Los últimos años he visto un descenso en la inteligencia de los usuarios, mientras más joven más idiota en cuanto a entender la seguridad informática. Las nuevas generaciones han perdido el sentido común.
Algunos problemas de seguridad no lo son realmente y si el programador soluciona dicho “ problema “ convierte al usuario un poco más tonto de lo que era antes de solucionar el problema.
Un ejemplo
Un pseudo hacker para llamar la atención dice.
Se como hackear cuentas de facebook en 5 segundos y hace una demostración, explica que es muy fácil, pero las condiciones para que ese “ fácil “ hackeo se dé son tan improbables que sería más fácil que te caiga un rayo a perder tu facebook de esa forma, salvo fueras un idiota, en cuyo caso merecerías que te roben tu cuenta de facebook. La explicación del pseudo hacker viene ser algo similar a esto:
Encontré que las aplicaciones en el Smartphone no cifran el token de la autenticación por lo tanto puedo obtener ese toquen y después usarlo para tomar control de la cuenta. El pseudo hacker explica que el problema real es que el token es texto plano y no está cifrado. Ok pero el token esta en tu celular, tu celular que en primer lugar debe tener una clave para entrar en el y despues que clase de tarado anda prestando su celular a un completo extraño, como dije anteriormente, si alguien extraño te pide tu celular y lo das, mereces y debes ser hackeado, por que le problema no esta en facebook esta en ti.
Entendiendo que es un token
Cuando tienes aplicaciones que se interconectan entre ellas necesitan saber que eres el mismo usuario, por ejemplo, que puedas escribir un twitter y que twitter al mismo tiempo escriba en tu muro de facebook o que subas una foto a facebook y que facebook además la publique por ti en instagram automatizándote el proceso de publicarlo en varios lugares, publicas una vez y se publica en todas tus redes sociales. Para que una aplicación pueda hacer eso, tiene que reconocer que eres la misma persona en diferentes aplicaciones, asi que cuando te firmas en facebook se guarda un token en la sección de cuentas.
Otra forma de entender los tokens son las páginas web que para comentar te dicen que uses tu usuario de twitter o facebook, la página web no guarda tu clave, guarda un token
La cueva del dragón puede publicar artículos en tu cuenta de twitter usando tokens como se lee en este articulo
Compartir articulos de Last Dragon en Twitter el cual es muy seguro porque entendiendo lo tonto que es un usuario yo solo guardo el token por sesión, por eso hay un icono de twitter en cada artículo.
¿ por que el titulo tan agresivo ?
El pseudo hacker solo quería fama, creando un miedo absurdo e improbable, pero si Facebook reacciona y “ parcha “ el supuesto “ fallo de seguridad “ haría que el usuario cada vez entregue mas su sentido común a los programadores.
De pronto los usuarios asumen que el programador debe sustituir su sentido común, un perro depende de su amo para obtener los alimentos del día, un usuario actualmente es el perro del programador que depende de que le de la seguridad que ha cedido por no tener sentido común.
En mi punto de vista para que un bug sea considerado bug o en su caso una vulnerabilidad vulnerabilidad considero que se tendría que tener muy claro esos dos términos y encima de ello dar a testear ese fallo a varios programadores o gente que verdaderamente sepa de seguridad. Si un 95% acuerda que es un fallo, podrá ser considerado como tal. Ademas que seguro saldría en las noticias, claro si el fallo quiere hacerse publico.
Solo mi punto de vista.
Saludos David. Muy buen articulo.
Muy buen articulo muy cierto eso nos es bugs es idiotes humana y pseudo hackers que solo buscan fama para que funcione el pseudo hacker tendria que andar robando todo iphone que vea :v xd
exelente post
pero si te lo roban ? , tampoco es culpa del programador, pero para darle un poco de tranquilidad al usuario creo que deberian hacer algo para darle mas seguridad al token ( siguiendo con el caso que planteas)
hay un punto en que se vuelve absurdo Andrés, por ejemplo puedes cifrar tu disco duro o tu usb, la llave de cifrado puede estar cifrada que básicamente es lo que dice el hacker que ” descubrió ” esa vulnerabilidad…
para acceder a los archivos se necesita la llave descifrada en memoria RAM , la memoria ram sigue estando en el mismo dispositivo, solo en una zona diferente, , ese mismo hacker, haciéndose pasar por que el ser mas inteligente del mundo diría acabo de encontrar otra vulnerabilidad si congelo la ram y le hago un dump a la ram puedo obtener la llave en texto plano… DUH obvio pero eso no es un descubrimiento se sabe desde hace al menos 8 años para sacar información de PC que estaban bloqueadas por el WALL PAPER…
hay un punto donde la seguridad es solo el sentido común, pasando ese punto hablamos de un cazador de fama que dira cualquier cosa por tener los reflectores.