DaboBlog

#Disclaimer; Esta entrada debe ser considerada como un post o reflexión seguramente paranoide y bajo ese aviso (cuidando la salud mental de quienes tenéis a bien seguirme;) debe ser leída.

#Actualización, me han llamado hoy 27 de Septiembre desde Google (Irlanda) para aclararme el caso, concretamente la persona que añadió nuestras cuentas (Cristian) dándome una explicación. Lo pongo en los comentarios del post.

El título quizás es algo “novelesco”, también buscando quitarle trascendencia a algo que puede ser (como seguramente es) fruto de la casualidad, o para dejar la pregunta final a vuestro criterio. Para responder a esa pregunta; ¿Casualidad, causalidad o inseguridad? os pondré en antecedentes.

Mi colega Salva, mejor “Xsas” para los habituales del blog, y yo (a quien le comenté que quizás escribiría algo sobre el tema entre risas y sensación de “uhmm” -;), nos cruzamos un par de correos hablando de cómo hacer un backup de la cuenta de un cliente con su correo y otros datos funcionando bajo Google Apps (servicio proporcionado por Google).

Aclaro que no hubo conversación previa vía Twitter del tema, sólo por correos electrónicos, en ambos casos cuentas de Gmail / Google Apps lo que viene a ser lo mismo. El detalle de que ni en público ni en privado, comentamos nada en Twitter, tiene su peso para la sensación de “conspi-paranoia” que sufrimos en ese momento ;D.

Bien, hasta ahí todo normal, nuestra “extrañeza” llego cuando pasada más o menos una hora del último envío de correo, nos llegó un aviso casi a la vez, de que la cuenta oficial de Google Apps España nos estaba siguiendo en Twitter…Si os fijáis en la lista de a quien siguen, tal y como se ve en la captura de pantalla, efectivamente están las dos seguidas, primero la mía y luego, la cuenta de Quadux que es de Salva.

Cuando recibimos el aviso de Twitter, casi a la vez, vía mail nos cruzamos un “hostia” ¡Qué casualidad ! y ciertamente aquí puede haber opiniones para todos los gustos, ahí quedan 3 de las muchas opciones posibles.

Como dato adicional, he de decir que hace cerca de un mes escribí en Twitter algo así como “no uses como cuenta de admin tu cuenta personal en Google Apps” (para que, en el caso de un acceso no autorizado, puedas recuperar tu cuenta “normal”, aconsejaba hacer otra con un nombre “enrevesado” y administrar Google Apps desde esa). Puse como “hashtag“ (#) GoogleApps.

¿Casualidad?

Una mera casualidad, el súper algoritmo “Panda” de Google o los responsables de la cuenta de Google Apps España van buscando temas sobre administración de sistemas, la gestión de cuentas de Google, “hastags” o menciones que contengan “GoogleApps”, etc y encuentran lo que escribí en Twitter sobre Google Apps, “ven” la relación entre la cuenta de Salva y la mía y nos siguen a ambos. Sería lo normal pero ¡ qué casualidad ! que sea después de los mails. Aunque de eso van las casualidades ¿no?

¿Causalidad?

Causa-efecto. En los dos mails que nos enviamos, Salva y yo estábamos usando cuentas de Gmail / Google Apps, como dentro de los mensajes se hacía mención a Google Apps, su súper algoritmo (modo <conspi-paranoide> ON ;) rastrea las palabras, el mensaje viaja por Matrix y llega a “su sitio” en Google, acto seguido, (en una hora) nos sigue su cuenta de Google Apps España en Twitter. Sería algo muy factible en lo técnico a la par que más que censurable en cuanto a la privacidad.

¿Inseguridad?

 Este último punto vendría a colación si la respuesta fuese “causalidad“. Muchas veces, comentamos la gran cantidad de datos que maneja Google sobre todos nosotros (y muchas otras empresas) así como de los usos que hacen de datos “cruzados” las compañías. Bien para ofrecernos algún servicio determinado, saber nuestras preferencias de navegación, lugares visitados, etc (aquí se podría hablar de las cookies). Aunque no es menos cierto, que el administrador de tu correo, también puede leerlo sin llamarse Google…

Os comento que esta entrada ha estado como “borrador” durante unos días, esperando a que pasase un poco el tiempo para intentar quitarle trascendencia, sólo con el título escrito y con todos los papeles de no pasar de “borrador”. Pero también que, aún con las risas que nos echamos Salva y yo respecto a lo sucedido, uno se queda con “la mosca detrás de la oreja” como se suele decir. Si me preguntáis sobre mi respuesta, diría que claramente se trata de una casualidad, pero en este negocio de “los unos y ceros“, hay artistas (del código-;) que pueden convertir las “casualidades” en inquietantes “realidades” (y viceversa).

Compartir

Tags: backup, Dabo, Gmail, Google, Google Apps, Seguridad Informatica, Sistemas, Twitter

Sobre estos temas suelo escribir más en Daboweb, pero también aquí en DaboBlog les presto atención, por mucho que a veces pueda sonar a algo un tanto recurrente. Podíamos llamar “huérfana“ a esa cuenta que abriste “ese día” para “aquel servicio” y salvo un para de veces, no lo volviste a usar. Es un error muy común en el que todos acabamos cayendo alguna vez, el problema es que te olvidas y un día ves tu correo y password publicados en algún lugar como “Pastebin Leaks”

Cierto es que quizás ahora tus passwords son más sólidos que en esa época, quizás tu correo también ha cambiado,  pero no está de más rebuscar y volver un poco atrás en el tiempo para cerrar registros en algún caso, cambiar esas viejas k0ntrA$3ñ@$ (un pequeño ejemplo) o replantearte si ese registro está realizado adecuadamente (de ahí lo de “mal creadas“). Vamos a desarrollar un poco el tema…

Hace unos días, en mi cuenta de Twitter dejé a modo de consejo un;

“No uses como cuenta administrativa de Google Apps tu cuenta habitual o pública“.

¿Los motivos? en el caso de que tu cuenta se vea comprometida siempre tendrás otro usuario como admin (créalo con un nombre totalmente imposible de relacionarlo contigo) para poder en un momento de urgencia, cambiar rápidamente el password, o recuperar la cuenta.

Otra de las ventajas de Google Apps, es que no se puede recuperar un password vía la opción de recuperación de Gmail, sólo el administrador puede, por lo que creo que queda claro el motivo de usar una cuenta sin privilegios y otra para administrar (tal y cómo haríamos en nuestros equipos).

Quizás a eso me refiero con lo de “replantearte si ese registro está realizado adecuadamente”. Pero vamos a ir algo más allá, muchos problemas de seguridad de usuarios con una actividad media/baja en Internet, pero que afectan más a gente con perfiles un tanto ¿públicos? o relevantes (tienes una comunidad a tu cargo, blog de peso, foro o empresa), se verían reducidos si al realizar los registros en el “servicio 2.0 de turno”, se utilizase una cuenta de correo electrónico que no pueda ser asociada a tu persona en el caso de que los datos de esa cuenta (de PayPal por citar un ejemplo) acaben siendo públicos.

¿Las razones para ello? obviamente si lo piensas desde un punto de vista lógico, no es lo mismo que acabe siendo expuesta pepit0p3rez44@yahoo.es y un password determinado (que sí, obviamente te puede generar un problema) a que se vea expuesto tu “nick” o “nombre de guerra” (incluso el real, como ejemplo Google +) en La Red, junto a un correo que te identifique y un password…

La cadena de problemas que pueden surgir a partir de cuestiones como esta, puede ser larga y complicada para quien lo padece. Hablando de particulares, la posible explotación de otros servicios web caso de que uséis el mismo password o e-mail (algo totalmente desaconsejable, pero aún a sabiendas de ello, por pereza le pasa a mucha gente). También lo que ahora se llama “pérdida de reputación online“, hablando de empresas pero también de usuarios con proyectos en los que participan terceros, etc.

