Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Morpheus, tan vulnerable como queramos
|
|
VSantivirus No. 578 - Año 6 - Martes 5 de febrero de 2002
Morpheus, tan vulnerable como queramos
http://www.vsantivirus.com/05-02-02.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Hace unos días, (ver VSAntivirus #571), hablábamos de Morpheus, y su relación con los virus.
Allí decíamos que este programa, una aplicación usada por miles de usuarios para el intercambio de música y archivos en general, estaba libre de código malicioso, y no era culpable de las infecciones de virus reportadas por algunos usuarios.
Y por cierto, tampoco existen al día de hoy, fallas reportadas en esta aplicación que puedan ser aprovechadas para esto.
Lo que nuestra publicación afirmaba allí, sigue siendo cierto, a pesar de que en la pasada semana, un artículo de la BBC de Londres, ponía en alerta a los fans de Morpheus, por un potencial agujero en su seguridad, que permite el acceso irrestricto al disco duro del usuario que lo utiliza.
La posible falla no ha sido confirmada en ningún momento por la empresa. Y lo que preocupa a muchos, es que la misma puede ser reproducida sin explotar ninguna vulnerabilidad específica.
Si bien deben darse algunas condiciones, estas se cumplen casi siempre, debido a la clásica costumbre de instalar los programas en sus ubicaciones por defecto.
Obteniendo la dirección IP de un usuario de Morpheus conectado a Internet, es posible acceder a través del puerto 1214, al disco duro de su computadora, con acceso a todos sus archivos, sin utilizar nada más que el browser.
Las condiciones para que esto pueda ocurrir, pueden estar dadas en una gran cantidad de instalaciones de usuarios sin un conocimiento avanzado del sistema.
Por defecto, Morpheus crea una carpeta donde se guardan los archivos descargados, y que está disponible para la descarga de otros miembros (recordemos que el objetivo de Morpheus es el intercambio de archivos con otros usuarios).
Lo que suele ocurrir, es que algunos usuarios deciden aprovecharse de ciertos rasgos en la configuración del programa, que permiten asignar como compartidas, a otras carpetas, e incluso al disco duro completo.
En la ayuda de Morpheus y en las FAQs de su sitio, se advierte que todos los archivos en carpetas compartidas, son accesibles para cualquier usuario conectado a la red que desee hacerlo. Poco queda agregar al hecho que en un programa preparado justamente para compartir archivos, sea el usuario quien tiene el derecho de elegir lo que desea compartir.
A pesar de las afirmaciones de los responsables de StreamCast Networks, la empresa que proporciona el soporte de la tecnología usada por Morpheus, de que la responsabilidad de la configuración (dicho de otro modo, de los archivos que desea compartir o no), es del usuario, creemos que tal vez se le da demasiada libertad para la configuración de una situación tan crítica para todo el sistema.
Existen opciones que permiten desactivar todos los archivos compartidos en el programa. El tema es que pocos usuarios querrían saber de su existencia, si el objetivo del programa es justamente compartirlo todo (o al menos eso piensa el casi 80% de los usuarios del programa, según algunas encuestas).
Por otra parte, la forma de identificar usuarios que comparten archivos y carpetas que no deben, ha sido discutida durante meses en diversas listas y publicaciones especializadas; undergrounds o no.
Es muy probable que la atención provocada por el artículo de la BBC de la semana pasada, haya llevado al uso de estas técnicas a una mayor cantidad de personas, como un simple reflejo de su curiosidad.
Por lo pronto, Morpheus es vulnerable, pero no más o menos que otros programas, incluso Windows, si no se toman las precauciones para evitar compartir recursos que involucran a todo el sistema.
En cierto modo es como pensar que si nuestra casa dispone de puertas y ventanas, se nos pueda ocurrir dejarlas a todas abiertas de par en par por las noches, al irnos a dormir, sin evaluar los riesgos que ello implica.
Referencias:
Morpheus
http://www.musiccity.com
Frequently Asked Questions
Do you want to know more about Morpheus
http://www.musiccity.com/helpfaq.htm
Articulo original de la BBC: Privacy of MP3 fans at risk
http://news.bbc.co.uk/hi/english/sci/tech/newsid_1798000/1798095.stm
Morpheus y los virus
VSantivirus No. 571 - 29/ene/02
http://www.vsantivirus.com/29-01-02.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|