Portada
mis comunidades
otras secciones
#9:
Aquí se ha dicho lo mismo:
mr-bean-cuela-web-oficial-presidencia-espanola/00072
mr-bean-cuela-web-oficial-presidencia-espanola/00071
mr-bean-cuela-web-oficial-presidencia-espanola/00065
Y es cierto, reto a cualquiera a entrar en la web sin enlaces chusqueros pasados por alguien y encontrar a mister Bean. No está y nunca estuvo.
la página no ha sido alterada por ningún intruso, ya que la imagen mostrada en el engaño ha sido cargada desde un servidor remoto y no es posible acceder a ella usando normalmente la web.
#6 Esos expertos afirman que entrando en la web podías ver a Ms Bean diciendo "hi there", cuando eso no sucedió en ningún momento. Para ver eso tenías que pinchar expresamente en los enlaces que estuvieron circulando, modificados para que remitiesen a un blog o a otra cosa, y son dos enlaces diferentes en los que pasaba o una cosa o la otra y no ambas a la vez como dicen.
mr-bean-cuela-web-oficial-presidencia-espanola/00072
Publicado hace 14 años por
komitas
a
elmundo.es
mr-bean-cuela-web-oficial-presidencia-espanola/00071
mr-bean-cuela-web-oficial-presidencia-espanola/00065
Y es cierto, reto a cualquiera a entrar en la web sin enlaces chusqueros pasados por alguien y encontrar a mister Bean. No está y nunca estuvo.
la página no ha sido alterada por ningún intruso, ya que la imagen mostrada en el engaño ha sido cargada desde un servidor remoto y no es posible acceder a ella usando normalmente la web.
#6 Esos expertos afirman que entrando en la web podías ver a Ms Bean diciendo "hi there", cuando eso no sucedió en ningún momento. Para ver eso tenías que pinchar expresamente en los enlaces que estuvieron circulando, modificados para que remitiesen a un blog o a otra cosa, y son dos enlaces diferentes en los que pasaba o una cosa o la otra y no ambas a la vez como dicen.
#12:
#9 Aquí el problema ha sido la prensa. Es evidente que El Mundo o la agencia de noticias de la que se nutre, ha pinchado el enlace manipulado que un usuario de meneame había publicado a modo de broma, vacile, o ganas de dar por culo, como se quiera ver, pero en cualquier caso de una forma bastante inocente, y demasiado evidente también. Además la noticia no llegó lejos, ya que se consideraba microblogging y los usuarios se enzarzaron en una discusión de qué es microblogging, sin prestar mucha atención al contenido.
Lo gracioso del caso es que los medios usan el enlace, y dan por válida la información que aparece en pantalla. Para ellos, eso es lo que aparece en la web, por tanto ha sido atacada y la seguridad por la que se ha pagado una pasta es totalmente inútil. Ya está preparada (¿fabricada?) la noticia, así que la lanzan. Esto genera un aluvión de visitas que hace caer el servidor.
Total, que lo que era un vacile en meneame, se convierte de repente en una noticia (falsa) de alcance mundial que genera que la web por la que hemos pagado una pasta esté fuera de servicio durante horas. ¿Y gracias a quién?. A la prensa.
Joder!! que se veía a la legua, que no es ingeniería social, que no es más que la más absoluta de las ignorancias (o intereses oscuros) en medios informativos que por volumen de audiencia recae una responsabilidad social que ha estado muy por debajo de lo mínimo esperable.
Lo gracioso del caso es que los medios usan el enlace, y dan por válida la información que aparece en pantalla. Para ellos, eso es lo que aparece en la web, por tanto ha sido atacada y la seguridad por la que se ha pagado una pasta es totalmente inútil. Ya está preparada (¿fabricada?) la noticia, así que la lanzan. Esto genera un aluvión de visitas que hace caer el servidor.
Total, que lo que era un vacile en meneame, se convierte de repente en una noticia (falsa) de alcance mundial que genera que la web por la que hemos pagado una pasta esté fuera de servicio durante horas. ¿Y gracias a quién?. A la prensa.
Joder!! que se veía a la legua, que no es ingeniería social, que no es más que la más absoluta de las ignorancias (o intereses oscuros) en medios informativos que por volumen de audiencia recae una responsabilidad social que ha estado muy por debajo de lo mínimo esperable.
#31:
#12 No estoy de acuerdo con tu comentario para nada en absoluto. Das a entender que la culpa de que esa web esté caída es de los medios de información por dar una noticia falsa. Mira, independientemente de los motivos particulares que tenga cada uno para entrar en esa web, el hecho es que está para ser vista. A mí me da lo mismo que 100.000 personas hayan querido entrar a leer el programa de la Presidencia europea o a ver una foto de Mr.Bean. El hecho de que se haya caído ante un aluvión de visitas demuestra el fracaso de esa web y la estafa de 12M de euros que nos han soplado a todos, máxime cuando se trata de una web oficial de la Administración a la que se supone deben tener acceso millones de personas, puesto que se trata de un servicio público. Servidores de correo y redes sociales (no hace falta que dé nombres) dan servicios mucho más avanzados que los de esa web a cientos de miles de personas simultáneamente y no se cuelgan. Vamos, que es una vergüenza y una estafa, lo mires por donde lo mires.
Y os pongáis como os pongáis, SÍ, el cross-site scripting es uno de los fallos de seguridad más importantes que puede tener una página o aplicación web. Y por 12 millones de eurazos CREO que podrían haberlo tenido en cuenta.
Hasta los webs de ver a nuestros politicuchos gastarse aberraciones de dinero en basura contratada a dedo a sus putas empresas. Hasta los puñeteros coj***s ya.
Y os pongáis como os pongáis, SÍ, el cross-site scripting es uno de los fallos de seguridad más importantes que puede tener una página o aplicación web. Y por 12 millones de eurazos CREO que podrían haberlo tenido en cuenta.
Hasta los webs de ver a nuestros politicuchos gastarse aberraciones de dinero en basura contratada a dedo a sus putas empresas. Hasta los puñeteros coj***s ya.
#17:
Parece que la consigna ahora es recuperar el honor entre las filas del psoe...
9 millones de euros = el presupuesto *de medio año* de la wikipedia
Después de lo que ha pasado deberíais guardar el ego de partido en una cajita,respetar mas a los votantes y a los ciudadanos, y exigir un servicio impecable al proveedor o la rescisión del contrato...
Lástima que la noticia real no haya sido "Telefónica estafa 9 millones de euros al estado español", pero ya veo que al final sólo os importa ganar o perder.
bienvenidos a la karmaeconomía
http://news.google.es/news?q=mr%20bean%20eu2010
9 millones de euros = el presupuesto *de medio año* de la wikipedia
Después de lo que ha pasado deberíais guardar el ego de partido en una cajita,respetar mas a los votantes y a los ciudadanos, y exigir un servicio impecable al proveedor o la rescisión del contrato...
Lástima que la noticia real no haya sido "Telefónica estafa 9 millones de euros al estado español", pero ya veo que al final sólo os importa ganar o perder.
bienvenidos a la karmaeconomía
http://news.google.es/news?q=mr%20bean%20eu2010
#62:
Creedme... si que ha sido XSS
http://www.eu2010.es/es/resultadoBusqueda.html?query=%22%3C%25script%25%3E%3Cimg%20src=http://n.mnmstatic.net/img/mnm/eli200912.png%3E&index=buscadorGeneral_es&field=title&field=keywords&field=description&matchesPerPage=8&searchPage1=searchPage&field=content
Premio.
Por otro lado... el xss es peligroso? SI
Es tan peligroso como una ejecución remota? NO
Es explotable? con un poco de ingenieria social SI
http://www.eu2010.es/es/resultadoBusqueda.html?query=%22%3C%25script%25%3E%3Cimg%20src=http://n.mnmstatic.net/img/mnm/eli200912.png%3E&index=buscadorGeneral_es&field=title&field=keywords&field=description&matchesPerPage=8&searchPage1=searchPage&field=content
Premio.
Por otro lado... el xss es peligroso? SI
Es tan peligroso como una ejecución remota? NO
Es explotable? con un poco de ingenieria social SI
#13:
El lado bueno es que gracias al supuesto fake, se ha resaltado el hecho de pagar, o regalar, 12 millones por una web y su seguridad.
#16:
Sobre los 11,9 millones por la web (que no son tales, ni mucho menos), qué fue exactamente lo que se hackeó o no hackeó (todo se trataba de un enlace a un script modificado que hace que se viera la imagen sin estar alojada realmente en la web) y sobre lo que ha pasado en la prensa, tenéis los datos detallados y muy bien explicados aquí:
Algunos datos sobre el presunto hackeo de la web de presidencia de la UE
Algunos datos sobre el presunto hackeo de la web de presidencia de la UE
#18:
un esquema de la arquitectura de wikipedia:
http://upload.wikimedia.org/wikipedia/commons/4/4f/Wikimedia-servers-2009-04-05.svg
para que veáis lo que da de si el dinero cuando hay voluntad de hacer proyectos serios.
http://upload.wikimedia.org/wikipedia/commons/4/4f/Wikimedia-servers-2009-04-05.svg
para que veáis lo que da de si el dinero cuando hay voluntad de hacer proyectos serios.
#21:
Ya, dales un poco de tiempo, total, dejar el panel frontal de administracion del sitio disponible en internet, y que la pagina tenga xss y un probable sql injection no es importante.... lo que hay que oir.
Comentarios
Parece que la consigna ahora es recuperar el honor entre las filas del psoe...
9 millones de euros = el presupuesto *de medio año* de la wikipedia
Después de lo que ha pasado deberíais guardar el ego de partido en una cajita,respetar mas a los votantes y a los ciudadanos, y exigir un servicio impecable al proveedor o la rescisión del contrato...
Lástima que la noticia real no haya sido "Telefónica estafa 9 millones de euros al estado español", pero ya veo que al final sólo os importa ganar o perder.
bienvenidos a la karmaeconomía
http://news.google.es/news?q=mr%20bean%20eu2010
El lado bueno es que gracias al supuesto fake, se ha resaltado el hecho de pagar, o regalar, 12 millones por una web y su seguridad.
#13 Personalmente también me parece mucha pasta, pero si se pagan 12 kilos en un concurso público es porque lo vale, y si hubiese otro concursante dispuesto a dar todo lo que se solicita por 11,9 millones, se lo habría llevado. Nos puede asustar el precio, pero nadie ha dicho hasta ahora que hubiese una oferta mejor que se haya descartado para dar el contrato a Telefónica. Eso si que sería objeto de escándalo.
#14, yo no sé estos, pero como tú dices, los concursos públicos a los que yo he tenido que presentarme en mi ámbito profesional son bastante estrictos y se los lleva el mejor postor, y en algunos no te puedes presentar porque lo que te piden en comparación con el dinero que ofrecen a veces es desorbitante, tipo perfil de puesto de trabajo con 10 idiomas, tres carreras y 8 másters.
#14, 12 millones de euros son aprox. 2.000 millones de pesetas. Yo, entre caidas y descaidas, ya he conseguido darme una vuelta por la web y en fin...eso de que si lo pagan es porque lo vale dejemoslo para cuando seamos un país serio.
Por cierto, el concurso público (negociado sin publicidad y sin aparentemente otras ofertas) dice lo que dice. Los que hablan de rigurosidad mientras se apoyan en un comentario para decir que lo de la web son sólo 400k, a ver si aportan algo más (documento oficial, enlace, etc.) que un mero comentario.
Sobre los 11,9 millones por la web (que no son tales, ni mucho menos), qué fue exactamente lo que se hackeó o no hackeó (todo se trataba de un enlace a un script modificado que hace que se viera la imagen sin estar alojada realmente en la web) y sobre lo que ha pasado en la prensa, tenéis los datos detallados y muy bien explicados aquí:
Algunos datos sobre el presunto hackeo de la web de presidencia de la UE
Algunos datos sobre el presunto hackeo de la web d...
mmadrigal.comMentira! yo lo vi! como vi a Ricky Martin y a la nocilla!
#22 era mermelada.
un esquema de la arquitectura de wikipedia:
http://upload.wikimedia.org/wikipedia/commons/4/4f/Wikimedia-servers-2009-04-05.svg
para que veáis lo que da de si el dinero cuando hay voluntad de hacer proyectos serios.
Ya, dales un poco de tiempo, total, dejar el panel frontal de administracion del sitio disponible en internet, y que la pagina tenga xss y un probable sql injection no es importante.... lo que hay que oir.
También negaron la crisis...
#20 Churras Merinas
Crisis Mr Bean
Creedme... si que ha sido XSS
http://www.eu2010.es/es/resultadoBusqueda.html?query=%22%3C%25script%25%3E%3Cimg%20src=http://n.mnmstatic.net/img/mnm/eli200912.png%3E&index=buscadorGeneral_es&field=title&field=keywords&field=description&matchesPerPage=8&searchPage1=searchPage&field=content
Premio.
Por otro lado... el xss es peligroso? SI
Es tan peligroso como una ejecución remota? NO
Es explotable? con un poco de ingenieria social SI
#62 y si ya hubiese cookies en la página sería la leche ¿no crees? pero como no los hay...
#64 y #61 Verdad que no? no hay administración ... con lo cual no hay login.... (como han dicho arriba) COF http://www.eu2010.es/system/login COF
#66 Sigo considerando que hacer llegar un enlace malicioso al administrador y conseguir que primero se loguee en el sistema (que pocas veces se logeará en una web como esta) y despues haga click en el enlace que le envías (y además no note nada raro), tiene el mérito como ingeniería social equivalente a conseguir engañarle para que te envíe el numero de su visa junto al numero de validación.
Además insisto en que este tipo de XSS no funcionan con internet explorer 8, por ejemplo.
Que sí, es una vulnerabilidad, pero decir "Un fallo que cualquier desarrollador debería haber sabido evitar" es decir mucho... Yo he dejado pasar cosas así por ir justos en la entrega de proyecto, y no quiere decir que no conozca el fallo... pero la criticidad es minima.
Que quede claro también que no niego la vulnerabilidad, y que debe corregirse ya que se ha hecho "tan" publica... pero joer, que no es tan crítica, enseguida sacamos el dinero que ha costado a relucir...
#69 Estamos de acuerdo, tiene poca explotabilidad, pero primero. Estamos hablando de un entorno de programación profesional. Que es lo primero que mirarías en una página web como auditor de seguridad?
Yo personalmente al ver la home con un cuadro de texto se me va la cabeza inmediatamente a sql injection y xss. Es de manual.
NO estamos hablando de un proyecto hecho con cuatro perras o por un becario, lo grave aquí es el poco decoro de no haber realizado una auditoria de seguridad en condiciones. Son 11.9 millones de euros, con eso pagas estudios muy pormenorizados y auditorias de código muy serias.
#72 No pretendo jugar al abogado del diablo, coincido en que está mal y punto.
Si fuese un fallo que permitiese cargarse la web, obtener datos sensibles o perjudicar a alguien, me echaría las manos a la cabeza... pero siendo un error así puedo llegar a pensar que han dejado el "arreglo" para más adelante.
Te estoy hablando de como podría haberse producido este fallo... de una hipotesis en la que cabría un poco de comprensión: fechas ajustadas.
Ante esto.. puedes contratar al mejor experto, que si le dices que tiene que estar para ayer, algo dejará sin hacer(conscientemente si es un buen experto, o inconscientemente si no tiene ni idea).
Te lo digo porque a mí me ha pasado... se lo comentas al cliente, le comentas la criticidad, y al ser baja, pues lo mismo pasa.
#72 te equivocas ... está hecha así:
Telefónica -> Informatica El Corte Ingles -> 1 Persona
#74 tienes alguna fuente de lo que afirmas? Tristemente podría ser verdad, pero no lo sabemos.
#62 es la demostración que aun sigue siendo vulnerable a XSS.
En fin, yo encontré también un XSS en una pagina del ayuntamiento de mi ciudad, contacte con el departamento de informática, les mande una prueba de concepto y al rato lo solucionaron dándome las gracias.
Mi prueba de concepto era algo así como.
"Si quieren pagar los impuestos del IBI pinche aquí" con enlace a google pa no ser muy malo.
Eso si la web no vale 12 millones y los que la administran son unos curritos.
El Mundo rechaza el desmentido: asegura que sus fuentes le dicen que sí hubo ataque.
http://www.elmundo.es/elmundo/2010/01/04/union_europea/1262634659.html
Recuerdo que hace un par de horas entré por curiosidad y me aparecía la pantalla de logueo del OpenCMS.No se si eso significa algo.
Buenas,
una vez mas el gobierno mintiendo.Como bien han dicho no acceden al servidor pero hay una vulnerabilidad XSS la cual explotan y dañan la imagen de nuestro país y de Telefónica como empresa. En la siguiente web de seguridad informática lo explican bastante bien:
http://www.hispasec.com/unaaldia/4090
Saludos
Le he preguntado al webmaster de mi empresa. Me dice que tenemos una empresa que nos verifica constantemente la seguridad exterior y que ese bug, se corrigió hace años, recién salido el mismo. El coste es de 6000€/año con recomendaciones semanales o diarias si se descubre algo potencialmente peligroso. Nos vamos a cambiar a otra más barata que además nos hace auditorías periódicas en la red interna. (con sus correspondientes recomendaciones de seguridad). Por 4500€/año, se puede estar tranquilo.
No digo mas que esto:
http://www.eu2010.es/system/login
Montaos vuestra página web de 12 millones:
http://www.opencms.org/en/index.html
Yo ya lo probé en un servidor personal y la clavé casi por completo.
Joder menuda estafa esta.
http://tinyurl.com/yghr9f5
#53 premio para el caballero...
#54 está funcionando ahora mismo...
#53 tremendo!
Por cierto, qué narices es eso de "trio.es" que aparece en el banner superior, si tanto www.trio.es como www.trío.es son farm links?
#53 joder te me has avanzado, no lo vi porque era tinyurl
"Un fallo que cualquier desarrollador debería haber sabido evitar"
TOMA YA!
Me gustaría saber donde se puede contactar con esta tía., porque la web de la policía nacional tiene un fallo que permite hacer blind sql injection y sacar nombres apellidos y dnis de los que se han presentado a las oposiciones en un servicio que supuestamente es para saber si has aprobado.
