16/6/12

Cansado de cambiar mi password ¿Y tu?

Me apresuro a pensar que muchos están en la misma situación. Cada vez que se filtran los passwords, ya sea en claro, o tan sólo los hash (las contraseñas, pero cifradas). Nos ponemos como locos a cambiar nuestra contraseña. ¿Pero hasta cuando? ¡Basta ya!

Ayer, estaba pensando en renovar mi teléfono móvil, algún modelo relativamente “barato”, con más potencia que el que estoy utilizando actualmente. Así que terminé en la conocida tienda “The phone house”. Al ser una “gran compañía”, eso me aporta un valor en seguridad.

Como tengo menos cabeza que un pez muerto, tras probar 25 contraseñas, dije la cambio y ya está, una nueva contraseña. Total, en ocasiones sé que me creo una contraseña al azar para los sitios, y obviamente luego no la recuerdo. Las utilizo para sitios que realmente “no voy a volver”. Son por así decirlo, de usar y tirar.

Los pasos para “cambiar” la contraseña, son relativamente simples. Te piden la dirección de correo que has utilizado, y te llega a esa misma dirección tu contraseña, en texto plano. ¡Estupendo!


Se puede apreciar, que el proceso es fácil, sencillo, y mal configurado. Ya que por norma, tienen que tener la contraseña cifrada. Esto, es lo mínimo que les obliga la ley -si no estoy mal informado-. Supongo que aplicando un XOR 23, a cada carácter, ya cumplirían y ciertamente, para mi sería una mierda. pero… No hacen ni eso. Creo que alguien debería estipular que se utilicen en todas las bases de datos un salt, que sea relativamente diferente y complejo. Y ya que pido, evitar el uso de MD5. Ya deberíamos estar todos migrados a SHA1.

Como de teoría legal, no tengo mucha idea, un post de un compañero de seguridad dicta lo siguiente:

[RDLOPD] Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Texto superior copiado de: SecurityAtWork

Con este texto en la mano, sólo puedo aportar que las cosas no se están haciendo bien. No están pensando en mi seguridad. No quiero pensar de que forma pueden estar guardados mis documentos bancarios, si tratan así información tan sensible y personal como lo es mi contraseña.

PD: Por si alguien quiere quedar como el chico bueno de la película, no he reportado nada de esto. Como alguno no estará de acuerdo. Tengo una política un poco personal. Como eso de estar siempre trabajando gratis para otros. Si se les regala la información, no contratan a un compañero que realice una auditoria de verdad y/o encima estoy bajando el precio –ya que lo doy gratis, y “sin valor”-

7/6/12

Mi seguridad ¿En manos de quién?


Al igual que ocurría con la canción de Carlos Baute, creo que la seguridad está colgando en tus manos. Otra vez, han sido publicadas una serie de contraseñas. Esta vez, el afectado ha sido “Linkedin”.


Seguramente alguno más es un paranoico de la seguridad, en caso contrario, no estaríamos todo el día refrescando Google reader. ;) El problema llega cuando el nudo de seguridad –la línea de vida en escalada- no depende de ti, y tienes que confiar en un tercero. ¿Tus datos están seguros? ¿ Confías plenamente en ese tercero?

Da exactamente igual el tipo de contraseña que estés utilizando, ya puede ser la más compleja del mundo. Olvídate de reutilizarla en ningún otro servicio. Muchos de los que utilizas de forma habitual, guardan aún las contraseñas utilizando métodos inseguros, o ineficientes. Por lo que incluso una contraseña compleja, puede ser una potencial victima. -¡¡Desaconsejo totalmente el uso de contraseñas débiles, con la excusa!!-

Lleva más de un año funcionando aplicaciones como PastebinLeaks, encargadas de buscar, al igual que la araña de Google, cualquier tipo de filtración que pueda producirse en esta red. En ocasiones podremos encontrar datos recopilados de “Bots, virus, keyloggers”, pero también de muchas páginas web. También han publicado la herramienta: Pastemon. Con el mismo propósito que la anterior.

En los últimos meses por citar algunos ejemplos hemos visto leaks de:

-Twitter 55.000 cuentas -según he leído, no fue su culpa-
-Linkedin 6.5 Millones
-Rootkit.com 81.430 cuentas
-Sony 37.572 cuentas

¿Y tu como defiendes tus contraseñas?

Nota: No quiero ahora generar un campo de desconfianza, e inseguridad, cientos de páginas web, tratan con la mayor seguridad tus datos, ya sean contraseñas o datos personales. Pero lo malo, siempre nos llama más la atención.

1/6/12

Escribir por amor al arte

Los que me conocen, y saben que tengo un blog. Saben que esto lo llevo por amor propio, ego, seguramente alguna carencia de afecto, pero realmente el punto máximo, era poder salir en la Wikipedia. Pero no sólo eso. ¡Quería ser reconocido como investigador de seguridad informática!  Supongo que ahora podré dejar de escribir en el blog, y creo que me pondré al noble arte de cultivar bonsais.

Fuera de bromas, como todo el mundo que escribe en blogs, esto lo hago por la fama, el dinero, las mujeres, e indiscutiblemente la cantidad ingente de cervezas que permite consumir cuando quedas con alguien del gremio. En última instancia ya está eso, de aprovechar la ventana de: "Mira que bueno soy, y deberías contratarme", el problema es hacer demasiado hincapié en el tema de las cervezas... Tras 2 entrevistas infructuosas -eso de decirle al entrevistador: ¿Por que no hacemos la entrevista en el bar? Yo es que sin alcohol, no soy tan sincero...-

En resumen, que para ello quería una entrada cortita, es que algún alma caritativa, ha considerado que debe existir una referencia hacía mi en la Wikipedia en ingles. ¡Y puedo prometer que no he sido yo! ¡Enserio! -Vale, tuve que pagar a 5 personas para que lo hiciese, pero... yo no fui-  Y como es obvio tras ver la entrada, me he puesto muy contento. A pesar de ser sólo una reseña.

Así que muchas gracias a los que entran a investigar como pueden cotillear el móvil de su novia -sí, muchos hacéis esa búsqueda en google, que os tengo controlados!-, a los que entran de forma voluntaria al blog, y a los que de verdad saben de informática, entran al blog, -y salen decepcionados al ver OTRA entrada que no trata de seguridad informática-, y muchos besos y abrazos al que me ha metido 18 palabras en la Wiki

NOTA: Presumo mucho con la tontería del alcohol, pero... soy abstemio, así que si pensabas tratar de invitarme a algo, tendrá que ser coca-cola... ¡Es que no me gusta el sabor del alcohol, soy un friki de libro!