Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
¡Cuidado!. ¡Puede tener un "bug" en el e-mail!
|
|
VSantivirus No. 155 - Año 4 - Domingo 10 de diciembre de 2000
Correo electrónico que vulnera nuestra privacidad
Por José Luis López
¿Otro mito que desaparece?
Un nuevo procedimiento, implementado por muchas compañías y sitios Web que acostumbran enviar correo electrónico con publicidad o anuncios, y sobre todo muchas compañías generadoras de SPAM (correo no solicitado), podría estar abriendo nuevas brechas en la seguridad de nuestras computadoras.
Tal vez para algunos, lo que aquí comentaremos, les recuerde que existen conocidos HOAXES (bromas o engaños), que hacen referencia a un inexistente programa rastreador de mensajes. Puede leer más sobre esto en nuestro sitio, en el área
"HOAXES" (01/nov/99 - Hoax: Microsoft y
AOL). O sobre el "HOAX" de Bill Gates y Windows 98 (VSAntivirus No.36 - Sábado 14 de marzo de 1998), otro ejemplo bastante viejo de una broma de este tipo. También lo es el hoax sobre el e-mail de "Disney y Bill Gates" (VSantivirus No. 64 - Año 2 - Miércoles 2 de septiembre 1998).
Es que al menos parte de la historia allí relatada, ahora podría ser cierta, porque hoy día, ya existe este software capaz de rastrear si recibimos un mensaje, o si lo reenviamos.
Si unimos esto a un viejo problema tanto para administradores de redes, como para simples usuarios, el SPAM o correo no solicitado, este tipo de software podría representar severas amenazas de seguridad a nuestros datos personales y también corporativos.
¿Una oportunidad para nuevos virus?
Es notorio que la publicidad vía e-mail, o simplemente el envío de información por este medio (noticias, listas de correo, etc.), utilizan cada vez más el correo con formato HTML para dar una mejor presentación a su oferta o producto.
Más allá del hecho que esto genera un mayor tráfico, por el aumento del peso de los paquetes (los que sufrimos somos los usuarios que vivimos en países donde las comunicaciones telefónicas son lentas y costosas), existe un nuevo peligro, que podría vulnerar nuestra privacidad, y ofrecer nuestra información personal a cualquiera (comerciante o no), e incluso podría abrir nuevos terrenos para los virus.
En un reciente informe, la prestigiosa publicación InfoWorld, alerta sobre el uso por parte de varias compañías (incluso Microsoft), de pequeñas marcas o "chismosos", denominados en el ambiente como "bugs", o "señales luminosas", ("beacons"), las que son incluidas en el correo enviado.
Se trata de código insertado en los e-mails con formato HTML, que se encarga de descargar de los servidores de quienes los envían, diminutas imágenes invisibles a nuestros ojos (de un pixel de ancho por uno de alto), cada vez que leemos un mensaje y mientras estamos conectados a Internet. El pixel es la unidad más pequeña que puede conformar una imagen. También puede implementarse esto a través de algún pequeño código en JavaScript.
Esta información puede ser rastreada desde los servidores de estas compañías, de modo que éstas pueden ser informadas de cuando y que a menudo estamos leyendo sus anuncios.
Además, un mensaje con formato HTML es capaz de ejecutar nuestro browser, y de ese modo el remitente puede colocar en nuestro PC los clásicos cookies (o galletas), cada vez que aceptamos un mensaje con estos "bugs" incluidos. Como resultado, estos cookies le permitirán al remitente recoger cierta información, como la dirección IP que tenemos en ese momento, el tipo de navegador que usamos, y los sitios Web que visitamos, afirman varios expertos.
Según el artículo de InfoWorld, aunque esta forma de rastrear las preferencias y movimientos de los destinatarios y posibles clientes, puede tratarse de una excelente herramienta para hacer más efectiva una campaña publicitaria, también es fácil de explotarla para transmitir virus o para obtener cientos de direcciones corporativas de correo con la intención de enviar grandes cantidades de SPAM. No debemos olvidar que las direcciones verdaderas se cotizan muy bien en ciertos ambientes.
Hasta ahora la solución casi siempre pasaba por no contestar estos mensajes, ni siquiera para desuscribirnos, de modo que nuestra dirección no podía ser catalogada por verdadera. Sin embargo, con estos "bugs", es suficiente con leer el mensaje mientras estamos conectados para revelar que sí existimos.
