20 sep. 2013

GMail espía demasiado, hasta ZIP con contraseña

GMail block attachments with password "infected".

Hoy GMail acabó con mi paciencia. En una tarea diaria que hacemos por gusto y ganas de colaborar con la comunidad, GMail me sorprendió al no permitirme enviar una muestra de malware nuevo a una lista de fabricantes antivirus para que lo revisen e incluyan en sus firmas de detección.

Es un estándar de esta industria que si uno envía muestras de malware por correo, lo haga en un archivo ZIP y con contraseña "infected". Todos los fabricantes exigen eso, nada más.

Desde hace bastante tiempo GMail no permite que uno envíe archivo ejecutable adjuntos. Una buena medida para evitar que el correo GMail sea usado como medio de propagación de programas maliciosos.

La revisión de ejecutables de GMail alcanza incluso a los archivos ZIP que contienen una estructura de directorio interna plana, con lo cual si hay algún EXE o similar, lo bloquea solo por tener esa extensión.

Por eso uno al enviar muestras, renombra el malware para que no tenga extensiones que GMail bloquea y lo ponen en un ZIP con la única contraseña que aceptan los fabricantes de AV todo el mundo: "infected"

El caso es que hoy (19/09/2013) GMail empezó a analizar el contenido del archivo ZIP incluso cifrado con contraseña "infected". Y como ellos de alguna manera ya detectan el malware que intentaba enviar, bloquearon el envío de la muestra de malware adjunta al correo.

Mi sorpresa fue grande. Y me decidí a investigar que pasa.

Preparé con la misma muestra de malware dos ZIP con contraseña, una la usual y otro con una distinta. El resultado es el que se ve. GMail inspecciona el ZIP con contraseña "infected" y posteriormente lo bloquea en el envío.
Uno de los adjuntos cifrados fue detectado por Gmail

Al enviar se advierte del bloqueo

El correo enviado solo lleva el adjunto no detectado

Notificamos a GMail de este tema. Cualquier novedad actualizaremos esta nota.

Raúl de la redacción de Segu-Info

17 comentarios:

  1. Bueno, no se si no es del todo incorrecto que lo haga. Entiendo la frustración, pero fijate que si lo detectó, es porque ya existe en alguna base de virus y/o troyanos...
    Tal vez deberia agregarse (idea loca que se me cruza ahora) que el envío con archivos sospechosos sea libre a alguna dirección que las empresas de antivirus especifiquen, asi todo lo que envies a [email protected] podria llegar sin problemas.

    ResponderEliminar
  2. Hola Mr Floyd,

    Efectivamente eso ya existe y es cuando hacemos dichos envios, que GMail lo detecta.

    Los emails de las empresas AV los podes ver aqui:
    http://www.segu-info.com.ar/av/?id=av

    Cristian

    ResponderEliminar
  3. No será que bloquea Todo correo que tenga un zip con contraseña?? Haz la prueba adjuntando dentro del zip un doc o un txt! Saludos

    Cesar

    ResponderEliminar
  4. Bueno, en eestos momentos no logro acordarme bien de que hace ZIP con los cifrados. Pero debe ser como dice Mr Floyd, si otros ya mandaron una muestra de malware con el mismo password es natural asumir que los bytes cifrados ya estén anotados en la lista de "malos archivos" de las firmas que utilice Gmail o que utilicen un sistema de diccionario para intentar ver el interior del correo (lo cual ya es una historia bastante mala)

    ResponderEliminar
  5. Perfecto hasta el punto de usar GMail como envío de archivos. Pero de allí a que quieras colaborar con el envío de virus vía email, como que hasta yo te denunciaría.
    Debemos entender primero que ZIP es un formato de compresión ya muy común, el cual envía las contraseñas y toda la información por alguna vía. Deberías tratar con 7-ZIP, ¿no crees?

    ResponderEliminar
  6. A menos que google sepa de este virus porque lo hubieran creado ellos mismos....

    ResponderEliminar
  7. Y si envias un correo cifrado con PGP recibirás Spam en PGP, comprobado en mis propias carnes

    ResponderEliminar
  8. Y si envias un correo cifrado con PGP recibirás Spam en PGP, comprobado en mis propias carnes

    ResponderEliminar
  9. Raul Fuentes, no tiene nada que ver con la muestra de malware en sí misma sino que GMail descomprime los archivos con una clave que todos conocemos, es pública y es utilizada para enviar muestras de malware a las empresas AV ("infected").

    Cristian

    ResponderEliminar
  10. Bryan Horna Vásquez, no tienes idea de lo que hablas. El envio de muestras de malware a las empresas AV es un procedimiento normal que realizamos todos los que trabajamos en seguridad para COLABORAR con la detección de mayor número de muestras en todo el mundo.

    Los emails de las empresas AV para recibir estas muestras son públicos (al igual que la clave "infected") y los puedes ver aqui:
    http://www.segu-info.com.ar/av/?id=av

    Cristian

    ResponderEliminar
  11. RUDY, como dije en otro comentario, no tiene nada que ver con la muestra de malware en sí misma sino que GMail descomprime los archivos con una clave que todos conocemos, es pública y es utilizada para enviar muestras de malware a las empresas AV ("infected").
    Decir que GMail u otra empresa AV crea malware es ridículo.

    Cristian

    ResponderEliminar
  12. lo mas seguro es que sus bases de datos de virus sea virus total.. al fin y al cabo por algo lo adquirieron

    ResponderEliminar
  13. Hola Cesar,

    Por lo que dices no hiciste la prueba que sugieres o leíste la nota completa.

    Raúl

    ResponderEliminar
  14. Bryan,
    Respecto de lo que mencionas sobre ZIP y las contraseñas, 7zip: no es ese el punto de la nota.
    Además te recomiendo para que entiendas sobre como viajan las contraseñas en el cifrado simétrico, leer esto, apenas los dos primeros páarrafos alcanzan para sacarte de error: http://es.wikipedia.org/wiki/Criptograf%C3%ADa_sim%C3%A9trica

    Raúl

    ResponderEliminar
  15. Yo aun sigo buscando un webmail gratuito que me permita cierta libertad, probé con Yandex.com pero no me termina de convencer. OpenBoxMail.org algunas veces no funciona y no me parece confiable.
    ¿Alguno tiene una opción para recomendar ademas del propio hosting?
    Saludos.

    ResponderEliminar
  16. Probaste hushmail?

    ResponderEliminar
  17. Hushmail? no lo probé. De todos modos el punto de la nota es en la "particularidad" del comportamiento descripto de Gmail sobre adjuntos cifrados con un estándar de la industria de AV para enviar muestras.

    Saludos

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!