Reflexiones para experimentar

de Josep Pocalles

Bloggers : Información u Opinión ?

leave a comment »

Vaya fiasco la que se ha montado con el hoax reenviado por bloggers de reconocido prestigio : LoogicRodolfo Carpintier ,

A estas horas ya todo el mundo debe saber lo ocurrido durante el día de ayer con la web de la Presidencia española de la Unión Europea (www.eu2010.es). De este “supuesto ataque” se pueden sacar conclusiones y tratar de aprender algo , tal como apuntan en Hispasec :

Durante el día de ayer saltó a los medios más generalistas la noticia de que un “hacker” (no se podía emplear otro término) había entrado en la recién inaugurada web de la Presidencia española de la Unión Europea (www.eu2010.es) y había incrustado en ella una imagen del conocido humorista británico Rowan Atkinson en su papel de Mr. Bean.

La noticia está causando un gran revuelo, incluso más después de conocer el dato de que el proyecto había costado más de 11 millones de euros, si bien este presupuesto no solo cubre el alojamiento, desarrollo y seguridad del sitio. También se incluyen otros asuntos relacionados con la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos y servicios de videostreaming de los centros de
prensa que se habilitarán en las cumbres internacionales.

Pero realmente el sitio no ha sido vulnerado, en el sentido de que nadie  ha tomado su control. En esta ocasión se volvió a cumplir aquello de “no dejar que la realidad estropee una buena noticia”. El problema radicaba
en un cross-site scripting (XSS)  que a través de una petición especialmente manipulada, había circulado en forma de URL por redes sociales, mensajería, etc. Alguien pulsó sobre el enlace del XSS y la noticia ya estaba creada.

La petición real que circuló tenía la forma:
http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

Se trata de un XSS tradicional no persistente. Es decir, si no se accede a través de ese enlace, en realidad no se puede ver ningún ataque. No deja de ser un problema de seguridad en el desarrollo de la web, pero no tiene nada que ver con el hecho de que alguien entre y tome el control de unos servidores.

En el blog Security By Default, lo han explicado de una forma muy instructiva en:
http://www.securitybydefault.com/2010/01/eu2010es-el-fail-es-para.html

Por otra parte, tampoco se puede considerar totalmente correcta la explicación dada por el gobierno español para negar el supuesto “hackeo”:

“El supuesto ataque -señala Moncloa en un comunicado- ha consistido en que se ha empleado una captura de una página de búsqueda del sitio para hacer un fotomontaje al que se ha asignado una dirección (url o enlace) que luego se ha distribuido en Internet, a través de redes sociales y blogs”.

En un fallido intento de restar importancia al asunto, se ha usado la palabra “fotomontaje”, pero la verdad es que la imagen capturada y el fallo de seguridad eran reales, no producto del “PhotoShop”. La explicación certera hubiese sido que la imagen de Mr. Bean, debido a un problema de seguridad, se mostraba “interpretada en” la página, pero no
“desde” ella. No hubiese estado de más aclarar que mostrar una imagen es el menos grave los daños que se podrían haber causado. En cualquiera de los casos, el daño a la reputación está hecho, y es quizás el problema más serio a los que se enfrentan los responsables de la página en estos momentos.

Pero los bloggers también tienen su parte de culpa, y es de difundir una información sin validarla, trabajo propio de los periodistas.  Algo que aprender , es usar a los blogers como fuente de conocimiento, inspiración, experiencias   opiniones, pero evitar usarlo como fuentes de noticias .

Enlaces relacionados :

Comunicado sobre el supuesto ataque a la web de la Presidencia española de la UE
http://www.la-moncloa.es/ActualidadHome/2009-2/040110UE.htm

EU2010.es: el FAIL es para…
http://www.securitybydefault.com/2010/01/eu2010es-el-fail-es-para.html

Qué ha pasado con el “hackeo” a la página web eu2010.es
http://juanma.wordpress.com/2010/01/04/que-ha-pasado-con-el-hackeo-a-la-pagina-web-eu2010-es/

Mr. Bean ‘se cuela’ en la web oficial de la presidencia española
http://www.elmundo.es/elmundo/2010/01/04/union_europea/1262610678.html

Mr. Bean en la Moncloa: un engaño y no un ataque de hacker
http://www.que.es/tecnologia/noticias-friki/201001042110-bean-moncloa-engano-ataque-hacker.html

Written by jpocalles

enero 5, 2010 a 4:42 pm

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: