10 meneos
140 clics
Me he bloqueado de mi vida digital (EN)
Anoche, un rayo cayó sobre nuestra casa y la quemó. En un instante, todo se vaporizó. ¿Computadora portátil? cenizas. ¿Teléfono? Cenizas. ¿Servidor doméstico? Un naufragio humeante. Yubikey? Un trozo de cartílago carbonizado. Para recuperar mi vida digital, necesito poder iniciar sesión en las cosas. Estoy en el infierno de la dependencia cíclica. Para obtener mis contraseñas, necesito mi 2FA. Para obtener mi 2FA, necesito mis contraseñas.
|
comentarios cerrados
Todo lo vital, al menos para acceder, debería estar en backup en USBs redundantes (dos usb con los datos). Revisados cada 3 meses o actualizados cuando toque.
Tampoco es 100% fiable (te pueden robar o invendiar la casa). Para eso, si te dá igual que un gobierno tenga acceso a tus mierdas, pues backup en la nube.
Hace años que soy muy consciente porque viví un caso similar en el trabajo. Tras años de hacer crecer el CPD con más y más servidores y más y más servicios y más y más complejidad conseguí organizar un simulacro de recuperación de desastres en fin de semana. Así que me planté el sábado con un par de compañeros de trabajo y hicimos una parada de toda la infraestructura. Al arrancar de nuevo todo el sistema éste no arrancaba, se encendían las luces pero el sistema operativo se quedaba en la pantalla de arranque, parecía que estaba trabajando pero tardaba y tardaba y tardaba y tardaba. Fuimos pacientes pero la cosa no tenía ganas de arrancar, teníamos el fin de semana por delante para resolverlo pero iban pasando los minutos y luego las horas tras varios intentos.
Finalmente arrancó y pudimos ver los logs a ver cual era el problema. Resulta que el sistema intentaba resolver nombres DNS y tenía un tiempo de espera largo para darse cuenta que no lo resolvía, y a cada paso del arranque le pasaba lo mismo, el servicio DNS lo tenía el servidor principal y no lo arrancaría hasta que hubiera arrancado el sistema el cual quería resolver peticiones DNS para cada parte de su arranque. Habíamos creado una dependencia excesiva del DNS para el servidor que debía proveer de ese DNS y que en arranque en frío no encontraba ni su propio servidor DNS, aún no arrancado, ni el del servidor DNS secundario, que tenía el mismo problema.
Lo pudimos resolver, aunque no recuerdo en detalle qué hicimos si reducir dependencias o tener un Linux con una réplica del DNS o algo así, pero me quedó grabado a fuego que el que todo vaya bien durante demasiado tiempo puede ocultar problemas graves en caso que las cosas vayan mal y necesites empezar desde cero un arranque o algo similar.
Esa experiencia me permitió justificar otros tantos simulacros de recuperación de desastres y de restauraciones de toto tipo fuera de horario laboral.
A mi me robaron la cuenta mediante la técnica de SIM swapping que le llaman. Flipante. Vivo lejísimos de Madrid y sacaron toda la pasta de un cajero. Pusieron el límite que quisieron. El banco me devolvió la pasta en un par de semanas pero nunca me dio documentación al respecto.
Es porque a ti no te robaron dinero, robaron al banco. Tú solo le informaste al banco que les habían robado, no necesitan darte ningún tipo de documentación.
Corresponde al banco asegurarse que es el titular de la cuenta quién ordena la retirada, traspaso o cargo, solo si es el titular de la cuenta pueden reducirse la deuda con éste. Si no es el titular de la cuenta es que alguien le ha robado al banco.
- Mamá, ¿Dónde dejaste el USB éste que te pedí que guardaras?
Y tu madre te responda con un despreocupado:
- En su sitio.!!
Al autor no le pasó nada de eso, es un artículo sobre lo más grave que pudiese pasar aún cuando has tomado medidas preventivas.
Mi teléfono se quedó sin cobertura y no se enganchaba a la red y pensaba que se me habia escacharrado. Fue de hecho la operadora la que se puso en contacto conmigo (bueno, con otra línea de la misma cuenta digamos).
Insisto: no digo que no son seguros, sino que yo prefiero asumir que no lo son, y lo que se suba a un servidor que no sea mío, lo doy por accesible. Otra cosa es que a la CIA se la sude mis contraseñas o lo que yo tenga.
Voy a hacer esto. Me compro tres pendrives baratos y meto dentro un fichero que yo pueda descifrar. Tengo memorizado mi "password ultralargo". Los podré en tres sitios distintos, a Km uno del otro. Decidido.
Veracrypt es lo que uso.
El problema es actualizarlos. Van a tener que ser seis, para ponerle rotación a la cosa. No problemo. Tendrán que ser físicamente grandes para ponerles etiquetas.
Pero, ¿Cómo puedo añadir una segunda capa de protección? ¿sobreencripto? ¿plausible deniability? ¿los escondo? No, esconderlos no añade seguridad. "security thru obscurity" es pecado.
any idea?
mmmmmmmmmmm
"shared secret" ? Hacer que sean necesarios dos de los tres para recuperar el contenido. Pero requiere la misma versión de datos. Solventable. Solo los passwords es algo que cabe miles de veces ahí dentro. Puedo tener multiversión ahí dentro.
O dos de cuatro, puedo tener uno yo en casa también.
Algún software para shared secret? Windows, please.
Cuando intentes acceder a la cuenta de Gmail con tu contraseña posiblemente te diga que no reconoce el equipo y que ha mandado una notificación al móvil para que confirmes que eres tú, móvil que no tienes porque se ha quemado junto al resto de la casa.
O cuando intentes acceder a tu cuenta de LastPass con tu contraseña posiblemente te diga que no reconoce el equipo y que te ha mandado un correo electrónico a tu cuenta de gmail para que confirmes que eres tú. Cuenta de gmail a la que no puedes entrar porque necesita que respondas a una notificación en el móvil que no puedes ver porque se ha quemado junto al resto de la casa.
Yo no sé si la tarjeta de coordenadas es más segura, ya que se puede perder o robar. Pero el SMS tampoco es de lo más seguro.
En mi caso el cuello de botella seria analogico (conseguir el dni nuevo, tarjeta del banco y sim, carnet de conducir y tarjeta sanitaria), no digital. Y como hace cuatro años me robaron la cartera y el movil sé que no es para tanto, es un coñazo pero en unos dias de gestiones lo solucionas todo.
Te va a bloquear y va a intentar que demuestres que eres tú, si le has dado pocas herramientas para hacerlo lo que consigues es dificultarte esa tarea a ti.
crypto.stackexchange.com/questions/86846/is-mega-nz-encryption-vulnera
Ojo, no veo mal que asumas lo que dices para no pillarte los dedos, pero te lo comento por si te da curiosidad.
Loguearse con google cada vez es mas coñazo y cada vez te piden mas cosas para verificar que eres tu
De hecho Dropbox es un truñete pero es más conocido. Y en cuanto a mensajería por ejemplo WhatsApp (aparte de Telegram) también tiene la mensajería cifrada, el problema es que al estar tan extendido es más fácil que sea blanco de ataques como el que se aprovechaba de una vulnerabilidad para meter el Pegasus con un zero click.
He encontrado Secret Sharp que por lo menos funciona y tiene GUI. Solo permite desdoblar una tira de caracteres, pero con eso puedes reconstruir la clave de encriptación de un fichero. Justito pero suficiente.
Usaré el secret splitting para la clave de encriptar mi key file. Los pendrives estarán dentro de una "caja de seguridad para llaves" en los sitios donde pasa más gente. Esto es mi tercer nivel de seguridad. Las cajas van con un código de cuatro dígitos. Es rídículo pero no venden de más a no ser que sean electrónicas, y yo no me fio de nada que lleve pilas. Quien quiera abrir la caja, podrá, pero cuesta unas horas. Así no dependo de ninguna llave que podría perderse.
Esto de los códigos es de miedo. Te venden cajas para dinero con un cerrojo ridículo que cualquera puede abrir sin necesidad de romper nada, o con un código de TRES dígitos, que se abre en minutos. Hay candados con un máximo de cinco dígitos; seis sería decente. Pero atención!! No se venden cajas de acero para candados (única excepción son las de "bloqueo de grupo" que no valen para dinero, son carísimas y te tienes que ocupar tú de la importación).
Todo el software necesario irá copiado en cada pendrive. Menos el windows 10.
Con dos pendrives de los tres puedo recuperarlo todo, con solo recordar un password que tengo memorizado desde hace muchos años.
Quizás debería usar sobreencriptación para los datos. Debo asumir que un pendrive de estos caerá en las manos de quién no debe.
Planeo hacer rotación de cada pendrive trimestralmente. No hace falta más. Puedo aprovechar las visitas que debo hacer de todos modos.