El Blog

 
 

Calendario

<<   Octubre 2005  >>
LMMiJVSD
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31       

Últimos comentarios

Categorías

Sergey, ahora que ví tu buzón, ya sé para qué querías correo con 2gb de espacio, ¡pillín!

Por RBA - 19 de Octubre, 2005, 9:26, Categoría: General

¿Se había enterado alguien que aparentemente se ha descubierto un agujero de seguridad en GMail que deja al descubierto absolutamente toda la información de una cuenta cualquiera de GMail?

La noticia la ha publicado elhacker.net y cuentan que el ataque se puede producir de manera similar al bug que ya se encontró en GMail a principios de año, aunque declaran que no explicarán en qué consiste o cómo utilizarlo hasta que Google lo arregle, a quien dicen haber informado ya. Esto podría levantar alguna suspicacia pero yo voy a darles mi voto de confianza, porque inventarse algo así sería una solemne tontería.

Además es que, por supuesto, informar a la empresa y no al mundo entero es la actitud correcta a seguir salvo que seas un hijo de la gran, aunque lo que quizás más me sorprende es que no se haya enterado ni el apuntador de que la vulneralidad existe,  cuando es ya casi común que cuando se descubren problemas de este tipo - especialmente si conciernen a otras empresas, y en particular a una con sede en Redmond, WA - se entere antes de tiempo hasta el perro de mi vecino.

Por otro lado, no sorprende que, conforme Google se mete en nuevos fregados, empiecen a aparecer bugs, problemas, agujeros de seguridad, etc. en productos y servicios de una empresa que hasta ahora llevaba en la frente la etiqueta de "perfecto" o "casi perfecto". Ya tropezó con un problema parecido con GMail hace varios meses. Luego el de su beta del Web Accelerator. El reciente problema con el cross-scripting bug que afectaba adWords... La lista sigue...

¿Se enteró alguien por ejemplo de un bug que tuvo durante meses el servicio Google Groups 2 (a.k.a. "mezclar aceite con agua") que permitía a cualquiera acceder a las páginas de administración de cualquier grupo con solo ir a la URL de moderación? Es decir, que con solo poner http://groups.google.com/group/blablabla/manage en tu navegador, aparecías como hermoso administrador del grupo blablabla pudiendo hacer lo que te diese la real gana. Pues creo que la noticia nunca llegó a más de un centenar de personas. Y a mí me consta porque lo probé personalmente, aunque por supuesto no hice ningún desastre. Claro, nadie en su sano juicio siquiera intentaría tal cosa, hasta que alguien lo probó, informó a Google y lo resolvieron en un par de días, pero aquel fallo fué de parvulario, por favor.

Esperemos que al menos, el servicio de pagos que parece casi inminente al menos no salga en beta y ofrezca ciertas garantías, que con el dinero no se juega. Qué cosas tengo, ¿he pedido que no sea beta? :-) Si la gente se ríe pensando en el "coche Microsoft" que te sacaría una pantalla azul en medio de la autopista, no sé yo si me compraría un coche "en beta" :-) Lo triste es que luego hay quien alaba el concepto "beta" hasta el punto de nombrar eventos con la bendita palabra (no critico el evento, sino el nombre, aunque de eso podemos hablar en otra ocasión).

Volviendo al tema, pues concluir que mejor nos agarramos fuerte porque como realmente esta gente de Google esté montando algo más intenso como especulan algunos, la lluvia de problemitas está garantizada, lamentablemente.

No, esto no es una crítica a Google. No es culpa suya, el software es así, y nadie es perfecto, y cuanto más quieres abarcar, más agujeros te van a encontrar. El propósito que quiero resaltar para al que se le escape es algo tan sencillo como decir que en todas partes cuecen habas, y quien tiene una ambición excesiva - y quién duda que Google la tiene - puede llevarse algunas tortas de este tipo en el camino. Les llevó 5-6 años convertirse en la empresa guay de Internet y todo era divino. ¿Quizás una vez alcanzado ese éxito tienen ahora prisa por crecer demasiado rápido? Estos jovenzuelos es que cuando tienen mucho dinero se disparan y pasa lo que pasa :-)

Por cierto, elhacker.net tiene un boletín muy majo que alojan en eListas. Al que le vayan estos temas, es una publicación que recomiendo. Breve, solo con enlaces y titulares, y muy enfocada.


Permalink | 16 Comentarios | Referencias (0)

Comentarios

AMRS | 19 de Octubre, 2005, 13:38 | (Contacto, Página)
"nadie en su sano juicio siquiera intentaría tal cosa"

Nosotros cuando hacemos nuevas funcionalidades siempre tenemos a la madre de uno como tester, y esas cosas que nadie en su sano juicio haría las acaba haciendo. Aparecen bugs en los sitios más insospechados. Así que si es importante, por muy improbable que sea que alguien pueda reproducirlo, hay que vigilarlo, porque alguien acaba haciéndolo seguro...

joserra | 19 de Octubre, 2005, 13:48 | (Contacto, Página)
Pero es que todo esto, como bien dices, es normal que suceda. Los bugs son prácticamente ubicuos en el software. Claro, que se cubren diciendo "es que es una beta!".
Veremos cuanto tarda la noticia en salir en, por ejemplo, Barrapunto. ¿y si fuese de hotmail?

Scy 23 | 19 de Octubre, 2005, 21:34 | (Contacto, Página)
Es cierto, ésto es apenas normal. Es mas! creo que se habían demorado en que alguién 'descubriera' algo asi.

Y es apenas lógico.

Serlio | 20 de Octubre, 2005, 7:44 | (Contacto, Página)
Desde mi punto de vista es vergonzoso que una empresa con esos medios técnicos saque beta tras beta. Google está haciendo exactamente lo mismo que en su momento hacía Microsoft: es mucho más barato que las aplicaciones sean testeadas por los propios usuarios que por un equipo de la propia empresa. Sacan una medio cosa, todos nos volvemos locos probándola y avisándoles de fallos y ellos tan encantados con el testeo gratuito. Conmigo que no cuenten, no pienso probar ni una sola beta y no pienso avisarles de un solo error. Seguiré usando mi correo Yahoo! mientras GMail siga siendo beta, y luego ya veremos.

RBA. | 20 de Octubre, 2005, 8:12 | (Contacto, Página)
Joserra la pregunta que haces al final es lo que me llevó a escribir el artículo. No se trataba de poner en relevancia que sea normal el que un programa tenga fallos (los hay que no los tienen, por cierto) sino que de igual manera que cuando hoy nos llega la noticia de un nuevo agujero de seguridad del IE algunos nos lo tomamos como algo cotidiano y otros aprovechan para poner a parir a Gates y cia., cuando se lo descubren a Google, lo común es decir "es una beta, tranquilos".

Otra cosa que quería poner de manifiesto es que es obvio que Microsoft por ejemplo pues tiene un historial bastante feo, y eso cuenta, pero que si Google sigue el camino que sigue, antes de que nos demos cuenta podría tener también un historial poco envidiable. Curiosamente entre los "grandes" servicios, luego hay empresas a las que casi nunca les sacan "bugs" como es el caso de eBay o Yahoo, que no es que no los tengan o que no los vayan a tener, pero son mucho más raros que los que Google ya está teniendo - y compararlos con Microsoft, bueno, sin comentarios.

