370 meneos

G-Archiver roba tus contraseñas de GMail - La etica de la programación [ING]

www.codinghorror.com/blog/archives/001072.html 
por Gry el 08-03-2008 17:54 UTC publicado el 08-03-2008 18:45 UTC

El autor comenta en un artículo sobre la ética de la programación el caso del G-Archiver, un programa para descargar una copia de seguridad de tu cuenta de g-mail. Al examinar el código fuente de dicho programa se descubre que envía una copia de tú nombre de usuario y tú contraseña a una cuenta de correo.

etiquetas: seguridad, programación, software
negativos: 0   usuarios: 191   anónimos: 179  
compartir:  twitter  facebook  tuenti  
35 comentarios tecnología, seguridad karma: 839
  1. #1   He aquí una prueba de la que posiblemente es, la mejor de las ventajas del software de código abierto.
    119  votos: 18   link
    el 08-03-2008 17:58 UTC por iNX iNX
  2. #2   Me encantaría leer el código de la página esa de "quién te admite" xD
    65  votos: 7   link
    el 08-03-2008 18:04 UTC por miau miau
  3. #3   La verdad es que el que escribió ese programa muchas luces no tenia liberando después el código.
    Es como la gente que hace el gamberro y luego lo sube a youtube.
    95  votos: 12   link
    el 08-03-2008 18:09 UTC por Gry Gry
  4. #4   #0: no sabes leer o que?

    "being a programmer myself I used Reflector to take a peek at the source code"

    reflector es un decompilador de .NET, el programa no era de codigo abierto sino que estaba compilado para la maquina virtual de .NET que es relativamente facil de convertir a un lenguaje legible, pero no tiene absolutamente nada que ver con el soft libre

    y en todo caso, la ingenieria inversa para descubrir funciones maliciosas de un programa no es que sea nada tan complicado, como mucho la noticia seria que con .NET es mas sencillo
    201  votos: 24   link
    el 08-03-2008 18:19 UTC por sickboy sickboy
  5. #5   #4 ok gracias, no me fije en ese detalle
    31  votos: 4   link
    el 08-03-2008 18:20 UTC por Gry Gry
  7. #7   #5: esque asi es un poco absurdo, como mucho estaria de acuerdo contigo en que si hubiese alternativa soft libre al "G-Archiver" ese podrias usarlo sabiendo seguro que no te van a robar la contraseña (mas que nada porque en principio si escribes codigo malicioso no lo publicas xD )
    14  votos: 1   link
    el 08-03-2008 18:22 UTC por sickboy sickboy
  8. #8   Lo que me confundió es que no acostumbro a programar con .NET no sabia que se podía decompilar tan fácilmente y en los comentarios aparece el trozo de código al que se refiere el artículo.
    49  votos: 4   link
    el 08-03-2008 18:25 UTC por Gry Gry
  9. #9   por eso no se puede votar por internet, jeje
    23  votos: 4   link
    el 08-03-2008 18:32 UTC por jbmixed jbmixed
  12. #12   #10 ¿Qué tiene de tonto usar un programa para hacer una copia de seguridad de tu correo? Lo que hay que ser gilipollas para usar software privativo cuando se trata de cosas como estas.
    61  votos: 6   link
    el 08-03-2008 18:52 UTC por --19-- --19--
  14. #14   #13 Te has dejado el:
    $ gpg -c mail.tar.gz

    x DDD
    58  votos: 5   link
    el 08-03-2008 18:54 UTC por --19-- --19--
  15. #15   No conocia ese programa. ¿Una copia de tu cuenta de gmail? mmmm... interesante. Lastima que no lo use mientras no espie al usuario
    -41  votos: 7   link
    el 08-03-2008 18:57 UTC por coperfil coperfil
  16. #16   Si necesitas uan copia de tu correo, utiliza un cliente como thunerbird coñe
    19  votos: 1   link
    el 08-03-2008 18:58 UTC por Alvarete Alvarete
  17. #17   Que se junten cuatro tíos con ganas de bronca y demanden al programador. Sería genial...
    9  votos: 0   link
    el 08-03-2008 19:03 UTC por xenNews xenNews
  19. #19   Muy buen ejemplo de porque debemos usar Software Libre.
    56  votos: 6   link
    el 08-03-2008 19:22 UTC por oktubre oktubre
  20. #20   joder...
    pues es verdad el jterry este se ha lucido...

