Eli
370meneos

G-Archiver roba tus contraseñas de GMail - La etica de la programación [ING]

El autor comenta en un artículo sobre la ética de la programación el caso del G-Archiver, un programa para descargar una copia de seguridad de tu cuenta de g-mail. Al examinar el código fuente de dicho programa se descubre que envía una copia de tú nombre de usuario y tú contraseña a una cuenta de correo.

 35 comentarios en: tecnología, seguridad karma: 839
etiquetas: seguridad, programación, software
negativos: 0  usuarios: 191  anónimos: 179  compartir:  twitter  facebook  friendfeed
últimas relacionadas
  1. #1   He aquí una prueba de la que posiblemente es, la mejor de las ventajas del software de código abierto.
    votos: 18, karma: 119
    por iNX el 08-03-2008 17:58 UTC
  2. #2   Me encantaría leer el código de la página esa de "quién te admite" xD
    votos: 7, karma: 65
    por miau el 08-03-2008 18:04 UTC
  3. #3   La verdad es que el que escribió ese programa muchas luces no tenia liberando después el código.
    Es como la gente que hace el gamberro y luego lo sube a youtube.
    votos: 12, karma: 95
    por Gry el 08-03-2008 18:09 UTC
  4. #4   #0: no sabes leer o que?

    "being a programmer myself I used Reflector to take a peek at the source code"

    reflector es un decompilador de .NET, el programa no era de codigo abierto sino que estaba compilado para la maquina virtual de .NET que es relativamente facil de convertir a un lenguaje legible, pero no tiene absolutamente nada que ver con el soft libre

    y en todo caso, la ingenieria inversa para descubrir funciones maliciosas de un programa no es que sea nada tan complicado, como mucho la noticia seria que con .NET es mas sencillo
    votos: 24, karma: 201
    por sickboy el 08-03-2008 18:19 UTC
  5. #5   #4 ok gracias, no me fije en ese detalle
    votos: 4, karma: 31
    por Gry el 08-03-2008 18:20 UTC
  6. #6   » ver comentario
    por --64591-- el 08-03-2008 18:22 UTC
  7. #7   #5: esque asi es un poco absurdo, como mucho estaria de acuerdo contigo en que si hubiese alternativa soft libre al "G-Archiver" ese podrias usarlo sabiendo seguro que no te van a robar la contraseña (mas que nada porque en principio si escribes codigo malicioso no lo publicas xd)
    votos: 1, karma: 14
    por sickboy el 08-03-2008 18:22 UTC
  8. #8   Lo que me confundió es que no acostumbro a programar con .NET no sabia que se podía decompilar tan fácilmente y en los comentarios aparece el trozo de código al que se refiere el artículo.
    votos: 4, karma: 49
    por Gry el 08-03-2008 18:25 UTC
  9. #9   por eso no se puede votar por internet, jeje
    votos: 4, karma: 23
    por jbmixed el 08-03-2008 18:32 UTC
  10. #10   » ver comentario
    por --70929-- el 08-03-2008 18:50 UTC
  11. #11   » ver comentario
    por --10605-- el 08-03-2008 18:52 UTC
  12. #12   #10 ¿Qué tiene de tonto usar un programa para hacer una copia de seguridad de tu correo? Lo que hay que ser gilipollas para usar software privativo cuando se trata de cosas como estas.
    votos: 6, karma: 61
    por --19-- el 08-03-2008 18:52 UTC
  13. #13   » ver comentario
    por --12617-- el 08-03-2008 18:53 UTC
  14. #14   #13 Te has dejado el:
    $ gpg -c mail.tar.gz

    x DDD
    votos: 5, karma: 58
    por --19-- el 08-03-2008 18:54 UTC
  15. #15   No conocia ese programa. ¿Una copia de tu cuenta de gmail? mmmm... interesante. Lastima que no lo use mientras no espie al usuario
    votos: 7, karma: -41
    por coperfil el 08-03-2008 18:57 UTC
  16. #16   Si necesitas uan copia de tu correo, utiliza un cliente como thunerbird coñe
    votos: 1, karma: 19
    por Rabanomen el 08-03-2008 18:58 UTC
  17. #17   Que se junten cuatro tíos con ganas de bronca y demanden al programador. Sería genial...
    votos: 0, karma: 9
    por xenNews el 08-03-2008 19:03 UTC
  18. #18   » ver comentario
    por --12617-- el 08-03-2008 19:18 UTC
  19. #19   Muy buen ejemplo de porque debemos usar Software Libre.
    votos: 6, karma: 56
    por oktubre el 08-03-2008 19:22 UTC
  20. #20   joder...
    pues es verdad el jterry este se ha lucido...

    si haceisla prueba con el reflector y se meten en SM.dll y luego en mail -> checkconnection sale donde manda la clave del usuario y tambien su propio correo y contraseña ..
    votos: 1, karma: 14
    por takushi el 08-03-2008 19:23 UTC
  21. #21   El problema para demandar es que las licencias de software suelen cubrir este tipo de abusos, total como nadie las lee...
    #20 En el artículo pone que se la cambiaron.
    votos: 2, karma: 31
    por Gry el 08-03-2008 19:24 UTC
  22. #22   Uf... este tipo de noticias me hace dudar de todo cuanto tengo.

    Afortunadamente no uso ese programa pero, por casualidad, ¿se sabe algo del gsyncit?, si g-archiver lo hace este también podría hacerlo, que demonios... cualquier programa podría hacerlo...
    votos: 0, karma: 8
    por kadmon el 08-03-2008 19:26 UTC
  23. #23   » ver comentario
    por --12617-- el 08-03-2008 19:30 UTC
  24. #24   #22 pues como tengas algún programa pirateado dudarías con razón. Una buena parte trae algún tipo de troyano.
    votos: 2, karma: 31
    por Gry el 08-03-2008 19:35 UTC
  25. #25   » ver comentario
    votos: 17, karma: -124
    por MarcosBL el 08-03-2008 19:58 UTC
  26. #26   #25, el software libre no son unos pocos individuos sueltos, sino una gran comunidad.

    El código de Firefox lo han visto todo tipo de hackers. A parte de los developers, de los que revisan parches y de los packagers, lo han ido mirando empezando por Netscape (mientras era Netscape -> Mozilla), pasando por la FSF, Debian, Gentoo y el resto de distros, por todos los hackers de seguridad que van buscando bugs, ¡no nos olvidemos de la gente de Microsoft!, los hackers de Google, etc...
    Resulta que la gente más escéptica y conspiranoica del mundo lo ha mirado. Los hackers de mejor nivel lo han mirado. Empresas con mucho interés económico en encontrar un fallo así, lo han mirado (a MS se le haría el culo gaseosa en caso de encontrar un backdoor en Firefox), etc.
    Todos esos lo saben mirar mejor que yo, que no te quepa duda.

    Si no sabes interpretar código, no pasa nada. Puedes pagar a alguien para que lo haga por ti.

    Respecto a la segunda pregunta, todavía destila más ignorancia que la primera.
    Tienes el código fuente, lo compilas, y al binario resultante le haces un CRC (un hash criptográfico). Si ese CRC no es el mismo que el binario que te dan a descargar, haces sonar las alarmas y se lía el pifostio más gordo que te puedas imaginar.

    Lo que has hecho no son dos reflexiones concienciudas, sino dos fallos de novato recién llegado al mundillo. No tengo ningún problema en explicar los fallos, pero molesta un poco ese tono prepotente-chulesco cuando careces de experiencia y conocimientos de base.
    Por preguntar no pasa nada, por ir de listillo si: quedas muy mal.
    votos: 22, karma: 170
    por DZPM el 08-03-2008 20:14 UTC
  27. #27   #25 ¿si la gente encuentra estos "trucos sucios" en programas no libres, que no se podría encontrar en un programa libre?

