miércoles, 16 de marzo de 2016

Saber quiénes usan 2FA en Twitter, por favor, usa tú también un 2FA

Hoy no os dejo el desenlace de la Historia por la cual cerraré el blog, ya que quiero crear un poco de HYPE, pero tranquilos, mañana tendréis el desenlace de esta historia, que cuanto menos, os sorprenderá.



Pero hoy vengo a hablaros de algo en lo que el equipo de SoftCrim hemos estado trabajando, y estamos perfeccionando, un 2FA para tus cuentas, pero eso ya lo explicaremos más adelante. Y es que he estado unos días-a la par que trabajaba en el 2FA que hemos sacado en SoftCrim- investigando y mirando quiénes usan un 2FA en Twitter, con lo que esto se puede juntar a la "sección "de "Saber quién usa 2FA en...", una "sección" que comencé contándoos cómo se podría saber quién usa 2FA en Gmail.

Esto es algo muy sencillo de hacer, ya que no necesitáis ni tener cuenta en Twitter, la "única pega" es que si buscas 4-5 personas en un día, se te bloquea y tendrás que esperar al día siguiente para seguir buscando.

Primero he de decir que "el mejor método" para proteger una cuenta, debe ser siguiendo los pasos de "Algo que soy", "Algo que sé" y "Algo que tengo", en base a eso, los sistemas deben de aplicárselo para ofrecer cuanto más seguridad a sus usuarios, mejor.

Pero como iba comentando, esto es tan sencillo como irse a Twitter, pulsar en "Iniciar Sesión" y decir que se te ha olvidado la contraseña, con lo que te saldrá una barra de búsqueda para que escribas tu usuario de Twitter, esa barra está hecha para que busques tu usuario, pero nadie te dije que no puedes buscar otro usuario.


Como veis, buscando mi usuario, te sale que puedo recuperar la cuenta mediante un link a mi correo electrónico, o usando el 2FA que permite Twitter, que no es otro que con un código de sms a tu dispositivo móvil. Esto es dar un plus a tu seguridad.

Y es que gente tan social como puede ser elRubius, usan un 2FA en sus cuentas de Twitter, esto si lo ven seguidores suyos, que se apliquen el cuento, que la persona a la cual siguen, usan un 2FA.


Y claro, yo quería reírme de algún Youtuber famoso, diciendo que sí, que tenían muchos suscriptores, pero poca seguridad, y me bastó con buscar el perfil del Youtuber Wismichu, para encontrarme con el caso en el que no uses un 2FA, así que "PERO QUÉ COJONES, NO USA UN 2FA".

Y esto me hizo gracia, porque en un vídeo suyo, dijo que tenía una alarma "conectada a la puerta y que si la abre alguien que no soy yo suena", eso dijo textualemente, y es que me hizo pensar que estaría muy implicado en la seguridad, pero resulta que no, bueno, en esto no se copia de Rubius. PD: Las alarmas se pueden desactivar por Internet, es sencillo buscar en Shodan el dispositivo y jugar un rato con él, esto no es nuevo, pero por lo menos apuesta por poner "un muro más" en su vida...física y no digital.


Pero bueno,, al menos su compañero AuronPlay sí usa un 2FA, y si parece estar más preocupado por la seguridad de su vida digital.


Y con esto me puse a buscar a rostros conocidos, tales como Pedro Sánchez, Jordi Évole, etc. Ninguno usa 2FA.



Es curioso, porque parece ser, que el correo que usa para su cuenta de Twitter, es algo como twitter@sancheztrejon.es, con lo que podríamos deducir que Pedro Sánchez, ha podido caer en que un buen método de seguridad es usar un correo distinto para cada red social, pero también podemos deducir que usa el siguiente método: para su cuenta de Twitter: twitter@sancheztrejon.es; para su cuenta de Facebook: facebook@sancheztrejon.es; etc, y ese "método infalible", no es muy bueno-si es que usa ese método-.



Pero el caso que más gracia me ha hecho, es el de Manuela Carmena, ya que no usa 2FA, y aquí el chiste es obligado, y es que por no usar 2FA, Jamás te lo perdonaré, Manuela Carmena, jamás. Además usa el correo corporativo de Ahora Madrid, mal eso de usar el correo de tu empresa; Jamás Manuela Camena eh.




Pero me olvidé un poco de gente famosa, y fui a por gente famosa, pero en este blog, y es que estaba quasi obligado a ver si el famoso rafa1 ha empezado a preocuparse más por la seguridad después del Man In The Middle amistoso que se comió.


Pues no, sigue sin preocuparse por la seguridad, como dije en en aquella entrada, "así le va y le irá", pues no me equivoqué en nada, en fin, no voy a seguir con este tema, porque es agua pasada.

Pero ahora vamos con algunos Institutos, vamos tanto con mi antiguo colegio, STMA Trinidad-Trinitarios, para ver si están innovando en Seguridad también.


Pues resulta que no, que en seguridad no están innovando, pero bueno, vamos ahora con uno de los Institutos más inseguros, y que enseñan a sus alumnos a ver el mundo con los ojos en vez de con la mente y la razón, vamos con el IES Blas Infante.


"Usan" un 2FA un poco raro, ya que enlazan 2 direcco¡iones de correo, uno que es tic@iesbi.es y otro iesblasinfante@gmail.com, no mucha seguridad, no. Pero ahora vamos a ver si mi Instituto actual, Lope de Vega, usa un 2FA.


Pues no, ya se ve que mi profesor de Historia, el cual es el director, no se preocupa por decir que usen un 2FA, muy mal "amigo".

Y ahora, un caso que es el que más me duele por diferentes circunstancias, el primero, porque es una persona que, por un correo no tan falso, se creyó que había enviado yo dicho correo en vez de esa persona, un correo, que estaba firmado digitalmente por la emisora del correo real, y esta persona me llamó mentiroso, esta persona conoce el mundo por los ojos y por lo que puede parecer, en vez de usar la razón, y me duele porque cuando le decía lo de los segundos factores de autenticación, me prometió que iba a usarlos, pero además, me duelo por algo más importante, me duele porque es una persona a la cual aún quiero, y que me duele que no esté segura y no esté bien, porque aún me preocupo por esta persona, aunque esta persona crea que soy un cabrón.


Me duele que no use un 2FA, primero de todo, porque es un blanco fácil, y su seguridad me preocupa, pero no puedo hacer nada, ya que el contacto no lo mantenemos; pero también me duele porque cuando me prometió que iba a usar 2FA, hoy descubro que no lo usa ni en su correo, ni en su cuenta de Twitter, pero además que no me escuchó cuando dije que es un fallo de seguridad, usar el mismo correo y contraseña para todas las cuentas, me mintió, pero yo no me voy a enfadar por eso, ya que hay un motivo mayor, y es que no está segura, y es por eso que sigo adelante con la creación de A.N.A, para que por lo menos,  si ve que he sacado esta herramienta, se la descargue y esté segura, que es lo más importante.

No creo que haga falta decir, que un atacante, se irá antes a por una persona que no tenga un 2FA, ya que una persona sin segundo factor, es más fácil, y digo más fácil, porque en el caso del segundo factor de Twitter basado en un sms con un código de verificación, no es muy seguro, ya que los sms, usan gsm, y si estás haciendo un Man In The Middle, puedes aprovechar y sacar el mensaje, ya que los sms, van sin cifrar, y basta con usar un analizador de tráfico de red.


Pero lo que está claro, es que aunque sea sencillo sacar los códigos de verificación enviados a los sms, usar un 2FA aunque sea este, es poner un muro más a los atacantes, y esto, es invertir e seguridad, así que por favor, invertid en seguridad.

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...