Madrid) descubrió unos cuantos XSS. También se detectaron agujeros de seguridad enormes en webs ministeriales, mas no se publicó, avisando a los responsables para que los subsanaran. Pero claro, para ello hay que tener una cierta ética, la hacker, tan desconocida por la inmensa mayoría de periodistas “profesionales”.

    Responder

  5. CINCODÍAS (Europa Press) Moncloa afirma que ningún intruso ha alterado el sitio web de la presidencia

    El Instituto Nacional de Tecnologías de la Comunicación (INTECO), adscrito al Ministerio de Industria, Turismo y Comercio, ha confirmado que “el supuesto ataque ha consistido en aprovechar una vulnerabilidad del código fuente denominada XSS (cross site scripting) dirigida a los usuarios de la web y no a la web en sí misma”.

    Según Inteco, “este tipo de ataques, para resultar efectivos, deben combinarse con alguna técnica adicional que engañe al usuario de la web para que pinche en un enlace modificado malintencionadamente, por ejemplo, con ingeniería social.

    La Secretaría de Estado de Comunicación asegura que la plataforma http://www.eu2010.es no ha sido alterada por ningún intruso ya que la imagen mostrada en el engaño ha sido cargada desde un servidor remoto y todo el supuesto ataque reside en la url usada (enlace creado malintencionadamente), y no es posible acceder a ella usando normalmente la web.

    Quiño, a la masa le importa un higo la seguridad y la privacidad informáticas, y cada año peor. Todavía menos se sienten motivados para aprender, así que me hastié de escribir manuales didácticos al respecto, llegando a la conclusión que tanto repito: quien no quiere aprender no aprende, no hay que darle más vueltas.

    Responder

  6. Oye, Maty, pues que quieres que te diga. A mi me parece que en esta entrada los comentarios son incluso mas valiosos que el texto inicial. Pero, vamos que yo no soy de la masa, sino mas bien del hombre de hierro. Sera por eso…

    Responder

  7. Jordi

    Siguiendo un enlace llego hasta un artículo en un digital de San Francisco a cuenta de un nuevo ebook.

    evalue [artículo en español] -> San Francisco Chronicle CES2010: Hearst’s Skiff Reader makes play for newspapers, magazines

    En Firefox y K-Meleon una extensión primordial es NoScript, que permite tener control sobre el peligroso -por potente- javascript que se ejecute en el navegador.

    Pues bien, me avisa de un posible intento de XSS desde dicha página, que espero sea erróneo, por culpa de la incompetencia del responsable del código de dicho digital.

    ¿Cuántos lectores de UTI utilizan dicha extensión en Firefox? Pues eso.

    Responder

  9. Hispasec El falso “hackeo” de la web de la presidencia española, XSS y lecciones para aprender

    realmente el sitio no ha sido vulnerado, en el sentido de que nadie ha tomado su control. En esta ocasión se volvió a cumplir aquello de “no dejar que la realidad estropee una buena noticia”.

    El problema radicaba en un cross-site scripting (XSS) que a través de una petición especialmente manipulada, había circulado en forma de URL por redes sociales, mensajería, etc. Alguien pulsó sobre el enlace del XSS y la noticia ya estaba creada

    está claro que la web no fue “hackeada”, pero está igual de claro que contenía un problema de seguridad en su buscador.

    Pues eso: que la realidad no estropee una buena noticia.

    Responder

  11. Maty,

    Me / nos abrumas con tus sabidurías pirateriles… creo que debo insistir: HARÍAS UN GRAN FAVOR A TODO EL MUNDO ESCRIBIENDO UN LIBRO DIVULGADOR SOBRE TODO ESE MUNDO… sin miedo a la divulgación para los más ignorantes, que es mi caso,

    Q.-

    Responder

  12. Marcelino Madrigal Remeros

    después de leerse los comentarios de la entrada sobre la Web de la UE, algunos tuiteos y correos, y seguir por la red el debate que ha habido. A la mitad de este país no le importa si la Web fue hackeada o no, si Mr Bean estuvo o no…

    Y los hechos, que no entienden de objetividad, asisten impávidos a este espectáculo patético. A nadie le importa los hechos, le importa que los demás crean que lo que él cree es lo que deben de creer los demás que sucedió. La información no es poder. La sugestión es poder, para ellos. Maquiavelo ha resucitado y tiene cuenta en Facebook, Twitter y Blog

    Responder

  13. Y continúa:

    Da lo mismo que desde la red tengamos oportunidad de difundir información alternativa, veraz cuando acusamos a los medios clásicos de ser serviles a intereses y sesgarla, rápida cuando mucho de lo que sucede tiene que pagar como peaje mucho tiempo para ver la luz, global cuando nuestro mensaje puede llegar hasta el último rincón del mundo. En cambio ofrecemos información al servicio de los mismos intereses de siempre, falsa porque no importa la verdad si no el objetivo a alcanzar, que normalmente es tumbar sea como sea a los de la otra hilera de remeros, y por supuesto sin contrastar, porque lo que importa es que quien da primero, da dos veces

    Responder

  14. Confirmado, hay mucho inútil a cargo del código en los digitales españoles, tal como vengo denunciando hace ¿años? por aquello de revisarlo para crear los filtros antipublicidad oportunos.

    Seguro que unos cuantos de ellos se han burlado del mismo fallo en la web zapateril, país.

    Security by Default Dónde está Wally?

    Finalmente, encontramos a Wally,… bueno, o al menos con una pequeña ayuda basada en el mismo tipo de fallo encontrado en la página web http://www.eu2010.es en unos cuantos sitios… que no sea porque no buscamos eh?

    ¿Estará por el sur? ¿Habrá pasado por el norte? Por Castilla tiene pinta de haberse dado una vuelta también…. y por Murcia, Extremadura, La Rioja, Cantabria,… madre mía, la verdad es que parece que o le han dado a Wally una subvención para hacer turismo, o simplemente es que en muchos periódicos lo conocen…

    En una bitácora/web particular es disculpable no así en las que detrás hay una empresa que paga al responsable(s).

    Responder

  15. Mientras tanto…

    Sergio Hernando Seguridad y periodismo

    Mientras en España multitud de pseudoperiodistas se dedican a hacer el canelo con el presunto hackeo de la web de la Presidencia Española de la Unión Europea, los que valen de verdad, los que se molestan en documentarse y ofrecer información relevante y lo que es más importante, los que hacen verdadero periodismo en el campo de la seguridad, parece que lentamente abandonan los medios para los que escribían. Es el caso de Brian Krebs, que recientemente ha anunciado que ha dejado de escribir para el Washington Post….

    -> http://www.krebsonsecurity.com/

    Responder

  19. jajaja, chicos os desviais del tema… aquí la cuestión no es si la página ha sido hackeada o no, lo importante es que en nuestro ordenador salía Mr. Bean, y eso a pesar de que la página no ha sido hackeada… de todas formas es igual de mediocre que se pudiera redireccionar o lo que cojones hayan hecho, para mí lo más absurdo de todo esto es que ahora resulte que los medios de comunicación no se hagan eco del no hackeo y nos den una lección de infromatica gratis… no me lo creo en un pais con unos medios de comunicación tan veraces, lo explicará Gabilondo, eso sí primero tiene que entender como funciona la tele, despues que es eso del mp3 y finalmente se atreverá con la internes.

    Responder

Responder a Jordi Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *