Una charla entre Lucia Rico y Chema Alonso en Lucia y el SEO Talks

Pues para acabar el mes de Abril, y teniendo en cuenta que seguro que la mayoría estaréis descansado, de puente, de vacaciones, de relajación mental y física, os dejo hoy una entrevista en el podcast de Lucia y el SEO que dirige Lucia Rico y al que me invitó hace ya unas semanas.

Figura 1: Una charla entre Lucia Rico y Chema Alonso en Lucia y el SEO Talks

Es una charla de 45 minutos, en los que hablamos de tecnología en general, de ciberseguridad y de inteligencia artificial. Nada nuevo bajo el sol, teniendo en cuenta que es lo que hago yo habitualmente, así que todo dentro de los parámetros habituales.

Figura 2: Contactar con Lucia Rico a.k.a. Lucia y el SEO

Si queréis contactar con Lucia Rico, o visitar su programa, ella tiene su perfil en MyPublicInbox. Podéis ver todas las entrevistas que realiza en su canal de Youtube, donde ha entrevistado a Pablo BloweArts, dibujante de Las Tiras de Cálico, o a muchos otros grandes profesionales de este mundo nuestro.

Figura 3: Una charla entre Lucia Rico y Chema Alonso en Lucia y el SEO Talks

Os dejo subido el vídeo a mi canal de Youtube, pero con la esperanza de que lo veáis - o lo escuchéis - cuando podáis. Lucia Rico sube el programa en formato podcast, y lo tenéis en todas plataformas, así que por ejemplo, lo tenéis en Spotify.

Figura 4: Lucia y el SEO entrevista a Chema Alonso en Spotify

Y nada más, que es domingo, fin del mes de Abril, y puente, a disfrutar el día que es lo que hay que hacer hoy. Yo tengo lo mío con Mi Hacker v2.0 & Mi Survivor, así que os deseo mucha felicidad, relax y descanso. Y recordad: No hacer nada y estar feliz también es una buena alternativa.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El Disciplinado, el Día Descanso y el CFP de DefCON 31

No voy a deciros que la semana pasada ha sido una semana intensa para mí, porque sería estar cerca de hacer una tautología. Con tantos datasets a la espalda soy consciente de lo que es una excepción y de lo que es una forma de ser en mí. This is the way. Mi forma de vivir cada día y cada semana, controlada por ese demonio "cabrón" que no admite "excusitas" es así. Y hoy mismo lo he sentido al sentarme frente a mi blog.

Figura 1:El Disciplinado, el Día Descanso y el CFP de DefCON 31

Hoy es sábado, de un puente en España, hace buen tiempo, es día de playa, de campo, de montaña, de hacer deporte, de salir a que te dé el aire, de ir de compras, de dedicarle tiempo a los abuelos, a los niños, de recargar pilas, de salir a pasear con tus mascotas un paseo largo y relajado, de regalar tiempo a vivir, a las personas, a los seres humanos y a los queridos animales de nuestro entorno. ¿Tienes un perrinchi? Pues a pasear con él por la calle. 

¿A quién le importa hoy un blog de tecnología? ¿A quién le importa si te has dado cuenta de un leak, un bug, en una plataforma? ¿A quién le importa una noticia más o menos de Ciberseguridad o Inteligencia Artificial, o de Web3 hoy? ¿O un evento, una entrevista, una charla, una recomendación? Hoy podría ser un buen día para descansar, y es lo que os voy a recomendar a todos. Que no hagáis nada que tenga que ver con la tecnología.

Yo he estado a punto de no publicar nada. A puntito. Por todos los motivos anteriores. Pero el demonio me ha pillado por los pelos y me ha dicho que de eso nada monada, que había que cumplir. Y es por eso que me he puesto. Y cuando estaba con la página en blanco blasfemando en arameo sobre el demonio, me he acordado de las palabras de una compañera de trabajo esta semana mientras preparando una presentación importante tomábamos un café.

A mucha de la gente que está en mi equipo le preguntan eso de "¿Cómo es Chema Alonso en el trabajo? ¿Lleva gorro? ¿Todo el día de fiestas? ¿Hacking everywhere?". No es nuevo ni para mí ni para mis compañeros, y lo comentamos muchas veces en las reuniones, los cafés y los comités. Ayer mismo, uno de mi equipo que estaba haciendo un curso de idiomas me dijo que estaban hablando de mí en su curso que hacía por vídeo conferencia y me colé en la reunión para contárselo yo en persona.  Es algo habitual cuando la gente ve una imagen, pero realmente no conoce a la persona.

