944 meneos
8565 clics

"Descuido" gordo en la Web del Senado de los 500.000 €

Después de que se armara gorda por el coste de los 500.000 € de la web del Senado, que incluso llevó a algunas personas a desarrollar la misma web pero en versión Low Cost, un lector del blog - ¡Gracias Eduardo! - me alertó de que la plataforma de gestión de contenidos del Senado estaba basada en Oracle Content Server y se habían olvidado de proteger el acceso al CMS, permitiendo el acceso anónimo.
etiquetas: web, senado
usuarios: 314   anónimos: 630   negativos: 0  
65comentarios mnm karma: 647
  1. #1   Ya estoy pensando que la Web la hizo un nieto adolescente de algún senador, para no aburrirse en vacaciones... :roll:
    votos: 7    karma: 65
  2. #2   La pregunta del millón, y cito del artículo: "La pregunta es, ¿con todo este dinero no se podría haber hecho una auditoría de seguridad web antes de ponerlo online?"
    votos: 22    karma: 206
  3. #3   #2 Si pagas con cacahuetes tienes monos.
    votos: 43    karma: 387
  4. #4   El que la hizo se quería guardar un backdoor por si acaso no le pagaban....
    votos: 8    karma: 84
  5. #5   Es fácil hacer las cosas bien pero es más rápido no hacerlas.
    votos: 3    karma: 36
  6. #6   Esta echa en Spañistan por empresarios afines al régimen, que esperas? Todo buen informático en España o es autónomo o trabaja para el extranjero, pero si trabaja en una consultora es como si trabajase en un cortijo, chapuza tras chapuza
    votos: 15    karma: -15
  7. #7   ¡Oracle Content Server! ¿Para esa birria de web?
    ¿Cuánto se ha llevado Oracle de los 500K? Apostaría a que no menos de 200.000.
    votos: 16    karma: 150
  8. #8   No pasa nada, se cogen los DNI de todos los votantes y que paguen ellos su fiesta, barra libre.
    votos: 2    karma: 24
  9. #9   #1 No, seguramente la ha hecho una de nuestras maravillosas cárnicas Españolas. Quién habrá sido? Indra?
    votos: 8    karma: 71
  10. #10   Ahora vendrán los que decían que el XSS era una tontería y que se exageraba :roll:
    votos: 6    karma: -19
     *   jonolulu jonolulu
  11. #11   #8 efectivamente, yo soy de los del extranjero, se como trabajan las cárnicas en españa y el "sueldazo" que nos pagan.
    votos: 2    karma: 27
  12. #12   #6 Sí, y los catalanes son unos tacaños, los funcionarios unos vagos, los Bilbainos unos exagerados y tú un troll de los malos además...
    votos: 2    karma: 24
  13. #13   Esto ya lo escribí para otro fallo en un sistema de las universidades, pero es que viene ni que pintado aquí también:

    "Cómo funcionan las cosas en este país.
    La administración hace un acuerdo con Indra, o Telefónica u otra empresa gorda por el valor de 500000 €(ya que esta empresa tiene un nombre). Esta empresa subcontrata a otra empresa, que a su vez subcontrata a otra empresa, que a su vez subcontrata a la empresa primera que subcontrata a otra empresa diferente, subcontratando a una cárnica. La cárnica contrata a dos becarios por 800 € al mes y les dice que no hay dinero para más, y que el proyecto no tiene más dinero, y que tienen que trabajar 12 horas para completar el proyecto, y que no pueden meter a más personas. Resultado, personas totalmente desmotivadas por su trabajo, cobrando una mierda, y trabajando 12 horas o más, realizan un trabajo que nos ha costado a todos 500000 € de euros, que se quedan entre todas las empresas intermedias, mientras que las personas que lo han desarrollado se llevan tan solo 8000 € (10 meses de trabajo) cada uno.

