1 – El 28 de Diciembre Intereconomía publica un artículo “La Presidencia española de la UE cuesta medio millón de euros al día” donde se compara el gasto que hará este gobierno con el de Aznar. En él se habla de 90 Millones de Euros en total
2 – El Mundo habla el día 3 de Enero de contratos adjudicados por 23 millones de Euros. Entre ellos se hace mención a 11,9 Millones de Euros adjudicados a Telefónica “por prestar asistencia técnica y seguridad a la web de la presidencia española”
3 – Un montón de twitters recogen la historia de los 11,9 Millones de Euros
4 – En menéame se publica la noticia de un fallo de la web que permite explotar vulnerabilidades XSS ese mismo día 3 de Enero. Por supuesto esto no quiere decir que menéame sea responsable de nada, aclaro, pero la información que posteriormente han seguido los medios muy probablemente tenga este origen. Si alguien conoce algún sitio donde se publicara anteriormente ruego me lo comunique para modificar este punto. En todo caso creo que habla muy bien de menéame como una fuente para los medios. Lo que hagan después los medios si no contrastan lo que leen en la red no es responsabilidad de menéame.
5 - El enlace publicado en menéame muestra un ejemplo de dichas vulnerabilidades, que sustituye el vídeo institucional de la web por una imagen de Mr.Bean, alojado en un blog, en concreto en este, y que es el segundo resultado de Google al buscar “Mr. Bean” en sus imágenes (el primero no servía, al parecer).
El script en concreto es este:
“http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en”
5- Un montón de prensa y televisión anuncian que la Web de la presidencia española en la UE ha sido hackeada
Y ahora algunos datos
1 – La partida de 11,9 Millones de Euros para “prestar asistencia técnica y seguridad a la web de la presidencia española”” no es tal, en realidad la partida contempla, tal como se puede ver el documento de adjudicación “contrato de Servicio de asistencia técnica de la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página web para la Presidencia Española de la UE”. Traducido contempla, tal como alguien comenta en la misma menéame : “En realidad la noticia es errónea, por montar y administrar toda la plataforma de hosting se les cobra algo menos de 400k (y esto incluye, entre otros, alojamiento, hw y sw, monitorización, backup, un almacenamiento SAN de la leche y la parte de seguridad y hacking ético de la plataforma) Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela. Además incluye unos SLAs que meten miedo, y eso también se paga.
De los 9 millones de la oferta (sin IVA) la inmensa mayoría van a parar a dar soporte a las 31 cumbres que se tienen preparadas, y eso no tiene nada que ver con la página web. Se incluye entre otras cosas soporte logístico (hay más de 3,5 millones en logística), soporte microinformático, de redes LAN y WIFI, seguridad perimetral y acreditaciones, etc. Los equipos serán propiedad del gobierno al acabar el proyecto, cosa que también hay que tener en cuenta”
2 – La cifra de adjudicación son 9 Millones de Euros. La cifra que se maneja de 11,9 es con impuestos, que por supuesto se reintegra el gobierno, es decir casi 3 Millones de Euros, y ya ven que no es por la seguridad de la web, como he comentado en el anterior punto.
3 – La página Web no ha sido Hackeada, como afirman los medios, porque no ha sido modificada en su origen. Para entender esto y no enrollarme técnicamente les diré que una vulnerabilidad XSS tiene como objeto siempre el usuario del servicio y no el servidor donde se explota. Es decir, en cristiano, el Script o enlace que alguien ha pasado en ningún momento ha modificado la web, si no la visión del usuario que pulsa el enlace, a través de su navegador (siempre que tuviera activado algunas características). Cualquier persona que accediera a la Web a través de su enlace normal, y no el que se publicó vería la web en su aspecto normal, por tanto no hay tal hackeo.
Dicho de otra manera si alguien pulsó el enlace :
“http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en”, se hubiera encontrado a Mr Bean que está en el blog del amigo Tom Keating ,
si alguien hubiera pulsado el enlace http://www.eu2010.es/ no habría visto a Mr. Bean.
4 – Por cierto, esto al autor del blog no le habrá hecho mucha gracia y es una práctica que reprueba cualquier bloguer, porque cada vez que alguien visualizó a Mr Bean estaba consumiendo los recursos y ancho de banda del Sr Keating, y se llama Hotlinking o Inline Linking.
5 – La vulnerabilidad existe, como en muchísimas webs, y debe ser corregida (si no se ha hecho ya). Pero insisto en que ningún caso se puede afirmar que nadie “hackeo la web”, al menos en mi opinión, sino más bien que si alguien “hackeo” algo fue los navegadores de la gente que pulsó el enlace para ofrecer la imagen que no existía, no estaba alojada en la web y en ningún caso pertenecía a nada que estuviera en la infraestructura de la web de Presidencia.
6 – Existe un código entre los técnicos que hace que cuando alguien descubre una vulnerabilidad primero lo comunica a los administradores del sistema para que sea corregida, y luego lo publica. Eso si uno es un buen profesional, o una buena persona y no actúa de mala fe. Obviamente a pesar de ser tan expertos en la red, y tan profesionales, no se hizo. ¿Las razones? Creo que con las simpatías que causan los últimos sucesos de la red (leáse las descargas y demás), el ambiente generado contra el gobierno por este motivo desde focos muy claros de los internautas y estando de por medio Telefónica, uno puede saber perfectamente las razones de porque se hizo así.
7 – Es muy triste que los medios no contrasten la información que ofrecen. Que utilicen imágenes que no han capturado ellos mismos, ni han contrastado (con que hubieran accedido a la web por su enlace normal hubieran visto que no estaba modificada). Que no se documenten ni se informen de lo que realmente ha sucedido y basen sus afirmaciones a unas capturas en una red social. Triste y dice mucho sobre el nivel del periodismo actual.
8 – Más triste es que existiendo tantos “expertos” en la red nadie, salvo honrosas excepciones, explique todo esto, que finalmente quedará como una mancha en la capacidad de una empresa española que seguramente no merece, y en la de los técnicos e informáticos españoles. Buena imagen hemos dado. Para más coña el sistema elegido para confeccionar la web de la presidencia es Open Source, y muchos de quienes han azuzado esta polémica son defensores de este tipo de soluciones. Les invito a ver que impresión han dado de las soluciones que recomiendan.
Saludos
Me quito el sombrero ante la explicación que das. Hasta yo, que no entiendo nada de estos temas, lo he entendido. Enhorabuena
Gracias Paul. Si algo me preocupa de todo esto de la red es que los técnicos nunca somos lo suficientemente claros explicando las cosas. 😀
Yo tambien lo he entendido y eso que habitualmente no entiendo ni jota… Buen trabajo de comunicación!
Gracias Carmen ;D
Excelente artículo, Sr.Madrigal.
Yo soy uno de esas decenas o cientos de tuiteros que retuitearon la noticia sin comprobar datos o al menos sin intentar buscar otras versiones, no por tomar partido como por indolencia, como con casi toda la información que llega y que tiendes a considerar confiable.
De cualquier forma lo bueno de las redes sociales es que tras unas versiones siempre aparecen otras y al menos se pueden contrastar. Y yo le he dado difusión a la tuya, que me parece razonable, en la medida de mis posibilidades y via Mr. Pleguezuelo 🙂
http://twitter.com/Yoriento/status/7381452389
Un saludo y buen año¡ 🙂
Chapó (o chapeau). Mi petición para 2010 es que todos los técnios expliquen así las cosas. Lo que tenían que hacer los periódicos ahora es copiar este post (con tu permiso claro y enlazándote) e intentar limpiar esa imagen que hemos dado.
Muchas gracias Maestro Yoriento ;D
Rafael lo que hagan los periódicos es asunto suyo. Lo que hagamos nosotros en la red es el nuestro ;D
leido (con interés) y entendido (con estupefacción). Confieso haber sido también uno de esos «altavoces» tuiteros que han rebotado la información creyéndomela…
Hago proposito de enmienda y retuiteo tu explicación…
bueeeeeena explicación, sí señor.
el problema con la ‘vulnerabilidad’ no es tanto el hack que se ve, sino la posibilidad de ejecutar javascript. se pueden hacer cosas bastante perras. por ejemplo, sin ir más lejos, examinando un poco el html de la página, se podría ‘modificar’ toda la página por javascript accediendo a los objetos con el getElementById… por supuesto, solo en el navegador del cliente, que el javascript se ejecuta solo en cliente… para ser realmente un hacking, deberían haber encontrado una vulnerabilidad que les permitiese cargar y/o modificar código en servidor (y no podrían hacerlo via javascript, ni siquiera con iframes, que están bastante blindados)
Una cosa…así por curiosidad…¿qué os parece el diseño de la página de la ue? ¿austero y minimalista o un truñaco más gordo que una cagada de t-rex? (y perdónenme la olorosa metáfora)
Muy buen resumen enlazando las fuentes correctas para ello.
Lo de la blogosfera y tuitosfera ensalzando el asunto es una cosa, pero que los periodistas no contrasten sus fuentes…
Enhorabuena por dejar claro el asunto.
Poca cosa que añadir a lo que te han dicho los comentaristas anteriores. Te agradezco yo también que hayas puesto luz sobre el asunto.
Y una reflexión: lo de la gente que en blogs o en twitter ha difundido el error sin contrastar podría disculparse al menos en parte (aunque me temo que siempre hay mucha gente más dispuesta de lo normal a difundir cosas negativas, con las positivas no suele pasar igual) pero lo de la prensa … es como para fiarse de cualquier noticia que dan.
Un saludo,
Saludos!
Hay un par de cosas que no me quedan muy claras, te pediría por favor que explicaras un poco más…
¿Cómo un usuario pulsa ese enlace “http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en”…?
¿Sugieres que puso un link el propio hacker que puso en Menéame la noticia?
¿Soy el único al que le parece poco transparente la adjudicación? Bueno, quiero decir… yo no he encontrado ninguna explicación del tipo “hemos elegido a telefonica entre propuestas de x empresas, porque su proyecto nos parece el más acertado, etc. ”
Y la última cosa… he leído comentarios de gente que crea páginas webs criticando varios aspectos de la página (eu2010.es)… ¿te parece una buena página? ¿le ves algún fallo destacable?
Muchas gracias por el trabajo que te has pegado. 😉
p.d. ya he visto que no eres muy amigo de twitter, jeje.
Creo que la mayoría de los que hemos tuiteado este tema lo hacíamos sólo como anécdota (eso es sobre todo twitter, un lugar donde puedes comentar “estoy desayunando un café y unas porras en el bar Jamaica” o “llego tarde a la reunión”) pero creo que sabemos que hay temas mucho más importantes sobre la presidencia europea como son por ejemplo las medidas de seguridad en aeropuertos o la coordinación en ayuda al desarrollo, por poner un par de ejemplos.
Después de su lectura, me sumo a la petición de disculpas por haber participado en la difusión sin contrastar la noticia, lo que sí que he hecho es intentar acceder a la web varias veces durante esta tarde y me ha resultado imposible.
Saludos y buen post
Me gustaría saber donde ha leído el comentarista de meneame que telefónica se ocupará de «seguridad perimetral y acreditaciones» y demas. O que el SLA da miendo cuando la página se ha caído por tráfico cuando ha sido noticia. O que realmente se ha hecho una consultoría de seguridad cuando XSS es lo más básico del mundo. O que 400k se van en hosting cuando el video en SimpleCDN son menos de 1k/mes y un hosting no llega a una fracción de eso (ver el post sobre hosting de meneame.net en la nube de Amazon S3, que les sale a 600€/mes o algo así e incluye tráfico escalable). Y lo siento, pero si realmente se han gastado 400k en hosting, que se lo piensen dos veces, es una salvajada, me da igual si el servidor está en un castillo con puente levadizo (por cierto, la IP sale por geolocalización en Madrid, no en el centro de datos de Logroño, así que la seguridad tipo la zarzuela en realidad es un segurata en la puerta, imaginación al poder).
OpenCMS no veo que salga perjudicado porque el mismo error puedes cometerlo con software propietario. Una cosa no tiene que ver con la otra.
Sin un detalle del trabajo de telefónica no se puede estimar que hacen ni porque. Pero sigue siendo noticia que cobren una millonada por seguridad y se la peguen con XSS, que es una señal clara de descuido y potencialmente un paso hacía un hackeo real (google codinghorror xss).
Lo medios generalistas no tienen ni idea, ni se molestan, solo se hacen eco de lo que oyen, eso está claro, pero en cualquier caso, 400.000 euros para una web para 6 meses por muchos hierros que lleve es carísimo (para 6 meses no se compra tanto hardware, se alquila), más teniendo en cuenta que el diseño no es nada del otro mundo (con imagenes pixeladas por ejemplo) y queda claro que no ha pasado auditorías de seguridad muy exaustivas.
Buenas, ante todo felicitar por la profesionalidad del post
No obstante, como consultor en seguridad de los SI, mi opinion es la siguiente:
Una cosa es que no sea GRAVE el tema, pero me sigue pareciendo bastante lamentable, para mi es un ataque ciertamente exitoso porque:
A) Han explotado una vulnerabilidad (XSS) leve en teoría y que sí que es en parte del cliente y no del servidor.
B) Pero lo han difundido muy bien para sus fines, la parte de ingeniería social ha sido casi más importante en el ataque.
C) Gracias o «desgracias» a los gilimedios todo el mundo se puso a acceder a la web creando como consecuencia secundaria un DDOS (que quizá era el fin del ataque en realidad)
D) Por mucho que ahora nos pongamos a explicar que no se ha hackeado la web, la pérdida de prestigio ahí queda.
En mi opinión una web así no debería permitirse un XSS, pero lo que NO DEBE BAJO NINGUN CONCEPTO permitirse es que no se haya actuado rápidamente frente al incidente, teniendo un equipo monitorizando la web, eliminando la vulnerabilidad (P. ej. deshabilitando el buscador temporalmente) y emitiendo un comunicado…
Saludos
PD: Escrito del tirón, así que pueden faltar acentos y haber «herratas».
Una cosa que no se justifica con el falso hackeo, en mi opinión, es que la web haya estado inoperativa toda la tarde de este lunes (página en blanco) y que desde Moncloa se justifique por el elevado número de visitas a la página. ¿Es serio o normal que una web oficial del Gobierno se colapse y venga abajo de una manera tan sencilla? ¿Tenía poca capacidad para soportar un tráfico elevado, teniendo en cuenta que es susceptible de ser visitado por toda la población europea? Si es así, ¿no debería el Gobierno pedirle cuentas al adjudicatario?
Estoy de acuerdo con el artículo, pero también lo estoy con los últimos comentarios. No entiendo que si se ha cobrado por «…Todo en alta disponibilidad y en un CDG con mas medidas de seguridad que la Zarzuela…» haya podido pasar lo que ha pasado. Ayer estuvo la página la mayor parte del día fuera de servicio…
Como dice
Muchas gracias por la información, Marcelino. No había seguido el tema fielmente ayer, y me alegro. Que, como dicen más arriba, sea una chapuza que con lo que se ha pagado se ofrezca esa vulnerabilidad, más que a ZP habría qe achacárselo a Telefónica, aunque si como entiendo la vulnerabilidad es de descubrimiento reciente, quizás tampoco pudieron hacer mucho…
¿Que nos importa que quede para el Gobierno todo ese material?¿Para qué coño quiere un Gobierno tanta máquina con tanta disponibilidad si en un par de años será anticuado si encima son tan inútiles de no saber manejar el software que les meten (que es mas viejo que carracuca)?
Joder, que es un Gobierno ridículo en una nación ridícula, esa es la APLASTANTE REALIDAD.
Y por supuesto que es una vulnerabilidad y grave pues se vulnera a cada usuario que accede a esa web a través del enlace que sea.
Venga va, un poco de seriedad porque el estilo Zapatero es ese, joder a los demás a través de él.
Eso si, nos hemos reído un huevo con el puerco cejudo.
Puf, que quieres que te digas, yo también trabajo en el tema este y por mucho que vistas la mona mona se queda, 9 millones de € es una autentica salvajada por los meses que va a estar esa Web en uso se mire como se mire y molese a quien moleste, es una vergüenza que se tire así el dinero público que tanto se llora para otras cosas y encima que les hayan colado Mr Bean gastando lo que se ha gastado en esto, creo que es motivo suficiente para romper ese contrato.
Estimado Marcelino:
En esta ocasión no estoy de acuerdo contigo.
Para empezar, el bug de la web no es de recibo para unos profesionales del desarrollo web.
Y, segundo, me parece más patético que no admitan dicho bug, sino que digan: «El incidente ha consistido en un pantallazo de http://www.eu2010.es para hacer un fotomontaje al que se ha asignado un falso enlace» http://twitter.com/desdelamoncloa/status/7375327879
Este tuit es clavado a la nota de prensa que dio Presidencia de Gobierno.
Es más que llamarnos tontos…
Sobre los 12 millones de euros, sólo hay que leer la página oficial de contratación del estado, y te aseguro que se pagará por lo que pone ahí y solamente ahí, aunque ahora quieran arreglarlo diciendo «que se harán más cosas».
En definitiva, me parece de chapuza nacional que se contrate por millones de euros una seguridad de una web que, desde el principio, está mal programada. Segundo, que nos llamen tontos hablando de foto-montajes. Y tercero, que se caiga una web millonaria por las visitas, como si no hubiera presupuesto en Telefonica para poder absorber el tráfico.
Y a mi me llena de orgullo que me llamen experta en elmundo.es , tú sabes mejor que nadie que lo soy 🙂
Un abrazo
nom, tus comentarios finales son impresentables.
No vengas a adoctrinarnos. La ineptitud no tiene ideología, abunda tanto en la derecha como en la izquierda. Meter aquí a Zapatero es mear fuera del tiesto y no tiene nada que ver con lo que se habla en la noticia.
Es realmente lamentable la poca profesionalidad de algunos medios cuya máxima es «que la realidad no te estropee una buena noticia».
Y también es lamentable que se haya llegado a dar esta situación. Telefónica debería tener profesionales que evitaran estos problemas
Muchas gracias por las explicaciones, Marcelino. Evidentemente, se puede generar un buen debate sobre la seguridad de la Web y el proceso o propósito de aprovechar fallos como el que hemos conocido, pero los hechos están muy bien explicados y es lo que debiéramos haber conocido a través de los medios, en lugar de la parte sensacionalista. Un cordial saludo.
Vale, muchos hemos picado ayer. Pero sigue siendo una burrada!!
En mi empresa proveemos servicios de consultoria y soporte a un producto de software que solo en licencias se lleva el 60% de un presupuesto de 2 millones de euros anuales!! Quiere decir que el precio neto del mercado para «soporte» ronda los 400.000 euros al semestre, y damos soporte a cientos de usuarios. Cuantos parlamentarios habrá durante el gobierno español en europa?? miles??
Además, conociendo a telefónica, seguro que los «tecnicos» que darán soporte serán pobres diablos saturados de trabajo en otros servicios, con una formación mediocre y unos sueldos aun más mediocres.
Es un TIMO del gobierno a las arcas del estado que rellenamos TODOS con nuestros impuestos. Una vergüenza.
Estoy de acuerdo con #14 , #16 , #18 y #21
Muchas gracias a todos por los comentarios (independientemente de la opinión que muestren sobre el tema), respondo algunas preguntas que quedan en los comentarios
Miguel
Sobre si el enlace – script es el origen, creo que sí. NO quiero decir que el autor del script sea el responsable, quiero decir que alguien pulsó, hizo una captura, la colgó en una red social, los medios la vieron y lo dieron por buen sin más comprobación. Esa es mi opinión
Sobre la adjudicación el documento es público, como todo el concurso. Gracias a eso sabemos que dotar de contenido la web cuesta 600.000 Euros, que lo ganó la agencia Efe compitiendo con el Grupo Lavinia que ofreció hacerlo por 700.000.
Sobre mi opinión sobre la página permiteme que me la guarde. Yo soy un profesional de la informática desde 1986. Soy extremadamente crítico con mi propio trabajo, y extremadamente prudente en mi opinión sobre el de los demás. Un profesional debe convencer de que él es capaz de hacer algo mejor, no que los otros lo hacen mal. Eso creo
Jorge
La caída de la red no tiene que ver más que la concurrencia de conexiones (cómo el efecto menéame o digg). Las webs se dimensionan según la cantidad de gente que se prevee acceda al mismo tiempo (por decirlo más claro). Está claro que nadie esperaba el interés sobre la web, que por supuesto, es puntual.
Reitero mi agradecimiento (y mi asombro) porque esto no se haya explicado desde el primer momento
Por cierto…ya existe un grupo en facebook para protestar por la millonada gastada.
http://www.facebook.com/home.php#/group.php?gid=409455760353&ref=mf
A todos aquellos a los que no les guste derrochar (ni que derrochen vuestros impuestos), os animo a apuntaros ya mismo.
Cuanto más lo pienso, de más mala ostia me pongo… :@
Luego, segun comentas, la web(oncita) no sólo ha costado 12M de euros (iva incluido), sino que además cuesta 1M más (aprox si incluimos el iva).
Y lo peor no es eso, sino que se supone que se lo han adjudicado a Telefonica porque era «LA MEJOR OFERTA» del concurso?? Vamos hombre!!! Que todos sabemos como funcionan estos «concursos» publicos a medida de adjudicatario elegido…
Si no es así, me tenia que haber presentado!!! por 6M de euros yo montaba la empresa (6000€), subcontrataba el diseño (400.000€), malcontrataba a 10 pobres diablos (por ETT, claro está..que solo son 6 meses de soporte = 1000€/mes *10 tios/as * 6meses = 60.000€) y aun me sobra poco menos de 5M de euros para comprarme un Yate, varios deportivos y a un par de «amigos» politicos para el siguiente timo xD
En serio nadie lo ve???
no hombre no…. no te das cuenta de que la mayor parte del dinero se va en «apoyo logístico y medios tecnológicos»?…. yo a mis clientes les facturo siempre con conceptos surrealistas sin ningún valor tangible, es la mejor forma de estafar!
Un detalle que nadie menciona: La fecha de Adjudicación provisional (o sea que el contrato no estaba firmado) es del 22/12/2009. Cualquiera que trabaje en esto sabe que un portal así no se hace en una semana, es decir; Telefónica ya estaba trabajando ene ello, por lo que el concurso público de 12 millones ha sido una estafa.
Clickar en Adjudicación provisional para ver la fecha del anuncio:
http://www.mpr.es/ServiciosCiudadano/LicitacionesYContratosPublicos/201042.htm
Señores les ruego que se ciñan a la entrada. Entiendo la pasión que tienen por defender sus ideas, pero aquí se habla de algo muy concreto. Por favor, si alguien cree que esto que ha sucedido es una estafa el lugar para reclamar es un juzgado, no este pobre blog
saludos
Alfonso
La Web no la hizo Telefónica, estaba ya elaborada previamente.
Y adjudicó el día 22 de diciembre una web ya elaborada previamente?
Es más que curioso..
Marce, quien la ha elaborado?
Maria Rosa
En la adjudicación del día 22 no se contempla la elaboración de la web, si no su puesta en marcha. Tú sabes lo que significa.
Sobre la Web no tengo actualmente la certeza de quien la hizo y no creo que tenga sentido añadir más rumores a todo esto, aunque en privado te digo lo que se
Alfonso, o eso, o han cobrado esa talegada por currar una semana, lo que no sé qué es peor…
Pero el soporte si lo va a dar Telefonica, no?? el comentario de #30 (Alfonso) no hace más que ratificar lo que yo decia de los «concursos a medida».
Cualquiera puede consultar la propiedad del dominio en http://www.nic.es y ver que el registro viene aún de más lejos 14 Mayo 2009 (que encima nos costará un año de renovacion para no ser utilizada nunca más).
Volviendo al tema del articulo, y para que el Sr. MMadrigal no se enfade (respetemos sus deseos, siempre ante todo,respeto), me sigue pareciendo demasiado dinero para semejantes fallos de seguridad y falta de prevision. Creo que el tema calidad/precio está directamente relacionado…mis disculpas.
Por cierto…en base a eso, se añade medio millon de euros más al coste, no??
– 12 M€ (iva incl.) por soporte y «logistica»
– 700 K€ (sin iva.) por los contenidos
– 400 K€ (sin iva.) por crear la web
– ?? K€ (por registrar el dominio cuanto??)
A mi incluyendo el iva se me sube mucho ya, no?? 13’5 M€ aprox
😛
Marce, en la adjudicación se habla de dar servicios de videostreaming y multimedia y otros temas en los que hay que contar con el hosting.
Todo ello da que pensar que ha sido un concurso a dedo.
Concurso que ha ganado una empresa que no ofrece lo que se le paga: «seguridad» de una web (UNA, como dice la nota de adjudicación), y ofrece una ínfima calidad de ancho de banda cuando tiene un pico de visitas, provocando que se caiga.
Aunque te duela leerlo, es una chapuza.
Maria Rosa
A mi no me duele nada leer ninguna opinión, pero estás equivocada en lo que respecta al ancho de banda. Ese no ha sido el problema.
Sobre lo del dedo si tienes pruebas de que ha sido así deberías ir a un juzgado y denunciarlo
MMadrigal…viendo los comentarios y la linea argumental del articulo, me equivoco si concluyo por ti que te parece peor la falta de rigurosidad periodistica y emotividad de los internautas, que el pastizal desembolsado y los fallos en seguridad??
Me parece una pregunta interesante para ser respondida, y ver si hay tambien emotividad en el sentido pro-gobierno, o pura rigurosidad técnica e informativa, como comentabas arriba.
Y otra cosa:
Moncloa dice que no hubo tal bug, sino un «fotomontaje» distribuido por las redes sociales: http://twitter.com/desdelamoncloa/status/7375327879
Y, sin embargo, manda a los Cuerpos de Seguridad del Estado a investigarlo.
Si es un fotomontaje, a quien quiere engañar? a los cuerpos de seguridad? a los ciudadanos?
Repito que, con esta «transparencia», no creo que sean ellos las víctimas de todo esto.
Es de lógica que nosotros, los ciudadanos, exijamos una explicación de en qué se gastan nuestro dinero, y más si falla tan estrepitosamente, y luego nos quieran engañar con «fotomontajes».
pues estoy con skiter y con maria rosa diez.
esto es un cantazo, una BARBARIDAD. y lo peor es que lo pagamos todos…
Y por último, y ya termino 🙂
Si se manda un email a la dirección de contacto que aparece en http://www.eu2010.es/en/pie/contacto.html lo devuelve! (User unknown)
Y en este caso el problema sí es de Telefónica.
Hola a todos,
La explicación del lo que significa un XSS (Cross-site scripting es muy acertada, parcial, pero acertada (Faltaría un dato: en todos los manuales de seguridad informática lo consideran una vulnerabilidad)
Desde un punto de vista técnico, purista, es un fallo muy grave para una página de esa importancia y relevancia. No se puede permitir que eso se pueda hacer. Y el punto esta en que la página lo permite. El servidor Web de http://www.eu2010.es permite esas cosas. Son MENOS de 400k € y eso da para poco es verdad. Pero entonces que se gasten más. O que sub-sub-sub-contraten mejor
No lo permiten sitios como Google:
http://www.google.com/?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en
y no lo permite la página de mi pueblo.
http://www.rodeiroag.es/?query=%3Cscript%3Edocument.write%28%27%3Cimg+src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22+%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en
Luego si yo fuera un político A o un político B ya me buscaría yo la manera de arrimar el ascua a mi sardina, que de eso se trata y no de otra cosa.
Pero se puede decir que la pagina tiene o tenia una vulnerabilidad XSS no se puede negar. Perdón, perdón, se puede negar pero no sería verdad, que tampoco es lo mismo.
document.write(‘http://www.rodeiroag.es‘)
Un Saludo a todos.
Pues parece que todavía a estas alturas (05/01/2010 13.00h) admite inyección de script en la búsqueda:
http://www.eu2010.es/es/agenda/resultadosBusquedaEventos.html?busqGnral=%22%3Cscript%3Ealert('Mr%20Bean%20for%20President‘)%3C/script%3E%5D%22%22&selectPeriodo=3&selectTema=Asuntos+Econ%F3micos+y+Financieros&selectLugar=A+Coru%F1a&btnFiltrGnral=Filtrar
Denunciar al gobierno porque un proveedor no suministre lo contratado?.
Si tuviera que hacerlo, me gastaría más de lo que tengo en poner denuncia tras denuncia.
Marce, tengo todo mi derecho a quejarme, sin por ello estar obligada a denunciar.
Tengo el derecho a quejarme si, además, me quieren engañar hablando de «fotomontajes» y zarandajas por el estilo.
Tengo el derecho a quejarme si ordenan a los cuerpos de seguridad del estado que investiguen lo que ellos mismos dicen que no existe. O engañan a estos, o a los ciudadanos.
Y, todo ello, sin tener que denunciar, que además no vale para nada.
Que no ha sido un hackeo, sino un bug? Mejor me lo pones. No ha hecho falta meterse en la página para poner al descubierto un fallo. Algo mucho más fácil.
En definitiva, Marce. Tenemos el derecho a quejarnos. Y con razón.
Macho!, te lo has currado!
Muy clara la explicación desde el principio
Maria Rosa y demás comentarista
Hoy está lloviendo
Vulnerabilidad – Si sales sin paraguas te puedes mojar
Hackeo – Salgo con paraguas y mi vecino me lo llenado de agujeros. Me mojo
Esa es la diferencia
Efectivamente, leyendo el título del pliego parece que el desarrollo de la web no es de Telefónica, pero sí la explotación y seguridad. Antes de poner en producción un portal de esta visibilidad, se deben pasar una auditoría de seguridad, y obviamente no se ha hecho (me imagino que las prisas por salir tendrán la culpa, pero en un proyecto de este volumen, no hay excusa). Por cierto, sería muy interesante darle un vistazo a los pliegos de este concurso y el de la web, si alguien los encuenta, que los postee , por favor.
Por que pones tanto empeño en defender a Telefónica cuando es indefendible lo que ha hecho? Es por tu empresa?
Un XSS en una pagina como esta es una gran cagada en seguridad informatica y es una vulnerabilidad que brilla como como una luciernaga en un bosque.
Y si no ponte a explicar ahora en el Telediario que no. Que realmente la foto de Mr. Bean estaba en otro servidor. ¿A quien le importa?
Pues la empresa que hay detras no se toma las cosas muy en serio cuando el DNS de eu2010.es esta sobre una única IP y en un servidor Debian etch desactualizada con Bind vulnerable y para mas inri un plesk 9.2 . El servidor tiene abierto el SSH , mysql …. . Puedes ver las versiones de la maquina DNS aqui http://webmail.digival.org/imp/test.php
Una chapuza de mucho cuidado .
Sr. Marcelino, que vd. hable de rigurosidad dando por hecho un comentario de meneame es de guasa. En contrataciondelestado.es se puede ver el pliego de licitación y exactamente dice que los 9,6 millones de euros+impuestos es en concepto de ‘Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea’.
Por favor aporte el pliego técnico detallado o algo más para que los demás también podamos dar por cierto ese comentario.
Eso explica porqué me metía en la web y no veía a Mr. Bean, pensaba que habían sido rápidos corrigiendo los cambios del graciosillo. Ahora me avergüenza que un «Juanker» me la colara en menéame 😛
Respecto a lo de que si se descubre una vulnerabilidad, se avisa primero al administrador, no lo tendría yo tan claro.
Lo normal es que lo ignoren y no hagan nada.
La segunda más probable opción es que te denuncien por hacker.
400mil euros por una web de 6 meses basada en opencms es sencillamente una ESTAFA, no se que intereses tendrá el autor de este artículo con el psoe o telefónica, pero salta a la vista que NO ES OBJETIVO, en cuanto a la explicación técnica del «hackeo» es correcta, y cualquiera que lea meneame ya la conocía, de todos modos es lo de menos, lo fuerte de la noticia es el dineral que nos han timado a todos los españoles en esa web.
#47 mmadrigal
Vulnerabilidad – Si sales sin paraguas te puedes mojar
Hackeo – Salgo con paraguas y mi vecino me lo llenado de agujeros. Me mojo
Chollo – conseguir un contrato estatal y cobrarlo a precio de genio
Timo – pagarle una pasta al «genio» porque salga a llevar una carta sin paraguas (se puede mojar, y joderse la carta)
Asi lo veo yo.
Amigo Madrigal, es correcto que un XSS no es «un hackeo» del servidor, pero sí es un fallo de seguridad del que el servidor, o la aplicación que corre en él, es directamente responsable.
Esta vez fue una imagen, pero las vulnerabilidades XSS va mucho más allá, por lo que sigo insistiendo que es una gran «metida de pata» por parte del becario de telefónica que realizase la auditoría de hacking ético.
te pego algo del html de la pagina por si da pistas:
«http://www.eu2010.es/system/modules/es.ieci.opencms.content/js/jquery.accessible-news-slider.js»
me hace gracia sobre todo ver en el link no solo la empresa que lo ha hecho (iecisa creo) sino la tecnologia utilizada (opencms) y mas aun ver las dos cosas juntas (empresa privada + tecnologia open source) o sea ieci+op<=400k
Ademas el texto de la adjudicacion es un poco ambiguo no?:
"Objeto del Contrato
* Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea"
tomado de http://contrataciondelestado.es/wps/wcm/connect/?MOD=PDMProxy&TYPE=personalization&ID=NONE&KEY=NONE&LIBRARY=/contentRoot/icm:libraries%5B17%5D&FOLDER=/25/33421/4284625/&DOC_NAME=/contentRoot/icm:libraries%5B17%5D/25/33421/4284625/DOC_CAN_PROV2009-137657.html&VERSION_NAME=NONE&VERSION_DATE=NONE&IGNORE_CACHE=false&CONVERT=NONE&MUST_CONVERT=false
perdon el link entero parece que no funciona lo pegue sin mirarlo este acortado si (tranquilos no va a lanzar ningun xss contra ninguna web :_P )
http://bit.ly/5qfEYg
«Además incluye unos SLAs que meten miedo, y eso también se paga.»
Pues ya veo para que ha valido. La web lleva dos dias caida
Pues ahora mismo la web real esta caída… 😉
Y sigueeeeee jajajjajja!!!! E$to les pasa por pagar a Timofonica
http://yfrog.com/0oinutilesg
mmadrigal,
Creo tu pors tiene dos errores que deberías editar y corregir:
1. Sitio web sin seguridad:
El sitio web de la Presidencia de la UE tenía (y parece que sigue tieniendo graves vulnerabilidad explotables por hackers). Ayer demostró un fallo de seguridad simple que dejó en ridículo a los creadores del sitio y al Gobierno.
2. Precio que pagó el Gobierno por el sitio web:
El sitio web costó 11.940.000 EUR impuestos incluídos.
El concepto es: Servicio de asistencia técnica para la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos, servicios de videostreaming y alojamiento, gestión y seguridad de la página WEB para la Presidencia Española de la Unión Europea (ver el enlace que puso #8 http://bit.ly/5qfEYg ).
Aparte de mmadrigal@psoe.es, cual es la dirección de correo que tegusta más?
Marcelino, que huele…
400k € en una web que emplea OpenCMS, plataforma que *NO* han parcheado y que *NO* se encuentra en alta disponibilidad.
A mi me parece una estafa en toda regla.
«5 – La vulnerabilidad existe, como en muchísimas webs, y debe ser corregida (si no se ha hecho ya). Pero insisto en que ningún caso se puede afirmar que nadie “hackeo la web”, al menos en mi opinión, sino más bien que si alguien “hackeo” algo fue los navegadores de la gente que pulsó el enlace para ofrecer la imagen que no existía, no estaba alojada en la web y en ningún caso pertenecía a nada que estuviera en la infraestructura de la web de Presidencia.»
Existen soluciones técnicas para evitar esto. Y lo que si pertenece a la infraestructura de la web de la Presidencia es el código «erroneo». Nadie ha «hackeado» mi navegador.
«Triste y dice mucho sobre el nivel del periodismo actual.»
No hay mucho que decir. A un ciudadano de a pie le importa un comino si la web ha sufrido un «hackeo + defacement» o es víctima de un fallo XSS. En ambos casos el problema lo tiene *la web* y no el ciudadano. No tratemos que quitarle importancia al asunto por motivos técnicos.
«que finalmente quedará como una mancha en la capacidad de una empresa española que seguramente no merece»
¿Perdón? Una empresa con CPDs que ocupan varias manzanas de una ciudad y no es capaz de soportar el tirón de tráfico, que monta una solución Open Source sin preocuparse de parches y versiones, que cobra 400.000 € en hacer unas plantillas para OpenCMS, ¿no tiene la culpa? Se merece el escarnio público, y la valoración negativa en futuros concursos públicos.
Este pliego tendrían que haber sido varios, y deberían haberse adjudicado a empresas con capacidad para desarrollar soluciones de este tipo por si mismas (que existen), y no a una que lo ha subcontratado a una cadena de X proveedores.
Como se ven los que trabajan en seguridad cobrando de algún BB .. Por favor !! Si les han pillado por un XSS más razón, si el cliente hubiera sido una empresa privada, ya estaría puesta una denuncia para recuperar la pasta por daños y perjuicios, daños a la imagen, o alguna similar..
A mí también me parece una burrada esa cantidad de dinero por el servicio prestado, pero con lo de probar que la adjudicación ha sido a dedo o que el importe es excesivo pasa como con las prostitutas de lujo, que aunque todo el mundo sepa que lo son apenas nadie puede «probarlas» y los que pueden no les interesa que se sepa. XD
Y tanto. Porque cobrar porque pongas un paraguas (seguridad) a una web y luego el cliente se moje con una gotita, es de risa.
En vez de al MUY INTELIGENTE Sr. Atkinson, deberían haber colgado esta imagen… hace justicia a la verdad.
http://yfrog.com/2oinutil01xg
Como siempre, se exagera y se manipula, pero quiero apuntar 2 cosas:
1. 400k€ es demasiado por una página de esas características.
2. Lo de la alta disponibilidad, como se puede ver no es cierto.
Podríamos concluir que el ataque más que poner la foto de mr bean mediante XSS, ha sido provocar una avalancha de peticiones que han tenido como consecuencia una denegación de servicio.
Javier: Probablemente un becario lo hubiera hecho mejor.
Pagar por eso lo que han pagado, -por cierto, el corte inglés también moja- es de estúpidos, sinvergüenzas o ignorantes. A escoger.
Por mí que hay un poco de todo, porque con solo uno no da para tanto.
La verdad es que me cuesta creer que alguien que se dedica a esto pueda dar las explicaciones que se exponen en esta entrada, destinadas obviamente a aquellas personas a quien se pueda engañar por no conocer bien la materia. Podría contestar, una a una, a todos los puntos expuestos pero, por razones de espacio, seré moderadamente breve:
Dato 1 -> La verdad es que, aunque fuera cierto que «sólo» 400k de los 9M de euros fueron destinados al desarrollo y alojamiento de la página, seguiría siendo una auténtica barbaridad por una web basada en OpenCMS sin ningún tipo de parche de seguridad. Aún así, sigo pensando que no queda claro que sean 400k.
Dato 3 -> ¿Y esto nos lo está contando un informático? Decir que la web no ha sido «hackeada» es recurrir desesperadamente a la léxica para explicar lo inexplicable. Obviemos, pues, la palabra «hackeo» y digamos que la web, entonces, ha sido simplemente atacada o, como se suele decir, tirada abajo. Los ataques XSS o de inyección SQL no tienen como objetivo al cliente, el sistema cliente no es el objetivo, decir eso es una falacia; es el servidor el que es atacado, ya que, aunque es verdad que los archivos no son modificados en lo que a código se refiere, modifican la información que estos muestran en base al código que sí que se ha introducido en el sistema (código malicioso alojado en la base de datos de los sistemas esos tan seguros). Estos ataques son muy serios, y el Gobierno puede dar gracias porque se tratara de una página informativa y el atacante un gracioso, ya que es por eso que el ataque no ha tenido más importancia (el atacante podría sacar información crítica o tomar el mando como administrador).
Dato 5 -> Creo que lo dejo suficientemente claro en el punto anterior.
Dato 6 -> Exactamente lo mismo, si el atacante hubiera querido habría hecho más daño, pero se ha conformado con dejar una imagen de Mr. Bean en una página interior (no en la portada). Por cierto, la página sí existía.
Puntos 7 y 8 -> No tengo nada más que decir.
¿A ver qué nos dicen ahora? Supongo que nada, porque, como decía ayer, la cosa es muy sencilla: Telefónica se las arregla para ganar un proyecto público por 11M, lo traspasa a IECISA por 800K y allí la web la hace el becario o junior de turno… Pero lo peor es que, al final, los que pagarán el pato serán el becario y su jefe (si acaso) 🙁
Luis Sancho el 5/Ene/2010 – Y el dato 2 y 4??? 😉 De acuerdo en todo, sobre todo en el final, vergüenza debería darles y vergüenza ajena me da.
Luis Sancho
A pesar de que yo no tengo ningún master IE (por el que exhibe en su blog) le diré que esta entrada está escrita para que la gente profana a estos temas entienda lo ocurrido.
No señor, no tiene usted razón, y a mi también me parece mentira que un profesional diga lo que usted dice
Los ataques Xss son de muchos tipos, y este que hemos visto es de lo más light. Es cierto que muchos inyectan código en la web haciendolos persistentes, pero no ha sido el caso porque la web no la han tocado. ¿Le queda claro así?.
El atacante que usted dice no ha dejado nada en la web porque no ha modificado ni una línea del código en el servidor.
Lo que se ha hecho, para que usted se informe, es utilizar el enlace del script, ocultarlo de una forma chapucera mediante un acortador de url, invitar a la gente a pulsarlo y realizar unas capturas que se subieron a una red social. ¿Se va enterando?
Si realmente está usted preocupado por el tema exponga a los señores la norma número 1 de seguridad es NO HACER CLIC en un enlace dudoso, y la número 2 para los puristas es desactivar javascript de los navegadores (este punto hubiera inutilizado el script que se enmascaró? ¿Le parece bien?
Lo demás es mala baba, como muchos comentarios de los que se ven aquí (y yo respeto) que no niegan en ningún momento los datos que aporto, que haciendole un resumen para que no se canse le vuelto a exponer
1 – La web no costó 11 Millones de Euros
2 – La web no fue hackeada, (a pesar de ser vulnerable a XSS) porque no se modificó nada en ella
Saludos
A todos los comentaristas (incluso a usted) agradecerles los comentarios en uno u otro sentido
Sr. mmadrigal
Si le parece más adecuado, dejo de tutearle. Me parece correcto.
Creo que a base de multiples comentarios en la misma linea, practicamente todos hemos entendido que los 11 millones (que son o 9 sin iva, o más 12 con iva…pero el 11 anda lejos del pico), se quedan sólamente para la seguridad, soporte y «logistica» (ni que los bits hubiera que llevarlos en camion, oiga), a los que habria que añadir 400k de la creacion de la web y los 700K de los contenidos (se acerca ya mas a 14 Millones que a 11, no??).
Espero que no se haya cansado usted tampoco de repetirse, porque lo va a seguir aciendo si continua con las «orejeras borriqueras» puestas y no quiere ver que lo molesto, insultante y vergonzoso que criticamos es que, sin haber sido un hacking, sin ni siquiera un ataque directo de denegacion de servicio, sino simplemente una consecuencia de una «gracia» visual muy popular, la tan cara y costosa pagina se ha visto afectada y neutralizada, a pesar de los servicios contratados por «11 millones» (doce), lo cual es INACEPTABLE, en proporcion a su coste.
Y a estas alturas del dia de hoy, la pagina lleva ya mas de ¡¡¡5 horas!!! caida, inutilizable o…sugierame una excusa, por favor…que yo no la encuentro.
Skiter
Le sugiero que pida explicaciones a quien crea usted que es responsable de ese mal. Yo no puedo contarle a usted más que lo que aquí he expuesto.
Por supuesto me puede usted tutear ;D
aciendo sin h!!! mis disculpas!!! fueron las prisas, que vienen los reyes y me quedo sin caramelos!!! :S
MMadrigal, que metodo me recomendaria usted para hacerme oir?? Como ciudadano creo que alli arriba me escuchan poco, votar ya voté y sirvió de poco.
Asi que por ahora, solo puedo seguir iniciativas como el grupo de facebook http://www.facebook.com/group.php?gid=409455760353
Se apunta usted conmigo?? va contra el derroche, no contra los fallos tecnologicos ;D
Simplemente comentaros si sabéis lo que cuesta el HW que está soportando esa página web y cuánto cuestan las licencias de Weblogic que entiendo que llevará la aplicación web (dejémosle de llamar página web, por favor), si saben cuánto se lleva Oracle y Bea por los servicios de sopote que dan, y a partir de ahí, piense cuánto cuesta mantener a un equipo de ingenieros de guarida por si ocurre algo.
Entiendo que a todos los que decís que el dinero que cuesta es mucho, que es un robo y que ha sido adjudicado a mano, es porque habéis hecho muchos presupuestos y sabés cuánto cuesta lo que he comentado en el este comentario.
increible la disonancia cognitiva de los militantes y simpatizantes del psoe.
Señores: esto no es fútbol, es dinero público.
cuanto antes admitan el error y deriven responsabilidades para parar esta estafa y meter en la cárcel a los responsables, antes recuperarán la imagen política.
Lamento comunicarles que SI ha costado 9.620.000 euros
vuelvo a poner el enlace de la adjudicación oficial porque parece ser que dicha disonancia cognitiva les impide ver la sonrojante realidad.
http://bit.ly/5qfEYg
Lo malo es que no dimitirá nadie ni se revocará la contrata.
Lo bueno es que se ha hecho justicia poética (gracias Mr Bean)
no sé cómo se hace pero es nombrar meneame en un post y que los trolls-censores de allí, acaben aquí (o donde se les mente) ipso facto 😀
Es que me parto, hablas de contrastar noticias y presentas como fuente de tu «estudio» meneame xDDD
En fin, que son todos unos desgraciados ladrones que merecen que los encarcelen de por vida!!!
Leña al mono que es de goma!!
y tu no votaras PSOE por casualidad?
mmadrigal, otro voto más a favor de que esta noticia merece el cachondeo generado.
400.000€ por maquetar una web OpenCMS, tener la web caída durante horas (¿o días?), y sufrir un exploit ridículo por XSS no da para menos…
Genial explicación, la verdad es que hasta ahora no me había enterado bien de la película!!
Es evidente que solamente hay dos opciones:
1) esta gente del gobierno es completamente estúpida y se deja robar por los de siempre.
2) Alguien esta metiendo la mano en la caja de las galletas. Vamos que como siempre nos están robando a manos llenas.
En mi opinión se trata presumiblemente de ambas cosas.
Ahora encima nos cuentan que van a arreglar los problemas económicos de toda Europa con unos sabios que se limitan a Felipe González (quien ya destruyo en una ocasión la economía de este país y que protagonizo un gobierno el el que se asesino y se secuestro a personas, en algunos casos inocentes) Solbes (quien destruyo la economía de este país en dos ocasiones, dejando su cargo en ambos casos con varios millones de parados) Es una vergüenza que estos dos individuos de dudosa catadura moral estén aún en la vida publica en lugar de en estar en algún sitio donde no puedan hacer más daño. Finalmente tenemos a Delors que no se si ha venido engañado o simplemente a por lo suyo.
El caso es que somos de nuevo el hazmerreir de toda Europa y de sus medios de comunicación que se preguntan, con toda la razón, ¿que cojones va a arreglar un individuo que ha protagonizado la peor gestión de la crisis de todo el mundo? Medios que ya le han aconsejado que se deje en casa a la ministra Salgado ya que por Europa no la quieren ni ver.
Y es que para gestionar una crisis fundamentalmente de consumo no hay nada mejor que las peregrinas ideas de nuestra ministra de economía (profesión que por cierto jamás ejerció) como subir los impuestos y el gasto publico. Mire señora regrese usted a primero de carrera y relea el tema de la elasticidad oferta de la demanda.
A ver cuando es el día que como dicen ustedes se enfrenta a los poderosos. Poderosos como los Bancos (a los que están financiando), a las cajas (que son el principal problema de nuestra economía y están gobernadas por políticos), a los medios de comunicación (a los que van a hacer una ley audiovisual a medida con 29 minutos de publicidad por hora sin incluir la autopromoción y los programas estafa que nos cuelan por la noche. Medios que además se van a agrupar para fomentar la pluralidad de opiniones, que en futuro serán dos) a las operadoras de telefonía (que estan haciendo el agosto en este país desde hace ya años) a la SGAE (única entidad privada del mundo que recauda sus propios impuestos en forma de canon, de cuyo reparto no dan explicaciones a nadie desapareciendo en el proceso un 15%, y a la que también han hecho una ley a medida para que coarte nuestra libertad en Internet)
Lo dicho, o son completamente incompetentes o se llevan parte del pastel. Y es que el problema reside en que en España se ha creado desde hace años una nueva clase social en la que están incluidos los políticos de todos los signos sus secuaces anteriormente mencionados y cuatro famosillos en busca de gloria. Gentes que ademas no se cortan y nos enseñan por sus medios de comunicación sus grandes fiestas llenas de todos tipo de fastos, mientras los demás sufrimos los rigores de la crisis.
Mucho me temo que hasta que no nos levantemos y ERRADIQUEMOS esta nueva clase social corrompida hasta la médula no conseguiremos regenerar este régimen dictatorial de partidos políticos corruptos en que nos encontramos.
Por cierto, quien defiende tanto lo indefendible, o forma parte del la mencionada clase o no se entra de nada. Espero que te paguen muy bien los socialistas, solamente es cuestión de saber cuanto vale tu dignidad.
Efectivamente sr lams , solo hay dos opciones , una es pensar que en todas partes hay sinverguenzas que se aprovechan del dinero publico , por desgracia , empezamos robando las tizas de la escuela y acabamos en cualquier cargo publico aceptando comisiones por conceder «favores». Y la otra opcion es decir que
este gobierno es peor que el de mi partido sin ver ni dejar ver , que : el de mi partido lo esta haciendo igual o peor en los sitios que gobierna y que los sinverguenzas de uno son primos de los del otro y muchas veces de la misma familia politica , son los mismos o los hijos de los que nos vienen robando a los contribuyentes desde hace 1000 años ,
Lo de los informaticos que gastan bromas , pues es
como los «virus» alguien empeñado en fastidiar , sacando el unico beneficio de que se hable de ellos y en estos casos arrimar el ascua a su sardina , sin ver que hacen daño a todos (España) al ridiculizar nuestras instituciones , ya que sea del partido que quiera o de la provincia que sea , al final es la Nacion la que se pone en entredicho
Muy bueno su comentario. Entraré en su blog cuanto pueda. Tiene usted mucha razón. Hay que estar «mal de la cabeza» ( o querer airear noticia y tener mala idea) para que alguien crea que la seguridad cuesta 11 millones. No sé si la gente sabe que hay muchísimas reuniones en la PEUE en diversos lugares de españa y fuera. Todo eso (líneas, wifi, móviles, transmisión, equipos, codificación, CDN…) está incluido en los 11, millones… supongo.
Putos guiris juakers… xD
Hay un error de base. El contrato por once millones de euros firmado por el ministerio de Presidencia con telefónica era por todo el trabajo de la compañía (cableado, adsl, cobertura técnica de eventos) para todos los actos de la Presidencia española de la UE y sólo 600.000 euros para alojamiento, seguridad y mantenimiento técnico de la web de la Presidencia. Si mirasisel contrato con clma, y sin mala leche, lo veréis.Cuando hay que criticar soy la primera, pero me revienta hacerlo tendenciosamente y sin fundamento.
Me gustó mucho este artículo. gracias