es un mísero tweet, pero lo he comprobado y es cierto.. restauraciones de 28-dicembre y del 1-feb. Lo publico porque parece que es grave que no se tengan copias propias disponibles (y en otra LAN) y que esté dando servicio (parcial) un portal institucional instrumentalizado por completo por scripts de un servicio extranjero.
Como no se trate de una restauración temporal hasta que solucionen lo de ayer y dispongan de un backup más reciente...
Por ahora, incompetencia + chapuza.
#10#11#12 mientras elllos puedan seguir cogiendo sus moscosos, dias libres, vacaciones y asuntos propios.... allí no protesta ni dios; ah y en seguro médico privado, mientras tu vas a la SS a esperar a que te vea un especialista, pero ellos no, de 8 a 3 (si llega) y como señoritos.... que no funciona algo? no pasa nada
#20 Tiene pinta (lo que no deja de ser una chapuza), pero digo yo que en algun armario ignifugo guardaran copias en cinta... Mi voto va porque no tienen backup.
#21#20 Seguro que sí tienen, pero o está cifrado también o no lo pueden montar porque de alguna manera kes está fallando
Bueno, al menos están siendo creativos
#22 en las noticias de ayer se dijo que un ataque informático había tumbado la página del SEPE.
Por lo que se ve, era un bulo de noticia. La realidad es que los informáticos del SEPE la pifiaron. www.meneame.net/story/chapuza-sepe-estarian-restaurando-web-usando-cop
La chapuza del SEPE: estarían restaurando la web usando una copia del año pasado
¿No tenían una copia de seguridad de si mismos?
...o varias copias en lugares seguros diferentes?
Piazo contratico de seguridad se está rifando en la Administración. ¿Será "a dedo"?
También puede ser que aunque tengan backup sigan investigando el problema, hasta donde afecta, por donde ha entrado y que sigue activo de este. Restaurar un backup en un servidor infectado o que puede volverse a infectar si no has solucionado antes la "vulnerabilidad" y que probablemente tengan activo en gran parte de la red interna no tiene mucho sentido.
#24 Alguna chapuza tienen montada en lugar de un backup serio (seguro que dices alli plan de continuidad y a alguno le hace hasta gracia). Hacer una copia semanal en una NAS no es un sistema de backup
#27 Yo cuando trabaja en Indra flipé porque el que llevaba los backups los hacía entre servidores, con rsync de un lado a otro. Esto hablando de una parte de Indra pequeña, no sistemas centrales claro.
Hablando con los jefazos, conseguí que compraran una LTO y montar un BAREOS para mantener backups en otro datacenter. Si, no querían ni oír hablar de licencias de Simpana o similares. Luego conseguí que Dell prestase un Avamar, pero no se como habrá quedado esa historia.
#20 Lo normal cuando la copia de seguridad se tiene en el mismo equipo, o conectada por usb. A veces pasa hasta en la misma red. En un cliente mío, tras dos cifrados ramsonware, pusimos las copias de seguridad de la base de datos a través de ftp.
#29 Lo chungo de todo esto, es que si miras para atrás, si hay algún periodista que investigue (sic!), seguro que hay contratos millonarios para montar el portal web y toda la parafernalia.
Para echarlos a todos a una hoguera...
Me extraña que no haya nadie que tenga una copia del portal en un disco de 5 1/4 o 3'5
O quizás es que se pusieron a restaurar usando 30 discos comprimidos con el ARJ y les falló el útimo
#14 ¿Has venido a vender tu libro? En las administraciones públicas en las que he trabajado, todo el servicio está subcontratado (o sub sub contratado, o sub sub sub, ...), y los funcionarios, entre los que hay de todo, pero no falta gente competente, ni pinchan ni cortan, no pudiendo decidir ni intervenir en nada, por muy mal que lo vea.
El problema no son los funcionarios, sino la mal llamada "externalización".
¿Quien lleva los sistemas del SEPE y por cuantos millones de Euros?, ¿INDRA?
Y mientras yo jodido con los plazos porque la empresa ha tardado 9 días en enviar el Certificado de Empresa. Si inicias el trámite sin que les haya llegado el documento te deniegan la solicitud.
Los teléfonos de atención del SEPE hoy dicen no existir. Y el que tenía de cita previa guardado en el móvil me informa roboticamente tras marcar el código postal, que no puede darme cita en mi municipio. Y, claro, sin cita no atienden y tienen un guardia de seguridad.
¡Ole!
#44 Qué libro? sólo digo que aunque este todo externalizado, el que está dentro ni puede cambiar pero tampoco hace nada, ni propone ni dispone ni se le espera que lo haga; tampoco tiene la formación para ello.
El que toma decisiones además tiene nulo conocimiento y no se de asesora bien.
#42 Joder lo del puto ramsonware este es más habitual de lo que parece, por lo que se ve. Están sencillo como instalar un programa no fiable? O es a traves de un link malicioso?
Unos cargos políticos han "externalizado" el servicio, y una gran empresa lo lleva, y cuando falla, maquillan todo lo que pueden para que no salga perjudicada, creando un incentivo perverso para que nunca se hagan las cosas bien, porque no hay consecuencias.
#19 eh eh un poquito de por favor, que esa gente ha sacado sus oposiciones, que menos que garantizarle un trabajo de por vida en el que no se le pueda chistar aunque se le pille decapitando bebes con lectores de CD 32x
#38 En mi experiencia, meten pasta el dia que pierden datos de verdad (no un par de dbs de desarrollo). Cuando se encuentran con un boquete de una semana en los datos es cuando se compran licencias de un sistema decente.
#47 El funcionario que está dentro no tiene poder de decisión, porque las decisiones las toman cargos políticos, de esos que se asignan a dedo, y te sorprenderá la formación que pueden a llegar a tener muchos.
El que toma las decisiones las toma para agradar a "sus amigos", no quiere tener el conocimiento, y aunque pueda asesorarse, no quiere hacerlo, porque hacer las cosas bien perjudica a "sus amigos".
#14 Aquí no tenemos ni puta idea de lo que ha pasado (por ejemplo podría ser que esto esté externalizado a una empresa, o puede que esto sea una restauración temporal para seguir funcionando), pero eso si, hablar y decir lo que queramos, eso sin problemas.
#44 Vale, entiendo, entonces que pinta el funcionario ahí? se ha dado el trabajo a las contratas de amiguito de turno y claro, como al funcionario no se le puede tocar pues se le deja ahí de brazos cruzados no? que bonito, que derroche.
#48 En el caso que te cuento, los trabajadores usaban el servidor para descargarse películas, programas, poner música, etc. Yo avisé a los dueños de la empresa de lo que estaba ocurriendo, y que al servidor no debía entrar nadie salvo el contable y yo (tenían contaplus allí metido también), pero ignoraron mi advertencia.
La segunda vez no sabían si alguien había trasteado de nuevo, o si se había propagado desde algún equipo de la red que hubiese quedado infectado de la primera vez.
En ambas ocasiones salvaron el culo porque la base de datos por aquellos tiempos era aún pequeña y yo me la bajaba entera a mi equipo para los desarrollos. Pero vamos, que perdieron varios días de trabajo en cada ocasión.
Desde entonces, hay un responsable del servidor, que es el único que conoce la contraseña y da acceso por remoto, llevando un log de quién entra y cuánto tiempo está conectado. Y las copias de seguridad se hacen a un pendrive conectado por usb, y por ftp a la nube.
#48 A una empresa la jaquearon enviandole una pecera de juguete con usb a un directivo que (por su facebook) sabian que le gustaban los peces. Tenia dentro un keylogger de esos, se la enviaron al despacho y el tipo la conecto.
#61 A los funcionarios les han hecho "mobbing" de libro, vaciándolos de tareas a realizar. Actualmente se dedican casi en exclusiva a tareas de gestión, estando cada vez más y más lejos de la técnica. Aparte del derroche, esto implica que los pocos jueces que pueden llegar a ser imparciales que pueden juzgar el buen o mal hacer de una subcontrata están cada vez más fuera de su órbita, por lo que nadie controla lo que se hace bien o mal, y solo se descubre cuando ocurre algo grave.
Si los desarrolladores no son muy torpes del todo, la versión de producción iría minimizada y ofuscada. Por tanto, la web recuperada sirve para salir del paso, pero no para poder continuar un desarrollo con ella. Es pan para hoy, pero hambre para mañana.
#57 Si, de acuerdo contigo, pero precisamente la inviolabilidad/proteccion del funcionario es para poder denunciar o parar este tipo de cosas, por que tire a quien tire o queje de quien de queje no le echan ni le presionan los cargos politicos. El fin del funcionario es mirar por la cosa pública
#82 ahora si, mi formación es bastante más alta que la que piden ahí; tengo un trabajo que me realiza y con el que me siento satisfecho; lo cual no quita que me exaspere la poca diligencia que tienen algunos empleados públicos
#45 No te pueden denegar la solicitud, ni pagarte un solo día de menos, si la responsabilidad de presentar documentos (el certificado en este caso que comentas) es de terceros. Si te ha ocurrido o andas en ello acude a la inspección de trabajo, denuncia allí que la empresa no haya presentado el certificado y con eso te plantas en el SEPE.
Y no permitas que ningún funcionario te diga que has perdido el derecho, porque es mentira o ignorancia por su parte. La única forma que tienes de perder días es por no presentar un documento tuyo (básicamente, el DNI) Si faltan otros documentos que no dependen de ti, es el SEPE quien tiene que buscarse las habichuelas para que a ti te llegue la prestación.
#73 Pues si Indra ha incumplido el pliego deberian haber reclamado que se hiciera (fuera Indra por incumplimiento y fuera los que no reclamaron a la contrata o incluso llegar a rescindir el contrato por incumplimiento reiterado). Si no iba en el pliego deberian haberlo puesto.
Cuando un servicio esta subcontratado la empresa no decide, hay un pliego que especifica claramente que tiene que hacer y que no. Vamos, esto no es de la informatica, es como se trabaja al subcontratar un servicio.
En mi experiencia, los incumplimientos de contrato (en la admin. pública) no se persiguen nunca, por lo que ambas partes tienen culpa.
#64 Te lo compro a medias. Yo antes de restaurar con una copia no funcional sacada de archive.org habría dejado solo el mensaje en rojo y una página en blanco. Porque dudo que se hayan parado a comprobar los javascripts bajados de archive.org, nadie te asegura que en esa copia de un tercero con el que no tienes relación no se haya colado nada malintencionado. Me parece un parche muy cutre.
Esto tiene muy mala pinta. Entre la web, sin back up interno, y las fotos de los archivos encriptados... Con títulos de "ficherodecitasprevias.xls", tiene todo una pinta de cutre que flipas.
Los datos core supongo que estarán bien, pero los docs en red y los de local de trabajo se habrán ido a tpc y probablemente sin backup. Como poco, meses de trabajo perdidos. Incidencias a millares que vuelven a la casilla de salida.
Edit: Lo cual para una entidad como el sepe es para despedir a cualquiera que haya tomada una decisión alli en los ultimos 5 años.
es un mísero tweet, pero lo he comprobado y es cierto.. restauraciones de 28-dicembre y del 1-feb. Lo publico porque parece que es grave que no se tengan copias propias disponibles (y en otra LAN) y que esté dando servicio (parcial) un portal institucional instrumentalizado por completo por scripts de un servicio extranjero.
Por ahora, incompetencia + chapuza.
Habría que echarle un ojo al pliego
Sí, te digo cómo? Esas responsabilidades depuradas las pagaremos nosotros, como siempre
Edit: Lo cual para una entidad como el sepe es para despedir a cualquiera que haya tomada una decisión alli en los ultimos 5 años.
Bueno, al menos están siendo creativos
Por lo que se ve, era un bulo de noticia. La realidad es que los informáticos del SEPE la pifiaron.
www.meneame.net/story/chapuza-sepe-estarian-restaurando-web-usando-cop
La chapuza del SEPE: estarían restaurando la web usando una copia del año pasado
...o varias copias en lugares seguros diferentes?
Piazo contratico de seguridad se está rifando en la Administración. ¿Será "a dedo"?
Hablando con los jefazos, conseguí que compraran una LTO y montar un BAREOS para mantener backups en otro datacenter. Si, no querían ni oír hablar de licencias de Simpana o similares. Luego conseguí que Dell prestase un Avamar, pero no se como habrá quedado esa historia.
www.adslzone.net/noticias/seguridad/sepe-copia-seguridad-ransomware/
Para echarlos a todos a una hoguera...
Me extraña que no haya nadie que tenga una copia del portal en un disco de 5 1/4 o 3'5
O quizás es que se pusieron a restaurar usando 30 discos comprimidos con el ARJ y les falló el útimo
El problema no son los funcionarios, sino la mal llamada "externalización".
¿Quien lleva los sistemas del SEPE y por cuantos millones de Euros?, ¿INDRA?
Los teléfonos de atención del SEPE hoy dicen no existir. Y el que tenía de cita previa guardado en el móvil me informa roboticamente tras marcar el código postal, que no puede darme cita en mi municipio. Y, claro, sin cita no atienden y tienen un guardia de seguridad.
¡Ole!
Lo importante no es tener backup, sino que este tenga todo lo que necesites y sea coherente.
El que toma decisiones además tiene nulo conocimiento y no se de asesora bien.
Unos cargos políticos han "externalizado" el servicio, y una gran empresa lo lleva, y cuando falla, maquillan todo lo que pueden para que no salga perjudicada, creando un incentivo perverso para que nunca se hagan las cosas bien, porque no hay consecuencias.
El que toma las decisiones las toma para agradar a "sus amigos", no quiere tener el conocimiento, y aunque pueda asesorarse, no quiere hacerlo, porque hacer las cosas bien perjudica a "sus amigos".
La segunda vez no sabían si alguien había trasteado de nuevo, o si se había propagado desde algún equipo de la red que hubiese quedado infectado de la primera vez.
En ambas ocasiones salvaron el culo porque la base de datos por aquellos tiempos era aún pequeña y yo me la bajaba entera a mi equipo para los desarrollos. Pero vamos, que perdieron varios días de trabajo en cada ocasión.
Desde entonces, hay un responsable del servidor, que es el único que conoce la contraseña y da acceso por remoto, llevando un log de quién entra y cuánto tiempo está conectado. Y las copias de seguridad se hacen a un pendrive conectado por usb, y por ftp a la nube.
Pero igualmente no sabemos lo que ha pasado ni si se podrá solucionar.
No hay datos.
Pero el cambio del dns me va a llevar tiempo.
www.securityartwork.es/2015/02/11/zen-y-el-arte-de-pescar-apts-iv/
De que vale eso si no tienes todo el backend, las bbdd, servidor (apache o lo que usen), etc...?
sirve para poner la web de pega, pero que no hace nada.
Y no permitas que ningún funcionario te diga que has perdido el derecho, porque es mentira o ignorancia por su parte. La única forma que tienes de perder días es por no presentar un documento tuyo (básicamente, el DNI) Si faltan otros documentos que no dependen de ti, es el SEPE quien tiene que buscarse las habichuelas para que a ti te llegue la prestación.
Cuando un servicio esta subcontratado la empresa no decide, hay un pliego que especifica claramente que tiene que hacer y que no. Vamos, esto no es de la informatica, es como se trabaja al subcontratar un servicio.
En mi experiencia, los incumplimientos de contrato (en la admin. pública) no se persiguen nunca, por lo que ambas partes tienen culpa.
o un tío cuadrado normalmente con un palo ... no estoy seguro
Los datos core supongo que estarán bien, pero los docs en red y los de local de trabajo se habrán ido a tpc y probablemente sin backup. Como poco, meses de trabajo perdidos. Incidencias a millares que vuelven a la casilla de salida.