    si haceisla prueba con el reflector y se meten en SM.dll y luego en mail -> checkconnection sale donde manda la clave del usuario y tambien su propio correo y contraseña ..
    14  votos: 1   link
    el 08-03-2008 19:23 UTC por takushi takushi
  21. #21   El problema para demandar es que las licencias de software suelen cubrir este tipo de abusos, total como nadie las lee...
    #20 En el artículo pone que se la cambiaron.
    31  votos: 2   link
    el 08-03-2008 19:24 UTC por Gry Gry
  22. #22   Uf... este tipo de noticias me hace dudar de todo cuanto tengo.

    Afortunadamente no uso ese programa pero, por casualidad, ¿se sabe algo del gsyncit?, si g-archiver lo hace este también podría hacerlo, que demonios... cualquier programa podría hacerlo...
    8  votos: 0   link
    el 08-03-2008 19:26 UTC por kadmon kadmon
  24. #24   #22 pues como tengas algún programa pirateado dudarías con razón. Una buena parte trae algún tipo de troyano.
    31  votos: 2   link
    el 08-03-2008 19:35 UTC por Gry Gry
  26. #26   #25, el software libre no son unos pocos individuos sueltos, sino una gran comunidad.

    El código de Firefox lo han visto todo tipo de hackers. A parte de los developers, de los que revisan parches y de los packagers, lo han ido mirando empezando por Netscape (mientras era Netscape -> Mozilla), pasando por la FSF, Debian, Gentoo y el resto de distros, por todos los hackers de seguridad que van buscando bugs, ¡no nos olvidemos de la gente de Microsoft!, los hackers de Google, etc...
    Resulta que la gente más escéptica y conspiranoica del mundo lo ha mirado. Los hackers de mejor nivel lo han mirado. Empresas con mucho interés económico en encontrar un fallo así, lo han mirado (a MS se le haría el culo gaseosa en caso de encontrar un backdoor en Firefox), etc.
    Todos esos lo saben mirar mejor que yo, que no te quepa duda.

    Si no sabes interpretar código, no pasa nada. Puedes pagar a alguien para que lo haga por ti.

    Respecto a la segunda pregunta, todavía destila más ignorancia que la primera.
    Tienes el código fuente, lo compilas, y al binario resultante le haces un CRC (un hash criptográfico). Si ese CRC no es el mismo que el binario que te dan a descargar, haces sonar las alarmas y se lía el pifostio más gordo que te puedas imaginar.

    Lo que has hecho no son dos reflexiones concienciudas, sino dos fallos de novato recién llegado al mundillo. No tengo ningún problema en explicar los fallos, pero molesta un poco ese tono prepotente-chulesco cuando careces de experiencia y conocimientos de base.
    Por preguntar no pasa nada, por ir de listillo si: quedas muy mal.
    170  votos: 22   link
    el 08-03-2008 20:14 UTC por DZPM DZPM
  27. #27   #25 ¿si la gente encuentra estos "trucos sucios" en programas no libres, que no se podría encontrar en un programa libre?

    Software libre es tranquilidad.
    58  votos: 6   link
    el 08-03-2008 20:42 UTC por iNX iNX
  28. #28   Lo preocupante es que no se le ocurriese otra forma de hacerlo que poniendo su usuario y contraseña en el codigo...
    16  votos: 1   link
    el 08-03-2008 20:49 UTC por lopez lopez
  29. #29   #25 ¿Cuantos de vosotros habéis hecho experimentos científicos para comprobar las leyes aerodinámicas antes de subir a un avión? x D
    98  votos: 10   link
    el 08-03-2008 20:53 UTC por --19-- --19--
  30. #30   #21: El robo de información privada (contraseñas) no puede estar cubierto por ninguna licencia y de estarlo anula la respectiva cláusula por ser ilegal.

    Espero que a este señor le denuncien o algún fiscal actúe de oficio. Si se demuestra que ha robado contraseñas mediante su programa podría acabar en la cárcel unos cuantos añitos, no es cachondeo.
    28  votos: 2   link
    el 08-03-2008 22:37 UTC por --51021-- --51021--
  32. #32   1.- Las conexiones pueden estar cifradas. Las conexiones pueden ir al mismo servidor (como en el caso de #0, todas las peticiones van al servidor de gmail. O simplemente puede almacenar datos, y enviarlos el día D a la hora H.
    2.- ¿Cansino explicar cómo evitar que te roben las contraseñas de gmail, del banco, etc? :roll:
    3.- Claro que tiene que ver. ¿Hemos leído la misma noticia? Con software libre jamás habría pasado. Con software libre, si pasase, se vería el backdoor al pcoo tiempo, y ya no picaría nadie más.
    4.- ver #26. Haz el checksum del binario que generes compilando el código vanila con las opciones estándar, y compáralo contra el checksum del binario descargado y contra el que diga en el repositorio. ¿La frase anterior te suena a chino? Lo suponía :roll:
    44  votos: 5   link
    el 09-03-2008 00:20 UTC por DZPM DZPM
  33. #33   Anda que no hay formas menos peligrosas de guardar datos de forma remota que poner tu cuenta de correo, y menos incluyendo también la contraseña. Ay madre.

    Por cierto, en la noticia las dos tildes en los determinantes "tu" están mal. "tú" lleva tilde cuando es pronombre personal.
    6  votos: 0   link
    el 09-03-2008 00:24 UTC por TheOm3ga TheOm3ga
  34. #34   Para todos los que quieran hacer copias de seguridad de sus cuentas (Gmail y otras) les recomiendo Conduit:

    www.conduit-project.org/
    conduit.softonic.com/linux
    www.yukei.net/2008/02/respaldar-datos-con-conduit/

    Es software libre y creo que merece la pena echarle un vistazo. Está el GetDeb.

    Saludos a todos.
    6  votos: 0   link
    el 09-03-2008 10:01 UTC por ChirlasBirmas ChirlasBirmas
  35. #35   Wow.. mi primera "fritura" a negativos... great ! xD

    Siempre me han hecho gracia la gente que critica a meneame cuando alguien acusa a su comunidad de "talibanes", me han parecido de siempre pataletas incongruentes, pero amos... viendo como un comentario de coña se convierte en una cruzada personal... veo que tendré que guardarme mis opiniones bien guardaditas xD

    Empecé el comentario (que pretendia ser jocoso) con un "Completamente de acuerdo en lo que a uso de software libre, pero por mencionar algo que aún no se ha tocado en los comentarios... dejo una pregunta para la reflexión... ". Y por muchos negativos que reciba, asi seguiré pensando :-D

    Respecto al único comentario "razonado" en contra del mio, respondo, espero, educadamente:

    1.- El código de Firefox lo han visto todo tipo de hackers. A parte de los developers, de los que revisan parches y de los packagers, lo han ido mirando empezando por Netscape (mientras era Netscape -> Mozilla), pasando por la FSF, Debian, Gentoo y el resto de distros, por todos los hackers de seguridad que van buscando bugs, ¡no nos olvidemos de la gente de Microsoft!, los hackers de Google, etc...
    Resulta que la gente más escéptica y conspiranoica del mundo lo ha mirado. Los hackers de mejor nivel lo han mirado. Empresas con mucho interés económico en encontrar un fallo así, lo han mirado (a MS se le haría el culo gaseosa en caso de encontrar un backdoor en Firefox), etc.
    Todos esos lo saben mirar mejor que yo, que no te quepa duda.

    No me dices nada nuevo, si ves bien mi comentario podrás leer "gracias a dios lo sabemos porque confiamos en la comunidad que lo prueba y testea..", en esa comunidad englobo a todos los que has enumerado, simplemente me atacas diciendo.. lo que ya habia dicho yo :-)

    2.- Si no sabes interpretar código, no pasa nada. Puedes pagar a alguien para que lo haga por ti.
    Respecto a la segunda pregunta, todavía destila más ignorancia que la primera.

    Curiosamente, en este caso, si, sé interpretar código, pero gracias por dar por hecho que soy un ignorante, siempre es un placer detectar la propia ignorancia antes que otros te la puedan pasar por la cara... oh... WTF...

    3.- Tienes el código fuente, lo compilas, y al binario resultante le haces un CRC (un hash criptográfico). Si ese CRC no es el mismo que el binario que te dan a descargar, haces sonar las alarmas y se lía el pifostio más gordo que te puedas   » ver todo el comentario
    6  votos: 0   link
    el 10-03-2008 10:00 UTC por MarcosBL MarcosBL
comentarios cerrados

menéame