Lo cierto, es que, mi compañera, esta semana, me dijo lo que acababa ella de contestar a quién le había hecho en última instancia esa pregunta. "Disciplinado. Chema Alonso es disciplinado. Sabe que lo tiene que hacer y lo hace." Y es así, no necesito que nadie venga a recordarme lo que tengo que hacer. Y si sé que lo tengo que hacer, sé que gastar cualquier energía en evitarlo puede ser más costoso. Así que, si lo tengo que hacer que sea cuanto antes y con el menor coste de energía.

En el colegio y en el instituto decidía por cada asignatura si no tenía que estudiar nada, si tenía que pegarme la panzada dos días antes y listo, o si salía más a cuenta estudiar todos los días. Con cada asignatura, que no todas eran iguales. Y si había que estudiar todos los días para que fuera más económico en tiempo, esfuerzo y energía, pues se estudiaba todos los días y listo. Pues lo mismo con todo. Sí, soy disciplinado. No importa si la tarea es pequeña o grande. Si va a durar una semana, un mes o siete años, si sé que lo tengo que hacer, decido cómo y de qué manera y lo hago. Sin ansiedad. Sin anticipación. Simplemente me pongo a hacerlo porque sé que no hay otra opción que no hacerlo. 

Figura 2: CFP de DefCON 31

Y por eso hoy os he puesto este post, y por eso hoy voy a estar trabajando para ver si enviamos el Call For Papers de DefCON 31 que acaba mañana el plazo, y vamos a ver si este año me animo a ir o no a DefCON otra vez, que hay ganas pero a esta hora aún no lo he decidido por fechas. Así que, al final, contándoos que soy Disciplinado y voy a estar trabajando en el CFP de la DefCON 31 por si me animo a echarlo, y que no debería hacerlo porque es un día de descanso.... os hecho el post de hoy. Disfrutad.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Consigue tu entrada de OpenExpo Europe 2023: Zina Cinker, Chema Alonso, Iker Jimenez

Estamos en la recta final para llegar a OpenExpo Europe 2023, que tendrá lugar en Madrid el próximo 18 de Mayo. Y cada día tenemos más ponentes anunciados, donde la divulgadora internacional y Chief Creator Officer de PuzzleX, Zina Cinker, el periodista de investigación Iker Jiménez, y Chema Alonso estarán participando en esta edición. 

Figura 1: Consigue tu entrada de OpenExpo Europe 2023.

 Zina Cinker, Chema Alonso, Iker Jimenez.

Hemos compuesto una agenda de charlas con grandes ponentes que vendrán a hablarnos de presente y futuro de la tecnología, de Inteligencia Artificial, de Ciberseguridad, y de, sobre todo, mucha, mucha, mucha innovación y emprendimiento.

Figura 2: Iker Jiménez y Zina Cinker estarán en OpenExpo Europe 2023

Si quieres asistir a esta edición, puedes conseguir tus entradas desde la página de EventBrite de OpenExpo Europe 2023. Como sabéis, el precio de las mismas va subiendo a media que nos aproximamos a la fecha, y ahora donde el precio actual es de 40 €, pero pronto subirán a 60 €, así que tienes que darte prisa.

Figura 3: Comprar entradas de OpenExpo Europe 2023

Pero como MyPublicInbox organiza esta edición, hemos decidido dar un 50 códigos descuento del 100% de las entradas que puedes conseguir el Código 100% en la Tienda de MyPublicInbox por 500 Tempos. Si has conseguido los Tempos, o los tienes por alguna iniciativa, puedes utilizarlo. Pero si no, los puedes comprar que el coste son solo 9 €.

Figura 4: 50 códigos de 100% de descuento 

Recuerda que solo hay 50 códigos de 100% de descuento, así que cuanto antes lo consigas y lo apliques, mejor, que el siguiente tramos de las entradas será de 60 €.

Saludos,

Autor: Philippe Lardy

Contactar con Philippe Lardy

Cálico Electrónico por la investigación científica de la Fundación Isabel Gemio

Si eres un aficionado a las nuevas tecnologías, probablemente hayas oído hablar de los NFTs o Tokens No Fungibles. Estos activos digitales únicos están revolucionando la forma en que entendemos la propiedad y el valor de las obras de arte digitales, los coleccionables digitales y otros objetos virtuales. En Telefónica NFT Marketplace puedes encontrar una amplia variedad de NFTs solidarios, que no solo son activos digitales, sino también una forma de apoyar causas sociales importantes.

Figura 1: Cálico Electrónico por la investigación científica de la Fundación Isabel Gemio

En la tienda de NFT podrás encontrar obras únicas de algunos de los artistas más reconocidos del momento, como Arturo Pérez Reverte, El Chojin, Juan Luis Cano y Javier Mariscal. Pero lo mejor de todo es que muchas de estas colecciones son solidarias, lo que significa que al comprar un NFT estás apoyando una buena causa.

Figura 2: Colección United for Ukaine NFT

 

Por ejemplo, puedes adquirir los NFTrees de Xave World y ayudar a reducir la huella de carbono, o United for Ukraine, creada para apoyar la crisis humanitaria en Ucrania con el apoyo de 9 ONGs y el artista Javier Mariscal, donde el 100% de la recaudación va dirigida a refugiados del conflicto.

Figura 3: Colección de NFTrees de Xave World

La colección de la Fundación Isabel Gemio en Telefónica NFT Marketplace es un nuevo ejemplo de cómo los NFTs pueden ser utilizados para promover una causa benéfica. Isabel Gemio, una reconocida periodista y presentadora española, fundó su propia organización para financiar la investigación científica de enfermedades raras, como las Distrofias Musculares. Además, es importante destacar que la colección se compone de 5 NFT exclusivos de Cálico Electrónico, la serie creada por Nikotxan, que 0xWord ha donado a la Fundación Isabel Gemio y que Pablo BloweArts, dibujante de Las Tiras de Cálico 2 ha hecho pro-bono.

Figura 4: Colección de Cálico Electrónico por la investigación

científica de la Fundación Isabel Gemio

Al adquirir uno de los NFTs exclusivos de su colección, se desbloquea una parte del borrador de su libro "Mi hijo, mi maestro", y el dinero recaudado por la venta de estos NFTs se destinará a financiar los proyectos de investigación científica que buscan una cura o tratamiento para enfermedades raras y distrofias musculares, y que afectan a 3 millones de personas en España. 

Figura 5: Contactar con Isabel Gemio

La utilización de la tecnología Blockchain en este caso garantiza la transparencia en el destino de los fondos, lo que brinda mayor confianza a los compradores y donantes. En resumen, la tecnología NFT puede ser una herramienta poderosa para ayudar a organizaciones sin fines de lucro y causas benéficas, al tiempo que garantiza la autenticidad y originalidad de las obras digitales.

Figura 6: NFT “Se puede ser valiente sin llevar capa” de la colección

Cálico Electrónico por la investigación científica.

Todas esas obras digitales tienen un valor que se debe reconocer y proteger, y por ello, el uso de NFTs es una de las formas más sencillas y seguras de hacerlo. Con este espíritu, nosotros hemos creado el proyecto de tienda de NFTs de Telefónica Marketplace, donde vamos a dejar a creadores de originales digitales (escritores, pintores, músicos, guionistas, etcétera...) a registrar y comercializar sus NFT asociados a originales y obras de arte digitales, y donde, además, ayudamos a los usuarios menos acostumbrados a este mundo Web3.

Saludos,

Autor: Patxi Barrios

En casa de Herrero: Una entrevista en la radio para hablar de Inteligencia Artificial

El pasado lunes me invitó Luis Herrero a su programa "En casa de Herrero". Al principio iba para un ratito, pero nos liamos a charlar, a charlar, y la cosa se alargó. Así que duró más de lo que tenías estipulado al principio. Pero es que nos enganchamos a la conversación y no podíamos parar. Y aún así quedaron muchas cosas por comentar.

Figura 1: En casa de Herrero. Una entrevista en la radio para hablar de IA

El programa lo puedes escuchar en todas las plataformas de podcasts, así que basta con que lo busques en cualquiera de los que utilices y lo encuentres. Aquí lo tienes en Spotify, donde lo he vuelto a escuchar yo, pero la que tú uses está bien.

Figura 2: Entrevista a Chema Alonso en En casa de Herrero de Spotify

Y para que quede registrado, lo he subido a mi Canal de Youtube donde intento guardar un registro de todas las charlas y/o entrevistas en las que voy participando. Así que también lo tienes en Youtube para que lo escuches.

Figura 3: Entrevista a Chema Alonso en En casa de Herrero de Youtube

No nos dio mucho tiempo a hablar de todo, así que lo mismo repito y nos vemos en éste o en otro programa juntos otra vez. Espero que os sea entretenido.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El parking que me entrega un trozo de papel en la era de la tecnología... y no lo entiendo #SmartCity

Aparcar en Madrid no es de las cosas más sencillas. Eso es un hecho. Pero tiene una red de parkings repartida por toda la ciudad que funcionan bastante bien. Por eso soy un usuario habitual de ellos, y por eso me los conozco bastante bien. Y hoy os quería hablar de algo, al igual que me sucede con la aplicación de Telpark, que me frustra desde el punto de la usabilidad. Y es trozo de papel que me entregan que sirve para nada. Dejadme que os lo explique.

Figura 1: El parking que me entrega un trozo de papel... y no lo entiendo

La mayoría de los parkings de los que os voy a hablar son parkings que tienen la siguiente característica: Tienen lector de matrícula. Fantástico. Una función de usabilidad que me encanta, pues si has pagado el ticket, cuando te acercas a la barrera a la salida, te reconoce la matrícula, comprueba que está pagado el ticket y se abre sin que tengas que poner el ticket en ningún lector. Fantástico. Me encanta. Y eso significa que: Tiene lector de matrículas a la salida del parking

Figura 2: Lector de matrículas en parking

Ahora bien, si analizamos el proceso, él sabe que el ticket de mi matrícula ha sido pagado porque el ticket lleva, de alguna forma, asociada la matrícula de mi vehículo, que ha leído... a la entrada del parking. Así que: Tiene lector de matrículas a la entrada del parking

Figura 3: Máquinas con lector de códigos de tickets de entrada y una

bonita pantalla táctil donde podría escribir mi matrícula fácilmente.

Fantástico. Así que sabemos que tenemos un parking que tiene lector de matrículas a la entrada y a la salida del parking, la pregunta es... ¿por qué me das un trozo de papel con el ticket? ¿Por qué no me dejas que cuando vaya a pagar escriba mi matrícula en esa bonita pantalla táctil que tienes? Vamos a ver las opciones.

Opción 1: Es por seguridad

La primera respuesta que he obtenido al respecto de esto que me trastorna es que lo hacen por seguridad. Y la respuesta ha sido que para probarlo, he ido a pagar y he llamado al soporte con el botón de ayuda que tienen y he dicho:

- "¡¡He perdido el ticket!!"

Y... ¿adivináis qué me han dicho?

- "No se preocupe, dígame la matrícula, pague y le dejamos salir".

Osea, que si pierdo el ticket, con comprobar mi matrícula me hacen otro ticket y listo. Fantástico. Es decir, que si alguien me roba las llaves del coche, y llega al parking, con decir que ha perdido el ticket resuelto. O sea... que por seguridad nada.

Opción 2: Es porque el sistema no permite hacer ese proceso

A ver, tiene.

•  Lector de matrículas en la entrada.
• Lector de matrículas en la salida.
• Pantalla táctil en la máquina de pagar.

¿Tan difícil es pedir la matrícula del coche y listo?

Opción 3: Es por si falla alguno de los lectores de matrículas

Algo que por lo visto no es fácil, pero.. si eso pasara. Hay un botón precioso que podéis probar a la salida al que podéis llamar y decir:

- "No me funciona el ticket".

Figura 4: Botón de ayuda por si falla el ticktet

Y... ¿adivináis qué me han dicho cuando he dicho eso?

- "No se preocupe, dígame la matrícula, comprobamos el pago y le dejamos salir".

Fantástico. O sea que para las incidencias tenemos un soporte que nos ayuda igualmente. 

Opción 4: Hay obligación legal de darte un ticket físico cuando entra el coche

Pues no debe ser así, porque los parkings más modernizados permiten entrar con apps tipo Telpark y no me dan ningún ticket físico. Todo digital.

Figura 5: Parking automático con Telpark

Conclusiones personales

El sistema está imprimiendo tickets - gastando papel y haciendo que los usuarios se preocupen de no perderlo - solo para reducir un caso. El caso en el que el lector de matrícula no funcione y evitar que llame por botón al soporte.  Podríais decir: "Es que por la noche no hay soporte". Fantástico. Pues que entregue tickets "sólo" cuando no haya soporte. Nos haría la vida mucho más fácil a todos, incluyendo al planeta, y ayudaría a:

• Evitar Colas en la entrada y salida: Muchas veces la gente tiene que maniobrar porque la dichosa máquina de coger e introducir ticket no es cómoda para todos los vehículos, y para muchos exige maniobrar y poner el coche en posición. O cuando se cae al suelo y hay que buscar el ticket.

Figura 6: Tickets de papel. Se pierden. Se vuelan.

Gastan papel. Tinta de impresión. Basura. 

Incomodidad en los usuarios. Preocupación.

• Evitar abolladuras y raspones: Lo mismo que antes pero con las abolladuras. Es decir, que no tengas que acercarte al bordillo donde han puesto la máquina. ¿Algunos habéis catado bordillo alguna vez?

Y para terminar este post en el que hago terapia sobre mis experiencias con los parkings, una serie de opciones más. 

• Telpark soporta muchos parkings  en Madrid, lo que es genial, porque al reconocer mi matrícula, me deja entrar y salir, pagando por la app evitando papel, colas en las máquinas de pago, y preocupación por el pago. Bien por el sistema de las apps para parkings, que en USA se utiliza masivamente.

• Parkings que quieras o no te emiten la factura: Mal. Papeleras enteras de papel y tinta tiradas a la basura. No lo entiendo.

El último mensaje es para los parkings que aún utilizan tickets con bandas magnéticas, de esas que se perturban con la proximidad de dispositivos electrónicos como, por ejemplo, el teléfono móvil, y que si se doblan dejan de funcionar, como, por ejemplo, cuando metes el ticket en la cartera y se deforma un poco. 

Figura 7: Tickets con bandas magnéticas. Horror++

Sed buenos, y quitad esos sistemas, que se diseñaron en 1976, pero ya tenemos otras tecnologías... A ver si las ciudades que quieren ser SmartCities fuerzan a que los parking quiten el ticket de papel y ayudan a todos, que con Cognitive Services de visión artificial se leen las matrículas perfectamente.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Level_up!: WriteUp del Reto Questions para comenzar el pentesting en la Web3

Ya hemos hablado de Level_up! en este blog y de lo que ofrece esta plataforma OpenSource que hemos liberado desde IdeasLocas. La presentamos en RootedCON 2023 y hemos recibido un buen feedback, aunque como todo tenemos mucho que mejorar. Levantar un CTF a través de retos de ciberseguridad en Web3 es y ha sido un reto más que interesante, por lo que no dudes en probar la plataforma y aprender sobre ciberseguridad en este mundo de la Web3.

Figura 1: Level_up!: WriteUp del Reto Questions

para comenzar el pentesting en la Web3

En el artículo de hoy y dentro de nuestra política de liberar un nuevo reto mensual y de resolver un reto mensual a través de un WriteUp, vamos a hablar del Level 1 de la plataforma. Este reto denominado Questions tiene una dificultad de 1, por lo que se puede considerar de nivel básico y de toma de contacto con el mundo Web3. Fue uno de los primeros retos que se diseñaron y que propone al usuario una interacción con el contrato del reto para ir resolviendo diferentes dudas. Después, puedes pasarte a hacer  el reto Deny_to_me que tiene un poco más de dificultad.

Figura 2: Level_Up! en GitHub

Sin más, vamos a ir explicando detalles del reto que pueden proporcionar la resolución de éste. Hay que recordar que en todos los retos, el objetivo es el de obtener una flag que cuando la validemos contra el contrato base nos permitirá obtener diferentes puntos. Al final Level_up! es una plataforma de CTFs con un fuerte componente de ‘gamificación’, ya que puedes competir contra el resto de usuarios que están dentro de esta plataforma a través del panel del ScoreBoard.

Solución reto Questions

En primer lugar, vamos a desplegar el reto Questions. Para ello, se puede hacer desde el panel central de la plataforma dónde se encuentran todos los retos. Es importante leer la descripción y el paso a paso que nos desvelan antes de desplegar el reto. En esta descripción podemos encontrar información interesante y alguna pista para facilitar la solución y obtención del reto.

Figura 3: Reto Questions, nivel 1.

En la siguiente imagen, se puede ver los diferentes pasos, que en esta ocasión son pocos, y un par de pistas por si el jugador se queda ‘atascado’. Nos indican que la función ‘entrypoint’ del contrato del reto (hay que recordar que el contrato del reto es el objeto ‘contract’) es la que marca el comienzo de la interacción.

Figura 4: Instrucciones del reto

No nos dicen mucha más información debido a que es un reto de dificultad sencilla (1 sobre 5), por lo que nos debería valer con haber hecho el reto ‘Interact’ (el cual es el reto tutorial de la plataforma) y poco más. 

Figura 5: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

Una vez desplegamos el contrato, desde la consola de desarrollo podemos interactuar con la ayuda a través del comando ‘help’. Lo que nos interesa ahora mismo es validar el objeto ‘contract’ accesible desde la consola de desarrollo.

Figura 6: Funciones del SmartContract

Podemos ver las diferentes funciones de las que cuenta el contrato de ‘Questions’. Hay que indicar que hay más funciones de las que aparecen en la captura. Otra opción es leer el código fuente del contrato del reto que aparece en la descripción de la página. Entender el código ayudará y mucho en algunos retos más complejos.

Ahora, vamos a ver qué devuelve la función entrypoint() del objeto ‘contract’. Como se puede ver en la imagen nos devuelve “misterio()”, lo que parece una función. Si revisamos las funciones disponibles en el contrato del reto (imagen anterior) podemos ver que existe dicha función.

Figura 7: Función misterio()

Después, invocamos la función misterio() y nos sale un mensaje. Parece que la función misterio4() existe y si comprobamos con ‘contract.functions’ verificamos que sí. Vamos utilizando las diferentes respuestas que nos van dando para llegar a la primera parte del misterio. Aparece el número 32. Tomaremos nota de ello.

Si verificamos las funciones que existen en el contrato del reto, vemos que hay una denominada ‘entrypoint2()’. Habrá que probar a ver qué nos dice el contrato.

Figura 8: Pregunta.

Nos piden verificar cual es el hash del string ‘hola’ en MD5. Esto es algo sencillo de resolver, podemos usar cualquier servicio online para obtener esa respuesta o el comando md5sum en un terminal de GNU/Linux. Si volvemos a echar un ojo a las funciones disponibles en el contrato del reto encontramos una que se llama ‘checkHash’. Si revisamos el código fuente, podemos ver que dicha función recibe un parámetro que es un string.

Figura 9: función checkHash()

En el código fuente se ve que hay una devolución de un número que es 659, ¿Qué será? Vamos a verlo desde la consola de desarrollo.

Figura 10: Respuesta a la llamada

La respuesta es un hexadecimal: 0x293. Si pasamos a decimal encontramos que es el número 659. Solo nos queda una función por probar… la función ‘finalChoice’ la cual, viendo el código fuente, recibe dos parámetros. Podemos probar con 32 y 659.

Figura 11: Función finalChoice()

Obtenemos la flag. Hay que recordar que las flags se crean de forma dinámica, es decir, si otro usuario despliega el reto, la flag tendrá un valor diferente. Ahora, solo queda validar la flag en el contrato base para que los puntos sean añadidos al usuario. La operación es sencilla: 

Figura 12: Validamos la flag con ‘base.validateFlag(contract.addess,’flag’).

Una forma rápida de solucionar el reto…

Hemos dejado para el final una forma muy rápida de superar el reto, aunque recomendamos hacer los pasos anteriores si estás comenzando con los SmartContracts. Teniendo acceso al código fuente, uno puede ver la función ‘finalChoice’. 

Figura 13: Valores hardcodeados de la solución en la función finalChoice()

En esta función se está haciendo una validación directa y ‘hardcodeada’ de los valores 32 y 659. De esta forma si hubiéramos leído todo el contrato de primeras, podríamos habernos percatado de esto. 

Y aún hay más...

Hasta aquí el WriteUp de Questions. El próximo mes escribiremos otro writeup para ayudaros a ir resolviendo los retos e ir aprendiendo sobre esta plataforma y sobre la ciberseguridad en el mundo Web3. Y recuerda que si quieres aprender de estas tecnologías, tienes Bit2Me Academy, que es una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos además del libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación" de Yaiza Rubio y Félix Brezo que seguro que te ayudan a ponerte las pilas.

Más artículos de Web3, Blockchain & SmartContracts

• Blockchain & SmartContracts: Una serie para aprender
• BlockChain & SmartContrats: Primer SmartContract con Solidity
• Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
• WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
• Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
• Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
• Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
• Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
• BitCoin: Blockchain y su investigación
• BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
• Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
• BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
• Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
• Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts
• BlockChain & SmartContracts: Ataque de phishing a tx.origin y robo de criptomonedas
• BlockChain & SmartContracts: Ataques de Ice Phishing
• Blockchain & SmartContracts: Herramientas de análisis dinámico
• ZIION: Una distribución Linux para auditar SmartContracts (& BlockChain)
• Dominios Web3 en Etherenum Name Service y la trazabilizad de las transacciones Blockchain
• BlockChain & SmartContracts: Actualizar SmartContracts como los grandes protocolos
• Jumping level up (from) web2 (to) web3: Vulnerabilities & SCAMs - SmartContracts
• 20 millones (Euros) en Tokens de Optimism perdidos por no saber cómo funcionan los Wallets Multifirma
• BlockChain & SmartContracts: Cómo crear una DApp de la Web3 con Python (y Flask)
• Pentesting SmartContracts: From Web2.0 to Web3
• Tokenomics 101: Una explicación con gráficos
• Read-Only Reentrancy Attack: $220k robados y otros +$100M en riesgo
• Como utilizar ChatGPT para encontrar bugs en SmartContracts
• BlockChain & SmartContracts: Nuevas áreas profesionales relacionadas con la Web3
• Las voces de Satoshi: Un canal para estar al día en Web3, Blockchain, Criptos & IA
• BlockChain & SmartContracts: Nuevas áreas profesionales relacionadas con la Web3
• Bit2Me Academy: Una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos
• Level_Up!: Una plataforma para aprender a hacer pentesting en Web3 (SmartContracts & BlockChain ) a través de retos hacking
• Level_Up!: Web3 Security WarGames para los amantes del Challenge Based Learning
• Level_up!: WriteUp del Reto Questions para comenzar el pentesting en la Web3
• Level_Up! Deny_to_me Challenge activado en la plataforma Level_up! de retos hacking Web3

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 14: Contactar con Pablo González

WhatsApp INT: OSINT en WhatsApp. Nuevo libro de @0xWord #DiadelLibro2023

Hoy, Día del libro en España, tenemos un nuevo libro de una temática que se ha hecho muy importante en la parte de ciberseguridad, especialmente en los equipos Blue Team, Red Team, Purple Team, CERT y CSIRT, que es la seguridad y las técnicas de investigación en WhatsApp. Queríamos tener todo compilado en un buen libro, y ha sido Luis Márquez, que ha dedicado mucho trabajo de investigación a WhastApp el que ha escrito el nuevo libro de WhatsApp INT: OSINT en WhatsApp de 0xWord.

Figura 1: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de 0xWord.

Como sabéis, nosotros hemos estado haciendo mucho trabajo en esta parte, y tenéis charlas mías de WhastsApp Intelligence y OSINT en WhatsApp, y todo - o casi todo - lo que hemos estado trabajando y publicando en esta materia. El libro está a la venta desde hoy en la línea 0xWord Brain.

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

"WhatsApp es la aplicación de mensajería instantánea predilecta por los usuarios, con más de mil millones de mensajes al día, pero ¿Qué pasaría si toda esta información cayera en las manos equivocadas? ¿Cómo podemos protegernos ante las amenazas para WhatsApp que acechan en Internet? Las respuestas a estas preguntas no son sencillas.

Con el paso de los años, y desde la masificación de los dispositivos móviles, las comunicaciones por WhatsApp han ido cogiendo fuerza, reemplazando a los medios tradicionales y convirtiéndolas en un canal básico de comunicación para contactar con tus seres queridos. Enviar audios, recibir imágenes e incluso activar la verificación en dos pasos son solo algunas de sus principales características que no están libres de ser vulneradas por un agente externo. 

 

Figura 3: Índice del libro WhatsApp INT: OSINT en WhatsApp

Los ciberdelincuentes aprovechan estos puntos flacos de la plataforma para obtener datos tan sensibles de la víctima como su ubicación, fotografías, cuenta de Tinder, leer los mensajes e incluso eliminarle la cuenta. Sorprendentemente, para lograr esto no hace falta hacer uso de sofisticados mecanismos de programación, y casi siempre con interfaces de usuario se puede lograr vulnerar la intimidad de un usuario de manera sorprendente.

En este libro, se van a tratar rigurosamente estos temas, se explicará con detalle como personas ajenas pueden lograr esto y de qué manera se puede proteger un usuario frente a estos problemas. ¿Qué sabe Facebook de nosotros? ¿Cómo leer los mensajes de otra persona? ¿Puedo conocer desde donde chatea una persona? ¿Cómo hacer mi perfil de WhatsApp inquebrantable? Son solo algunas de las preguntas a las que este libro pretende dar respuesta."

El libro lo ha escrito Luis Márquez, con el que puedes contactar en MyPublicInbox, y que saltón a la opinión pública por la publicación a nivel mundial de la vulnerabilidad de WhatsApp que permitía hacer Denegación de Servicio a cualquier cuenta. En este libro profundiza en más vulnerabilidades, y expande el abanico de estudio de esta plataforma.

Figura 4: Contactar con Luis Márquez

Para terminar, te recuerdo que hoy aún tienes activo el código descuento del Día del Libro, así que lo puedes aprovechar. Tendrás también 100 Tempos de MyPublicInbox por la compra de este libro de WhatsApp INT: OSINT en WhatsApp y además, puedes pagar completa o parcialmente este libro con Tempos de MyPublicInbox. Aquí te explico cómo se hace.

Enviar tus Tempos a 0xWord y recibir el descuento

La idea es muy sencilla, hemos creado un Buzón Público de 0xWord en MyPublicInbox y tenemos disponible el módulo de transferencias de Tempos entre cuentas siempre que el destinatario sea un Perfil Público de la plataforma. Para que se puedan hacer estas transferencias, primero debe estar el Perfil Público destinatario de la transferencia en la Agenda.

Figura 5: Perfil de 0xWord en MyPublicInbox. Opción de "Añadir a  la Agenda".
https://MyPublicInbox.com/0xWord

Para dar de alta un Perfil Público en tu agenda, solo debes iniciar sesión en MyPublicInbox, y con la sesión iniciada ir a la web del perfil. En este caso, a la URL del perfil público de 0xWord en MyPublicInbox, - https://MyPublicInbox.com/0xWord - donde te aparecerá la opción de "Añadir a la agenda". Cuando acabe este proceso, podrás ir a la opción Agenda de tu buzón de correo en MyPublicInbox y deberías tener el Perfil Público de 0xWord allí.

Figura 6: Cuando lo agregues estará en tu agenda

Una vez que lo tengas en la agenda, ya será tan fácil como irte a tu perfil - se accede haciendo clic en la imagen redonda con tu foto en la parte superior - y entrar en la Zona de Transferencias. Desde allí seleccionas el Buzón Público de 0xWord, el número de Tempos que quieres transferir, y en el concepto debes poner que es para recibir un código descuento para usar en la tienda de 0xWord.

Figura 7: Zona de Transferencias en el Perfil de MyPublicInbox

No te preocupes por el texto concreto, porque los procesamos manualmente como los pedidos de se hacen en la tienda. 

Canjear 500 Tempos por un código descuento de 5 €

La última opción es bastante sencilla. Solo debes irte a la sección de Canjear Tempos -> Vales para Tiendas, y "Comprar" por 500 Tempos y código de 5 €. Es lo mismo que enviar la transferencia pero en un paquete de 500 Tempos y de forma totalmente automatizada, así que solo con que le des a comprar recibirás el código descuento y lo podrás utilizar en la tienda de 0xWord.com

Figura 8: Canjear Tempos por Códigos para libros de 0xWord

Así que, si quieres conseguir nuestros libros de Seguridad Informática & Hacking aprovechando los descuentos de las ofertas, entre el código de descuento DIALIBRO2023 y los Tempos de MyPublicInbox podrás hacerlo de forma muy sencilla y mucho, mucho, mucho más barato. Y así apoyas este proyecto tan bonito que es 0xWord.com.

Ser escritor de libros de 0xWord

Además, todos lo que queráis convertiros en escritores y hacer un proyecto de libro con nosotros. Podéis también enviarnos vuestra propuesta a través del buzón de 0xWord en MyPublicInbox, y si sois Perfiles Públicos de la plataforma, podéis entrar en la sección de Mi Perfil -> Servicios para ti y solicitar más información sobre el proceso de escribir un libro en 0xWord.

Figura 9: Si eres un Perfil Público de MyPublicInbox

puede solicitar info para escribir un libro en 0xWord

Nuestro equipo se pondrá en contacto contigo y evaluará tu proyecto de publicación de libro. Ya sabes que principalmente de Seguridad Informática & Hacking, y puede ser técnico, súper-técnico, o divulgación, y si es una novela... podemos estudiarlo también.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)