944 meneos
8558 clics

"Descuido" gordo en la Web del Senado de los 500.000 €

www.elladodelmal.com/2012/12/descuido-gordo-en-la-web-del... 
por tito_vilanova el 10-12-2012 08:37 UTC publicado: 10-12-2012 09:45 UTC
Después de que se armara gorda por el coste de los 500.000 € de la web del Senado, que incluso llevó a algunas personas a desarrollar la misma web pero en versión Low Cost, un lector del blog - ¡Gracias Eduardo! - me alertó de que la plataforma de gestión de contenidos del Senado estaba basada en Oracle Content Server y se habían olvidado de proteger el acceso al CMS, permitiendo el acceso anónimo.
etiquetas: web, senado
negativos: 0   usuarios: 314   anónimos: 630  
compartir:  twitter  facebook  tuenti  
65comentarios tecnología, seguridad karma: 647
  1. #1   Ya estoy pensando que la Web la hizo un nieto adolescente de algún senador, para no aburrirse en vacaciones... :roll:
    65  votos: 7   link
    el 10-12-2012 08:50 UTC por caie caie
  2. #2   La pregunta del millón, y cito del artículo: "La pregunta es, ¿con todo este dinero no se podría haber hecho una auditoría de seguridad web antes de ponerlo online?"
    206  votos: 22   link
    el 10-12-2012 08:52 UTC por noexisto noexisto
  3. #3   #2 Si pagas con cacahuetes tienes monos.
    387  votos: 43   link
    el 10-12-2012 09:00 UTC por acarazo acarazo
  4. #4   El que la hizo se quería guardar un backdoor por si acaso no le pagaban....
    84  votos: 8   link
    el 10-12-2012 09:48 UTC por Neo2021 Neo2021
  5. #5   Es fácil hacer las cosas bien pero es más rápido no hacerlas.
    36  votos: 3   link
    el 10-12-2012 09:48 UTC por kienvaser kienvaser
  6. #6   Esta echa en Spañistan por empresarios afines al régimen, que esperas? Todo buen informático en España o es autónomo o trabaja para el extranjero, pero si trabaja en una consultora es como si trabajase en un cortijo, chapuza tras chapuza
    -15  votos: 15   link
    el 10-12-2012 09:49 UTC por LiberaLaCultura LiberaLaCultura
  7. #7   ¡Oracle Content Server! ¿Para esa birria de web?
    ¿Cuánto se ha llevado Oracle de los 500K? Apostaría a que no menos de 200.000.
    150  votos: 16   link
    el 10-12-2012 09:50 UTC por batouage batouage
  8. #8   No pasa nada, se cogen los DNI de todos los votantes y que paguen ellos su fiesta, barra libre.
    24  votos: 2   link
    el 10-12-2012 09:50 UTC por bensidheseleccion bensidheseleccion
  9. #9   #1 No, seguramente la ha hecho una de nuestras maravillosas cárnicas Españolas. Quién habrá sido? Indra?
    71  votos: 8   link
    el 10-12-2012 09:50 UTC por mangrar_2 mangrar_2
  10. #10   Ahora vendrán los que decían que el XSS era una tontería y que se exageraba :roll:
    -19  votos: 6   link
    el 10-12-2012 09:50 UTC por jonolulu jonolulu
  11. #11   #8 efectivamente, yo soy de los del extranjero, se como trabajan las cárnicas en españa y el "sueldazo" que nos pagan.
    27  votos: 2   link
    el 10-12-2012 09:51 UTC por mangrar_2 mangrar_2
  12. #12   #6 Sí, y los catalanes son unos tacaños, los funcionarios unos vagos, los Bilbainos unos exagerados y tú un troll de los malos además...
    24  votos: 2   link
    el 10-12-2012 09:52 UTC por eddard eddard
  13. #13   Esto ya lo escribí para otro fallo en un sistema de las universidades, pero es que viene ni que pintado aquí también:

    "Cómo funcionan las cosas en este país.
    La administración hace un acuerdo con Indra, o Telefónica u otra empresa gorda por el valor de 500000 €(ya que esta empresa tiene un nombre). Esta empresa subcontrata a otra empresa, que a su vez subcontrata a otra empresa, que a su vez subcontrata a la empresa primera que subcontrata a otra empresa diferente, subcontratando a una cárnica. La cárnica contrata a dos becarios por 800 € al mes y les dice que no hay dinero para más, y que el proyecto no tiene más dinero, y que tienen que trabajar 12 horas para completar el proyecto, y que no pueden meter a más personas. Resultado, personas totalmente desmotivadas por su trabajo, cobrando una mierda, y trabajando 12 horas o más, realizan un trabajo que nos ha costado a todos 500000 € de euros, que se quedan entre todas las empresas intermedias, mientras que las personas que lo han desarrollado se llevan tan solo 8000 € (10 meses de trabajo) cada uno.

    Así funciona Spain, y esa es la mentalidad que hay que romper."
    357  votos: 41   link
    el 10-12-2012 09:54 UTC por AtreyuGreen AtreyuGreen
  14. #14   Simplemente, el acceso a esta URL: www.senado.es/web/wcm/support/login/wcm-login.jsp
    Debería está capado por IP u otro sistema
    44  votos: 5   link
    el 10-12-2012 09:54 UTC por peroque peroque
  15. #15   #10 EL XSS sí es y sigue siendo una tontería. El acceso anónimo a Oracle Content Server no lo es
    48  votos: 6   link
    el 10-12-2012 09:55 UTC por dadelmo dadelmo
  16. #16   Como contribuyentes deberíamos exigir el presupuesto detallado del proyecto.
    20  votos: 1   link
    el 10-12-2012 09:56 UTC por JaviAledo JaviAledo
  17. #17   #15 El XSS no es una tontería en una web de medio millón de €, no por el XSS en sí, sino por lo que supone que hay detrás: pufazo

    Pensé que no tendrá que explicarlo. Gracias por el negativo
    38  votos: 3   link
    el 10-12-2012 09:57 UTC por jonolulu jonolulu
  18. #18   #12 hablo de las consultaras tipo Indra, Accenture, etc, no soy ningun troll cuento mi experiencia, y no he critico a las pocas empresas serias ke hay en españa, solo critico a las afines al régimen que son controladas por ellas misma no entiendo tu ataque, no generalizo como ironizas tu
    25  votos: 4   link
    el 10-12-2012 09:57 UTC por LiberaLaCultura LiberaLaCultura
  19. #19   #7, el problema no es el Oracle Content Server sino, como dice #2, que no se haya hecho una auditoría de seguridad antes de hacerlo público.

    Con windows, linux, oracle, mysql, php, java o lo que sea puedes hacer la cosa más insegura o casi una fortaleza, todo depende de lo que te gastes en programarlo y asegurarlo bien o lo que te gastes en sueldos de jefazos y favores varios.
    49  votos: 4   link
    el 10-12-2012 10:01 UTC por wikimonki wikimonki
  20. #20   #17 Es que, como comentó alguién, ni siquiera había XSS puesto que no permitía insertar scripts, solo texto.
    19  votos: 1   link
    el 10-12-2012 10:07 UTC por angelitoMagno angelitoMagno
  21. #21   Oye lo mismo la llave del Senado esta bajo el felpudo...
    38  votos: 3   link
    el 10-12-2012 10:07 UTC por inbox inbox
  22. #22   #20 ¿Tengo que volver a explicarlo? Lo importante no es el alcance del fallo de seguridad, lo importante es lo que implica: por qué se ha cometido
    16  votos: 2   link
    el 10-12-2012 10:15 UTC por jonolulu jonolulu
  23. #23   #3 No confundas! Se ha pagado con caviar iraní al que tiene de becarios a unos monos a los que paga con cacahuetes...
    144  votos: 16   link
    el 10-12-2012 10:16 UTC por Seta_roja Seta_roja
  24. #24   Sólo por aportar un poco de luz al tema Oracle...

    El Senado pagó 218.000 euros en licencias a Oracle a través de su 'mejor amigo':
    www.elconfidencial.com/tecnologia/2012/12/10/el-senado-pago-218000-eur

    cof cof
    90  votos: 9   link
    el 10-12-2012 10:23 UTC por rafamerino rafamerino
  25. #25   No se incluyen en los contratos a estas "grandes" consultoras cláusulas que penalicen económicamente estos errores garrafales?
    17  votos: 1   link
    el 10-12-2012 10:24 UTC por cogecorre cogecorre
  26. #26   #2 Esto es España. Si se hubiera hecho una auditoría de seguridad, ésta hubiera costado 500.000 euros más y hubiera consistido en unas fotocopias en blanco y negro de un trabajo bajado del "Rincón de vago".
    Y después, dicen que el problema de la competitividad del país son lo sueldos de los trabajadores o los puentes. Vaya desastre de país, y qué cinismo.
    56  votos: 8   link
    el 10-12-2012 10:29 UTC por magsx magsx
  27. #27   #13 Un tipo de una famosa empresa de informática (con nombre de tres letras, como HAL :-) ) me comentó que ciertas herramientas de gestión de proyectos software tuvieron que adaptarlas al mercado español, pues las cadenas de subcontratas aquí tienen tantos eslabones que los diseñadores de dichas herramientas nunca contemplaron tal posibilidad. Pensaban que una subcontrata nunca pasaría de dos o tres eslabones... Españistán.
    223  votos: 26   link
    el 10-12-2012 10:31 UTC por xamevou xamevou
  28. #28   Oracle, los amigos de Oracle, GFI y VASS se han llenado bien los bolsillos.
    14  votos: 1   link
    el 10-12-2012 10:34 UTC por mcalavera81 mcalavera81
  29. #29   Pero si yo tengo 3 webs con WordPress.com que me quedan de PM y no me he gastao un céntimo!!!
    17  votos: 1   link
    el 10-12-2012 10:35 UTC por bizilagun bizilagun
  30. #30   Pues esto es de traca!!! Mi empresa gestiona la web del IPCE ipce.mcu.es y para acceder al CMS hace falta un certificado digital y dos passwords. Si no tienes instalado el certificado ni siquiera puedes ver la pantalla de login. Tan poco es "Rocket Science" el proteger un poco el acceso a un CMS.
    43  votos: 3   link
    el 10-12-2012 10:37 UTC por blueice blueice
  31. #31   #23 No pretendía decir otra cosa. Los empresaurios siguen ganando en esta crisis.
    43  votos: 3   link
    el 10-12-2012 10:39 UTC por acarazo acarazo
  32. #32   #27 Madre del amor hermoso...
    #29 ¡¡Negativo, negativo por intento de microblogging!! :-D
    7  votos: 0   link
    el 10-12-2012 10:50 UTC por Ganimedes Ganimedes
  33. #33   #27 ¿Quieres decir que esa empresa (que lleva años y años trabajando con software) no se ha encontrado un sistema tan avanzado como el que tenemos nosotros?
    UFFF, pringaos, lo que se están perdiendo, les llevamos años luz de ventaja al resto del planeta...
    6  votos: 0   link
    el 10-12-2012 10:52 UTC por AtreyuGreen AtreyuGreen
  34. #34   #27 Positivazo por lo de digamos HAL ;)
    30  votos: 2   link
    el 10-12-2012 11:13 UTC por mercenario mercenario
  35. #35   #24, El meneo en cuestión: www.meneame.net/story/senado-pago-218-000-euros-licencias-oracle-trave
    27  votos: 2   link
    el 10-12-2012 11:14 UTC por difusion difusion
  36. #36   #27 has hilado muy fino con lo de HAL, positivo sólo por eso xD
    9  votos: 0   link
    el 10-12-2012 11:29 UTC por misato misato
  37. #37   VERGUENZA AJENA
    6  votos: 0   link
    el 10-12-2012 11:46 UTC por TCOtelecom TCOtelecom
  38. #38   #18 Todo buen informático en España o es autónomo o trabaja para el extranjero, pero si trabaja en una consultora es como si trabajase en un cortijo
    Pues menos mal que esto no es generalizar... yo ahí ni veo Indra, ni veo afin a nada.. te has cargado a todos los informáticos que trabajan en consultoras de un plumazo, así sin despeinarte... o eres autónomo o te piras del país o eres un informático de mierda...

    Un comentario muy constructivo, sí señor.
    24  votos: 2   link
    el 10-12-2012 11:56 UTC por eddard eddard
  39. #39   #38 vale pues lo siento me refería a las consultoras tipo Indra ó Accenture que son las que cogen to los proyectos con el gobierno, rectificar es de sobrios, xD

    Por cierto existe en españa alguna empresa de informática grande que no chupe de la mama del gobierno? He caído en la trampa de generalizar porque no la conozco tu la conoces?
    28  votos: 2   link
    el 10-12-2012 12:06 UTC por LiberaLaCultura LiberaLaCultura
  40. #40   #13 Buenísimo, es exactamente como funciona, por eso me fuí de España.
    37  votos: 3   link
    el 10-12-2012 12:35 UTC por mangrar_2 mangrar_2
  41. #41   #13 Realmente no es porque tenga un nombre (quizás este caso sí, no lo sé). Lo que suele suceder es que hay concursos tecnológicos públicos donde uno de los requisitos para poder participar o puntuar puede ser tener una facturación anual de X millones de euros lo que obliga a una pyme especialista que no supera esa facturación anual a ir de la mano (o bajo la falda) de Indra, Telefónica... estos meten una cúpula coordinadora en el proyecto y va desviando los marrones tecnológicos a la pyme especialista correspondiente.
    28  votos: 2   link
    el 10-12-2012 13:41 UTC por kurroman kurroman
  42. #42   #13 se te olvida un pequeño detalle: esas empresas son, en ocasiones, casualmente, de "amigos", "conocidos"... de políticos. Españistán, el país de las casualidades.
    32  votos: 2   link
    el 10-12-2012 13:51 UTC por Shotokax Shotokax
  43. #43   #23 No creo que los becarios sean monos, los becarios son becarios.
    Lo que tenemos son muchos cerdos que contratan a unos becarios para hacer el trabajo de ingenieros.
    21  votos: 1   link
    el 10-12-2012 14:03 UTC por batouage batouage
  44. #44   Y el acceso a la intranet del Senado:
    sensso.senado.es/sso/pages/senlogin.jsp
    7  votos: 0   link
    el 10-12-2012 14:09 UTC por polpitart polpitart
  45. #45   #43 No todos los becarios son monos, pero muchas veces la culpa es del becario por tragar con todo... Pero ese es otro tema! ;)
    10  votos: 0   link
    el 10-12-2012 14:10 UTC por Seta_roja Seta_roja
  46. #46   #38 En esa frase no veo dónde se mete con los informáticos. Se mete con las consultoras, que son los cortijos. Que #39 me corrija si me equivoco.
    33  votos: 2   link
    el 10-12-2012 14:13 UTC por bufalo_1973 bufalo_1973
  47. #47   #44 Da fallo de acceso directo.
    11  votos: 0   link
    el 10-12-2012 14:15 UTC por bufalo_1973 bufalo_1973
  48. #48   Hasta el Pentagono tiene abierto el "Oracle Application Server Single Sign-On ":

    prissod1.acsap.hqda.pentagon.mil/sso/pages/login.jsp
    7  votos: 0   link
    el 10-12-2012 14:16 UTC por polpitart polpitart
  49. #49   #47 Pues mejor este: sensso.senado.es/sso/pages/
    7  votos: 0   link
    el 10-12-2012 14:18 UTC por polpitart polpitart
  50. #50   #46 Si si me refería a eso, las consultoras, pero se ve que aquí hay que poner las cosas claritas si no la gente se ofende con nada.
    17  votos: 1   link
    el 10-12-2012 14:21 UTC por LiberaLaCultura LiberaLaCultura
  51. #51   #29 ¿Tu tiempo no vale nada?
    17  votos: 1   link
    el 10-12-2012 14:38 UTC por musg0 musg0
  52. #52   #38 Por cierto por tu cabreo al escribir entiendo que eres un jefecillo de ese tipo de consultoras de los que vende humo y no sabe ni hacer el hola mundo en php, pues lo siento pero el ke se pika ajos come
    17  votos: 1   link
    el 10-12-2012 15:32 UTC por LiberaLaCultura LiberaLaCultura
  53. #53   Es un error pensar que cualquiera que cobre más de mil euros (o que los gaste) es un corrupto. A lo mejor hacer una buena página web cuesta más que eso, no lo sé, lo que está claro es que la calidad es deficiente. Pero también estoy seguro que si hubiera costado 700.000€ nos echaríamos las manos a la cabeza igual.

    Y digo todo esto sin descartar que seguramente sí hubo corrupción, explotación a los informáticos, y más cosas.
    7  votos: 0   link
    el 10-12-2012 15:34 UTC por Arth Arth
  54. #54   #53 en realidad la mayor critica es usar un Sistema Gestor Base de Datos de pago como es Oracle, mas habiendo alternativas libres que van bastante bien (yo creo que mejor, pero eso seria una discusión muy larga) como por ejemplo postgres o mysql cluster, ke eso ha sido mas de la mitad del presupuesto, yo lo demás no lo critico porque es un desarrollo 100% propio y en ocasiones es mejor eso que usar CMS libre (depende de lo que te piden si es algo muy especifico es mejor hacerlo desde cero, no tengo todos los datos para valorarlo). Solo usando postgres podían haber ahorrados mas 200.000 euros y si la web esta bien echa no sería necesario ni recodificar nada solo cambiar la capa de acceso a datos (lo cual dudo pero como no lo se no critico).
    6  votos: 0   link
    el 10-12-2012 15:40 UTC por LiberaLaCultura LiberaLaCultura
  55. #55   #13 Estás en lo cierto si cuando dices que contratas a dos becarios por 800 euros te refieres a los dos por 800 euros, no 800 euros para cada uno (también suelen contratarlos por el placer de aprender).
    17  votos: 1   link
    el 10-12-2012 15:52 UTC por Trublux Trublux
  56. #56   #46 Empezando por la frase "todo buen informático" significa que si trabajas en una consultora no puedes ser buen informático.. y todavía crees que se meten con las consultoras, y no con los informáticos?

    #52 Pues como todos los comentarios hasta ahora en este hilo, te pasas de "entendederas" y fallas el tiro, además por mucho... soy un informático, trabajando en una consultora, nada de jefecillo... Y casualmente sé php... pero podría no saberlo perfectamente, la informática es lo suficientemente amplia como para poder ser un experto en sistemas de información y no haber hecho un "hello world" en php en tu vida... Y sí, me considero un buen profesional Y sí, ha habido proyectos vendehumos y ha habido proyectos muy profesionales, con mis más y mis menos, como cualquier profesión.... a ver si te crees que el que hace sillas de madera le salen todas derechas, alguna hace que se le rompe la pata antes de tiempo. Y antes de que me preguntes qué he hecho en php... drupal.
    10  votos: 0   link
    el 10-12-2012 15:54 UTC por eddard eddard
  57. #57   #54 Ya, pero en la realidad de quién? A lo mejor para ti lo es, para mi, intentando verlo de forma objetiva se crítica simplemente la falta de una auditoría de seguridad. A lo que va mi comentario es más bien contra el título, en el momento que pones el precio en el título automáticamente induces a la gente a pensar que no sólo es caro sino que encima también es defectuoso. (Que no sé si será caro, pero es un error concluirlo)
    7  votos: 0   link
    el 10-12-2012 15:55 UTC por Arth Arth
  58. #58   #56 Pues si consideras que una empresa puede hacer proyectos que son humo y otros bien y eso es correcto ya dejamos de discutir porque yo considero que una buena empresa no debe vender humo, sobre todo porque el 90% de esos proyectos que son humo son para justificar X cantidad de dinero por eso son humo porque luego nadie los usa, típico de chiringuito político.

    Con lo del hola mundo creo que te ekivocas pero eso ya son opiniones personales, yo pienso que un buen jefe debe saber al menos la base de la tecnología en la que trabaja por mucha visión de arquitectura que tenga, pero eso lo creo por la experiencia que he tenido en algo así como 7 consultoras pequeñas y grandes, por suerte deje el mundo de las consultoras y tengo tiempo libre y tó, hasta los fines de semana puedo descansar xD
    6  votos: 0   link
    el 10-12-2012 16:36 UTC por LiberaLaCultura LiberaLaCultura
  59. #59   #57 como ya te he puesto lo considero caro pero solo por las licencias (que ademas hay que pagarlas todos los años que se me olvido comentarlo) con lo que falta de lo que vale la licencia hasta el total no me parece caro debido al trabajo que conlleva un proyecto así.
    6  votos: 0   link
    el 10-12-2012 16:55 UTC por LiberaLaCultura LiberaLaCultura
  60. #60   ah el viejo conocido Oracle Portal, con sus tablas "things" (sí, hay tablas que almacenan de todo y se llama "cosas") y su ?_mode=16
    mala hierba nunca muere
    6  votos: 0   link
    el 10-12-2012 17:51 UTC por dncrht dncrht
  61. #61   #2

    Te voy a contar un secreto del desarrollo SW .... en caso de acabarse la pasta ¿qué quitas? Efectivamente, las pruebas (y una auditoria es una prueba al fin y al cabo)
    10  votos: 0   link
    el 10-12-2012 20:04 UTC por jmfer jmfer
  62. #62   #58

    Con eso del humo ¿hablas sólo de informática o de la empresa en general? Porque todas son más o menos vendedoras de humo, lo que pasa es que alguna vez (menos de lo que les gustaría) aciertan con sus productos y otras, se quedan en humo.
    10  votos: 0   link
    el 10-12-2012 20:06 UTC por jmfer jmfer
  63. #63   #62 Pues hablaba de las empresas de informática mas concreta mente de las consultoras, que es una consultora? hace de todo? una empresa se debe dedicar a un fin para poder ser especialista, como tu has indicado la informática es muy amplia, yo ahora por fin trabajo en una especializada y no venden humo y se entregan los productos bien.

    Si te has sentido ofendido por decir que los trabajan hay no son informáticos lo siento te pido perdón porque debería haber dicho la empresa (los que mandan vamos) ya que los trabajan hay no tienen culpa, todo el mundo no puede prescindir de un puesto de trabajo porque allí no se haga bien el trabajo, cada cual tiene sus prioridades.

    Por desgracia la inversión en I+D+I en España se lo han comido los partidos políticos que son los que están detrás (en la mayoría de los casos) de dichas empresas con el plan Avanza por ejemplo. Te pongo otro ejemplo en Andalucía Sadiel lleva to lo de la junta y antes de las elecciones esa empresa fue vendida a Ayesa que el dueño es intimo amigo de Felipe Gonzalez.
    6  votos: 0   link
    el 10-12-2012 20:20 UTC por LiberaLaCultura LiberaLaCultura
  64. #64   #63

    No me he sentido ofendido lo más mínimo y menos por las consultoras (y no solo informáticas) ya que me conozco bastante bien el paño (desde ambos lados encima) El tema es que aunque sí hay vendemotos profesionales, por lo general, lo que intentan es vender su producto, que puede ser mejor o peor (incluso vender cosas sin saber muy bien que eran) pero que muchas veces su éxito no depende de lo bueno que sea sino de otros factores ajenos. He visto productos cojonudos estrellarse y otros mediocres (siendo optimistas) tener éxito sin saber muy bien por por qué.

    Aparte de los mamoneos (que los hubo, hay y habrá) la gente intenta por lo general hacer bien su trabajo, otra cosa es que les dejen y un proyecto cojonudo se convierta en humo o en algo peor. Aquí en CyL hubo un proyecto lógico, necesario e incluso ajustado a precio (7 millones de € por tres años incluyendo licencias) para unificar la nómina de las diferentes administraciones públicas. El concurso lo ganó Accenture (uno de los mayores vendemotos de España) con un producto de la empresa de Pimentel (ex.ministro del PP, es de Andalucía, por cierto) que no cumplía los requisitos. Conclusión: por mucho que curraron (y conozco gente que estuvo allí y curraron de cojones), el proyecto fue un fracaso y todavía, años después, siguen currando con él (y metiendo pasta claro)

    Vamos, que no pensemos que es maldad lo que se puede explicar por la simple incompetencia.
    10  votos: 0   link
    el 11-12-2012 07:00 UTC por jmfer jmfer
  65. #65   #51 No, son webs que hago de forma altruista.
    6  votos: 0   link
    el 11-12-2012 08:45 UTC por bizilagun bizilagun
comentarios cerrados

menéame