De todos los artículos que he leido sobre el ataque a la web de la Presidencia española, el de Hispasec me parece el más completo de todos.

No sólo aclara cómo es el ataque, sino que además nos habla de que los XSS no son tan livianos, ya que pueden derivar en robo de cookies, phising, introducción de troyanos…

Por lo tanto, no es de recibo que un proveedor que se le ha contratado para, entre otras cosas, llevar la seguridad de la web de Presidencia, deje a los usuarios de esta expuestos a estos problemas. Y, sobre todo, con un error de principiantes como comenté sobre este ataque en elmundo.es

También con este artículo se aclara que no se hackeó los navegadores de los usuarios. Primero, porque no se accedió tampoco a estos. Y, segundo, porque el ataque no residía en ellos.

Os dejo con el fantástico artículo de Hispasec:

“A estas horas ya todo el mundo debe saber lo ocurrido durante el día de ayer con la web de la Presidencia española de la Unión Europea (www.eu2010.es). De este “supuesto ataque” se pueden sacar conclusiones y tratar de aprender algo.

Durante el día de ayer saltó a los medios más generalistas la noticia de que un “hacker” (no se podía emplear otro término) había entrado en la recién inaugurada web de la Presidencia española de la Unión Europea (www.eu2010.es) y había incrustado en ella una imagen del conocido humorista británico Rowan Atkinson en su papel de Mr. Bean.

La noticia está causando un gran revuelo, incluso más después de conocer el dato de que el proyecto había costado más de 11 millones de euros, si bien este presupuesto no solo cubre el alojamiento, desarrollo y seguridad del sitio. También se incluyen otros asuntos relacionados con la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos y servicios de videostreaming de los centros de prensa que se habilitarán en las cumbres internacionales.

Pero realmente el sitio no ha sido vulnerado, en el sentido de que nadie ha tomado su control. En esta ocasión se volvió a cumplir aquello de “no dejar que la realidad estropee una buena noticia”. El problema radicaba en un cross-site scripting (XSS) que a través de una petición especialmente manipulada, había circulado en forma de URL por redes sociales, mensajería, etc. Alguien pulsó sobre el enlace del XSS y la noticia ya estaba creada.

La petición real que circuló tenía la forma:
http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

Se trata de un XSS tradicional no persistente. Es decir, si no se accede a través de ese enlace, en realidad no se puede ver ningún ataque. No deja de ser un problema de seguridad en el desarrollo de la web, pero no tiene nada que ver con el hecho de que alguien entre y tome el control de unos servidores.

En el blog Security By Default, lo han explicado de una forma muy
instructiva en:
http://www.securitybydefault.com/2010/01/eu2010es-el-fail-es-para.html

Por otra parte, tampoco se puede considerar totalmente correcta la explicación dada por el gobierno español para negar el supuesto “hackeo”:

“El supuesto ataque -señala Moncloa en un comunicado- ha consistido en que se ha empleado una captura de una página de búsqueda del sitio para hacer un fotomontaje al que se ha asignado una dirección (url o enlace) que luego se ha distribuido en Internet, a través de redes sociales y blogs”.

En un fallido intento de restar importancia al asunto, se ha usado la palabra “fotomontaje”, pero la verdad es que la imagen capturada y el fallo de seguridad eran reales, no producto del “PhotoShop”. La explicación certera hubiese sido que la imagen de Mr. Bean, debido a un problema de seguridad, se mostraba “interpretada en” la página, pero no “desde” ella. No hubiese estado de más aclarar que mostrar una imagen es el menos grave los daños que se podrían haber causado. En cualquiera de los casos, el daño a la reputación está hecho, y es quizás el problema más serio a los que se enfrentan los responsables de la página en estos momentos.

Con esto, está claro que la web no fue “hackeada”, pero está igual de claro que contenía un problema de seguridad en su buscador. O bien no se había realizado una auditoría de seguridad o no se había prestado atención a los problemas de cross-site scripting encontrados. Ambas circunstancias suelen ser habituales.

En muchas ocasiones en nuestros trabajos de auditoría nos planteamos cómo calificar la gravedad de un cross-site scripting; desde luego, no permite “entrar” en el servidor, pero el alcance que puede provocar (y aquí tenemos un claro ejemplo) puede ser igual de serio. No se presta la suficiente atención en corregirlo (dado que no se considera un problema grave) y se da carpetazo al asunto con un “este fallo no permite entrar en el servidor”.

En una página sin control de sesión y sin datos que robar, el riesgo de un error como el que nos ocupa actualmente (”de libro” y más habitual de lo que parece) puede ser considerado como de riesgo medio desde el punto de vista técnico, si bien ya hemos visto que el impacto mediático ha sido alto y por tanto también debe valorarse el daño potencial a la imagen de este tipo de vulnerabilidades.

También existen casos en que las vulnerabilidades por XSS son consideradas de riesgo alto por criterios técnicos. Debemos pensar que los vectores de ataques de las vulnerabilidades XSS son variados y dependen del contexto, pudiendo ser utilizados en casos de phishings, distribución de malware desde fuentes teóricamente confiables, suplantación de sesiones, robos de cookies, etc.

Aunque en este caso no llegaron a entrar en el servidor (tal como múltiples medios aseguraban), a efectos prácticos el resultado final que se ha transmitido a la conciencia colectiva es equivalente a si hubieran tomado el control. La imagen que se ha transmitido sobre el gobierno español y sobre Telefónica como encargada del proyecto, tanto en España como en Europa (donde el incidente también ha transcendido), no es nada positiva. Por eso, una vez más es importante recordar la importancia de auditar y corregir cualquier tipo de fallo encontrado, aunque sea un cross-site-scripting que no permita “entrar” en el servidor.”

Fuente: Hispasec

Todos sabemos que en el sitio web dedicado a la Presidencia de España en la unión europea (http://www.eu2010.es) se les coló Mr. Bean.

Aprovechando una vulnerabilidad XSS los atacantes pudieron colar a este hermano de ZP en la web del sitio.

Lo que me deja perpleja son dos cosas:

1) Que Telefónica se lleva 12 millones de euros por la “seguridad” de dicha web, y a las primeras de cambio les cuelan un error de principiante, tal y como he comentado en la entrevista que me han hecho en elmundo.es sobre este asunto.

2) Que Presidencia del Gobierno ha emitido un comunicado que os reproduzco literalmente, en el cual dicen que “la web se ha caido no por un ataque, sino por una avalancha de visitas para ver un supuesto hackeo que ha sido difundido en las redes sociales”.

“El Gobierno ha aclarado hoy que no ha detectado “accesos no permitidos” en la web de la presidencia española de la UE con el fin de modificar el contenido de la página y ha afirmado que los problemas de acceso que este sitio registraba a lo largo del día de hoy han estado provocados por un “considerable incremento de tráfico” ante las informaciones vertidas en blogs, redes sociales, medios digitales, radios y televisiones, sobre un “supuesto” ataque de un ‘hacker’ (pirata informático).”

Fuente: Europa Press

Con comunicados como estos, estoy convencida de las razones de usar a Mr. Bean como imágen de nuestros representantes.

Señora ministra:

En mi calidad de asesora y profesora del Cuerpo Nacional de Policia y de la Guardia Civil, he tenido que visionar vídeos, fotos y todo tipo de material pedófilo. Le puedo asegurar que son visiones que no se te quitan jamás de la cabeza y del corazón.

Me repugna ver que existen tipos en nuestra sociedad de la más baja escoria. Pero me siento más impotente cuando, después de una exitosa operación, las páginas donde hay este material siguen abiertas.

Si es en territorio nacional, las acciones van más rápidas. Siempre hay un Juez que ordena el cierre. Pero usted sabe muy bien que estas páginas suelen estar alojadas fuera de nuestro país. Los pedófilos saben perfectamente que no se suelen otorgar comisiones rogatorias a otros países para pedir el cierre, ya que suelen ser inútiles.

Parecía que no se podía hacer nada. Estamos atados por la Ley. Hasta ahora podía comprenderlo, pero…

Usted pretende imponerse por encima de la Ley. Con su norma de “patada al router” usted pretende que, toda página que a su “comisión de expertos” no le guste (porque haya, por ejemplo, enlaces a otras páginas de descarga), sea cerrada inmediatamente, sin orden previa judicial. ¿Y qué ocurre si estas página están fuera de nuestro país?. Sencillo: pedir a los proveedores de información (Telefónica, Orange, etc etc) que corten el acceso a estas páginas a los usuarios.

Y yo me pregunto, señora ministra: ¿por qué hay que respetar los derechos de Ramoncín por encima de todo, incluso cortando el acceso a internet? ¿Por qué no toma la misma medida contra las páginas pedófilas?. ¿Es que le importa a usted más Ramoncín que las victimas de la pedofilia?.

Este mundo es muy injusto, ¿verdad?. Yo podría comprender que hubiera un grupo de personajillos que fueran escoria social. Pero no puedo comprender un Gobierno que le importa más defender a Ramoncín que a inocentes niños, incluso creando normas a medida cuando en los Juzgados siempre les han quitado a ustedes la razón.

Señora ministra, quede usted con mis más sincera repulsas.

Cuando en el año 2007 me dijeron “WebTaller.com es el site ideal para realizar un congreso de webmasters”, me lanzé a la aventura y creamos el Congreso de WebMasters, dirigido a la comunidad de nuestro website. Como sabeis, o eso espero, WebTaller.com es la web lider en el sector hispano de programadores web, con más de 50.000 ip’s distintas de visitas al día.

Pero el Congreso ha evolucionado. Ya es un ente propio e independiente de nuestro site.

El concepto de “webmaster” casi ha quedado como una palabra retro, ya no existe el hombre o mujer orquesta que lo hacía todo en un principio. Ya hay muchas especialistas en cada area (programación, diseño, seo, usabilidad, persuabilidad, seguridad, etc etc.)

Además, en este sector las novedades se suceden frenéticamente. Hemos asistido a la aparición de los podcast, de la web 2.0 y las Redes Sociales, el auge de los blogs, la televisión por internet.. Y hemos hablado y hablaremos de ellos en los próximos congresos.

No queremos limitarnos. Y, sobre todo, queremos ajustarnos a lo que ya ha sido una realidad en este último congreso. Por ello, aunque es una apuesta arriesgada por el branding, hemos decidido lanzar hoy la noticia que llevamos pensando hace meses.

Desde hoy, el Congreso de WebMasters es el Congreso de Internet.

Gracias a todos por seguirnos, y os esperamos en el Congreso de Internet 2010!

Hasta hace poco era un misterio con qué dominio Google lanzaría su nuevo servicio Google Wave al público. Los que tenemos cuenta accedemos desde wavesandbox.com, pero este dominio (caja de pruebas) no parece ser que sea el definitivo.

Investigando un poquito creo que he dado con el dominio misterioso: www.gwave.com

Desde hace pocos días, Google ya lo ha abierto, aunque parece que aún debemos esperar un poco para verlo “en sociedad”, ya que es aún un servicio en desarrollo.

Hace ya tiempo que dispongo de mi cuenta en Google Wave, pero la organización del III Congreso de WebMasters casi no me deja tiempo para poder comentar nada en este blog. Ha llegado el momento de explicar qué es Google Wave.

Google define Google Wave como “es un documento y una conversación a partes iguales.”. Dicho así, dice poco. Pero es la esencia.

Google Wave es un nuevo modelo de comunicación. En él se integran mensajes y cualquier otro tipo de aplicación multimedia.

Veamos la pantalla principal de Google Wave:

Si pulsais en la imagen la vereis en detalle.

Como veis, la pantalla se divide en tres partes: La primera columna de la izquierda, es un panel donde puedes ver el menú de navegación y los contactos. En la columna siguiente, la lista de Waves creados. Y, por último, en la parte de la derecha, puedes ver cada Wave en detalle.

Pero que es un Wave?. Lo mejor es explicarlo con ejemplos: Como podeis ver en la imagen de arriba, este wave es un documento en el que los inscritos a él (más de 240 personas), dialogan sobre un tema, en este caso la integración de Twitter en Google Wave. Están generando de momento una tormenta de ideas para luego desarrollar el plugin necesario para integrar Twitter en Google Wave.

Este Wave está “vivo”. Es decir, puedes responder en cualquier parte de la conversación. Editarlo, añadir cosas, eliminar cosas… Y, si te pierdes, arriba tienes un “Playback” que te irá mostrando cómo se han ido incorporando los elementos, enseñándote paso a paso o fotograma a fotograma. Se pueden “inscrutar” ya varios elementos… mapas de Google, Videos, presentaciones….

Algo curioso es cómo se interactúa, por ejemplo, con una web incrustada en un Wave. En este video podeis verlo:

Google Wave from Maria Rosa Diez on Vimeo.

Por supuesto, todo es en tiempo real. Por ejemplo, cuando alguien escribe en un Wave, puedes ver “en vivo” cómo va editando, letra a letra.

Gracias al nuevo protocolo “Wave Protocol“, podremos hacer varias cosas: imagina ver letra a letra cómo va respondiendo alguien en un Wave… Varias personas a la vez editando, añadiendo y colaborando a la vez, en tiempo real.

O, por ejemplo, usar el Drag and Drop para arrastrar la carpeta que tienes en tu escritorio con todo el material para un proyecto. Voilá! Google Wave lo convierte en un documento e inscruta todo para que los que se añadan a ese Wave puedan participar.

Y no solo eso. Sin un click más, y gracias a la tecnología de Gears, subir ese contenido a Flickr, Facebook….

Google Wave para Blogs

Os pongo en situación. Varios bloggers abren un Wave. Lo editan en tiempo real, y cuando está acabado, se envía directamente a un blog para publicar.

Pero también se puede convertir a PDF, enviarlo por email… y todo lo que se os ocurra.

Integración en Webs

Google Wave podrá, entre otras cosas, integrarse en cualquier sitio web.

Algunos detalles técnicos:

Google Wave es ver la potencia del HTML5 en toda su extensión.

