Torear doble autenticación de Google sin saber informática

Entre las mejoras de seguridad en la gestión de credenciales esta la autenticacion con dos factores, en muchos casos una contraseña y un dispositivo físico, como con las tarjetas de crédito y en otros la contraseña y un código enviado al teléfono móvil, método empleado en muchos servicios de Internet: Google, Facebook o Twitter por mencionar alguno.

En el caso de Google una vez configurada la cuenta, para poder iniciar sesión en los servicios de Google, acceder al mail, etc se solicita un código enviado al teléfono móvil, de tal forma que aunque alguien haya robado nuestra contraseña, no podría acceder a nuestra cuenta sin el teléfono.

Este método es muy útil cuando utilizamos ordenadores portátiles, que pueden perderse o ser sustraídos, o en el caso de iniciar sesión en equipos de lugares públicos, pero hay que tener especial cuidado con el check que muestra la imagen, en muchos casos activado por defecto, que puede comprometer la seguridad de nuestra cuenta.

Lo que sucede cuando Google (No volver a preguntar en este ordenador) confía en un equipo utilizando Firefox es que almacena esa información en el perfil de Mozilla como se muestra en la siguiente imagen:

Este perfil esta en la ruta: %AppData%\Mozilla\Firefox\Profiles\ y puede copiarse y utilizarlo en otro equipo, accediendo a las credenciales almacenadas en el navegador y también a las "confianza de Google en el equipo" que se guarda en la base de datos de cookies cookies.sqlite.

Una comprobación sencilla de este proceso seria la siguiente:

1. Iniciar sesión en Gmail y marcar el check de "No volver a preguntar"
2. Cerrar sesión y verificar que se puede iniciar sesión sin que te solicite el código del móvil.
3. Cerrar el navegador y mover el archivo cookies.sqlite a otra ubicación, fuera del perfil.
4. Iniciar sesion en Gmail y verificar que se solicita el código móvil y este se envía al teléfono.
5. Cerrar el navegador y volver a mover el archivo cookies.sqlite al perfil, se habra creado un archivo nuevo cookies.sqlite, indicamos que se sobreescriba, prevaleciendo el original.
6. Al iniciar sesión nuevamente en Google, no pide el código, incluso cuando Google genero un código nuevo que nos envió al teléfono móvil.

Esto quiere decir, que si alguien accede al perfil del navegador que tenga nuestras credenciales y Google confía en ese equipo/navegador puede utilizar ese perfil en otro equipo e iniciar sesión con las credenciales y sin necesidad del teléfono móvil, el proceso es tan sencillo como copiar la carpeta del perfil, pegarla en %appdata%\Mozilla\Firefox\Profiles\ de otro equipo con Firefox y modificar el archivo profiles.ini como se aprecia en la imagen:

Una manera sencilla de "torear el doble factor de autenticacion de Google" sin saber de informática, espero que os gustara... ;D

 

Seguridad lo Jabalí para Todos!!

Pokemon Go La Venganza

En Seguridad a lo Jabalí siempre estamos hablando de La Red y el Mundo Virtual que cada día tiene más importancia en nuestras vidas, incluso a veces La Tecnología supera la Ficción.

El efecto de Pokemon Go es innegable, millones de personas caminando por las ciudades como Zombies con la vista pegada al teléfono móvil, como si con WhatsApp no fuera bastante, en fin!! Mientras tanto "alguno" se beneficiara de toda esa recolección de datos gratuita, y es que seguimos vendiendo nuestra privacidad por un Martillo de Caramelo.

En el caso de hoy "El mundo Real" y los Pokemon se Vengan, al menos un poquito...

Seguridad a lo Jabalí para Todos!!

Azure Cumplimiento ISO 27001

Microsoft ha publicado una guía para el cumplimiento efectivo, mediante 13 controles, de la norma ISO 27001 en una infraestructura Microsoft Azure.

13 effective security controls for ISO 27001 compliance

El cumplimiento de la norma ISO 27001 certifica la aplicación efectiva de una serie de controles de seguridad informática y protección de los datos en un entorno empresarial, es un indicativo muy valorado en cualquier empresa y un requerimiento indispensable para ciertos procesos o colaboraciones laborales.

En un entorno OnCloud no siempre es tan sencillo determinar responsabilidades en algunos de los procesos o elementos que almacenan o manejan la información de nuestro entorno empresarial y los datos de nuestros clientes o proveedores.

En Microsoft Azure se ha publicado una guía para la implementación de 13 controles que ayuden con el cumplimiento efectivo de la norma ISO 27001 dentro de un entorno basado en tecnologías en la nube de Azure.

Este interesante documento detalla la información correspondiente a los diferentes aspectos relevantes en la gestión de la seguridad en Azure, con enlaces a varios recursos para ampliar la información.

Los 13 controles de una infraestructura Microsoft Azure son:

• Enable identity and authentication solutions.
• Use appropriate access controls.
• Use an industry-recommended, enterprise-wide antimalware solution.
• Effective certificate acquisition and management.
• Encrypt all customer data.
• Penetration testing.
• Threat modeling services and applications.
• Log security events, implement monitoring and visualization capabilities.
• Determine the root cause of incidents.
• Train all staff in cyber security.
• Patch all systems and ensure security updates are deployed.
• Keep service and server inventory current and up-to-date.
• Maintain clear server configuration with security in mind.

Microsoft Azure: 13 effective security controls for ISO 27001 compliance

Descargar Guía: Microsoft Azure 13 Effective Security Controls for ISO 27001

Seguridad a lo Jabalí para Todos!!

LOPD Soluciones Entornos Microsoft

En muchas ocasiones hablamos en Seguridad Jabalí de la protección de los datos personales, pero acomodarse al cumplimiento de todos los requisitos legales no siempre es fácil, buscando en la red nos encontramos con el libro La protección de Datos Personales disponible para descargar en la web de Microsoft. 

Este libro escrito por J.M Alonso, J.L. García, Antonio Soto, David Suz, José Helguero, Mª Estrella Blanco, Miguel Vega y Héctor Sánchez es una excelente introducción al diseño eficiente de medidas técnicas en entornos de Microsoft para proteger los activos de una empresa y mejorar en el cumplimiento de los requisitos de la LOPD.

Entre los autores de este ejemplar figura Chema Alonso “El Maligno” y por supuesto en la Editorial 0xWORD disponemos de varios ejemplares muy recomendables sobre adecuación a la Ley de Protección de Datos en España.

Enlaces... 

DNI-e Tecnología y Usos disponible en 0xWORD

Esquema Nacional de Seguridad con Microsoft disponible en 0xWORD

Aplicación de medidas para la implantación de la L.O.P.D. en las empresas disponible en 0xWORD

La Protección de Datos Personales, Soluciones en Entornos Microsoft

Seguridad a lo Jabalí para Todos!!

Microsoft Actualización de las Condiciones de Servicio

En esta época ya estamos acostumbrados a que las grandes multinacionales nos cambien las condiciones del servicio cuando les apetece...

El cambio de condiciones del Contrato de servicios de Microsoft se aplica a su cuenta, entrará en vigor el 31 de julio de 2014. Si utiliza los servicios como Outlook.com, OneDrive y Bing, significa que está de acuerdo con los términos. 

Es conveniente revisar siempre las condiciones de los servicios que estamos utilizando, aunque nos requiera un poco de tiempo, Microsoft en la Nube Condiciones del Servicio y para servicios en entornos empresariales es indispensable conocer las condiciones de toda la tecnología que utilizamos.

Contrato de servicios de Microsoft

Declaración de privacidad de los Servicios Windows

Seguridad a lo Jabalí para Todos!!

La (Tu) Agenda de Google

El miércoles pasado se hablo en Seguridad Jabalí de las Recomendaciones Compartidas de Google, hoy toca hablar de otra interesante funcionalidad de Google. 

• "Si eres usuario de Google+, con Gmail puedes escribir a las personas de tus círculos de Google+, aunque no tengas sus direcciones de correo electrónico"

 

 

Click en Imagen para Aumentar

 

El Truco

Si eres usuario de Google+, con Gmail puedes escribir a las personas de tus círculos de Google+ aunque no tengas sus direcciones de correo electrónico.

Por otro lado Google te informa...

"Tú controlas quién puede mandarte correos con un ajuste de Gmail"

El TRUCO es siempre el mismo, LA CONFIGURACIÓN por DEFECTO, las grandes multinacionales te informan de estas nuevas funcionalidades, pero configuran por defecto las cuentas a favor de sus intereses, nunca de tu privacidad.

Estas políticas basadas en el desconocimiento (la mayor parte de los usuarios no leen estas condiciones) y en la falta de conocimientos técnicos, a veces es realmente complejo llegar a ciertas opciones para configurar algunos servicios, permiten a las compañías seguir en su “Recolección Masiva de Datos”que es el principal activo de estas empresas.

Si utilizas tu cuenta como espacio público, quizás hasta te interese que todo el mundo te pueda enviar mails, quizás no sea el caso...  

enlace informativo, la configuración en Google.

Seguridad a lo Jabalí para Todos!!

Google Configuración Recomendaciones Compartidas

Las grandes multinacionales de la tecnología ya nos tienen acostumbrados a cambiar las condiciones del servicio "cuando les da la gana", eso no quiere decir que dejemos de exigir nuestros derechos de privacidad y protección de NUESTROS datos.

En Octubre del 2013 se hablaba en Seguridad Jabalí sobre el tema de las recomendaciones compartidas de Google, y la cosa ya esta aquí.... 

 Click en Imagen para Aumentar

En las condiciones del servicio hay un resumen de cambio en Google referidos a las recomendaciones compartidas ... ¿Y eeeeeEEEEESTOOOOO QUÉ ES????

Nada mas y nada menos que Google puede incluir publicidad indicando que nos gusta un producto incluida nuestra foto del perfil que tenemos (es decir eso en lo que todas las redes insisten tanto sobre rellenar todos los datos: teléfono, foto, amigos, profesiones...) si no deseas permitir esto...

Configuración de Recomendaciones Compartidas [Desmarca check, botón GUARDAR]

Seguridad a lo Jabalí para Todos!!

Google Actualización de las Condiciones de Servicio

En los últimos años está siendo habitual que después de utilizar un servicio "gratuito" y cuando es, cuanto menos molesto, dejar de utilizarlo porque tienes datos, contactos de clientes y proveedores, servicios, etc. te cambian las condiciones de servicio.

En este caso los chicos de Google el 11 de Noviembre de 2013, están incluso “graciosos” (ver imagen), así que como no nos gusta leer, ya amablemente nos explican cómo van a poder publicar nuestro perfil, foto incluida en diferentes búsquedas.

Más Información en ....

Google Actualización de las Condiciones de servicio 

Google Condiciones de servicio de Google

Google Recomendaciones compartidas

Google Alertas de actividad inusual

Seguridad a lo Jabalí para Todos!!

Y Tú ¿Qué quieres Ser?

El otro día hablando con una amiga me comentaba la dificultad añadida que estaba encontrando para buscar trabajo de forma activa, es decir entregando el curriculum vitae en mano en las distintas empresas. El motivo no es otro que la Ley de Protección de Datos de CarácterPersonal LOPD, en muchos negocios se niegan a recibir los datos para evitar tener que dar de alta un registro de datos personales. 

En lo que respecta a la búsqueda de empleo es increíble que algunas empresas se excusen en la LOPD para rechazar los datos de los desempleados, de lo contrario habría que pensar que gracias a esta Ley los distintos organismos y empresas se están “tomando en serio” la protección de datos y la seguridad informática. 

En El Lado del Mal se podía leer, no hace mucho, un artículo referente a lo sencillo que resultaría suplantar la identidad de una persona debido a la publicación en la red de: documentos de identidad, permisos de conducir o pasaportes. 

En Internet la mayoría de las ocasiones no es necesario presentar un documento físico para acceder al servicio, simplemente conociendo varios datos personales es fácil hacer una ficha y en el caso de se requiera enviar una copia del documento de identidad, con algo de photoshop. Además con todo esto de la crisis aquí en España se está poniendo realmente caro estudiar una carrera, así que a la hora de suplantar una identidad me pareció interesante ver ¿Cuántos datos pueden estar publicados, pero por profesión? ¿Qué quieres ser? 

Necesitamos un formato común donde la gente envié datos: pdf, queremos documentos de identidad y para obtener el resto de datos que mejor que un curriculum, todo eso por profesión y la búsqueda nos queda algo como….

• ext:pdf dni curriculum [profesión elegida]

Arquitecto es una buena profesión, no debería haber datos personales publicados…

Solo 629.000 resultados, no puede ser, algo tiene que estar mal, seguramente los datos no son accesibles

Pues parece que si, Rubén de Murcia es uno de ellos y chicas: “Un Arquitecto soltero!!”, bueno quizás los abogados son más discretos o las empresas por miedo a una represalia legal manejan sus datos personales con más respeto.

Algo mejor parece que esta el tema solo 117.000 resultados, si alguien necesita utilizar la identidad de un abogado o incluso algún Juez hay menos donde escoger, esta difícil… y los informáticos ¿lo hacemos mejor?

Nada está claro "El que no tiene Estudios Universitarios es porque NO Quiere! ", y es que luego que alguien no acepte tus datos personales cuando buscas trabajo es cuanto menos gracioso...

Seguridad a lo Jabalí para Todos!!