Tag Archive for twitter

PrivacyFix: Tu privacidad depende de la privacidad de los demás

¿Crees que eres dueño de tu privacidad? Redes sociales, portales de Internet, grupos de Whatsapp, aplicaciones móviles que solicitan muchos permisos… hoy día es muy difícil proteger nuestra privacidad, pues nuestra vida virtual está conectada con nuestra vida real.

¿Realmente controlas las fotografías que aparecen tuyas en las redes sociales, conoces aspectos tan importantes como la geolocalización, sabes qué aplicaciones móviles requieren los datos de tu teléfono…? En definitiva, ¿sabes qué información se publica de ti en Internet?

A día de hoy es imposible controlar nuestra privacidad al completo ya que nuestra privacidad depende de la privacidad de los demás, una foto en el teléfono de un amigo, un perfil de Twitter con geolocalización activada donde se te etiqueta en una foto, un perfil de Facebook público donde aparecen fotos de menores… Son algunos ejemplos de que no somos dueños de nuestra privacidad.

A continuación vemos algunos ejemplos de información sensible:

twitter

  • Geolocalización que guarda Gmail desde nuestra cuenta configurada en nuestro teléfono Android (¿Está tu cuenta de gmal entre los 5 millones de cuentas vulneradas hace unos meses? Ver aquí)

gmail

  • Perfiles públicos en Facebook con información sensible u obtenidos a partir de un número de teléfono móvil publicado en Internet (MilAnuncios, BlaBlaCar, etc).

facebook

Además de estos ejemplos, tenemos también un caso muy importante a tratar sobre la privacidad, concretamente de las fotografías que otras personas suben de nosotros a Internet, bien por redes sociales o chats. A continuación podéis ver un video donde se aclara perfectamente:

Como complemento a esta información podéis ver un artículo sobre El peligro de las Redes Sociales que publicamos hace unos meses.

Algunas de estas fugas de información se pueden evitar para proteger nuestra privacidad, tan sólo hay que configurar de manera correcta nuestras redes sociales, cuentas de correo u otros perfiles de usuario utilizados en Internet. Ahora esto es muy sencillo haciendo uso de la herramienta Privacy Fix de AVG.

¿Qué es PrivacyFix?

Privacy Fix es su panel de privacidad en línea. Este complemento para navegadores y app para dispositivos móviles realiza un análisis para detectar problemas de privacidad y te ayuda a configurar los ajustes para corregirlos.

Concretamente podemos llevar a cabo el fixeo de la configuración de los siguientes apartados:

  1. El seguimiento de navegación del usuario.
  2. Cuenta de Gmail.
  3. Perfiles de Twitter, Facebook y LinkedIn.

1. En la siguiente imagen vemos cómo podemos corregir fallos de privacidad respecto al seguimiento de cookies o widgets que rompan nuestra privacidad en Internet.

00privacyfix

A medida que vamos corrigiendo los diferentes ajustes veremos como la barra de proceso va avanzando.

2. El seguimiento que Google hace de nosotros conlleva entre otras cosas el almacenamiento del historial de búsqueda, cosa que podemos corregir. También el seguimiento de cookies por parte de anunciantes para poder ofrecernos sus productos independientemente de la Web que visitemos.

01google

3. Por último vamos a corregir nuestra configuración de seguridad/privacidad de nuestras redes sociales.

Dentro de Twitter podemos corregir varios aspectos que vemos a continuación.

02twitter

En la siguiente imagen vemos como PrivacyFix nos asiste para desactivar de manera correcta la geolocalización en los tweets.

02_1twitter

Dentro de Facebook podemos corregir varios aspectos que vemos a continuación.

03facebook

Dentro de LinkedIn podemos corregir varios aspectos que vemos a continuación.

04Likedin

Una vez que tenemos todos los puntos corregidos veremos la barra de proceso al 100%, lo cual quiere decir que los aspectos de privacidad de nuestras redes sociales y cuentas están bien configurados.

A medida que naveguemos por Internet podemos ver en la barra de navegación el complemento de PrivacyFix y consultar aspectos de privacidad sobre la Web que visitamos en ese momento.

panel

Espero que seáis conscientes de la importancia que tiene preservar nuestra privacidad en la red y lo que nos puede ayudar esta herramienta a ello. Para finalizar os dejo un video que puede darnos que pensar sobre el camino que lleva nuestra sociedad en relación al uso de las redes sociales y la importancia de las mismas:

Hasta la próxima y cuidar de vuestra privacidad porque de ella depende también la privacidad de los demás.

¡Un handshake!

@eduSatoe

“Antes de cambiar el mundo, da tres vueltas por tu casa”

Proverbio chino

Metadatos en Twitter con Rest API 1.1

Muchas veces no nos damos cuenta de la cantidad de datos que ofrecemos en la redes sociales cada vez que publicamos alguna nueva entrada. ¿Qué pasaría si accediéramos a la base de datos que utiliza cualquiera de estas redes sociales? Además de la información que vemos , ¿qué otra información guardan?

Vamos a ver que información obtenemos haciendo uso de la REST API 1.1 de Twitter que utilizan los desarrolladores de apps móviles (entre otros) para hacer peticiones al servidor y recuperar toda la información de usuarios, tweets, imágenes, etc. Aquí tenéis el enlace dentro de su sitio Web (https://dev.twitter.com).

¿Qué es REST? 

Es una arquitectura basada en el estándar HTTP y que nos permite crear servicios que pueden ser utilizadas por cualquier dispositivo cuyo cliente pueda trabajar con HTTP. Esto nos permite ofrecer un servicio Web accesible desde cualquier apps que entienda el protocolo HTTP, independientemente del sistema operativo en el que nos encontremos.

REST API 1.1 Twitter

Concretamente la tecnología que utiliza Twitter es precisamente la comentada anteriormente. Han creado para ello una API, actualmente la versión la versión 1.1, donde nos permite hacer uso de su servicio Web para acceder a los datos de su servidor. En esta versión 1.1 es necesario realizar las peticiones al servicio REST con alguno de los mecanismos de autenticación disponibles  (https://dev.twitter.com/docs/auth). 

Accediendo a la consola

Nosotros vamos a hacer peticiones a su servicio REST por medio de su consola (https://dev.twitter.com/console). 

01apiConsole

Consola de la REST Api de Twitter

Vamos a usar el método de autenticación OAuth, para lo cual debemos loguearnos con nuestro usuario y contraseña de Twitter y autorizar la aplicación de consola a utilizar como vemos en las siguientes imágenes.

01apiConsoleOAuth

Métodos de Autenticación para el uso de la REST Api 1.1

04apiOauth

Autorización de la consola

 

Consultas desde la consola

Ahora ya tenemos todo preparado para hacer consultas al servicio REST haciendo uso de la API 1.1 de Twitter. Debemos tener en cuenta que la contestación de las respuestas se lleva a cabo en formato JSON. Vamos a ver cuales son las posibilidades que tenemos accediendo a la documentación de la misma (https://dev.twitter.com/docs/api/1.1)

Ej.1 – Buscando tweets de una cuenta.

Vamos a averiguar que software ha creado ese tweet: Android, IOS, Paper.li, Buffer, Tweet Old Post… y la cuenta que lo ha creado, junto con su id.

Ejecutamos para ello la siguiente URI:

https://api.twitter.com/1.1/search/tweets.json?q=@hacking_etico y buscamos dentro de sus resultados en formato JSON la caracterítica source de cada uno de los tweets. El resultado lo podemos ver a continuación.

ej1-consola

Usuario que usa Twitter desde Android

ej1-consola2

Usuario que usa Twitter desde iPhone

 

Ej.2 – Buscando tweets en un lugar geolocalizable.

Vamos a dar unas coordenadas que podemos averiguar de Google Maps con un radio de acción de 1km y una palabra de búsqueda. 

Ejecutamos para ello la siguiente URI:

https://api.twitter.com/1.1/search/tweets.json?q=ccf&geocode=37.872371,-4.764628300000027,1km donde las coordenadas que hemos dado son las del estadio del Córdoba CF y la palabra de búsqueda es CCF. El resultado sería el siguiente:

ej2-consola

Búsqueda de tweet geolocalizable.

ej2-consola2

Tweet encontrado en coordenadas dadas.

 Conclusiones

Esta es alguna de la metainformación que podemos manejar en Twitter para obtener interesantes búsquedas, todo ello manejando sus datos como si de una consulta en una BBDD se tratase. Existen muchas otras posibilidades dentro de la API 1.1 que seguro o serán muy interesantes: filtros de fechas, relación entre usuarios, geolocalización inversa, búsqueda de lugares, búsqueda de tweets por ip, etc.

Un handshake para todos !! @eduSatoe

 “Nunca darse por vencido. Nunca aparentar.

Nunca mantenerse inmóvil. Nunca aferrarse al pasado.

Nunca dejar de soñar

Steve Jobs

Vulnerabilidad XSS en TweetDeck

Hace cuestión de horas, se ha encontrado una vulnerabilidad XSS en TweetDeck. Para el que esté algo perdido o crea que mi lenguaje es una variación del arameo, TweetDeck es un cliente para Twitter. Significa esto que es una aplicación que utiliza la API de la red social de los 140 caracteres (y los retuits, tuits, etc…) para interactuar con el usuario, ofreciéndole personalizaciones tanto de pieles, formato, retuits, etcétera.

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.

Es posible encontrar una vulnerabilidad XSS en aplicaciones que tengan entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí.

XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.

Esta situación es usualmente causada al no validar correctamente los datos de entrada que son usados en cierta aplicación, o no sanear la salida adecuadamente para su presentación como página web.

Fuente: Wikipedia

Como amante de la personalización de todo aparato electrónico, llámese móvil, tablet, PC, portátil, TV, Raspberry, etc… alguna vez he usado aplicaciones de este tipo, es más, creo que las he utilizado todas, tales con Falcon Pro, TweetDeck, Plume, Carbon, Talon, y así una larga lista. Básicamente puedes moldear tu cuenta twitter a tu gusto y sobre todo usar la función multicuenta que Twitter Oficial implementó hace ya varias versiones.

Actualmente uso la aplicación oficial, si bien es cierto que no es santo de mi devoción, pero las  limitaciones de la API de Twitter hacia los clientes de terceros hace que utilizar estos clientes en momentos de tráfico intenso, sea misión imposible. Y precisamente no es que sea paciente.

TweetxssDeck Read more

Extraer contraseñas del correo y redes sociales.

Hace poco comentamos los supuestos peligros de conectarse a una red Wi-Fi sospechosamente sin contraseña.

Expusimos a qué amenazas podríamos enfrentarnos como por ejemplo la clonación de un sitio Web tipo Facebook o Tuenti para obtener credenciales de acceso.

Esto supone un riesgo para nuestra privacidad ya que pueden fácilmente usurpar nuestra identidad. Por ello, en el artículo de hoy vamos a ver otro método para obtener contraseña de correo estando en una misma red local bien por cable o bien por Wi-Fi.

Con ello queremos demostrar que toda seguridad en tu propia red es poca, ya que con unos simples pasos estaremos obteniendo la clave.

La utilidad a usar es Websploit que podemos complementarla con algún escaner de red tipo ipscan, ettercap, etc… para identificar un objetivo.

wp

Read more

Wifi sin contraseña

Hace unos meses orienté un artículo para advertir del uso de redes Wifi sin contraseña. Planteé una serie de recursos para evitar que nos capturaran las sesiones de nuestras redes sociales así como se podrían robar credenciales a nivel general.

Pero hoy vengo a demostraros con “hechos” lo rápido y sencillo que es falsear una Web. Y es que es sumamente simple.

En el día de hoy y como nos pasa siempre a la gente curiosa como yo, probando una cosa terminas descubriendo otra y a su vez vas destapando pasos intermedios muy interesantes como este.

El objetivo es crear una Wifi libre, con salida a internet, para que algún alma errante deseosa de acceso gratuito a internet, caiga en los imanes de nuestro “perverso” plan (que poético xD).

Utilizaremos “Ghosts Phisher”, una aplicación que podemos encontrar/instalar en Backtrack 5 R3, o Wifislax 4.3.

images

Read more

Estrenamos cuenta Twitter para Hacking Ético – @Hacking_Etico

Lo dicho, a partir de hoy tenemos cuenta oficial en Twitter para Hacking Ético. El nombre de la cuenta es @Hacking_Etico, e iremos tweeteando todos los enlaces de los nuevos posts del blog, así como noticias interesantes relacionadas con la seguridad informática.

Ya podéis seguirnos, gracias por vuestra atención.

En Twitter: @Hacking_Etico

Saludos!

Acontecimientos in-seguros

Los últimos acontecimientos que se están produciendo acerca de ataques de piratas informáticos (no me gusta generalizar con la palabra Hackers) no hacen nada más que confirmar que la seguridad informática no es un capricho, es una necesidad. Empresas como Sony, Apple, Fox TV o la propia Policía han sido víctimas de algun ataque recientemente.

Lo más reciente, el ataque al perfil Twitter de la Fox, donde han publicado la noticia falsa de muerte de Obama a causa de dos disparos. Increible cómo está el mundo! Aquí podéis ampliar la información.

Apple nos tiene en vilo porque según una noticia de última hora, un grupo de hackers ha publicado que tienen datos de usuarios y clientes de la empresa. Apple no se ha pronunciado todavía al respecto. Quedamos a la espera, a ver qué nos cuentan.

Incluso la propia Policía no está a salvo de este tipo de ataques. Hace un par de semanas su Web fue atacada, seguramente con un ataque de denegación de servicio distribuida (DDOS).

Conclusión, estamos ante una época de acontecimientos in-seguros.

Saludos!

Un gusano roba las contraseñas de usuarios de Twitter

Bueno, después de unos días de inactividad en el blog, volvemos a la carga con esta noticia del robo de contraseñas en Twitter.

El popular sitio Web Twitter ha sido el último objetivo de un nuevo ataque en el que se conseguía acceso a las cuentas de usuarios para enviar spam a través de mensajes directos.

En principio, el ataque parecía ser el resultado de un modelo de ingeniería social o phishing que pedía a los usuarios que introdujeran sus nombres y contraseñas en sitios falsos, enmascarados como si se trataran de la verdadera página Web de Twitter.  Posiblemente, consiguieron hacer esto utilizando una vulnerabilidad del sistema.

Read more

Oleada de mensajes falsos en Twitter y Facebook

Tanto las redes sociales Twitter como Facebook están siendo víctimas de engaños de ciberdeliencuentes. Aunque las técnicas para engañar a los usuarios son diferentes en cada red, en ambos casos se pretende que el usuario afectado introduzca sus datos de acceso en una página Web falsa que simula la original. De este modo los ciberdelincuentes pueden hacerse dueños de la cuenta y realizar diversas acciones maliciosas en nombre del usuario víctima, incluso pueden modificar la contraseña de acceso para impedir que el usuario legítimo pueda volver a utilizar su propia cuenta. Para cada una de estas redes sociales, la forma de engañar a los usuarios es la que se indica a continuación.

Read more