viernes, abril 20, 2018

¡Feliz quinto cumpleaños ElevenPaths!

Un día tal cómo hoy nos juntamos una veintena de personas en la 3ª planta del Oeste 3 en el Distrito Telefónica para comenzar una nueva andadura. El día antes, Rodol y yo habíamos firmado el contrato de venta para que nuestro proyecto de Informática 64 se convirtiera en lo que hoy en día es ElevenPaths.

Figura 1: ¡Feliz quinto cumpleaños ElevenPaths!

De hecho, aún no era ni ElevenPaths, ya que tardaríamos un tiempo en elegir el nombre. Una historia que os conté en un post hace no mucho tiempo. Nuestro nombre oficial en aquel entonces fue Telefónica Digital Identity & Privacy, y no contamos a nadie nuestra existencia hasta el mes de Junio, pero el periodista Santiago Millán, que siempre presta atención a todo lo que hacemos, nos descubrió en el mes de Mayo.

A post shared by Chema Alonso (@chemaalonso) on

Quiso el destino que, además, la fecha que elegimos para la firma del contrato coincidiera con el 89 cumpleaños de Telefónica, ya que, como visteis ayer, el 19 de Abril de 1924 es cuando fue constituida la Compañía Telefónica Nacional de España. El proyecto parecía imposible al principio, e incluso escuché a muchos agoreros contándonos cómo íbamos a fracasar con ElevenPaths. Pero eso solo añadió más diversión a todo el proceso. Yo quise dejarlo claro en una de las salas de ElevenPaths. ¡La sala de peligro!


Lejos están aquellos días de ser un grupito pequeñito de una veintena de compañeros. Hoy en día ElevenPaths es un equipo internacional, con compañeros en medio mundo. Con un portfolio de productos y servicios del que nos sentimos más que orgullosos. Con una cartera de patentes, con un ecosistema de partners, de innovación, de clientes, con operaciones en SOCs en un gran número de países.


Por supuesto, la magia de todo esto ha sido conseguir el entendimiento perfecto entre un grupo de personas que vino con ganas de, como decía nuestro siempre querido David Barroso, hacer "Radical Innovation",  con una empresa maravillosa, única y especial como Telefónica

A post shared by Chema Alonso (@chemaalonso) on

Por supuesto que tuvimos que aprender mucho los unos de los otros, pero la buena voluntad de los equipos, el contar con una plantilla de profesionales con soft-skills para trabajar en equipo, resolver problemas, afrontar situaciones complicadas, e intentar siempre mejorar hizo posible esa comunión. Ahí, los equipos de RRHH hicieron un trabajo único para ser siempre empáticos, para ayudarnos a vivir en el cambio y la evolución constante, para ser un apoyo en el camino a cada momento.


Hoy en día, Pedro Pablo Pérez, el CEO de ElevenPaths, hace que el crecimiento de este proyecto continúe fuerte y robusto, batiendo records mes tras mes, gracias a la confianza de nuestros clientes, y al trabajo fantástico de todo el equipo. Profesionales que llevan la camiseta con el escudo del 11 y la P "escondida" que nos diseñó el equipo de marca y que tanto nos gusta. Y por supuesto, que mantiene un espíritu y una cultura que no voy a dejar que cambie nunca: Let´s have some fun with technology!


Como curiosidad, hay una intrahistoria en todo este proceso que llevó a que, por azares de las cosas, durante un tiempo fuéramos Informática 64, Zero X Word Computing, Sonora - sí, Sonora -, Telefónica Digital Identity & Privacy (TDIP) y por último ElevenPaths. Pero ya os contaré un día más sobre eso de "Sonora".

Saludos Malignos!

jueves, abril 19, 2018

El hilo de Ariadne

Hace mucho tiempo que tenía ganas de escribir sobre esta parte de mi vida. Una parte muy importante que transcurrió durante varios años en un plano paralelo al que muchas veces he compartido con vosotros. Una parte responsable de mucho de lo que soy hoy, y de mucho de lo que he sido durante estos años. Es una historia que forma parte de mí, y que hoy la veo de forma muy diferente a cómo la he visto durante las horas, días y momentos que la viví.

Figura 1: El hilo de Ariadne

Es una historia que tiene banda sonora, y caras, y miradas, y fotos, y canciones, y gritos, y algún llanto, pero sobre todo muchos silencios que guardaron muchas cosas. Muchos silencios que no dijeron nada a nadie. Ni al burrito de Shrek que todos los ogros debemos tener. Es una historia de mitología que sirve para explicar con realidad cómo me perdí durante un tiempo en un laberinto de confusión, y cómo pude salir de él, gracias al hilo de Ariadne, no sin mucho esfuerzo y calamidades de todo tipo.

La historia de mi vida tiene ya cuarenta y dos años, así que dejadme que os ahorre gran parte de ella situando el inicio de este periodo en el año 2013. Concretamente en el verano, durante las conferencias de BlackHat y DefCon de ese año donde ese año exponía. Las últimas en las que participé antes de comenzar este periplo. Había llegado a ese punto de mi vida después de haber pasado la gran crisis económica que comenzó a notar España a partir del año 2008. En ese año, el 2008, había nacido Mi Hacker. En el 2008 también estuve viviendo en Londres, y dirigiendo mi querida Informática64.

A post shared by Chema Alonso (@chemaalonso) on

Y en el 2013, mientras que yo estaba en las charlas de DefCON y BlackHat, Mi Survivor estaba a punto de llegar al mundo para revolucionar un poco más mi vida. Llegué de regreso a Madrid a tiempo para que me pusieran a mi segunda hija en los brazos nada más nacer. Llegué después de estar una semana entera sin poder dormir por culpa de alguna extraña enfermedad que me tenía debilitado, con tos, y con un exceso de estrés. Nunca supe que me pasó durante esa semana, pero lo cierto es que no logré conciliar sueño en Las Vegas - y no fue por las fiestas-. Las Vegas es un lugar que llevaba visitando casi diez años y que conocía muy bien. 

Pero ese año las sensaciones no eran iguales para mí. Cuando me metía a intentar descansar en mi habitación, no lo lograba. Llegué de regreso tras dar mi charla a Madrid con el tiempo justo, y ese mismo día me pusieron en los brazos a mi pequeña. Mi segunda niña. De nombre: Ariadne.

Si has sido padre, y te han puesto una hija en los brazos por primera vez, no hace falta que haga el intento imposible de describir con letras lo que se siente. Esa sensación es difícil de transmitir. Si la has vivido, sabes cómo es. Si la vives en el futuro, te acordarás de estas palabras cuando te llegue el momento. Siempre es distinto. Salen emociones reprimidas durante mucho tiempo. Emociones que no sabes ni que tienes. Emociones que no sabes ni que existen.

Con mi primera niña aparecieron emociones paternales que me cambiaron los ejes de existencia. En un minuto, mi vida cambió de marco de referencia. Me hackeó por completo. Mi primera hija, me cambió por completo, y ella se convirtió en Mi Hacker. Con la llegada de Ariadne, después de unos años muy duros en muchos aspectos, me sentí superado. Me sentí arrollado por mis emociones. Me sentí desbordado totalmente y salieron sentimientos reprimidos durante años, que no sabía ni que existieran. Todos de una vez en ese instante.

Y me puse a llorar con ella en brazos.

Pero no de una forma normal. Ni metafórica. Me puse a llorar desconsoladamente. No sabía cómo ni por qué, pero las lagrimas se me escapaban. Mis familiares trataron de controlarme durante casi una hora. Pero era incapaz de volver a meter en la caja de donde se habían escapado todas esas lágrimas. No soy de los que deja ver mis emociones mucho, sobre todo las de tristeza. Prefiero mostrarme siempre alegre y contagiar a la gente que me rodea de energía positiva. Que cuando me enfado también soy terrible. Muy terrible. Pero ese día, con Ariadne en brazos, se abrió algo que tardaría tiempo en controlar. Mucho tiempo.

Al principio achaqué mi desbordamiento al cansancio físico. Al estrés. A lo que se venía por delante. Pero desde ese momento, la cosa se volvió loca. Era Agosto del año 2013. Y nuestro bebé salió del hospital para volver a él un par de días después, muy malita. No quiero ahondar en detalles de lo que le pasó porque es largo y doloroso recordarlo. Regresó al hospital, con algo menos de dos kilos de pesos. Débil, muy débil, y los doctores nos dijeron que la cosa pintaba mal, que no sabían si pasaría la noche, y que se tenía que quedar en la Unidad de Cuidados Intensivos de neonatos. Fue un palo muy duro como padres, de esos que te da la vida sin que te lo esperes. Nos hizo contar cada segundo y minuto de aquellas horas de incertidumbre.


Pero Ariadne no había venido al mundo para irse sin pelear. Había venido a abollar este mundo. A romperlo. A mancharlo. A gritarlo. Así que se ganó a pulso durante esos primeros meses de su vida el título de ser Mi Survivor para siempre. En la UCI la podíamos visitar unos minutos cada ciertas horas, y solo dos personas. Nos íbamos turnando con los miembros de la familia. Tuvimos que cambiarla de hospital y de UCI en ambulancia porque no daban con lo que le pasaba en el primer centro, y poco a poco fuimos viendo cómo vencía los días uno a uno.

A post shared by Chema Alonso (@chemaalonso) on

La historia es larga, y llena de momentos, de agujas, de sondas nasogástricas, de sueros intravenosos, pruebas de alergias, de monitores de vida que pitan, de análisis de sangre, de situaciones tensas y tristezas. Y reproches personales. Momentos en los que siempre pensé que el culpable fui yo que le pegué algo que me traje de mi último viaje de Las Vegas. Algún virus que le contagié cuando la cogí en brazos tan pequeña. Algo. Algo que no sabremos nunca, ya que el abanico de lo que le pasó durante ese periodo va desde un virus en el estómago, hasta que tuviera inmadurez en el aparato digestivo, o que desarrollara una alergia a algunos alimentos que no pudieron detectar porque las pruebas no son concluyentes a esas edades. Pero salió adelante.

Y yo salí adelante, pero un poco tocado.

Perdí un poco de mí dentro de un laberinto con todo aquello. Y sin querer, aprendí a meterme en una especie de melancolía continua a la que me abrazaba cuando estaba solo. Tener una vida intensa, variada, animada, con una profesión tan apasionante como la que disfruto desde que comencé mi carrera profesional, me ayudó a balancear y sobrellevar esa parte. Obligado por el trabajo y por dos niñas que no entienden de esas cosas, como Mi Hacker y Mi Survivor,  fui llevando los días en una especie de carrera continua, con muchos Ups & Downs . Pero lo cierto es que cuando estaba fuera de esa parte activa, en mi vida había silencios. Momentos de una soledad personal que no quería compartir con nadie. 

De vez en cuando, un post en mi blog - como éste -  dejaba de entrever algo de esa parte. Pero no demasiado. Los años de experiencia escribiendo me han enseñado a esconder sentimientos en palabras, mensajes en metáforas, firmas personales en pseudónimos y hacer que los párrafos bailen una canción con una letra difícil de seguir. 

Me centré en aprovechar mis momentos de soledad, en hacer deporte, y así llegué al punto de la gráfica que tiene una derivada con pendiente cero. Ahí, en la RSA del año 2016, donde volví a ponerme enfermo, regresé con 67 kilos de peso. Con muchos más momentos de soledad y silencio de los que había ido buscando en los últimos tiempos. Durante ese periodo, donde además ElevenPaths iba muy bien después de tres años de vida, donde aún no tenía todas las responsabilidades profesionales que tengo ahora, tenía más tiempo libre que el que comenzaría a disfrutar después, por lo que podía pasar más momentos en ese laberinto personal que se llama "pensamientos". Muy similar a lo que descubrí que diría la canción de "Heavy" de Linkin Park.

Figura 5: Heavy de Linkin Park

Durante esos momentos de 2016 en los que el trabajo me dejaba más tiempo libre, mis amigos fueron esenciales en el día a día. Fer especialmente. Él, que siempre está alegre y reparte energía al mundo sólo con sonreír constantemente. Que te da un abrazo o te cuenta como casi se ha matado con la moto mientras se muere de risa y te enseña los hematomas. Habría que clonar a estas personas como él y poner un Fer en la vida de cada, no sé, cincuenta personas. El mundo sería más alegre. A él me abrí un poco más que al resto. Y con escuchar sus caídas por las rocas, o sus problemas con el parapente, mis días eran más alegres. También me encontré gente nociva por el camino, que no todo fue disfrutar de Fer. Ahí me di cuenta de lo importante que son el tipo de personas con el que te juntas. Y a muchas personas solo las conoces por cómo se comportan cuando las cosas van mal.

Desde ese entonces, Los Niños Perdidos, nuestro grupo de amigos reducido en el que, por supuesto, está Fer, marcamos una filosofía de vida, a la que llamamos QHF. Es decir, cada vez que tuviéramos un problema, la respuesta sería pensar en "¿Qué haría Fer?".  Y con ellos, fui recuperando las ganas de salir de aquel laberinto en el que disfrutaba estar en mis momentos de soledad. No es que quisiera cambiar nada. El laberinto de pensamientos y emociones en el que me había metido cuando estaba solo era un lugar cómodo y agradable en el que disfrutaba los momentos fuera de las cámaras. Una cálida bolita azul a la que agarrarse.


Por supuesto, mi familia y mi trabajo también los disfrutaba con alegría, así que estaba en un equilibrio curioso donde una parte de mí pasaba tiempo en un laberinto en el que muy poca gente sabía que pasaba horas y horas cuando nadie me veía. Un laberinto que ya había decorado con canciones, con rituales, con recuerdos confortables, con aventuras inventadas en un mundo inexistente. Un laberinto al que tampoco dejé entrar a nadie. Era mí laberinto. Y por supuesto, era para mí un lugar para estar tranquilo y alejado del ruido del mundo. Muy pocas personas sabían de su existencia.

Y así llegué, con Ups & Downs a Julio del 2017, donde pasó algo que me marco y me hizo salir del laberinto. La muerte de Chester Bennington. El 20 de Julio se ahorcó. No lo conocía bien hasta el momento, pero que alguien con éxito y familia  como él se ahorcara, me marcó. Por supuesto que había escuchado canciones de Linkin Park muchas veces, pero no fue hasta que me enteré de su muerte a finales de Julio que comencé a interesarme más por las letras y su vida, especialmente las de su último disco.


Figura 7: ¿A quién le importa si una luz más se apaga?

Y fue un shock. Canciones como Heavy o One more light tienen letras desgarradoras, pero antes ya existía Iridiscent. Letras duras para alguien que está "Cold and lost in desperation". Raro, siendo una estrella del Rock con fama, dinero, y una familia. Lo que más me impactó fue ver este vídeo de Chester Benington jugando con su hijo 36 horas antes de ahorcarse. ¿Cómo era posible?

Figura 8: Chester Bennington 36 horas antes de su muerte

No sé lo que pasaba o lo que pasó por su cabeza. Sé lo que pasó por la mía al verlo. Sé que vi que una persona feliz y contenta con su familia, con éxito, admirado, venerado, podía tener su propio laberinto en el que perderse. Un laberinto del que no consiguió salir. Algo que él contaba en su última entrevista en radio, donde decía que su cabeza era un barrio duro donde no podía pasar mucho tiempo. Y me marcó.


Figura 9: Última entrevista a Chester Bennington

Desde ese día fue como ver mi vida desde fuera. Verme desde el aire. Y ver parte de mi laberinto en otras personas. Y decidí salir de mi laberinto. Poco a poco. Paso a paso. Buscando el hilo de Ariadne que me ayudara a salir de él. Un hilo del que tiraban Mi Hacker y Mi Survivor. Del que tiraba Yup, con quien comparto la aventura de cuidar a estas dos salvajes. Un hilo del que tiraba mi trabajo. Mis conferencias. Mis hacks. Mis posts. Mis compañeros en el día a día. Mi familia. A pesar de todo lo bueno y lo malo, siempre la familia. Mis amigos. Mis 50 Chuletones de Grey. Mis viajes. Mi burrito de Shrek. Mis viejos amigos. Los nuevos amigos. La gente que me quería bien. Entre todos, poco a poco me llevaron a estar fuera de mi laberinto. Y mi vida comenzó a ser mucho más divertida. Más alegre. Más viva.

Figura 10: Iridescent, una canción de esperanza para los desesperanzados

Por supuesto, como todo el mundo, hay ratos en los que estoy contento, y otros triste, pero aquel laberinto en el que entré en 2013 se quedó atrás. Y mi vida es mejor. Así que si estás en un laberinto, busca tu hilo de Ariadne, e intenta no entrar mucho en él. Si te sientes frío y perdido en la desesperación, let it go. Mira hacia adelante, que es lo que te queda de vida, no lo que ya pasó. Hoy mismo, Ariadne me ha dicho que me quiere.

Saludos Malignos!

miércoles, abril 18, 2018

Patch or Die: CVE-2018-0886 Un RCE para Windows

Sin duda es una de las vulnerabilidades del mes en lo que a sistemas Microsoft se refiere. La vulnerabilidad CVE-2018-0886 permite a un potencial atacante ejecutar código remoto y explotar tanto RDP, el protocolo de escritorio remoto, como WinRM, protocolo para la administración remota de Windows. La vulnerabilidad no es trivial, pero ya existe una prueba de concepto publicada por la empresa Preempt.

Figura 1: Patch or Die: CVE-2018-0886 Un RCE para Windows

La vulnerabilidad de ejecución de código remota o RCE (Remote Code Execution) en el proveedor de credenciales de Windows, también conocido como CredSSP, supone que se pueda retransmitir las credenciales del usuario y utilizarlas para la ejecución de código en el sistema, tal y como explicó Microsoft en su boletín de seguridad.

Figura 2: CVE-2018-0886 en Security TechCenter de Microsoft

CredSSP es un proveedor de autenticación que gestiona las peticiones de autenticación para otras aplicaciones, por lo que, este hecho deja en mal situación a las aplicaciones que utilizar el proveedor. En Exploit-DB se encuentra una guía dónde también se puede encontrar un mirror dónde encontrar la PoC y la información para probarlo.

Figura 3: PoC en Exploit DB

Resumiendo la vulnerabilidad CVE-2018-0886

Microsoft indica que un atacante podría explotar la vulnerabilidad contra, por ejemplo, el escritorio remoto cuando el atacante realizase un esquema de Man in the Middle, típico en los ataques a redes IPv4 & IPv6, interceptando una sesión de RDP. El atacante, con el exploit público en forma de PoC, podría ejecutar código, instalar cualquier tipo de programa, eliminar datos, modificarlos, crear usuarios, etcétera. Al final es un RCE por lo que la criticidad es clara.

Figura 4: Esquema del ataque

El único hecho que puede hacer que disminuya, levemente, la criticidad es el hecho de la necesidad de realizar un Man in the Middle. La gente de Preempt ha publicado un artículo contando en profundidad en qué consiste la vulnerabilidad y cómo se puede llevar a cabo su explotación. Sin duda, un artículo muy interesante que se debe leer.

¿Qué debemos tener claro y qué está fallando?

Debemos crear un certificado digital, una clave pública y una clave privada. El proveedor CredSSP se encarga de retransmitir las credenciales del usuario, en el caso de la utilización del RDP. Es un protocolo sencillo. Los mensajes de Terminal Service denominados TSRequest se transfieren del cliente al servidor y al contrario.

Esos mensajes llevan tokens SPNEGO, que son utilizados para la fase de negociación del protocolo de autenticación. La negociación es transparente para el cliente/servidor que utiliza CredSSP. El protocolo es transmitido a través de la sesión segura, con TLS, que se estableció previamente. El cliente confía en la clave pública del servidor. Es más, cifra y firma bytes del servidor sin ser validada su identidad. Este hecho es la esencia de la vulnerabilidad.

Figura 5: Intercambio de paquetes

Para llevar a cabo su explotación, un atacante establece un servidor no autorizado y usará la clave pública como datos de la aplicación y como una clave RSA válida. Después, reenviará los datos de la aplicación cifrados y firmados al servidor real. Como se puede ver en la imagen del artículo de Preempt, el esquema no es complejo y la esencia de la vulnerabilidad es fácilmente detectable.

Utilizar gen_cmd.py

La primera parte del ataque consiste en generar el fichero PEM necesario para la interacción con el servidor remoto y cumplir con la parte teórica del ataque. Desde el Github se puede descargar.

Figura 6: GitHub con PoC

El uso de la herramienta es sencillo y con la opción –dump se pueden visualizar los detalles del proceso.

Figura 7: Uso de gen_cmd.py

Este proceso puede tardar un poco, debido al proceso con los números primos que es llevado a cabo.

Utilizar rdpy-rdpcredsspmitm.py

Esta herramienta se puede descargar desde un repositorio perteneciente también a Preempt. La herramienta tiene varios parámetros:
• -k. Esta opción marca la clave, tal y como se ve en la imagen. 
• -c. Indica el fichero PEM generado en el paso anterior con la herramienta gen_cmd.py.  
• -l. Si esta opción se indica, se puede configurar un puerto nuevo a la escucha. Si no se pone la opción –l, por defecto el puerto es el 3389, el del RDP. 
• Al final de la instrucción se indica la dirección IP del servidor al que se atacará y se obtendrá la ejecución de código remoto.

Figura 8: Uso de rdpy-rdpcredsspmitm.py

El paper completo de la vulnerabilidad puede leerse en este enlace. El cual os recomendamos que echéis un ojo, ya que permite hacerse una idea de la criticidad y de las posibilidades de explotación. También puedes ver el ataque en video, explicado por la gente de Preempt.


Figura 9: PoC CVE-2018-0886


Actualización disponible

Por último, hablar de la actualización liberada recientemente por Microsoft. No tardes en instalarlo, ya que la vulnerabilidad es crítica, tal y como se puede ver. Además, esta prueba de concepto ya está disponible, por lo que cualquiera puede llevar a cabo el ataque.

La actualización corrige la forma en la que CredSSP valida las solicitudes durante el proceso de autenticación. Estaremos atentos por si salen nuevas pruebas de concepto o algún módulo de Metasploit que simplifique un poco más el proceso.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths

martes, abril 17, 2018

Cuatro charlas en Youtube de BigData, BitCoin, Crimen y AI que puedes ver hoy

Para hoy lunes os he recopilado ayer domingo unas charlas que hemos publicado para que os las podáis ver si sois capaces de sacar algo de tiempo en la agenda. Ninguna llega a la hora de duración, y todas tienen temas más que curiosos, así que tomad nota por si podéis verlas.

Figura 1: Cuatro charlas en Youtube de BigData, BitCoin, Crimen y AI que puedes ver hoy

La primera de ellas es una entrevista que me hicieron sobre la Inteligencia Artificial y AURA durante el pasado CONVERGENCE que organizó la empresa Globant y donde Martín Migoya y yo tuvimos una charla entretenida sobre temas diversos.


Figura 2: Entrevista en CONVERGENCE Buenos Aires 2018

La segunda de las sesiones es la última Code Talk For Developers, en esta ocasión dedicada a cómo integrar Latch en una Wallet de BitCoins y al mismo tiempo sacar partido de las opciones de exfiltración de datos.


Figura 3: CodeTalk For Developers: Latch en un Wallet de BitCoins

La tercera sesión es del equipo de LUCA, una Talk centrada en cómo sacar partido al mundo del IoT y Big Data en la gestión de flotas de vehículos con LUCA Fleet


Figura 4: LUCA Talk "Gestión de flotas de vehículos con LUCA Fleet

Y por último, la sesión que hicieron recientemente nuestros compañeros de LUCA desde la unidad Syngergic Partners en la que hablaron de Cómo predecir el crimen en la ciudad de New York utilizando Big Data y soluciones de Analítica Predictiva.


Figura 5: LUCA Talk "Prediciendo el crimen en New York"

Cuatro sesiones en vídeo que te ayudarán a entender mejor cómo se aplican las tencologías de hoy en día a diferentes necesidades.

Saludos Malignos!

Bonus Track: Me olvidé de poneros en inicio una nueva LUCA Talk, además especial para todos los que quieren empezar a trabajar con el objetivo de ser Data-Centric y Data-Driven Decisions. Se trata de un webinar sobre cuáles son los 5 errores de concepto más habituales sobre Data Scientist.


Figura 6: LUCA Talk "5 errores de concepto más comunes de Data Scientist"

lunes, abril 16, 2018

A la Universidad se viene a transformar tu futuro y el nuestro, no a obtener un título

Muchas veces he escrito sobre lo agradecido que estoy a la Universidad en España y a mi país que me permitió estudiar en ellas. De hecho, cuando hice mi Brain Dump sobre ideas para mejorar mi país me acordé de lo buena que es la Universidad en España. También he escrito sobre los consejos que le daría a cualquier persona que estuviera pensando en formarse para ser un gran profesional. Y además he sido claro dejando mis opiniones sobre lo que creo que debe hacerse durante el tiempo que se está allí.

Figura 1: A la Universidad se viene a transformar tu futuro y el nuestro, no a obtener un título

A mí la Universidad me ha dado gran parte de lo que soy hoy en día. Hice la Ingeniería Técnica en Informática de Sistemas en la Escuela Universitaria de Informática (fui p0344), donde estudié muchas asignaturas de lo que más me gustaba: Las bases de datos. Con esa formación me especialicé en entornos Oracle y cuando se descubrió la vulnerabilidad de SQL Injection fue una revelación ver todo lo que yo sabía de SQL y la de cosas que podía hacer con ello en entornos vulnerables.

Figura 2: En Informática 64 yo estaba especializado en Oracle

Gracia a la formación en Bases de Datos no solo entré en el mundo de la Seguridad Informática y el Hacking, sino que años más tarde me convertí en el CDO de una empresa alucinante como Telefónica. Y todo eso sin haber estudiado una sola asignatura de Seguridad Informática en la UPM, donde tuve el honor de ser nombrado Embajador Honorífico de mi escuela.


Figura 3: El discurso de la servilleta

Mi Trabajo de Fin de Grado, que hice a medias con un compañero, fue la implementación de un algoritmo de recta de barrio para calcular el par de puntos más próximos en una nube, algo de lo que os hablé por aquí y que me ayudó a entender muchas cosas de algorítmica avanzada, sistemas de información geométrica y estructuras de datos.


Años después entré en la URJC, donde estudié mis dos últimos cursos de la Ingeniería Informática e hice un Trabajo de Fin de Grado centrado en Técnicas de Blind SQL Injection, donde hablé de cosas como Remote File Donwlonading o Time-Blind SQL Injection usando Heavy Queries, algo que luego publicaría en papers IEEE y ACM, además de darme acceso a conferencias internacionales como speaker en DefCON 16, Hackron o ShmooCON.


Figura 5: Time-Based Blind SQL Injection using Heavy Queries

Si no hubiera tenido que hacer mi TFG no me habría parado a investigar esas cosas, que además utilicé en Retos Hacking de El lado del mal para que pudiéramos jugar por aquí.

Después hice mi Máster de Postgrado con el objetivo de hacer un Doctorado. En ese momento comencé a publicar en un montón de congresos académicos que me llevaron desde Portugal a China, pasando por muchos rincones escondidos del largo proceso que es la revisión ciega entre iguales. En ese año mi TFM se centró en las técnicas de (Blind)LDAP Injection, algo que también fue mi primera charla internacional en BlackHat Europa. Un reto para el que me tuve que ir a vivir a Londres y estar preparando la charla infinidad de veces.


Con el objetivo de hacer el Doctorado – proceso que me llevó desde el año 2008 (donde me enfadé mucho con las atribuciones en el Plan Bolonia) hasta el año 2013 si no me falla la memoria -, estuve trabajando e investigando en muchas cosas, desde técnicas de Time-Based Blind XPath Injection donde probé de todo, desde ver si era posible optimizar el proceso de extracción de datos a ciegas, hasta probar los Time-Based Blind XPath en entornos SAX haciendo consultas pesadas.


También invertí tiempo en trabajos en paralelo como el de Fingerprinting organizations with collected archives para ver si era posible pintar el mapa interno de la red de una empresa utilizando metadatos en documentos ofimáticos. Algo que daría lugar a mi querida FOCA y MetaShield Protector - que se llevó hasta un premio de la industria. O como el de Connection String Parameter Pollution usando la inyección de comandos en las cadenas de conexión a bases de datos, O como el de Living in the Jungle que usé como base para la investigación de Wild Wild WiFi.


Y de ahí publiqué al final mi Trabajo de Doctorado para el que tuve que pasar un tribunal de 4 horas explicando todo lo que había hecho en él, y que se convirtió en un Algoritmo para la detección de vulnerabilidades de inyección de código explotables a ciegas, luego utilizado en nuestro querido motor de Pentesting Persistente en ElvenPaths Faast.

Durante todo este tiempo, los trabajos que hice en la universidad los compartí por mi blog, los usé en mi carrera profesional en conferencias, y se convirtieron en herramientas que utilicé durante un tiempo o que aún sigo utilizando en mi vida profesional.


Además, de todo ese tiempo en la Universidad y hacer mi Trabajo de Fin Grado de la Ingeniería Técnica de Sistemas de la UPM, de hacer mi Trabajo de Fin de Grado en la Ingeniería Informática de la URJC, de hacer mi Trabajo de Fin de Máster y de hacer las publicaciones para mi Doctorado, saqué una especialización en la investigación de temas, que sigo usando día a día. En ElevenPaths, en LUCA, en la 4P y en Aura. Con mi equipo de Ideas Locas de CDO, y con las patentes que seguimos haciendo y en las que tengo la suerte de estar metido en la creación.


La Universidad me dio mucho más que títulos,  que creo que tiene mi madre,  o más que un estatus por el que todo el mundo tenga que llamarme Doctor – algo que no me importa en demasía – ya que lo que me llevé fue todo lo que aprendí. Por eso cuando llegué a Telefónica y lancé el programa Talentum, mi foco fue ir a por los buenos universitarios.

Figura 11: Mi primera hornada de Talentum venidos de la Universidad

Amo la Universidad, y sigo ligada a ella. En la Universidad Europea de Madrid donde, desde alrededor de una década, soy el Director externo del Máster de Seguridad Informática. Además, la UDIMA me premió con la Medalla de Oro de la Seguridad por mi carrera profesional, algo que siempre es de agradecer.  Y por supuesto, en ElevenPaths y LUCA tenemos un nexo con la Universidad constante para que los jóvenes que quieran hagan su TFG o TFM con nosotros.


Figura 12: Programa de Universidades en LUCA y en ElevenPaths

Por eso, todos aquellos que han falsificado su CV poniéndose algún título que no tienen, o todos los que se han sacado un título sin aprender nada - y siempre digo eso de "suspende como ingeniero o atente a las consecuencias"-, no se han llevado ni por asomo lo más bonito de la Universidad: El amor al conocimiento y la oportunidad de transformar el mundo.

Por favor, no es necesario ir a la Universidad para ser un gran profesional, pero no dañéis algo tan bonito como el buen hacer de nuestras universidades ensuciando su trabajo. El viernes por la tarde intentaré estar con los chavales y mi compañero Pablo González en la URJC de mi Móstoles del alma el TechFest.

Saludos Malignos!

domingo, abril 15, 2018

Como cada fin de semana: Agenda del 16 al 21 de Abril

Los fines de semana siempre me guardo un día para manteneros informados de lo que se nos avecina la semana que entra, así que hoy es el día que toca repasar la agenda. Como siempre, os dejo referencias a los eventos que hacemos en Telefónica, en las unidades de LUCA, ElevenPaths, IoT, Cloud o Business Solutions, y los que tienen que ver con mi querido 0xWord. Vamos a ello.

Figura 1: Como cada fin de semana: Agenda del 16 al 21 de Abril

Esta semana, lo más importante sin duda para nosotros es la RSA 2018, un evento para el que ya os hemos contado cómo nos estamos preparando y para el que hemos preparado un dossier en nuestra web de ElevenPaths con la información más importante sobre los expositores, los speakers y las actividades nuestras. Para completar el acto, el próximo martes 17, sobre las 20:00 horas de España haremos un Periscope en nuestro canal Twitter para enseñaros el stand.

Figura 2: ElevenPaths en la RSA 2018

El 17 de Abril, Pablo González, (@PabloGonzalezPe) el líder de mis locos en el equipo de "ideas locas" de mi unidad CDO, dará una charla por VídeoConferencia en un evento en el Instituto Tecnológico de las Américas en la República Dominicana, al que puedes pasarte gratis si eres de por allí. Más info aquí en la web del ITLA.

Figura 3: Instituto Tecnológico de Las Américas

Para el día 18, otro de nuestros compañeros de mi equipo de "Ideas Locas" será el encargado de guiar esta sesión especial para los amantes del desarrollo. El Code For Devs que llevará Fran Ramírez estará dedicado a las Hidden Networks, un tema del que ya os hemos hablado por este blog varias veces, e incluso sacado una tool que puedes utilizar y customizar.

Figura 4: CodeTalk For Devs "Hidden Networks"

Y ya el día 19 de Abril, dará comienzo un nuevo Curso Online de Hacking con Python, una de las disciplinas más importantes para los pentesters de hoy en día. En este Curso Online de nuestros compañeros de The Security Sentinel, se entrega el libro de Python para Pentesters de 0xWord para acompañar las 90 horas formación.

Figura 5: Curso Online de Hacking con Python

El día 20 de Abril, a las 16:00, nuestro compañero Pablo González dará una charla en el Aulario 1 Aula 105 sobre "Superhéroes contra el Phishing", en el campus de Móstoles de la universidad URJC. Pásate por allí, y lo mismo nos vemos - no 100% seguro aún -, que yo voy a intentar pasarme a ver la charla.

Figura 6: URJC Tech Fest
Y como última actividad para esta semana, los días 20 y 21 de Abril tendrá lugar en Cádiz un nuevo Security HighSchool donde, además de una más que interesante agenda dedicada al Hacking y la Seguridad Informática, podrás adquirir nuestros libros de 0xWord. Tienes toda la info en la web de Security HighSchool Cádiz.