Serlio, bueno, respeto tu opinión y coincido en parte con ella, pero tampoco es para ponerse de mala leche :-) El uso "regular" de tus productos o servicios es un campo excelente para detectar problemas que de otra manera sería complicado detectar. Cuando una empresa que tiene los bolsillos como Google, el lanzar servicios en estado "de pruebas" no creo que sea principalmente para ahorrar dinero, aunque lo que sí es cierto es que a veces se nota cierto atolondramiento, y aunque eso sea relativamente permisible en sitios menos punteros, cuando arrastras la fama, el empuje y la influencia de una empresa como Google, pues hay que mirarselo un poco mejor. En eso por ejemplo eBay tiene muchisima más experiencia que Google, de ahí que les saquen muchos menos fallos.

fernand0 | 20 de Octubre, 2005, 13:08 | (Contacto, Página)
Me temo que ya tiene un historial menos que brillante en temas de seguridad. Lo que pasa es que, efectivamente, no trasciende tanto como en otros casos.

Serlio | 20 de Octubre, 2005, 20:09 | (Contacto, Página)
No, Rogelio, si no me pongo de mala leche, la verdad es que me salió un post un poco brusco, pero no era esa la intención. Verás, lo que pasa es que yo he hecho un programa bastante sencillote, pero en un momento dado me dio por ahí y decidí meterle un chat. Para ello, tiré por IRC, me bajé el RFC correspondiente e implementé el protocolo partiendo de cero. Cuando decidí que estaba bastante maduro (reconozco que me dio vagancia y no lo implementé entero), me dediqué a testearlo, y para ello le hice absolutamente de todo: todo tipo de entradas extrañas, pruebas de comunicación con mIRC o con SolarIRC, abrir varias instancias y mandarse ficheros entre ellas, quitar el cable de red de repente a ver qué pasaba, y así un largo etcétera. La versión con chat lleva ya muchos meses disponible, se la han bajado miles de personas, y todavía nadie me ha reportado un error del chat. Seguro que los tiene, pero deben ser jodidillos de encontrar. Y todo esto por amor al arte y dedicándole el escaso tiempo libre que tengo. Pero veo que luego llega una empresa con miles de millones de veces de recursos más que yo y coge y saca una beta de cada programa, y resulta que encuentras bugs como los que narras. Sé que a Google le da igual lo que yo haga o deje de hacer, pero yo lo tengo claro: si me quieres como "cliente", currátelo al menos la mitad que yo, por favor.

Como lo que tú dices del coche. ¿Qué otro sector se dedica a sacar betas de sus productos para comprobar su uso regular? En mi opinión, muy poquitos (ahora mismo no se me ocurre ninguno).

Y otra cosa, en tu respuesta, tú mismo das el argumento que niega tu afirmación de que "lanzar servicios en estado de pruebas no creo que sea principalmente para ahorrar dinero": cuando dices "detectar problemas que de otra manera sería complicado detectar". Sí, tan complicado como gastarse los cuartos en simular un entorno operacional, para ver qué pasa. A ese nivel, dificultad=dinero y yo creo que efectivamente el objetivo es ahorrarse unos cuartos. Supongo que conoces aquella curva logarítmica que relaciona el número de errores detectados en el software con el tiempo (=dinero) que se tarda en detectarlos. Al principio cuesta poco sacar errores, pero tras ir arreglándolos, cada vez cuesta más encontrar uno nuevo, y llega un momento que no es rentable buscarlos. Pues eso, que creo que hay quien se para demasiado pronto en esa curva.

Creo que tendrás que limitar más el número de caracteres de los post, so riesgo de encontrarte cosas como esta ;)

RPT | 20 de Octubre, 2005, 20:22 | (Contacto, Página)
"¿Quizás una vez alcanzado ese éxito tienen ahora prisa por crecer demasiado rápido?" Bueno es lo que tiene salir a bolsa. Tienes que estar continuamente incrementando beneficios, y para eso hay que expandirse de forma continua y rápida.
En cuanto lo de los beta...No estoy de acuerdo con lo que comentáis. Testeo hay en casi todos los mercados de productos. Los hay en el gran consumo (quién no ha probado algún nuevo producto gratuitamente), y si no los hay en el mundo del motor, es sencillamente porque regalar unidades a un número significativo de usuarios sería un gasto terrible, además de que un error en un coche, pongamos los frenos, tendría, probablemente, consecuencias más serias :)
Pero estoy seguro de que si alguna marca de coches consiguiese saltarse las leyes y poder "testar" sus modelos, no faltarían voluntarios para hacerlo :)

ANELKAOS | 20 de Octubre, 2005, 23:31 | (Contacto, Página)
"Esto podría levantar alguna suspicacia pero yo voy a darles mi voto de confianza, porque inventarse algo así sería una solemne tontería."
Me congratula su voto de confianza pero le informo de que tras explicarles a Christoph Kern y a Peter Baker,
miembros del Google Security Team (departamento de seguridad de Google para los amigos), la metodologia del bug y reproducirlo en sus laboratorios han conluido en que la vulnerabilidad existe y aunque dificil de explotar, permitia el acceso a todas las cuentas de correo. Es decir, LA VULNERABILIDAD HA SIDO CONFIRMADA POR PARTE DE GOOGLE.
1Saludo. ANELKAOS Descubridor del Bug & programador.

RBA. | 21 de Octubre, 2005, 0:31 | (Contacto, Página)
Anelkaos, gracias por tu aportación. Obviamente no habría dedicado un post en mi blog si yo hubiese tenido dudas sobre la veracidad del bug, pero precisamente para prevenir a los suspicaces es que escribí el párrafo que citas.

ManWare | 21 de Octubre, 2005, 2:58 | (Contacto, Página)
La verdad es que según informan en elHacker.net, no parece un Bug, parece un verdadero desastre para Gmail.

Acceder a cualquier cuenta sin la contraseña.?... Que yo sepa eso no ha ocurrido en otras empresas como Hotmail o Yahoo.

ANELKAOS, es obvio que de hacer público este Bug, Gmail debería dejar de operar un tiempo.

Ahora, lo que más me intriga es en que momento te pusiste a testear Gmail hasta encontrarle la vuelta.

Bueno, yo soy Argentino, pero de verdad creo un honor que haya sido un Español quien haya descubierto el bug. Felicitaciones.

Quedamos todos a la espera de que se solucione y puedas publicar el bug con lujo de detalles, como lo hizo SAMY la semana pasada. (con MySpace)

Estan avanzados con el tema?.

ManWare | 21 de Octubre, 2005, 3:44 | (Contacto, Página)
Me olvidaba...

Algo que no entiendo ANELKAOS, porque pasaste de la euforia: "BUG GMAIL ¡PRIMICIA! Para elhacker.net" (en el foro)

Al resguardo de la información... te advirtieron los de Google o un ataque de etica?. =)

Saludos.

José Luis Ávila Herrera | 22 de Octubre, 2005, 7:08 | (Contacto, Página)
Qué tal!

Dada la importancia que para nosotros representa este sitio, hemos tenido a bien incluirlo en las listas SELECTAS de "hispano BLOGS".

Un espacio en el cual pretendemos reunir los mejores blogs escritos en el idioma español.

No dudando de que pronto pueda visitarnos, quedamos a su más completa disposición.

SALUDOS CORDIALES.

José Luis Ávila Herrera | 22 de Octubre, 2005, 7:10 | (Contacto, Página)
Corregimos dirección!

www.hispanoblogs.blogspot.com/

SALUDOS

cinefilo | 26 de Octubre, 2005, 13:34 | (Contacto, Página)
Me gustado tu post y ya estas en mi lista de feeds, me gusta ver opiniones de otros blogger que no ven a Google como "lo mas guay", todo lo gratis tiene un precio ya dicen los economistas que eso del coste 0 es una mentira que se tienen que invertar para el gran publico.

Salu2

gmail bug | 3 de Noviembre, 2005, 10:31 | (Contacto, Página)
Ya está publicado el método.
www.elhacker.net/gmailbug/

Blog alojado en ZoomBlog.com