RE: [escepticos] ¿Una mas? / Espías

["Javier Marí" <jamc@...>]

----- Mensaje original ----- 
De: Borja Marcos <borjamar en sarenet.es>
Para: <escepticos en ccdis.dis.ulpgc.es>
Enviado: domingo, 26 de marzo de 2000 23:28
Asunto: Re: [escepticos] ¿Una mas? / Espías


> "Javier Marí" wrote:
> > A la rica paranoia!! extra!! extra!!, según recientes descubrimientos,
> > todo el mundo esta conspirando en contra de usted (si justo usted, no
> > crea que no se quien es) ...
> 
> Aunque en este caso no haya pruebas a favor o en contra, es un
> riesgo real.

Ya, y dándote una vuelta en "astalavista" te puedes bajar montones de 
programas que te incluyen en los mensajes html un codigo oculto en una 
imagen jpg que aprovecha una vulnerabilidad del outlook para darse un
paseo por el disco duro. Lo tengo aquí mismo, solo tengo que darle a un
botoncito y los que lean el correo con outlook y no se hayan 
actualizado con el parche que corrige este defecto se llevarán una 
sorpresa. Si este mensaje es html y contiene imágenes, los que puedan verse
afectados por esta vulnerabilidad que no lo abran como medida de seguridad.
;-)

Hace años ya se demostró que el programa que utilizaban
> los usuarios de America Online para acceder al servicio podía responder
> a órdenes emitidas desde America Online para leer archivos del disco del
> cliente

A eso vamos, no se trata de que no se pueda incluir una función que mande
nuestra contraseña de correo a una dirección del tipo 212.25.129.2 (*), que 
vete tu a saber que es, de hecho muchos virus lo hacen, de lo que se trata es
que con la cantidad de gente que hay haciendo ingenieria inversa (es decir, 
"sacandole las tripas" a los programas comerciales) en caso de hacerse, no es
secreto durante mucho tiempo y por lo tanto, ninguna empresa de software en
su sano juicio incluiría eso en una programa comercial. La conspiranoia de ese 
mensaje no viene del hecho de que exista la posibilidad de que un programa
mande datos relativos a tu ordenador o a tu cuenta de correo a una cuenta de 
correo anónima (por ejemplo) sino que viene fundamentalmente de dos partes:

Se dice que: 

"y del cual todavía se desconoce a qué
servidores puede estar enviando la información que obtenga rastreando
nuestras máquinas"

Lo cual es simplemente falso, por el mismo medio que averiguas que un programa
en concreto es capaz de mandar información a un servidor, sabes que información
manda y a que lugar.

y también la perla:

" y con qué oscuros fines más allá de los puramente
comerciales."

¿Como sabes que la información mandada tiene fines más allá de los puramente 
comerciales si no sabes cual es ni donde va esa información? A ya, que te lo
ha dicho un extraterrestre, pues bueno, pues vale ;-))

Y bueno, como no se trata de hablar sin conocimiento de causa, pues he instalado
uno de esos programas (el Cute FTP) he cogido la librería en cuestión y le he
sacado un poco las tripas... en efecto, contiene funciones que te conectan con un 
ordenador remoto y le mandan información desde tu sistema...

[terror, intriga, dolor de barriga]

... la que tu mismo (si quieres) introduces en un formulario del tipo preferencias,
hobbies, etc, es decir uno de tantos formularios para mandarte publicidad por 
e-mail que vienen en los programas shareware, servidores de correo gratuitos,
etc X-DDDD ¡Toda una terrible conspiración!!! X-DDDD

(*) Esa dirección es algo tan vulgar como los numeritos que tenemos que
poner en la configuración de la cuenta los usuarios de CTV para
conectarnos a Internet.

Saludos

Javier Marí
jamc en ctv.es
http://www.ctv.es/USERS/jamc
Sinaptic en el IRC