Algunos expertos, piensan que es solo cuestión de tiempo para que estos "bugs" sean utilizados maliciosamente contra personas o empresas.
Cómo el software requiere una conexión al servidor del remitente, este punto podría usarse como medio para propagar un virus, utilizando por ejemplo un trojan que fuera capaz de colocarlo en nuestra computadora empleando tal vez métodos diferentes a los que hemos visto hasta ahora.
Por el momento, solo dos o tres compañías han desarrollado este tipo de software capaz de rastrear los mensajes, pero son cientos los comerciantes y empresas que lo utilizan, afirma InfoWorld.
Microsoft también involucrado
Microsoft ha sido criticado en estos días en ciertos ambientes, porque acaba de implementar una nueva política para el envío de sus boletines de seguridad. Ya no utilizará desde esta semana el correo plano en formato texto, sino que enviará su correo con formato HTML, el cuál incluirá solo la descripción breve del problema relatado, y un link al tema ampliado en su sitio.
Russ Cooper de NT Bugtraq, una reconocida lista (y sitio) dedicado al seguimiento de la seguridad y los errores de software relacionados con ésta, ha comentado esta semana su decisión de no incluir los nuevos boletines de seguridad de
Microsoft,
presionado en parte porque la nueva política de ésta empresa, obliga a que estos informes sean leídos directamente en su sitio, vulnerándose de otro modo derechos de copyright.
Pero otro anuncio, enviado a Bugtraq por Richard Smith, co-fundador de
"The Privacy
Foundation", organización que defiende los derechos de la privacidad de los usuarios, revela que el nuevo formato de mensajes de los boletines de seguridad de Microsoft, contiene código en JavaScript que implementa un "web bug" capaz de monitorear las reacciones de quienes reciben estos mensajes.
Se presume que las intenciones de Microsoft con esto es monitorear la cantidad de personas que pulsan sobre el link de esos mensajes, y qué tan a menudo visitan la página Web relacionada, obteniendo información de cuántos de los visitantes de estas páginas son realmente subscriptores de sus servicios.
Un apetecible plato para los "spammers"
Pero también los spammers podrían usar estos "bugs" para obtener información adicional sobre el tráfico de mensajes enviado por una compañía y usar ésta en su provecho, asegura John Mozena, co-fundador de una organización que lucha contra el envío de correo no solicitado
(CAUCE, Coalition Against Unsolicited Commercial E-Mail).
"Debido a estos "bugs" en el correo HTML, se confirma al remitente que se ha recibido el mensaje," aclara Mozena. En otras palabras, "Ud. ha convertido en algo muy valioso su dirección, ha confirmado que es real, y de seguro pasará a integrar la lista de direcciones que se venderán a otros spammers."
Existen compañías que se especializan en bloquear el Spam entrante en redes corporativas, y estas compañías informan que el tráfico promedio de este tipo de correo basura, constituye el 30% del total del correo recibido.
Mientras los administradores de una red bloquean los cookies en los browsers, el programa de correo los acepta a través de los "bugs", llegando de todas maneras al usuario.
Está claro que esta técnica permite confirmar la validez de una dirección de correo electrónico, y esto involucra la privacidad de quien los recibe. Porque además, este software también puede usarse para rastrear que sitios visita un usuario mientras navega por Internet.
Tal vez sea buena idea pensar si ese mensaje en HTML que acabamos de recibir, es tan inocente como parece, a pesar de que nuestro programa antivirus no haya detectado nada en él.
Fuentes:
The Dangerous Side of Spam
http://www.pcworld.com/resource/printable/article.asp?aid=36063
Feathers ruffled over new MS Security Bulletin format
http://www.securitywatch.com/scripts/news/list.asp?AID=5031
http://www.securitywatch.com/scripts/news/list.asp?AID=5032
NT Bugtraq
http://www.ntbugtraq.com/
The Privacy Foundation
http://www.privacyfoundation.org/
Coalition Against Unsolicited Commercial E-Mail
http://www.cauce.org/
Microsoft
http://www.microsoft.com/technet/security
InfoWorld
http://www.infoworld.com/
Ver también:
16/dic/00 - Ataques a través del caché. Nuestra privacidad en riesgo
18/dic/00 - El correo electrónico, el formato HTML, la música y los virus
|
|
|