martes, noviembre 13, 2018

How To FaceSwapping in a video "Chema Alonso" & "Axl Rose" with AI (2 de 2)

Tras ver la base teórica en la primera parte de este artículo, toca meterse ahora de lleno en la parte práctica del entrenamiento. El objetivo, como ya hemos dicho antes, consistía en hacer un vídeo falso de Chema Alonso para poder construir una FakeNews con la que "manipular" la opinión sobre un ejecutivo de una empresa, al más puro estilo Cambridge Analytica.

Figura 10: How To FaceSwapping in a video "Chema Alonso" & "Axl Rose" with AI

Es decir, el objetivo era explicar cómo se puede realizar un APT contra la reputación de un empleado de una empresa con una Fake News en la que apareciera un vídeo falso creado con una GAN (Generative Adversarial Networks) usando DeepFakesApp. Así que vamos al lío.

La parte práctica del proyecto

Desde el martes por la tarde empezamos a intentar entender la tecnología y las posibilidades prácticas que teníamos. Cuando estuve en Chile para participar recientemente en la 8.8 vi una charla sobre Faceswap y las posibilidades que ofrecía la librería. El entrenamiento que requiere es alto, al igual que una gran capacidad de cómputo, pero al alcance de cualquiera.

En esto también teníamos un problema que resolver, ya que no queríamos hacerlo en ninguna cloud y aprovechar la potencia de cómputo sin tenerlo claro y probarlo bien antes. Pero, como pasa siempre, teníamos una limitación de tiempo importante. Esto traducido al lenguaje laboral es igual a “estrés”.

Figura 11: FaceSwap de DeepFakes en GitHub (necesario login)

Sin ponernos nerviosos, empezamos a mirar la librería faceswap de Github. Lo primero es entender el funcionamiento práctico de la aplicación que se proporciona faceswap.py. A continuación, dejamos un pequeño guión:
1. Se necesitarán dos videos. La calidad es importante.
2. El primer video será un video de la persona a la que se quiere sustituir la cara.
3. El segundo video será un video de la persona que queremos coger la cara.
4. Como dije, la calidad es importante y el número de caras y movimientos también. Es importante que las caras tengan muchos puntos de vista, para poder entrenar mejor y de forma más real.
5. De cada video se deben obtener todos los frames.
Figura 12: Obtención de todos los frames del vídeo
6. De cada frame se debe capturar la cara y almacenarlas en dos carpetas, cada carpeta para cada sujeto.
Figura 13: Captura de las caras
7. Aplicamos el entrenamiento. Aquí dependemos del cómputo y del tiempo.
Figura 14: Entrenamiento del algoritmo
8. Una vez creemos que hay suficiente entrenamiento, se generan los frames finales aplicando el entrenamiento sobre los frames originales de la persona que se quiere sustituir.
Figura: Generación de frames finales
9. Generamos video final.
Esto es lo ideal, pero con tan poco tiempo muchas cosas podían fallar, muchas cosas iban a pasar, muchos cafés íbamos a tener que tomar. Así fue, la primera prueba de fuego fue instalar el entorno completo, esto puede suponer problemas, pero al final se consiguió con relativa facilidad. La calidad del video, como comentaba anteriormente, es importante, y nos dimos cuenta con las primeras pruebas que fuimos llevando a cabo, que no salieron nada bien.


Figura 12: Primera prueba del vídeo final elegido

Por último, la generación de los frames A con la cara del sujeto B iba a suponer nuestro último reto. Tras mezclar a Chema Alonso con Mark Zuckerberg o con Rosendo Mercado, y plantearnos al Mono Burgos, llegamos a Axl Rose. Buscábamos el pelo largo que nos simplificase la inclusión, buscábamos una complexión similar, pero tuvimos que ver diferentes parámetros.

Figura 13: FaceSwapping entre Mark Zuckerberg y Chema Alonso con poco enternamiento
El primer parámetro era entender que nuestros colores de piel son distintos, por lo que las caras de Chema Alonso tuvieron que ser “coloreadas” para que se pareciera al color de piel de Axl Rose y no tuvieramos que tener la AI entrenando mucho tiempo. Con un pre-procesado del vídeo conseguíamos ahorrar mucho tiempo.

Esto sucederá siempre, ya que si no el color no será idóneo y se notará mucho, como se ve en la Figura 13, que desestimamos antes de entrenar más porque era difícil de reconocer a Chema Alonso con el pelo tan corto. Hay que indicar que la librería de faceswap tiene parámetros para autoajustar esto, pero no lo conseguimos hacer funcionar como necesitábamos.


Figura 14: Vídeo final usado en la demo de Corporate APT with Fake News

Una vez elegido el vídeo de Axl Rose y entrenado lo suficiente - Chema Alonso no quería que fuera demasiado perfecto para que no quedara un vídeo híperrealista -  teníamos los colores igualados. Tras generar el vídeo final completo, nos encontramos que si nos fijábamos casi pixel a pixel había una mezcla extraña, aunque el vídeo no quedaba mal del todo. Decidimos emplear los últimos momentos a mejorar frame a frame el resultado que ya teníamos con técnicas de post-procesado para darle el toque final que deseáramos.

La Fake News final

El objetivo de este trabajo era demostrar cómo una empresa podría ser atacada por medio de este tipo de técnicas. Atacando la reputación de sus empleados, y de sus ejecutivos, alguien podría hacer daño a una empresa, especialmente si está cotizada en bolsa. Así que, como colofón final, lanzamos un e-mailing dirigido a todos los que habían asistido al evento con una Fake News que utilizaba este vídeo.

Figura 15: Fake News enviada por e-mail con el vídeo generado como prueba de la noticia

Las Fake News pueden hacer mucho daño, como hemos visto, en elecciones políticas, pero también en los entornos corporativos. Es por eso que las campañas de concienciación cuenten con ellas, y que los equipos de Comunicación y Relación con Prensa, estén entrenados para poder responder ante este nuevo tipo de amenazas. Os recomendamos que veáis esta charla sobre Fake News de Chema Alonso.


Figura 16: Data Leakages, APIS and WebScraping en tiempos de Cambridge Analytica

- How To FaceSwapping in a video "Chema Alonso" & "Axl Rose" with AI (1 de 2)
- How To FaceSwapping in a video "Chema Alonso" & "Axl Rose" with AI (2 de 2)

Autores: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica y Enrique Blanco (@eblanco_h) es Investigador en el departamento de Ideas Locas CDO de Telefónica

lunes, noviembre 12, 2018

How To FaceSwapping in a video "Chema Alonso" & "Axl Rose" with AI (1 de 2)

Era un martes normal en la oficina para el equipo de Ideas Locas de CDO. En concreto la mañana del 30 de Octubre. Aproximadamente las 14:15 de la tarde. En ese momento llega una llamada de Chema Alonso. Así comienzan muchas de nuestras aventuras. A horas más raras para recibir una llamada de trabajo. Suele pasar cuando al boss se le ocurre una idea:  “Pablo, ¿conoces el tema de las DeepFakes de las que hablé una vez en mi blog?” Así empezó todo. Comienza una nueva aventura en el equipo.

Figura 1: How To FaceSwapping in a video "Chema Alonso" & "Axl Rose" with AI (1 de 2)

Por supuesto, contesté que sí lo conocía. Había salido en el blog, y llevamos tiempo trabajando con OpenAI para entrenar AI con visión artificial para jugar a juegos clásicos, y hemos hecho cosas con las GAN (Generative Adversarial Networks) en seguridad. Pero debíamos estudiarlo si queríamos hacer algo con ello.


Figura 2: OpenAI jugando a BreakOut

Pero Chema Alonso había decidido hacer una charla diferente para el Security Innovation Day 2018 que tenía lugar el día 7 de Noviembre. Había decidido no hablar de Stela FileTrak que era la estrella del acto y dejárselo a los compañeros para hacer algo diferente en el cierre de la jornada, así que me comentó:  "¿Puedes decirme en unas horas si es viable llevarlo al SID 2018?"

Así trabajamos en Ideas Locas, de forma ágil y, en algunos casos, alocada. La respuesta como podéis imaginar fue afirmativa, por lo que entramos en una espiral de locuras entrenando AI para poner la cara de Chema Alonso en un vídeo de su amado Rosendo Mercado, o en uno de Bon Jovi, o uno de Axl Rose usando DeepFakes, hasta que se presentó el ejemplo del vídeo en el Security Innovation Day 2018 de ElevenPaths.

Figura 3: Ejemplo de la cara de la actriz de Star Wars en el cuerpo de una actriz porno

Tuvimos una semana de trabajo, así que no había mucho tiempo para fallar, pero tiempo más que suficiente para hacer algunas pruebas. Este evento es muy importante para ElevenPaths y para Chema Alonso, que sabéis que le gustar marcar los ritmos de innovación con deliveries en las conferencias importantes. Ya sabemos que cuando se acerca un evento importante, siempre nos puede caer un acelerón con algo nuevo.

La verdad es que nos tocó trabajar mucho, ya que partíamos, prácticamente desde cero, por lo que tuvimos que entender bien qué es lo que queríamos y cómo podíamos llegar a ello. Por suerte, en el equipo de Ideas Locas tenemos diferentes tipos de perfiles. Gente especializada en Ciberseguridad, otros en Inteligencia Artificial, especialistas en desarrollo móvil, en hardware y en temas de Big Data. Nos balanceamos y ayudamos en función de nuestras necesidades. Somos pocos, pero bien distribuidos los perfiles.


En este artículo os vamos a contar qué es lo que fuimos haciendo durante la semana con las tecnologías GAN (Generative Adversarila Netwoks) y las FakeNews, aunque no todo el trabajo fue lo que os contamos en este artículo, ya que otra parte del equipo se dedicó a preparar otras cosas que dejamos para otros momentos. Lo primero es entender la tecnología que está detrás de las DeepFakes. Nuestro compañero Enrique Blanco se encargó de liderar la parte más teórica y hacernos entender cuál era el camino idóneo.

La parte más teórica

Entender la tecnología detrás de DeepFakes no es complicado en absoluto. El funcionamiento de este software se basa en el uso de arquitecturas de Deep learning y algoritmos bien conocidos de Machine Learning. Cada nodo (o neurona artificial) de la capa de entrada contiene un valor numérico que codifica la entrada con la que queremos alimentar a la red. Estos valores se transmiten de manera recurrente a cada una de las capas.

Lo interesante es que cada borde amortigua o amplifica los valores que transmite. Cada nodo suma todos los valores que recibe y genera uno nuevo basado en una determinada operación o función de activación. El resultado del cálculo se puede recuperar de la capa de salida. Cuando tomamos como entrada a una red neuronal un conjunto de imágenes, debemos hacer uso de arquitecturas efectivas, como Redes Neuronales Convolucionales (CNNs), que es exactamente a lo que DeepFakes está recurriendo.

Entrenar una red neuronal significa encontrar un conjunto de pesos para todos los bordes, de modo que la capa de salida produzca el resultado deseado. Una de las técnicas más utilizadas para lograr esto se llama backpropagation, y funciona reajustando los pesos cada vez que la red comete un error.


Figura 5: Conferencia sobre GANs por David Del Val donde habla de FaceSwapping

La idea básica detrás de la detección de rostros y la generación de imágenes es que cada capa representará progresivamente características complejas básicas, aumentando la abstracción sobre determinadas características del input.

Aunque, en realidad, lo que cada capa es capaz de abstraer no resulta tan sencillo de sintetizar, en el caso de una cara, por ejemplo, la primera capa podría detectar bordes, la segunda sería capaz de detectar ojos u otros detalles de los rostros, etc… Otro recurso que utiliza DeepFakes son los Autoencoders, que se erigen como pieza clave en la tecnología de face swapping. Su teoría y funcionamiento se explican brevemente a continuación.

Autoencoders

Las redes neuronales pueden adquirir infinitas configuraciones en materia de forma y tamaños. Y es exactamente esa forma y el tamaño lo que determina el rendimiento de la arquitectura para resolver un determinado problema. Un autoencoder es un tipo especial de red neuronal cuyo objetivo es hacer coincidir la entrada que se le proporcionó con la mayor semejanza posible.

A primera vista, no parecen resolver ningún problema real, pero el valor de este tipo de arquitecturas reside en las características que se pueden extraer de la abstracción de las entradas que realizan en las capas profundas de su arquitectura. El autoencoder debe comprimir la información para reconstruirla a posteriori.

Figura 6: Descripción de autoencoder

Tras un entrenamiento correcto, el autoencoder aprenderá a representar los valores de entrada en una forma diferente, pero mucho más compacta. El codificador automático se puede desacoplar en dos redes separadas: un codificador y un decodificador, ambos compartiendo la capa en el medio, que a menudo es referida como vector base y representa la imagen de entrada en el llamado espacio latente. Los codificadores automáticos tienen pérdidas naturales, lo que significa que no podrán reconstruir la imagen de entrada a la perfección.

Entrenamiento DeepFakes

Supongamos que tenemos un conjunto de rostros como training dataset que pueden ser usadas como entrada a nuestra arquitectura. El diagrama siguiente muestra una imagen de Chema Alonso reconstruida por DeepFakes que se alimenta a un autoencoder. Su resultado, como se mencionaba anteriormente, es una representación dimensional inferior de esa misma cara  a la que llamaremos "Vector base" o "Cara latente".

Figura 7: Rostro original a rostro reconstruido

Dependiendo de la arquitectura de la red, la cara latente puede no parecer una cara en absoluto. Cuando se pasa a través del Ddecoder, la cara latente se reconstruye. Para monitorizar el rendimiento de una red de este tipo, se mide la bondad de la reconstrucción de la imagen original a partir de la descompresión de la representación obtenida en el espacio latente.

En el caso de DeepFakes, con la finalidad de mezclar caras, entrenar dos autoencoders de forma separada no tendría ningún sentido, pues la representación de los espacios latentes aprendidos por cada uno sería totalmente diferente y no podrían ser usadas al mismo tiempo.  La tecnología de Face Swapping es posible si se codifican dos clases diferentes de inputs en una misma representación latente. Esto se ha conseguido construyendo dos redes neuronales que comparten el mismo encoder pero usan dos decoders diferentes.

Figura 8: Mezcla de dos caras con autoencoders

Durante el entrenamiento, las dos redes de arriba se entrenan por separado. El Decoder A solo se entrena con caras de A (Axl Rose); el Decoder B solo se entrena con caras de B (Chema Alonso). Sin embargo, todas las caras latentes son producidas por el mismo Encoder. Esto significa que el Encoder tiene que identificar características comunes en ambas caras.

Debido a que todas las caras comparten una estructura similar, no resulta imposible que el Encoder adquiera la capacidad de representar caras, ni tampoco resulta descabellado inferir que en la máxima compresión de la información de nuestra red se consigue un vector base común a ambas personas.

Figura 9: Por cada cara de Chema Alonso generada a partir de la cara de Axl Rose, el Discriminador irá diciendo el grado de bondad de la cara generada, es decir, cuánto se parece esa cara a "Chema Alonso". Cuando se supere el umbral marcado, se considerará que la cara ha sido transferida en ese fotograma.

Una vez nuestro modelo ha sido entrenado, la red tendrá la capacidad de generalizar con bastante buen acierto las características de un rostro humano, por lo que podrá decodificar satisfactoriamente distintos gestos y orientaciones de los elementos que componen una cara. Y lo más importante: nuestro modelo tendrá la capacidad de generar nuevos rostros (tanto del sujeto A dado un rostro de B y viceversa) que no existen en nuestro training y/o test dataset con el que se inicializa el Discriminador.

- How To FaceSwapping in a video "Chema Alonso" & "Axl Rose" with AI (1 de 2)
- How To FaceSwapping in a video "Chema Alonso" & "Axl Rose" with AI (2 de 2)

Autores: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica y Enrique Blanco (@eblanco_h) es Investigador en el departamento de Ideas Locas CDO de Telefónica

domingo, noviembre 11, 2018

Hacking Web Technologies: Port Discovery con ZAP

Un Proxy HTTP/S es una herramienta de uso obligado en cualquier proceso de Hacking Web Technologies que se precie. Herramientas como Burp o ZAP suelen ser las más populares en en Ethical Hacking de estas características, sin olvidar ciertas extensiones para navegadores, como por ejemplo Tamper Data para Firefox, que permiten visualizar y manipular los parámetros enviados en las peticiones HTTP/S.

Figura 1: Hacking Web Technologies: Port Discovery con ZAP

Puede parecer extraño que un Proxy HTTP/S ofrezca también la posibilidad de realizar descubrimiento de puertos TCP en un servidor. Es por ello que, en este artículo, se mostrará cómo realizar port-discovery con ZAP sobre puertos TCP, y qué mejoras podrían introducirse a la hora de integrar en una misma herramienta el análisis de puertos TCP.

Port-Scanner de ZAP

ZAP incorpora un complemento para el análisis de puertos TCP. Para usarlo basta ir al menú superior y seleccionar “Ver > Show Tab > Escaneo de puertos Tab”.

Figura 2: Complemento para el escaneo de puertos con ZAP

El siguiente paso es seleccionar el sitio sobre el que se quiere realizar el descubrimiento de puertos TCP. Para ello es necesario activar el escaneo de puertos sobre el sitio, tal y como se muestra en la siguiente imagen:

Figura 3: Descubrimiento de puertos TCP sobre el sitio indicado

Analizando el tráfico de red que se genera durante el escaneo de puertos, se determina que ZAP, para descubrir el estado de un puerto TCP, ha de completar el establecimiento de la conexión TCP (SYN, SYN+ACK, ACK) para todos los puertos TCP escaneados, con el consiguiente ruido que esto genera en el servidor.

Figura 4: Escaneo TCP con la conexión en tres fases (SYN, SYN+ACK, ACK) completa

Además, si se analizan las opciones de configuración del escáner de puertos dentro del contexto TCP, se observa que no brinda la posibilidad de enviar únicamamente el flag SYN para realizar un escaneo sigiloso en los puertos TCP del servidor.

Figura 5: Opciones de configuración del escáner de puertos de ZAP

Tampoco ofrece la posibilidad de enviar únicamente el flag ACK para poder inferir la existencia de un Firewall que proteja los servicios de la máquina de determinado tipo de conexiones o escaneos.

Figura 6: Sin Firewall el servidor devuelve el bit de reset (RST) a 1
Figura 7: Con Firewall el servidor no devuelve un RST ni tampoco devuelve un SYN+ACK

También se comprueba que el escáner de puertos ofrece la posibilidad de fijar una cota superior en el número de puertos TCP a analizar, pero no brinda la posibilidad de fijar un único puerto TCP o un intervalo específico de análisis.

Conclusiones

De las pruebas anteriores se determina que:
- Las conexiones TCP realizadas para el análisis de los puertos TCP han de ser completas (3 fases) para poder determinar cuál es el estado del puerto. Para generar menos ruido en el servidor, sería bueno que el escáner de puertos de ZAP incorporase nueva funcionalidad para poder realizar escaneos TCP de tipo SYN (sigilosos) y ACK (poder inferir la existencia de un firewall).
- En caso de querer obtener el estado de un puerto, por ejemplo el 80/TCP, se tiene que realizar un análisis TCP de todos los puertos que le preceden.
Figura 8: Escaneo de todos los puertos TCP que preceden al puerto objetivo del análisis
Sería bueno que el escáner brindara la oportunidad de realizar el escaneo de un único puerto TCP, de un intervalo concreto o de los puertos introducidos por el auditor en caso de que estos no sean contiguos.
Para finalizar, podría contemplarse la opción de realizar también análisis de los puertos UDP, ya que una mala práctica es no tenerles en cuenta durante el proceso de auditoría.

Autor: Amador Aparicio de la Fuente (@amadapa) escritor del libor "Hacking de tecnologías Web"

sábado, noviembre 10, 2018

Los eventos para la semana del 12 al 16 de Noviembre @0xWord @elevenpaths @luca_d3

Un fin de semana más, os traigo por aquí las citas que tenéis que tener controladas en el calendario para la semana que viene. Hay cosas curiosas, y grandes eventos, tanto presenciales como online, así que no te puedes quejar, que la oferta es grande y variada. Esperamos que alguna cosa te motive o te sea útil.

Figura 1: Los eventos para la semana del 12 al 16 de Noviembre

Lunes, 12 de Noviembre
- Encuentro con Richard Stallman [Madrid] [G]: En el Espacio de la Fundación Telefónica habrá una conferencia de Richard Stallman, creador del concepto de Copyleft y emblema del Software Libre. Será de 12:00 a 14:00 horas, con entrada gratuita [free as in free beer] y yo aprovecharé para pasarme a verlo. Tienes toda la info en la web de registro.
Figura 2: Encuentro con Richard Stallman en Fundación Telefónica
Curso Online de Análisis Forense Informático Profesional [Online] El mismo lunes por la tarde nuestros amigos de The Security Sentinel dan comienzo a uno de los cursos más demandados por nuevos profesionales: El Curso Online de Análisis Forense Informático Profesional, donde durante 180 horas se desarrollan las principales técnicas, procedimientos y servicios que realiza un perito informático forense.  En la web del curso tienes un completo detalle de todo el temario de la formación
Figura 3 Curso Online de Análisis Forense Informático Profesional
 Como complemento a la formación, todos los asistentes a este curso tendrán acceso al libro de "Esteganografía y Estegoanálisis" de la editorial 0xWord escrito por Jordi Serra y Daniel Lerch, con la colaboración de Alfonso Muñoz.
Figura 4: Libro de Esteganografía y Estegoanálisis
Este es uno de los libros más entretenidos de leer y de ir siguiendo las prácticas. De hecho, me sigue maravillando como aún muchos antimalware corporativos no detectan este tipo de herramientas de esteganografía como de fuga de información en la empresa, tal y como hacen con otro tipo de herramientas de hacking. 
Martes, 13 de Noviembre
- InnoSoft Days [Sevilla] [G]: Con agenda desde el lunes por la tarde, el martes es el día grande de las jornadas, con muchas charlas en un solo día. En ellas, nuestro compañero de ElevenPaths Luis Pablo del Árbol Pérez dará una sesión llamada Wide Wild West 2.0 en la que hablará de las amenazas de seguridad hoy en día y como las tratamos en nuestra empresa.  El programa también continuará con algo menos de actividad el viernes 16 de esta semana, pero debes registrarte de forma individual a cada charla. Para asistir a la nuestra, puedes usar la siguiente web de registro.
Figura 5: Wide Wild West 2.0
- Desayuno Grupo Joly [Sevilla] También nuestro compañero Luis Pablo del Árbol Pérez en ElevenPaths, se pasará por las instalaciones del Grupo Joly antes de su charla a participar en un desayuno informativo sobre ciberseguridad.
- Things Matter [Madrid]  Este evento, organizado por Telefónica de España, tendrá un foco en cómo realizar una transformación del negocio por medio de las tecnologías que tenemos disponibles: IoT, BigData e IA. Una jornada liderada por nuestra COO de Telefónica de España, María Jesús Almanzor, además de nuestro compañero de LUCA Antonio Pita, o Marisa Urquía, nuestra Directora del negocio B2B de empresas en Telefónica de España. Además, nos acompañarán clientes que contarán algunos de los proyectos de transformación en los que hemos colaborado. Toda la información en la web del evento.
Figura 6: Things Matter
- The AI Summit [Capetown - Sudáfrica] La verdad es que me sorprendería si a alguno os pilla bien ir a Capetown en Sudáfrica, pero nuestra unidad LUCA tiene algunas actividades comerciales en África y han invitado a a participar a nuestro compañero el Dr. Richard Benjamins, Chief BigData & AI Ambassador va a estar participando con una conferencia sobre lo que hacemos en Telefónica.
Figura 7: The AI Summit
- Foro Revolución 4.0 y Ciberseguridad [Colombia] En la Universidad de Rosario en Colombia se realizan las jornadas de Revolución 4.0 y Ciberseguridad: Desafíos y oportunidades, que recogerá durante dos días a expositores de las empresas más importantes y el gobiernos. El segundo día del congreso, el 14 de Noviembre a primera hora, nuestro compañero Carlos Ávila, Chief Security Ambassador de ElevenPaths, dará la charla inaugural. Tienes toda la información en la web.
Figura 8: Foro Revolución 4.0 y Ciberseguridad

Miércoles, 14 de Noviembre
- Big Data Spain [Madrid] [*] Los días 14 y 15 de Noviembre tendrá lugar una nueva edición de este evento. En él, se hablará de Big Data e AI para transformar las organizaciones. Yo voy a participar con una charla que daré el Jueves 15, y donde hablaré de la evolución en Telefónica desde BigData a AI pasando por mucha digitalización interna. Toda la agenda del evento en la web del mismo.
Figura 9: Big Data Spain en Madrid
- XII Congreso ISACA [Valencia] Los días 14, 15 y 16 de Noviembre, en Valencia, tendrá lugar una nueva edición de este congreso en el que se reúne la comunidad para debatir temas de interés para todos los amantes de la seguridad de la información, la seguridad informática y la ciberseguridad. 
Figura 10: XII Congreso ISACA Valencia
En estas jornadas, donde Telefónica de España es patrocinador, participará nuestro compañero Fran Ramírez del equipo de Ideas Locas de CDO en una jornada Hack&Beers la tarde del 14, para hablar de "Hackers: Piratas informáticos (y ahora me fumo un puro)". La charla, a pesar del título tan irreverente, se centrará en contar algunas de las Microhistorias que tanto nos gustan de la historia de los hackers.
Figura 11: Microhistorias: Anécdotas y curiosidades
de la historia de la informática (& los hackers)
 Las jornadas continúan el día 15 y el 16 con el grueso de las conferencias, en las que estará Oscar Bou Bou, de nuestro partner Govertis de los que adquirimos en el pasado nuestra herramientas Sandas GRC que ahora construimos conjuntamente.
- Marbella Mobile Day [Marbella] El último evento del que os tengo que hablar para este día tiene su eje en la tecnología alrededor del mundo móvil, y en él participará nuestro compañero Marcos Arjona de ElevenPaths para aterrizar algunos de los proyectos de ciberseguridad e innovación que llevamos con respecto a este mundo. En concreto, centrados en BlockChain. Más información en la web del evento.
Jueves, 15 de Noviembre
- Data Transparency Lab 2018 [Barcelona] Una nueva edición en Barcelona de nuestro evento DTL donde vamos a presentar las becas concedidas a los proyectos de privacidad y transparencia que participaron en nuestro llamado. Una oportunidad de estar en contacto con la evolución en este mundo tan cambiante en el que los datos juegan un papel fundamental. La agenda y el registro en la web del evento.
Figura 10: Data Transparency Lab 2018

Viernes, 16 de Noviembre
Este día no comienza ningún evento que tenga en la agenda, pero sí que acaban muchos de los que os he citado antes. Tened en cuenta que muchos duran dos y tres días, así que revisad bien las agendas. 
Como siempre, os he marcado con un [*] aquellos en los que yo participo, que esta semana creo que solo es uno.  Ahora, a pasar un buen fin de semana.

Saludos Malignos!

viernes, noviembre 09, 2018

"Cómo protegerse de los peligros de Internet". Nuevo libro de @0xWord

Ayer se puso a disposición de todo el mundo el nuevo libro "Cómo protegerse de los peligros en Internet" en el que hemos estado trabajando en 0xWord. Se trata de un libro que nos habían pedido hace tiempo para que los niños que empiezan, las personas que no tienen grandes conocimientos técnicos, y aquellos que desean sacarle partido a los servicios de Internet con un poco de seguridad conociendo mejor al enemigo.

Figura 1: Cómo protegerse de los peligros en Internet

También le ha dedicado una parte importante a la privacidad, y a tratar temas tan de actualidad como el acoso en las redes sociales o el CyberBullying en Internet, cómo detectarlo y tratarlo en el mundo de hoy en día con los menores. El libro lo ha escrito José Carlos Gallego Cano, (@eth3rup) y ésta es su reseña:
"En un mundo en continua digitalización, en el que Internet y los dispositivos forman una parte cada vez más relevante en nuestras vidas, es muy importante estar al día de los problemas y los riesgos a los que nos enfrentamos cuando nos comunicamos o, simplemente, cuando accedemos a la red para consultar información.

Este libro pretende dar un repaso por los principales riesgos a los que nos exponemos todos los usuarios cuando nos conectamos a Internet así como cuando hacemos uso de todas las tecnologías a nuestra disposición: ordenadores, dispositivos móviles, relojes inteligentes,…
Figura 2: Libro de "Cómo protegerse de los peligros en Internet" de 0xWord
Lo hacemos dando un enfoque muy práctico, con un lenguaje asequible para todos, dirigido a jóvenes, mayores, padres e hijos, profesores, jubilados,…y, en general, todo aquel que esté interesado en adentrarse en el mundo de la ciberseguridad desde el nivel más básico.

Hablaremos de todo el malware que nos rodea (los virus, los troyanos), las técnicas que utilizan los ciberdelincuentes para timarnos y robarnos información, las medidas que podemos tomar para protegernos y salvaguardar nuestra privacidad…y todo ello sin olvidarnos de temas tan importantes para los más jóvenes como el ciberacoso y la protección de sus datos y, por supuesto, de los padres, para que estén al corriente de por dónde navegan sus hijos y cómo pueden protegerlos. Un libro para aprender y, sobre todo, para concienciar que la seguridad en Internet es cosa de todos."
El libro tiene un total de 248 páginas para tratar todos tos temas de los hemos hablado está ya disponible en la web de 0xWord, y con el objeto de que podáis tener más detalle, os he subido el índice completo del libro a SlideShare.

Figura 3: Índice del Libro "Cómo protegerse de los peligros en Internet"

Como podréis ver en el libro, en los últimos capítulos se habla del Control Parental de los menores, de las Sextorsiones y el Sexting, o de cómo gestionar la identidad y la reputación en los servicios de Internet. Temas más que recomendables que conocer bien para cualquiera que haga un uso de redes sociales y servicios en Internet habitual.

Saludos Malignos!

jueves, noviembre 08, 2018

Chema vs Malware: Un juego en Scratch con FOCA y Latch

Este verano estuvo compartiendo unas semanas con nosotros en las oficinas de ElevenPaths en Valencia, una joven promesa de la informática de tan solo 14 años llamado Joan Ruiz Berenguer, estudiante del instituto público IES Districte Marítim ubicado en la misma ciudad. Ayer mismo, en el Security Innovation Day 2018 lo anunciamos, y hoy lo tenéis por aquí.

Figura 1: Chema vs Malware: Un juego en Scratch con FOCA y Latch

Joan ya había demostrado su creatividad siendo muy joven, tal y como nos cuenta su padre, Marc Ruiz:
“Joan desde muy pequeño le han encantado los talleres porque es muy creativo. Ya con cartón y pegamento se construía sus artilugios (manos de lobezno, cajeros automáticos,...). También fabricaba (y lo sigue haciendo) juegos de mesa con todo detalle de instrucciones, tablero, dados, …”.
Con 9 años descubrió el stop-motion y se lanzó a crear su primera animación usando esta técnica que podéis ver aquí o en su canal de Youtube (también tiene su cuenta en Twitter, @JoanRuiBere). Pero su verdadera pasión son los videojuegos, por eso cuando descubrió Scratch se puso manos a la obra para crear los suyos propios. Joan es un fan de Chema Alonso así que le propusimos que hiciera un juego basado en él utilizando esa misma plataforma ya que los juegos iban a ser el tema del Security Innovation Day 2018.

Figura 2: Joan Ruiz Berenguer en su cuarto con su ordenador. Fuente: Marc Ruiz

El juego se llama “Chema vs Malware” y consiste en ir arreglando los ordenadores que un Evil Chema (lo podéis distinguir por el color del gorro, de color rojo) intenta acceder o instalar malware. Pero, además, en función del tipo de acción realizada sobre el ordenador, será necesario utilizar una de nuestras aplicaciones que tenemos en ElevenPaths para poder solucionarlo.

Figura 3: Evil Chema, la FOCA y Chema Alonso en el juego

Por ejemplo, si es intento de acceso, tenemos que instalar Latch (tecla Z), si por otro lado es una fuga de información, lo podemos solucionar instalando MetaShield Protector (tecla X). Otras de nuestras herramientas que aparecen en el juego son nuestra querida FOCA y también Tacyt.

Figura 4: Juego completo de Chema vs Malware en Scratch

Además, también existen “Power-ups” como en otros videojuegos clásicos. Si aparece un icono de la FOCA, podemos utilizarlo para directamente reparar todos los ordenadores que hayan sido manipulados (FOCA rulez!). Por otro lado, también aparece una tabla de "Skateboard" que nos permitirá ir más rápido por un tiempo limitado y así llegar antes a los equipos.

Figura 5: Power-Up de FOCA y smartphone sin cobertura Wi-Fi

El juego tiene varios niveles en los cuales la complejidad se incremente, aumentando el número de ordenadores y la velocidad del Evil Chema. Como misión adicional, tendremos también que recoger los smartphones que veamos y llevarlos a una zona donde tengan cobertura Wi-Fi. En este vídeo tenéis una pequeña demo de cómo es el juego.


Figura 6: Demo de Chema vs Malware

El juego, como podéis ver los más veteranos está inspirado en el famoso XBill de GNU/Linux, pero Joan lo ha interpretado de forma personal y creativa a nuestro mundo en ElevenPaths.  Es para nosotros todo un honor que alguien tan joven tenga a Chema Alonso como referencia. Esto nos motiva y ayuda a todo el equipo para ir mejorando, con el objetivo de concienciar y servir de ejemplo a estas nuevas generaciones.

Autor: Fran Ramírez, (@cyberhadesblog) miembro del equipo de Crazy Ideas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

miércoles, noviembre 07, 2018

Sigue esta tarde por Internet el Security Innovation Day 2018

Dentro de unas horas da comienzo el Security Innovation Day 2018. En concreto, a las 15:30 de la tarde comenzarán las ponencias, y puedes seguirlo por streaming a través de Internet. En la jornada de hoy hablaremos de muchas cosas en las que hemos estado trabajando este año, e intentaremos que disfrutéis y aprendáis.

Figura 1: Sigue esta tarde por Internet el Security Innovation Day 2018

Entre los ponentes están Yaiza Rubio, Rames Sarwat, Sergio de los Santos, Pedro Pablo Pérez, Gonzalo Álvarez Marañón, Julia Perea, Ester Tejedor, Alberto Sempere y cerraremos, a las 18:30 de la tarde Martina Matarí - que además de ser del equipo de Global CISO ganó con su equipo este año el Challenge de CyberIntelligence en DEFCON, y yo. Todo un honor tenerla en la charla esta tarde conmigo.

Figura 2: Agenda del Security Innovation Day 2018 de hoy

Nosotros vamos a hablar de un tema que preocupa a los equipos de seguridad de las empresas, y que tiene que ver con los ataques a sus empleados y, como no, a sus directivos de forma especial con ataques cada vez más sofisticados, y utilizando técnicas de Inteligencia Artificial.
Si quieres verlo online, recuerda que puedes registrarte para verlo por streaming en la web del evento... y nos veremos a través de la red.

Saludos Malignos!

martes, noviembre 06, 2018

Más allá de 2001: Odiseas de la inteligencia #AI #IA

El pasado martes 30 de octubre tuvimos el honor de asistir a la inauguración de la exposición en la Fundación Telefónica llamada: “Más allá de 2001: odiseas de la inteligencia”. En ella se hace un recorrido completo sobre la evolución de la inteligencia humana hasta el presente y futuro de la Inteligencia Artificial, usando como hilo conductor la magnífica película de Stanley Kubrick2001: Una Odisea en el Espacio”.

Figura 1: Más allá de 2001: Odiseas de la inteligencia

Y es que no podemos pensar en otra película que exponga mejor los avances y también los temores de la Inteligencia Artificial que esta película del mítico Kubrick. Una maravilla de la Ciencia Ficción que esta exposición utiliza como base para recorrer todos los rincones de la inteligencia humana y artificial.

Figura 2: Cartel de la exposición den la Fundación Telefónica

En ella se muestran todo tipo de técnicas y avances de la Inteligencia Artificial como reconocimiento facial (por ejemplo cuando HAL lee los labios a los astronautas), NLP o procesamiento de lenguajes naturales (la forma de comunicación de HAL es igual que los seres humanos, con la palabra), IoT (HAL controla todos los dispositivos de la nave espacial) e incluso los miedos a cómo reaccionaría una Inteligencia Artificial a órdenes confusas (a HAL se le ordena terminar la misión sobre cualquier otra cosa, incluso las vidas de la tripulación).

Figura 3: Durante la exposición se muestran diferentes secuencias emblemáticas de la película.

La exposición se plantea desde una doble perspectiva: no sólo desde la Inteligencia Artificial, sino también desde una introspección a la inteligencia humana ya que no podemos hablar de IA sin preguntarnos sobre nuestra propia inteligencia, pues no deja de ser la fuente de todos los algoritmos de los que hacemos uso hoy en día.


Figura 4: Euro Press sobre de la exposición

Dentro de esta doble perspectiva y, de una manera análoga a lo que hizo Stanley Kubrick en 2001, la exposición está dividida en tres ejes temáticos: “El despertar de la inteligencia”, “En el universo de la IA” y “El futuro de las inteligencias y más allá del infinito” que intentan responder a tres preguntas:
• ¿De dónde venimos? o ¿cuál es el origen o despertar de nuestra inteligencia? 
• ¿Dónde estamos?, ¿cuál es el estado actual de la Inteligencia Artificial, cómo interactuamos con ella y cómo esto está afectando a nuestras vidas? 
• ¿Hacia dónde vamos? Esto es: ¿cuál es el futuro de nuestra inteligencia y cómo podría ser esa posible simbiosis entre nuestra inteligencia y la Inteligencia Artificial?
El primero de ellos, el despertar de la inteligencia humana, nos habla del origen de todo, la inteligencia del ser humano. Podemos ver varios dibujos originales de neuronas realizados por Santiago Ramón y Cajal, el guion original de la película 2001 y algo que no puedes perderte, un número de la revista “Ten Story Fantasy” donde aparece el relato “The Sentinel” (El Centinela), la novela corta de Arthur C. Clarke en la cual se basa 2001.

Figura 5: Original de la revista “Ten Story Fantasy” donde aparece la historia corta “Sentinel of Eternity”

Una recreación del interior de la nave espacial “Discovery” nos introduce en la segunda parte de la exposición, “En el universo de la IA”. Aquí podemos ver la máquina “Ajedrecista” (1912) de Leonardo Torres de Quevedo, la primera máquina analítica del mundo de carácter autónomo y funcional con tecnología electromecánica.

Figura 6: “El Ajedrecista” la máquina para jugar al ajedrez fabricada por Leonardo Torres de Quevedo.

Para los más mitómanos (como nosotros), podemos ver la carta original en la que Kubrick le pide a Arthur C. Clarke colaborar en la película. También podemos ver la instalación DATA ergo sum, de 3dinteractivo, la cual permite explorar un cuerpo humano y sacar todo tipo de información (como humor, altura, peso, etc…) y que podréis probar allí mismo.


Figura 7: Data Ergo Sum


Finalmente, la tercera parte “El futuro de las inteligencias y más allá del infinito” se acerca las investigaciones futuras y sobre todo, el impacto sobre la humanidad, como por ejemplo una posible simbiosis de cerebro-ordenador para incrementar las capacidades del ser humano para convertirlo en todo un ciborg. Destacar en esta parte la instalación “The Mutual Wave Machine” que utiliza algoritmos neurocientíficos para explorar las interconexiones de la actividad cerebral entre dos personas y que se puede probar también en la exposición.

Figura 8: Futurista diseño de la máquina “The Mutual Wave Machine” para leer ondas cerebrales.

En esta parte de la exposición también os encontrareis con una sección donde aparecen algunos de los asistentes digitales más conocidos hoy día. Con ellos nos podemos comunicar y dar órdenes usando simplemente el lenguaje natural tal y como lo hacían los astronautas de la Discovery en la película. Aquí no podía faltar Movistar Home con Aura, el dispositivo de Telefónica que acaba de salir al mercado dirigido a ayudar y a gestionar nuestra vida digital basado en inteligencia cognitiva.

Figura 9: Aura y Movistar Home no podían faltar en esta exposición sobre la Inteligencia Artificial.

También mencionar que nuestro equipo de Ideas Locas aparece en los créditos de la exposición ya que hemos el honor de colaborar con ellos en varias ocasiones como asesores, mostrándoles a su vez algunos de nuestros trabajos realizados en el campo de la Inteligencia Artificial. Por ejemplo, nuestra serie “Deep Learning vs Atari: entrena tu IA para dominar videojuegos clásicos” o también “Ciencia Ficción vs Inteligencia Artificial”, ambos publicados en el blog de LUCA. Si queréis ir con los deberes hechos a la exposición, os animamos a leer estos artículos para entender algunos de los conceptos básicos que se plantean en la exposición.

Figura 10: Vídeo donde se muestra cómo un agente entrenado
con DeepMind domina el videojuego de Atari Breakout.

Ha sido un placer colaborar con el fantástico y profesional equipo de la Fundación Telefónica en este proyecto y toda una satisfacción ver el fantástico resultado final de la exposición. No tienes que ser solamente un fan de la Ciencia Ficción o de Kubrick/Clarke para visitarla ya que esta es en general, una visión de la evolución de la inteligencia humana donde nos muestran el irremediable futuro donde esta tendrá que convivir con otro tipo de inteligencia: la Inteligencia Artificial ¡No os la perdáis!
Figura 11: Créditos de la exposición donde aparece el equipo Ideas Locas CDO.

Esperamos que saques tiempo para poder ir a verla y disfrutes tanto como hemos disfrutado nosotros. Un fuerte saludo del equipo de Ideas Locas. Los datos de la exposición son:
Web: Más allá de 2001
Espacio Fundación Telefónica
C/Fuencarral, 3 Madrid.
Cuarta Planta.
Todos los días de 10:00 a 20:00 horas.
Equipo Ideas Locas CDO Telefónica.

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares