En este artículo comentaré sobre el “ataque” a la web de la presidencia europea española eu2010.es de la que mucha gente ha intentado sacar de donde no era y que se ha convertido básicamente un ataque a la imagen del gobierno (Dos periódicos de gran tirada contrarios al gobierno no dudaron en usarlo como portada a toda página).
Todo saltó cuando se empezaron a pasar por internet pantallazos de la web supuestamente hackeada, algunas personas recibieron la URL que permitía ver a Mr. Bean en mitad de la página (con el que el Presidente de España guarda un curioso parecido físico), pero muchas otras, como yo, no podíamos entrar porque se había colapsado de gente intentando ver el defacement… Y desde el Twitter de La Moncloa intentaban calmar los ánimos y decir que todo era un montaje fotográfico, que la web no la había tocado nadie. (Aquí el comunicado completo)
Y sin embargo hay una URL que te mostraba esa imagen.
(A continuación una mezcla de elaboración propia y de Security By Default GRAN ARTÍCULO)
Primero lo que no es: nadie entró al servidor, ni siquiera al gestor de la web, nadie ha subido una imagen de Mr. Bean a esa web pero tampoco ha sido un trucaje fotográfico, la web no estuvo caída durante el día 4 y 5 debido al “ataque”, sino a la avalancha de visitas con motivo de la noticia (tenían previsión de hasta 300 por segundo y tenían cerca de 5000).
Y ahora lo que si es: un XSS (cross-site scripting) simplón ya que sólo mostraba una imagen. La web tenía un buscador, y si había un error en su funcionamiento al mostrar los resultados ponía el termino buscado en la misma página. Entonces, cualquier término que se pusiera iba a aparecer ahí… aunque este fuera una frase absurda, o incluso un poco de código HTML o incluso código javascript. Entonces la página mostraría ese contenido como contenido propio. Los “atacantes” decidieron que era mas gracioso poner un código HTML que mostrara una imagen: <img src="mrbean.jpg">
y teniendo en cuenta que esto se podía poner en la URL directamente (no se pasaba por POST) pues era fácil pasarle un enlace a sus amigos con la tontería.
Vale, en realidad el HTML que incorporaron era este:
<script>document.write('<img src="http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg" />');<script>
Y venía en esta URL:
http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en
(Aviso: ESTA URL YA NO FUNCIONA)
En realidad el ataque no era tal, nadie que no conociera es URL vería a Mr. Bean en la página y en todo caso los únicos que podrían sufrir con este ataque son los visitantes de la página (el servidor puede no verse comprometido por esto)… y ahora también la imagen del gobierno. Aunque se me ocurren soluciones de phising basadas en un ataque como este.
La solución ha sido no mostrar el mensaje de error en la página de resultados (algo que debería haberse quedado en el entorno de desarrollo), aunque para mi es mas elegante comprobar que no llegan caracteres peligrosos como las comillas y los de apertura y cierre de tags < > ni sus equivalentes ASCII.
Costes y desarrolladores
Según el resultado del concurso público la web se engloba dentro de los 12 millones de euros de la oferta de Telefónica que engloba todos los servicios telemáticos (web, retransmisiones en directo, personal e infraestructura para 6 meses). Pero parece que la web ha sido realizada en realidad por Informática El Corte Inglés ¿cuanto habrán cobrado por ella? ¿por qué nadie hace sangre con ellos?
Por cierto, como se puede ver en el famoso pantallazo en el que se muestra un error:
org.opencms.search.CmsSearchException
Con lo que aprendemos que está basada en OpenCMS. Hay otras webs basadas en OpenCMS que tiene el mismo agujerito, y eso que es un error de principiante.
Agradezco a mi hermano por haberme iluminado sobre esta vulnerabilidad. Y rogaría a los periodistas que hablen primero con un técnico en la materia antes de decir frases graciosas vacías de sentido.
Leed el artículo de hispasec para información de verdad sobre el XSS de eu2010.es.
January 7th, 2010 9:56
No sé si hay más intenciones de parte de los que quieren atacar al gobierno que de parte de los que lo quieren defender.
Con independencia de las noticias redactadas por gente que no sabe de qué está hablando, no se puede pretender que cada periodista haga un máster en todas las tecnologías. Para una persona ajena a este mundo, todo lo que moleste el funcionamiento habitual de una web es un hackeo, y cuanto antes vayamos asumiendo la definición nosotros, mejor que mejor. Lo que sí tenemos que pretender, nosotros que podemos, es explicarlo correctamente.
Ahora bien, con respecto a la entrada, me parece muy tendencioso utilizar una noticia mal redactada para intentar justificar la defensa a un supuesto “ataque” contra el gobierno. Si el gobierno la caga y se dice, no es un ataque, es una noticia. Es sospechoso cuanto menos que cierto diario muy pro-gubernamental de tirada nacional también se haya hecho eco de la noticia, lo llame hackeo igualmente, lo saca en portada, y no sea mencionado para así no restar valor a la defensa.
Esta página nos ha costado 12 millones de euros, que para alguna auditoría de seguridad habrá dado, digo yo. Y no es justificación decir que es un XSS simplón y no es un hackeo, no me veo a nadie diciéndole a su mujer “no han sido cuernos, sólo le metí la puntita”. Deberíamos estar pidiendo responsabilidades por cada euro (bien o mal invertido) que gasten nuestros políticos, máxime en casos tan sangrantes y ridículos como este.
Saludos Pablo.
January 7th, 2010 16:40
[…] Esta página es a mi juicio, lamentable en cuanto a contenido y funcionalidad, ni de lejos se justifican por ningún lado los 12 millones de euros, pero es que además durante estos días hemos podido ver en distintas informaciones que es una página insegura a las técnicas de inyección de código, el famoso Mr Bean, y que ha estado fuera de servicio durante unos cuantos días. […]
January 7th, 2010 19:49
Gracias por tu comentario Juan.
Quiero aclarar algunos puntos que no te han quedado claros en mi artículo:
– El gobierno la ha cagado diciendo que era un montaje fotográfico.
– No ha habido ninguna persona afectada por un funcionamiento anormal de la web, mas allá de que la avalancha de visitas ha tumbado el servidor. Había que introducir una URL específica para ver un resultado concreto.
– Nadie pide a los periodistas que sepan de todo, pero si que no copien y peguen de las notas de prensa, que investiguen y contrasten y que pregunten a expertos. Sobre este tema he leído noticias en distintos medios y parecían un calco, y lo peor, caían todas en errores garrafales y en chistes y poesía fácil.
– Los medios de comunicación contrarios al gobierno han afilado las uñas y han desinformado con saña.
– La página no ha costado 12 millones de euros, ha costado entre 300.000 y 400.000 (por confirmar), incluyendo el mantenimiento 24 horas durante los 6 meses de presidencia. A mi me sigue pareciendo bastante dinero, es verdad, porque yo la valoro en, como mucho, la mitad.
Por cierto, todo artículo que mencione que en la página decía: “Hi there” o “Hola a todos” es que no ha visto el pantallazo y están MINTIENDO. Deberían rodar las cabezas de ciertos periodistas que NO LO SON.
Y ahora una lista de pseudo-periodistas que la han cagado (buscad eu2010.es “hi there” en Google):
Y aquí un periodista que casi cuenta las cosas como son, pero que luego se lía:
Tambien indicar que otro medios pro-guberamentales: ElPlural.com no han mencionado el incidente.
Solo puedo decir: “GRACIAS” Servimedia por la nota de prensa llena de errores que mandasteis a los medios, deberíais devolver el dinero que os pagan por la basura que emitis como noticias.
Un agujerito de seguridad de nivel leve, mucho ruido, mucha desinformación, muchos “cotillos” tirando abajo la web… eso es todo lo que ha pasado.
PD: Y ahora unas capturas de las portadas de día 5 para que quede claro quien informaba y quien hacía leña:
http://img.kiosko.net/2010/01/05/es/elpais.jpg (ninguna mención)
http://img.kiosko.net/2010/01/05/es/elmundo.jpg (centro de la portada)
http://img.kiosko.net/2010/01/05/es/abc.jpg (toda la portada)
http://img.kiosko.net/2010/01/05/es/lavanguardia.jpg (mención en portada)
http://img.kiosko.net/2010/01/05/es/publico.jpg (ninguna mención)
January 7th, 2010 22:52
Buenas noches Pablo.
Según el contrato de adjudicación: Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea
El valor de el servicio son 11.940.000
Una burrada. Es más que una página web, es dar soporte a dos videoconferencias, pero sigue siendo desproporcionadísimo y hubiera pasado totalmente desapercibido si no es por dos tíos aburridos en su casa.
En cualquier caso, no estoy de acuerdo con la diferencia entre informar y hacer leña en función de ponerlo o no en portada. No sé si te refieres a hacer leña con sacarlo en portada, porque entonces la omisión de una noticia relevante es una desinformación en toda regla.
En cualquier caso, y creo que en eso coincidimos plenamente, es que hay “periodistas” que se dedican a copiar las teletipos, hay periodistas con ganas de desinformar y hay medios afines y no afines, y tan peligrosa es la acción como la omisión. Y por desgracia, todo lo mueve la pasta.
Saludos.