    Así funciona Spain, y esa es la mentalidad que hay que romper."
    votos: 41    karma: 357
  14. #14   Simplemente, el acceso a esta URL: www.senado.es/web/wcm/support/login/wcm-login.jsp
    Debería está capado por IP u otro sistema
    votos: 5    karma: 44
  15. #15   #10 EL XSS sí es y sigue siendo una tontería. El acceso anónimo a Oracle Content Server no lo es
    votos: 6    karma: 48
  16. #16   Como contribuyentes deberíamos exigir el presupuesto detallado del proyecto.
    votos: 1    karma: 20
  17. #17   #15 El XSS no es una tontería en una web de medio millón de €, no por el XSS en sí, sino por lo que supone que hay detrás: pufazo

    Pensé que no tendrá que explicarlo. Gracias por el negativo
    votos: 3    karma: 38
     *   jonolulu jonolulu
  18. #18   #12 hablo de las consultaras tipo Indra, Accenture, etc, no soy ningun troll cuento mi experiencia, y no he critico a las pocas empresas serias ke hay en españa, solo critico a las afines al régimen que son controladas por ellas misma no entiendo tu ataque, no generalizo como ironizas tu
    votos: 4    karma: 25
  19. #19   #7, el problema no es el Oracle Content Server sino, como dice #2, que no se haya hecho una auditoría de seguridad antes de hacerlo público.

    Con windows, linux, oracle, mysql, php, java o lo que sea puedes hacer la cosa más insegura o casi una fortaleza, todo depende de lo que te gastes en programarlo y asegurarlo bien o lo que te gastes en sueldos de jefazos y favores varios.
    votos: 4    karma: 49
  20. #20   #17 Es que, como comentó alguién, ni siquiera había XSS puesto que no permitía insertar scripts, solo texto.
    votos: 1    karma: 19
  21. #21   Oye lo mismo la llave del Senado esta bajo el felpudo...
    votos: 3    karma: 38
  22. #22   #20 ¿Tengo que volver a explicarlo? Lo importante no es el alcance del fallo de seguridad, lo importante es lo que implica: por qué se ha cometido
    votos: 2    karma: 16
  23. #23   #3 No confundas! Se ha pagado con caviar iraní al que tiene de becarios a unos monos a los que paga con cacahuetes...
    votos: 16    karma: 144
  24. #24   Sólo por aportar un poco de luz al tema Oracle...

    El Senado pagó 218.000 euros en licencias a Oracle a través de su 'mejor amigo':
    www.elconfidencial.com/tecnologia/2012/12/10/el-senado-pago-218000-eur

    cof cof
    votos: 9    karma: 90
     *   rafamerino rafamerino
  25. #25   No se incluyen en los contratos a estas "grandes" consultoras cláusulas que penalicen económicamente estos errores garrafales?
    votos: 1    karma: 17
  26. #26   #2 Esto es España. Si se hubiera hecho una auditoría de seguridad, ésta hubiera costado 500.000 euros más y hubiera consistido en unas fotocopias en blanco y negro de un trabajo bajado del "Rincón de vago".
    Y después, dicen que el problema de la competitividad del país son lo sueldos de los trabajadores o los puentes. Vaya desastre de país, y qué cinismo.
    votos: 8    karma: 56
  27. #27   #13 Un tipo de una famosa empresa de informática (con nombre de tres letras, como HAL :-) ) me comentó que ciertas herramientas de gestión de proyectos software tuvieron que adaptarlas al mercado español, pues las cadenas de subcontratas aquí tienen tantos eslabones que los diseñadores de dichas herramientas nunca contemplaron tal posibilidad. Pensaban que una subcontrata nunca pasaría de dos o tres eslabones... Españistán.
    votos: 26    karma: 223
     *   xamevou xamevou
  28. #28   Oracle, los amigos de Oracle, GFI y VASS se han llenado bien los bolsillos.
    votos: 1    karma: 14
  29. #29   Pero si yo tengo 3 webs con WordPress.com que me quedan de PM y no me he gastao un céntimo!!!
    votos: 1    karma: 17
  30. #30   Pues esto es de traca!!! Mi empresa gestiona la web del IPCE ipce.mcu.es y para acceder al CMS hace falta un certificado digital y dos passwords. Si no tienes instalado el certificado ni siquiera puedes ver la pantalla de login. Tan poco es "Rocket Science" el proteger un poco el acceso a un CMS.
    votos: 3    karma: 43
  31. #31   #23 No pretendía decir otra cosa. Los empresaurios siguen ganando en esta crisis.
    votos: 3    karma: 43
  32. #32   #27 Madre del amor hermoso...
    #29 ¡¡Negativo, negativo por intento de microblogging!! :-D
    votos: 0    karma: 7
     *   Ganimedes Ganimedes
  33. #33   #27 ¿Quieres decir que esa empresa (que lleva años y años trabajando con software) no se ha encontrado un sistema tan avanzado como el que tenemos nosotros?
    UFFF, pringaos, lo que se están perdiendo, les llevamos años luz de ventaja al resto del planeta...
    votos: 0    karma: 6
     *   AtreyuGreen AtreyuGreen
  34. #34   #27 Positivazo por lo de digamos HAL ;)
    votos: 2    karma: 30
  35. votos: 2    karma: 27
  36. #36   #27 has hilado muy fino con lo de HAL, positivo sólo por eso xD
    votos: 0    karma: 9
  37. #37   VERGUENZA AJENA
    votos: 0    karma: 6
  38. #38   #18 Todo buen informático en España o es autónomo o trabaja para el extranjero, pero si trabaja en una consultora es como si trabajase en un cortijo
    Pues menos mal que esto no es generalizar... yo ahí ni veo Indra, ni veo afin a nada.. te has cargado a todos los informáticos que trabajan en consultoras de un plumazo, así sin despeinarte... o eres autónomo o te piras del país o eres un informático de mierda...

    Un comentario muy constructivo, sí señor.
    votos: 2    karma: 24
  39. #39   #38 vale pues lo siento me refería a las consultoras tipo Indra ó Accenture que son las que cogen to los proyectos con el gobierno, rectificar es de sobrios, xD

    Por cierto existe en españa alguna empresa de informática grande que no chupe de la mama del gobierno? He caído en la trampa de generalizar porque no la conozco tu la conoces?
    votos: 2    karma: 28
  40. #40   #13 Buenísimo, es exactamente como funciona, por eso me fuí de España.
    votos: 3    karma: 37
  41. #41   #13 Realmente no es porque tenga un nombre (quizás este caso sí, no lo sé). Lo que suele suceder es que hay concursos tecnológicos públicos donde uno de los requisitos para poder participar o puntuar puede ser tener una facturación anual de X millones de euros lo que obliga a una pyme especialista que no supera esa facturación anual a ir de la mano (o bajo la falda) de Indra, Telefónica... estos meten una cúpula coordinadora en el proyecto y va desviando los marrones tecnológicos a la pyme especialista correspondiente.
    votos: 2    karma: 28
  42. #42   #13 se te olvida un pequeño detalle: esas empresas son, en ocasiones, casualmente, de "amigos", "conocidos"... de políticos. Españistán, el país de las casualidades.
    votos: 2    karma: 32
  43. #43   #23 No creo que los becarios sean monos, los becarios son becarios.
    Lo que tenemos son muchos cerdos que contratan a unos becarios para hacer el trabajo de ingenieros.
    votos: 1    karma: 21
  44. #44   Y el acceso a la intranet del Senado:
    sensso.senado.es/sso/pages/senlogin.jsp
    votos: 0    karma: 7
  45. #45   #43 No todos los becarios son monos, pero muchas veces la culpa es del becario por tragar con todo... Pero ese es otro tema! ;)
    votos: 0    karma: 10
  46. #46   #38 En esa frase no veo dónde se mete con los informáticos. Se mete con las consultoras, que son los cortijos. Que #39 me corrija si me equivoco.
    votos: 2    karma: 33
  47. #47   #44 Da fallo de acceso directo.
    votos: 0    karma: 11
  48. #48   Hasta el Pentagono tiene abierto el "Oracle Application Server Single Sign-On ":

    prissod1.acsap.hqda.pentagon.mil/sso/pages/login.jsp
    votos: 0    karma: 7
  49. #49   #47 Pues mejor este: sensso.senado.es/sso/pages/
    votos: 0    karma: 7
  50. #50   #46 Si si me refería a eso, las consultoras, pero se ve que aquí hay que poner las cosas claritas si no la gente se ofende con nada.
    votos: 1    karma: 17
     *   LiberaLaCultura LiberaLaCultura
  51. #51   #29 ¿Tu tiempo no vale nada?
    votos: 1    karma: 17
  52. #52   #38 Por cierto por tu cabreo al escribir entiendo que eres un jefecillo de ese tipo de consultoras de los que vende humo y no sabe ni hacer el hola mundo en php, pues lo siento pero el ke se pika ajos come
    votos: 1    karma: 17
  53. #53   Es un error pensar que cualquiera que cobre más de mil euros (o que los gaste) es un corrupto. A lo mejor hacer una buena página web cuesta más que eso, no lo sé, lo que está claro es que la calidad es deficiente. Pero también estoy seguro que si hubiera costado 700.000€ nos echaríamos las manos a la cabeza igual.

    Y digo todo esto sin descartar que seguramente sí hubo corrupción, explotación a los informáticos, y más cosas.
    votos: 0    karma: 7
     *   Arth Arth
  54. #54   #53 en realidad la mayor critica es usar un Sistema Gestor Base de Datos de pago como es Oracle, mas habiendo alternativas libres que van bastante bien (yo creo que mejor, pero eso seria una discusión muy larga) como por ejemplo postgres o mysql cluster, ke eso ha sido mas de la mitad del presupuesto, yo lo demás no lo critico porque es un desarrollo 100% propio y en ocasiones es mejor eso que usar CMS libre (depende de lo que te piden si es algo muy especifico es mejor hacerlo desde cero, no tengo todos los datos para valorarlo). Solo usando postgres podían haber ahorrados mas 200.000 euros y si la web esta bien echa no sería necesario ni recodificar nada solo cambiar la capa de acceso a datos (lo cual dudo pero como no lo se no critico).
    votos: 0    karma: 6
  55. #55   #13 Estás en lo cierto si cuando dices que contratas a dos becarios por 800 euros te refieres a los dos por 800 euros, no 800 euros para cada uno (también suelen contratarlos por el placer de aprender).
    votos: 1    karma: 17
  56. #56   #46 Empezando por la frase "todo buen informático" significa que si trabajas en una consultora no puedes ser buen informático.. y todavía crees que se meten con las consultoras, y no con los informáticos?

    #52 Pues como todos los comentarios hasta ahora en este hilo, te pasas de "entendederas" y fallas el tiro, además por mucho... soy un informático, trabajando en una consultora, nada de jefecillo... Y casualmente sé php... pero podría no saberlo perfectamente, la informática es lo suficientemente amplia como para poder ser un experto en sistemas de información y no haber hecho un "hello world" en php en tu vida... Y sí, me considero un buen profesional Y sí, ha habido proyectos vendehumos y ha habido proyectos muy profesionales, con mis más y mis menos, como cualquier profesión.... a ver si te crees que el que hace sillas de madera le salen todas derechas, alguna hace que se le rompe la pata antes de tiempo. Y antes de que me preguntes qué he hecho en php... drupal.
    votos: 0    karma: 10
  57. #57   #54 Ya, pero en la realidad de quién? A lo mejor para ti lo es, para mi, intentando verlo de forma objetiva se crítica simplemente la falta de una auditoría de seguridad. A lo que va mi comentario es más bien contra el título, en el momento que pones el precio en el título automáticamente induces a la gente a pensar que no sólo es caro sino que encima también es defectuoso. (Que no sé si será caro, pero es un error concluirlo)
    votos: 0    karma: 7
     *   Arth Arth
  58. #58   #56 Pues si consideras que una empresa puede hacer proyectos que son humo y otros bien y eso es correcto ya dejamos de discutir porque yo considero que una buena empresa no debe vender humo, sobre todo porque el 90% de esos proyectos que son humo son para justificar X cantidad de dinero por eso son humo porque luego nadie los usa, típico de chiringuito político.

    Con lo del hola mundo creo que te ekivocas pero eso ya son opiniones personales, yo pienso que un buen jefe debe saber al menos la base de la tecnología en la que trabaja por mucha visión de arquitectura que tenga, pero eso lo creo por la experiencia que he tenido en algo así como 7 consultoras pequeñas y grandes, por suerte deje el mundo de las consultoras y tengo tiempo libre y tó, hasta los fines de semana puedo descansar xD
    votos: 0    karma: 6
     *   LiberaLaCultura LiberaLaCultura
  59. #59   #57 como ya te he puesto lo considero caro pero solo por las licencias (que ademas hay que pagarlas todos los años que se me olvido comentarlo) con lo que falta de lo que vale la licencia hasta el total no me parece caro debido al trabajo que conlleva un proyecto así.
    votos: 0    karma: 6
  60. #60   ah el viejo conocido Oracle Portal, con sus tablas "things" (sí, hay tablas que almacenan de todo y se llama "cosas") y su ?_mode=16
    mala hierba nunca muere
    votos: 0    karma: 6
  61. #61   #2

    Te voy a contar un secreto del desarrollo SW .... en caso de acabarse la pasta ¿qué quitas? Efectivamente, las pruebas (y una auditoria es una prueba al fin y al cabo)
    votos: 0    karma: 10
  62. #62   #58

    Con eso del humo ¿hablas sólo de informática o de la empresa en general? Porque todas son más o menos vendedoras de humo, lo que pasa es que alguna vez (menos de lo que les gustaría) aciertan con sus productos y otras, se quedan en humo.
    votos: 0    karma: 10
  63. #63   #62 Pues hablaba de las empresas de informática mas concreta mente de las consultoras, que es una consultora? hace de todo? una empresa se debe dedicar a un fin para poder ser especialista, como tu has indicado la informática es muy amplia, yo ahora por fin trabajo en una especializada y no venden humo y se entregan los productos bien.

    Si te has sentido ofendido por decir que los trabajan hay no son informáticos lo siento te pido perdón porque debería haber dicho la empresa (los que mandan vamos) ya que los trabajan hay no tienen culpa, todo el mundo no puede prescindir de un puesto de trabajo porque allí no se haga bien el trabajo, cada cual tiene sus prioridades.

    Por desgracia la inversión en I+D+I en España se lo han comido los partidos políticos que son los que están detrás (en la mayoría de los casos) de dichas empresas con el plan Avanza por ejemplo. Te pongo otro ejemplo en Andalucía Sadiel lleva to lo de la junta y antes de las elecciones esa empresa fue vendida a Ayesa que el dueño es intimo amigo de Felipe Gonzalez.
    votos: 0    karma: 6
     *   LiberaLaCultura LiberaLaCultura
  64. #64   #63

    No me he sentido ofendido lo más mínimo y menos por las consultoras (y no solo informáticas) ya que me conozco bastante bien el paño (desde ambos lados encima) El tema es que aunque sí hay vendemotos profesionales, por lo general, lo que intentan es vender su producto, que puede ser mejor o peor (incluso vender cosas sin saber muy bien que eran) pero que muchas veces su éxito no depende de lo bueno que sea sino de otros factores ajenos. He visto productos cojonudos estrellarse y otros mediocres (siendo optimistas) tener éxito sin saber muy bien por por qué.

    Aparte de los mamoneos (que los hubo, hay y habrá) la gente intenta por lo general hacer bien su trabajo, otra cosa es que les dejen y un proyecto cojonudo se convierta en humo o en algo peor. Aquí en CyL hubo un proyecto lógico, necesario e incluso ajustado a precio (7 millones de € por tres años incluyendo licencias) para unificar la nómina de las diferentes administraciones públicas. El concurso lo ganó Accenture (uno de los mayores vendemotos de España) con un producto de la empresa de Pimentel (ex.ministro del PP, es de Andalucía, por cierto) que no cumplía los requisitos. Conclusión: por mucho que curraron (y conozco gente que estuvo allí y curraron de cojones), el proyecto fue un fracaso y todavía, años después, siguen currando con él (y metiendo pasta claro)

    Vamos, que no pensemos que es maldad lo que se puede explicar por la simple incompetencia.
    votos: 0    karma: 10
  65. #65   #51 No, son webs que hago de forma altruista.
    votos: 0    karma: 6
comentarios cerrados

menéame