#9:
Del tema hackeo-no hackeo, poco entiendo la verdad, aunque parece que hay consenso en que no ha habido hackeo. Por tanto, solo quiero llamar la atención en esta frase:
"La cifra de adjudicación son 9 Millones de Euros. La cifra que se maneja de 11,9 es con impuestos, que por supuesto se reintegra el gobierno, es decir casi 3 Millones de Euros, y ya ven que no es por la seguridad de la web, como he comentado en el anterior punto."
El gobierno no se reintegra nada. Lo reintegra el Estado, que no es lo mismo. Parece una tontería, ¿a que sí? Pues no lo es. Con la tontería confusión gobierno-Estado, se hizo la boda de la hija de Aznar en El Escorial con cargo a fondos públicos, es decir, del Estado, es decir, de todos.
#24:
Pues siento disentir, pero la susodicha web, cuya existencia -imagino que como el 99% de vosotr@s- desconocía, me parece una auténtica basura.
Respecto a "por montar y administrar toda la plataforma de hosting se les cobra algo menos de 400k (y esto incluye, entre otros, alojamiento, hw y sw, monitorización, backup, un almacenamiento SAN de la leche y la parte de seguridad y hacking ético de la plataforma) Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela".
Me ha gustado eso de "algo menos de 400k"; ahá... algo menos de 400k, traducidos a pesetas, vendrían a ser algo así como entre 60 y 65 millones de pesetas. Más o menos el sueldo neto de 30 años de trabajo de un mileurista.
Es decir, que lo que un obrero ganaría en, prácticamente, toda su vida laboral, viene a ser lo que cuesta "poner en marcha" una web, cuya funcionalidad pongo muy en tela de juicio, por el período de, agárrense los machos, medio año. Alguien debe tener las manos en carne viva de tanto habérselas frotado.
Pero sigamos con la frase: "Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela".
Esto es lo que me ha salido a mí a la 3ª petición de página que he hecho -y las dos primeras se han tomado su tiempo-:
Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
En definitiva, me parece un insulto al sentido común y al pueblo español tener los santos cojones de permitirse este tipo de "lujos" conforme está el patio y los tiempos que corren. Claro que, después de lo del kelifinder, de qué nos vamos a sorprender. Si por algo nos caracterizamos los españoles, es por tener las tragaderas más grandes de toda Europa.
Y lo que más me indigna de todo esto, es que tanto el diseñador, programador, webmaster, etc., trabajarán para alguna subcontrata cárnica de telefonica, y habrán cobrado 800€ por realizar esta web presidencial, valorada en "algo menos de 67 millones de pesetas". Y que todavía haya gente -entiendo que ciudadanos de a pie- que saque capa y espada para defenderla, es para mear y no echar gota.
Ale, me voy que ya me han dado el día...
#2:
...que finalmente quedará como una mancha en la capacidad de una empresa española que seguramente no merece
Vamos ...vamos... hacía tiempo que no veía a alguien hablar así de Telefónica...
#6:
Sí vale muy bien, pero eso no quita que sea mala praxis no escapar los caracteres raros de parámetros GET de una URL.
#5:
Ahora me cojo mi cubo de palomitas y a ver cómo rectifican y lo explican todos los medios que han publicado de forma incorrecta la noticia del hackeo.
...aunque me temo que muchos pasarán de puntillas, o directamente no corregirán nada.
#10:
#1 Podemos empezar por votar errónea esta noticia
Mr. Bean, el conocido personaje de humor interpretado por el actor británico Rowan Atkinson, se ha c [...]
Que ya ha pasado unas cuantas veces: en los comentarios se demuestra equivocada una información y la gente vota positivamente esos comentarios... pero después no votan errónea la noticia (por miedo a perder karma o qué se yo)
Del tema hackeo-no hackeo, poco entiendo la verdad, aunque parece que hay consenso en que no ha habido hackeo. Por tanto, solo quiero llamar la atención en esta frase:
"La cifra de adjudicación son 9 Millones de Euros. La cifra que se maneja de 11,9 es con impuestos, que por supuesto se reintegra el gobierno, es decir casi 3 Millones de Euros, y ya ven que no es por la seguridad de la web, como he comentado en el anterior punto."
El gobierno no se reintegra nada. Lo reintegra el Estado, que no es lo mismo. Parece una tontería, ¿a que sí? Pues no lo es. Con la tontería confusión gobierno-Estado, se hizo la boda de la hija de Aznar en El Escorial con cargo a fondos públicos, es decir, del Estado, es decir, de todos.
Respecto a "por montar y administrar toda la plataforma de hosting se les cobra algo menos de 400k (y esto incluye, entre otros, alojamiento, hw y sw, monitorización, backup, un almacenamiento SAN de la leche y la parte de seguridad y hacking ético de la plataforma) Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela".
Me ha gustado eso de "algo menos de 400k"; ahá... algo menos de 400k, traducidos a pesetas, vendrían a ser algo así como entre 60 y 65 millones de pesetas. Más o menos el sueldo neto de 30 años de trabajo de un mileurista.
Es decir, que lo que un obrero ganaría en, prácticamente, toda su vida laboral, viene a ser lo que cuesta "poner en marcha" una web, cuya funcionalidad pongo muy en tela de juicio, por el período de, agárrense los machos, medio año. Alguien debe tener las manos en carne viva de tanto habérselas frotado.
Pero sigamos con la frase: "Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela".
Esto es lo que me ha salido a mí a la 3ª petición de página que he hecho -y las dos primeras se han tomado su tiempo-:
Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
En definitiva, me parece un insulto al sentido común y al pueblo español tener los santos cojones de permitirse este tipo de "lujos" conforme está el patio y los tiempos que corren. Claro que, después de lo del kelifinder, de qué nos vamos a sorprender. Si por algo nos caracterizamos los españoles, es por tener las tragaderas más grandes de toda Europa.
Y lo que más me indigna de todo esto, es que tanto el diseñador, programador, webmaster, etc., trabajarán para alguna subcontrata cárnica de telefonica, y habrán cobrado 800€ por realizar esta web presidencial, valorada en "algo menos de 67 millones de pesetas". Y que todavía haya gente -entiendo que ciudadanos de a pie- que saque capa y espada para defenderla, es para mear y no echar gota.
#24, tal y como está la Administración Pública, 400.000 € es una cantidad ridícula que no miran ni en qué se la gastan.
Triste, pero cierto. La Administración es el cáncer de España, y este tipo de cosas lo demuestran. Es un despilfarro de dinero tan brutal que es difícil hacerse a la idea.
#24, Un proyecto para la provisión de una plataforma no es lo mismo que diseñar una página web. El diseño/contenidos no cuestan 400k, aunque sea lo que el usuario ve. Lo que el usuario no ve son los fws en HA de cinco cifras cada uno
#45 , ¿sugieres que para alojar esa página han montado una granja de servidores? ¿Qué son los fws en HA?
El servidor más potente del momento, con discos duros SSD, SCSI o RAID-XXXXXXXX, con la mejor placa base multiprocesador, X CPUs multicore, conexiones con fibra óptica, etc., dudo mucho que supere los 10 o 15mil euros. Añádele 5mil euros más de mano de obra "extremadamente cualificada" para optimizar Apache, MySQL, Oracle, PHP, poner a punto el servidor, lo que quieras... no supera los 20mil euros, incluyendo material, mano de obra, diseño, programación y contenidos del "portal".
Me apuesto 10 a 1 a que ésa página está alojada en un plan de hosting de 25€/mes de la empresa proveedora, como sugirió alguien en este u otro meneo. Si hasta el CMS es openSource (ojo, que no quiero decir que por ello sea malo, sino que el coste del mismo es cero).
#48 pues tus firewalls en alta disponibilidad no han soportado el efecto meneame.
Además del dineral que han costado.
¿Me puede alguien proporcionar un enlace de dónde se especifica que son 400.000 euros y no 12 millones?
Porque he leido el Anuncio de adjudicación provisional del Expediente número 42/10 y lo que entiendo es que son 12 millones por alojamiento.
#3, #4, #8 Totalmente de acuerdo. Deberíamos escuchar más a quienes saben lo que dicen y no como en los medios que siempre citan al ente esotérico "los expertos" con una ligereza que arde la hoja.
Que ya ha pasado unas cuantas veces: en los comentarios se demuestra equivocada una información y la gente vota positivamente esos comentarios... pero después no votan errónea la noticia (por miedo a perder karma o qué se yo)
Buen artículo, pero la noticia ha llegado ya a todas partes, y ya no se puede deshacer.
El ridículo ya se ha hecho, y por mucha explicación técnica que se dé, no sirve de nada. Estas cosas hay que preveerlas; esto sólo nos pasa a nosotros. Somos el hazmereír de Europa.
Por cierto, qué cutre es la pagina en cuestión (www.eu2010.es)
Este meneo debería llegar a portada... pero como dice #7 el daño ya está hecho y la impresión con la que se quedará la gente es que la web fue hackeada.
Menea*OWNED* Eso explica porque cuando me metía en http://www.eu2010.es/ no veía a Mr. Bean (y yo pensando que mi MacBook se hizo del PSOE en secreto)
3 – La página Web no ha sido Hackeada, como afirman los medios, porque no ha sido modificada en su origen. Para entender esto y no enrollarme técnicamente les diré que una vulnerabilidad XSS tiene como objeto siempre el usuario del servicio y no el servidor donde se explota. Es decir, en cristiano, el Script o enlace que alguien ha pasado en ningún momento ha modificado la web, si no la visión del usuario que pulsa el enlace, a través de su navegador (siempre que tuviera activado algunas características). Cualquier persona que accediera a la Web a través de su enlace normal, y no el que se publicó vería la web en su aspecto normal, por tanto no hay tal hackeo.
Para mi la noticia siguen siendo los 11 millones por hacer una web que no vale ni 2. Y no ha cumplido con los objetivos en hosting, calidad, ni seguridad propia o ajena.
Ojo porque cuando marcelinio dice "Y ahora algunos datos 1)" esta citando un comentario sin base de un usuario de meneame. Y todo ese rollo de SLA, centro de datos y tal, servicios ajenos al web, se lo está sacando de la manga. Para muestra lo del root a la máquina de la subcontrata del DNS que es de flipar.
"El periodismos en la primera década del siglo XXI se caracterizó por ser un mal enlazador de un medio de comunicación social de mayor alcance y más difícil de manipular, Internet.
El problema principal era un sector que apostaba por el titular rápido, amarillista e inventado. Se perdió la práctica de contrastar noticias por la inmediatez de lanzarla al público, aunque éste ya la había conocido de la red 3 días antes y en condiciones informativas optimas.
El periodismo siguió durante décadas decayendo al tiempo que atacaban la red como el culpable..."
Con un simple dentro del código fuente se ahorraría estar pidiendo que no le meneen y que le pregunten por Twitter y tal
Lo sé, y se le ha dicho, pero dice que con decirlo debería de bastar así que ya me encargo yo de recordarlo.
Porque no era un enlace según las normas. Creaba contenido, no enlazaba contenido ajeno
No digo que la noticia esté mal descartada. Digo que el chaval me da "pena" porque no lo sabía y si lo llega a poner en su blog se hubiese hecho famoso. Nada más.
#31 A ver, creo que está claro que este señor lo que quiere es poder criticar a menéame siempre que quiera y aprovecharse de sus visitas cuando pueda... y encima hacernos creer que no es un hipócrita. Como los admins de menéame sólo banean a alguien por abuso (algo que no ha hecho) o por petición expresa (algo que ni ha hecho ni pretende hacer), lo único que podemos hacer es avisar los que lo sepamos de que esto es así.
El tío se ríe de menéame y los meneantes le ríen las gracias... es una pena, pero yo más no puedo hacer.
#11 "MMadrigal ha dicho en repetidas ocasiones que no quiere que sus posts aparezcan en menéame."
Sin embargo no veo que tenga ningun inconveniente para utilizar meneame para nutrir sus noticias:
"En menéame se publica la noticia de un fallo de la web que permite explotar vulnerabilidades XSS ese mismo día 3 de Enero. Por supuesto esto no quiere decir que menéame sea responsable de nada, aclaro, pero la información que posteriormente han seguido los medios muy probablemente tenga este origen."
Es una pena, que toda la gente que critico tanto a telefonica y al gobierno por las anteriores noticias, no lean este articulo, aunque supongo que tampoco leyeron los anteriores: les fue suficiente con el titular y la entradilla.
Cierto es que tanto telefonica como el gobierno tienen muchas cosas que pueden ser criticadas, pero por esto no.
Otro dato de por sí preocupante en esta adjudicación:
Fecha del Acuerdo 22/12/2009
Y más si leemos el artículo 135.3 de la Ley 30/2007 citado en ella:
3. La adjudicación provisional se acordará por el órgano de contratación en resolución motivada que deberá notificarse a los candidatos o licitadores y publicarse en un diario oficial o en el perfil de contratante del órgano de contratación, siendo de aplicación lo previsto en el artículo 137 en cuanto a la información que debe facilitarse a aquéllos aunque el plazo para su remisión será de cinco días hábiles. En los procedimientos negociados y de diálogo competitivo, la adjudicación provisional concretará y fijará los términos definitivos del contrato.
Y el siguiente, para la adjudicación definitiva:
4. La elevación a definitiva de la adjudicación provisional no podrá producirse antes de que transcurran quince días hábiles contados desde el siguiente a aquél en que se publique aquélla en un diario oficial o en el perfil de contratante del órgano de contratación.
es decir, mañana, sí, el día de los Reyes Magos...
En fin, todo parece hecho con muchas prisas y con su poco de guasa
Esta web está sufriendo el efecto meneame en estos momentos, y es una pena porqué quiero leerlo.
Por otro lado y con relación a la web europea, ésta hace un uso profuso de las librerías de javascript JQuery que son de licencia GPL http://docs.jquery.com/Licensing con lo cual y a la vista del despliegue de millones que ha habido, supongo que habrán realizado una cuantiosa donación a los autores..... http://docs.jquery.com/Donate
#19 Pues si es falso que cambien el contrato de licitacion en http://www.mpr.es/ServiciosCiudadano/LicitacionesYContratosPublicos/201042.htm
Porque segun se puede observar en el objeto del contrato los 12 millones se destinan a:
"Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea"
O sea que no ha habido ataque y que al final lo que se ha cobrado por la famosa web no han sido los 11,9 millones ni de lejos... Tanto el diario "El Mundo" como su periódico economico, ecodiario.eleconomista se han lucido a lo grande. Grande Pedro Jeta, como siempre.
#28 Ya, pero cuando se desglosa lo que se cobra por cada cosa es cuando viene el gran matiz.
#29 En ningun caso se generaliza con "servicios telematicos para la presidecia de UE" o "servicios informaticos para la presidencia de la UE" se especifica "de la página WEB para la Presidencia Española de la Unión Europea"
Nos ha jodido, si no son capaces de especificar un contrato de licitacion tan importante que se vayan a freir esparragos todos... por cierto yo el desglose ese solo se lo he leido a un tipo en un comentario... que validez tengo de eso ante un documento oficial¿?...
Otro dato de por sí preocupante en esta adjudicación:
Fecha del Acuerdo 22/12/2009
Y más si leemos el artículo 135.3 de la Ley 30/2007 citado en ella:
3. La adjudicación provisional se acordará por el órgano de contratación en resolución motivada que deberá notificarse a los candidatos o licitadores y publicarse en un diario oficial o en el perfil de contratante del órgano de contratación, siendo de aplicación lo previsto en el artículo 137 en cuanto a la información que debe facilitarse a aquéllos aunque el plazo para su remisión será de cinco días hábiles. En los procedimientos negociados y de diálogo competitivo, la adjudicación provisional concretará y fijará los términos definitivos del contrato.
Y el siguiente, para la adjudicación definitiva:
4. La elevación a definitiva de la adjudicación provisional no podrá producirse antes de que transcurran quince días hábiles contados desde el siguiente a aquél en que se publique aquélla en un diario oficial o en el perfil de contratante del órgano de contratación.
es decir, mañana, sí, el día de los Reyes Magos...
En fin, todo parece hecho con muchas prisas y con su poco de guasa
que importa si es o no un hackeo? que no hayan comprometido la seguridad del servidor no significa nada, porque el ataque sigue ahi, y es una vulnerabilidad bien conocida, si los ingenieros(ya me direis que pinta un ingeniero picando codigo cuando un simple tecnico podria hacerlo) que han hecho esa pagina no han tenido en cuenta ese ataque, es algo que tiene que saberse, porque se ha hecho mal, y la culpa final es de telefonica, ya que por mucho que haya subcontratado, deberia de haberse preocupado de que el producto es de buena calidad y sin fallos.
La web de la presicendia (www.eu2010.es) va algo lentorra, esperaba más por esos 400.000€
Además, esta alojada en www.digival.es no es una gran empresa, ni tienen una buena página web....
Yo creo que no tienen ni un VPS, ni un dedicado, ni un servidor de backups, almacenamiento SAN ni leches.
Como mucho el "Plan Corporativo" de 25€ al mes
Joer, y por encima la web tiene cacheados en google errores (supongo que de antes de su lanzamiento)
org.opencms.search.CmsSearchException: Búsqueda de "query:[path:/sites/presidencia/en/agenda/seminarioscongresosyconf/* AND type:EsIeciEvento AND date:[1262257853587 TO 9999999999999]] fields:[type, date] sort:[unknown]" fallida.
Lo más cojonudo es que con esto del euro todavía no hemos asimilado lo que realmente nos están robando. Señores, las cifras puestas sobre la mesa son casi dos mil millones de pesetas. Mientras, para las ayudas de emancipación, familiares con minusvalías, I+D, etc., no hay dinero.
Lo vuelvo a repetir una vez más: dos mil millones de pesetas por una puñetera página web cuya utilidad tiende a cero y con una vida útil de 6 meses. Esto no pasa ni en las repúblicas bananeras.
Quiero dar desde aquí las gracias al que ha descubierto este error en la web.
Porque así nos hemos podido enterar de cómo nos siguen robando a la cara en época de crisis.
En una sóla operación han desviado 12 millones de euros.
Y no me refiero sólo a ZP y compañía, sino a que del PP digo exactamente lo mismo.
Les quiero a todos en la cárcel YA.
Para más coña el sistema elegido para confeccionar la web de la presidencia es Open Source, y muchos de quienes han azuzado esta polémica son defensores de este tipo de soluciones. Les invito a ver que impresión han dado de las soluciones que recomiendan.
Vale ya me quedo más tranquilo no fue hackeo, fue chapuza .
Digáis lo que digáis, el país no esta como para gastar ese dinero en cumbres y demás estupideces. Zapatero lo que tienen que hacer es dejarse de tanta presidencia europea y arreglarnos los problemas de aquí.
Sinceramente, si Zapatero renunciase a la presidencia europea tal y como estamos sería un movimiento aplaudido por todos, pero su afán de protagonismo se lo impide.
Comentarios
Del tema hackeo-no hackeo, poco entiendo la verdad, aunque parece que hay consenso en que no ha habido hackeo. Por tanto, solo quiero llamar la atención en esta frase:
"La cifra de adjudicación son 9 Millones de Euros. La cifra que se maneja de 11,9 es con impuestos, que por supuesto se reintegra el gobierno, es decir casi 3 Millones de Euros, y ya ven que no es por la seguridad de la web, como he comentado en el anterior punto."
El gobierno no se reintegra nada. Lo reintegra el Estado, que no es lo mismo. Parece una tontería, ¿a que sí? Pues no lo es. Con la tontería confusión gobierno-Estado, se hizo la boda de la hija de Aznar en El Escorial con cargo a fondos públicos, es decir, del Estado, es decir, de todos.
#9 cierto, aunque también es cierto que el que paga dicho contrato es también el Estado
Pues siento disentir, pero la susodicha web, cuya existencia -imagino que como el 99% de vosotr@s- desconocía, me parece una auténtica basura.
Ver, por ejemplo, http://www.eu2010.es/es/pie/aviso_seguridad.html, http://www.eu2010.es/es/pie/condiciones_generales.html, o http://www.eu2010.es/es/pie/politica_privacidad.html. Lo mismo me equivoco, pero quizá hasta sea ilegal esa web, en tanto que no se especifican ni las condiciones generales, ni la política de privacidad, ni los datos de contacto.
Siguiendo con los datos de contacto, deben haberse quedado más anchos que largos: http://www.eu2010.es/es/pie/contacto.html. Con dos cojones, sí señor.
Respecto a "por montar y administrar toda la plataforma de hosting se les cobra algo menos de 400k (y esto incluye, entre otros, alojamiento, hw y sw, monitorización, backup, un almacenamiento SAN de la leche y la parte de seguridad y hacking ético de la plataforma) Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela".
Me ha gustado eso de "algo menos de 400k"; ahá... algo menos de 400k, traducidos a pesetas, vendrían a ser algo así como entre 60 y 65 millones de pesetas. Más o menos el sueldo neto de 30 años de trabajo de un mileurista.
Es decir, que lo que un obrero ganaría en, prácticamente, toda su vida laboral, viene a ser lo que cuesta "poner en marcha" una web, cuya funcionalidad pongo muy en tela de juicio, por el período de, agárrense los machos, medio año. Alguien debe tener las manos en carne viva de tanto habérselas frotado.
Pero sigamos con la frase: "Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela".
Esto es lo que me ha salido a mí a la 3ª petición de página que he hecho -y las dos primeras se han tomado su tiempo-:
Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
En definitiva, me parece un insulto al sentido común y al pueblo español tener los santos cojones de permitirse este tipo de "lujos" conforme está el patio y los tiempos que corren. Claro que, después de lo del kelifinder, de qué nos vamos a sorprender. Si por algo nos caracterizamos los españoles, es por tener las tragaderas más grandes de toda Europa.
Y lo que más me indigna de todo esto, es que tanto el diseñador, programador, webmaster, etc., trabajarán para alguna subcontrata cárnica de telefonica, y habrán cobrado 800€ por realizar esta web presidencial, valorada en "algo menos de 67 millones de pesetas". Y que todavía haya gente -entiendo que ciudadanos de a pie- que saque capa y espada para defenderla, es para mear y no echar gota.
Ale, me voy que ya me han dado el día...
#24, tal y como está la Administración Pública, 400.000 € es una cantidad ridícula que no miran ni en qué se la gastan.
Triste, pero cierto. La Administración es el cáncer de España, y este tipo de cosas lo demuestran. Es un despilfarro de dinero tan brutal que es difícil hacerse a la idea.
#24, Un proyecto para la provisión de una plataforma no es lo mismo que diseñar una página web. El diseño/contenidos no cuestan 400k, aunque sea lo que el usuario ve. Lo que el usuario no ve son los fws en HA de cinco cifras cada uno
#45 , ¿sugieres que para alojar esa página han montado una granja de servidores? ¿Qué son los fws en HA?
El servidor más potente del momento, con discos duros SSD, SCSI o RAID-XXXXXXXX, con la mejor placa base multiprocesador, X CPUs multicore, conexiones con fibra óptica, etc., dudo mucho que supere los 10 o 15mil euros. Añádele 5mil euros más de mano de obra "extremadamente cualificada" para optimizar Apache, MySQL, Oracle, PHP, poner a punto el servidor, lo que quieras... no supera los 20mil euros, incluyendo material, mano de obra, diseño, programación y contenidos del "portal".
Me apuesto 10 a 1 a que ésa página está alojada en un plan de hosting de 25€/mes de la empresa proveedora, como sugirió alguien en este u otro meneo. Si hasta el CMS es openSource (ojo, que no quiero decir que por ello sea malo, sino que el coste del mismo es cero).
#47 Firewalls en alta disponibilidad. Perderías lo que apuestes
#48 pues tus firewalls en alta disponibilidad no han soportado el efecto meneame.
Además del dineral que han costado.
¿Me puede alguien proporcionar un enlace de dónde se especifica que son 400.000 euros y no 12 millones?
Porque he leido el Anuncio de adjudicación provisional del Expediente número 42/10 y lo que entiendo es que son 12 millones por alojamiento.
#47 firewalls de que? jajajaj
poder hacer un "ssh root@ns.eu2010.es" por el puerto 22 ...
es de juzgado de guardia. Si la gente pudiese entender la magnitud de tamaña estafa... en fin...
...que finalmente quedará como una mancha en la capacidad de una empresa española que seguramente no merece
Vamos ...vamos... hacía tiempo que no veía a alguien hablar así de Telefónica...
Sí vale muy bien, pero eso no quita que sea mala praxis no escapar los caracteres raros de parámetros GET de una URL.
Muy buen artículo y muy aclaratorio.
#3, #4, #8 Totalmente de acuerdo. Deberíamos escuchar más a quienes saben lo que dicen y no como en los medios que siempre citan al ente esotérico "los expertos" con una ligereza que arde la hoja.
Ahora me cojo mi cubo de palomitas y a ver cómo rectifican y lo explican todos los medios que han publicado de forma incorrecta la noticia del hackeo.
...aunque me temo que muchos pasarán de puntillas, o directamente no corregirán nada.