Y aquí podríamos recordar también la necesidad de que los “correos de recuperación” no se elijan a la ligera, puedes llegar a sorprenderte si revisas como fue mi caso cuentas que tenían más de 5 años. Está claro que a nadie le agrada “parar” y dejar de hacer lo que te gusta para ponerte a revisar cuentas, servicios, passwords, correos, etc, pero una vez que lo vas haciendo, te vas dando cuenta que tu seguridad va en aumento. Eso sí, aquí nadie está libre de pasar un día por ello, la cuestión que si se da el caso, el impacto sea el mínimo posible (quien suscribe/escribe el primero -;).

Compartir

Tags: Gmail, Google, Hacking, Internet, Password, Seguridad Informatica

Como comento en el título, el servicio está en estado de “Beta” pero es plenamente operativo. Si hablamos de WebsiteDefender, estamos haciendo mención por ejemplo a los creadores (entre otros) del plugin “Secure WordPress“.

Hace unos días, me llegó a través del formulario de contacto de davidhernandez.es (donde aglutino los servicios que ofrezco a nivel profesional) una consulta para asegurar una instalación de un WordPress que contaba con una pasarela de pago segura, registro de usuarios y una tienda virtual integrada en él.

Tipos de alertas y avisos;

Entre otras modificaciones y revisiones que hice, di de alta una cuenta para el cliente en WebsiteDefender y los resultados fueron cuasi-inmediatos en el primer “scan” realizado y que vi en la bandeja de entrada de mi correo electrónico.

Como ejemplo, reproduzco con datos (algunos simulados) de mi blog cuestiones que vi en el del cliente. WebsiteDefender. además de comprobar el estado de tus DNS, tiempo de expiración del dominio, si tu web o IP está incluida en alguna “blacklist” (lista negra) o catalogada como “spammer” (tal y como os comenté hace un tiempo aquí), también revisa si Google considera que eres “portador” de algún tipo de Malware tal y como se puede ver en esta captura de pantalla;

También compara si ha habido cambios en algún directorio, si tienes actualizaciones pendientes de algún plugin o si alguno es vulnerable, como sucedio con este caso que reproduzco/simulo en mi blog con el plugin “Register Plus“, plugin del que ni se sabe nada en la web de sus creadores ni en la sección de plugins de WordPress…Pero si lo tienes como era su caso instalado, ahí está “clavada” la versión 3.5.1 (y por los tiempos estará según veo…).

Aviso que puedes ver en tu tablero de WebsiteDefender;

The WordPress plugin register-plus from your WordPress installation in / is known to be affected by a security vulnerability.

Leer el resto de;”Protege tu web o blog en WordPress con WebsiteDefender (Beta)”

Compartir

Tags: Google, Malware, Plugins, Register plus, Seguridad Informatica, Spam, Spamcops, Webmaster, WebsiteDefender, Wordpress, XSS

[1] Recuerdo que cuando éramos Webmasters todo era más fácil. Ese título o más bien autoafirmación de ser “el maestro de la web” era una bicoca, sólo con conseguir colgar algo en Internet, podías lucirlo con orgullo en: “contacta con” el Webmaster.

Luego, empezabas a leer a Jacob Nielsen, sus estudios sobre “usabilidad” y te lo empezabas a creer, de alguna forma, honrabas un poco ese tecnológico “gentilicio”.

Todos éramos felices hasta que Google se adueñó de la creación de Tim Berners Lee, perdimos fuerza y nos puso en “su sitio”. Otro día, de pronto pasamos a ser “responsables de un sitio web“, LSSI mediante…

La WWW fue relegada por la “2.0″ y con ella, llegaron los sucesores del sufrido Webmaster. ¡Quién se lo iba a decir! tantos años ahí, para morir enterrado por los “maestros, de los acrónimos” [140]

Compartir

Tags: Google, LSSI, Opinión, Webmaster

Añado # He publicado en DebianHackers una entrada sobre la decisión de Debian de sacar a Chromium de Testing y Stable.

Imagino que para un usuario “normal”, el cambio de navegador es algo sin gran importancia y que el mayor engorro que puede conllevar, es exportar-importar marcadores, instalar alguna extensión y poco más.

Seguramente mi caso es muy parecido al de muchos de quienes os soléis pasar por aquí. Se crea una relación muy directa con el navegador, todos tenemos nuestras manías o costumbres adquiridas tras años de navegación por lo que, cualquier cambio o “ausencia de”, se convierte en un “problema” o más bien en algo muy incómodo.

Mi historia con Chromium como digo en el título es de un mes a estas fechas (no confundir con Google Chrome, aunque el paralelismo es obvio). Viene dada por la necesidad de fluidez y velocidad en el Asus que adquirí hace un par de meses, en él instalé Debian, no Sid como en el MacBook, sino Squeeze (testing) y en ambos casos bajo KDE, aunque también tengo instalado GNOME y XFCE.

Tantos años con Firefox (Iceweasel en Debian) y sus extensiones, configuración, temas, etc, hacen que a veces ni te plantees un cambio. El mío no se hizo efectivo hasta que me puse en serio a llevarlo a cabo.

Importé marcadores, me puse manos a la obra a buscar extensiones similares (o iguales) a las que uso en Iceweasel, cambiar tipos de letra, preferencias y me “obligué” a usar Chromium. Los primeros días os aseguro que estaba muy perdido, el concepto de las pestañas superiores es algo a lo que cuesta acostumbrarse, también a usar la barra de direcciones tanto para buscar como para escribir una url.

Luego, cuando ves que todas tus extensiones están instaladas (salvo fireFTP y NoScript , nada menos…aunque se puede filtrar mucho contenido como explican aquí), ya estás más a gusto, además, te llevas gratas sorpresas por ejemplo con otras nuevas que descubres como Chrome Bird para Twitter y sus notificaciones “de escritorio” que tan bien funcionan desde Chromium. He de reconocer que ahora, ver esas extensiones arriba a la derecha junto a la barra de direcciones, lejos de agobiarme me resulta muy cómodo tanto para deshabilitar alguna, como para acceder a las preferencias de las mismas.

Estoy usando y me gusta la sincronización entre equipos aunque tenga que hacerse vía una cuenta de Gmail (también en Firefox se puede hacer con Firefox Sync por ejemplo), aunque echo de menos que se pueda hacer lo mismo con las extensiones, algo que entiendo no tardando mucho se podrá realizar.

De todos modos, para copiar y usar en otro equipo toda la configuración, extensiones, etc, en GNU/Linux es tan fácil como hacer un .tar.gz del directorio chromium que se encuentra en /home/tu_usuario/.config del mismo modo que hacemos con el .firefox de Mozilla y el perfil en uso.

Ya lo comenté en mi Twitter, hasta que la versión 4 de Firefox / Iceweasel sea una realidad, mi mejor opción ahora mismo es Chromium, sobre todo por su rapidez y un menor consumo de recursos. De hecho, estoy usándolo ya en todos mis equipos.

Y tú… ¿con qué navegas?

Compartir

Tags: Chrome, Chromium, Debian, Gmail, GNU/Linux, Google, Iceweasel, Mozilla, Navegador

Bueno, al final sigo siendo usuario de Microsoft xD, no es que vaya a aumentar mucho su cuenta de explotación pero algo es algo ¿no?.

Ahora más en serio, desde hace mucho tiempo usaba Google Translate para darle una forma inicial a algún texto que casi siempre acaba aquí o en Daboweb, pues bien, no recuerdo como un día empecé a usar Bing Translator y con el paso de varias semanas, ahora tiene un lugar en la barra de marcadores de mi Iceweasel.

Y es que, partiendo de la base de que la mayoría de las traducciones en línea son un fiasco, Bing con textos algo técnicos ,(hablando de informática, no sé en otras cuestiones que tal irá) no se desenvuelve nada mal y como a mi me va bien con él, sólo entro de puntillas para haceros esta recomendación. A pesar de las mejoras que veo, está claro que te servirá para usarlo a modo de grandes rasgos e ir desarrollando después, no “de primeras”.

Ya me contaréis en los comentarios si usáis otros métodos (aplicaciones, Widgets, etc) para estos fines -;)

Compartir

Tags: Bing, Google, Microsoft, Opinión, traductor

A nadie se le escapa que los dispositivos móviles en los tiempos que corren, son cada vez más avanzados. También los usos van mucho más allá de lo que podíamos pensar hace dos o tres años, usos perfectamente lícitos o no tanto (no me corresponde a mi desde luego juzgarlos).

El análisis forense de dispositivos móviles ya se viene haciendo desde hace tiempo con aplicaciones comerciales, pero al igual que sucede con el hardware o redes con las que interactuamos habitualmente, la comunidad de desarrolladores orientada hacia el software de código abierto, desde los inicios de la informática moderna, nos ofrece herramientas superan con creces en la mayoría de los casos a las de código cerrado o de pago (ejemplos como Nmap, Nessus, Snort, John the Ripper, Hping, Netcat y un largo etc pueden ser válidos).

Y aquí es donde entra en acción esta versión aún en estado Beta de “Android Forensics”, una herramienta que se acaba de liberar bajo licencia GPL, (se está desarrollando en “code.google.com“) destinada al análisis forense de dispositivos Android. Rapidez, ligereza y eficacia es lo que se puede leer acerca de esta aplicación.

En el momento de su lanzamiento, el software, (un fichero APK) que se carga en el dispositivo a través del SDK de Android, puede ahora mismo devolver información muy valiosa sobre historial del navegador, registros de llamadas realizadas, datos sobre los contactos almacenados o mensajes cortos (SMS) que se descarga para su análisis posterior a través de un archivo CSV en una tarjeta SD por ejemplo.

De todos modos, puede que noticias como estas hagan que si tienes un móvil con Android, te entre como una sensación de quedarte “con el culo al aire” (que se entiende bien-;) en caso de que pierdas o te roben tu teléfono. Sobre este aspecto te diría que seguramente, en al anterior ya era perfectamente posible acceder a esa información, sólo te recomendaría en el caso de que tengas información sensible en el móvil, que pongas en práctica las medidas necesarias para protegerla de miradas ajenas y que, gracias a aplicaciones como estas, podrás tu mismo saber cuál es el grado de acceso a esa información caso de que caiga en manos de terceros.

¿Ocultas algo? estás en todo tu derecho, pero hay un nuevo “poli” en la ciudad, así que Forat bro xDD, ten cuidado ahí fuera -;).

Fuente | > Más información en VIAFORENSICS. (ENG).

Compartir

Tags: Android, Forense, Forensics, Google, GPL, Hardware, HTC, Móviles, Open Source, Software

Imagino que si no fuera por YouTube principalmente y muchas animaciones que te envía el spammer-colega o compañero de trabajo de turno que compite por ser el que envíe la gilipollez más grande del día (sin usar el campo CCOO, con copia oculta en el mail), muchos ni conocerían la tecnología Flash.

A pesar de que para muchos sitios web el uso de Flash se hace cuasi-imprescindible, afortunadamente, cada vez se tienen más en cuenta los estándares web que dicta no sólo el W3C (con oficina en Gijón por cierto) sino el sentido común.

No hace falta leer a Jacob Nielsen (cuando empecé a hacer webs, muchos de sus libros sobre usabilidad me abrieron los ojos) para darse cuenta de que lo importante del contenido que se publica en Internet es que se vea. Si, parece una obviedad pero…¿cómo vamos a hablar de estándares cuando ni siquiera ves el maldito contenido?

No os voy a engañar, yo mismo hace unos 6 o 7 años, me “pegué” con el Flash y recuerdo una “intro” de Daboweb (que tiempos aquellos-;) con una animación en Flash, pero todo tiene su momento. De todos modos mi cabreo con  Flash quizás es exponencial a lo mucho que me viene dando por el saco de unos años a estas fechas…

Si lo viese puntualmente en alguna web o micro-site de esos que ahora están tan en alza, quizás sería otra cerrada y molesta a veces cerrada tecnología más, de esas que cuando usas GNU/Linux quieres evitar a toda costa y de fácil olvido. Pero…no.

Quizás el titulo es más bien un “titular” o lo que a mi me gustaría, pero “la batalla del vídeo” que estamos viviendo es un paso para que al menos, servicios tan usados como el vídeo vía web (no sólo YouTube), se liberen (más bien los usuarios) del yugo de antaño Macromedia, ahora Adobe Flash.

Os aseguro que no es un capricho, además de un MacBook con Debian, como ya comenté en esta entrada, tengo instalado en un PowerPC G4 Ubuntu 9.10 (muy contento por cierto) y amigos, por alucinante que os parezca, no hay soporte oficial para Flash en esa plataforma.

Si tenemos alguna gran iniciativa como puede ser Gnash que lucha contra viento, código cerrado y mareas de ingeniería inversa imagino, para dotarnos a los usuarios de un plugin libre para ver contenido en Flash, (“líbrenos del Flash !!!”) Llegando a hacerlo posible en ocasiones y en otras no, si son animaciones o vídeos creadas en las más modernas versiones de Adobe Flash.

Esta nueva etiqueta “Vídeo” de HTML 5, hará posible que se vean los vídeos directamente soportados desde el propio navegador, sin plugins externos como Flash (hablamos de navegadores que respeten los estándares por supuesto).

Algunos ya la soportan, pero hablando del problema de Flash,  igualmente muchos móviles siguen sin reproducirlo, sin ir más lejos el iPhone, (Nokia desde hace años si que lo hace) por lo que muchos usuarios del teléfono de Apple (entre los que me encuentro, no, no fue una inocentada, ya lo dije-;) me entenderán perfectamente. Vale, se puede reproducir un vídeo de YouTube que esté insertado en una web en el reproductor multimedia integrado, pero no una web hecha en Flash.

Ahora se esta discutiendo acerca del codec de vídeo a usar, obviamente apuesto por OGG frente a H.264 que es lo que recomienda la FSF (fundación del software libre) ya que cuanto más abierto sea, mejor para el usuario final y a los hechos me remito con el propio Flash, pero sé que se llegará a un buen entendimiento porque al final, imperará el sentido común o así lo quiero creer.

Pero sobre todo, puede ser el principio del fin del Flash a lo largo y ancho de Internet, o al menos el paso a un merecido segundo plano después de años de un protagonismo ganado a fuerza de pasar por encima de muchos usuarios que para ellos, simplemente parece que no existen.

Si señores de Adobe, ahora les ha salido un incómodo grano en el culo y no es de los que se quitan con Hemoal, no, este igual les estalla y manda a la mierda (Macromedia y ahora Adobe nos han mandado a muchos) a su maldito Flash pero por la vía rápida.

Estoy contengo, porque algo bueno de todo esto saldrá y Google sabe mover bien sus piezas como hemos podido ver con la inclusión de algunos de sus vídeos en HTML 5. ¿El principio del fin? torres más altas han caido…

Compartir

Tags: Adobe, estándar, Flash, FSF, GNU/Linux, Google, iPhone, Móviles, Navegador, Plugins, PowerMac, PowerPC, Software, W3C, YouTube

Hola amigos, me quedan 10 invitaciones para Google Wave. Yo sólo lo estoy usando en compañía del resto del equipo para preparar el podcast y vaya, alguna utilidad tiene aunque desde ya os digo que está en pañales.

Pero si os pica la curiosidad o por aquello de la culturilla informática queréis probarlo, dejad un comentario haciendo saber que queréis la invitación y os la envío al correo que figura en el registro aunque para usarlo necesitaréis una cuenta de Gmail.

Por cierto, si queréis saberlo todo sobre Google Wave os recomiendo visitar EsWave.

Compartir

Tags: DaboBlog, Google, Google Wave, Internet

Porque si no es una broma, entonces tengo que pensar que realmente los gabinetes de promoción masiva de Google hacen su trabajo más que bien.

Después de estar unos 20 minutos probando este “sistema operativo” que más bien parece un Firefox / Iceweasel con extensiones, me remito a lo que dije en su día sobre la nube.

Click para ampliar (Esto es Chrome OS).

Yo no sé vosotros pero no pasé de esta pantalla de arriba (porque no hay más), esperaba algo diferente la verdad.

Si, estoy seguro “VirtualBox”, hacía tiempo hablando de informática que no estaba tan seguro de algo -;).

Compartir

Tags: Chrome, Google, VirtualBox