miércoles, 6 de enero de 2010

Mr. Bean y el XSS. Por Daniel Rodríguez Herrera

Ha sido una imagen de notable incapacidad tecnológica la que ha dado este Gobierno del nuevo modelo de desarrollo productivo, basado en el I+D y no en el ladrillo, y todas esas monsergas propias de quien no sabe de qué habla.

Al final, ¿han atacado o no la web de la presidencia española de la UE? ¿Ha sido hackeada? ¿Qué ha pasado exactamente? Resulta difícil de entender para un lego, incluso para alguien que sabe algo de ordenadores pero no de seguridad informática, saber qué ha sucedido en realidad. Porque por mucho que el Gobierno insista en hablar de un "fotomontaje" son demasiados los que han visto directamente en su navegador la foto de Mr. Bean sustituyendo a la del presidente del Gobierno. Y sin embargo, es cierto que la seguridad de los servidores que alojan la web no ha sido comprometida. Pero ¿cómo se traduce este galimatías?


Normalmente se entiende como un ataque el uso de alguna técnica que permite a los malos entrar en el ordenador de otro como si fuera el propio o inutilizarlo de alguna forma. No es eso lo que ha pasado. Lo que se ha producido es un ataque empleando una técnica llamada cross-site scripting o XSS, información que imagino les habrá dejado igual de fríos. Mediante esta técnica pueden lograrse muchas cosas, entre ellas alterar un sitio web sin entrar en él, que es lo que han hecho en este caso.

Muchas veces, por ejemplo, haciendo una búsqueda en Google (por ejemplo, "ld"), podrán ver cómo la dirección de la web es un galimatías un poco incomprensible ("http://www.google.es/#hl=es&source=hp&q=ld&btnG=Buscar+con+Google&meta=&aq=f&oq=ld&fp=cd373de720a5339") en el cual se le envía al buscador un montón de información, entre la que destaca el texto que queremos encontrar en la web. En muchas páginas puede suceder que si en lugar de enviar un texto, digamos, normal, se envía código escrito en algún lenguaje de programación se consigue que éste se ejecute, lo que nos puede permitir, entre otros resultados, alterar el contenido que ven los usuarios.

Cuando ustedes accedían a la web por la dirección habitual, www.eu2010.es, veían la web en su estado normal. Sin embargo, el hacker en cuestión hizo circular una dirección similar a esos prodigios de arte abstracto que son a veces las direcciones de las páginas de los buscadores que hacía que la web de la presidencia española de la UE mostrara la imagen de Mr. Bean. No era un fotomontaje, no, pero tampoco fue un ataque clásico, de los que permiten a los malos hacerse con el control de la página. La web, vamos, no fue "hackeada", tal y como se suele emplear ese término.

Pero el problema es que da lo mismo si a esto se le llama técnicamente un ataque o no, porque el resultado que han visto los internautas ha sido equivalente a si lo hubieran hecho. Se trata de una imagen de notable incapacidad tecnológica la que ha dado este Gobierno del nuevo modelo de desarrollo productivo, basado en el I+D y no en el ladrillo, y todas esas monsergas propias de quien no sabe de qué habla. No es que no se lo merezca, claro.


Libertad Digital - Opinión

0 comentarios: