DaboBlog

#Disclaimer; Esta entrada debe ser considerada como un post o reflexión seguramente paranoide y bajo ese aviso (cuidando la salud mental de quienes tenéis a bien seguirme;) debe ser leída.

#Actualización, me han llamado hoy 27 de Septiembre desde Google (Irlanda) para aclararme el caso, concretamente la persona que añadió nuestras cuentas (Cristian) dándome una explicación. Lo pongo en los comentarios del post.

El título quizás es algo “novelesco”, también buscando quitarle trascendencia a algo que puede ser (como seguramente es) fruto de la casualidad, o para dejar la pregunta final a vuestro criterio. Para responder a esa pregunta; ¿Casualidad, causalidad o inseguridad? os pondré en antecedentes.

Mi colega Salva, mejor “Xsas” para los habituales del blog, y yo (a quien le comenté que quizás escribiría algo sobre el tema entre risas y sensación de “uhmm” -;), nos cruzamos un par de correos hablando de cómo hacer un backup de la cuenta de un cliente con su correo y otros datos funcionando bajo Google Apps (servicio proporcionado por Google).

Aclaro que no hubo conversación previa vía Twitter del tema, sólo por correos electrónicos, en ambos casos cuentas de Gmail / Google Apps lo que viene a ser lo mismo. El detalle de que ni en público ni en privado, comentamos nada en Twitter, tiene su peso para la sensación de “conspi-paranoia” que sufrimos en ese momento ;D.

Bien, hasta ahí todo normal, nuestra “extrañeza” llego cuando pasada más o menos una hora del último envío de correo, nos llegó un aviso casi a la vez, de que la cuenta oficial de Google Apps España nos estaba siguiendo en Twitter…Si os fijáis en la lista de a quien siguen, tal y como se ve en la captura de pantalla, efectivamente están las dos seguidas, primero la mía y luego, la cuenta de Quadux que es de Salva.

Cuando recibimos el aviso de Twitter, casi a la vez, vía mail nos cruzamos un “hostia” ¡Qué casualidad ! y ciertamente aquí puede haber opiniones para todos los gustos, ahí quedan 3 de las muchas opciones posibles.

Como dato adicional, he de decir que hace cerca de un mes escribí en Twitter algo así como “no uses como cuenta de admin tu cuenta personal en Google Apps” (para que, en el caso de un acceso no autorizado, puedas recuperar tu cuenta “normal”, aconsejaba hacer otra con un nombre “enrevesado” y administrar Google Apps desde esa). Puse como “hashtag“ (#) GoogleApps.

¿Casualidad?

Una mera casualidad, el súper algoritmo “Panda” de Google o los responsables de la cuenta de Google Apps España van buscando temas sobre administración de sistemas, la gestión de cuentas de Google, “hastags” o menciones que contengan “GoogleApps”, etc y encuentran lo que escribí en Twitter sobre Google Apps, “ven” la relación entre la cuenta de Salva y la mía y nos siguen a ambos. Sería lo normal pero ¡ qué casualidad ! que sea después de los mails. Aunque de eso van las casualidades ¿no?

¿Causalidad?

Causa-efecto. En los dos mails que nos enviamos, Salva y yo estábamos usando cuentas de Gmail / Google Apps, como dentro de los mensajes se hacía mención a Google Apps, su súper algoritmo (modo <conspi-paranoide> ON ;) rastrea las palabras, el mensaje viaja por Matrix y llega a “su sitio” en Google, acto seguido, (en una hora) nos sigue su cuenta de Google Apps España en Twitter. Sería algo muy factible en lo técnico a la par que más que censurable en cuanto a la privacidad.

¿Inseguridad?

 Este último punto vendría a colación si la respuesta fuese “causalidad“. Muchas veces, comentamos la gran cantidad de datos que maneja Google sobre todos nosotros (y muchas otras empresas) así como de los usos que hacen de datos “cruzados” las compañías. Bien para ofrecernos algún servicio determinado, saber nuestras preferencias de navegación, lugares visitados, etc (aquí se podría hablar de las cookies). Aunque no es menos cierto, que el administrador de tu correo, también puede leerlo sin llamarse Google…

Os comento que esta entrada ha estado como “borrador” durante unos días, esperando a que pasase un poco el tiempo para intentar quitarle trascendencia, sólo con el título escrito y con todos los papeles de no pasar de “borrador”. Pero también que, aún con las risas que nos echamos Salva y yo respecto a lo sucedido, uno se queda con “la mosca detrás de la oreja” como se suele decir. Si me preguntáis sobre mi respuesta, diría que claramente se trata de una casualidad, pero en este negocio de “los unos y ceros“, hay artistas (del código-;) que pueden convertir las “casualidades” en inquietantes “realidades” (y viceversa).

Compartir

Tags: backup, Dabo, Gmail, Google, Google Apps, Seguridad Informatica, Sistemas, Twitter

Sobre estos temas suelo escribir más en Daboweb, pero también aquí en DaboBlog les presto atención, por mucho que a veces pueda sonar a algo un tanto recurrente. Podíamos llamar “huérfana“ a esa cuenta que abriste “ese día” para “aquel servicio” y salvo un para de veces, no lo volviste a usar. Es un error muy común en el que todos acabamos cayendo alguna vez, el problema es que te olvidas y un día ves tu correo y password publicados en algún lugar como “Pastebin Leaks”

Cierto es que quizás ahora tus passwords son más sólidos que en esa época, quizás tu correo también ha cambiado,  pero no está de más rebuscar y volver un poco atrás en el tiempo para cerrar registros en algún caso, cambiar esas viejas k0ntrA$3ñ@$ (un pequeño ejemplo) o replantearte si ese registro está realizado adecuadamente (de ahí lo de “mal creadas“). Vamos a desarrollar un poco el tema…

Hace unos días, en mi cuenta de Twitter dejé a modo de consejo un;

“No uses como cuenta administrativa de Google Apps tu cuenta habitual o pública“.

¿Los motivos? en el caso de que tu cuenta se vea comprometida siempre tendrás otro usuario como admin (créalo con un nombre totalmente imposible de relacionarlo contigo) para poder en un momento de urgencia, cambiar rápidamente el password, o recuperar la cuenta.

Otra de las ventajas de Google Apps, es que no se puede recuperar un password vía la opción de recuperación de Gmail, sólo el administrador puede, por lo que creo que queda claro el motivo de usar una cuenta sin privilegios y otra para administrar (tal y cómo haríamos en nuestros equipos).

Quizás a eso me refiero con lo de “replantearte si ese registro está realizado adecuadamente”. Pero vamos a ir algo más allá, muchos problemas de seguridad de usuarios con una actividad media/baja en Internet, pero que afectan más a gente con perfiles un tanto ¿públicos? o relevantes (tienes una comunidad a tu cargo, blog de peso, foro o empresa), se verían reducidos si al realizar los registros en el “servicio 2.0 de turno”, se utilizase una cuenta de correo electrónico que no pueda ser asociada a tu persona en el caso de que los datos de esa cuenta (de PayPal por citar un ejemplo) acaben siendo públicos.

¿Las razones para ello? obviamente si lo piensas desde un punto de vista lógico, no es lo mismo que acabe siendo expuesta pepit0p3rez44@yahoo.es y un password determinado (que sí, obviamente te puede generar un problema) a que se vea expuesto tu “nick” o “nombre de guerra” (incluso el real, como ejemplo Google +) en La Red, junto a un correo que te identifique y un password…

La cadena de problemas que pueden surgir a partir de cuestiones como esta, puede ser larga y complicada para quien lo padece. Hablando de particulares, la posible explotación de otros servicios web caso de que uséis el mismo password o e-mail (algo totalmente desaconsejable, pero aún a sabiendas de ello, por pereza le pasa a mucha gente). También lo que ahora se llama “pérdida de reputación online“, hablando de empresas pero también de usuarios con proyectos en los que participan terceros, etc.

Y aquí podríamos recordar también la necesidad de que los “correos de recuperación” no se elijan a la ligera, puedes llegar a sorprenderte si revisas como fue mi caso cuentas que tenían más de 5 años. Está claro que a nadie le agrada “parar” y dejar de hacer lo que te gusta para ponerte a revisar cuentas, servicios, passwords, correos, etc, pero una vez que lo vas haciendo, te vas dando cuenta que tu seguridad va en aumento. Eso sí, aquí nadie está libre de pasar un día por ello, la cuestión que si se da el caso, el impacto sea el mínimo posible (quien suscribe/escribe el primero -;).

Compartir

Tags: Gmail, Google, Hacking, Internet, Password, Seguridad Informatica

Añado # He publicado en DebianHackers una entrada sobre la decisión de Debian de sacar a Chromium de Testing y Stable.

Imagino que para un usuario “normal”, el cambio de navegador es algo sin gran importancia y que el mayor engorro que puede conllevar, es exportar-importar marcadores, instalar alguna extensión y poco más.

Seguramente mi caso es muy parecido al de muchos de quienes os soléis pasar por aquí. Se crea una relación muy directa con el navegador, todos tenemos nuestras manías o costumbres adquiridas tras años de navegación por lo que, cualquier cambio o “ausencia de”, se convierte en un “problema” o más bien en algo muy incómodo.

Mi historia con Chromium como digo en el título es de un mes a estas fechas (no confundir con Google Chrome, aunque el paralelismo es obvio). Viene dada por la necesidad de fluidez y velocidad en el Asus que adquirí hace un par de meses, en él instalé Debian, no Sid como en el MacBook, sino Squeeze (testing) y en ambos casos bajo KDE, aunque también tengo instalado GNOME y XFCE.

Tantos años con Firefox (Iceweasel en Debian) y sus extensiones, configuración, temas, etc, hacen que a veces ni te plantees un cambio. El mío no se hizo efectivo hasta que me puse en serio a llevarlo a cabo.

Importé marcadores, me puse manos a la obra a buscar extensiones similares (o iguales) a las que uso en Iceweasel, cambiar tipos de letra, preferencias y me “obligué” a usar Chromium. Los primeros días os aseguro que estaba muy perdido, el concepto de las pestañas superiores es algo a lo que cuesta acostumbrarse, también a usar la barra de direcciones tanto para buscar como para escribir una url.

Luego, cuando ves que todas tus extensiones están instaladas (salvo fireFTP y NoScript , nada menos…aunque se puede filtrar mucho contenido como explican aquí), ya estás más a gusto, además, te llevas gratas sorpresas por ejemplo con otras nuevas que descubres como Chrome Bird para Twitter y sus notificaciones “de escritorio” que tan bien funcionan desde Chromium. He de reconocer que ahora, ver esas extensiones arriba a la derecha junto a la barra de direcciones, lejos de agobiarme me resulta muy cómodo tanto para deshabilitar alguna, como para acceder a las preferencias de las mismas.

Estoy usando y me gusta la sincronización entre equipos aunque tenga que hacerse vía una cuenta de Gmail (también en Firefox se puede hacer con Firefox Sync por ejemplo), aunque echo de menos que se pueda hacer lo mismo con las extensiones, algo que entiendo no tardando mucho se podrá realizar.

De todos modos, para copiar y usar en otro equipo toda la configuración, extensiones, etc, en GNU/Linux es tan fácil como hacer un .tar.gz del directorio chromium que se encuentra en /home/tu_usuario/.config del mismo modo que hacemos con el .firefox de Mozilla y el perfil en uso.

Ya lo comenté en mi Twitter, hasta que la versión 4 de Firefox / Iceweasel sea una realidad, mi mejor opción ahora mismo es Chromium, sobre todo por su rapidez y un menor consumo de recursos. De hecho, estoy usándolo ya en todos mis equipos.

Y tú… ¿con qué navegas?

Compartir

Tags: Chrome, Chromium, Debian, Gmail, GNU/Linux, Google, Iceweasel, Mozilla, Navegador

Recopilatorio de entradas publicadas en DaboBlog (Abril) y Daboweb (2ª quincena de Abril). Todos los comentarios de las noticias de Daboweb los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas.

DaboBlog Abril 2009;

• Resumen de 8 meses sin Mac OS X ¿Hay vida después de “morder la manzana”?
  
• (Vídeo) Audioslave, “in memoriam”. (Show Me To How Live)
  
• En defensa de un amigo, Wogker, de www.agujero.com acosado por la $G@€ (otra vez).
  
• Un Flash Player educado…(raro viniendo de Adobe)
  
• Firefox arrasa en DaboBlog (54 %) IE (17 %). Windows 51 %, GNU/Linux 31%, Mac OS X 2,4 %
  
• 26/11/01, hora las 12:01 “Bienvenido a Internet” (en casa)
  
• Publicado en Daboweb, primera quincena de Abril
  
• Para Angeles González Sinde, la que quiere “ordenar ese espacio que es Internet”
  
• Emitiendo desde Debian Sid (Inestable) con KDE 4.2.2 en mi MacBook
  
• El día en que APT llegó a acojonarme -;) «Sí, ¡haga lo que le digo!»
  
• Altavoces Logitech USB Speakers V10 en Debian Lenny, a la primera -;)
  
• Cómo grabar conversaciones de Skype en GNU/Linux (Debian, Ubuntu, Fedora, Gentoo, ArchLinux, etc)
  
• Mi ahijada Carla (2 años) gana un premio en el notodofilmfest un corto de Jim-box “Fêmina Domus”.
  
• El blog más “de culto” de la red, 3 post en 15 meses…

Daboweb, 2ª quincena de Abril;

• Vulnerabilidad de alto riesgo en Kaspersky Online Scanner
  
• Firefox 3.0.10 soluciona vulnerabilidad crítica
  
• Vulnerabilidad en Google Chrome
  
• Nuevos filtros Adblock Plus, Firefox 3.0.9 y navegadores basados en Gecko (recomendable)
  
• Firefox 3.0.9 disponible
  
• “Tu distro es insegura, Ubuntu”, consejos para instalar correctamente Ubuntu / Server
  
• Actualizaciones de Microsoft Abril 2009
  
• Cuentas de Gmail inseguras por defecto, activa “https” (conexión segura)

Compartir

Tags: $G@€, actualizacion, Adobe, Amen, Audioslave, Chrome, Crítica, DaboBlog, Daboweb, Debian, Gmail, GNU/Linux, Internet, Jim-Box, KDE, Lenny, Mac OS X, Macbook, Microsoft, Navegador, Skype, Ubuntu, Windows, Wogker

Recopilatorio de entradas publicadas en Daboweb estas pasadas semanas. Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas.

Actualizaciones de Microsoft Abril 2009

Cuentas de Gmail inseguras por defecto, activa “https” (conexión segura)

Comprueba visualmente si estás infectado con Conficker

Revista gratuita fotográfica Foto DNG, Abril 2009, descarga disponible

Vulnerabilidad crítica en PowerPoint (sin solución de momento)

Virus Conficker o el precio de no actualizar el sistema operativo

Internet Explorer 8.1 soportará extensiones de Firefox, nuevo motor de Javascript y 71/100 en ACID3 Test “Happy March fool’s day”

Compartir

Tags: actualizacion, Conficker, Daboweb, Explorer, Gmail, Internet, Microsoft

Se me había pasado y leyendo el RSS de Blogoff vi que Kids hacía el recordatorio de que hay que migrar a una cuenta de Gmail desde FeedBurner (que fue comprado tiempo atrás por Google).

El tema es sencillo, entras en tu cuenta de FeedBurner y nada más entrar te saldrá un mensaje recordándote que tienes que migrar el feed a una cuenta de gmail, una vez que la introduces, das a siguiente y se abre la interfaz de gmail para que introduzcas el usuario y contraseña, cuando haces login se abre la ventana de migración y unos segundos después ya puedes ver tus feeds bajo gmail.

Caso de no hacerlo entiendo por lo que he leido que el feed funcionará pero no queda claro (reconozco que no lo he mirado a fondo) cuando podrás entrar al panel de tus feeds o migrarlos pasada la fecha del 28 de Febrero y si seguirás viendo el número de suscriptores a tu feed. De todos modos como es una operación muy sencilla, no cuesta nada y mejor no correr riesgos innecesarios por lo que os recomiendo migrar antes de que finalice el plazo.

Más info en Blogoff.

Compartir

Tags: Feedburner, Gmail, Google, RSS

El tema no es ninguna tonteria porque si en este país lo de la seguridad informática es tomado medio a broma incluso por gente que debería preocuparse, no quiero pensar en los miles de usuarios que se conectan alegremente a un hot-spot Wi-Fi o la red abierta de turno.

En mayor medida, cuando Gmail es usado por una gran mayoría de usuarios de correo web, como será el ratio respecto a Yahoo o Hotmail (este útimo se usa más para mensajería instantánea en muchos casos que para el envío-recepción de correo) que Graham, CEO de Errata Security, no pudo comprobar según el si era efectivo su ataque en Yahoo o Hotmail, dentro de los eventos de Defcon ya que la proporción era de 20 a 1…

Leer el resto de;”Robert Graham libera sus herramientas para romper cuentas de Gmail. ¿Cómo evitarlo?”

Compartir

Tags: Gmail, Google, Hacking, Seguridad Informatica

Hace unos días publiqué en Daboweb una actualización de Gmail File Space, extensión de Firefox para usar tu espacio de Gmail como si de un disco virtual se tratase.

Hoy veo en Lifehacker esta interesante entrada sobre como con Firefox y Gspace se pueden escuchar los archivos MP3 (no WMA) mediante un pequeño reproductor que emerge al pinchar sobre uno de los archivos de audio.

Que ustedes lo eschuchen bien -;)

Compartir

Tags: Firefox | Iceweasel, Gmail, Música