sábado, agosto 31, 2024

Cómo convertirse en Tripulante Aéreo Autorizado con un SQL Injection Level 1 (y saltarse las colas de seguridad de los aeropuertos)

Las técnicas de SQL Injection fueron descubiertas en 1998. El 25 de Diciembre de 1998 el investigador rfp (rain.forest.puppy) publicaba el famoso ezine en el que hablaba de cómo se podía saltar la seguridad de una aplicación web que validaba usuarios contra una tabla en una base de datos usando consultas SQL con cadenas de texto concatenadas. Acababa de nacer el fallo de seguridad que más impacto ha tenido en la historia de la seguridad web desde que nació la Web.
Yo le dediqué años de estudio a las técnicas de SQL Injection, di muchas charlas, publiqué muchos artículos, fueron parte de mi trabajo de doctorado, y acabamos publicando un libro con todo esto que a día de hoy sigue siendo uno de los más vendidos, quizá porque sigue siendo fundamental para un pentester o un developer conocer estas técnicas y sus riesgos.
Hoy en día no es tan fácil encontrar estas vulnerabilidades como lo fue hasta el año 2010, donde saber SQL Injection era equivalente a tener siempre comodines en la manga. Aparecía en cualquier sitio. Un SQL Injection, un Blind SQL Injection, uno de errores ODBC, un Remote File Downloading, un Time-Based Blind SQL Injection, un Arithmetic Blind SQL Injection
Recuerdo jugar con la web de mis admirados Fernando Alonso y Pedro de la Rosa que tenían unos bonitos SQL Injection en sus páginas web, pero podría enumeraros centenares de ellas que aún tengo en mi cabeza. Una de las veces, en el año 2009, fui invitado a ir a la Yahoo! Security Week a dar una charla de Web Security a los Paranoids de Yahoo! Allí Palako y yo hicimos Live-demos de SQL Injection hasta que recibimos un mensaje en papel que ponía: "Please, no more non-Yahoo! sites live demos". Era tan fácil, estaba por tantos sitios, que casi podías hacer lo que quisieras en cualquier página web del mundo. Si es que servía hasta para ligar.

Bypassing airport security via SQL injection 

Hoy en día, 26 años después, a mí me gusta aún, de vez en cuando, echar un ojo y buscar algún sitio que aún tenga estos bugs clásicos, para ver si siguen existiendo y para sentir que he rejuvenecido y he vuelto a tener 25 años y estoy haciendo un pentest a una web. Busco alguno, lo reporto, y luego publico un post de eso por aquí. Es mi pasión, qué os puedo decir que no sepáis ya.

Pero parece que no se han erradicado del todo, y dos investigadores, Ian Carroll y Sam Curry, han encontrado un SQL Injection de libro, Level 1, en la web que controla el sistema de autorización de los Known Crewmembers (KCM) o tripulantes conocidos de las compañías aéreas, que tienen cola de acceso priorizada en los aeropuertos americanos gestionados por la TSA (Transportation Security Administration).
El sistema de administración es un portal web de acceso púbico sin VPN, sin Passkeys, sin 2FA, sin control de mensajes de error, sin control de cuentas privilegiadas, sin WAF, y con un SQL Injection de libro que permitía poner un 'or '1'='1  y tener un bonito acceso al panel de administración para poder ver los nombres de usuario y las credenciales, en hash MD5, de todos los usuarios de los sistema, además de los datos de todos los tripulantes. Ahí, ¡a lo loco!
Pero por supuesto, lo mejor es que te podías dar de alta como KCM dentro de la plataforma, y luego, siguiendo las reglas de los KCM acceder a esas colas en todos los aeropuertos americanos gestionados por la TSA.
¿Os acordáis de la famosa película de "Catch me if you can" de Leonardo di Caprio con la escena en la que accede a los aeropuertos vestido de piloto para ir de un lugar a otro? Pues con un SQL Injection de Level 1, hasta mediados de 2024 era así de sencillo

Hoy en día el bug ha sido corregido, que los investigadores han hecho Responsible Disclosure. Pero no me digáis que no es una historia que te hace caer una lagrimilla al ver ese SQL Injection.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, agosto 30, 2024

Cursos Online de Seguridad Informática & hacking para Septiembre de 2024 en HackBySecurity

El próximo lunes ya estaremos en SEPTIEMBRE,  se nos acaba el verano, así que hoy aprovecho para dejaros, la lista de formaciones y cursos online que puedes hacer a tu ritmo desde en la Academia de HackBySecurity. Como ya os he dicho muchas veces están diseñadas para los que queréis formaros en Seguridad informática & Hacking, como complemento a vuestra jornada diaria y a vuestro ritmo. Además, como ya os conté el próximo día 11 de Octubre, dará comienzo un BootCamp de Ciberseguridad Nuevo que será ONLINE y en Directo.

Ésta es la lista de Cursos Online de Ciberseguridad de HackBySecurity, para que luego, si te parece bien, te vengas a trabajar a nuestras ofertas de empleo  en Telefónica después. Si quieres tener un descuento en ellos,  puedes usar tus Tempos de MyPublicInbox para comprar un código de promoción del 10% o 20% de descuento por 50  o 100 Tempos en la sección de Canjea tus Tempos. Solo hay 10 códigos de cada uno de ellos.
Además, sabes que puedes conseguir esos 50 Tempos gratis en MyPublicinbox con la campaña de Sponsored Tempos que tienes de HackBySecurity, así que puedes aprovechar el descuento muy fácilmente.

Y ahora, la lista de cursos online que tienes en HackBySecurity para este mes de SEPTIEMBRE de 2024. Aquí tienes a los que puedes apuntarte para formarte online a tu ritmo en cibeseguridad, hacking y seguridad informática.

CSIO (Curso de Seguridad Informática Ofensiva): En este curso online de seguridad informática ofensiva que comienza el 3 de SEPTIEMBRE el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de penetración y auditorías de seguridad informática pudiendo llegar a desempeñar puesto como el de hacker ético, pentester o auditor de ciberseguridad. Se le introducirán desde los conceptos de hacking básicos hasta la creación de sus propios exploits, pasando por las técnicas de ataque y herramientas más avanzadas y efectivas.  

Además, el alumno tendrá como complemento del mismo una de las dos opciones siguientes, que puede elegir. Podrá tener el libro de Metasploit para Pentesters Gold Edition o el VBOOK de Ethical Hacking de 0xWord

Figura 5: Metasploit para Pentesters Gold Edition  

Este Curso Online de Seguridad Informática Ofensiva en HackBySecurity es una de las mejores opciones si lo que estás es buscando formarte profesionalmente para trabajar de pentester, y además quieres un modelo flexible de formación, y tiene como docentes a Rafael García  y a Pablo González, con los módulos de Python y Bash, que además puedes conocer mejor en la entrevista que le han hecho donde habla de muchas cosas de este mundo. 

Y para completar la formación, contarás con 200 Tempos de MyPublicInbox que recibirán todos los asistentes. Además el 24 de Septiembre a las 18:30h Pablo González da una Masterclass en directo  titulada “Creación de informes”.


- Curso Online de ChatGPT (CCGPT)El día 5 de SEPTIEMBRE da comienzo una nueva formación, dedicada a ChatGPT, para aprender los principios del Prompt Enginering, el uso de ChatGPT de forma avanzada, además de usar modelos para generación de imágenes, uso de plugins, y automatización de ChatGPT en procesos y scripts.

La formación la imparten Daniel Alias y Raúl Soriano, y todos los alumnos tendrán 200 Tempos de MyPublicInbox además de recibir el libro de Machine Learning aplicado a Ciberseguridad de Carmen TorranoFran Ramírez, Paloma Recuero, José Torres y Santiago Hernández. 

Figura 8: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen TorranoFran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

 CTEC (Curso Técnico Especialista en Ciberinteligencia): El día 11 de SEPTIEMBRE comienza la formación para aquellos que quieran empezar a trabajar en labores de ciberinteligencia en el mundo de la empresa. Con el objetivo de aprender cuáles son las fuentes de información pública, las técnicas de captura de información y cómo realizar una investigación en Internet y en la Deep Web, este curso enseña metodologías y procedimientos de análisis de información.  El curso tiene por docente a Rafael García Lázaro, con el que puedes consultar en su buzón público para resolver dudas.

Además, como complemento a esta formación se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación. 

En esta formación se entregan 200 Tempos de MyPublicInbox que recibirán todos los asistentes por haber hecho este curso. 

 - BLPI (Curso Online Básico Legal del Perito Informático)Esta formación comienza el 18 de SEPTIEMBRE, y es un el curso online dedicado a la disciplina de Análisis Forense tanto para el Peritaje Judicial, como para la gestión de los incidentes y su respuesta. El curso lo imparte Juan Carlos Fernández, y cuenta con un temario formado por doce módulos que recorren los principales temas legales básicos a conocer por todo buen analista forense.  

El curso tiene como complemento a la formación el libro de 0xWord escrito por Pilar Vila, llamado "Técnicas de Análisis Forense para Peritos Judiciales profesionales".  

(CMSW) Curso Online en Máxima Seguridad en Windows: Basado en el libro de Máxima Seguridad Windows Gold Edition, el próximo 19 de SEPTIEMBRE tendrá lugar el Curso Online en Máxima Seguridad en Windows, que ha sido creado y es impartido por Ángel A. Núñez,  MVP de Microsoft desde el año 2016 en Tecnologías Cloud & DataCenter, y escritor del libro de 0xWord "Windows Server 2016: Configuración, Administración y Seguridad" y del "VBOOK de Windows Server 2016".

Por supuesto, como documentación asociada al curso se entregará a todos los asistentes el  libro de "Máxima Seguridad en Windows Gold Editionde Sergio de los Santos para que puedan completar la formación con todas las referencias y recursos necesarios.

Figura 13:  Máxima Seguridad en Windows Gold Edition
de Sergio de los Santos publicado por 0xWord 

TAM (Taller Online de Análisis de Malware)El día 25 de SEPTIEMBRE  tendrás una formación muy especial, ya que se trata de un taller con Rafael García Lázaro para comenzar en el mundo del análisis de malware. 

Esta formación cuenta con 200 Tempos de MyPublicInbox que recibirán todos los asistentes.    

Y como bonus track, el BootCamp de OCTUBRE 


BCDO (BootCamp Online de Ciberseguridad Defensiva y Ofensiva): Esta es una formación especial, porque será ONLINE y en DIRECTO, ya que se trata de un BootCamp que dará comienzo el próximo día 11 de OCTUBRE, y que contará con Pablo González,  Fran Ramírez Álvaro Núnez-Romero,  Ángel A. NúñezAna Carlos SeisdedosRafa SánchezCarmen TorranoAlex AmorínValentín MartínDaniel González Abraham Romero Cid y José Luis Martínez como docentes. 

 
 
Además, todos los asistentes de este BootCamp tendrán 2.000 Tempos de MyPublicInbox, y los libros de Metasploit para Pentesters Gold Edition y Ethical Hacking 2ª Edición de 0xWord.

Además, os recuerdo lo que os adelanté, que para el 26 de Octubre tendremos una nueva edición de la HBSCON - donde yo participaré -. Ves reservando tus entradas ya. Y esto es todo lo que tienes para este mes de SEPTIEMBRE,  así que si quieres aprovechar el tiempo y formarte en Ciberseguridad & Hacking a tu ritmo, tienes una buena y variada oferta de cursos online que realizar.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

jueves, agosto 29, 2024

Deep Live Cam & VerifAI: Detección de DeepFakes en Vídeo Conferencias

En el año 2021 comenzaron a aparecer los proyectos que permitían utilizar una única fotografía para hacer una DeepFake en Vídeo Conferencias. La idea es tan sencilla como construir en tiempo real un stream de vídeo con la DeepFake y publicarla como una Virtual Cam para que pudiera utilizarse en cualquiera de las plataformas de Vídeo Conferencias, como Zoom, Meet o Teams
En aquel tiempo trabajamos primero con FaceIT Live y FaceIT Live3 posteriormente, y para poder construir las Virtual Cams fácilmente en los entornos Windows, creamos nosotros una pequeña PoC para tener un sencillo GUI que llamamos By The Face, pero que utilizaba por debajo el software de FaceIT Live3.
Esta idea ha continuado evolucionando, y la última herramienta que ha aparecido, por su calidad y su facilidad de uso es Deep Live Cam, que hace exactamente lo que os he contado. 

Con una fotografía te hace la DeepFake en tiempo real y te crea la Virtual Cam de la misma manera que se ve en el vídeo de la  Figura 2 con By the Face, pero muy mejorada la calidad de la DeepFake.
Y el resultado es el que podéis ver en este GIF que se presenta de demo en el repositorio de GitHub de Deep Live Cam, que es el que puedes esperar, pero con una muy buena calidad. 

Figura 5: Demo con DeepFake de Elon Musk

Como os podéis imaginar, esta herramienta es más que suficiente para que sea utilizada por los cibercriminales a la hora de realizar ciberestafas de suplantación de famosos, lo que lleva a que muchas personas les den su dinero pensando que están ayudando a sus ídolos.
Así que cuando hemos visto el vídeo de demo publicado en el artículo de Ars Technica, y el vídeo de demo subido en el propio repositorio de GitHub de Deep Live Cam, hemos querido probarlos con nuestro querido Tu VerifAI, a ver si los detectaba.
El objetivo es ver si la tecnología de detección que tenemos ahora metida en Tu VerifAI es capaz de detectar Deep Live Cam en su uso en tiempo real para estafar por vídeo conferencia a un empleado de una empresa o a un particular. Así que le hemos subido los vídeos de demo hechos con ella.
El primero ha sido el vídeo de demo del repositorio oficial, recortado para que solo se vea la imagen de la cámara en el vídeo, y se lo he subido a Tu VerifAI, y el resultado ha sido que lo ha detectado bien.
Los siguientes vídeos, los hemos ido dividiendo en cada uno de los caracteres que se van utilizando, para no confundir a la herramienta y ponérselo fácil con muchos cambios de cara, así que hemos ido subiendo uno a uno. Primero el de George Clooney.

Figura 10: Deep Fake con George Clooney.
(Qué bien me cae ese tipo)

Y el resultado tras subir esta DeepFake hecha con Deep Live CamTu VerifAI es que lo detecta perfectamente.

El siguiente ejemplo es con Mark Zuckerberg, que como podéis ver, es con la misma persona y en el mismo entorno.

Figura 12: Deep Fake con Mark Zuckerberg

Ahora el mismo proceso. Subimos el vídeo a Tu VerifAI y esperamos resultado, que en este caso es otra vez MUY PROBABLEMENTE con mayor grado de certidumbre.
Ahora vamos con el actor Hugh Grant, que también se muestra en el vídeo de demostración que estamos analizando.

Figura 14: Deep Fake de Hugh Grant

Y el resultado, que como ya os podéis imaginar, es que Tu VerifAI detecta que se está utilizando tecnología de DeepFake en ese vídeo.
El último vídeo, que he querido probar todos para que se queden guardados en el artículo por si hay que reusarlos el día de mañana.

Figura 16: Vídeo con DeepFake de JD Vance

Como podríais suponer, el resultado no cambia para este vídeo tampoco, aunque de nuevo varía el grado de certidumbre del algoritmo.

Usar VerifAI en tu empresa

Si quieres probar estas tecnologías, integrar esta solución en tus productos, o en las herramientas de vídeo conferencia de tu organización, no dudes en ponerte en contacto con nosotros a través de la web de Tu para Empresas, y te ayudaremos con ello.
Por supuesto, si quieres ser nuestro partner, y distribuir estas tecnologías o ayudar a desplegarlas en tus clientes, también contacta con nosotros.


¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, agosto 28, 2024

Potencial Digital: Congreso en Extremadura 19 y 20 de Septiembre

Con la llegada de Septiembre llega mi vuelta a las "tablas", así que me volveré a calzar el gorro y dar mis primeras conferencias. Por ahora tengo pocas cerradas en este mes, que tengo un viaje a USA de por medio que hará que no esté arrancando mis actividades hasta mediados de mes, y mis planes son estar en New York, en la DragonJAR en Colombia (vía streaming), pero antes en Cáceres, Extremadura, en el congreso de Potencial Digital.

Este evento tendrá lugar los días 19 y 20 de Septiembre en Cáceres, y creo que no recuerdo si he dado una conferencia allí en algún momento en mi vida. Puede que tal vez alguna formación o algún paso casual, pero esta va a ser mi primera presencia allí.

En el evento, estaré con Manuel Pimentel, con mi compañera Laura Lacarra, con Agustín Santamaría de Microsoft, con el gran Deepak Daswani a.k.a. "Dipu", Jezer Ferrerira y un largo plantel de ponentes que puedes ver en la web del congreso de Potencial Digital.
Las temáticas, pues ya os las podéis imaginar: Transformación Digital, Ciberseguridad & Inteligencia Artificial, y todas ellas mezcladas. Y de todo ello hablaré yo, así que no habrá muchas más sorpresas de las habituales.
Por último, si quieres tener una reunión conmigo aprovechando que voy por allí, o quieres que te lleve firmado algún libro de 0xWord - cómpralo y yo te lo llevo - , puedes reservar además una reunión por mi perfil de MyPublicInbox y la tenemos presencialmente allí.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, agosto 27, 2024

Airdrops: una guía completa para obtener criptomonedas gratis

Imagina que estás caminando por la calle y alguien te regala un billete de lotería. Ésta es, básicamente, la idea de un Airdrop de criptomonedas. Se trata de una estrategia de marketing muy utilizada por proyectos de Blockchain que quieren darse a conocer a través de distribuir tokens de forma gratuita a una comunidad de usuarios para que conozcan el servicio, la plataforma o el proyecto. 
Es como una lluvia de Tokens pero con un propósito muy específico. Y no es raro, porque en plataformas del mundo Web tradicional se han dado códigos descuentos, bonos gratuitos, o códigos de canjeo por servicio, como han hecho y hacen empresas como Uber o Just Eat.

¿Qué es un Airdrop?

Los Airdrops son una excelente manera de obtener criptomonedas gratis, pero también de encontrar proyectos Web3 con tecnología Blockcahin innovadores. Al realizar tareas simples como seguir un proyecto en X o unirse a su comunidad de Telegram, los usuarios pueden recibir Tokens de forma gratuita. Estos Airdrops suelen tener como objetivo aumentar la conciencia de marca y crear una base de usuarios leales. Sin embargo, es crucial evaluar cuidadosamente cada oportunidad para evitar estafas y maximizar tus ganancias.

¿Por qué se realizan Airdrops?

El principal motivo de un Airdrop suele ser generar conciencia de marca y dar a conocer un proyecto cripto al mundo. Sin embargo, hay otros motivos para iniciar un lanzamiento de tokens como:
  • Aumentar la conciencia de marca: dar a conocer un nuevo proyecto blockchain y su token a una audiencia más amplia.
  • Incentivar la adopción: animar a los usuarios a probar una nueva plataforma o aplicación descentralizada.
  • Crear una comunidad: construir una base de usuarios leales que participen activamente en el proyecto.
  • Recompensar a los early adopters: premiar a los primeros usuarios que creen en el proyecto y lo apoyan desde el principio.
¿Cómo funciona un Airdrop?

El proceso de un Airdrop suele ser el siguiente:

1. Selección de participantes: los proyectos establecen criterios para determinar quién es elegible para recibir un airdrop. Estos criterios pueden incluir poseer otras criptomonedas, ser miembro de una comunidad específica, completar tareas en redes sociales o simplemente registrarse en una plataforma.

2. Distribución de tokens: una vez seleccionados los participantes, los tokens se envían automáticamente a las direcciones de las billeteras digitales de los usuarios.

3. Requisitos de bloqueo: en algunos casos, los tokens recibidos en un airdrop pueden estar sujetos a un período de bloqueo, lo que significa que no se pueden vender o transferir inmediatamente.

¿Cómo participar en un Airdrop?

Participar en un Airdrop es MUY sencillo y suele basarse en completar una serie de sencillas tareas. Generalmente para estar preparado debes:
  • Tener una billetera digital: necesitarás una billetera compatible con la red blockchain del proyecto que está realizando el airdrop. Algunas de las billeteras más populares incluyen MetaMask, Trust Wallet y Coinbase Wallet.
  • Cumplir con los requisitos: cada airdrop tiene sus propios requisitos de participación. Estos pueden incluir seguir a un proyecto en redes sociales, unirse a un grupo de Telegram o completar un formulario de registro. Revisa con atención qué condiciones debes cumplir para poder participar.
  • Mantener tus tokens: una vez que hayas recibido los tokens, es importante mantenerlos en una billetera segura.
Tipos de Airdrops
  • Airdrop estándar: explica el proceso más común, donde los usuarios se registran para recibir tokens.
  • Airdrop por tenencia: los usuarios deben poseer una determinada cantidad de otra criptomoneda y no venderla.
  • Airdrop por tareas: se recompensan acciones como seguir en redes sociales, compartir contenido, etcétera.
  • Airdrop de bifurcación: ocurre cuando una blockchain se divide y los titulares de la moneda original reciben una nueva.
  • Airdrop de recompensas: se otorgan tokens por participar en actividades dentro de una plataforma y aportar valor al proyecto, servicio o plataforma.
Herramientas para encontrar Airdrops
  • Listas y plataformas especializadas: CoinMarketCap, CoinGecko, AirdropAlert, etcétera.
  • Canales de Telegram y Discord: comunidades dedicadas a compartir información sobre airdrops.
  • Blogs y foros: sitios web especializados en criptomonedas donde se publican noticias y análisis.
¿Cómo encontrar Airdrops Legítimos?

Los Airdrops se han convertido en una acción muy popular y que atrae mucha atención por parte de los usuarios. Inevitablemente, esto también ha hecho que aumente el número de ciberestafas y de Airdrops fraudulentos, por lo que resulta muy importante revisar bien las condiciones, el proyecto y las plataformas antes de participar. Para protegerse de fraudes, es recomendable seguir estos consejos:
  • Verifica la información del proyecto: investiga a fondo el equipo detrás del proyecto, su hoja de ruta y su whitepaper.
  • Desconfía de las promesas de ganancias fáciles: si un airdrop promete ganancias exorbitantes sin esfuerzo, es probable que sea una ciberestafa.
  • No reveles tus frases semilla: nunca compartas tu frase semilla con nadie, ya que esto le daría a otra persona acceso a tus fondos.
  • Utiliza fuentes confiables: busca información sobre airdrops en sitios web y foros especializados en criptomonedas.
¿Cuáles son los riesgos de los Airdrops?

Aunque los Airdrops pueden ser una excelente oportunidad para obtener criptomonedas gratis, también conllevan ciertos riesgos:
  • Volatilidad: el valor de los tokens recibidos en un airdrop puede fluctuar significativamente. Especialmente, al finalizar el mismo.
  • Proyectos fraudulentos: no todos los proyectos que realizan airdrops son legítimos, como te he dicho, revisa bien que sea un airdrop legítimo antes de participar.
  • Requisitos de KYC: algunos proyectos pueden solicitar información personal para participar en un airdrop, lo que puede generar preocupaciones sobre la privacidad.
¿Cómo maximizar tus ganancias con los Airdrops?

Si bien no existe una fórmula mágica para garantizar el éxito en los Airdrops, hay algunas estrategias que puedes seguir:
  • Sé un miembro activo de la comunidad: participa en discusiones, comparte contenido y muestra tu apoyo al proyecto.
  • Diversifica tu cartera: no pongas todos tus huevos en una sola cesta. Invierte pequeñas cantidades en varios airdrops.
  • Mantente informado: sigue las noticias del sector y estate atento a las últimas tendencias en el mundo de las criptomonedas.
Los Airdrops son una forma emocionante de participar en el ecosistema de las criptomonedas y obtener tokens de forma gratuita. Sin embargo, es importante abordar este tema con cautela y realizar una investigación exhaustiva antes de participar en cualquier Airdrop. Al seguir los consejos, puedes aumentar tus posibilidades de encontrar airdrops legítimos y maximizar tus ganancias.

Bit2Me y eSync Network reparten 1 millón de tokens ECS

Bit2Me acaba de abrir la primera fase de su airdrop en el que van a repartir 1 millón de ECS que vamos a repartir. Este Airdrop tendrá 3 fases diferentes, de un mes de duración cada una, por lo que tiene que darte prisa si quieres participar, ya que el tiempo para participar es limitado.


¿Cómo participar en el airdrop?

1. Tener una cuenta verificada de Bit2MeRecuerda que la verificación puede tardar unos días y está sujeta al cumplimiento de la normativa legal vigente. 
 
2. Dispone de 10.000 ECS o más en Bit2Me: Si no los tienes, los puedes comprar en Bit2Me Wallet. 
 
3. Deposita tus ECS en Earn: y disfruta de recompensas pasivas de hasta un 14% de APY. 
 
4. Mantén los ECS en Earn durante cada una de las fases en las que quieras participar:… o durante todo el airdrop si quieres recibir tokens en cada fase.

¿Cómo se reparten el millón de ECS?

Todos los participantes que cumplan con las condiciones para ser elegibles en cada fase recibirán una parte de los tokens, que se reparte de forma proporcional al número de participantes y a la cantidad de ECS que tengan en Earn. Esto significa que, cuántos más ECS tengas en Earn, mayor será la cantidad que recibirás en cada fase. Además, puedes unirte al Airdrop en cualquier momento durante el periodo, siempre que mantengas los tokens durante toda la fase correspondiente.

¿Y sabes qué es lo mejor de todo? En cada fase aumenta el número de Tokens que repartimos. Así funcionan las fases:
  • Fase 1: Del 15 de agosto al 14 de septiembre de 2024. Se repartirán 200.000 ECS.
  • Fase 2: Del 15 de septiembre al 14 de octubre de 2024. Se repartirán 350.000 ECS.
  • Fase 3: Del 15 de octubre al 14 de noviembre de 2024. Se repartirán 450.000 ECS.
Así que, tienes la oportunidad de PARTICIPAR EN EL AIRDROP dese ya mismo.

lunes, agosto 26, 2024

WhatsApp: Passkeys para hacer más cómodo el proceso de Login y reducir los SMS-OTP

Una de las características que ha introducido WhatsApp para mejorar su proceso de autenticación es la del uso de las Passkeys. No es que WhatsApp haya cambiado su forma de iniciar sesión ten tu cuenta, con el famoso SMS que se usa como canal OTP de desafío a tu número móvil, sino que se ha añadido, una vez instalado en un dispositivo, poder autenticarse mediante un sistema de clave privada / clave pública como alternativa al SMS.

Figura 1: WhatsApp: Passkeys para hacer más cómodo
el proceso de Login y reducir los SMS-OTP

Es decir, la idea es reducir el número de SMS-OTP que se envían - y que han sido tradicionalmente el punto de ataque para robar cuentas de WhatsApp -, permitiendo que el usuario pueda utilizar las Passkeys - si las tiene -, como forma cómoda y segura de autenticarse.

Figura 2: Passkeys en WhatsApp

Como podéis ver en la imagen superior del Help Center de WhatsApp, las claves se pueden utilizar opcionalmente, si se tienen, lo que hará mucho más cómodo el proceso de autenticación, ya que será como autenticarse como con cualquier otra credencial de los gestores de contraseñas que tienen Android e iPhone, por lo que se puede utilizar FaceID o la Biometría de la huella dactilar.


Nuevo libro de Luis Márquez en 0xWord.

Es decir, para el usuario será más cómodo porque no hay que esperar que llegue el SMS OTP, no tendrá que leerlo y escribirlo, y no se producirá una transmisión del código para que pueda ser capturado por un posible atacante.  Pero si no lo tiene, no pasa nada, el usuario puede autenticarse como siempre.

Figura 4: Creación de Passkeys

Crear la Passkey es tan sencillo como podéis ver en estas capturas. Se entra en Account -> Passkeys, le damos al botón de Continuar y la Passkey es creada. Y tendremos una solución temporal de autenticación utilizando claves criptografías.
Una vez que pasa esto, sólo hay que almacenarla en el gestor de credenciales de tu dispositivo, lo que hace WhatsApp de manera automática. En mi caso, que tengo un iPhone, me autentico con FaceID y se queda guardada en el Password Manager de Apple.

Figura 6: Creación, almacenamiento y borrado de las Passkeys

Como se ve en la imagen anterior, se puede eliminar la Passkey, y si existe esa Passkey, se puede utilizar para iniciar sesión en cualquier dispositivo sin utilizar el SMS-OTP tradicional. 

Conclusión

Este proceso implica dos cosas a tener en cuenta que quiero recalcar para que sea fácil entender este sistema de autenticación:

1.- No sustituye el SMS-OTP como forma permanente de autenticación: Es una alternativa que puede ser utilizada, pero si has perdido las Passkeys porque has perdido el dispositivo, con recuperar la SIM puedes volver a iniciar sesión. 

2.- Si alguien tiene las Passkeys podría iniciar sesión: Así que debes, como ves en la figura 5, eliminar las Passkeys antes de cambiarte de Android a iPhone, o de cambiar de Password Manager, porque si alguien pudiera acceder a ellas, tendría acceso a tu sesión.

3.- Más info para verificar un robo de cuenta: He querido añadir este punto porque al final, si alguien te clona la SIM o consigue tu OTP, y tú tienes también el SMS-OTP haciendo un login en paralelo, pero además tienes las Passkey, puede ser que Meta use las Passkeys como elemento para determinar que estás sufriendo un ataque, así que no viene mal tenerlas. 

Por último, recalcar que, a día de hoy, el proceso de login sólo se hace cuando hay cambio de dispositivo, o un cambio drástico en el sistema operativo, por lo que ya a día de hoy hay un proceso de autenticación para mantener la seguridad de la cuenta mediante claves de dispositivo que también se guardan en el Password Manager, así que digamos que esto es una evolución que permite utilizar estas Passkeys más allá del uso actual.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares