sábado, junio 05, 2010

GTalk: Riesgos de Seguridad [II de III]

***************************************************************************************
- GTalk: Riesgos de Seguridad [I de III]
- GTalk: Riesgos de Seguridad [II de III]
- GTalk: Riesgos de Seguridad [III de III]
***************************************************************************************

No cerrar sesión: Configura una sesión inmortal

Ya desde el comienzo cuando te creas la cuenta, el mensaje de "No cerrar sesión" que por defecto está marcado a true, me parece equivocado, pero entiendo que es algo que puedes configurar tú en tu cuenta. Así sucede que puedes hibernar las máquinas con las sesiones abiertas durante días y todo sigue funcinando cuando arranques otra vez la máquina porque la sesión es "inmortal", como me sucedía en la serie de posts de Correos en la Web de Enero de 2008.


Figura 5: No cerrar sesion

Entiendo, sin embargo, que es una opción de configuración que tiene que ver más con la cuenta que con Gtalk en conreto. Sin embargo, como se puede ver en la imagen, yo he quitado esta opción.

Integración en Windows: Ni DEP ni ASLR

Me llama la atención que la palicación Gtalk para Windows no esté integrada en el sistema actual de ventanas de Windows. Esto no es un riesgo de seguridad, sino más bien una incomodidad para mi forma de trabajar ya que no me permite ordenar las ventanas a mi gusto. No funcionan las opciones típicas de maximizar o colocar en una posiciónd del escritorio con los sticky borders.

Tomando esta integración con el sistema operativo, pero relativa a la protección de mi máquina, es de desear que los programas que corran en ella, y especialmente aquellos expuestos por la red como es un sistema de mensajería, tengan todas las protecciones posibles contra la creación de exploits, así que no vendría mal que Gtalk hicera como Windows Live Messenger y usara DEP y ASLR.


Figura 6: Process Explorer con Gtalk y Windows Live Messenger

Es sabido que ambos mecanismos no son perfectos, pero ayudan a dificultar la tarea del exploiter. Además, es curioso que no haga uso de DEP y ASLR en Gtalk cuando sí que lo hace en Google Chrome. Creo que cualquier herramienta que se diriga al mercado Windows debería hacer ya uso de estas protecciones.

Almacenamiento de Conversaciones "in the cloud"

Otra de las características que me parece que va contra la propia privacidad del usuario, es la del almacenamiento de las grabaciones de las conversaciones. Con Gtalk las opciones que se tienen son dos:

1) Lo guardas en tu cuenta de Google junto con tu correo.
2) Te lo guardas copiando manualmente el chat y pengando en el bloc de notas.

No existe una opción, como existe en Windows Live Messenger de guardar las conversaciones en mi ordenador personal. Ya le he dado muchos datos a Google de mí, ¿tengo que contarle mis conversaciones privadas también? ¿Si alguien vulnera mi cuenta va a leerse también mis chats? ¿Será para ponerme publicidad cuando revise mis chatas? Desde luego no se me pasa por la cabeza dejar mis chats en el servidor.


Figura 7: Configuración de almacenamiento de chats

***************************************************************************************
- GTalk: Riesgos de Seguridad [I de III]
- GTalk: Riesgos de Seguridad [II de III]
- GTalk: Riesgos de Seguridad [III de III]
***************************************************************************************

9 comentarios:

Anónimo dijo...

Tronco, ¿Por qué no lo utilizas a través de la web, integrado en el navegador?

Así podrás gozar de la seguridad del navegador que más seguro veas. Tendrás portabilidad y disponibilidad.

En fin, estos windowseros ...

Maligno dijo...

@anónimo, sí, estos de Google deberían retirar Gtalk y que fuera sólo por web... ¿quién lo necesita existiendo Windows Live Messenger?

};)

Saludos!

andro1de dijo...

Buenas Chema, yo creo q gtalk vs winmess es un claro ejemplo de comodidad vs seguridad, desde mi punto se vista y partiendo de la base de q ninguno es totalmente seguro, no creo que los beneficios en seguridad que pueda ofrecer Winmess estén por encima de la comodidad q ofrece gtalk, el messenger ha perdido muchos usuarios xq no ha sabido evolucionar con ellos aunque sí lo haya hecho en seguridad. De hecho sí quieres hablar de mensajería insegura y a años luz de resto podemos hblar de la de Facebook y es de las mas usadas actualmente.

Maligno dijo...

@andro1de, Windows Messenger tiene una cantidad ingente de funciones que no tiene Gtalk. Empezando por el botón maximizar en la ventana. La lista es tan grande que si empiezo no termino. No me he dado cuenta de ellas hasta que he empezado a usar Gtalk... uff.

Y sí, lo de facebook... con su http y la posibilidad de ver el chat de otros en el bug que tuvieron ha sido tb muy divertido.

Saludos!

Laura García dijo...

Menos mal que uso Pidgin :P

k4x30x dijo...

si vamos a hablar de seguridad mira esto http://2.bp.blogspot.com/_Ot9DEZXsUg4/S_iXMbUiSwI/AAAAAAAAA9I/k8rw-iLWq3A/s320/tabla.png y dime kien es el inseguro.

esa pinche funcion de historial de messenger es una basura empezando que nadie lo usa, y si kieres usarlo usa messenger plus k tiene encriptacion y pass y todo xdd

Maligno dijo...

@K4x30x, ya escribí un artículo yo sobre Riesgos de Seguridad en Windows Live Messenger y como fortificarlos. Lo tienes linkado en la primera parte de este artículo.

La función de Historial de Messenger no sé a qué viene, lo que yo he puesto en la primera parte ha sido la ALERTA de conexión mútliple. Cosa que no aparece en Gtalk.

Saludos !

Anónimo dijo...

Maligno dijo:
"¿Será para ponerme publicidad cuando revise mis chatas?"

Pues no sé...quizás será como la que incluye hotmail al enviar un correo.

Maligno dijo...

@anónimo, MSN Pone publicidad, pero no se lee el correo para hacerlo. Gmail sí:

¿Gmail haciendo negocio con el phishing?

Saludos!

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares