lunes, 18 de octubre de 2004

Google Desktop, un cuchillo de doble filo.

Cuando no hace ni una semana del anuncio oficial en versión beta de Google Desktop, el mundillo de la seguridad ya empieza a comentar los nuevos "riesgos" que una herramienta tan potente como ésta introduce sobre la "seguridad de la información".

Yo ya estoy disfrutando de las ventajas de un sistema de busqueda local tan rápido, pero a la vez, ando preocupado por las nuevas posibilidades que esta herramienta puede proporcionar a un usuario malintencionado.

Básicamente la nueva amenaza es el acceso y localización de información confidencial de forma trivial por un usuario no autorizado. De las pocas pruebas que he podido realizar, he identificado dos posibles vulnerabilidades:

1.- Acceso a buzones de correo sin autenticación. Yo utilizo un acceso a mi carpeta de correo personal autenticado, pero Google Desktop es capaz de acceder a los correos almacenados en mi buzon sin autenticación previa.

2.- Hemos hecho una pequeña prueba utilizando redirección de puertos, para ver si el acceso a la pagina de busqueda local de un PC podría hacerse desde el exterior. Hemos hecho una traslación de puertos del 4664 al 80 y hemos copiado el identificador de usuario de la página de inicio de Google Desktop y nos ha permitido acceder via Web al buscador local de un PC. De esta forma hemos podido también comprobar que en la página de inicio del buscador, aparece en la url un identificador que es único por usuario. Si esta información pudiera capturarse y pudieramos crear un pequeño programa que hiciera la redirección de puertos, la información local de un PC estaría alcanzable desde cualquier punto de Internet.

Esto es una ventaja (porque permite la consulta de información almacenada en local desde cualquier cliente) y una desventaja (si este acceso no está controlado y autenticado). En fin, estamos ante un nuevo destornillador(Google Desktop) que puede ser utilizado como cuchillo.

La noticia que comenta inquietudes parecidas puede consultarse en: MercuryNews.com | 10/16/2004 | Google's Desktop Search is valuable, yet creepy
 
;