Cuáles son los riesgos de usar Mensajeros??

Pues eso... tengo esa duda y quisiera saber si alguien puede explicarme (lo más técnico y detallado posible) cuáles son los riesgos de usar programas mensajeros, como ICQ o MSN Messenger, o Y! Messenger, o cualquier otro...

Qué problemas acarrea? Existe algún tipo de resguardo para usarlos sin riesgo? qué tanto ancho de banda puede consumir? Acaso son la única debilidad que puede haber en una red?

Sé que acá hay muchos expertos en eso, y agradeceré mucho su ayuda...

Gracias!

<font face=Verdana size=1 color=#336699>"Lo imposible es usualmente lo no intentado"*-José Daniel Castañeda A.[/CODE]

??????

nadie acaso?

:(

<div align="center"><img src="http://www.negociosenguatemala.com/biz/z/jd/fdwsign.jpg" alt="oSo" border="0"></div>

En principio MSN para mi es el más problemático. siempre se ha hablado de los aagujeros de seguridad o puertas traseras de este soft. Por poner un ejemplo, hace poco se descubrio que este mensajero habria un proxy para salida de datos, esta función la realiza QMGRPRXY.DLL que se carga al inicio de windows. MSN graba en el sistema numerosos archivos que NO son necesarios para su funcionamiento, si no son necesario entonces para que sirven ?. Imagínatelo. Algunos de estos archivos son:

C:Archivos de programasQMgr (Carpeta oculta)
C:Archivos de programasQMgrQMgrCache.tmp
C:WINDOWSloadqm.exe
C:WINDOWSsystemprogdl.dll
C:WINDOWSsystemqmgr.dll
C:WINDOWSsystemqmgrprxy.dll

Por cierto, a nadie le avisó el Zone alarma de un intento de comunicación de Microsoft Qmgr ?, esta es otra de MSN.

ICQ es más serio en las custiones de seguridad y privacidad, pero cuando una empresa grande como AOL compra ICQ... ya hay que sospechar.

No uso mucho estos programas pero si se que ICQ tiene unas directivas de privacidad al igual que MSN.

Un saludo,


Alfon

Me interesó este tema, así que inverstigando un poco he descubierto que usando MSN estas exponiendo a todas las webs que visitas quienes son tus amigos y contactos. Es bastante impactante, pero está probado. Lo cuentan en The Register. Según parece, el Messenger esta programado intencionadamente por M$ para permitir leer tus contactos a determinadas webs. En teoría solo los dominios Microsoft.com, Hotmail.com y Hotmail.msn.com pueden acceder, pero como los dominios autorizados están en el registro, es muy fácil para cualquier spyware modificar esa clave.

Un saludo,

Alfon

Muchas Gracias Alfon. Eso que me cuentas es realmente interesante, y preocupante.

He estado buscando también bastantes &quot;exploits&quot; para programas mensajeros. De lo que más he encontrado es del ICQ y del AIM... y claro del MSN...

Exploits o debilidades hay muchas! pero habrá alguna forma de evitarlas? alguna forma de resguardar los puertos que utilicen estos programas?

A propósito de puertos, cuáles son los puertos utilizados por los mensajeros? o por los programas P2P?

Hasta Pronto!

<div align="center"><img src="http://www.negociosenguatemala.com/biz/z/jd/fdwsign.jpg" alt="oSo" border="0"></div>

bueno me llego algo relacionado con tu mensaje y aqui va...

<BLOCKQUOTE><font size=1 face=arial>Citando:<hr height=1 noshade>
UNAM-CERT

Departamento de Seguridad en Cmputo

DGSCA- UNAM

Boletn de Seguridad UNAM-CERT 2002-001

Buffer Overflow en el ICQ de AOL

------------------------------------------------------------------

El CERT/UNAM-CERT , a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual informan de la existencia de un buffer overflow remotamente
explotable en el ICQ. Los intrusos que sean capaces de explotar
esta vulnerabilidad pueden ejecutar código arbitrario con los
privilegios del usuario víctima. Detalles más completos son
discutidos en la vulnerabilidad del CERT VU#570167. Se conoce de
la existencia del exploit, pero se cree que no ha sido divulgado
ampliamente. No se ha observado actividad de escaneo para esta
vulnerabilidad, y tampoco se han recibo reportes del exploit de la
misma.

Fecha de
Liberación: 24 de Enero de 2002
Ultima Revisión: ---
CERT/CC y diversos reportes
Fuente: de Equipos de Respuesta a
Incidentes.

SISTEMAS AFECTADOS
------------------

* AOL Mirabilis ICQ Versiones 2001 y anteriores.
* Plugin Voice Video &amp; Games instalado con el ICQ de AOL
Mirabilis anterior a la versión 2001 Beta v5.18 Build #3659.


DESCRIPCIÓN
-----------

ICQ es un programa para comunicación con otros usuarios sobre el
Internet. ICQ es ampliamente utilizado (arriba de 122 millones de
personas de acuerdo al ICQ Inc., de AOL Time Warner). Un buffer
overflow existe en el cliente ICQ para Windows. El buffer overflow
ocurre durante el procesamiento del requerimiento de un mensaje
con la característica de Voice Video &amp; Games. Este mensaje es un
supuesto requerimiento a otro usuario de ICQ invitándolo a
participar interactivamente con una tercera aplicación. En
versiones anteriores a la 2001B, el buffer overflow ocurre en el
código dentro del cliente ICQ. [/QUOTE]

<embed src="http://www.autocar.com.mx/images/logo.swf" type="application/x-shockwave-flash" width="468" height="60" play="true" wmode="transparent" menu="false" loop="true">

<BLOCKQUOTE><font size=1 face=arial>Citando:<hr height=1 noshade>

En la versión 2001B el código que
contiene el buffer overflow fue movido a un plug-in externo.

Por lo tanto, todas las versiones anteriores a las últimas
construidas de la versión 2001B son vulnerables. En la conexión a
un servidor de ICQ de AOL, las sesiones vulnerables del cliente
2001B serán instruidas por el servidor para deshabilitar el
plug-in. Debido a que las versiones del cliente ICQ anteriores a
la 2001B no tienen un plug-in externo para ser deshabilitado, son
vulnerables aún después de haberse conectado al servidor. AOL Time
Warner recomienda a todos los usuarios que tienen versiones
vulnerables de ICQ que las actualicen a la versión 2001B Beta
v5.18 Build #3659.

Durante la operación normal, los clientes ICQ pueden intercambiar
mensajes con otros a través de los servidores ICQ ó por medio de
una conexión directa. El buffer overflow específicamente ocurre
durante el procesamiento del requerimiento de Voice Video &amp; Games
por medio de un registro TLV (Type, Length, Value) con tipo 0x2711
del servidor ICQ, ó por medio de un requerimiento de conexión
elaborado maliciosamente.

Algunas versiones del cliente ICQ abren el puerto 4000/UDP para la
comunicación cliente-servidor. Otras versiones abren el puerto
5190/TCP para realizar la comunicación. Como en la Vulnerabilidad
del AIM reportada anteriormente, AOL ha modificado la
infraestructura del servidor ICQ para filtrar mensajes maliciosos
que intenten explotar esta vulnerabilidad, previniendo de esta
manera el exploit a través del servidor ICQ de AOL. Se puede
lograr el exploit de esta vulnerabilidad a través de otros medios
(ataques man-in-the-middle, servidores terceros de ICQ, DNS
spoofing, sniffers de red, etc.). También, debibo a que los
paquetes UDP pueden ser emitidos en la red, un paquete TLV
malicioso con una dirección IP de una fuente falsa puede ser
aceptado como un mensaje de un servidor legítimo.


[/QUOTE]

<embed src="http://www.autocar.com.mx/images/logo.swf" type="application/x-shockwave-flash" width="468" height="60" play="true" wmode="transparent" menu="false" loop="true">

<BLOCKQUOTE><font size=1 face=arial>Citando:<hr height=1 noshade>

El cliente ICQ también escucha en una variedad de puertos TCP
asignados para un requerimiento de conexión directa. Una persona
que desea establecer una conexión directa puede preguntar al
servidor ICQ la dirección IP y escuchar el puerto de la víctima.
Las versiones 2000A y anteriores aceptan conexiones directas por
default de cualquier usuario. Las versiones posteriores de ICQ
pueden ser configuradas para aceptar conexiones directas de
cualquiera. Debido a que los requerimientos ICQ pueden ser
enviados directamente de un cliente a otro, el requerimiento de
bloqueo a través del servidor central no es una solución
completamente efectiva. La solución efectiva es aplicar un parche,
cuando este disponible, que solucione el buffer overflow, ó
actualizar a la versión 2001B Beta v5.18 Build #3659 con la
característica de Voice Video &amp; Games deshabilitada.

A esta vulnerabilidad se le ha asignado el identificador
CAN-2002-0028 por el grupo CVE (Common Vulnerabilities and
Exposures):

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0028

IMPACTO
-------

Un intruso remoto puede ejecutar código arbitrario con privilegios
del usuario víctima.


SOLUCIÓN
--------

Todos los usuarios deberían actualizar su software a la versión
2001B Beta v5.18 Build #3659. Actualmente no existe ningún parche
disponible para el plug-in de ICQ de la versión 2001B ó versiones
del cliente ICQ anteriores a la versión 2001B. El instalador de la
versión 2001B Beta v5.18 Build #3659 eliminará el plug-in
vulnerable. En resumen, todos los usuarios que inicien sesión en
el servidor con versiones de 2001B anteriores a la 2001B Beta
v5.18 Build #3659, su acceso al plug-in vulnerable será
deshabilitado. Los usuarios con versiones anteriores a la 2001B
deberían actualizarlas para eliminar esta vulnerabilidad.

Bloquear los Requerimientos ICQ/SMS en el Firewall

[/QUOTE]

<embed src="http://www.autocar.com.mx/images/logo.swf" type="application/x-shockwave-flash" width="468" height="60" play="true" wmode="transparent" menu="false" loop="true">

<BLOCKQUOTE><font size=1 face=arial>Citando:<hr height=1 noshade>

Bloqueando las conexiones a login.icq.com y el acceso al puerto
4000/UDP, 5190/TCP y el puerto TCP que el cliente escoge para
escuchar, se puede prevenir el exploit de esta vulnerabilidad. Es
importante señalar que el cliente puede establecer un nuevo puerto
para escuchar cada vez que se ejecute el ICQ. Se debe hacer notar
que esto no protege de ataques dentro del perímetro del firewall.

Bloquear Mensajes de Usuarios no Confiables

El ICQ permite denegar conexiones directas de cualquier usuario
sin autorización ó aceptar solamente conexiones de usuarios
conocidos. Se recomienda denegar conexiones de cualquier usuario
que no tenga autorización. Aceptando conexiones directas de
usuarios conocidos, se puede seguir siendo vulnerable a ataques
que se originan de usuarios conocidos, si el usuario conocido ha
sido comprometido.


[/QUOTE]

<embed src="http://www.autocar.com.mx/images/logo.swf" type="application/x-shockwave-flash" width="468" height="60" play="true" wmode="transparent" menu="false" loop="true">