Qué ha pasado con el “hackeo” a la página web eu2010.es
A estas alturas del día seguramente ya has oído hablar de un “hackeo” a la página web de la presidencia española de la Unión Europea. Sobre esta noticia me gustaría apuntar las conclusiones a las que llego.
Un gran suspenso para el/los programadores que han escrito el archivo resultadoBusqueda.html que contenía un cross site scripting fácil de encontrar por herramientas open source como Nikto.
Otro suspenso para el responsable de seguridad que no ha debido auditar el código antes de ponerlo en producción.
Otro suspenso para el colectivo de periodistas que ha demostrado una falta de ética periodística al publicar informaciones sin contrastarlas. Explotar un XSS no es penetrar en un servidor y no tengo claro que se le pueda llamar hacker a alguien que construye un enlace que explota dicho XSS. Nadie ha podido acceder y modificar datos en los servidores que hospedan el sitio web (ver qué es un XSS o Cross Site Scripting). Más que a un hackeo se parece a crear una presentación en powerpoint y enviarla por correo a los amigos.
También fallan algunos medios al reflejar 11.9 millones de Euros como cantidad destinada íntegramente a presupuesto de seguridad para ese sitio web. Más bien parece ser el presupuesto de TI de la solución completa, o casi completa. No sé si cara o barata porque no se ha publicado el desglose de esa cantidad.
Un aviso para los propietarios de sitios web que no invierten en un servicio profesional de desarrollo y seguridad. En mi opinión ya no es aceptable que vulnerabilidades de ese tipo lleguen a un entorno de producción. En España trabajan profesionales del desarrollo y de la seguridad muy buenos, no hay nada que envidiar a otros países desarrollados.
Una llamada a la conciencia para los responsables de seguridad que se quedaron estancados en la seguridad perimetral. Tomen conciencia de lo que se puede hacer con un XSS + acortador de direcciones + twitter. Que no se haya accedido al servidor no significa que el “ataque” no haya existido ni tenido éxito. Se ha dañado seriamente la imagen del Gobierno y de Telefónica, concesionaria del contrato de TI. Y de rebote, por el aumento de tráfico, se está produciendo aún una denegación de servicio como un castillo.
Señores de las grandes empresas de servicios de TI, vayan preparando un servicio de auditoria de código que este mes se va a vender con mayor facilidad que ayer. Pero eso sí, piensen también en mejorar sus procedimientos de selección, la formación continuada a sus trabajadores y la motivación del personal que da valor a sus firmas.
El Gobierno español realiza contrataciones astronómicas de millones de euros para continuas aplicaciones informáticas nuevas, de perfeccionamiento de antiguas, etc… en todos los Ministerios. Creo que debería hacerse un estudio y control muy a fondo de este tipo de contratos y sus resultados. Podría detectarse mas de una sorpresa. La sociedad de la información exige adaptaciones ultrarápidas de nuevas implantaciones de todo tipo, pero la AUDITORIA y el CONTROL sobre los resultados, creo que se podría calificar de deficiente. Humilde opinión de una conocedora de la contratación informática española gubernamental. Excelentes profesionales y empresas contratadas pero ¿supervisadas 100%? Creo que no.
Lo peor de todo es que la web costó 11 millones de euros.
+info: http://www.ellibrogordodepetete.com/2010/01/presidencia-espanola-en-la-ue-algunas.html
@icisneros: La web no costó 11 millones de euros. Eso es lo que algunos medios con ánimo sensacionalista y “troll” han publicado.
11.9 M de Euros es el presupuesto que el Gobierno ha destinado a Servicio de asistencia técnica de la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página web para la Presidencia Española de la UE. Dado que no se ha facilitado el desglose más detallado de esa cantidad no se sabe a ciencia cierta cuanto se destina a ningún concepto. Lo peor de todo es que una web oficial presente fallos de libro como ese.
@Paz: No se sabe la causa pero está claro que una situación que se repite es la subsubcontratación de estos servicios. Tal vez Telefónica tenga todas las certificaciones del mundo para ganar concursos públicos pero probablemente en última instancia era otra la empresa que gestionaba todo esto.
En general me ha parecido buena la explicación.
La parte que más resaltaría es ésta:
“Una llamada a la conciencia para los responsables de seguridad que se quedaron estancados en la seguridad perimetral.”
Subestimar un fallo de validación en la entrada de cualquier aplicación es un poco cavarse la tumba. Por mucho firewall que exista y mucho sistema de alertas que generes. Hoy dia hay aplicaciones tan mal programadas que no son de la que nos toca hablar, que parece que hemos estado programando para salvar el culo y no por hacer las cosas bien. Hablo de ministerios e instituciones, empresas privadas con datos bastante gordos que simplemente no tienen lo que hablabamos al principio: un sistema que valide si una aplicacion se puede pasar a producccion. O quizá si lo tenga, pero no tiene los profesionales.
saludos.
FryGuy
Muy buen artículo. Muy bien sintetizado y pormenorizado.
Collejas deberían darles a los periodistas que no contrastan y a los programadores que no prueban, y también a las personas que les supervisan.