    Software libre es tranquilidad.
    votos: 6, karma: 58
    por iNX el 08-03-2008 20:42 UTC
  28. #28   Lo preocupante es que no se le ocurriese otra forma de hacerlo que poniendo su usuario y contraseña en el codigo...
    votos: 1, karma: 16
    por lopez el 08-03-2008 20:49 UTC
  29. #29   #25 ¿Cuantos de vosotros habéis hecho experimentos científicos para comprobar las leyes aerodinámicas antes de subir a un avión? x D
    votos: 10, karma: 98
    por --19-- el 08-03-2008 20:53 UTC
  30. #30   » ver comentario
    por --51021-- el 08-03-2008 22:37 UTC
  31. #31   » ver comentario
    por --63908-- el 08-03-2008 23:08 UTC
  32. #32   1.- Las conexiones pueden estar cifradas. Las conexiones pueden ir al mismo servidor (como en el caso de #0, todas las peticiones van al servidor de gmail. O simplemente puede almacenar datos, y enviarlos el día D a la hora H.
    2.- ¿Cansino explicar cómo evitar que te roben las contraseñas de gmail, del banco, etc? :roll:
    3.- Claro que tiene que ver. ¿Hemos leído la misma noticia? Con software libre jamás habría pasado. Con software libre, si pasase, se vería el backdoor al pcoo tiempo, y ya no picaría nadie más.
    4.- ver #26. Haz el checksum del binario que generes compilando el código vanila con las opciones estándar, y compáralo contra el checksum del binario descargado y contra el que diga en el repositorio. ¿La frase anterior te suena a chino? Lo suponía :roll:
    votos: 5, karma: 44
    por DZPM el 09-03-2008 00:20 UTC
  33. #33   Anda que no hay formas menos peligrosas de guardar datos de forma remota que poner tu cuenta de correo, y menos incluyendo también la contraseña. Ay madre.

    Por cierto, en la noticia las dos tildes en los determinantes "tu" están mal. "tú" lleva tilde cuando es pronombre personal.
    votos: 0, karma: 6
    por TheOm3ga el 09-03-2008 00:24 UTC
  34. #34   Para todos los que quieran hacer copias de seguridad de sus cuentas (Gmail y otras) les recomiendo Conduit:

    www.conduit-project.org/
    conduit.softonic.com/linux
    www.yukei.net/2008/02/respaldar-datos-con-conduit/

    Es software libre y creo que merece la pena echarle un vistazo. Está el GetDeb.

    Saludos a todos.
    votos: 0, karma: 6
    por ChirlasBirmas el 09-03-2008 10:01 UTC
  35. #35   Wow.. mi primera "fritura" a negativos... great ! xD

    Siempre me han hecho gracia la gente que critica a meneame cuando alguien acusa a su comunidad de "talibanes", me han parecido de siempre pataletas incongruentes, pero amos... viendo como un comentario de coña se convierte en una cruzada personal... veo que tendré que guardarme mis opiniones bien guardaditas xDDD

    Empecé el comentario (que pretendia ser jocoso) con un "Completamente de acuerdo en lo que a uso de software libre, pero por mencionar algo que aún no se ha tocado en los comentarios... dejo una pregunta para la reflexión... ". Y por muchos negativos que reciba, asi seguiré pensando :D

    Respecto al único comentario "razonado" en contra del mio, respondo, espero, educadamente:

    1.- El código de Firefox lo han visto todo tipo de hackers. A parte de los developers, de los que revisan parches y de los packagers, lo han ido mirando empezando por Netscape (mientras era Netscape -> Mozilla), pasando por la FSF, Debian, Gentoo y el resto de distros, por todos los hackers de seguridad que van buscando bugs, ¡no nos olvidemos de la gente de Microsoft!, los hackers de Google, etc...
    Resulta que la gente más escéptica y conspiranoica del mundo lo ha mirado. Los hackers de mejor nivel lo han mirado. Empresas con mucho interés económico en encontrar un fallo así, lo han mirado (a MS se le haría el culo gaseosa en caso de encontrar un backdoor en Firefox), etc.
    Todos esos lo saben mirar mejor que yo, que no te quepa duda.

    No me dices nada nuevo, si ves bien mi comentario podrás leer "gracias a dios lo sabemos porque confiamos en la comunidad que lo prueba y testea..", en esa comunidad englobo a todos los que has enumerado, simplemente me atacas diciendo.. lo que ya habia dicho yo :)

    2.- Si no sabes interpretar código, no pasa nada. Puedes pagar a alguien para que lo haga por ti.
    Respecto a la segunda pregunta, todavía destila más ignorancia que la primera.

    Curiosamente, en este caso, si, sé interpretar código, pero gracias por dar por hecho que soy un ignorante, siempre es un placer detectar la propia ignorancia antes que otros te la puedan pasar por la cara... oh... WTF...

    3.- Tienes el código fuente, lo compilas, y al binario resultante le haces un CRC (un hash criptográfico). Si ese CRC no es el mismo que el binario que te dan a descargar, haces sonar las alarmas y se lía el pifostio más gordo que te puedas imaginar.

    Me r...  » ver todo el comentario
    votos: 0, karma: 6
    por MarcosBL el 10-03-2008 10:00 UTC
comentarios cerrados

menéame