Solo con esto que acabo de decir cualquiera puede encontrar el fallo y aprovecharlo, lleva ahí muuuuchos años y estoy cansado de avisar de ello.
XSS? venga ya! sin sesiones que robar? eso es perder el tiempo, buscad Blind SQL Injection's en las webs públicas... AndaluciaJunta es una mina, y su correo una basura.
El adjetivo que mejor le va a esta tía es inepta.
#33 Pues si ella es inepta (que no lo pongo en duda, tú sabrás), que son Zapatero and Company??
#33 Sera esta? http://www.mariarosadiez.com
Pero qué pasa, ¿este año han retrasado el día de los inocentes?
Si esa página la pagan mis impuestos quiero que salga la foto de Mr Bean.
Fue Zapatero que se confundió y pensaba que estaba subiendo una foto al Facebook.
A mi me da igual todo lo de más, pero ¿es cierto que el presupuesto para esa web es de 12M€?
Por que si es así, es para directamente meter a gente en la carcel.
Telefónica -> Informatica El Corte Ingles : confirmado
... src="/system/modules/es.ieci.opencms.content/js/jquery-1.3.2.min.js"
ieci es "informtica el corte ingles"
Informatica El Corte Ingles -> 1 Persona : Me lo han comentado, pero no lo puedo confirmar
#76 si lo de IECISA puede ser, pero que esta empresa también tiene buenos profesionales, lo de decir que ha estado 1 tio haciendo esto y que encima no tenía ni idea o el proyecto ha estado bajo presión es lo que no se puede afirmar.
En realidad, lo que pasa es que Zapatero se ha hecho la cirugía estética.
#11 Y los resultados fueron mejores de lo que esperaba
http://www.greenmocha.com/blog/mrbean.jpg
Osea, ¿Qué verdaderamente Zapatero y Mr Bean son la misma persona?
Hay que darles caña....que sepan q con internet no se juega
Sea XSS o lo que cojones sea, me da vergüenza que una Web de 13 kilazos no funcione en alta disponibilidad, lleva tres días caída.
Me confieso era becario de telefonica y me metieron en el proyecto de esta página hace tiempo, pero como no me han renovado el contrato me he tomado la revancha.
Por favor se que no es muy original pero lo tuve que hacer muy rapido.
Pues... en el notame han dicho que hay otra "inexistente vulnerabilidad"
y ahora con mas youtube 
http://tinyurl.com/xssreyeu2010
@0
Resumen de la noticia, ZP le ha dicho a sus trabajadores del EL PAIS que publiquen esa noticia, que es lo que ha pasado.
Jojo
que cabrones lo estan explotando a saco en
http://bit.ly/5yA2y4Es increble la ignorancia de algunos periodistas y algunos que comentan. Acaso una vulnerabilidad con XSS no es crítica?????. Sabéis lo que supone en una web de comercio electrónico o en un banco poder inyectar código en una página mediante una simple URL?????
De montaje nada, los que la han diseñado son una inútiles, hay vulnerabilidad, hay ataque y es una vergüenza que hoy en día se tomen tan a la ligera estas cosas.
Ale curso CCC de diseña tú página web con 3 becarios y ahí tienes el resultado, por que me juego que de toda la pasta que han pagado, los que menos se llevan son los programadores.
#42 estoy de acuerdo de un vulnerabilidad XSS es bastante peligrosa (envío de cookies, variables de session, etc), solo falta mala fe y imaginación.
Lo de la imagen realmente queda como anécdota para lo que realmente se puede hacer con ese tipo de ataque.
#48 ¿Anécdota? al presidente de España le toman el pelo hasta los ciudadanos normales alemanes( no los periodistas, políticos,no...la gente corriente de la calle)
#42 pareces un "experto" en el tema... pero la pregunta que haces es equivocada.
la pregunta debería ser... ¿Sabeis lo que supone una vulnerabilidad XSS no persistente en una web en la que no hay login?
Te respondo yo... supone muy poco, o nada.
Como mucho alguna confusion con la información que aparece si alguien llega de un enlace externo... nada mas. Y de hecho, la mayoría de navegadores modernos protegen de este tipo de "ataques", avisan al pinchar en un enlace que contiene caracteres especiales.
#61 #42 Te puedo dar un caso real de una web gubernamental dedicada al Turismo, con una vulnerabilidad XSS muy parecida. Usando algo de imaginación, se consigue en el home insertar un formulario de registro explotando la falla, sobre el formulario una leyenda que avisa que el ente nacional de turismo esta regalando estadías completas en un conocido hotel 5 estrellas de los valles, a fines de promocionar el turismo en esa localidad. Luego se difunde la noticia con la url ofuscada por todos los medios que sea posible. A las horas se tiene que:
* Varios usuarios registrados, el formulario manda en texto ascii los datos a un servidor remoto (a el cual él atacante tiene acceso)
* Parece poco útil, no es tan grande la cantidad como para ser una fuente de recursos de un spammer. Sin embargo la curiosidad es que muchas personas usan la misma contraseña para todo. El formulario que explota el XSS pedía dirección de email y contraseña. En la mayoría de los casos hay coincidencia y se logra acceso a las casillas de correo.
Es un caso real con propósitos educativos, en ningún caso se vulnero la privacidad, un bot verifico la valides de los datos, luego se borraron los archivos ascii; es parte de una conferencia sobre Phishing y Vulnerabilidades Web.
Ahora es una simple captura. Que curiosos que elpais no se hiciera eco de la noticia pero si de la explicación del gobierno.
#51 Es que la otra noticia dejaba entrever que habían juankeado los servidores, y es mentira...
#83, me autocontesto:
#84 Reflexiones sobre la web eu2010.es
Reflexiones sobre la web eu2010.es
lectur.asYo no creo al Gobierno. Los políticos son unos mentirosos.
A mi me da pena ver que una web de 12M€ esta caida por exceso de visitantes cuando por 7 euros al mes Dreamhost te da ancho de banda ilimitado, Ejpaña, monarquia bananera.
Pues los expertos en seguridad dicen que sí: http://www.elmundo.es/elmundo/2010/01/04/union_europea/1262634659.html
Aquí se ha dicho lo mismo:
mr-bean-cuela-web-oficial-presidencia-espanola/00072
Mr. Bean 'se cuela' en la web oficial de la presid...
elmundo.esmr-bean-cuela-web-oficial-presidencia-espanola/00071
mr-bean-cuela-web-oficial-presidencia-espanola/00065
Y es cierto, reto a cualquiera a entrar en la web sin enlaces chusqueros pasados por alguien y encontrar a mister Bean. No está y nunca estuvo.
la página no ha sido alterada por ningún intruso, ya que la imagen mostrada en el engaño ha sido cargada desde un servidor remoto y no es posible acceder a ella usando normalmente la web.
#6 Esos expertos afirman que entrando en la web podías ver a Ms Bean diciendo "hi there", cuando eso no sucedió en ningún momento. Para ver eso tenías que pinchar expresamente en los enlaces que estuvieron circulando, modificados para que remitiesen a un blog o a otra cosa, y son dos enlaces diferentes en los que pasaba o una cosa o la otra y no ambas a la vez como dicen.
#9 Pero da igual, la manipulación de El Mundo, ya se realizó.
#9 Aquí el problema ha sido la prensa. Es evidente que El Mundo o la agencia de noticias de la que se nutre, ha pinchado el enlace manipulado que un usuario de meneame había publicado a modo de broma, vacile, o ganas de dar por culo, como se quiera ver, pero en cualquier caso de una forma bastante inocente, y demasiado evidente también. Además la noticia no llegó lejos, ya que se consideraba microblogging y los usuarios se enzarzaron en una discusión de qué es microblogging, sin prestar mucha atención al contenido.
Lo gracioso del caso es que los medios usan el enlace, y dan por válida la información que aparece en pantalla. Para ellos, eso es lo que aparece en la web, por tanto ha sido atacada y la seguridad por la que se ha pagado una pasta es totalmente inútil. Ya está preparada (¿fabricada?) la noticia, así que la lanzan. Esto genera un aluvión de visitas que hace caer el servidor.
Total, que lo que era un vacile en meneame, se convierte de repente en una noticia (falsa) de alcance mundial que genera que la web por la que hemos pagado una pasta esté fuera de servicio durante horas. ¿Y gracias a quién?. A la prensa.
Joder!! que se veía a la legua, que no es ingeniería social, que no es más que la más absoluta de las ignorancias (o intereses oscuros) en medios informativos que por volumen de audiencia recae una responsabilidad social que ha estado muy por debajo de lo mínimo esperable.
#12 No estoy de acuerdo con tu comentario para nada en absoluto. Das a entender que la culpa de que esa web esté caída es de los medios de información por dar una noticia falsa. Mira, independientemente de los motivos particulares que tenga cada uno para entrar en esa web, el hecho es que está para ser vista. A mí me da lo mismo que 100.000 personas hayan querido entrar a leer el programa de la Presidencia europea o a ver una foto de Mr.Bean. El hecho de que se haya caído ante un aluvión de visitas demuestra el fracaso de esa web y la estafa de 12M de euros que nos han soplado a todos, máxime cuando se trata de una web oficial de la Administración a la que se supone deben tener acceso millones de personas, puesto que se trata de un servicio público. Servidores de correo y redes sociales (no hace falta que dé nombres) dan servicios mucho más avanzados que los de esa web a cientos de miles de personas simultáneamente y no se cuelgan. Vamos, que es una vergüenza y una estafa, lo mires por donde lo mires.
Y os pongáis como os pongáis, SÍ, el cross-site scripting es uno de los fallos de seguridad más importantes que puede tener una página o aplicación web. Y por 12 millones de eurazos CREO que podrían haberlo tenido en cuenta.
Hasta los webs de ver a nuestros politicuchos gastarse aberraciones de dinero en basura contratada a dedo a sus putas empresas. Hasta los puñeteros coj***s ya.
Estoy totalmente de acuerdo con lo que dice #31 porque pagar aunque sean 400.000€ como dicen por ahí para mantener la seguridad de la web entre otras cosas y que no sean capaces de tener controlados metacaracteres para evitar ataques de cross-site scripting me parece patético para una empresa como pueda ser Telefónica.
Así da gusto ver que el dinero de los impuestos está siendo tan bien "invertido" (hacia los bolsillos de amiguetes, claro)
#31 Decir que por el dinero que ha costado, los recursos han de ser prácticamente ilimitados es mucho decir, mejor no decir nada, que en este asunto va a ser blanco o negro y no quiero flames.
Que haya sistemas para evitar algo así, pues supongo que los habrá, yo simplemente soy un usuario, y por tanto veo los errores que cometemos los usuarios. Pero una cosa es que seas un usuario capullo y te limpien la cuenta por pinchar un enlace "engañoso", y otra que seas un usuario capullo con una responsabilidad añadida, que pincha en un enlace engañoso y con ello pretende dejar la reputación de una gran empresa y de un Estado, su país, por los suelos. No soy nacionalista, pero tampoco creo que sea conveniente algo así, no tiene lógica si quieres vivir medianamente bien en ese país. Lo más grave es que es un enlace engañoso y además sacado artificialmente de contexto, puesto que el engaño no era más que una simple broma que no hubiese tenido ninguna repercusión si el capullo con responsabilidad añadida no fuera tan ambicioso. Y siempre quedará la duda de si es un capulo o se estaba pasando de listo.
#9 Según el Ejecutivo, "el supuesto ataque" ha consistido en emplear una captura de una página de búsqueda del sitio para hacer un fotomontaje al que se ha asignado una dirección que luego se ha distribuido en Internet a través de redes sociales y blogs.
la página no ha sido alterada por ningún intruso, ya que la imagen mostrada en el engaño ha sido cargada desde un servidor remoto y no es posible acceder a ella usando normalmente la web.
#9 Esto de que la pagina no ha sido alterada por ningún intruso, yo vi la imagen desde el primer momento que apareció en meneame, en una noticia clasificada de microbbloging y la imagen si se mostraba en la web de la presidencia y la famosa dirección asignada era la de la web de la presidencia. Donde estuviera alojada dicha imagen, no quita que se mostrara en esa web y fuera la web oficial de la presidencia.
Claro que ahora no es posible ver la imagen. Después de 2 días, es lógico que hasta los técnicos de telefónica hayan tomado medidas para que no se pueda enlazar a dicha imagen es otra cuestión, para algo les pagan 12 millones. ¿O es por estar tumbados en las caimán, en una hamaca?
#6 El periódico "El Pais" no es experto en nada. No ha habido ningún ataque.
Como mucho una denegación de servicio provocada por el aluvión de borregos que han visitado la web para ver si el hack era real o no.
Igualmente, pagar 11 millones de euros por una web es UNA PASADA, UN DESPILFARRO Y UNA VERGUENZA. ¿Irá el dinero al partido? ¿Esto no son más que unos trajes? ¿Así se financia el PSOE?
Gracias a esta broma (si así es, que no me fio nada) nos hemos enterado de esto.
La página aún es vulnerable a XSS, sólo hace falta alguien con mala leche y un buen blog.
)
#86
No se puede saber, porque TESA la preside César Alierta, amigote del PP colocado ahí cuando se privatizó a precio de ganga (precio de ganga para toda la infraestructura montada) y dudo que el PSOE quiera favorecerle. Teniendo en cuenta los precios abusivos de Telefónica por cualquier servicio, no me extrañaría que sea lo que realmente "valga": un 70% de sobreprecio por la mitad de tiempo (comparando con otros portales
XSS no persistente... no hace falta decir nada más.
Venga vamos a tirar la dichosa página. Si queréis una versión personalizada buscad en la propia página lo siguiente:
Con Fotico: "
Con vídeo: "Enlace de youtube en formato de inserción
Yo me he hecho dos :P:
http://tinyurl.com/ylhyy5c
http://tinyurl.com/y9enyaw
Independientemente de que la vulnerabilidad en estas condiciones no comprometa la seguridad de la web, me parece una auténtica chapuza que se produzca un error de esta envergadura. En cualquier programa por simple y sencillo que sea se le pasa una serie de pruebas funcionales "o de caja negra" para analizar su comportamiento según los parámetros de entrada y salida...
Pues en esta ocasión contrastar la noticia era bastante fácil... joder! como está la prensa.
Están sufriendo algo parecido al efecto meneame:
http://www.la-moncloa.es/ActualidadHome/2009-2/040110UE.htm
"Ante las informaciones vertidas en blogs, redes sociales, medios digitales, radios y televisiones, la web http://www.eu2010.es ha registrado un considerable incremento de tráfico lo que está provocando problemas en los accesos que se resolverán en las próximas horas."
Bueno, el hecho de que lo nieguen da pie a pensar rapidamente que así es. Mientras los meneantes expertos charlan acerca de los detalles técnicos y sobre si fue o no fue, el caso es que volvemos a salir en prensa http://news.bbc.co.uk/2/hi/europe/8440554.stm
Y ya lo que menos importa es si ha sido cierto o no, una mentira repetida mil veces se convierte en verdad. Mi humilde análisis: Una vez más,somos el hazmereir de europa. Menos mal que siempre podemos reirnos de nosotros mismo leyendo el jueves.
/me se descojona
Sea lo que sea la web de marras va como el culo... al menos con toda esto igual la ve alguien y así se amortiza un poco
#3 #4 "La web http://www.eu2010.es registra ahora un considerable aumento de tráfico, provocando problemas en los accesos que se están resolviendo" Vía: http://bit.ly/8CqWfB
#5 Resumiendo, el hosting da pena. Con lo que se han gastado ya podrían haber usado algo mejor...
#5 Y 15 horas después siguen con los mismos problemas.
PD: El diseño de la web me parece de lo peorcito.
Muy bueno lo de Franco en twitter, heheh. En RTVE.es han puesto al elefantito de Pocoyo.
http://www.rtve.es/imagenes/eli-web-presidencia/1262693623208.jpg
En fin, han dicho en las noticias que la policía judicial está buscando al responsable ... Si no ha habido hackeo ¿qué buscan entonces?
¿trio.es Es publicidad encubierta del nuevo Duo de telefónica?
HTTP Server Error 503: sobrecarga del servidor
Joer, éstos son ya MENTIROSOS COMPULSIVOS, que se lo hagan mirar...
habrá sido la Cospedal en sus ratos libres.., de todas formas la pagina que aparece en todos lados bien puede ser un fotomontaje, no sé como se podrá demostrar lo contrario, a ver los expertos...
"una captura para hacer un foromontaje"
No me creo la excusa del gobierno. Siempre bajandole el perfil a las cosas ... es completamente ridiculo lo que dicen.
"El periodismos en la primera década del siglo XXI se caracterizó por ser un mal enlazador de un medio de comunicación social de mayor alcance y más difícil de manipular, Internet.
El problema principal era un sector que apostaba por el titular rápido, amarillista e inventado. Se perdió la práctica de contrastar noticias por la inmediatez de lanzarla al público, aunque éste ya la había conocido de la red 3 días antes y en condiciones informativas optimas.
El periodismo siguió durante décadas decayendo al tiempo que atacaban la red como el culpable..."
Anales de la Historia
Meneame en las noticias!
Hola mamá!!
Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
Apache Server at www.eu2010.es Port 80
hahahaha:
http://www.hablamosdeeuropa.es/Secciones/Paginas/n5.aspx
También negaban la crisis...
Sigo preguntándome qué es eso de trio.es que aparece en el banner superior del susodicho portal.
¿Y Enjuto Mojamuto que opina de ésto?
Si no ha habido un ataque, ¿por qué sigue caída la página 48 horas después? ¿No será que están arreglando algo?
Pero...¿el de la foto no era zapatero? Si es que son dos cómicos tan parecidos......
#38
Mr Bean no miente ni hace tanto el ridiculo.
Yo cuando intenté acceder ayer a la página me fue imposible. A esta hora hoy tampoco puedo. Parece que tengo el don de la oportunidad...
Es increíble el secctarismo de los que son capaces de negar una ineptitud tan evidente por parte del gobierno(que es quien contrata al que diseña la página web)solo porque es de izquierdas.
Juass, !lo clavaron¡
Aun no se han enterado por favor que alguien le explique ha este gobierno de ignorantes que fue una de sus hijas de ZP.