Open source

Google planea abrir el código fuente  que permitirá al público desarrollar sus funciones a través de extensiones. Google también permitirá a terceros crear sus propios servicios de Wave lo más rápidamente posible (ya sea privado o comercial ), porque quiere que el Wave Protocol reemplaze  el protocolo de e-mail.

Google está construyendo APIs que permiten a los desarrolladores  utilizar y aprovechar Google Wave por medio de extensiones y  programas robots para automatizar tareas comunes y / o crear gadgets para extender o cambiar la interacción del usuario.

Protocolo

El servicio va a correr sobre una extensión de XMPP. Al ser un protocolo abierto, cualquier persona puede utilizarlo para crear un sistema personalizado de Wave y convertirse en un proveedor.

El uso de un protocolo abierto se destina a la apertura en paralelo y la facilidad de adopción del protocolo de correo electrónico y, como el correo electrónico , permiten la comunicación, independientemente del proveedor.

Google espera que los Waves puedan sustituir el correo electrónico como la forma dominante de comunicación de Internet. De esta manera, Google tiene la intención de ser sólo uno de muchos proveedores de Waves. Puede también puede utilizarse como un complemento de correo electrónico, mensajería instantánea, FTP, etc.

Hay tantas cosas por contar que creo que se merecen más post sobre Google Wave. Aquí termina el primero, con esta visión general.

Como cité anoche en mi Twitter, Google está dando los últimos retoques a su nueva forma de indexación/resultados en su motor de búsqueda.

Se puede probar desde esta dirección.

Este fin de semana he asistido al SeoSarao, que se celebró en Marbella,  de la buena mano organizativa de Fernando Muñoz (señor muñoz.es)  (al que le agradezco que me invitara) y Javier Moral, de Hoteles.es

Mucho networking, muchas charlas con otros compañeros, un genial ambiente, buena comida, (os recomiendo el restaurante Garum, es genial), al lado de la playa, y la mejor habitación del hotel,  (según me dijeron en el hotel porque la organización se la pidió para mi) además de ver a mis amigos de la zona (menuda fiesta la del sabado noche…) han hecho que este fin de semana me haya desconectado del trabajo y haya recargado las pilas con vistas a la organización del Congreso de WebMasters 2009.

El año que viene repito sin dudarlo

No he parado desde que hemos anunciado la III Edición del Congreso de WebMasters.

Os dejo con la nota de prensa:

Cronología de los hechos:

- Un usuario muy respetado en meneame (me_meneo_pensando_en_ti), se queja de que una noticia enviada por él ha sido descartada (http://meneame.net/story/como-explicarle-nino-no-juegue-comida) mientras que otra que “incumple” la misma regla es aprobada. Pide explicaciones a los administradores de este doble rasero.

- El usuario es baneado.

- En su blog, explica su situación, y el post es enviado a Meneame.

- Los usuarios empiezan a posicionarse y piden que el usuario sea desbaneado. Los administradores empiezan a banear a todo aquel que no se posicione a su favor (solo hace falta leer los comentarios ocultos de los usuarios expulsados).

- En lugar de aceptar posiciones contrarias, y sin el respeto a los que realmente crean el contenido de Meneame, los administradores, con esta acción, provocan una auténtica revolución de los usuarios.

- Estos, enfadados por ser silenciados, empiezan a mandar noticias donde se refleja esta censura, consiguiendo en pocas horas que la portada esté plaga de noticias en contra de la actitud de los administradores.

Los administradores incurren, debido al nerviosismo, en una larga cadena de fallos:

- Banean a casi 500 usuarios.

- Rectifican la portada de Meneame. Cambian los titulares de todas las noticias, yendo en contra totalmente de lo que habían votado los usuarios:

- Cambian el karma a más de 7 para poder comentar y otras acciones que impiden que la gente pueda dar su opinión.

- La gente sigue si recibir respuestas.

- A las 24 horas, Gallir habla por primera vez de los hechos. Además, publica la lista de los baneados, sin permiso de estos y yendo claramente contra la LOPD.  (Recordemos que cualquier dato que identifique a un usuario con respecto a otro en un sistema (nick, email…) es considerado dato personal ante la LOPD). Y lo que es peor, cometiendo él mismo la misma falta que usa como excusa para banear el dia anterior.

- Desbanean pero no restituye el karma de los que votaron a las “malas” noticias, por lo que la medida populista esconde, en realidad, un baneo práctico, ya que estos usuarios no pueden usar las mismas herramientas que los demás .

En resumen: Internet es de los usuarios. La Web 2.0 está en sus manos. Y, sobre todo si los contenidos de tu sitio depende de ellos, siempre hay que tenerlos sumo respeto y escucharles siempre. Meneame no aprendió de caso Digg. Y me temo que tampoco de su revolución de ayer.