lunes, septiembre 30, 2019

El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)

Y llegamos a la última parte de esta serie dedicada a mi querido, caótico, y necesario sistema de correo electrónico, pero que a la vez forzamos para cubrir necesidades que no siempre puede cubrir. Como hemos visto hasta aquí, tiene muchas carencias que yo he querido resolver en esta pequeña lista que os dejo a continuación.

Figura 17: El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)

Como principales problemas con el correo electrónico, estos son algunos de los temas a los que nos tenemos que enfrentar, y aceptar, cuando lo utilizamos. Yo los he resumido en 10 puntos que recogen, más o menos, todo lo explicado en las tres partes anteriores.
1.- Identidad del remitente: Mientras no se utilice PGP o S/MIME, la identidad del remitente de una comunicación es siempre algo muy dudoso. Por eso existen los ataques de Phishing, aunque tengamos tecnologías de mitigación como Reverse MX Lookup, SPF, Sender ID y DMARC.
2.-  Privacidad: Las comunicaciones no siempre van cifradas extremo a extremo. El sistema de correo electrónico enruta los mensajes entre servidores que están en medio del camino entre el servidor de correo saliente y el servidor de correo entrante, y mientras el usuario no cifre sus mensajes con PGP o S/MIME, los mensajes pueden pasar por tramos sin cifrar, aunque se use SMTP-S, POP3-S, HTTPs o Mutual-TLS en algunos tramos.
3.- SPAM: La posibilidad de que cualquiera pueda enviarte publicidad masivamente a tu dirección de correo electrónico es algo muy barato como para desdeñar su uso. Hemos puesto regulaciones como LSSI, LOPD o GDPR, pero muchas empresas no están sujetas a ellas o directamente las ignoran. Por supuesto, los Filtros Bayesianos, los sistemas de reporte de SPAM con interacción de usuario, las técnicas de Machine Learning y las DNSBL o RBLs (RealTime BlackHole Lists) mitigan el impacto, pero ni mucho menos acaban con él.
4.- Seguridad: Al igual que con la publicidad, las campañas de Fraude (ventas falsas, estafas "scams" etc..), de ransomware personal o empresarial, de exploits e instalación de R.A.T.s (Remote Administration Tools) para meter los equipos clientes en botnets, etc... hacen que el correo electrónico sea el canal preferido por todos.
5.- Confiabilidad: Debido a que tenemos que aplicar filtros anti-Spam, Anti-Phishing, y Anti-malware que no son perfectos ni mucho menos, tenemos una pérdida de correos legítimos de muchas personas, que pueden ser una oportunidad de negocio, una comunicación esperada o un mensaje necesario para una gestión, lo que hace que muchos acabemos llamando por teléfono a las personas a las que enviamos mensajes importantes para garantizar que el mensaje ha llegado.
6.- Productividad: Algunas personas dedican hasta cinco (5) horas al día de su tiempo a procesar el correo electrónico, lo que hace que su productividad no se esté viendo siempre mejorada por el uso de un sistema de comunicación como el e-mail. Esto se debe a que el coste de enviar un correo electrónico es prácticamente cero, muchas personas no hacen un uso responsables de las comunicaciones y tienen en cuenta el tiempo que debe invertir el (o los) receptor(es) en su lectura y contestación.  A la gente le sale barato robar tiempo de la vida profesional o personal por medio de un mensaje de e-mail.
7.- Trabajo extra: Si el miedo a perder mensajes hace que configuremos umbrales a los filtros muy pequeños, o que nos repasemos la carpeta de mensajes de Correo No Deseado cada día, los usuarios comenzarán a hacer tareas extras de borrado y clasificación de mensajes buenos o malos, revisando entre correos de spam, malware, estafas, etcétera, aquellos que son realmente útiles para el receptor.
8.- Identidad Personal: Como os he dicho antes, el uso de la dirección de e-mail como identidad en los servicios de Internet, ha hecho que compartir tu dirección de correo electrónico se convierta en una forma de desvelar todos aquellos sitios en los que tienes 
9.- Disponibiliad: Debido a todo lo anterior, las personas suelen optar por dos alternativas. O no compartir fácilmente su dirección de correo o compartir una dirección de e-mail que deja claro que no es la suya personal. En el primer caso, se produce un efecto de indisponibilidad, ya que el que realmente quiere contactar contigo por algo útil ve dificultada su tarea, generando una pérdida de mensajes que podían ser relevantes para las personas. Un efecto contrario al origen de la comunicación.
10.- Impresonalidad: En la segunda opción del punto anterior, las personas tienen a poner un buzón impersonal como forma de contacto, lo que rechaza la comunicación. No se sabe quién está detrás de ese buzón, así que genera un rechazo en las personas ya que nos imaginamos a un conjunto de personas procesando esos mensajes. Es decir, perdemos de nuevo comunicaciones.
¿Y qué hemos hecho en nuestra vida personal?

Pues nos hemos tirado a otros tipos de comunicación. En la comunicación personal nos hemos movido hacia las Redes Sociales, que son, en contrapartida con el correo electrónico, unos de los sistemas menos interoperables del mundo. Así, tenemos cuentas en Facebook, Twitter, Linkedin, Telegram, WhatsApp, Instagram, iMessage, Twitch, etcétera. En todos estos sistemas hay sistemas de comunicación en forma de chats, comentarios o mensajes privados como e-mails. Pero de nuevo se produce un problema de productividad brutal.


Figura 18: David Guapo sobre el uso de WhatsApp

Dar tu WhatsApp implica dar tu número de teléfono a personas que pueden llamarte, buscar tus identidades en la red o hacer un uso intenso de mensajería. Yo no tengo tarjeta de visita, no doy mi correo electrónico personal y mi número de teléfono lo guardo como si fuera mi tesoro. Y WhatsApp, Telegram, o iMessage están restringidos hasta más no poder. Porque además dicen cuándo estás online. Por supuesto, si lo doy poco, utilizar WhatsApp, Telegram o Instagram como alternativa al e-mail contactos con terceros a través de Internet, es algo que no me planteo.

En cuanto a las redes sociales, sucede un poco lo mismo, abiertas a todo el mundo con mucho tiempo para que pueda pedir cualquier cosa de manera gratuita. Supongo que todos os habréis topado con mensajes no solicitados de gente que no sabéis quién son que piden cosas que os llevan tiempo. En mi caso, los mensajes de hackear a la pareja son un clásico, y por supuesto, dejé de contestar por redes sociales.


Una en particular es muy curiosa, Linkedin, que deja que cualquiera que quiera enviarte un mensaje pueda hacerlo. No es necesario que sea tu contacto, basta con que les pague a ellos por poder enviarte un mensaje. Es decir, ellos comercializan tu contacto y venden tu tiempo, pero eres tú el que tengo que contestar, y hoy en día se ha convertido en una canal muy usado para ventas. 

¿Y en la vida profesional?

Muchas empresas aún sufren en productividad por el uso intenso del e-mail. Yo me enfado cuando me envían correos kilométricos o con muchas personas en copia. De hecho, suelo hacer caso omiso de un mensaje que me tiene en copia con muchas personas. Lo siento, tengo muchos mensajes que leer que van dirigidos solo a mí. Y por supuesto, los hilos infinitos de veinte mensajes deberían ser causa de despido inmediato. 

Es la peor de las productividades. Si una persona hace eso en lugar de llamar por teléfono o arreglar la solución en una reunión personal, es que esa persona sobra en el equipo. Y si la empresa lo consiente, es que hay un problema de gestión serio.

Por eso se han intentado muchas cosas, y algunas ha fructificado. En Google, que tenían Gmail se dieron cuenta de esto internamente, y decidieron apostar por Google Wave, un nuevo sistema de comunicación para grupos que cambiaba el mensaje de e-mail tradicional por algo diferente, pero no triunfó y en el año 2012 se cerró el proyecto.

Figura 20: Imagen del proyecto Google Wave

Microsoft apostó por una cosa similar en SharePoint, del que yo mismo participé en un libro de Seguridad en SharePoint 2010 junto con mi hermano Rubén Alonso y otros compañeros para ver temas de auditoría de seguridad en la plataforma y del que apenas quedan una decena de unidades antes de desaparecer para siempre. Y a base de integrarlo con Microsoft Office y el resto de tecnologías en la empresa ha ido consiguiendo perdurar, aunque no es precisamente el más querido por muchos grupos de usuarios empresariales que necesitan otras formas de comunicación.

Figura 21: Libro de Microsoft SharePoint 2010: Seguridad

Sistemas como Skype o Google Hangout - y los canales IRC en grupos de seguridad - se convirtieron en buenas alternativas en la empresa para las comunicaciones, pero al final han sido Slack y Microsoft Teams los que han dado el salto para tener sistemas de comunicación en grupos de trabajo similares a los que Google Wave proyectaba. Es decir, un lugar donde se centralicen los documentos, se puedan editar, se permitan reuniones en real-time o mensajes en diferido.

Con todas estas alternativas, las personas se han ido buscando formas diferentes de suplir al correo electrónico y evitar todos los problemas anteriores. Hoy en día, mi equipo personal y compañeros me mandan un WhatsApp que contestaré cuando pueda, pero seguro que mucho antes que un e-mail, y los desarrolladores y equipos de producto usan Slack o Microsoft Teams antes que enviar infinitas listas de mensajes de e-mail.

Por supuesto, también quedan cosas que solucionar, como lo que sería publicar un e-mail de contacto al exterior que no sufriera los diez puntos anteriores, pero en eso también estamos trabajando, porque está claro que ni las redes sociales ni las soluciones empresariales que he citado, ni el e-mail tradicional arreglan todos esos problemas.

Resurección

Los seres humanos necesitamos comunicarnos. Para socializar. Para trabajar. Para demostrar que estamos enfadados. Para decirle a esa chica que te gusta mucho. Para educar a nuestros hijos. Y en todos estos momentos el e-mail ha sido una pieza fundamental en las últimas décadas de nuestra existencia.

Como hicimos en el pasado cuando pasamos del copiar ficheros de texto de una carpeta a otra para dar el salto a SMTP y POP3, tendremos que aceptar los nuevos cambios. La disrupción está llegando a esa dirección de e-mail y tendremos que pensar en cuáles serán las funciones de ese tunombre@tuhost.com que tanto hemos utilizado en los últimos años. Tal vez sea solo para compañeros y amigos y totalmente privado. Tal vez solo sea para la gestión de la identidad.

O tal vez sea un concentrador de comunicaciones privado que debemos proteger y que interactuará con los sistemas empresariales tipo Slack o Microsoft Teams, y las redes sociales personales sin nunca ser revelado. Un concentrador que no deba ser expuesto en la red nuca para evitar todos los problemas que he citado en los puntos anteriores.

Lo que sí que tengo claro es que hemos extenuado el modelo con tantos parches, y las nuevas tecnologías están robándole cuota de uso práctico, mientras que seguimos teniendo una carga en su gestión y un foco de riesgos de seguridad y privacidad personal y empresarial.

Eso sí, contar nuestra historia como seres humanos sin hablar del e-mail sería injusto. Sería inexplicable Internet sin uno de sus servicios mágicos, míticos y más poderosos que hemos tenido la suerte de utilizar. Así que, ¡Larga vida al e-mail! Aunque tengamos que acotar o re-definir sus usos.

Saludos Malignos!

Autor: Chema Alonso Contactar con Chema Alonso

********************************************************************************************************
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 1 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 2 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 3 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)
********************************************************************************************************

domingo, septiembre 29, 2019

La vida es sueño

Me tocas con tu pie. En las costillas. Ahí donde me duele. Me retuerzo. Despacio. Entre vivo y rendido. Te aparto con el brazo. Como hacen los elefantes con la trompa a las crías. Dormir es dormir. Pero para ti es vivir más. Para mí es otra cosa. Es el momento cuando sale la carta de ajuste. Algo que ni entenderías. Es lo que hay al final de la energía. Al final del día. Es el momento en que me apago. Cuando me desconecto. Cuando solo queda lo suficiente en las pilas para suspender el sistema en un cierre semi-ordenado.

Figura 1: La vida es sueño

Tú te arrullas. No estás apagada. Estás funcionando. Te queda mucha energía. Pero en otro plano. Te has desconectado del mundo físico. Para recargar energía. Esa energía que recargas como si tuvieras baterías de Uranio enriquecido. Te he traído a la cama. Te has hecho un ovillo. A mi lado. Con los ojos cerrados. Con las piernas y los brazos colgando. Te he metido en mi regazo. Y has empezado a caminar. Y a correr. Has comenzado a bailar. Con tu vestido nuevo. Con el de Elsa. Que hoy es el día de la coronación. Como ayer. Como mañana. Y vas a bailar. Y a tocar la guitarra. Y la batería. Y a cantar las canciones. Y correr por el palacio entre las mesas rompiéndolo todo.

Te aprietas junto a mí. Para que te dé calor. Porque soy grande. Muy grande. Porque desprendo ese calor que necesitas para no tener que taparte mucho. Así vas más ligera. Así saltas más alto. Así corres más rápido. Así llegas más lejos. A un mundo con más colores. Donde las flores huelen a gominolas. Donde las nubes están hechas de aire de suspiros. De anhelos por jugar. Donde la lluvia son gotas de lágrimas de alegría de tanta risa tintineante.

Me desvelo. Me has desvelado. Con tu pie en mis costillas. No quería. Ahora tus ruiditos me mantienen enganchado a tus tramas. Vaya. Otra noche en la que no voy a descansar como planifiqué. Refunfuño. Te refunfuño. Pero no te importa. Ni me escuchas. Soy como una película que se proyecta en la sala del cine que se usa para  las que ya no son estreno. Tú estás en la sala grande. En la digital. En la 4DX. En mi sala tus sueños se filtran en esta noche oscura. Te quiero matar. Me has despertado. Y tú estás comiendo risas. De esas que luego tengo que sacarte de la tripa. Están todas ahí, guardadas. Y salen por tu garganta cuando rebusco por tu piel con mis dedos.

Intento volver a dormir. Me echo el brazo por encima de la cabeza. Para taparme los ojos más. Para taparme los oídos más. Pero no puedo. Estoy envidioso. Desando estar en tu mundo. Suspirando por si me invitas a tu aventura. Pero tú estás ya muy lejos. En un mundo al que yo no voy a llegar. Estás allí, y aquí, y más allá. En un sitio con mucha música. Seguro. Porque te vas a levantar cantando. Como siempre. Y te miro. Solo unos segundos. Que tengo que dormir. Dormir es dormir. Ya lo he dicho muchas veces. Pero tú me convences para meterte en mi cama. Y la lío.

Me fuerzo en abortar el encendido de mi cerebro. Como se active no hay quien lo detenga. Y se activa rápidamente por las mañanas. La imagen es como tener a Han Solo en mi cabeza subiendo todas las palancas para salir disparados a la velocidad de luz. Aprieto los ojos. Intento apartar cualquier pensamiento. Todos fuera. Desconexión. Desconexión. Estoy relajado. Intento bajar un nivel en el sueño. Solo uno más. Pero de repente… me tocas con tu piececito en mis costillas. Otra vez.

Y vuelvo a salir del nivel de sueño. Ya está. Se acabó por esta noche. Cada vez que utilizas tu sensor de presencia me despiertas. Me pasas el pie para saber que yo estoy ahí. Te tengo controlada. Lo haces para saber que no me he ido a trabajar sin ti. Que no estoy con mi ordenador. Que sigo velando tu sueño. Y a ti te relaja. Tocar con tu pie mis costillas es la seguridad que necesitas para saber que puedes seguir soñando. Que puedes seguir viviendo en tu mundo. Porque al final, tú no dejas de vivir ni por el sueño. Viniste a este mundo a abollarlo, y lo harás aunque sea un sueño. Porque al final, la vida es sueño, y los sueños, sueños son.

Saludos Malignos!

Contactar con Chema Alonso

sábado, septiembre 28, 2019

Enlighted (Madrid) & Navaja Negra (Albacete): Citas principales para la semana que viene.

Se acaba Septiembre, y llega el mes que probablemente tiene más citas por día del año. Siempre es un momento de participar en mil y una cosa. Desde hace años. No recuerdo un mes de Octubre en estos últimos 20 años en los que no haya tenido mil y una cosas. Así que, a prepararse que este año no va a ser distinto. Toca hacer cosas, y no pienso perderme nada de a lo que pueda llegar.

Figura 1: Enlighted (Madrid) & Navaja Negra (Albacete):
Citas principales para la semana que viene.

Como veis, el número de actividades no es alto, pero duran varios días. Y nos van a quitar algún tiempo de disponibilidad al trabajo.

02 al 04: EnlightED [Madrid]
Para comenzar, una de las citas fuertes de esta semana será la realización del evento South Summit Enlighted, en el que participaremos activamente desde Telefónica, con la presencia de nuestro Presidente D. José María Álvarez Pallete o nuestro Chief Innovation Officer, Gonzalo Martín-Villa, entre otros. La lista es enorme, y los temas que se tratan tienen que ver sobre algo que nos afectará a todos de manera muy directa: La educación del presente y del futuro. Y tendrá lugar en La Nave, en Madrid del 2 al 4 de Octubre.

Figura 2: EnlightED en Madrid
Tienes toda la información en la web del evento. Yo no sé si al final participaré de alguna manera, pero tengo muchas papeletas para que al final tenga alguna charla sobre alguno de los proyectos que estamos haciendo. Os avisaré de alguna manera si al final me toca.
03 al 05: Navajas Negras [Albacete] [*]

Una nueva edición de las Navajas Negras, y van ya 9. Ya sabéis lo que hay en este evento. Formación, Hacking, Hackers, diversión y compartición de experiencias. Yo he estado varios años y éste también voy a estar por allí dando una charla de algunas cosas que hacemos y cómo las hacemos desde Informática 64 a Ideas Locas, pasando por ElevenPaths, LUCA, Aura y Home as a Computer
Figura : Navaja Negra Conference 9ª Edición
Bueno, no sé si me dará tiempo a hablar de todo, pero sí que intentaré recorrer algunas de las cosas que hemos hecho, y lo que ha sido siempre nuestra forma de trabajar. Además, allí estarán Pablo González, Alvaro Nuñez-Romero, Carmen Torrano, Ignacio Brihuega, por citar algunos compañeros de ElevenPaths, más una lista de ponentes del nivel de Raúl Siles, Alfonso Muñoz, Santiago Hernández Ramos, Ricardo Narvaja, Amador Aparicio o Laura Garcia.
Además, aprovechando que tenemos un montón de escritores de nuestros libros de 0xWord y que vamos a tener un stand allí como todos los años, haremos un calendario para que puedas venir a que alguno de los autores que dan charla, si pueden y les pilla bien, puedan firmártelo. Ya os avisaré a lo largo de esta semana. 
03 de Octubre: Eleven Paths Talk "Filtración de documentación sensible" [Online] [G]
La filtración de documentos sensibles es un tema muy importante que toda empresa debería tener en cuenta en su estrategia de seguridad. En este webinar llamado "Principales casos de filtración de documentación sensible" analizamos los principales casos sucedidos y damos algunos consejos para que a tu organización no le pase. Durante los últimos años, hemos visto cómo distintas organizaciones han filtrado datos que en ocasiones han causado gran perjuicio en las empresas implicadas, suponiendo grandes pérdidas o dando ventajas a competidores.
Figura 3: ElevenPaths Talk
En este talk tratamos el controvertido tema de las filtraciones de documentos sensibles. Durante el webinar, mencionamos los principales casos de filtraciones sucedidos, cómo han afectado a las organizaciones y de qué manera pueden protegerse las empresas de estos actos.
03 de Octubre [Online] [G]
Ese mismo a las 19:00 día tendrás un webinar donde trataremos de extraer buenas prácticas que puedan ser aplicables a la realidad profesional de cada uno de los participantes combinando conceptos operacionales con herramientas técnicas.
Figura 4: Primera Primer webinar de ciberseguridad

Además, esta semana está teniendo lugar una serie de webinars de Hormigas en la Nube, que ayudan a los que disfruten y quieran ser responsables de Negocios Online a que descubran qué recursos hay disponibles en Internet, cómo se utilizan y cómo sacar el máximo partido de ellos. Durante estos días puedes asistir a los seminarios de Sherpa Tecnológico que son gratuitos.

Figura 5: Campamento Sherpa

Y después puedes apuntarte a las formaciones profesionales para introducirte en el mundo profesional de forma definitiva. Para ello, hay tres formaciones diferentes para adaptarse a tu nivel. El curso que tienes en la Escuela Sherpa es:

- Experto Tecnológico Profesional como responsable de negocios online

En las tres formaciones, el conocimiento y uso de las plataformas de  Internet es fundamental, y una de ellas es, por supuesto, WordPress. Por ello, todos los asistentes a las formaciones - que cuenta con eventos presenciales y formaciones online - tendrán también el libro de Máxima Seguridad en WordPress como parte de su documentación de estudio.

Figura 6: Libro de Máxima Seguridad en WordPress

Y esto es todo lo que tengo controlado para esta semana, que son pocos eventos pero largos e intensos. Espero que este mes de Octubre sea provechoso para que puedas disfrutar de muchas buenas experiencias.

Saludos Malignos!

Autor: Chema Alonso [Contactar con Chema Alonso]

viernes, septiembre 27, 2019

Data-Speaks: "V" de Viernes con "Vídeo-posts" para ponerse al día con Big Data, Machine Learning e Inteligencia Artificial

Desde hace más de un año, el equipo de Brand eXperience de nuestra unidad LUCA genera unos posts muy especiales para el blog Data-Speaks. Estos contenidos se centran en explicar conceptos comunes que se utilizan en nuestro trabajo, para que el gran público, tecnólogos y personas del mundo del negocio puedan entender mejor conceptos técnicos complejos.

Figura 1: Data-Speaks: "V" de Viernes con "Vídeo-posts" para ponerse al día
con Big Data, Machine Learning e Inteligencia Artificial

Durante este más de un año se han generado una docena de Vídeo Posts explicando estos conceptos, que van desde qué es la Inteligencia Artificial o el Machine Learning, hasta explicar qué es y para que sirve MapReduce, pasando por explicaciones sobre qué es una Cognitive Intelligence o qué tipos de analíticas podemos generar. Hoy os he recogido todos ellos en este artículo, pero puedes buscar este tipo de contenido y mucho más en el blog de Data-Speaks.


Figura: Vídeo-Post #01 : ¿Qué es la Inteligencia Artificial? 


Figura: Vídeo-Post #02 : Hadoop para torpes: ¿Qué es y para qué sirve? 


Figura: Vídeo-Post #03 : Hadoop para torpes: Cómo funciona HDFS y Mapreduce 


Figura: Vídeo-Post #04 : Hadoop para torpes - Ecosistema y distribuciones 


Figura: Vídeo-Post #05 : ¿Qué es Machine Learning? 


Figura: Vídeo-Post #06 : Los dos tipos de aprendizaje en Machine Learning 


Figura: Vídeo-Post #07 : ¿Qué se puede hacer y qué no con Machine Learning? 


Figura: Vídeo-Post #08 : Inteligencia Artificial o Cognitivia. ¿Conoces la diferencia? 


Figura: Vídeo-Post #09 : Analíticas en Big Data. Sí, pero ¿cuáles? 


Figura: Vídeo-Post #10 : IoT & Big Data. ¿Qué tiene que ver? 


Figura: Vídeo-Post #11 : Tipos de errores en Machine Learning


Figura: Vídeo-Post #12 : Perfiles de datos. ¿Cuál es el tuyo?


Figura: Vídeo-Post #13 : 5 buenas razones para aprender Python

Y para aprender muchas más cosas, recuerda que el próximo 16 de Octubre tenemos nuestro día grande en LUCA con el LUCA Innovation Day 2019 donde yo voy a dar una de las charlas. Nos vemos allí.

Saludos Malignos!

Autor: Chema Alonso Contactar con Chema Alonso

jueves, septiembre 26, 2019

El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 3 de 4)

En la primera parte de esta serie me detuve en explicar someramente cómo el correo electrónico fue creciendo desde ser un servicio para copiar ficheros de texto en sistemas de tiempo compartido a ser el elemento de comunicación por excelencia. Ese crecimiento acompañó problemas de seguridad asociados a la privacidad y la integridad de los mensajes. Había que asegurarse de que el tráfico sobre el que se envía el mensaje está cifrado y garantizar la autenticidad del remitente, y como hemos visto, no es trivial.

Figura 11: El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 3 de 4)

Aunque el uso de certificados digitales para firmar y cifrar los mensajes y una política de seguridad que ignorara el resto de los mensajes solucionaría el problema, lo cierto es que tanto PGP como S/MIME tienen un uso residual, así que el cifrado se ha dejado en manos de los protocolos de intercambio de mensajes que se producen entre el cliente y el servidor de correo saliente, y entre los servidores de e-mail en cada salto que dan los mensajes.

Hemos hecho despliegues de protocolos con capas SSL/TLS para las conexiones, y hemos encapsulado el tráfico de e-mail en protocolos como HTTPS o RPC/HTTPs para subsanar el hecho de que el usuario no utiliza los certificados digitales. Y no los utiliza por un problema de usabilidad.

Pero si para arreglar el problema de cifrado hemos tenido que solventar el problema a tramos, mitigar el impacto de no utilizar firma digital para garantizar el origen del remitente ha sido un proceso mucho más tedioso. Como hemos visto en la parte anterior hemos utilizado filtros como Reverse MX Lookup, como Sender Policy Framewok, como SenderID, Domain Key Indetified Mail y Domain-Based Message Authentication, Reporting & Conformance, además de generar índices de confianza en si el mensaje es un ataque de phishing o no, como es el Phishing Confidence Level (PCL).

Correos no deseados: SPAM y Correos no solicitados

Pero, también tenemos que lidiar con otro gran problema más, el famoso SPAM, que no hay que confundir con el “Correo no solicitado”. Ambos pueden ser considerados “Correos no deseados” según las circunstancias, pero tienen una sutil diferencia.

Mientras que el primero, el SPAM, es un correo masivo que puede utilizarse para múltiples objetivos como puede ser la publicidad, la distribución de malware, los ataques masivos de phishing, o las famosas estafas (scams), el segundo, los correos no solicitados, pueden ser mensajes de correo electrónicos enviados individualizados y enviados solo a un destinatario que, aún así, sean correos no deseados.

Figura 12: Un SPAM phishing alertándote de los ataques de phsihing

Para evitar este tipo de mensajes también hemos tenido que ir desarrollando diferentes tecnologías, herramientas de configuración e incluso algunas regulaciones para controlar la ambición publicitaria de las organizaciones.

En algunos países hemos obligado a las empresas a que marquen sus correos publicitarios con textos que puedan ser detectados fácilmente y ayuden a su filtrado, y hemos desarrollado legislaciones que prohíben a las compañías enviar mensajes de e-mail si no disponen de un consentimiento explícito de los usuarios para hacerlo. Legislaciones como LSSI, LOPD, LOPDv2 o el último GDPR tienen en cuenta este tipo de actividades, directa o indirectamente.

Esto ha funcionado con las empresas legítimas con vocación de operar dentro del marco regulatorio legal y que se ven afectadas por esas normas, pero no ha reducido para nada el tráfico generado por el cibercrimen y sus campañas de distribución de malware, ransomware, troyanos bancarios, intentos de phishing, o grupos dedicados a estafas y fraudes en Internet con sus mensajes de “scams”, etc… Ni, por supuesto, para controlar la agresividad de las compañías no afectadas por esas legislaciones que tienen listas de distribución o mecanismos de anuncios basados en SPAM.

DNSBL (Domain Name System-Based BlackHole List) o RBL (Real-Time BlackHole List)

Para ello primero utilizamos las listas de reputación de servidores de correo electrónico, para marcar las direcciones IP utilizadas por los spammers de manera clara. Esto llevó crear las DNSBL o RBL  que son listas de direcciones IP donde se introducen aquellos servidores que hacen o han hecho campañas de SPAM y que se mantiene por la comunidad de administradores de servidores de correo electrónico u organizaciones dedicadas a esto exclusivamente. Esto hace que haya personas manteniendo esas listas, a veces manualmente, y que se generen un montón de conflictos.

Puede ser que una RBL introduzca tu servidor de correo saliente por error, o porque alguien quiere hacer un ataque de Denegación de Servicio (DoS) a tu organización, y los mensajes que envían tus buzones jamás llegarán al destino. O unos sí y otros no, dependiendo de si el servidor de correo del destinatario consulta esa RBL o no.

Salir de esas listas puede ser un infierno, ya que hay que demostrar que no estas enviando SPAM. Además puede ser que tu servidor sí lo haya hecho porque uno de tus usuarios ha decidido hacer una campaña publicitaria por e-mail o ha sido infectado por un malware que se ha puesto a enviar mensajes masivamente para infectar a otras víctimas.

Una vez que ese servidor consigue salir de la RBL que le dio de alta, hay que espera que se propague correctamente, y puede ser, como es habitual, que otras listas hayan copiado los registros de esta RBL y aún el servidor aparezca listado en muchas otras, con lo que se van a seguir perdiendo mensajes de correo electrónico de forma aleatoria.

Black Lists/While Lists

Si has tenido problemas con RBLs, probablemente entenderás porque muchas personas acaban por dejar de utilizarlas y pasan a configurarse ellos manualmente sus propias listas blancas y listas negras. No solo para direcciones de servidores de correo que entregan mensajes, sino también para dominios de e-mail o direcciones alias concretas de listas de distribución que no tienen un sistema de “unsuscribe” que de verdad funcione.

En estos casos, el trabajo del administrador es alto, pero también se traslada a los usuarios, por lo que los clientes de correo electrónico tienen herramientas de reporte de mensajes como SPAM o para configurar bloqueos de remitentes por dominio o por dirección de alias.

SCL (Spam Confidence Level)

De nuevo, toda la información de la reputación de la dirección IP de los servidores, toda la información asociada al dominio, los datos reportados por los usuarios en el historial de los mensajes y modelos estadísticos basados en Filltros Bayesianos además de modernas técnicas de Machine Learning, se utilizan para generar un índice de confianza sobre si un mensaje es SPAM o no lo es. Este número se conoce como SCL (Spam Confidence Level) y se usa para establecer parámetros similares a los de PCL.

Es decir, en función del SCL se decide si el mensaje entra en la bandeja de entrada, si entra en la bandeja de entrada con alertas y funciones deshabilitadas, si va a la bandeja de “Correo No deseado” o si directamente no se entrega al usuario.

Figura: 13: Configuración de Exchange y acciones en función de SCL

Pocos son los servidores que eliminan grandes cantidades de mensajes, y esto lleva a que entren muchos en la bandeja de “Correo No deseado”, lo que hace que muchos usuarios pierdan tiempo semanalmente rebuscando en la basura a ver si algo se ha escapado.

Buzones de reporte / Buzones Sonda

Por supuesto, poder detectar las campañas de SPAM (Publicidad, Phishing, Malware, etc...) es importante para alimentar la detección temprana de campañas y poder enriquecer los algoritmos con las últimas técnicas utilizadas por los spammers.

Para eso, se utilizan buzones de decepción, es decir, buzones especialmente creados para estar en las listas de todas las direcciones machacadas por spammers que todo el tráfico que reciben es reportado automáticamente como SPAM - como si lo hubiera hecho manualmente un usuario - y enriquecer el conocimiento para establecer RBLs y SCLs al minuto.

