domingo, octubre 31, 2010

10 Negritos: Segunda Parte

- “Déjame que investigue por aquí y te llamo en unos minutos”, contesté y colgué el teléfono mientras observaba impávido la imagen.

Allí se encontraba más pálido que nunca nuestro amigo P.L., mirándome mientras empalidecía aún más por segundos. Mientras, el otro pobre que se había quedado sin excusa le observaba inquisitivo, con la ceja arqueada y mirándole con una cara de certeza que decía:

- "Si yo no he sido y sólo estamos tú y yo…”

En ese momento la situación ya parecía más que clara. Las señales así lo demostraban y todos habíamos centrado las miradas en él. Con una mirada un tanto nerviosa, nuestro amigo P.L. soltó una de las frases más míticas que aún se recuerdan por el SOCtano.

- “A ver, yo no he borrado nada. Yo sólo le lancé el Acunetix a la página web de David Bisbal porque había encontrado una vulnerabilidad en la web de Chenoa y había pensado que podía ser gracioso poner una noticia en cada página anunciando una reconciliación entre ambos”.

FAIL!

Mi mente pasó de la extrañeza del asunto a la fase 2, en la que tenía que aceptar que nos acabábamos de meter en un marronaco XXL con botas, 580 kilos y morlaco a más no poder. Sí, reconozco que el despido, la horca, la guillotina y el apaleamiento público en la plaza del pueblo también pasaron por mi turbado cerebro, pero rápidamente desestimé las ideas al no parecer útiles para sacarnos del pocito donde, en ese instante, teníamos metido los pies.

- “La madre que te…, ¿y ahora como lo solucionamos?”, dije yo.

Tras elucubrar durante unos infinitos instantes en los que los minutos corrían como si fueran segundos, saqué el teléfono y empecé a pedir favores para intentar que no pasara nada en el caso de que algo pasara. Lo siguiente que hice fue llamar por teléfono al mensajero de las malas nuevas para ver cómo estaban las cosas.

- “Hola, sí, soy yo, ya tengo la info. A ver, ¿cómo te lo explico?...”, empecé diciendo mientras a la velocidad del rayo intentaba urdir la mejor de las estratagemas para que no me matara.

- “… Verás, es tan inverosímil, que mejor te cuento lo que ha pasado y tú decides como podemos arreglarlo. Uno de mis chicos había encontrado un fallo en la web de Chenoa y quería buscar otro en la web de David Bisbal para poner una noticia en cada web con una reconciliación. Para hacerlo, no se le ocurrió la idea más brillante que lanzar Acunetix contra el servidor y… el resto ya te lo sabes...”, canté de plano.

Tras 3 interminables segundos de pausa escuche su respuesta:

- “¿Estás de coña? Jajajajajajajaja”, se descojonaba en mi odio. “Pues es una cagada enorme porque verás, en el log se puede leer que ha seguido todos los links en la web interna, a la que ha entrado el escáner con un ‘or ‘’=’ y los links son todos: noticia.asp?id=1&borrar=true y ha dejado la web límpia. Ni fotos, ni mensajes en el foro, ni noticias, ni nada de nada. ¿Y sabes lo más divertido Chema? Agárrate: ¡No hay copia de seguridad! Jajajaja”

GLUB!

Mientras él se descojonaba yo me ponía azul como un pitufo y miraba a P.L., que había pasado a un rojo ardiente, mientras se frotaba las sudorosas manos. El resto de los negritos, ya más relajados, no podía contener una risilla camuflada sobre la explicación de por qué había pasado esto.

Bien, el final de la historia es el siguiente. Tras 10 llamadas de teléfono, conseguimos que no hubiera ninguna acción judicial de por medio. A cambio, tuvimos que pagar la cagada con una auditoría de seguridad completa y enecientas peticiones de perdón. Por suerte, los datos se pudieron recuperar haciendo uso de herramientas de recovery del sistema y se pudo volver a poner en pie… “casi” todo.

La moraleja de la historia es que hay aplicaciones web tan mal diseñadas, que a veces se caen sin casi tocarlas. En esta historia fue el spidering de links que ser realizó en la zona interna. La aplicación, en lugar de tener las acciones como campos de formulario, que se pueden filtrar fácilmente en las configuraciones de los crawlers (“no seguir formularios”) para poner el modo más friendly posible, eran simples llamadas GET que el motor siguió.

P.L. y todos los presentes aprendieron la lección sobre qué hacer y qué no hacer en el trabajo y sobre cómo usar y cómo no usar un escáner. Como plan B, por si todo fallaba, habíamos pensado en echarle la culpa a un joven negrito que teníamos en prácticas de verano en la empresa, ya que tenía sólo 16 años y tal vez, por eso de ser menor…

Saludos Malignos!

18 comentarios:

un blanquito dijo...

gran entrada!, que hay que hacer para estar de prácticas en vuestra empresa?

Kiwiman dijo...

Muy buenas ! Este par de entradas merecen un 10 !. Me reí un monton.

Anónimo dijo...

A Vincent y a mí nos pasó algo más o menos parecido... si te vuelve a pasar llama al Sr. Lobo, te ahorrarás muchas llamadas.

Un saludo,

Jules.

Anónimo dijo...

Que cabrito chema, pobre negro. jajaj

Eres mas malvado de lo que creia.

Anónimo dijo...

Jajaja, que cabrones que pringe el chaval de practicas...
Eso seguro que luego lo pone en el curriculum!
xDxD

Genial Chema!!

Thor dijo...

Jaja el pobre PL solo estaba dedicando un tiempo a cacharrear con Acunetix para realizar mejor su trabajo :P El objetivo elegido no pudo ser peor...

Román Ramírez dijo...

Tal y cómo andan las cosas, MENOS MAL.

Porque como la mayor parte de la gente no tiene ni idea, siempre piensan que te estás descojonando en su cara, y terminas mal...

La palabra para resumir este post es... imprudencia ;)

tayoken dijo...

PL de Pobre Luser también coincide con...

David dijo...

Super cagadas en el curro, es un buen tema. Cada uno tiene las suyas.

Yo también tengo la mía: dejar una empresa de casi 2.000 tíos sin poder entrar a trabajar ni registrar marcajes, vamos, un chow en la puerta de entrada :) Menos mal que yo estaba en remoto, sino me linchaban fijo.

Respecto a lo del scanner, siempre me pone nervioso lanzar esos cacharros porque no sabes qué pueden hacer.

UnaM1 dijo...

Aparte de la cagadilla, lo de no tener copia de seguridad me reafirma en mi teoría de que tenemos más peligro los administradores de sistemas que el hax0r más habilidoso.

Menos mal que PL no llegó a rematar la idea de la reconciliación Bisbal-Chenoa, porque ahí hubiera intervenido la prensa del corazón, y la cosa podría haber acabado con el Maligno en Sálvame DeLuxe dando explicaciones... ;-)

Saludos

4n0nym0us dijo...

jajaja que buenísima!! ya estaba esperando el final... menuda cagada que no salió la noticia de la reconciliación xD

Anónimo dijo...

Bueno, fue una caga de PL, y por lo que veo no le has echado, creo que fue una inconsciencia con unos resultados desproporcionados.

Ahora te digo, hoy entré por primera vez en la web de bisbi y se me la comen entera (la ' tengo que aclarar).

Han pasado de vosotros (lo que tendría narices) o es que se os ha pasado a vosotros.

Ya sabes qué significa que nombres alguna web aquí ¿no? ;)

evilteq dijo...

Aparte de haberme reido un rato leyendo, tengo una pregunta "inocente".
¿Y qué hubiera pasado "por las malas"? ¿Se le caería el pelo (y en qué grado?) a la persona o a vuestra empresa (desde la empresa, en horario laboral y en una "actividad relacionada" con la misma)? ¿Contaría algo la nula seguridad del sitio o la, imo, negligencia por no tener backup?

Maligno dijo...

Esto que he puesto jamás ha pasado (hasta que no me asegure de que ha prescrito) así que no hagáis preguntas maliciosas }:))

Anónimo dijo...

Porque cargar con el menor cuando siempre se tiene un turco dando vueltas por la red!.

Jajajaja, pobre tipo! que gran cagada.

Saludos Chemita,
KiKiTo.

Christian Hernández dijo...

No me he enterado, Bisbal y Chenoa han vuelto o no?

Si es que os gusta jugar con fuego... seguro que esta no es la más gorda, pero sí debe ser de las más gordas que se pueden "medio contar"

agux dijo...

Lo mucho que me le he reido!!!!

Ha sido muy, muy bueno!!

Marketing de Contenidos dijo...


Hola

Soy SEO y estoy especializado en el marketing de contenidos.
Busco webs atractivas como la suya donde publicar artículos especializados en las temáticas de mis clientes,
y de este modo crear una red de posibles colaboradores.
Tengo varios artículos originales centrado en la temática de los sistemas biometricos.
Le interesaría publicarlos?

Muchas gracias.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares