miércoles, 1 de diciembre de 2004

Comentarios de Bruce Schneier sobre Google Desktop

Desde que Bruce Schneier tiene su propio blog parece que se anima a publicar con mas asiduidad y no tenemos que esperar de mes en mes a su Crypto-gram.
A lo que iba, el post de hoy de su blog habla de la seguridad de Google Desktop.
Aunque ya comenté algunos aspectos que me parecieron inquietantes en su momento como usuario de la versión demo en Google Desktop, arma de doble filo, recojo y traduzco las diferentes reflexiones que aporta ahora Bruce Schneier en un análisis más profundo y exacto. El resumen del contenido de su post lo escribo en itálica.

Al instalar la herramienta en nuestro PC, Google Dk crea unos
ficheros de indices que registran los ficheros de Word, hojas de calculo de Excel, presentaciones Powerpoint, correos electrónicos, paginas Web cacheadas y sesiones de chat de algunos programas de mensajería instantánea.
El objetivo de la herramienta es muy acertado dada la mediocridad del buscador de Windows. El principal problema de seguridad es que Google Desktop Search (GDS) encuentra documentos que seguramente preferirías no encontrar.

Por ejemplo, GDS busca en la cache del navegador, lo que permite ver las páginas por las que se ha navegado, el contenido de sesiones de banca online o webmails incluso si su acceso se encuentra limitado con contraseña.

GDS también encuentra ficheros cifrados en claro. Ello no rompe la robustez del sistema de cifrado ni la clave utilizada pero por un error de diseño, la cache de Windows almacena el texto en claro y GDS es capaz de encontrarlo. No es un problema del buscador sino un error de la herramienta de cifrado que bajo ningun concepto debería permitir que se cachearan contenidos cifrados.

Primero, los navegadores no deberían almacenar paginas SSL cifradas bajo ningún concepto o al menos, deberían preguntar al usuario.

Segundo, los programas de cifrado no deben almacenar en cache nada en claro una vez deja de ser utilizado el fichero descifrado.De esa forma GDS no los encontraría.

Tercero, GDS no distingue entre los diferentes usuarios que trabajan en un PC y por tanto, no respeta los permisos dado que el servicio requiere de permisos de administrador.

Mucha gente está reportando estos agujeros de seguridad a Google pero en el fondo hay que preguntarse si es responsabilidad suya o no la aparición de estas vulnerabilidades.

El problema es que estas cosas SI afectan a la seguridad del usuario, que en el fondo, es la principal cuestión.
 
;