Gamificación

Otra de las opciones en la que estamos trabajando nosotros desde haya ya bastante tiempo en ElevenPaths, es en un sistema de gamificación para premiar a los usuarios por el reporte positivo de ataques de phishing, malware y spear attacks. Es decir, cuando un usuario recibe un mensaje sospechoso, lo reporta con un plugin con la información de qué le hace sospechar que es un SPAM, phishing, o spear attack.

Figura 14: Plugin para reportar un e-mail como malicioso y ganar puntos

Esta información llega a la consola central del administrador, donde se revisan todos los parámetros que hemos visto hasta ahora. Datos de SPF, SenderID, DKIM, la dirección IP del servidor que lo entregó, información de los remitentes, el SCL, el PCL, el contenido del mensajes, los enlaces que van dentro del e-mail para saber si son maliciosos o no, etcétera.

Figura 15: Desde la consola de análisis, los administradores premian los usuarios con puntos.

Con el resultado del análisis, se premia al usuario con una serie de puntos que podrán utilizar para obtener premios, nuevos niveles dentro de la organización de seguridad - como embajador -, o ciber cooperante. Se trata de fomentar comportamientos positivos - como reportar correos maliciosos - en los usuarios de la organización.

Aún hay más: Identidad en Internet

La cosa aún se complicó más con el correo electrónico. Lo que funcionaba para enviar mensajes entre amigos, compañeros de trabajo y familiares, se complicó y funciona a medias para interactuar abiertamente en Internet - lo que ha obligado a desarrollar todas las tecnologías de protección de las que heos hablado en estas dos partes de la serie -, pero es que funciona relativamente mal para lo que lo estamos utilizando: Identidad en los servicios de Internet.

Hoy en día, la dirección de correo electrónico que utilizan tus contactos, y probablemente tú también, se ha convertido en el "Username" de los servicios de Internet, lo que ha llevado a que si alguien conoce tú e-mail, sabe dónde tienes servicios en la red. No os sorprenderá nada de esto, ya que os he estado hablando muchas veces de nuestro Dirty Business Card Reader, que a partir de tu dirección de correo electrónico y número de teléfono, buscamos en que sitios se puede saber si hay una cuenta, gracias a los info-leaks del login, de creación de cuentas o de recuperación de contraseñas.


Figura 16: Demo de Dirty Business Card Reader

Esas tres opciones en la página de login, es decir, intentar iniciar sesión, intentar recuperar una contraseña olvidad, o intentar crear una nueva cuenta, da información de si una determinada dirección de e-mail ha sido usada como nombre de usuario para tener una cuenta en ese servicio.

Second Factor Authentication

El que sea la identidad de los servicios en Internet, hace que, para robar identidades de servicios, enviar mensajes maliciosos a los buzones de las personas sea el paso más lógico. Luego hacer que la dirección de correo electrónico se haya convertido en el login, hace que se genere más correo malicioso contra los buzones de las personas para robarle todo tipo de identidades.

Por ello, hay que utilizar sistemas de segundo factor de autenticación como TOTP, OTP-SMS, Latch, etc... para proteger estas cuentas, y especialmente la cuenta que hace de piedra de clave. Es decir, la dirección de correo electrónico que está al final de la cadena para recuperar todas las contraseñas - o el número de teléfono que esté en esa posición -.

¿Y qué hacemos ahora, visto esto?

Todo esto ha llevado a un caos de comunicación brutal. En el que la gente utilizar hasta más de una decena de sitios de comunicación distintos a lo largo de su día, dependiendo de si es un amigo, un conocido, un compañero de trabajo, una persona que te contacta por Internet para trabajo o para una cosa particular.

Es decir, el número de canales de comunicación digital similares al e-mail se han multiplicado, especialmente la mensajería instantánea, y la comunicación empresarial. Pero sin ofrecer una solución que haga que desaparezca el e-mail.

Eso sí, lo que ha conseguido esta masificación del miedo al robo de la identidad en servicios de Internet - nadie quiere perder su Facebook, Twitter o Instagram -, esa masificación de los ataques de SPAM, Phishing, Malware y Scams por medio del correo electrónico, y la suplantación de identidades, ha hecho que las personas intentemos ocultar nuestro correo personal, lo que trae otras consecuencias. Pero eso ya lo veremos en la siguiente parte de esta serie.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

********************************************************************************************************
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 1 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 2 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 3 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)
********************************************************************************************************

miércoles, septiembre 25, 2019

Caldera Framework: Emulación de adversarios basado en ATT&CK

El MITRE lleva tiempo trabajando con la matriz ATT&CK, la cual ahora se encuentra muy de moda en el ámbito de la seguridad. MITRE ATT&CK es una base de conocimiento de acceso global de Tácticas y Técnicas adversarias basadas en las observaciones del mundo real. En otras palabras, con las amenazas que se han ido encontrando en el mundo real, se han ido observando que tácticas han utilizado y qué técnicas se han llevado a cabo para que la amenaza se convirtiera en realidad.

Figura 1: Caldera Framework: Emulación de adversarios basado en ATT&CK

La base de conocimientos de ATT&CK es utilizada como base para el desarrollo tanto de modelos como de metodologías de amenazas específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciberseguridad. Es algo que ayuda y mucho a entender las amenazas y cómo éstas pueden afectar o impactar en las organizaciones y estados hoy en día.

Técnicas y Tácticas ATT&CK

En este framework se hace referencia a Tácticas ATT&AK para describir los pasos de ataque, a un alto nivel. Este tipo de pasos son utilizados por un adversario. Y se definen las Técnicas ATT&ACK como una forma en la que se ejecuta una determinada táctica. Cada técnica dispone de una descripción, formas para detectarla, formas de prevención y ejemplos de amenazas conocidos que utilizan dicha técnica. En otras palabras, las técnicas son el cómo implementar una táctica. Una táctica puede disponer de diversas técnicas. Muchas de ellas utilizadas en proyectos de Ethical Hacking.

Figura 2: Libro de Ethical Hacking de 0xWord

El MITRE ATT&CK asume la brecha. Esto quiere decir que ATT&CK tiene sentido desde el momento en el que hay intrusión, por lo que, su primera táctica es la intrusión inicial. Cualquier acción realizada anteriormente a este momento queda cubierta en otro marco denominado PRE-ATT&CK.

Figura 3: Explicación de la técnica de Spear Phishing Link

La matriz propuesta va aumentando en tácticas y técnicas y ayuda a visualizar las posibilidades de las amenazas. Además, en un entorno de emulación de adversarios ayuda a ver de un simple vistazo las posibilidades de un ataque contra la organización.

Figura 4: Tácticas y técnicas en el framework

En algunos entornos, las organizaciones pueden optar por la emulación de adversarios. Herramientas como Infection Monkey o Caldera ayudan, y mucho a planificar y ejecutar los planes.

Caldera framework

Caldera es una herramienta que se puede descargar desde su Github. Los requisitos principales son Python 3.5.3 o superior y realizar una descarga recursiva desde el repositorio. Esto es importante, ya que puede evitaros algún quebradero de cabeza.

Figura 5: Caldera en GitHub

Caldera propone un nodo central donde los agentes desplegados en máquinas reportarán la información de las diferentes pruebas o técnicas ejecutadas sobre los sistemas. Al final, se supone que el entorno se ha comprometido, es decir, hay una brecha. Los agentes se pueden generar a través de código Powershell, Bat, Bash e, incluso, agentes para sistemas macOS.

Figura 6: Libro de Pentesting con PowerShell 2ª Ed de 0xWord

Los agentes se crean desde un módulo de Caldera llamado 54ndc47 o Sandacat. Como se puede ver en la imagen, los agentes muestran que están vivos. En este ejemplo, tenemos dos agentes. No se recomienda desplegar más de 20 agentes y siempre, es recomendado, simular un dominio.

Figura 7: Agentes 

Un apartado importante en Caldera es la parte de adversarios. Desde esta funcionalidad se puede configurar y planificar los ataques como si una amenaza real se tratase. Por defecto, vienen implementadas algunas de ejemplo, pero basándonos en ATT&CK y su matriz se pueden implementar amenazas reales observadas en el tiempo y que lancen las técnicas que interesen.

Figura 8: Implementación de amenazas

Una vez configurada o reutilizada una amenaza se puede configurar el plan de lanzamiento en el que los agentes ejecutarán las diferentes técnicas. Aquí se produce la emulación sobre el papel, es decir, en los sistemas seleccionados para ser comprometidos.

Figura 9: Emulación de ataques

Como se puede ver en la imagen, si la prueba sale en verde es que se ha podido obtener información o ejecutar correctamente, evitando las medidas de defensa que pudiera tener la máquina o la red. En el caso de salir la prueba en rojo es que no ha tenido éxito y se puede medir que la defensa o el control ha funcionado correctamente.

Además, si se despliega la información de la prueba se puede obtener el detalle de la ejecución. En el caso de obtener datos se pueden ver dichos datos. Sin duda, es una herramienta interesante que llama, y mucho, la atención. La emulación de adversarios es importante para la seguridad de las organizaciones, ya que se puede medir el funcionamiento de los controles preventivos, cómo reacciona el equipo ante un ataque y cómo funcionan las medidas de detección. Si no has probado Caldera o Infection Monkey es el momento.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.
Para consultas puedes usar el Buzón Público para contactar con Pablo González

martes, septiembre 24, 2019

Don Eyles, el programador que utilizó el arte del engaño para hackear el Apolo 14 y salvar la misión

Vamos a contaros una de esas Microhistorias que tanto nos gustan donde esta vez se mezcla hacking, programadores extremos (ahora veréis por qué) y el viaje a la Luna. El programa Apolo fue un hito tecnológico único, que provocó el avance de la Ciencia en varios campos como la química, aeronáutica, medicina y por supuesto también la Informática. Esta es una de esas historias no tan conocida que nos hacen ver que hubo también otros héroes aparte de los astronautas que se jugaron la vida por la Humanidad. Recuerda que puedes encontrar historias como esta en nuestro libro “Microhistorias: Anéctodas y Curiosidades de la Informática”:

Figura 1: Don Eyles, el programador que utilizó el arte del engaño
para hackear el Apolo 14 y salvar la misión

Después del desafortunado incidente en la misión del Apolo 13, poco más de un año después (acordaros del famoso “Houston, tenemos un problema”), EEUU no podía volver a permitirse otro fallo o el resto de la misión sería cancelada (aún quedaban al menos cuatro o cinco viajes más programados). De hecho, después del fracaso del Apolo 13 (en el que afortunadamente los astronautas pudieron volver sanos y salvos), esta misión del Apolo 14 estuvo a punto de ser cancelada.

Figura 2: Libro Microhistorias: Anécdotas y curiosidades de la historia
de la informática (y los hackers) de 0xWord

Afortunadamente, al final obtuvo luz verde y el cohete Saturno V despegó desde el Centro Espacial Kennedy el 31 de enero de 1971. Los astronautas elegidos para esta misión fueron Alan B. Shephard, Edgar D. Mitchell y Stuart A. Roosa.

Figura 3: Tripulación del Apolo 14, de Izquierda a Derecha, Roosa, Shepard y Mitchel

Aunque el lanzamiento y viaje a la Luna del Apolo 14 se ejecutó sin problemas, escasamente a tres horas del alunizaje, el equipo de control de tierra recibió de la cabina del módulo lunar la señal de que la secuencia de abortar se había activado. Después que los astronautas (Alan Shepard y Edgar Mitchell, que eran los que iban en el módulo de descenso o LM bautizado como “Antares”) confirmaron que ellos no habían pulsado el botón de abortar misión, control en tierra les pidió a estos que dieran un “golpecito” (así, tal y como suena) al panel donde se encontraba el indicador de dicha acción de abortar.

Cuando lo hicieron, la señal se apagó, pero poco más tarde volvió a aparecer. Estaba claro que había algún tipo de problema con el indicador, probablemente un mal contacto provocado por algún trocito de metal desprendido de alguna parte por culpa de las vibraciones de la nave.

Figura 4: Detalle del botón y el indicador de abortar misión del LM

El objetivo del botón de abortar tenía como objetivo desprender el LM en caso de que algo fuera mal durante el alunizaje. Pulsando éste, se activaría una secuencia que mandaría la nave de nuevo a una órbita segura, obviamente abortando el alunizaje. En esta fase del viaje no tenía ningún efecto, pero si dicha señal se activara de forma automática durante la fase de descenso, mandaría la nave de nuevo a la órbita lunar, sin que la tripulación pudiera hacer nada.

