sábado, julio 02, 2011

Gmail y sus "avances" en seguridad

Muchas son las veces en la que los fanboys demuestran esa faceta. Ese amor ciego por encima de todo a Mac, o esa negación de la realidad de que algo está mal y debe ser cambiado. Yo como buen Maligno miembro de Spectra procuro meterme en el fango en todas las batallas que pueda hacieno clic en el botón derecho y o pulsando la tecla de Inico de Windows. Al fuego con fuego.

Lo más curioso es que el proceder de las cosas suele hacer que en algunas ocasiones, tras quejarme de algo, y discutir con los fanboys, luego va la empresa y me deja mal arreglándo justo aquello de lo que yo me quejaba. Así, cuando me quejé de la política de conexión WiFi en la Ubuntu 8.0.4, luego metieron los cambios que muchos fanboys defendían como innecesarios. Cuando en la gira Up To Secure subía a algún usuario de Chrome de entre el público para hacerle deshabilitar javascript desde el interfaz gráfico y verles buscar algo que solo se podía hacer mediante parámetros por consola, Google decidió chafarme la fiesta y añadir la opción en el interfaz (aunque sin demasiada fortuna, lo que nos dio más horas de diversión maligna).

En el tema del correo de Gmail, yo me he quejado muchas veces de lo mal que funcionan los filtros Anti-Phishing. He hecho mil y una demos suplantando a bancos y obteniendo anuncios de banca pagados en su phishing en Gmail. Horas de diversión con Gmail.

De entre las cosas que me quejaba es que SPF lo implementan pero no lo usan, y que DKIM lo tienen implementado pero "lo justito", ya que no tienen la política en _adsp._domainkey.gmail.com, sitio donde debería aparecer. Es por eso que escribí la serie explicando las diferencias entre DKIM, Domainkeys e Identified Mail para explicar por qué creía que DKIM, tal como lo implementa Gmail, ayuda pero poco.

Lo cierto es que la implementación de DKIM que tiene Gmail es tan personal como artesana, que ningunea la potencia del standar, eso sí "cumpliendo la letra pero no el espíritu", como ya hiciera co el SPF.

El SPF, el Spoofing de correo y las alertas de usuario

SPF o SenderID tienen sus ventajas e inconvenientes, y al final, como no son perfectos, deben ayudar al usuario. El estándar deja en manos de la implementación la decisión de borrar o marcar los correos que vengan con FAIL.

Microsoft optó por marcar con alertas en hotmail y Google en poner un texto en el mensaje que el usuario no podía ver nunca. Es por eso que nosotros creamos una herramienta llamada Apolo y que alguna compañía de seguridad sacó un producto comercial para poner esas alertas que Gmail no ponía.


Figura 1: Correos falsos en Gmail vistos con Apolo activado

DKIM y Gmail

Con el nuevo anuncio de Gmail de alertas, yo pensé que iban a añadir alertas con una política seria que analizara DKIM y SPF, algo similar al algoritmo que diseñamos para Apolo, pero no. Es bastante triste.

1) Sigue pasando del SPF, por lo que es posible meter correos falsos de cualquier dominio (salvo Paypal y Gmail) en la bandeja de correo de Gmail.


Figura 2: Correo falso desde Hotmail en el inbox de Gmail sin alerta

2) Configura DKIM en positivo y en negativo warning para Gmail: Es decir, si analizando el correo viene un firma DKIM, entonces en los detalles del correo se verá que viene firmado. Si no viene firma DKIM, entonces, si viene de Gmail y solo de Gmail, muestra una alerta de seguridad, tal y como lleva años haciendo Hotmail.


Figura 3: Warning, un correo GMail sin DKIM

Además, no se puede confiar en él, ya que no se atreven a tirarlo, ni mandarlo a Spam ni nada, solo un Warning.

3) No comprueba políticas DKIM de nadie más (a excepción de Paypal): Google, en su implementación de Gmail, solo realiza la misma excepción con Paypal. Es decir, si alguien monta DKIM en su empresa para estar "más seguro", pone una política DKIM en su servidor DNS y alguien le suplanta enviando un correo falso en su nombre a un destinatario de Gmail, le llegará si ninguna alerta. Es decir, Gmail pasa de la política DKIM del resto del mundo.

En este caso un ejemplo con Forefront-es, que tiene su política DKIM con el valor discardable, es decir, que si llega un correo del dominio @forefront-es.com que no vaya firmado por DKIM, quiere que se tire.


Figura 4: Política DKIM en Forefront-es

Sin embargo, como el estándar DKIM permite que la implementación que se haga de DKIM no consulte la política del dominio remitente, el correo llega sin alerta ninguna a la bandeja de entrada del destinatiario en Gmail. ¿Entonces va a reducir el spam DKIM? No.


Figura 5: Correo sin firma DKIM en el inbox de Gmail


Resent-by

Eso sí, después de años de hacerlo Hotmail, Gmail lo ha copiado también para que si alguien envía el mensaje en nombre de otro, se vea en el mensaje, algo de lo que me quejaba cuando hablaba de la implementación de SPF de Gmail y de Sender ID de Hotmail.


Figura 6: Así lo hace Hotmail desde hace años


Figura 7: Así lo hace ahora Gmail

Eso sí, Gmail siempre ha molado, haya hecho lo que haya hecho.

Saludos Malignos!

7 comentarios:

Newlog dijo...

Me encantan estos flames :D

Yo, de momento, no tengo pensado cambiarme a gmail. Quiero decir que tengo gmail, pero siempre utilizo la de Hotmail, que, según mi opinión, me parece bastante más usable.

Eso sí, el otro día trastee con las opciones de gmail y vi muchísimas cosas de las que no dispone Hotmail, como por ejemplo, la instalación de "plugins".

En cuanto al spoofing, como bien demuestras y demostraste, gmail va un poco por detrás.

Saludos.

agux dijo...

Lo peor de todo es que con SPF sólo marcan los de Paypal y Ebay. ¡Con lo fácil que es ponerlo para todos los dominios!!!

Anónimo dijo...

Yo no creo que Hotmail sea más usable que Gmail, de hecho va copiando características de Gmail con el paso del tiempo.
Por otro lado, dudo que haya "fanboys" de Gmail, lo que no dudo es que tu lo eres de Microsoft (más que fanboy, lo que parece es que quieres quedar bien con ellos). Microsoft se suele llevar la palma en cagadas y en sacar productos casi inacabados y con bugs. Y el ejemplo más claro que tengo ahora es Hyper-V, que cuando lo sacaron no dejaba hacer ni mover máquinas en caliente y Vmware y Citrix lo hacían hace tiempo.
Lo digo sin acritud, pero es que veo sospechosa tu insistencia en contra de lo que no es Microsoft.

Anónimo dijo...

Tras ver este articulo, hace no mucho sucedió lo siguiente, me apareció un cartelito con una conexion de corea del sur a las 4 de la mañana
Mi contraseña era de 9 digitos alfanumerico y que considero seguro.

La conexion es la siguiente:
"Desconocido Corea Del Sur (175.207.240.180) 24 jun"

¿Alguien tiene una idea?
(Aunque hotmail sea menos usable nunca me ha pasado esto)

Nota: Obviamente he cambiado Clave, frase y todo lo cambiable...

Saludos.

Maligno dijo...

@Anónimo de las 10:01. Fanboys de Google y AntiMS los ha habido, los hay y los habrá. Locos por Gmail diciendo cosas como que no hay spam, que es más seguro, y blablabla, hay todos los que quieras. Gente hablando mal de Hotmail sin tener ni idea tienes la que quieras.

Ahora, centrándonos en tu comentario y mi artículo, no me has dicho qué está mal en él. He dicho que la implementación de SPF es nefasta, que la implementación de DKIM es débil y parcial y que lo de las alertas debería haberlo metido hace años (el año pasado di unas conferencias en que me quejaba de que no se veía el resent-by).

Hablas de productos inacabados como Hyper-V, que era una opción gratis dentro de Windows Server, ¿quieres una lista de productos inacabados de Google, Apple o la misma VMWare y Citrix? ¿Quieres la lista dee todo lo que le falta a Xen? La tecnología avanza y evidentemente se hacen nuevas versiones con nuevas opciones. VMWare fue por delante en Virtualización, pero también va por delante MS en gestión de sistemas y máquinas virtuales con SCVMM a día de hoy...

Centrándonos en lo que he publicado aquí, ... ¿qué está mal de mi artículo?

Saludos!

Anónimo dijo...

Buenas Chema, estoy probando hotmail desde la web y me he enviado unos mails como los tuyos (usando servicios de enviar noticia donde puedo editar los campos) y actualmente los mete en spam si pongo dominios de bancos, pero no sale ningún aviso de que fue enviado desde x sitio a nombre de X. Si me mando mais con dominios inventados llegan sin problema, si pongo dominios de gmail también llegan sin problemas, no me saca ese aviso que debería de sacarme.

XXXX
Agregar a contactos
Para micorreo@hotmail.com
De: XXXXX (nobody@el-mundo.net)
Enviado: miércoles, 07 de diciembre de 2011 19:15:09
Para: micorreo@hotmail.com

He puesto ese dominio, que es del periodico y ha llegado a la bandeja de entrada sin problemas pese a fallar el senderID:

Authentication-Results: hotmail.com; sender-id=temperror (sender IP is 61.28.148.16) header.from=nobody@el-mundo.net; dkim=none header.d=el-mundo.net; x-hmca=none

Algo ha cambiado desde tu post? No entiendo como en vista detallada no me muestra avisos,...

1 besazo

Maligno dijo...

@Anónimo, tal vez hayan cambiado algo. Compruebalo desde direcciones de remitente que no te hayas "carteado" previamente y con las que sí lo hayas hecho, que tal vez el sistema de las greylist esté funcionado en tus pruebas.

Saludos!

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares