Anoche, conversando con Alejandro, me decía:
¿Tú confías en Messenger Plus! Live!, no? Y claro, le dije la verdad. Le tengo FE CIEGA.
Si la memoria no me falla, uno de los primeros tópicos que me incitaron a crear aquel viejo blog de educación en seguridad, fue el asunto del msnPlus!. De hecho, no me sorprende que haya sido el primer tema alguna vez tratado en este blog.
Pero vayamos al grano. Seguido de su pregunta, Alejandro me comenta lo que sucede con un script de MSNPlus! Live! que fue descargado unas 17mil veces en poco tiempo. Nunca usé MSNPlus. Creo que no lo usaré en el futuro mediato. Hay dos variantes acá de un mismo tema. Una decanta por un tema bastante tratado acá: el sentido común.
El otro, parte por un tema quizá más delicado. Porque ciertamente, como usuarios que somos, nos excede. Alejandro me decía que “fue una irresponsabilidad” por parte del sitio oficial permitir que ese script fuera publicado por un usuario sin verificación, sin control. Ahí me detuve a pensar: Si no hay verificación o control, ¿Cómo es que encontraron el asunto con el script?
Entré a los foros de msgpluslive.es (versión en inglés) donde se describe el problema con el script. Sí, instala un troyano que supuestamente envía las contraseñas a quien-sabe-donde (*). Algo que siempre pensé que hacía el MSN Plus sin ayuda de nadie.
(* Los más sabidos de estos temas, pueden ir al final de este artículo).
Contrariamente a lo que menciona Alejandro, quise poner las cosas desde otra perspectiva -muy a pesar de mi notoria guerra en contra de este tipo de utilidades atrapa-tontos-, cuando tienes una aplicación que acepta scripts que usuarios pueden enviar, corres esos riesgos. Se supone sí, que tienes un equipo capacitado que revisa estos contenidos, pero no estás excento de fallar en uno que otro. Ambos, recordamos el caso de Greasemonkey, un Add-on para Firefox que está lleno de contenidos de terceros y sobre el que recayó un problema similar hace algún tiempo. En Vagabundia, se tocó el tema.Y en BSOD, con un poco menos de profundidad.
Esta parte es la que nos excede. ¿Cuánto control puede mantener una agrupación sobre un contenido enviado por terceros? Y, ¿qué nos garantiza a nosotros los usuarios que no se comenterán este tipo de errores afectando nuestra seguridad?
Pues bien, podría pensar como Alejandro -de hecho, una parte de mí, la que lo ve como usuario, piensa que sí: fue una irresponsabilidad enorme permitir que esto sucediera. Pero otra parte, me recuerda que no es sencillo controlar estas situaciones y que el caso de MSN Plus! Live! no es el nuevo, ni será el último.
Entonces me pregunto: ¿Cuánta fe ciega necesitamos para usar ciertos programas? Ah, sí. La casa es ajena. La seguridad comienza por casa, pero no sabemos por cuál casa. Échale la culpa al programador, al que mantiene el sitio. La culpa es de otro.
Mi sugerencia: no descargar ciertas aplicaciones sin hacer una pequeña búsqueda en Google. Basta con escribir el nombre del programa-script-addon seguido de la palabra “bug”, “virus” o “seguridad”. No descargar aplicaciones hechas por usuarios hasta pasado algún tiempo, eso garantiza que tanto los bugs, como los fallos de seguridad sean bloqueados y que los antivirus estén actualizados para hacer cualquier detección.
(*) Y acá comienza el asunto con los más sabidos de estos temas (cualquiera que no sea sabido, lo invito a que lea de todas maneras, estoy seguro que no será muy complicado esto y le será útil en un futuro, quizá para sorprender a alguna chica ; D)
Primer punto notable. Con el comentario de Alejandro y mirando el código del script, noto que el script en sí mismo no porta virus (viene en un archivo zip, comprimido con un script .js y varios .xml). Ni siquiera un ejecutable. Como nunca usé MSN Plus!, ni conocía la funcionalidad de scripts, eso me llamó la atención. No hay que ser un genio para darse cuenta que MSN Plus! y sus scripts, permiten descargas de contenidos y las permiten sin que el usuario se entere de ello. Algo que considero una falla de seguridad enorme.
El Script en sí, no viene al caso, en Spamloco, lo describen. El asunto es que el script descarga un archivo que se hace pasar por una imagen (el viejo truco de pasar un virus con una extensión de imagen) y al descargarlo simplemente cambia a .exe, convirtiendose en un archivo ejecutable que se almacena en el disco duro. Acá es fácil notar lo sencillo que es engañar al usuario: ¿Aceptas descargar este archivo jpg? ¿Sí? Bien, lo descargo y lo renombro : )
En este sitio, para aquellos que deseen saber más, se encuentra el script original y los archivos ejecutables (ser cuidadosos acá es importante).
El siguiente punto notable, es que con Alejandro coincidimos en que no hubo detección del virus ni por AVG, ni por NOD32: la heurística está fallando, la detección de archivos potencialmente maliciosos está fallando y peor aún, la detección de archivos creados, modificados o descargados también está fallando. El virus ha de ser totalmente nuevo para que dos -considerados buenos- antivirus no lo detecten. Han pasado unas 48 horas de su aparición.
Acá de nuevo viene a mi mente esto de la fe ciega. Tenemos fe ciega en el antivirus y acá, vimos que falló. 17mil personas están ahora en riesgo de infección, por no decir que están infectadas (en el foro de MSN Plus se informa que se tomaron medidas que pasaron incluso por informar a Hotmail en caso que los usuarios pierdan sus cuentas por robo de contraseñas, y se dan pasos para la desinfección, ¿pero cuántos de esos 17 mil usuarios sabrán que la causa de su problema es esa descarga? ¿Cuántos irán al foro?). Tenemos fe ciega en el proveedor del programa y también falló.
Así que bien, jóvenes. A esperar algunos días antes de usar cualquier novedad de cualquier programa (incluso cualquier actualización), investigar si a alguien le ha causado problemas. Vamos, esto no es tan difícil ni toma mucho tiempo : )
ACTUALIZACIÓN:
Nod32 detectó los archivos infectados casi 3 semanas después de descubierto el incidente. El 12 de noviembre.
Al 25 de noviembre, aún no detecta todos los archivos infectados que descargué.
(Publicación original, 20-Oct-2008)
Más:
.comentarios
Lo bueno de todo esto es que reaccionaron rápido y el sitio al tener conocimiento del problema eliminó la descarga al instante y ahora están buscando soluciones.
No va a ser la última vez que pase, porque tarde o temprano el atacante logra vulnerar todos los controles que se le imponen.
Una demostración más del peligro que representa agregar scripts al Plus!, y del Plus! en sí… no queda otra que confiar en el famoso Patchou :)
En algo tienes razón, no sólo del peligro de los scripts o del Plus!, que para mí salta a la vista desde hace dos años que se de él. Sino de que, por lo que leí, las personas encargadas tomaron todas las acciones necesarias para evitar que más usuarios se vieran afectados. Y eso indica cierto grado de responsabilidad ante estos incidentes.
Espero que no se vuelvan comunes ya que el MSN Plus! Live! es una aplicación muy utilizada y la mayoría de sus usuarios no conocen los riesgos que afrontan.
Y más razón te doy: no queda otra que confiar en el famoso Patchou :D
Qué es seguro? Comer es inseguro, usar la pc es inseguro, dormir es inseguro. He utilizado el plus hace años, supongo que es un programa como cualquier otro. Todos son potencialmente inseguros. Lo dejé de usar ni se por qué en realidad :D
Moraleja, habrá bsod para rato y la nube de tags tendrá la palabra ‘Seguridad’ más y más grande hasta acabar con el blog XD
Acabas de recordarme las charlas sobre seguridad industrial (SHA) que imparto al personal de las plantas que he tenido la oportunidad de visitar.
Cierto es, la seguridad -o la inseguridad-, no debe ser motivo de paranoias. Todo evento es inseguro en cierto grado. Te doy toda la razón. Pero existen dos términos que deben aclararse: condición insegura y acto inseguro. Las condiciones existieron, existen y existirán. Los actos, también, pero son, en cierta medida, controlables objetivamente mediante la educación (sino, para qué existen los simulacros).
Creo que tienes demasiada razón. Tendré que hacer una plantilla nueva donde las tags estén en otro sitio para que la palabra SEGURIDAD, nos deje ver algo más del sitio xD
(Quizá sea la ’seguridad’ y no la inseguridad lo que acabe con el blog, triste…)
Supongo que comentar en este blog es potencialmente inseguro. También es cierto que el que no corre riesgos, tampoco gana…
Ahora, eso del acto inseguro no lo entendí mucho, porque supongo que tampoco existe. Es cierto que si, hay que estar educados, pero de todas formas nunca se tiene todo bajo control. En realidad me dio a pensar en ese plano, claro que lógicamente quien usa una pc debe tener precauciones de esas básicas, del ‘abc’.
Creo que la única paranoia que vale seguir es la del sentido común y el resto, pues, uno puede tener todos los chalecos que quieras, haber tomado todas las precauciones necesarias pero siempre hay algo que puede con eso… al menos eso lo hace divertido, seguirán habiendo hackercitos y crackeritos :D
#Nico
No es potencialmente inseguro. Es, un acto inseguro.
El acto inseguro existe. La conciencia sobre el acto inseguro existe (si no, echamos por tierra años y años de educación en compañías, empresas, hospitales, etc., que disminuyen sus accidentes en ambientes llenos de condiciones inseguras al educar sobre los actos inseguros). El acto inseguro tampoco desaparece, una persona entrenada, sabe lo que NO debe hacer y por tanto, salvo circunstancias extremas, sabrá responder ante ciertos eventos. Pero no es un robot y no está limitada a una sola condición, así que hay muchas variables y por ello los actos inseguros no desaparecen.
El sentido común siempre ha sido parte de mi lógica hacia la seguridad. Decía un profesor que cuando uno resuelve un problema, primero, el sentido común da la respuesta. Que no sea la más exacta es otro tema. El asunto pasa porque hay una capacidad de aportar soluciones y puntos de vista, aunque sean escuetas. Luego la lógica hace el resto.
La idea es no dejar de lado el sentido común porque tengamos algo en frente que nos dice qué hacer (o como en el caso de los antivirus, dejamos creer que nos protege de todo). La idea es usarlo y estar conscientes de la condición insegura (estar consciente es diferente a ser paranoico y temeroso) y no cometer luego el acto inseguro de hacer click en cualquier cosa sin tener algo de sentido común y pensando que si el antivirus no hace nada, es porque no hay nada mal.
Me refería al acto seguro, que es el que creo, y seguiré creyendo que no existe, porque creo en que todo es potencialmente inseguro.
Potencialmente, o sea probablemente, es a lo que me refiero que al haber una mísera posibilidad de que no lo sea, ya alcanza para considerarlo así. Podemos reducir el riesgo de inseguridad, pero no eliminarlo, porque mismo a eso considero que se escapa de la lógica. Consiente, inconsciente, con educación, sin educación, no lo eliminamos. Lo reducimos.
Sigo creyendo que todo acto es potencialmente inseguro, lo que equivale a decir que ante cualquier acto estamos expuestos a algo.
Supongo que lo único que podemos hacer es tener algo de sentido común, de prudencia, de educación, y de suerte :p
Saludos
Un sistema 100% seguro es inútil: sería demasiado costoso (tiempo, dinero, esfuerzo) como para que fuera práctico.
Ya entendí tu punto. Ciertamente lo que dices es cierto y tus últimas palabras reflejan los términos de la seguridad.
Sólo no puede desvirtuarse la intención de tener condiciones menos inseguras y actos menos inseguros -dentro del sentido comùn : D
Pd: “Supongo que lo único que podemos hacer es tener algo de sentido común, de prudencia, de educación, y de suerte :p” Casi lloro cuando leí eso.
esto en la verdad no estiendo en lo que se trata y quiero ver de que se trara zhauuuuu
