Cada dia usamos de manera mas intensiva los medios de comunicacion que nos provee internet, en especial el Correo Electronico.

Sin embargo conforme el software se vuelve mas complejo, nos volvemos mas vulnerables a que nuestras comunicaciones sean interceptadas.

En otros boletines he hablado de los problemas de Outlook, pero se ha descubierto un nuevo problema que afecta a Outlook y Netscape Mail.

El problema fue detectado hace dos años y el ingeniero que lo descubrio a intentado que Microsoft y Netsccape hagan algo al respecto, (cambiando la configuracion por default), pero Microsoft insiste en que no es un problema de seguridad, sino de "conveniencia del consumidor".

Por ello dedicare este Boletin a este problema.

• .i. Problemas de seguridad en el Email

---

 
  sistemas afectados: Outlook Express 2000,
                    Outlook Express5,
                    Netscape Messenger 6
                    Programas que soportan correo HTML.
    

A fin de hacer mas atractivo el correo electronico, los principales programas de correos, como Netscape Mail, y explorer, pueden enviar correo HTML.

A diferencia de correos de texto simple comum este, el correo HTML permite enviar correos con colores, textos, graficos, por lo que es cada dia mas popular sobre todo por que por default Outlook y Netscape mail envian correo HTML por default.

Pero tambien es posible incluir programas de VBscript y Javascript, ya explique como desactivar VBscript, pero tambien Javascript tiene problemas.

Carl Voth, ingeniero en sistemas descubrio en 1998, que es posible incluir un codigo de Javascript de 20 lineas en los correos, que causa que cada ves que se envie una copia de ese correo, este envie en secreto una copia a otra persona.

Tan sencillo como esto suena, cualquier craker puede utilizar este codigo de muchas maneras.

Se pueden enviar correos, con advertencias sobre supuestos virus, y al reenviarlos se estara enviando informacion al creador del mensaje.

Se puede usar para monitorear informacion confidencial, o para recolectar direcciones de correo para Spam, es posible enviar un correo a una compañia y conforme se distribuye a traves de la red de la compañia, se puede recolectar informacion interna.

Legalmente es ilegal usar este codigo pues es equivalente a intervenir una conversacion telefonica, sin embargo se ignora si alguien esta usando esta tecnica, pues es dificil de rastrear.

Para que esto funcione tanto el que envia el correo como el que recibe, deben tener activadas las funciones de correo HTML y Javascript (la configuracion default).

El problema no afecta a usuarios de Eudora, AOL ni de los sistemas de correo Web como Hotmail.

El problema fue descubierto hace dos años, y desde entonces Carl Voth a estado intentado que Netscape y Microsoft reaccionen, Netscape finalmente anuncio que recomendaria a sus usarios cambiar los valores por default, pero que no modificarai la instalacion de sus programas, Microsoft insiste en que no es un programa de seguridad, sino que la activacion de HTML y Javascript es un asunto de conveniencia del usuario y que no piensa hacer nada al respecto.

Ante la falta de reaccion Carl Voth a publicado el codigo en Internet.

reaper-exploit-release

Lo que si bien a causdado reacciones de preocupacion entre las asociaciones de defensa de la privacidad, aparentemente es la unica reaccion que ha provocado.

"The Privacy foundation" publico recientemente un reporte que se espera que genere cierta reaccion entre las compañias de seguridad, entre tanto si utiliza el correo para enviar informacion confidencial le recomiendo seguir las siguientes instrucciones.

Para evitar este problema, hay que desactivar los valores por default de su programa de correos para evitar que envie correo HTML y desactivar Javascript. Desgraciadamente en Outlook el procedimento es un tanto complicado.

1. En el menu de herramientas de Outlook Express seleccione opciones.

2. Seleccione la seccion de seguridad en la caja de dialogo.

3. En la seccion de zonas de seguridad, seleccione "zona de sitios restringidos"

4. Acepte la configuracion oprimiendo el boton de acpetar.

5. En el menu de inicio de window, seleccione configuracion/panel de control.

6. Pique en el iciono de opciones de internet.

7. Pique en la seccion de seguridad en la caja de dialgo de propiedades de internet.

8. Pique en la caja de "seguridad" y selecciones "sitios restringidos"

9. Asegurese que el nivel de seguridad en la barra esta en la posicion de "alto"

10. Pique en "configurar nivel"

11. Entre todas las opciones busque hasta que encuentre "Active scripting"

12. seleccione desactivar.

13. oprima aceptar en la caja de "configuracion de seguridad"

14. Oprima aceptar en "Propiedades de internet"

15. Cierre la venana del panel de control

1. Seleccion preferencias en la seccion de "menu de edicion"

2. Busque en la opcion de avanzado en la opcion de "categoria" en al caja de dialogo de preferencias.

3. Revise que la opcion de "Activar Javascript para correo y noticias" no este activada.

4. Oprima aceptar en la caja de dialogo.

5 Oprima aceptar en la caja de Preferencias.

Privacy foundation