Tomemos nota en Menéame
#1 Podemos empezar por votar errónea esta noticia
mr-bean-cuela-web-oficial-presidencia-espanola/
Mr. Bean 'se cuela' en la web oficial de la presid...
elmundo.esQue ya ha pasado unas cuantas veces: en los comentarios se demuestra equivocada una información y la gente vota positivamente esos comentarios... pero después no votan errónea la noticia (por miedo a perder karma o qué se yo)
#10, y ésta: Telefónica recibe 12 millones de Moncloa para mantener la web de la presidencia europea
Telefónica recibe 12 millones de Moncloa para mant...
ecodiario.eleconomista.esBuen artículo, pero la noticia ha llegado ya a todas partes, y ya no se puede deshacer.
El ridículo ya se ha hecho, y por mucha explicación técnica que se dé, no sirve de nada. Estas cosas hay que preveerlas; esto sólo nos pasa a nosotros. Somos el hazmereír de Europa.
Por cierto, qué cutre es la pagina en cuestión (www.eu2010.es)
Este meneo debería llegar a portada... pero como dice #7 el daño ya está hecho y la impresión con la que se quedará la gente es que la web fue hackeada.
¡¡ Que bueno es el saber y hacerse entender !!
Menea*OWNED* Eso explica porque cuando me metía en http://www.eu2010.es/ no veía a Mr. Bean (y yo pensando que mi MacBook se hizo del PSOE en secreto)
3 – La página Web no ha sido Hackeada, como afirman los medios, porque no ha sido modificada en su origen. Para entender esto y no enrollarme técnicamente les diré que una vulnerabilidad XSS tiene como objeto siempre el usuario del servicio y no el servidor donde se explota. Es decir, en cristiano, el Script o enlace que alguien ha pasado en ningún momento ha modificado la web, si no la visión del usuario que pulsa el enlace, a través de su navegador (siempre que tuviera activado algunas características). Cualquier persona que accediera a la Web a través de su enlace normal, y no el que se publicó vería la web en su aspecto normal, por tanto no hay tal hackeo.
Dicho de otra manera si alguien pulsó el enlace :
_“http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en
#0 Algo parecido y simple he hecho yo mismo en la web de la Comunidad de Madrid, que parece que tiene el mismo "problema"
http://www.madrid.org/cs/Satellite?buscador1=%22%3E%3Cimg%20src=%22http://www.menudospeques.net/images/galeriadefotos/humor_grafico/esperanza_aguirre_indigente.jpg%22%3E&entqr=0&output=xml_no_dtd&sort=date:D:L:d1&charset=UTF-8&ie=UTF-8&client=default_frontend_www&gsa_id_session=&language=es&buscador10=bGoogle&cid=1109266587773&pagename=ComunidadMadrid/Estructura&PropType=CM_Property&num=
#25 Envíaselo al Mundo que sacamos otro titular
Para mi la noticia siguen siendo los 11 millones por hacer una web que no vale ni 2. Y no ha cumplido con los objetivos en hosting, calidad, ni seguridad propia o ajena.
Ojo porque cuando marcelinio dice "Y ahora algunos datos 1)" esta citando un comentario sin base de un usuario de meneame. Y todo ese rollo de SLA, centro de datos y tal, servicios ajenos al web, se lo está sacando de la manga. Para muestra lo del root a la máquina de la subcontrata del DNS que es de flipar.
"El periodismos en la primera década del siglo XXI se caracterizó por ser un mal enlazador de un medio de comunicación social de mayor alcance y más difícil de manipular, Internet.
El problema principal era un sector que apostaba por el titular rápido, amarillista e inventado. Se perdió la práctica de contrastar noticias por la inmediatez de lanzarla al público, aunque éste ya la había conocido de la red 3 días antes y en condiciones informativas optimas.
El periodismo siguió durante décadas decayendo al tiempo que atacaban la red como el culpable..."
Wikipedia 2020
#0 MMadrigal ha dicho en repetidas ocasiones que no quiere que sus posts aparezcan en menéame.
Bitácoras, fracaso del año 2009
Bitácoras, fracaso del año 2009
mmadrigal.comPD: La putada de todo esto es para el tal apapurcio que es el que se dio cuenta y el pobre no sacó ni un mísero meneo en portada
La web de la presidencia europea es vulnerable a ataques XSS
La web de la presidencia europea es vulnerable a a...
eu2010.es#11 MMadrigal ha dicho en repetidas ocasiones que no quiere que sus posts aparezcan en menéame
Con un simple dentro del código fuente se ahorraría estar pidiendo que no le meneen y que le pregunten por Twitter y tal
#11 La putada de todo esto es para el tal apapurcio que es el que se dio cuenta y el pobre no sacó ni un mísero meneo en portada
Porque no era un enlace según las normas. Creaba contenido, no enlazaba contenido ajeno
#12
Con un simple dentro del código fuente se ahorraría estar pidiendo que no le meneen y que le pregunten por Twitter y tal
Lo sé, y se le ha dicho, pero dice que con decirlo debería de bastar así que ya me encargo yo de recordarlo.
Porque no era un enlace según las normas. Creaba contenido, no enlazaba contenido ajeno
No digo que la noticia esté mal descartada. Digo que el chaval me da "pena" porque no lo sabía y si lo llega a poner en su blog se hubiese hecho famoso. Nada más.
#13 Lo sé, y se le ha dicho, pero dice que con decirlo debería de bastar así que ya me encargo yo de recordarlo.
Pero es que decir a unos cuántos que no hagan algo no quiere decir que haya otros miles de usuarios que no vayan a hacerlo
#31 A ver, creo que está claro que este señor lo que quiere es poder criticar a menéame siempre que quiera y aprovecharse de sus visitas cuando pueda... y encima hacernos creer que no es un hipócrita. Como los admins de menéame sólo banean a alguien por abuso (algo que no ha hecho) o por petición expresa (algo que ni ha hecho ni pretende hacer), lo único que podemos hacer es avisar los que lo sepamos de que esto es así.
El tío se ríe de menéame y los meneantes le ríen las gracias... es una pena, pero yo más no puedo hacer.
#11 "MMadrigal ha dicho en repetidas ocasiones que no quiere que sus posts aparezcan en menéame."
Sin embargo no veo que tenga ningun inconveniente para utilizar meneame para nutrir sus noticias:
"En menéame se publica la noticia de un fallo de la web que permite explotar vulnerabilidades XSS ese mismo día 3 de Enero. Por supuesto esto no quiere decir que menéame sea responsable de nada, aclaro, pero la información que posteriormente han seguido los medios muy probablemente tenga este origen."
Es una pena, que toda la gente que critico tanto a telefonica y al gobierno por las anteriores noticias, no lean este articulo, aunque supongo que tampoco leyeron los anteriores: les fue suficiente con el titular y la entradilla.
Cierto es que tanto telefonica como el gobierno tienen muchas cosas que pueden ser criticadas, pero por esto no.
Noticias:
Mr. Bean 'se cuela' en la web oficial de la presidencia española
Mr. Bean 'se cuela' en la web oficial de la presid...
elmundo.esTelefónica recibe 12 millones de Moncloa para mantener la web de la presidencia europea
Telefónica recibe 12 millones de Moncloa para mant...
ecodiario.eleconomista.es... como borregos
#41 goto #39
parece que te da igual que estafen al gobierno de tu pais
Aún se puede hacer XSS http://tinyurl.com/yghr9f5
#39 ¡que grande!
Otro dato de por sí preocupante en esta adjudicación:
Fecha del Acuerdo 22/12/2009
Y más si leemos el artículo 135.3 de la Ley 30/2007 citado en ella:
3. La adjudicación provisional se acordará por el órgano de contratación en resolución motivada que deberá notificarse a los candidatos o licitadores y publicarse en un diario oficial o en el perfil de contratante del órgano de contratación, siendo de aplicación lo previsto en el artículo 137 en cuanto a la información que debe facilitarse a aquéllos aunque el plazo para su remisión será de cinco días hábiles. En los procedimientos negociados y de diálogo competitivo, la adjudicación provisional concretará y fijará los términos definitivos del contrato.
Y el siguiente, para la adjudicación definitiva:
4. La elevación a definitiva de la adjudicación provisional no podrá producirse antes de que transcurran quince días hábiles contados desde el siguiente a aquél en que se publique aquélla en un diario oficial o en el perfil de contratante del órgano de contratación.
es decir, mañana, sí, el día de los Reyes Magos...
En fin, todo parece hecho con muchas prisas y con su poco de guasa
Relacionada
Bean no es un hacker
Bean no es un hacker
Bean no es un hacker
blogs.expansion.comEsta web está sufriendo el efecto meneame en estos momentos, y es una pena porqué quiero leerlo.
Por otro lado y con relación a la web europea, ésta hace un uso profuso de las librerías de javascript JQuery que son de licencia GPL http://docs.jquery.com/Licensing con lo cual y a la vista del despliegue de millones que ha habido, supongo que habrán realizado una cuantiosa donación a los autores.....
http://docs.jquery.com/Donate
#17 Lo de los millones también es falso.
#19 Pues si es falso que cambien el contrato de licitacion en http://www.mpr.es/ServiciosCiudadano/LicitacionesYContratosPublicos/201042.htm
Porque segun se puede observar en el objeto del contrato los 12 millones se destinan a:
"Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea"
O sea que no ha habido ataque y que al final lo que se ha cobrado por la famosa web no han sido los 11,9 millones ni de lejos... Tanto el diario "El Mundo" como su periódico economico, ecodiario.eleconomista se han lucido a lo grande. Grande Pedro Jeta, como siempre.
#28 Ya, pero cuando se desglosa lo que se cobra por cada cosa es cuando viene el gran matiz.
#29 En ningun caso se generaliza con "servicios telematicos para la presidecia de UE" o "servicios informaticos para la presidencia de la UE" se especifica "de la página WEB para la Presidencia Española de la Unión Europea"
Nos ha jodido, si no son capaces de especificar un contrato de licitacion tan importante que se vayan a freir esparragos todos... por cierto yo el desglose ese solo se lo he leido a un tipo en un comentario... que validez tengo de eso ante un documento oficial¿?...
Otro dato de por sí preocupante en esta adjudicación:
Fecha del Acuerdo 22/12/2009
Y más si leemos el artículo 135.3 de la Ley 30/2007 citado en ella:
3. La adjudicación provisional se acordará por el órgano de contratación en resolución motivada que deberá notificarse a los candidatos o licitadores y publicarse en un diario oficial o en el perfil de contratante del órgano de contratación, siendo de aplicación lo previsto en el artículo 137 en cuanto a la información que debe facilitarse a aquéllos aunque el plazo para su remisión será de cinco días hábiles. En los procedimientos negociados y de diálogo competitivo, la adjudicación provisional concretará y fijará los términos definitivos del contrato.
Y el siguiente, para la adjudicación definitiva:
4. La elevación a definitiva de la adjudicación provisional no podrá producirse antes de que transcurran quince días hábiles contados desde el siguiente a aquél en que se publique aquélla en un diario oficial o en el perfil de contratante del órgano de contratación.
es decir, mañana, sí, el día de los Reyes Magos...
En fin, todo parece hecho con muchas prisas y con su poco de guasa
Fuentes:
Para la adjudicación: la citada en #28
Para la ley: http://noticias.juridicas.com/base_datos/Admin/l30-2007.l3t1.html#a135
Perdón por repetirme, pero quería añadir las fuentes y no conté con la limitación de tiempo de edición, glups
que importa si es o no un hackeo? que no hayan comprometido la seguridad del servidor no significa nada, porque el ataque sigue ahi, y es una vulnerabilidad bien conocida, si los ingenieros(ya me direis que pinta un ingeniero picando codigo cuando un simple tecnico podria hacerlo) que han hecho esa pagina no han tenido en cuenta ese ataque, es algo que tiene que saberse, porque se ha hecho mal, y la culpa final es de telefonica, ya que por mucho que haya subcontratado, deberia de haberse preocupado de que el producto es de buena calidad y sin fallos.
pues a mi ni se me abre la web de la presidencia....joer con lo cara que me ha costado
La web de la presicendia (www.eu2010.es) va algo lentorra, esperaba más por esos 400.000€
Además, esta alojada en www.digival.es no es una gran empresa, ni tienen una buena página web....
Yo creo que no tienen ni un VPS, ni un dedicado, ni un servidor de backups, almacenamiento SAN ni leches.
Como mucho el "Plan Corporativo" de 25€ al mes
Alguien puede explicar porqué www.eu2010.es estuvo caída durante horas ?
Quizá no sufrió un ataque de contenido pero sin duda su seguridad deja mucho que desear.
Joer, y por encima la web tiene cacheados en google errores (supongo que de antes de su lanzamiento)
org.opencms.search.CmsSearchException: Búsqueda de "query:[path:/sites/presidencia/en/agenda/seminarioscongresosyconf/* AND type:EsIeciEvento AND date:[1262257853587 TO 9999999999999]] fields:[type, date] sort:[unknown]" fallida.
Lo más cojonudo es que con esto del euro todavía no hemos asimilado lo que realmente nos están robando. Señores, las cifras puestas sobre la mesa son casi dos mil millones de pesetas. Mientras, para las ayudas de emancipación, familiares con minusvalías, I+D, etc., no hay dinero.
Lo vuelvo a repetir una vez más: dos mil millones de pesetas por una puñetera página web cuya utilidad tiende a cero y con una vida útil de 6 meses. Esto no pasa ni en las repúblicas bananeras.
Quiero dar desde aquí las gracias al que ha descubierto este error en la web.
Porque así nos hemos podido enterar de cómo nos siguen robando a la cara en época de crisis.
En una sóla operación han desviado 12 millones de euros.
Y no me refiero sólo a ZP y compañía, sino a que del PP digo exactamente lo mismo.
Les quiero a todos en la cárcel YA.
Ahí va lo que dice Hispasec sobre el "supuesto hackeo" http://www.hispasec.com/unaaldia/4090
Para más coña el sistema elegido para confeccionar la web de la presidencia es Open Source, y muchos de quienes han azuzado esta polémica son defensores de este tipo de soluciones. Les invito a ver que impresión han dado de las soluciones que recomiendan.
Voy a hacer una denuncia a la Agencia de Protección de Datos jijiji
Pd. Desde ping.eu, mi página web tiene ping 15ms (alojada en España) y www.eu2010.es tiene 30ms
Anda que buen hosting
Y esta es la replica a este artículo:
Reflexiones sobre la web eu2010.es
Reflexiones sobre la web eu2010.es
lectur.asBuenos datos, mejor sabor de boca
Una de efecto menéame por aquí.
Al menos se puede ver algo por:
http://www.google.com/search?q=cache%3Ahttp%3A%2F%2Fwww.mmadrigal.com%2Falgunos-datos-sobre-el-presunto-hackeo-de-la-web-de-presidencia-de-la-ue%2F
Vale ya me quedo más tranquilo no fue hackeo, fue chapuza .
Digáis lo que digáis, el país no esta como para gastar ese dinero en cumbres y demás estupideces. Zapatero lo que tienen que hacer es dejarse de tanta presidencia europea y arreglarnos los problemas de aquí.
Sinceramente, si Zapatero renunciase a la presidencia europea tal y como estamos sería un movimiento aplaudido por todos, pero su afán de protagonismo se lo impide.