Figura 7: Security HighSchool en Cádiz

Y esto es todo lo que tenemos para esta semana, que como podéis no es poco, así que si algo te pilla bien y te apetece, aprovecha para poner el Save the Date en tu agenda.

Saludos Malignos!

sábado, abril 14, 2018

Un e-mail sospechoso que vende datos de asistentes al MWC 2018

Ayer recibí en mi buzón de correo un e-mail bastante "peculiar". Un mensaje que ofrece, como se puede ver un poco más adelante, un gran porcentaje de la base de datos de asistentes al pasado Mobile World Congress 2018 de Barcelona. Según el contenido del mensaje, una base de datos de registros con la información personal de contacto de 24.000 asistentes.

Figura 1: Un e-mail sospechoso que vende datos de asistentes al MWC 2018

Como, os podéis imaginar, conseguir esta gran cantidad de datos de forma legal suena harto difícil, así que, de poseer esa información lo más probable es que los consiguieran a través de una brecha de seguridad en alguna de las múltiples bases de datos de asistentes que allí se crearon, que pueden ir desde la principal del evento, hasta la de cualquiera de los stands allí representados.

Figura 2: El e-mail en cuestión. 500$ de descuento antes del 17 de Abril

De todas formas, el número de 24.000 personas hace que la base de datos esté lejos de ser la base de datos completa del MWC - este año pasaron los 100.000 asistentes - y tampoco puede ser la base de datos de una empresa pequeña, ya que atender a 24.000 asistentes es atender a mucha gente.

Pero también puede ser una estafa, y realmente se quiera vender algo que no tienen y que sea solo una forma de sacar dinero haciendo una estafa enviando información como esta que os he enseñado a personas seleccionadas en algunas empresas grandes.

Figura 3: La web con un cgi-bin

Como quería saber más de esto, perdí un poco de tiempo mirando algo de información sobre el dominio del que venía el mensaje de correo electrónico, y la web ya dice cosas poco fiables de la persona o personas que hubiera detrás de ese e-mail.

Figura 4: Información DNS del dominio

Mirando un poco de información del DNS, se puede ver que no tiene mucho tiempo de vida el dominio, y que, además, la dirección IP en la que está alojado el servicio web tiene unos compañeros de servidor bastante peculiares.

Figura 5: Más dominios en la misma dirección IP

Pensé que tal vez pudiera darme algo más de información la Máquina del Tiempo, pero en Archive.org no hay ni una sola referencia a la web de esta organización, por lo que suena bastante feo creerse este correo.

Figura 6: No webs en Wayback Machine

Lo más llamativo de este correo es el hecho de existir. Si es verdad, es decir, que existe esa base de datos de 24.000 asistentes al MWC que está en venta y la tiene alguien, podría significar que ha habido una brecha de seguridad en algún expositor lo suficientemente grande como para registrar 24.000 personas durante la feria. 

También podría ser que alguien consiguiera escanear de manera legítima o ilegítima 24.000 badges sin decir que iba a utilizar esos datos para hacer una base de datos para venderla en el mercado. 

Si no es verdad y es una estafa, es una muestra del mundo donde nos movemos hoy en día, y el valor que tienen los datos cualificados. Y lo que es más importante, demuestra que existe un mercado de empresas - tipo Cambridge Analytica - que estarían más que dispuestas a engrosar nuevos datos frescos en el perfilado de las personas que utilizan para sus servicios de información.

Saludos Malignos!

viernes, abril 13, 2018

VBook de Ethical Hacker: Un nuevo Video-Book de @0xWord

Hace ya un tiempo os conté por aquí que desde 0xWord habíamos lanzado una nueva iniciativa en formato Video-Book, es decir, el seguimiento de los contenidos de un libro mediante un curso online que no solo explica los conceptos que están en el libro, sino que además hace demostraciones en vídeo para explicar las prácticas.

Figura 1: VBook de Ethical Hacker: Un nuevo Video-Book de @0xWord

El primer VBook que lanzamos fue el dedicado a Windows Server 2016, que aborda los temas de instalación, configuración, administración y seguridad de estos servidores. Después lanzamos el VBook de Ataques en redes de datos IPv4/IPv6, con explicaciones de cómo se hacen los ataques de captura y manipulación de datos en transito, aprovechando las debilidades de estos protocolos de red ante ataques de sniffing y Man in the Middle.


Y desde hoy mismo está disponible el curso, en formato VBook del libro de Ethical Hacking, hecho por nuestro incombustible compañero Pablo González (@pablogonzalezpe), en el que explica cómo se realiza un proyecto de pentesting profesional.

Figura 3: Curso en formato VBook de Ethical Hacking

El contenido detallado del VBook lo tenéis en la web, pero os lo dejo por aquí para que lo tengáis a mano.


Saludos Malignos!

Entrada destacada

Gracias 2017. Por todo lo que me has dado.

Hoy doy por concluido el año 2017 . Sí, sé que quedan días, pero para mí ha tocado ya la campana de las vacaciones, y quiero tomármelas com...

Entradas populares