lunes, febrero 28, 2022

Telefonica Kernel: Codename "4ª Plataforma"

Comenzamos en el año 2016, cuando tuve el enorme honor de ser nombrado Chief Data Officer en Telefónica, a construir la llamada 4ª Plataforma. Una infraestructura tecnológica de servicios que integrara los datos y las APIs de todos los servicios de Telefónica en una solución Cloud para poder construir los nuevos productos y servicios digitales. Un viaje que se antojaba harto largo y complicado, pero para eso están los proyectos especiales, para disfrutar cuando estas en el medio del lío con él.

Figura 1: Telefonica Kernel: Codename "4ª Plataforma"

Fueron muchos días de dar pasos de bebé, de comenzar a tener una primera versión, de normalizar un API, de normalizar un primer conjunto de datos, de integrar un primer autenticador, de conectar el primer servicio digital, de dibujarle un día Aura a Satya Nadella para que me echara un cable, de crear después  AURA, de lanzar una aplicación móvil nueva para toda Telefónica, de aumentar el conjunto de datos normalizados, de incrementar el número de APIs, de crear Movistar Home, de integrar Aura con la televisión, de meter más conjuntos de datos normalizados, de meter las APIS en una organización plataforma unificada llamada Home as a Computer, de volver a normalizar nuevas APIs, de integrar SmartWiFi, de integrar las APIs de control de televisión, de lanzar Aura en el Contact Center de Brasil, de poner AURA como interfaz para el mando vocal de la plataforma de televisión, de meter más datos normalizados, de volver a incrementar el número de autenticadores, integrar las vídeollamadas de Movistar Home con la televisión de Movistar+,  de meter la pasarela de pagos en la televisión, de integrar segundos factores de autenticación en la cuarta plataforma, de integrar SmartWiFi con la aplicación móvil de Mi Movistar/Meu Vivo, de integrar Conexión Segura en SmartWiFi, de meter más datos normalizados, de poner la gestión de consentimientos, de sacar las Living Apps, de integrar funciones de SmartWifi con la app de Prosegur Alarmas, de lanzar las primeras Living Apps, de integrar podcasts y radio con Movistar Home, de meter más APIs, de integrar Twitter Moments en Movistar Home - y de integrar a La Liga en Movistar Home -, de hacer el Picture-in-Picture en la plataforma de televisión, de integrar Aura con WhtasApp, de seguir normalizando datos, de volver a pensar en las nuevas APIS...


Figura 2: Demo de SmartWiFi, con Aura, Living App en el Hogar Digital

Sí, el párrafo anterior ha podido ser un poco agobiante, pero han sido años de trabajo. De mucho trabajo de muchas personas que han estado haciendo tecnología para construir esa 4ª Plataforma en lo que es hoy en día. El corazón de la creación de productos y servicios digitales en Telefónica. Un lugar donde están los autenticadores, la gestión de consentimiento, el acceso a los datos normalizados y las APIs para hacer tecnología con las capacidades de Telefónica, con una pasarela de pago integrada y un asistente digital como Aura.


Figura 3: Living App de TikTok Extra

Así que, nuestro viaje en la estrategia Data-Centric, que comenzó en aquel año 2016 está en un fase muy divertida y acelerada. Ahora ya la 4P no es una desconocida, ni un proyecto de innovación, ni algo que haga mucha falta explicar, ya que esa 4ª Plataforma es donde se integran los datos, la autenticación, la gestión de los consentimientos, los dispositivos en el hogar, las APIs que utilizan todos los servicios, etcétera. El core tecnológico de los productos. Así que, con buen criterio, el equipo de marca ha querido terminar con el Codename "4ª Plataforma" que hemos usado durante estos años, para bautizarlo como Telefónica Kernel, porque es eso, el kernel digital de las plataformas, productos y servicios digitales de Telefónica


Figura 4: Compra de entradas con Rakuten en Movistar +

Y por eso en este último tiempo habéis podido ir viendo cómo íbamos integrando con mucha velocidad muchos partners en nuestro ecosistema. Habéis visto cómo SmartWiFi pasó a ser una Living App, se integró con Conexión Segura, metimos la optimización de canal, los perfiles de uso de usuarios, etcétera. Cómo en Movistar Home integramos Ivoox, Twitter Moments, vídeo llamadas ViLTE, videoconferencias con Zoom y el panel de control de las Living Apps. Como hemos integrado TikTok Extra, Twitter TV recientemente, GamePass de Microsoft XBox o Fortnite. Cómo integramos una plataforma de TV-Commerce y lanzamos las tiendas de Tu.Com, de De Buen Café, de Hawkers, y recientemente cómo hemos integrado con Amazon la venta de productos de su e-commerce. Pero también integramos Podium, PhiBetaGamma o Podimo en la televisión, creamos Movistar Campus, hicimos el concurso de Movistar Sound Atrévete, o integramos la compra de entradas para espectáculos desde televisión con Rakuten.


Figura 5: Living App de Twitter en Movistar+

Pero todo esto no es ni un poco de todo lo que hemos hecho, lo que vamos a presentar hoy en el Mobile World Congress y lo que va a llegar en breve. Porque al final, lo que nos permite contar con Telefónica Kernel (Codename "4P") es eso, integración rápida de servicios digitales en nuestras plataformas y nuestros sistemas. Así que, hoy haré, en mi charla de apertura del ágora en el stand de Telefónica, un recorrido de este viaje desde que comenzamos con la 4P hasta los últimos acuerdo con Microsoft, Shopifiy, Amazon, Meta, TikTok, Twitter, o Rakuten de los que hablaré hoy.
En mi experiencia personal, este viaje ha sido intenso. Muy intenso. Porque en los comienzos de todo viaje, cuando aún los resultados están por llegar, la presión suele ser mucho más fuerte, y a veces, difícil de soportar, Pero si hay algo que tenga Telefónica es fuerza en sus compañeros. Por eso, en aquellos momentos al inicio, fueron ellos los que ayudaron a empujar con apoyo, con pequeñas y grandes ayudas, a que la rueda se moviera. Hoy en día, que Telefónica Kernel sea una realidad es gracias a todos ellos, y gracias a todos los ingenieros que han hecho posible los trillones de líneas de código que suman todas las tecnologías creadas durante estos seis años.... que son solo el principio de lo que tenemos por delante.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, febrero 27, 2022

OpenExpo Business Live: Cloud Day 2022 en Vídeo

Ya puedes ver todas las sesiones del OpenExpo Business Live: Cloud Day 2022 en vídeo, que las he subido a mi canal de Youtube, donde están las tres ponencias y las dos mesas de debate esponsorizadas por Microsoft y Google, que además llevan asociadas dos campañas de Tempos patrocinados en MyPublicInbox que puedes utilizar en la plataforma. Además, los ponentes y participantes en esta jornada, los tienes para contactar con ellos en la sección de Perfiles Públicos, en la etiqueta CloudDay2022.


La jornada está formada por tres ponencias y dos mesas de debate. que podéis ver a continuación.  La primera sesión es una ponencia a cargo de Nacho Fernández, que es Business Development Manager para SMB Partners & Products en Arsys y que habla de "Cloud Services: el camino hacia la Nube".
La siguientes es la mesa de debate cuenta con la presencia de ponentes de la talla de María Álvarez, Responsable de Políticas Públicas y Relaciones Gubernamentales de GoogleGema T. Pérez RamónDirectora de la Agencia Tributaria de Madrid del Ayuntamiento de MadridJorge BermúdezFiscal experto en ciberseguridad de la Fiscalía General del Estado y Sofía Fernández VázquezJefa de Gabinete del Área Delegada de Innovación y Emprendimiento del Ayuntamiento de Madrid, donde se habla de Cloud Computing para la Administración Pública.


Después tenemos a Matias Sosa, que es Cloud Specialist & Product Marketing Manager en OVHCloud, que habla de "¿Por qué adoptar soluciones PaaS en Cloud?" Algo que suele significar procesos de re-ingeniería de aplicaciones, productos y servicios pero que tiene sus ventajas, ya que se aprovecha de las principales capacidades de la tecnología de Cloud Computing.


Posteriormente tenemos la mesa de debate de Cloud Native Developed Business Apps en la que contaremos con Ignacio Melero, que es Azure Developer Technical Lead en MicrosoftDaniel Suarez, que es el CEO de Zapiens.aiEstela Gil Berlinches, consultora especialista en eCommerce, Marketing Digital y SaaS, y Gabriel Cuesta Arza, que es el CIO/CTO en Mobius Group.

Figura 5: Mesa de debate "Cloud Native Developed Business Apps"

Y para completar la jornada, tendremos una sesión de Vittorio Cioe, que es Principal Solutions Engineer de MySQL Oracle, que habla de "Cómo crear soluciones preparadas para el futuro con MySQL Database Service y HeatWave". 

Además, el evento estará presentado por Beatriz CerrolazaCEO de Alise Devices y MyPublicInbox, junto con Andrea AndradeMarketing Communication Manager en OpenExpo Europe y si quieres comunicarte con los ponentes, puedes hacerlo a través de MyPublicInbox, que están contactables en https://mypublicinbox.com/publicprofiles/CloudDay2022

Y ahora, a disfrutar el domingo, que mañana comienza el Mobile World Congress y nos traerá una semana por delante más que intensa. Disfruta con los tuyos, que el tiempo es precioso.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, febrero 26, 2022

El "leak" del corrector en WhatsApp para iPhone y MacOS que te la puede jugar

Hoy os voy a contar un pequeño leak de WhatsApp (y no solo WhatsApp) que te la puede jugar, y que sirve para que te controlen un poco sin que tú lo sepas. Y lo que os voy a contar en forma de experiencia personal que podría haber sido, para que sea una pequeña historia divertida, pero que podría acabar en tragedia si no conoces este leak y lo usan para controlarte. Os la voy a contar en forma de cuento, narrando algo que podría haber sido así, o tal vez no, pero que sirve para ilustrar este leak.

Figura 1: El "leak" del corrector en WhatsApp para iPhone y MacOS que te la puede jugar

Digamos que, hace mucho tiempo, en otra dimensión, cuando los dioses aún eran jóvenes, y los hackers pensaban en jugar con la tecnología por el amor al bit, yo estaba sentado con mi ordenador, enredado con un bug que había descubierto hace poco y que aún me tenía enganchado. Muy enganchado. Estaba probando por arriba y por debajo, por la izquierda y por la derecha para ver cómo construir un exploit consistente. Sentado en mi sofá, mirando la pantalla de mi Mac y viendo cómo el tiempo se me acababa. Y se me acababa porque tenía que ir a una conferencia de asistente en el centro de Madrid. Y ya iba con la hora pegado.

Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Pero estaba jugando con mi exploit, y no quería soltarlo. Así que estaba apurando el tiempo. Tanto lo apuré, que ya me di cuenta de que no iba a llegar a la conferencia. Porras. Bueno, no pasa nada. Realmente me había registrado en esa conferencia porque me pillaba bien para una comida que me había puesto después justo al lado. Así que con llegar a la hora de finalización de la conferencia, me valía. Y seguí trasteando.

Al rato, mi contraparte en esta comida, me preguntó por WhatsApp:

- "Hola Chema, ¿estás ya en la conferencia?"

No estaba yo para perder tiempo, así que puse un escueto mensaje desde mi WhatsApp Desktop en el Mac OS con el que estaba trasteado.

- "sí"

A los pocos segundos, me volvió a insistir con una pregunta de esas en las que solo hay dos respuestas. Confesar, o meterte en el lío tú solito.

- "¿Seguro?"

Yo puse cara de extrañado mientras miraba el mensaje en el WhatsApp Desktop de mi Mac OS y sin saber por qué esa insistencia. Pensé que a lo mejor también estaba por allí en la charla. Pero no podía ser, porque tenía otro asunto a ese mismo horario en otro lugar y no podía venir a la conferencia conmigo, así que dije:

- "sí, ¿por?"

Vale, como veis, ya había decidido meterme en el lío con la esperanza de salir con ese mensaje. Me había saltado mis responsabilidades y por no dar explicaciones, me había metido en un lío como hacemos los que nos enredamos con nuestros propios pensamientos. 

Lo cierto es que no me apetecía ir mucho a la conferencia, y me registré solo por tener el tiempo bloqueado en la agenda y no ir a ningún otro plan - al otro -, y al final me quedé jugando con mi exploit pensando en que nadie se daría cuenta, pero ahora estaban a punto de pillarme escaqueándome, por medio de un interrogatorio para el que yo debía ser fuerte.

- "Pues porque no puede ser. Estás con el Mac y eso es porque seguro que no has ido."

Mi cara era un poema en ese momento. ¿Cómo sabía que estaba con el Mac Book? ¿Cómo sabía que no había ido? No podía ser. Así que me tiré a la piscina.

- "ni que estuvieras tú aquí..."

Esto en el mus se llama un "envido más", pero como os podéis imaginar, y como yo sabía desde el momento uno en que comencé la frase me iba a salir rana.

- "No me hace falta."

Cara de póker hacia a la pantalla del Mac. Mirada alrededor de salón despacio y de reojo. Revisión de estar vestido por si alguien me está vigilando. ¿Hay cámaras de vigilancia? ¿Ein? ¿De qué va esto? ¿Cómo puede saber que estoy con el Mac OS  y no con iPhone?

- "¿ah sí? y ¿por qué no te hace falta?"

Esto es el órdago con dos pitos que se echa antes de que te saquen dúplex de reyes a pares, y que, aunque aún no sabía cómo tenía los cuatro reyes, sí que sabía que ese iba a ser el desenlace, porque en esas situaciones solo toca eso: Palmar.

- "Chema, todas tus frases comienzan por minúscula. Cuando usas WhatsApp en iPhone el corrector automáticamente te pone la mayúscula al principio. Estás con el Mac donde al usar WhatsApp no hay corrector, así que estás volado escribiendo porque estás liado con algo y no pones ni mayúsculas.

- "ESO NO ES VERDAD."

Juego y Partida. Listo.

Y si te fijas, es verdad. Basta con que entres en un chat de WhatsApp para iPhone (creo que es igual para Android), seleccionas el cuadro de escritura y automáticamente se activa la mayúscula.

Figura 3: Por defecto, Mayúsculas activadas

No pasa lo mismo en un WhatsApp Desktop donde es tu teclado el que manda. Si está en minúscula, pues está en minúscula, así que comenzarás la frase sin utilizar una palabra en mayúsculas.

Figura 4: En WhatsApp Desktop no hay correcto y comienza como tú lo hagas

Esta historia no sucedió. Pero podría haber sucedido en otro universo del multiverso. Y lo cierto es que este pequeño leak lo he comprobado con muchas personas de mis grupos de WhatsApp. Las que escriben más rápido y con menos cuidado sus mensajes, y funciona. El corrector les delata en los terminales móviles, y en las versiones de WhatsApp Desktop y WhatsApp Web empiezan sus frases con minúsculas. Ojo, no siempre es así, pero desde que conozco este leak del corrector, procuro poner mayúsculas siempre.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, febrero 25, 2022

MorterueloCON: Ponencias y Código 10 % descuento en @0xWord Disfrutad la @morteruelocon

El día 25 de Febrero es el día grande de las ponencias en la MorterueloCON, que se podrán seguir por streaming. Solo debes registrarte - que es gratis, y si quieres, dejar un donativo -, pero sobre todo disfrutar el día de charlas y talleres. Y desde 0xWord mis compañeros han querido colaborar, además de Singularity Hackers. Han donado unos libros, y han abierto un código descuento para este fin de semana con un 10% de rebaja del precio de todos los libros de 0xWord en la tienda online. El código es: MORTERUELOCON22

Figura 1: MorterueloCON: Ponencias y Código 10 % descuento en la tienda de 0xWord
Disfrutad la CON. Código Descuento: MORTERUELOCON22

En la web del evento tenéis las charlas, los ponentes, los horarios, las actividades extras online, y las actividades extras en persona, así que si tienes el más mínimo interés en sacar algo de conocimiento y formación de este mundo de ciberseguridad y hacking, échale un ojo a la web de la MorterueloCON.

Figura 2: David Meléndez, Josep Albors, Eloy Villa y Yolanda Corral en la MorterueloCON.

De las charlas y actividades, poco que decir de toda buena CON con solera, como esta, que se precie. La lista de ponentes y colaboradores tiene a David Meléndez - autor del más que famoso libro de "Hacking con Drones: Love is in the Air" de 0xWord, al veterano en estas lides Josep Albors de Eset, a Eloy Villa, la gran Yolanda Corral de Palabra de Hacker, Carlos Lourerio, al gran Angelucho de X1Red+Segura, a Ana Isabel Corral García, a Jezer Ferrerira o Miguel Carrillo y Marta entre otros, que puedes ver en la web.

Además, para que sea más fácil seguir el evento, en la web han puesto la lista de charlas con los horarios den latinoamérica, para que sea más fácil aún no perderse una charla por problemas con la conversión de horas y los horarios de verano o invierno. 
Y como siempre, lo mejor es poder disfrutar de lo que se aprende, de lo que se comparte, de jugar al CTF, de lo que te llevas para pensar después de pasar por una CON como la MorterueloCON. Mis mejores deseos al equipo organizador, que cada CON que se realiza es un aporte de conocimiento a la comunidad, así que: gracias por el esfuerzo
Y si tú también quieres contactar con ellos, apoyarlos, y ayudarlos, puedes hacerlo también a través de su buzón público en MyPublicInbox: MorterueloCON.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, febrero 24, 2022

Campañas de Tempos Patrocinados de Google Cloud y Microsoft Azure en @MyPublicInbox por el OpenExpo Business Live: Cloud Day 2022

Esta tarde, a partir de las 16:00 horas de España, podrás seguir en directo el OpenExpo Business Live: Cloud Day 2022 - aún puedes registrarte aquí si te das prisa -, donde podrás seguir las sesiones y las mesas de debate que tenemos alrededor del uso de las soluciones de la nube para transformar los negocios, para mejorar el funcionamiento de la administración pública, y para acelerar el emprendimiento. En el artículo que os publiqué del OpenExpo Business Live: Cloud Day 2022 tienes la agenda detallada.

Figura 1: Campañas de Tempos Patrocinados de Google Cloud
y Microsoft Azure en MyPublicInbox por el
OpenExpo Business Live: Cloud Day 2022

Pero además, para que puedas contactar con los ponentes, hemos creado una categoría en MyPublicInbox para que todos sean fácil de localizar en CloudDay2022, donde tendrás el buzón público de todos los ponentes.
Pero lo más importante es que, gracias al equipo de Google Cloud y al de Microsoft Azure, hay dos campañas de Tempos Patrocinados disponibles para que consigas 100 Tempos gratis que puedas utilizar en la plataforma de MyPublicInbox. Además, son campañas que están disponibles para todos los perfiles de la plataforma, y las encontraras en la sección Ganar Tempos.

Figura 3: Campañas de Ganar Tempos en MyPublicInbox

El proceso es muy sencillo, deberás ver un vídeo para cada una de las campañas, y responder una pregunta sobre el contenido del mismo. Y cuando aciertes la respuesta, entonces recibirás los Tempos en tu buzón que podrás utilizar.

Figura 4: Vídeo de Google Cloud & Spotify

En el caso de Google Cloud, el vídeo es un ejemplo del trabajo que han hecho con Spotify, para transformar la compañía, y al finalizar este vídeo, que es de poco más de un minuto, tendrás que responder a una pregunta, si aciertas, los Tempos son tuyos.

Figura 5: Cuando aciertes, tendrás tus Tempos patrocinados

Y en el caso de Microsoft Azure, tenemos una campaña similar de Tempos patrocinados en MyPublicInbox. El vídeo en este caso es más sobre explicar el funcionamiento del Cloud Computing, los Centros de Datos de Azure, y cómo funciona en el día a día de las empresas, los negocios y la vida de las personas.

Figura 6: Campaña de Tempos patrocinados de Microsoft Azure

Y las preguntas que te pueden salir son de prestar atención a lo que se te cuenta en el vídeo, que luego hay un examen para garantizar que has visto en detalle lo que se contaba en él. Si no, tendrás que volver a verlo.

Figura 7: Una de las preguntas de la campaña de Microsoft Azure

El número de Tempos es limitado, así que estará disponible para los primeros que pasen el proceso dentro de MyPublicInbox, con lo que cuanto antes lo hagas mejor, y así podrás tener tus Tempos disponibles desde ya mismo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, febrero 23, 2022

"Malware moderno: Técnicas avanzadas y su influencia en la industria" en @0xWord

Cuando nace un nuevo libro en la colección de 0xWord siempre es un momento de celebración, y éste especialmente mucho más, porque ha sido mucho tiempo de trabajo para conseguir que viera la luz. El libro de más tamaño de la colección de 0xWord, con un trabajo de muchos, muchos, muchos meses desde que Sergio de los Santos comenzó a plasmar su experiencia de años en el mundo del malware para explicar cómo funcionan las técnicas más avanzadas hoy en día y cómo han ido afectando a toda la industria de la ciberseguridad.


Después, cómo no, Rodol se puso a diseñar la portada, e hicimos varias iteraciones hasta que termino saliendo esta preciosidad de portada que seguro que se queda grabada en la retina de todos vosotros. Esa ilustración que hemos usado representa a los "researchers" enfrentándose a un malware cada vez más poderoso y evolucionado. Y nos encantaba la composición en esos tonos anaranjados de atardecer. Me encanta el trabajo final.


Y por supuesto, lo mejor el contenido, que son 366 páginas de explicaciones, análisis de malware, ejemplos, practicas, demostraciones, nuevo entorno, nuevo ejemplo, demostración, análisis, etcétera. Todo para entender de la mejor manera posible cómo funciona el mundo del malware hoy en día y como el juego del gato y el ratón impulsa a toda la industria de la ciberseguridad. Os lo he dejado subido a mi canal de SlideShare para que lo podáis ver.


El libro ha sido una "pechada" de Sergio de los Santos, y estoy seguro que, al igual que Máxima Seguridad en Windows que va por la Gold Edition, este se convertirá en una obra de referencia para años venideros, porque si quieres comenzar y entender el mundo del malware, cómo funciona, cómo se analiza, y empezar una carrera profesional como analista de seguridad, te pondrá en otro nivel.


Además, puedes contactar con Sergio de los Santos a través de su buzón de MyPublicInbox para resolver dudas, cuestiones, o proponerle cualquier propuesta que le quieras hacer. El libro, como todos los de 0xWord, lleva asociados 100 Tempos de MyPublicInbox para que puedas usarlos en la plataforma, y empezar a mantener una relación con él autor del libro si lo deseas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, febrero 22, 2022

El 1 de Marzo comienza el Máster en Ciberinteligencia en el Campus Internacional de Ciberseguridad

El próximo 1 de Marzo de 2022 además de dar comienzo la 10ª edición del Máster en Ciberseguridad en el Campus Internacional de Ciberseguridad, también comienza una nueva edición del Máster en CiberInteligencia que dirige el gran Vicente Aguilera de ISEC Auditors, y para el que queda aún alguna plaza, así que aprovecho para dejaros información de este máster.


Figura 1: El 1 de Marzo comienza el Máster en Ciberinteligencia
en el Campus Internacional de Ciberseguridad

Esta es la 7ª Edición de este máster, que tiene un año de duración, se hace un barrido completo por las principales disciplinas de la ciberinteligencia, con un fuerte trabajo en OSINT, SOCMINT y trabajo en la Deep Web, hasta cubrir un total de 10 Módulos, siendo el último el Proyecto Final de Máster. Estos son los módulos:

Si quieres conocer más de este Máster en Ciberinteligencia, te recomiendo esta charla entre Juanjo Salvador y Vicente Aguilera, donde hablan de todo lo que puedes ver y encontrarás en este programa de Máster, para que sepas bien en qué disciplina te estás metiendo.


El profesorado, como siempre, con Vicente Aguilera a la cabeza, en el que participan Carlos SeisdedosYaiza Rubio, Felix Brezo, Selva OrejónIvan Portillo, Eduardo Sánchez, Hugo Zunzarren, entre otros. Y donde yo estoy como mentor también.


Además, todos los alumnos reciben Tempos de MyPublicInbox, y libros de 0xWord para completar su formación, que en este caso son los libros de Deep Web y Técnicas OSINT, que sirven para completar la formación de este máster que vas a realizar durante todo un año.

Figura 5: Libros de 0xWord en el Máster en Ciberinteligencia.

Lo más importante es que, todos los profesores que tienes en este Máster en Ciberinteligencia son profesionales de este campo laboral, así que vas a tener información y conocimiento de primera mano. Así que, si te haces este Máster en Ciberinteligencia es porque vas a tomarte en serio lo de trabajar en esta profesión. Si quieres hacerlo, pide más información en la web del mismo, que las plazas que quedan son muy pocas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, febrero 21, 2022

Usar el Asistente para Securizar Twitter gratis en @MyPublicInbox

En la última actualización que se ha hecho de MyPublicInbox esta misma semana, hemos actualizado el Asistente de Securizar cuentas de Twitter que hicimos con la colaboración de ESET España, y ya puede ser utilizado por todos los usuarios de la plataforma de forma gratuita. Así que si quieres tener una lista de cosas que debes mirar para preocuparte de la seguridad de tu cuenta de Twitter, aquí te explico cómo utilizarlo.

Figura 1: Usar el Asistente para Securizar Twitter gratis en MyPublicInbox

El funcionamiento es bastante sencillo. Todos los usuarios de MyPublicInbox pueden ir a la parte de "Mi Impacto en Internet", entrar en la sección de Twitter, y tras autenticarse con su cuenta de Twitter tal y como se puede ver en la imagen siguiente, podrán acceder al servicio de "Securiza tu Twitter".

Figura 2: Pasos en la sección de "Mi Impacto en Internet"

Tras entrar en él y hacer clic en el servicio, se irá a la sección para comenzar el proceso. Como podéis ver en la imagen siguiente, se miran una serie de características de seguridad, y luego se dan una serie de consejos informativos para que se revisen con cuidado en la aplicación.

Figura 3: Servicio de Securización de Twitter

Una vez comienza el servicio, y tras aceptar la app de MyPublicInbox para analizar la cuenta de Twitter aparecerá un informe que podrá ser visto en pantalla o descargado en formato PDF, así que el proceso es bastante sencillo.

Figura 4: Proceso de autorización del Asistente de Seguridad de Twitter

En el ejemplo, con mi cuenta, que está abierta a todo el mundo, me da un ranking de seguridad de las características que ha podido revisar, la lista de las que tengo que revisar manualmente, e información de consejos que puedo usar para tener una mejor experiencia en Twitter.

Figura 5: Informe de Resultados

Al final, como os he dicho, te puedes descargar el informe en PDF con los resultados y, si tu cuenta es elegible, ir a la sección de Ganar Tempos para apoyar a Perfiles Públicos en Twitter, y ganar los Tempos por cada tweet o follow a las cuentas que los promocionan.
Por ejemplo, en mi caso, en el mes de Enero de este año he dado Tempos a 875 apoyos en Twitter y a 24 nuevos followers, que me han estado apoyando, y con los que estoy muy agradecido de su colaboración, que ya sabéis que yo todos los días publico El lado del Mal con Tempos patrocionados.
Paso a paso seguimos haciendo grande este proyecto, que vamos a continuar expandiendo, y a todos los que usáis esta plataforma, os agradezco el apoyo, que no hay cosa más chula que ver crecer día a día un proyecto como éste, que un día fue solo una idea en un papel.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, febrero 20, 2022

Sobre el miedo que tengo a las cosas

Soy un miedoso. Mucho. Un cagón. Me dan miedo las agujas. Me dan miedo las alturas. Me da miedo hacer muchas cosas. Y muchas nos la hago por miedo. Y no me da vergüenza. Vale, no es verdad. Alguna vez sí que me da algo de vergüencita, pero es lo que hay. Reconozco que soy una persona que tiene un sentido del miedo muy desarrollado. No me gustan los espacios cerrados y pequeños. Me dan miedo muchas cosas. Y respeto esos miedos, porque sé que esos miedos, muchas veces, son por pura supervivencia. Esos son los que la herencia de mi ADN ha atesorado con éxito durante generaciones, porque gracias a actuar teniendo presentes esos miedos, ha conseguido llegar hasta hoy en día en forma de mí. 

Figura 1: Sobre el miedo que tengo a las cosas

Tal vez, sin tener desarrollado ese sentido del miedo, un antepasado mío habría muerto arriesgando en el salto desde un risco en una montaña muy alta, y hubiera fallado, y hubiera muerto sin descendencia. Pero no, el antepasado que le pasó la herencia genética a otro de mis antepasados en forma de hij@ debía tener miedo a las alturas como yo, no saltó ese risco, y bajo por el camino de la montaña largo que va pegadito al río. Con mucho miedo, seguro, a ser comido por un bicho más grande, o encontrarse con otro humano violento. Seguro que se escondió mucho a lo largo del camino.

El miedo es parte de mí. Es parte de nosotros mismos. Lo sentimos muchas veces. Yo me desvelo por un mal sueño. Por una preocupación de que algo malo me suceda. O por una pesadilla en la que sucede algo que me da miedo. Como perder a un ser querido. El miedo es un sentido que nos protege y al que hay que escuchar. Yo suelo decir que es bueno tener miedo, porque te hace consciente de que estás vivo, de que tienes una conciencia más o menos clara de los riesgos, y que te va a ayudar a tener más datos a la hora de tomar tu próxima decisión.

Soy miedoso. Si alguno pensó alguna vez que no lo soy, no acertó. 

Sin embargo, soy consciente de que a esta vida no he venido a que no me pase nada. He venido a que me pasen muchas cosas. Cosas buenas y malas hasta que me muera y dejen de pasarme. Y para que me pasen cosas, sé que voy a tener que pasar momentos difíciles, momentos de tensión, momentos de miedo, que voy a tener superar. Y lo he tenido que superar muchas veces. He actuado con miedo y con decisión a la vez. He ido cagado de miedo a subirme a un escenario para dar una conferencia sintiendo auténtico Pánico

He tomado decisiones para las que no tenía todas las respuestas. Decisiones en las que la voz del miedo me ha dicho "y si pasa esto...". Y he tenido que tomar una decisión y organizar un plan lleno de incertidumbres. Lleno de posibles problemas. Miedos alrededor de cada esquina por cometer un fallo. Un montón de minicambios en cada paso, al irse descubriendo el mapa y desvelarse que algunos miedos no tenían ya sentido, pero sin embargo nuevos aparecían. Y te metías en un miedo aún mayor. O peor. Un miedo aún más terrorífico por ser desconocido. 

Y acojona. Y pierdes el apetito. Y no duermes. Y sufres. Y vuelves a pensar una y mil millones de veces todas las alternativas que te dan aún más miedo. Joder. "¡Quién me mandaría meterme en esta liada!", piensas. Y vives en un estado de realidad del tiempo y de la vida a un nivel extrasensorial que hace hipersensitivo todo tu cuerpo. Cada cambio de temperatura. Cada nuevo estímulo que te llega. Cada nuevo paso de la aguja del reloj. Todo sirve para amplificar los miedos. 

Pero una vez metido en harina, el miedo, que para unos son preocupaciones, yo procuro tornarlo en ocupaciones. En esa serie de tareas que yo puedo hacer para mitigar los riesgos, para conseguir solventar el problema, o para prepararme para el impacto. Las preocupaciones pasivas no suelen ser parte de mi forma de afrontar una liada ya metido en faena después de haber superado el miedo inicial de lanzarme a algo.

Dicho esto, a lo largo de mi vida he tomado pocas decisiones importantes. Todas ellas han ido acompañadas de un muro de miedo brutal que ha habido que superar antes de llegar al punto de tomar esa decisión. Ese muro se ha tornado una barrera insalvable en muchas otras que no he tomado. Y en las que he tomado, no todas el miedo era solo una barrera que desaparecía una vez superada. Ni mucho menos. En muchas de esas he tenido que darle la razón al miedo parcial o completamente, porque he sufrido mucho por tomarlas, e incluso he llegado a arrepentirme de tomarlas. Por supuesto.

Pero como yo me cuento mis propias realidades, sin pretender crear un dogmatismo de ellas, las solvento como cuando he sufrido grandes anhelos y pesares, sacando de ello lo bueno de tener un corazón y un alma que aún siente porque está viva. Si aún me duelen las cosas y no estoy "numb" es que hay vida dentro de mí que quiere seguir peleando. Pero sí, en muchas he sufrido, yo me he equivocado y el miedo llevaba razón en asustarme para que no tomara esa decisión. Pero... la tomé, la viví, y - hasta ahora - seguí viviendo.

Hay otras que, por el contrario, he tenido que tomar haciendo un "leap of faith" en muchas de las incertidumbres, porque el objetivo para mí era muy valioso. Un cambio importante en mi vida, un reto para el que no sabía si iba a estar listo, un "back or white" con un reloj de arena echando los últimos granos en el que sabía que tenía que tomar una decisión que iba a ser importante para mí y que me daba mucho miedo. Un miedo atroz. Y que ... salieron bien. Arriesgué. Vencí el miedo inicial, aparecieron muchos problemas y nuevos miedos detrás, pero lo importante es saber que todo, bien o mal, acaba con la redencion.

Por supuesto, cuando estoy luchando por superar uno de esos miedos, tengo claro que yo soy parte de la ecuación. Y que lo que yo haga, lo que yo pueda hacer, como yo pueda gestionar las situaciones, lo que pueda adaptarme, o cómo pueda resolver los problemas y miedos del futuro, cuenta. Y os aseguro que yo siempre apuesto por mí. Así que, cuando estoy intentando soñar, lo hago con los ojos abiertos, y pensando que ya tomaré la siguiente decisión de forma correcta en el siguiente problema o miedo que surga.

Yo lo veo como cuando bajas la montaña con la tabla de Snowboard. Vencer el miedo de tirarse la primera vez con los pies atados a un tabla de madera no es cosa baladí. Os lo prometo. La primera vez que te subes a una montaña, te da la ventisca en la cara, y tras atarte las botas a la fijaciones de la tabla miras pendiente abajo, piensas: "¡ni de coña!".  Os juro que el pánico que invadió la primera vez fue brutal. El miedo me estaba enumerando la cantidad de huesos que me podía romper. Cómo iba a ser mi muerte. Cómo iba a ser de duro estar quitarte el esquí de otro esquiador que te lo hubiera clavado en el estómago. O lo imposible que iba a ser que me rescatasen cuando cayera por el barranco y muriera esperando que un helicóptero viniera a rescatarme. Y alguna cosa más, que yo he leído bastante y tengo mucha imaginación.

Pero sin embargo, me tiré para abajo. 

Y el miedo tenía un poco de razón. Me di muchos golpes. Muchos moretones. Esguinces. Dolores. Ibuprofeno en tabletas. Pero no fue para tanto. Y aprendí a bajar sin caerme. Y a hacer canto y contracanto. A pillar la nieve polvo y evitar las placas de hielo. A saber cuándo una trazada me da buena salida y cuando un esquiador se me va a cruzar. Y a bajar gritando de alegría montaña abajo con el viento en la cara. Sintiendo eso que solo sientes cuando vas subido a una tabla sabiendo que es ella la que te lleva montaña abajo y tú solo puedes rectificar un poco la trazada. Pero que vas para abajo sí o sí porque ella manda. Y sentir esa sensación eléctrica que te sube de la rabadilla a la nuca erizándote todos los pelillos de la piel con cada movimiento brusco por culpa de un cambio en la superficie de la montaña. Y llegar jadeando al final. Vivo. Y sonreir. Alegre. Feliz. Exultante. Porque has sentido lo vivo que estabas en cada metro que has ido bajando.

Y disfrutar como nada de hacer Snowboard

Y aún así, mi miedo me avisa de que cada día es distinto, de que cada bajada es diferente, de que los esquiadores en movimiento son cambiantes y nunca sabes quién te puede venir por detrás y derribar. Comencé a hacer Snowboard en el año 2005 y en el año 2018 volé por la montaña cuando me arrollaron, y me golpeé la cabeza, salió el casco volando me tuvieron que evacuar en camilla bajando por la montaña ... y sí. El miedo llevaba algo de razón razón. Pero aún así la recompensa mereció la pena. Y no pienso dejar de hacer Snowboard y seguir tirándome por la montaña helada. 

Lo mismo me sucedió con el skate, los patines de hielo, el Hoverboad, o el resto de los juguetes. Claro que tengo miedo. Y después de haberme abierto la cabeza con el skate, perder el conocimiento durante horas y despertarme mientras me cosían, mucho más. Pero sigo haciendo skate, y seguiré haciéndolo.

Y diréis ... ¿por qué?

Pues porque estos ejemplos que he destinado al mundo de los deportes de riesgo, son solo una metáfora del resto de cosas que he hecho en mi vida. He tenido que superar mil miedos, y claro que no ha sido "Bien" o "Mal", todo ha tenido cosas buenas o malas, pero he superado el miedo porque el beneficio para mí era mayor que el no hacerlo. He superado el miedo, he fracasado, me he arrepentido, otras veces no y ha ido bien, otras ha ido mal, pero he seguido peleando con mucho miedo, y al final han sido las cosas más importantes de mi vida. 

Y sin embargo, las que no he hecho. Las que he dejado que el miedo me impidieran hacerlas. Las que he dejado que el miedo me ganara la batalla. Las que he dejado pasar la oportunidad por miedo. Las que me he acojonado por ser especulativa o conscientemente de los problemas, riesgos, preocupaciones, o dolores que iba a sufrir, son las que se han viralizado dentro de mi cabeza. Se han enroscado en mí. Han tomado cuerpo dentro de mi cerebro, y vienen a visitarme muchas noches. A recordarme que están ahí. O que ya no están y no hay forma de volver a pelear contra el miedo. Porque se fueron para siempre las oportunidades de luchar contra el miedo y conseguir, o no, el éxito, de pelear por ese proyecto. Y además sabiendo que el tiempo es finito. Como dice la canción, "como si fueras a morir mañana".

Así que, si tienes miedo, bienvenido al mundo de los vivos. Si lo tienes pero lo superas, y sale bien, ¡genial! Si lo superas, y sale mal, pues a seguir viviendo, que si ya sabes que el miedo tenía razón, al menos sientes lo que es vivir. Y si no lo has intentado... pues recuerdos a tus fantasmas. Esos que viven contigo en tus noches. Así que, no tengas miedo a tener miedo, sino a que te incapacite a tomar todas y cada una de tus decisiones sobre lo que tú quieres en la vida, porque unas veces tendrá razón, otras solo un poco, otras no tendrá ninguna razón. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, febrero 19, 2022

Cómo se puede explotar Log4jShell en servidores Minecraft Java (unpatched)

Hace casi mes y medio ya desde que Alibaba publicase la conocida vulnerabilidad de Log4jShell, un 0day con el cual la cual fácilmente cualquiera puede tomar el control de una máquina que utilice un servidor HTTP hecho en Java. Esto causó un gran revuelo en el mundo tecnológico y no es para menos dado que sus posibilidades en un primer momento eran infinitas, desde tomar el control de un servidor del gobierno hasta hackear satélites o dispositivos de la NASA.

Figura 1: Cómo se puede explotar Log4jShell en servidores Minecraft Java 

Desde que se publicó esta falla en la librería de log4j han salido numerosos parches y soluciones para la misma, además de que esta sólo puede ser explotada si el servidor en cuestión está abierto a Internet y corre un programa de Java que tenga esta biblioteca como dependencia.

¿Qué tiene que ver Minecraft en esto?

Minecraft tiene actualmente tres versiones totalmente diferentes, la versión multiplataforma en Java, la de código nativo de Windows y la Pocket Edition. La versión más importante, en este contexto, es la de Java, además de que es la que tiene una mayor comunidad. Y además, debido a la eclosión del interés por el Metaverso, hay que reconocerle a este mundo virtual ser uno de los pioneros este futuro que está por venir, así que, nos sirve de ejemplo de cómo puede funcionar la seguridad de estas plataformas, y cómo puede verse afectado un mundo virtual del Metaverso por un bug de tipo 0day.

Como he dicho, en las últimas semanas han surgido un montón de parches para esta vulnerabilidad, además de que todo sistema “importante” con desarrolladores a su cargo han solucionado ya esta vulnerabilidad, incluso Minecraft ha sacado una actualización que lo solucionaba. Pero aún así, este servidor, y esta vulnerabilidad, lo hacen muy jugoso como una nueva técnica hacking de aplicaciones web, similar a lo que fue Heartbleed (más importante aún).
Pero si conocéis el mundillo de Minecraft sabréis que este tiene una cantidad enorme de mods hechos por la comunidad para mejorar la experiencia de juego, y si actualizamos perderemos compatibilidad con muchos de ellos. También se puede jugar online y para ello hace falta que exista un servidor de juego al que se conectarán los diferentes jugadores o bien que alguno de los jugadores haga de host y los demás se conecten a su ordenador.

Pues entonces, si unimos la gran fragmentación que existe en el ecosistema de Minecraft, tanto en servidores como en clientes, con la gran cantidad de jugadores que tiene y que para jugar con amigos es necesario conectarse a un servidor remoto obtendremos diferentes modelos de ataques que pueden llegar a ser catastróficos.

Posibles ataques

Ahora vamos a ver los posibles ataques que se pueden dar y las circunstancias que tienen darse para que se puedan dar, todo acompañado de una pequeño video para demostrar el verdadero daño que puede causar esta vulnerabilidad. Pero antes que nada para poder entender los ataques que vamos a realizar debemos entender la topología de la red original de Minecraft.

Figura 3: Topología de conexión normal a Minecraft

Cuando nos conectamos a un servidor para jugar con nuestros amigos u otras personas lo que ocurre más o menos es lo que se ve en la imagen anterior. Los diferentes clientes se conectan a través de internet a un servidor que envía y recibe información. Este servidor puede estar alojado en la nube, pero lo normal cuando juegas con amigos es que uno de ellos hospede este en su ordenador. Sabiendo esto ahora vamos con algunos de los posibles ataques que se pueden dar.

Una partida casual

Supongamos que unos amigos deciden jugar juntos y para ello uno se ofrece a alojar un servidor en su ordenador para que así puedan estar juntos. Lo que él no sabe es que uno de ellos decide tomar el control de su máquina explotando la vulnerabilidad de log4shell. Más o menos el esquema de ataque que decide llevar es el siguiente que vamos a explicar. La topología de la red se aproximaba a la imagen siguiente. El objetivo es tomar el control del ordenador que alberga ese servidor y posteriormente tomar el control de los demás ordenadores conectados. Para ello seguirá los siguientes pasos:

Figura 4: Topología de red de una partida casual

Primero hay que preparar el entorno, para ello el atacante monta en su ordenador tres servidores distintos, un servidor LDAP que redirigirá a otro servidor HTTP que se encargará de servir código Java malicioso y finalmente un servidor NetCat para poder acceder en remoto a los demás ordenadores. 

Figura 5: Cliente maligno monta tres servidores LDAP, HTTP y NetCat

Una vez el servidor esté corriendo y los demás jugadores estén conectados el atacante simplemente escribirá por el chat del juego un comando que se encargará de que el servidor del juego se conecte al servidor LDAP

Figura 6: El atacante manda comando para conectarlo al LDAP

Después de que se haya realizado la conexión con el servidor LDAP este redirigirá la conexión al servidor HTTP que enviará código malicioso de Java, gracias a la vulnerabilidad de Log4j una vez el servidor de Minecraft haya interceptado el código lo ejecutara y éste hará conectarse al ordenador que lo aloja, al servidor NetCat del atacante, dando así pleno acceso al ordenador que aloja el servidor de Minecraft.

Figura 7: Explotación de log4j

Posteriormente el atacante podría realizar el mismo ataque a los clientes conectados, puesto que ahora, como controla el servidor al que están conectados dispone de sus direcciones IP públicas.
 
Figura 8: Demo de explotación de log4shell en Minecraft Java version (unpatched)

Servidor atacante

Cambiemos ahora parte de nuestra trama, antes vimos que con un ordenador el atacante tomó el control del servidor y posteriormente el de los clientes, pero esto no es muy realista, ya que normalmente el atacante montaría un servidor en la nube para realizar el ataque. Imaginémonos ahora que nuestro atacante es más avanzado y en vez de atacar a sus amigos se propone un objetivo mucho más ambicioso, tomar el control de un gran servidor de Minecraft en el que juegan cientos de jugadores. 

Figura 9: El atacante controla un servidor

El objetivo no solo es ese servidor sino también “weaponizarlo” para después poder conseguir ejecución remota de comandos en los clientes conectados al mismo y así montar por ejemplo una botnet. No sería mucho más difícil de como ya lo hizo. La técnica sería la misma mediante la explotación de log4j conseguiría ejecución remota de código en el servidor de Minecraft y una vez tenga el control de éste obtiene las direcciones IP de los jugadores conectados y de la misma manera toma su control. El ataque como tal podría seguir el siguiente esquema:

Figura 10: Servidores del atacante montados: LDAP, NetCat, Minecraft client

Como preparativos nuestro atacante montaría dos servidores en la nube, uno para montar el servidor LDAP y alojar el código a ejecutar y otro distinto con el que tomaría el control de los servidores abriendo por ejemplo NetCat en un puerto determinado. Después en su ordenador solo tendría que abrir Minecraft y conectarse al servidor del juego. 

Figura 11: Comando para conectar el servidor al LDAP

Posteriormente con el cliente de juego que está conectado escribirá por chat un comando que hará al servidor conectarse al servidor LDAP que está en la nube y este le mandara código para que el servidor del juego ejecute. Este código por ejemplo podría hacer que establezca conexión con el NetCat del atacante y así este obtendría ejecución remota de comandos en el servidor. 

Figura 12: Atacando a los clientes

Como paso final solo tendría que tomar las direcciones IP de los demás jugadores conectados al servidor del juego y repetir el proceso una y otra vez. 

Cómo evitar el ataque

Estos dos ataques, tal y como están pensados, se podrían evitar simplemente conectado un plugin al servidor del juego que filtre los comandos que se envían al servidor. Y aunque seria una manera válida, no debemos de olvidarnos que la vulnerabilidad reside en el paquete de log4j con lo que existen otros vectores de ataque que podrían seguir funcionando.

La mejor manera de evitarlo en el lado del servidor es utilizar programas de servidor de la versión 1.18.1 para arriba, esto no siempre será lo deseado porque como ya dijimos se perdería compatibilidad con el progreso que ya tengamos y no se podría jugar con muchos mods de las versiones anteriores. Otra manera sería actualizando a mano las dependencias del servidor de Minecraft, para así tener la última versión de log4j en la que ya se ha parcheado la vulnerabilidad.

En el lado del cliente de manera oficial Minecraft ha actualizado su launcher para que en ninguna versión del juego sea posible explotar esta vulnerabilidad. Eso de cara al Launcher oficial, si por algún casual tenéis un Launcher pirata o modificado este parche seguramente no se haya aplicado con lo que correis un alto riesgo de ser atacados. En un post en la web oficial de Minecraft se explican otras posibles soluciones. Como solución general Java nos recomienda que actualicemos el jdk a la última versión, esto no detendrá todos los vectores de ataques posibles, pero sí mitigara algunos de ellos.

Conclusión final

Como ya hemos visto log4shell es una vulnerabilidad de seguridad muy importante que permite un montón de ataques diferentes, y la que hoy he mostrado es solo una de las muchas maneras en las que se puede explotar esta vulnerabilidad. Además este fallo de seguridad ha sido un “0day” lo que significa que ha estado activa hasta que se notificó hace dos meses, pudiendo haber dado lugar a muchos ataques como el que hoy he mostrado sin que ni siquiera nadie se diera cuenta. Habiendo pasado ya más de dos meses de que se crean numerosas soluciones para esta vulnerabilidad ya es un buen momento para sacar este artículo y enseñaros que todas precauciones son pocas y que siempre hay que estar alerta. Nos vemos en siguientes artículos,

Saludos,

Autor: Chema Garabito. Desarrollador Full-Stack. Ideas Locas Telefónica CDO.

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares