bsod » msnPlus

Fe ciega: El caso de MSN Plus! Live! y NickPlus!

myself — Wed, 26 Nov 2008 14:00:00 +0000

Anoche, conversando con Alejandro, me decía:

¿Tú confías en Messenger Plus! Live!, no? Y claro, le dije la verdad. Le tengo FE CIEGA.

Si la memoria no me falla, uno de los primeros tópicos que me incitaron a crear aquel viejo blog de educación en seguridad, fue el asunto del msnPlus!. De hecho, no me sorprende que haya sido el primer tema alguna vez tratado en este blog.

Pero vayamos al grano. Seguido de su pregunta, Alejandro me comenta lo que sucede con un script de MSNPlus! Live! que fue descargado unas 17mil veces en poco tiempo. Nunca usé MSNPlus. Creo que no lo usaré en el futuro mediato. Hay dos variantes acá de un mismo tema. Una decanta por un tema bastante tratado acá: el sentido común.

El otro, parte por un tema quizá más delicado. Porque ciertamente, como usuarios que somos, nos excede. Alejandro me decía que “fue una irresponsabilidad” por parte del sitio oficial permitir que ese script fuera publicado por un usuario sin verificación, sin control. Ahí me detuve a pensar: Si no hay verificación o control, ¿Cómo es que encontraron el asunto con el script?

Entré a los foros de msgpluslive.es (versión en inglés) donde se describe el problema con el script. Sí, instala un troyano que supuestamente envía las contraseñas a quien-sabe-donde (*). Algo que siempre pensé que hacía el MSN Plus sin ayuda de nadie.

(* Los más sabidos de estos temas, pueden ir al final de este artículo).

Contrariamente a lo que menciona Alejandro, quise poner las cosas desde otra perspectiva -muy a pesar de mi notoria guerra en contra de este tipo de utilidades atrapa-tontos-, cuando tienes una aplicación que acepta scripts que usuarios pueden enviar, corres esos riesgos. Se supone sí, que tienes un equipo capacitado que revisa estos contenidos, pero no estás excento de fallar en uno que otro. Ambos, recordamos el caso de Greasemonkey, un Add-on para Firefox que está lleno de contenidos de terceros y sobre el que recayó un problema similar hace algún tiempo. En Vagabundia, se tocó el tema.Y en BSOD, con un poco menos de profundidad.

Esta parte es la que nos excede. ¿Cuánto control puede mantener una agrupación sobre un contenido enviado por terceros? Y, ¿qué nos garantiza a nosotros los usuarios que no se comenterán este tipo de errores afectando nuestra seguridad?

Pues bien, podría pensar como Alejandro -de hecho, una parte de mí, la que lo ve como usuario, piensa que sí: fue una irresponsabilidad enorme permitir que esto sucediera. Pero otra parte, me recuerda que no es sencillo controlar estas situaciones y que el caso de MSN Plus! Live! no es el nuevo, ni será el último.

Entonces me pregunto: ¿Cuánta fe ciega necesitamos para usar ciertos programas? Ah, sí. La casa es ajena. La seguridad comienza por casa, pero no sabemos por cuál casa. Échale la culpa al programador, al que mantiene el sitio. La culpa es de otro.

Mi sugerencia: no descargar ciertas aplicaciones sin hacer una pequeña búsqueda en Google. Basta con escribir el nombre del programa-script-addon seguido de la palabra “bug”, “virus” o “seguridad”. No descargar aplicaciones hechas por usuarios hasta pasado algún tiempo, eso garantiza que tanto los bugs, como los fallos de seguridad sean bloqueados y que los antivirus estén actualizados para hacer cualquier detección.

(*) Y acá comienza el asunto con los más sabidos de estos temas (cualquiera que no sea sabido, lo invito a que lea de todas maneras, estoy seguro que no será muy complicado esto y le será útil en un futuro, quizá para sorprender a alguna chica ; D)

Primer punto notable. Con el comentario de Alejandro y mirando el código del script, noto que el script en sí mismo no porta virus (viene en un archivo zip, comprimido con un script .js y varios .xml). Ni siquiera un ejecutable. Como nunca usé MSN Plus!, ni conocía la funcionalidad de scripts, eso me llamó la atención. No hay que ser un genio para darse cuenta que MSN Plus! y sus scripts, permiten descargas de contenidos y las permiten sin que el usuario se entere de ello. Algo que considero una falla de seguridad enorme.

El Script en sí, no viene al caso, en Spamloco, lo describen. El asunto es que el script descarga un archivo que se hace pasar por una imagen (el viejo truco de pasar un virus con una extensión de imagen) y al descargarlo simplemente cambia a .exe, convirtiendose en un archivo ejecutable que se almacena en el disco duro. Acá es fácil notar lo sencillo que es engañar al usuario: ¿Aceptas descargar este archivo jpg? ¿Sí? Bien, lo descargo y lo renombro : )

En este sitio, para aquellos que deseen saber más, se encuentra el script original y los archivos ejecutables (ser cuidadosos acá es importante).

El siguiente punto notable, es que con Alejandro coincidimos en que no hubo detección del virus ni por AVG, ni por NOD32: la heurística está fallando, la detección de archivos potencialmente maliciosos está fallando y peor aún, la detección de archivos creados, modificados o descargados también está fallando. El virus ha de ser totalmente nuevo para que dos -considerados buenos- antivirus no lo detecten. Han pasado unas 48 horas de su aparición.

Acá de nuevo viene a mi mente esto de la fe ciega. Tenemos fe ciega en el antivirus y acá, vimos que falló. 17mil personas están ahora en riesgo de infección, por no decir que están infectadas (en el foro de MSN Plus se informa que se tomaron medidas que pasaron incluso por informar a Hotmail en caso que los usuarios pierdan sus cuentas por robo de contraseñas, y se dan pasos para la desinfección, ¿pero cuántos de esos 17 mil usuarios sabrán que la causa de su problema es esa descarga? ¿Cuántos irán al foro?). Tenemos fe ciega en el proveedor del programa y también falló.

Así que bien, jóvenes. A esperar algunos días antes de usar cualquier novedad de cualquier programa (incluso cualquier actualización), investigar si a alguien le ha causado problemas. Vamos, esto no es tan difícil ni toma mucho tiempo : )

ACTUALIZACIÓN:

Nod32 detectó los archivos infectados casi 3 semanas después de descubierto el incidente. El 12 de noviembre.

Al 25 de noviembre, aún no detecta todos los archivos infectados que descargué.

(Publicación original, 20-Oct-2008)

Más:

MeetYourMessenger: Otro sitio en el que confiar

myself — Mon, 17 Nov 2008 14:00:00 +0000

ACTUALIZACIÓN

1. Este artículo muestra lo peligroso que es entrar a sitios como MeetYourMessenger. Por favor, no uses este servicio: puede ser peligroso.

2. Al final del artículo, verás 4 direcciones web de MeetYourMessenger que, junto con todo lo explicado en el post hacen pensar que es un sitio peligroso. Gracias a Lupus, añado a la lista meetyourmessenger.es

<– El post original comienza aquí –>

Revisar el correo siempre se vuelve una tarea llena de nuevas e interesantes aventuras. Un contacto ha enviado un correo bien particular. Comienza diciendo:

miguel te ha invitado

From: MeetYourMessenger (no-reply@meetyourmessenger.com)

Razón número uno para confiar en MeetYourMessenger:

No conozco a ningún Miguel. Y aunque lo conociera, no aparece su correo por ningún lado.

Razón dos para confiar en MeetYourMessenger:

El correo termina diciendo:

Un cordial saludo
MeetYourMessenger.com.ve

A. Seguro no lo notaron, pero en lo que va de este post, MeetYourMessenger tiene dos dominios diferentes:

meetyourmessenger.com, meetyourmessenger.com.ve

B. Ahora mira la imagen cuidadosamente (Figura I):

Figura I. Página principal de MeetYourMessenger.com.ve

El correo dice que meetyourmessenger es para Venezuela. He marcado con rojo los puntos llamativos del sitio:

B1. Venezuela

B2. Nascimento

B3. Condiciones

B4. Acepto el envío de correos

Conclusión:

B1 y B2 se relacionan porque en Venezuela no hablamos portugués. No hasta donde yo se.

B3 Me lleva a un vínculo (Razón III, Figura II)

B4 No lo aceptaría aunque fuese un sitio de esos no confiables.

Razón tercera para confiar en MeetYourMessenger:

Figura II. Página de Condiciones de MeetYourMessenger.com.ve

Esta razón salta a la vista:

No hablamos portugués, tampoco inglés. Para los que no sabemos inglés, entonces las condiciones se vuelven un problema. Subrayo lo que deberíamos poder leer siempre:

Please note, that by signing up for MeetYourMessenger and accepting these Terms you acknowledge that an invitation e-mail is sent to your messenger contacts in order to connect all your contacts to your network at MeetYourMessenger. We use your messenger e-mail and password to do this at the moment of your sign up. Afterwards your password will be deleted.

En español -traducción libre:

Nota que al registrarte en MeetYourMessenger y aceptando estos Términos, reconoces que un correo de invitación será enviado a todos tus contactos de Messenger para así conectar todos tus contactos a tu red en MeetYourMessenger. Usamos tu cuenta de correo y clave al momento en que te registras. Luego, tu contraseña será borrada.

¿No les suena famiar? No almacenan contraseñas. También es bastante poco intrusivo: Sólo envía un correo a todos tus contactos.

Razón cuarta para confiar en MeetYourMessenger:

La privacidad es importante.

Figura III. Página de Privacidad de MeetYourMessenger.com.ve

De nuevo, aparece la página en inglés. Y el vínculo a las preguntas más frecuentes (Por mala suerte tiene un error, ver Figura IV)

Citando las partes subrayadas:

User Provided Information: You provide certain personally identifiable information (such as your name and email address) to MeetYourMessenger when choosing to participate in various activities on MeetYourMessenger such as uploading pictures, posting articles in The MYM Times, answering questions, entering contests or sweepstakes, taking advantage of promotions, responding to surveys, or subscribing to newsletters or other mailing lists. MeetYourMessenger collects such user submitted information (e.g. name, email address, and age) to authenticate users and to send notifications to those users relating to the MeetYourMessenger service. MeetYourMessenger also collects other profile data including but not limited to: personal interests, gender, age, education and occupation in order to assist users in finding and communicating with each other.

Log File Information: When you use the MeetYourMessenger Sites, our servers automatically record certain information that your web browser sends whenever you visit any website. These server logs may include information such as your web request, Internet Protocol (“IP”) address, browser type, browser language, referring / exit pages and URLs, platform type, number of clicks, domain names, landing pages, pages viewed and the order of those pages, the amount of time spent on particular pages, the date and time of your request, and one or more cookies that may uniquely identify your browser.

…..

(2) We may also use a user´s email address and profile information to send updates, a newsletter or news regarding the service. These emails may contain advertisement and marketing messages for third parties. Users may choose not to receive email of this type by going to “My Profile” and setting the “Do not send me notification emails” function.

(3) We use both your personally identifiable information and certain non-personally-identifiable information (such as anonymous User usage data, cookies, IP addresses, browser type, clickstream data, etc.) to improve the quality and design of MeetYourMessenger and to create new features, promotions, functionality, and services by storing, tracking, and analyzing user preferences and trends. The information may also be used to personalize your profile and the information that you are given, while using MeetYourMessenger.

(4) We use cookies, clear gifs, and log file information to the following purposes:

Remember information so that you will not have to re-enter it during your visit or the next time you visit the MeetYourMessenger.

Provide custom, personalized content and information

Monitor the effectiveness of our marketing campaigns…

Básicamente, MYM puede y usará mi correo para enviar publicidad y encuestas. Almacenará registros de mis visitas, registros personales, de navegación y cookies, para “mejorar el servicio”. Por eso es que se confía en un sitio así.

Quinta razón para confiar en MeetYourMessenger:

La página de preguntas frecuentes. Una joya. En inglés y lo más llamativo es que luego de encontrar la página correcta a las faq’s (preguntas más frecuentes), ocurre esto:

Figura IV. Página de FAQ’s: Activa alerta de Nod32

Se activa una ventana de Nod32. Fastidioso Nod .

Finalmente, ¿Pagamos? (Sexta Razón)

Figura V. Página de FAQ’s de MeetYourMessenger.com.ve

Y, si no lo notaron, MeetMyMessenger tiene al menos 4 dominios.

meetyourmessenger.com.ve, meetyourmessenger.com, meetyourmessenger.biz y meetyourmessenger.tk, meetyourmessenger.es

A confiar : )

(Nota: Antes que confíen, noten que fui bastante irónico al usar la palabra “confiar”)

Más:

msnPlus! lo hace de nuevo

myself — Sat, 05 Aug 2006 19:17:26 +0000

Sandi, de SpywareSucks, ha hecho una investigación a fondo del programa que “mejora” las prestaciones de MSN Messenger.

Con la nueva versión de Messenger Live, pudo verse la capacidad de la gente de Patchou para actualizarse a la nueva versión en menos de dos semanas. Sin embargo, sus políticas de publicidad, que permiten addware, malware, etc, siguen siendo las mismas. Definitivamente un riesgo para todos los usuarios.

Más : aquí.

Más:

msnPLUS! por Patchou

myself — Tue, 16 May 2006 02:17:03 +0000

Alerta! MsnPlus [an extension by Patchou] es una herramienta llena de trucos.

Para todos aquellos que gustan de “mejorar” el Microsoft Messenger. [Inglés]

Los cuatro capítulos, expuestos por sandi, en spywaresucks dan muestra de cuan fácil es vulnerar la ’seguridad’ de cualquier sistema operativo: El eslabón más débil es el usuario final. El quinto capitulo muestra las variaciones hechas al programa luego de las continuas demandas.

[1] [2] [3] [4] [5]

Me pregunto si el A-Patch, será otra herramienta lista para atrapar incautos