Es decir, si el software del módulo lunar detectaba durante esa fase que se este indicador se había activado, se procedería a abortar la misión. Los astronautas estarían a salvo, pero la misión fracasaría, y esto como ya hemos comentado antes, era algo que la NASA no se podría permitir después del fracaso del Apolo XIII.

Figura 5: Esquema del módulo lunar

Había que hacer algo con ese indicador, ya que había muchas probabilidades que éste se activara accidentalmente durante la fase de alunizaje y abortara la misión sin haber realmente un problema real. Era la 1:00 am cuando a Don Eyles le notificaron del problema en su oficina, cerca de la habitación donde se estaba monitorizando la misión. Eyles era uno de los ingenieros que había trabajado en el software del módulo lunar en el equipo de Margaret Hamilton.

De hecho, había escrito la mayoría del código del alunizaje, incluyendo aquel que monitorizaba el indicador de abortar por lo tanto era el más apropiado para solucionar el problema. Para ello, tenía que encontrar la manera que el software del módulo lunar ignorara dicha señal durante la crítica fase de alunizaje. Así, tal y como suena con todo el riesgo que esto conlleva.

Fue entonces cuando Don Eyles junto a Bruce McCoy, que era quién le había dado la noticia a Eyles y también era ingeniero de software de la misión, fueron a una habitación cercana donde tenían el listado del código fuente exacto que se ejecutaba en el módulo lunar. En esos tiempos no existían Github ni StackOverflow :) así que la única fuente de información era una copia del código fuente impreso en papel, el cual era una mezcla de código máquina y ensamblador. Cogieron un lápiz y papel, se pusieron las gafas y comenzaron a repasar el código a toda prisa, era una tarea contrarreloj.

Figura 6: Los 5 graduados del MIT delante del código que escribieron para solucionar el problema del Apolo 14. De pie: Samuel Drake y Bruce McCoy. Sentados: Lawrence Berman, Peter Volante y Don Eyles.

Entonces, a Don Eyles se lo ocurrió que, para poder solucionar el problema lo mejor era hacer creer al módulo lunar que el proceso para abortar ya estaba activo. Técnicamente era engañar a su propio software para que ignorara las señales que enviaba este indicador. Aunque parecía una locura, si esta acción se realizaba en el momento preciso, el impacto sería mínimo y no pondría en riesgo a la misión.

Es decir, el motor todavía se encendería a tiempo para el alunizaje y los astronautas, en caso de emergencia, podrían activarlo de forma manual. Esto de “hacer creer…” en el mundo del hacking se conoce como una técnica de engaño (en inglés, “deception”) la cual tiene como base la ingeniería social, pero también es utilizada para engañar en el mundo de la informática. Nuestro amigo Kevin Mitnick tiene todo un libro dedicado a ello.

Figura 7: The Art of Deception de Kevin Mitnick

Por ejemplo, algo parecido fue lo que usó Stuxnet para hacer creer a los sistemas que monitorizaban los centrifugadores de gas usados para la creación de uranio, que todo marchaba bien, mientras que otra parte del espécimen se encargaba de atacarlos causando su mal funcionamiento. De hecho, el objetivo era acelerar estas centrifugadoras a velocidades por encima de la permitida hasta que terminaban dejando de funcionar, y en alguna ocasión parece que incluso llegaron a explotar.


Figura 8: Vídeo de Don Eyles explicando el código fuente del código lunar

Después de crear el programa para realizar este bypass y realizar un par de intentos en el simulador que tenían en tierra, a tan sólo 10 minutos de quedarse sin tiempo, ya tenían listo el código que engañaría al ordenador del módulo lunar. Este finalmente fue aprobado y se preparó para ser enviado por radio a la tripulación.

El resultado final aún requeriría que los astronautas ejecutaran un procedimiento en el terminal DSKY - Display/Keyboard de abordo, que resultaría en escribir las instrucciones en el teclado del DSKY, el cual constaba 61 pulsaciones, y además de ello, también tendrían que realizar un par de pasos más, esta vez manuales con otros instrumentos para terminar el proceso.

Figura 9: DSKY

Vamos a detenernos un momento en este punto para repasar la situación extrema a la que se enfrenta Eyles y su equipo. Imaginaros la gran la cantidad de vectores de error que podían suceder en cualquier momento y las consecuencias desastrosas que podrían acarrear. Primero tuvo que programar todo el código sin un sólo fallo en tiempo récord para poder tenerlo a tiempo antes de la ventana de alunizaje (lo consiguió a sólo 10 minutos de no haber vuelta atrás, tal y como hemos comentado antes).

Después, había que enviarlo por radio al módulo lunar para que un astronauta (en este caso Allan Shepard) lo tecleara a mano, comando por comando sin cometer tampoco ningún error en las pulsaciones. Cada pulsación del teclado tendría que ser muy precisa, ya que estaban programando directamente en la memoria del ordenador de abordo durante una misión real. Un error, y las consecuencias podrían ser desastrosas.

Figura 10: Parte del código fuente del Módulo de Alunizaje escrito por Don Eyles

Afortunadamente, Alan Shepard no cometió ningún error en las pulsaciones, el código funcionó perfectamente y no hubo ningún error el proceso manual. Así que finalmente, el 5 de febrero de 1971 a las 9:18 UTC el módulo Antares alunizó sin problemas en la zona de Fra Mauro en la Luna para continuar con la misión. El 9 de febrero finalmente la tripulación amerizó sana y salva a las 21:00 UTC terminado con éxito la misión del Apolo 14. Don Eyles continuó trabajando en la NASA durante varios años más contribuyendo a que el resto de las misiones Apolo fuera un éxito total.

Y esto es todo, así que la próxima vez que te sientas bajo presión cuando estés programando, piensa en lo que tuvo que pasar el bueno de Eyles ;)

Happy Hacking Hackers!!!

Autores:

Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.
 Contactar con Fran Ramírez en MyPublicInbox

Rafael Troncoso
(@tuxotron) es Senior Software Engineer en SAP Concur, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" además del blog CyberHades. Puedes contactar con Rafael Troncoso en MyPublicInbox.

Contactar con Rafael Troncoso en MyPublicInbox

Entrada destacada

Cibercriminales con Inteligencia Artificial: Una charla para estudiantes en la Zaragoza

Hoy domingo toca ir a participar en un evento, con una charla y una pequeña demo. Ahora mismo sí, así que el tiempo apremia, os dejo una cha...

Entradas populares