España desde el 1 de Enero es la encargada de la Presidencia de la EU durante los próximos 6 meses y con este fin se ha creado un portal www.eu2010.es que se anuncio a bombo y platillo en todos los medios.
El escándalo salto ayer, 4 días de la publicación de la web, cuando un atacante identifico una vulnerabilidad de Cross-Site Scripting (XSS) permitiéndole inyectar código en el motor de búsqueda de la web. Dicho código colocaba una foto de Mr. Bean.
Si bien es cierto que esta vulnerabilidad tiene una criticidad baja a mí entender existen otros problemas:
- Las vulnerabilidades XSS no deben ser infravaloras ya que permiten realizar ataques mucho más sofisticados que atacar el navegador del cliente.
- Este evento es un claro ejemplo que no por usar soluciones Open Source se es más seguro automáticamente. La seguridad es un proceso y por eso tenemos metodologías como MS SDL y OWASP CLASP.
- Enlazando con el punto 2 un WAF podría haberles salvado el mal trago y en la línea Open Source tenemos el ModSecurity.
Como no podía ser de otra manera el Gobierno niega que el portal haya sido “hackeado” y en cierta manera tiene razón aunque no debemos olvidar que si existía una vulnerabilidad que no debería haber sucedido en primer lugar.
Este ataque XSS es más anecdótico que otra cosa pero el verdadero escándalo que ha destapado este evento es el alto coste de soporte técnico y seguridad que el Gobierno ha pagado a Telefónica: 11,9 millones de Euros.
Sorprende la desorbitada cifra para un portal con una duración de 6 meses y utilizando soluciones Open Source. Esto sí que es un verdadero escándalo y una vergüenza.
Spain starting January 1 is in charge of the Presidency of the EU during the next 6 months and for this purpose the portal www.eu2010.es was created and announced in all media.
The scandal jumped yesterday, 4 days after the publication of the web, when an attacker identify a vulnerability of Cross-site Scripting (XSS) allowing to inject code into the web search engine. That code placed a photo of Mr. Bean.
While it is true that this vulnerability has a low criticality there are other problems:
- XSS vulnerabilities should not be underestimated as they allow performing more sophisticated attacks that just attacking the client browser.
- This event is a clear example that using Open Source solutions is not more secure automatically. Security is a process and therefore we have methodologies such as MS SDL and OWASP CLASP.
- Linking with point 2 a WAF could have safe them some troubles and keeping with Open Source we have ModSecurity.
It could not be otherwise the Government denies that the portal has been “hacked” and somehow is right but we must not forget that there was a vulnerability that should not have happened in the first place.
This XSS attack is more anecdotal than anything else but the real scandal this event has uncovered is the high cost of technical support and security that the Government has paid to Telefónica: 11.9 million Euros.
Is surprising the huge figure for a portal with a duration of 6 months and using Open Source solutions. This is scandalous and disgraceful.
- http://www.eu2010.es
- http://www.mpr.es/ServiciosCiudadano/LicitacionesYContratosPublicos/201042.htm
- http://msdn.microsoft.com/en-us/security/cc448177.aspx
- http://www.owasp.org/index.php/Category:OWASP_CLASP_Project
- http://www.modsecurity.org/
— SRF
