Hace 16 años | Por Gry a codinghorror.com
Publicado hace 16 años por Gry a codinghorror.com

El autor comenta en un artículo sobre la ética de la programación el caso del G-Archiver, un programa para descargar una copia de seguridad de tu cuenta de g-mail. Al examinar el código fuente de dicho programa se descubre que envía una copia de tú nombre de usuario y tú contraseña a una cuenta de correo.

Comentarios

D

Esto no hace mas que confirmar las ventajas de usar software libre, a saber cuantos de esos programas para windows no incluyen algun codigo malicioso y que aun no ha sido detectado.

Gry

La verdad es que el que escribió ese programa muchas luces no tenia liberando después el código.
Es como la gente que hace el gamberro y luego lo sube a youtube.

miau

Me encantaría leer el código de la página esa de "quién te admite" lol

D

#10 ¿Qué tiene de tonto usar un programa para hacer una copia de seguridad de tu correo? Lo que hay que ser gilipollas para usar software privativo cuando se trata de cosas como estas.

ragnarel

#25 ¿si la gente encuentra estos "trucos sucios" en programas no libres, que no se podría encontrar en un programa libre?

Software libre es tranquilidad.

D

#13 Te has dejado el:
$ gpg -c mail.tar.gz

x DDD

o

Muy buen ejemplo de porque debemos usar Software Libre.

Gry

Lo que me confundió es que no acostumbro a programar con .NET no sabia que se podía decompilar tan fácilmente y en los comentarios aparece el trozo de código al que se refiere el artículo.

D

La verdad es que pagar 30$ para hacer un backup de tu cuenta de gmail...yo hago de vez en cuando uno y lo que hago es usar evolution o thunderbird, lo configuro con la cuenta de Gmail y sincronizo, se descarga todos los mails y los guarda en la bandeja de entrada, luego busco el fichero de la bandeja de entrada, lo empaqueto en .tar.gz y lo paso a DVD o disco duro externo.

Para acceder posteriormente a los datos no hay más que desempaquetar el fichero y colocarlo en la ruta donde estaba para que el cliente correspondiente lo lea.

DZPM

1.- Las conexiones pueden estar cifradas. Las conexiones pueden ir al mismo servidor (como en el caso de #0, todas las peticiones van al servidor de gmail. O simplemente puede almacenar datos, y enviarlos el día D a la hora H.
2.- ¿Cansino explicar cómo evitar que te roben las contraseñas de gmail, del banco, etc? roll
3.- Claro que tiene que ver. ¿Hemos leído la misma noticia? Con software libre jamás habría pasado. Con software libre, si pasase, se vería el backdoor al pcoo tiempo, y ya no picaría nadie más.
4.- ver #26. Haz el checksum del binario que generes compilando el código vanila con las opciones estándar, y compáralo contra el checksum del binario descargado y contra el que diga en el repositorio. ¿La frase anterior te suena a chino? Lo suponía roll

D

#17 Galli por ejemplo?

Gry

#4 ok gracias, no me fije en ese detalle

Gry

El problema para demandar es que las licencias de software suelen cubrir este tipo de abusos, total como nadie las lee...
#20 En el artículo pone que se la cambiaron.

Gry

#22 pues como tengas algún programa pirateado dudarías con razón. Una buena parte trae algún tipo de troyano.

D

#21: El robo de información privada (contraseñas) no puede estar cubierto por ninguna licencia y de estarlo anula la respectiva cláusula por ser ilegal.

Espero que a este señor le denuncien o algún fiscal actúe de oficio. Si se demuestra que ha robado contraseñas mediante su programa podría acabar en la cárcel unos cuantos añitos, no es cachondeo.

D

Que cabrón el que programó G-Archiver...

D

#22 es uno de los motivos por los cuales algunos usamos SL.
Y aunque se ha repetido varias veces en los comentarios, este software no era software libre, pero la gente se siente más segura al pagar o tener un producto por el que debería de haber pagado.

jbmixed

por eso no se puede votar por internet, jeje

Alvarete

Si necesitas uan copia de tu correo, utiliza un cliente como thunerbird coñe

l

Lo preocupante es que no se le ocurriese otra forma de hacerlo que poniendo su usuario y contraseña en el codigo...

D

joder...
pues es verdad el jterry este se ha lucido...

si haceisla prueba con el reflector y se meten en SM.dll y luego en mail -> checkconnection sale donde manda la clave del usuario y tambien su propio correo y contraseña ..

s

#5: esque asi es un poco absurdo, como mucho estaria de acuerdo contigo en que si hubiese alternativa soft libre al "G-Archiver" ese podrias usarlo sabiendo seguro que no te van a robar la contraseña (mas que nada porque en principio si escribes codigo malicioso no lo publicas lol)

xenNews

Que se junten cuatro tíos con ganas de bronca y demanden al programador. Sería genial...

k

Uf... este tipo de noticias me hace dudar de todo cuanto tengo.

Afortunadamente no uso ese programa pero, por casualidad, ¿se sabe algo del gsyncit?, si g-archiver lo hace este también podría hacerlo, que demonios... cualquier programa podría hacerlo...

c

Anda que no hay formas menos peligrosas de guardar datos de forma remota que poner tu cuenta de correo, y menos incluyendo también la contraseña. Ay madre.

Por cierto, en la noticia las dos tildes en los determinantes "tu" están mal. "tú" lleva tilde cuando es pronombre personal.

C

Para todos los que quieran hacer copias de seguridad de sus cuentas (Gmail y otras) les recomiendo Conduit:

http://www.conduit-project.org/
http://conduit.softonic.com/linux
http://www.yukei.net/2008/02/respaldar-datos-con-conduit/

Es software libre y creo que merece la pena echarle un vistazo. Está el GetDeb.

Saludos a todos.

MarcosBL

Wow.. mi primera "fritura" a negativos... great ! lol

Siempre me han hecho gracia la gente que critica a meneame cuando alguien acusa a su comunidad de "talibanes", me han parecido de siempre pataletas incongruentes, pero amos... viendo como un comentario de coña se convierte en una cruzada personal... veo que tendré que guardarme mis opiniones bien guardaditas lol

Empecé el comentario (que pretendia ser jocoso) con un "Completamente de acuerdo en lo que a uso de software libre, pero por mencionar algo que aún no se ha tocado en los comentarios... dejo una pregunta para la reflexión... ". Y por muchos negativos que reciba, asi seguiré pensando

Respecto al único comentario "razonado" en contra del mio, respondo, espero, educadamente:

1.- El código de Firefox lo han visto todo tipo de hackers. A parte de los developers, de los que revisan parches y de los packagers, lo han ido mirando empezando por Netscape (mientras era Netscape -> Mozilla), pasando por la FSF, Debian, Gentoo y el resto de distros, por todos los hackers de seguridad que van buscando bugs, ¡no nos olvidemos de la gente de Microsoft!, los hackers de Google, etc...
Resulta que la gente más escéptica y conspiranoica del mundo lo ha mirado. Los hackers de mejor nivel lo han mirado. Empresas con mucho interés económico en encontrar un fallo así, lo han mirado (a MS se le haría el culo gaseosa en caso de encontrar un backdoor en Firefox), etc.
Todos esos lo saben mirar mejor que yo, que no te quepa duda.

No me dices nada nuevo, si ves bien mi comentario podrás leer "gracias a dios lo sabemos porque confiamos en la comunidad que lo prueba y testea..", en esa comunidad englobo a todos los que has enumerado, simplemente me atacas diciendo.. lo que ya habia dicho yo

2.- Si no sabes interpretar código, no pasa nada. Puedes pagar a alguien para que lo haga por ti.
Respecto a la segunda pregunta, todavía destila más ignorancia que la primera.

Curiosamente, en este caso, si, sé interpretar código, pero gracias por dar por hecho que soy un ignorante, siempre es un placer detectar la propia ignorancia antes que otros te la puedan pasar por la cara... oh... WTF...

3.- Tienes el código fuente, lo compilas, y al binario resultante le haces un CRC (un hash criptográfico). Si ese CRC no es el mismo que el binario que te dan a descargar, haces sonar las alarmas y se lía el pifostio más gordo que te puedas imaginar.

Me reitero, "podeis/podemos ver el código, pero el 99,99% de los mortales no lo entendeis/entendemos", por supuesto, lo de comprobar el CRC del binario es algo que TODOS hacemos a diario, quien no hace CRC a todo lo que se baja de internet o compila ? Es increible que yo haya pensado siquiera en esa posibilidad Me encabta que sigas tratandome de ignorante, y afirmes que el CRC de un binario compilado es siempre el mismo, cuando un binario compilado en diferentes arquitecturas produce, en el 90% de los casos, binarios diferentes... pero ok, me regodeo en mi ignorancia de nuevo x)

3.- Lo que has hecho no son dos reflexiones concienciudas, sino dos fallos de novato recién llegado al mundillo. No tengo ningún problema en explicar los fallos, pero molesta un poco ese tono prepotente-chulesco cuando careces de experiencia y conocimientos de base.
Por preguntar no pasa nada, por ir de listillo si: quedas muy mal.

De nuevo, y ya no me quedan casi palabras, agradecerte que me muestres mi ignorancia... y lo chulesco de mis afirmaciones, cuando sólo pretendia hacer un comentario medio en serio, medio en broma, y ha acabado esto con descalificaciones personales, en tono chulesco... oh wait.. no, que eso era yo

En serio, con calma, aplicate tu propio criterio, relee mi comentario, y relee el tuyo, y piensa, en conciencia, quien ha sido el que ha tratado al otro "chulescamente", de forma "prepotente", acusando de "carecer de experiencia" sin conocerme de nada, etc, etc...

Un abrazo !

D

Solo unas observaciones:
1. No creo que sea necesario ver el codigo fuente de la aplicacion sino simplemente monitorizar las conexiones salientes con algun analizador de protocolos. Con eso vemos claramente las "funcionalidades" ocultas de ciertos programitas.
2. Ya es muy cansino lo del software libre (del que me considero usuario y defensor) y todas sus conocidas ventajas. Es una forma facil de recibir votos positivos.
3. En este caso no tiene nada que ve una cosa con la otra... se trata de un usuario malicioso que crea sofware para gente sin ideas de informatica y se la cuelan doblada.
4. Como dice #25 (al que le habeis inflado a negativos) creo que pocos se han puesto a compilar el codigo de programas que si distribuyen libremente. Nunca sabemos (a menos que compilemos nosotros despues de analizar el codigo) si lo que ejecutamos es exactamente lo que nos muestran. No es paranoia, es una realidad.

coperfil

No conocia ese programa. ¿Una copia de tu cuenta de gmail? mmmm... interesante. Lastima que no lo use mientras no espie al usuario

D

si eres tan tonto como para utilizar este tipo de programas, mereces que te pase esto.
sino los que intentaban hackear cuentas hotmail y tenian que dar la suya primero, y aun asi lo hacian, pues que se jodan.

MarcosBL

Completamente de acuerdo en lo que a uso de software libre, pero por mencionar algo que aún no se ha tocado en los comentarios... dejo una pregunta para la reflexión...

¿ Cuantos de vosotros habeis visto alguna vez TODO el código fuente de Firefox ?

¿ Y cuantos lo habeis compilado antes de usarlo ?

Respecto al punto 1: ¿ Cómo sabeis que no almacena/envia/transfiere vuestros users y pass de la banca online, vuestros correos, etc ? Si... podeis/podemos ver el código, pero el 99,99% de los mortales no lo entendeis/entendemos... gracias a dios lo sabemos porque confiamos en la comunidad que lo prueba y testea... pero amos.. que me juego el cuello a que si alguien hace un software similar al denunciado, lo hace Open Source y lo cuelga por ahi con codigo malicioso incluido, no se daria cuenta nadie hasta que el Lmento tuviese ya un par de miles de cuentas. lol

Respecto al punto 2: Si hace lo mismo, el software malicioso, y lo cualega por ahi en dos formatos, instalador binario (con código malicioso) y código fuente (sin código malicioso), peor todavia... tardaríamos el doble en que a alguien con la suficiente curiosidad le diese por mirar eso... ¿ quien se pondria a decompilar teniendo (creyendo tener) el código fuente entero ?

Esta reflexión va dedicada a todos los paranoicos que hay ahi fuera, disfrutad y sudad esta noche pensando en ello lol