ZoneAlarm, ¿tiene spyware?

[Yenki]

James Borck un colaborador de inforworld, en la primavera pasada descubrió que ZoneAlarm Security Suite en su versión 6,0 mandaba datos clandestinamente, y encriptados a 4 servidores, a pesar de haberse deshabilitado las opciones de comunicación del paquete.
Traduzco:
Zone Labs negó la falla por cerca de dos meses, entonces eventualmente lo achacó a un error (bug) en el software - aunque las instrucciones para contactar a los servidores estaban fijadas en el código XML del programa. Un vocero de la compañía dijo que la correción del error saldrá pronto, que los usuarios preocupados pueden evitar el error modificando la configuración del archivo Host.

Pueden ver el anuncio de este tema en la nota de Robert X. Cringely en inforworld.com.

El error parece afectar a la versión de pago del paquete de seguridad según dicen en The Inquirer, y no se sabe hasta donde llega en la versión gratuita.


Allí aconsejan modificar el archivo Host, agregando la línea
127.0.0.1 zonelabs.com

Fuente: theinquirer.net.



Como me interesaba esto me puse a averiguar, para eso la wikipedia me ayudó con esto

Cuando tecleamos un dominio, lo primero que hace el ordenador es comprobar si ya tenemos información del mismo en el archivo Hosts. En caso negativo, mira si se pidió hace poco y lo tiene en la caché, de no haberlo hecho lo solicita a su servidor DNS para que le diga la IP de ese dominio.

.

O sea que allí se asigna un numero IP a un dominio, y si no hay nada va a buscar dirección IP a un servidor DNS.

Terminé de entender al leer.

Los computadores tienen una direccion predeterminada para su propio uso, esta es conocida como la direccion "localhost", y su direccion IP es 127.0.0.1 la cual se usa para referenciarse asi mismo. Si asocias otros nombres de dominio con tu direccion IP local, habras bloqueado efectivamente ese dominio debido a que todos los intentos por cargar ese dominio se iran a la direccion 127.0.0.1. Asi es como se utiliza mayormente el archivo HOSTS.

tomado de wilkinsonpc.com.


O sea que si uno pone
127.0.0.1 zonelabs.com
nunca se va a conectar al sitio de zonealarm desde esa PC.


En mi Windows XP el archivo hosts está en
C:\WINDOWS\system32\drivers\etc
y no tiene
extensión , lo abrí con Wordpad.


Lo único que faltaba que nos espien desde los cortafuegos gratuitos, es como que te afane la policía...

[Trigodon]

Gracias por el dato Yen, voy a hacer eso.

Chao

[math]

tengan cuidado con eso che, a mi el zone me trillo la mini red de mi casa, no hubo forma de que se conectaran las maquinas, y andaba joya, realmente bloquea todo, hasta mi red....
l127.0.0.1 no viene agregada por defecto, o yo estoy borreacho??

[Yenki]

Sí, math 127.0.0.1 viene predeterminado como la dirección asignada a la PC propia, lo que uno hace al poner 127.0.0.1 zonelabs.com , es hacer que cuando algo se quiera conectar al sitio de zonealarm, el archivo host no lo deja ir pues le da la IP de la propia máquina.

[Yenki]

Respuesta de Zone Labs

Los responsables de ZoneAlarm mandaron un comunicado a theinquirer.net.
Expresan que las comunicaciones que hace el paquete de seguridad contra sus servidores es benigna.
Que el software es actualizado periódicamente cuando aparecen nuevas amenazas y que "la única manera de distribuir esas actualizaciones es mantener algún nivel de comunicación entre el el software en la PC del usuario y los servidores de Zone Labs".


Traduzco de la nota de Zonelabs:
"Para cualquier usuario que esté preocupado sobre esta comunicación entre la PC del usuario y los servidores de Zone Labs, es importante notar que Zone Labs no viola la privacidad de sus clientes. No almacenamos información personal. No Hacemos muchas otras cosas que compañías legítimas de software hacen para mejorar sus esfuerzos de mercadeo, como el uso de cookies persistentes. Este enfoque es intencional porque tomamos la privacidad extremadamente en serio".

Reconocen haber tenido contacto con James Borck sobre este tema y que solo pudieron ver de que se trataba cuando el les mandó información.
"En ese punto, fuimos capaces de identificar el error (bug) y le dimos al señor Borck una solución provisoria . Nunca negamos su punto de vista de que un problema existe, aunque nos tomó algo de tiempo replicarlo.
La comunicación actual en disputa es un pedido GET [1] encriptado que está chequeando para ver si el software de seguridad dle usuario está actualizado".

Fuente: theinquirer.net

[1] supongo que GET será un comando


Por un lado dicen que la comunicación encriptada con sus servidores existe y que sólo es para ver si el software requiere actualización.
Por otro lado reconocen que lo que Borck les informa es un error.
¿En qué quedamos, es una función imprescindible y necesaria o un fallo?

Reconocen no tomar información personal, pero si recolectan datos sobre el software instalado o los hábitos de navegación, eso no sería información de personal, pero sí una violación a la privacidad.

El hecho de que alguien los contacte sobre el comportamiento de su paquete de seguridad y no fuesen capaces de hallar el error hasta que Borck les dio sus datos, me resulta sospechoso.
El que les tomara tiempo replicar el error , también me da que pensar. ¿Un tipo externo lo logra y ellos que lo hicieron y tienen el código fuente no lo pueden ver?

Creo que la respuesta es poco clara y deja lugar a dudas, lo que es lamentable en una compañía que vive de la seguridad informática.

[Yenki]

Ahora en The Inquirer pusieron una mejor solución para que Zone Alarm no se comunique con 4 servidores de los desarrolladores a espaldas de los usuarios.

En el archivo Host hay que poner :

127.0.0.1 cm2.zonelabs.com
127.0.0.1 hs2.zonelabs.com
127.0.0.1 ls2.zonelabs.com
127.0.0.1 pa2.zonelabs.com

De esa forma sólo se bloquean las conexiones con esos servidores desconocidos.

Eso fue aportado por Jim Borck quien descubrió que el cortafuegos hacía esas conexiones.

La nota original por acá.

[Yenki]

Para no mezclar las cosas dividí el tema, los invito a discutir los problemeas particulares en Problemas con el cortafuegos.

De esa forma este queda sólo para ZoneAlarm y su escandalete.