18 de junio de 2009

El cartero siempre llama dos veces (o más)


Hay muchas curiosidades en el mundo del correo electrónico, hay vida más allá de los protocolos POP3, SMTP y de Outlook, Lotus Notes y cia. Últimamente parece que están surgiendo con fuerza de nuevo, podíamos leer hace unos días que la primera aparición de la “@” data de 1536, y surgía en un tratado comercial enviado desde Sevilla a Italia. El premio Príncipe de Asturias va a ser entregado al inventor del correo electrónico, Raymond S.Tomlynson, quien creó el primer e-mail de la historia: “QWERTYUIOP” ¿os suena? Posteriormente se definieron las RFC 5322 y 5321 para el protocolo SMTP y el e-mail estándar surgiendo más curiosidades como que no podemos mandar un correo a un usuario cuyo nombre supere los 64 caracteres o a un dominio de más de 255 caracteres.

Parece que algo tan sencillo como el correo electrónico no puede tener mucho más que sacar, pero nos equivocamos. Es posible hacer muchas travesuras con la forma de expresar una dirección de correo, es incluso posible enviar un correo a todoesseguro@192.168.0.1 si es que esa fuera la IP de mi servidor de correo, también se pueden utilizar las comillas para definir el nombre o código de usuario dentro de una organización. Por ejemplo si hubiéramos capturado el código de usuario de un miembro de la organización gigasoft y fuese por ejemplo G1234, podríamos mandar un correo a “G1234”@gigasoft.com con muchas garantías de su correcta entrega (seguro que se os ha puesto cara de Daniel el travieso con esto último) pero no es todo.

Se pueden crear “filtros” de nombre de usuario, hay toda una RFC 5228 dedicada a este tema, donde como curiosidad diré que hace referencia a otra RFC 2119 para interpretar correctamente el significado de MUST, SHALL, MAY, etc. Algo que recuerda a las clases de inglés del instituto :D. Estos filtros se aplican en la parte local, exactamente aquí:

:user "+" :detail "@" :domain

\-----------------/

:local-part

Y lo que es más curioso, muchos webmails permiten utilizarlos, así por ejemplo gmail tiene su “+” mientras que Yahoo se vale del guioncito “-“. Esto es muy útil ya que añadimos una etiqueta a nuestra dirección de correo, supongamos que nos damos de alta en una página de prestigio internacional, llamémosla todoesseguro.com, y que nuestro correo electrónico es giga@gmail.com, podrían tramitar el alta indicando giga+todoesseguro@gmail.com. Así si recibo un correo de todoesseguro.com hacia giga@gmail.com puedo tener la certeza de que estoy recibiendo SPAM y el remitente no es de confianza, por lo que tendré que investigar un poquito :)

Por que de entre las cosas fáciles que hay en el mundo de la Seguridad Informática si lo más sencillo es hacer un escáner de puertos, lo siguiente es hacer e-mail spoofing. Hace unos días mi colega Rosillo, viejo inspirador de entradas como el Rosillo Project fue victima de correos a sí mismo valiéndose de alguna de las técnicas que El Maligno publicaba en su serie “Enviar a un amigo”. Esto que bien puede pasar por una inocente broma puede generar ataques por Ingeniería Social si no nos andamos por cuidado, sobretodo en las fechas que nos encontramos y activando las temibles “autorespuestas”.

¿Temibles?, me explico, dentro de unos días cuando media España se vaya de vacaciones y la otra se quede aquí conmigo en Madrid (no es broma, yo también me iré ;-) ) muchos de nosotros configuraremos algo como esto:

Eso está muy bien, hay que dejar los cabos atados antes de irnos pero, ¿a qué precio?, ¿Quién no está subscrito a una lista de correo?, ¿sabemos lo que ocurrirá cuando nos llegue un correo de un foro?, si, efectivamente todo el mundo sabrá que te has ido y además a quien tiene que recurrir en tu ausencia. Además es probable que “repartas” información como tu usuario, servidor de correo, actividad que realizas, etc. Tal como le ha pasado a toda esta gente.

¿Consejos? Tener mucho cuidado con qué se pone en los mensajes de autorespuesta, no habilitarlo si no es necesario y si trabajamos en una gran compañía como cliente quizás puede ser una medida de seguridad interesante notificar a los responsables de Correo Electrónico que los mensajes de “autorespuesta” no salgan hacia Internet (al menos fuera del Departamento Comercial).

Parece mentira que algo tan sencillo de tanto juego, y eso que no hemos hablado del Correo Electrónico Seguro, supongo que por eso tiene su premio :)

Salu2!

4 comentarios:

eduardo dijo...

Pues sí, el correo electrónico es uno de los problemas más gordos que hay en muchos sitios. Puede meterse la pata en muy distintas formas:

- correos internos que van por internet
- mala topología de los servidores de correo
- grupos tipo "empleados" o similares que permiten freir a spam a la empresa
- el típico mail-bounce que te da la IP interna del servidor de correo ...

Y podríamos seguir un buen rato.

Aparte, están muy expuestos y muy poco parcheados, como todo lo que es crítico.

Me ha gustado mucho lo del mensaje "ausente de la oficina" jeje No había caído en eso, pero es verdad!!

Corregir este agujero requeriría crear un agente en el servidor que distinga el dominio de salida y se cargue los que van fuera de la empresa, no????

Un saludo,
Eduardo.

GigA ~~ dijo...

Efectivamente Eduardo, bastaría comprobar el campo "dominio" en el correo con la lista de dominios permitidos (que pueden ser por ejemplo, aquellos contratados por tu empresa) y en caso que no coincida que cancele el envío, pero solo cuando sea un correo tipificado como autorespuesta, sino hacemos DOS :D

Un script sencillo resolvería el problema.

Buen finde!

GigA ~~ dijo...

Que curioso, me acaba de llegar un correo de "CISSP Forums" de una persona que se ha ido de vacaciones y ha dejado el "autorespuesta", si, trabaja en Seguridad :)

Casa del herrero...

GigA ~~ dijo...

Me encontraba configurando el "autorespuesta" (me voy de vacas) y he descubierto que el Lotus Notes tiene la opción de desactivarla para mensajes procedentes de Internet :)

Mucho más sencillo que hacer el script :D

Salu2!