| |
VSantivirus No. 213 - Año 5 - Martes 6 de febrero de 2001
"EMAIL WIRETAPPING". O correo electrónico "pinchado".
¡Cuidado!... ¡Como si se tratara de una conversación telefónica, su correo electrónico podría estar siendo intervenido!...
Se trata de un "exploit" (uso generalmente malintencionado de ciertas características no muy bien documentadas de una aplicación), que involucra a los clientes de correo Microsoft Outlook, Outlook Express y Netscape Messenger 6.
Estos programas son afectados por cierto tipo de mensajes conteniendo formato HTML, y código JavaScript, denominados "bugs" (ver VSantivirus No. 155 - Año 4 - Domingo 10 de diciembre de 2000,
¡Cuidado!. ¡Puede tener un "bug" en el
e-mail!).
Este Bug, escrito en JavaScript e insertado en un mensaje HTML, es capaz de permitirle al remitente original, recoger información de cada destinatario al que el mensaje se envía, y aún de aquellos a los que otros destinatarios reenvían, o sea cada vez que el mensaje es abierto y reenviado a otros, aún con sus propios comentarios agregados. Esto es posible debido a lo fácil y sencillo que resulta usar el botón de Reenviar.
Un ingeniero de British Columbia, Carl Voth, descubrió este bug, e inmediatamente informó a Richard Smith de la Privacy Foundation, quien emitió un aviso inmediatamente.
La más preocupante características de este bug, es el poco control que los usuarios tienen para luchar contra él.
Según Voth, esta vulnerabilidad depende de lo que otros hacen... "Usted puede tener cuidado, puede tomar precauciones, desactivando JavaScript, y eso no será suficiente. Si la persona a la que le enviamos un mail no es diligente, y no toma recaudos, usted aún es vulnerable".
Esta falla, le permite al remitente de un mensaje electrónico, ver lo que ha sido escrito por otros, cuando el mensaje se reenvía con comentarios a otros destinatarios (quoteados).
Esto permite a una persona, recoger información de mensajes escritos clandestinamente y vinculados a los mensajes remitidos.
Es por esa razón que se la puesto a este exploit, el nombre de "wiretapping" de correo electrónico, (la traducción sería algo como correo "pinchado", en alusión a una conversación telefónica intervenida).
Estas son algunas de las posibles acciones en las que esta característica podría llegar a utilizarse:
Monitorear el camino tomado por un mensaje confidencial y los comentarios (quoteos) agregados a este por cada receptor del mismo.
En una negociación comercial realizada vía email, una de las partes puede obtener información confidencial de la otra, a través de las respuestas, discusiones y reenvíos de ese mensaje a través de la red interna de la compañía del destinatario.
Un mensaje con ese bug, podría capturar miles de direcciones de correo electrónico si el mensaje remitido se envía alrededor del mundo.
Algunas empresas pueden incluso llegar a ofrecer sus servicios para "pinchar" los correos electrónicos.
Para que el exploit (el uso de la vulnerabilidad) ocurra, se requiere que quien lee el mensaje tenga su programa de correo con HTML habilitado, y con JavaScript activado por defecto.
Los lectores de correo afectados, incluyen el Outlook, el Outlook Express, y el Messenger del Netscape 6. Versiones anteriores del Netscape no son afectadas porque no tienen soporte para todos los rasgos del JavaScript llamados Document Object Model (DOM). Tampoco lo son ni el Eudora ni el AOL 6.0, porque estos lectores poseen el JavaScript desconectado por defecto. Hotmail y otros sistemas de e-mails basados en el Web, suelen quitar automáticamente el código JavaScript de los mensajes entrantes y por lo tanto tampoco son vulnerables.
El exploit es posible, porque JavaScript es capaz de leer texto en un mensaje de correo. Si un mensaje es reenviado a otros, JavaScript puede también leer cualquier texto que se haya agregado al mensaje cuando este se reenvía.
Este código se ejecuta cuando el mensaje remitido es leído. Luego, el código JavaScript puede enviar en forma silenciosa, este texto, usando un "Web bug" o un formulario oculto, a un servidor Web perteneciente al remitente original del mensaje. El remitente puede recuperar el texto de allí y leerlo.
Esta hazaña no hace uso de ningún error de programación de algún lector de email o de JavaScript. Sólo utiliza rasgos perfectamente documentados y válidos de JavaScript.
Un mensaje de email pinchado, es difícil de descubrir. Un usuario puede evitar esto, desactivando JavaScript en su lector de email. Sin embargo, si remite el mensaje a alguien que tiene JavaScript activo, los mensajes remitidos por ese destinatario todavía pueden ser interceptados por el exploit.
Además, si en lugar de reenviar el mensaje, copiamos y pegamos el texto en un nuevo mensaje, tampoco podremos evitar su acción.
Las recomendaciones de Microsoft y Netscape, que ya han sido avisados del problema, son las de desactivar JavaScript y el formato HTML en los mensajes.
Recuerde que desactivar JavaScript es sólo una solución parcial, porque un mensaje "pinchado", todavía trabajará si se contesta o remite a alguien cuyo programa de correo sea vulnerable.
Los usuarios de Outlook 2000, pueden bajar e instalar el parche de seguridad disponible en:
http://office.microsoft.com/2000/downloaddetails/Out2ksec.htm
Este parche desactiva JavaScript en el email y proporciona protección contra virus transmitidos como archivos adjuntos. Este parche fue creado por Microsoft a raíz del virus
ILOVEYOU el año pasado. Como este parche quita algunas funciones del Outlook, se aconseja leer la descripción del mismo antes de instalarlo.
Debe recordar que aún apagando JavaScript en el e-mail, este aún sigue activo en el navegador de Internet.
Vea también:
10/dic/00 - ¡Cuidado!. ¡Puede tener un "bug" en el e-mail!
16/dic/00 - Ataques a través del caché. Nuestra privacidad en riesgo
17/mar/01 - JS/Wiretap.demo. Explota la
falla del correo "pinchado"
|
|
