viernes, agosto 31, 2018

Un podcast sobre la Deep Web, el hacking y el Big Data

Soy un fan de los cómics desde que era pequeño, así que cuando tuve la oportunidad de conocer a Salvador Larroca y me invitó a participar en el podcast que hacía sobre Deep Web con Elena Merino, no lo dudé. Les busqué una ubicación para grabar una entrevista y hablamos largo y tendido durante un par de horas de muchas cosas. De Hacking, de la Deep Web, del caso de Cambridge Analytica, etcétera. De Deep Web, además, le regalé el libro de 0xWord que tenemos de Tor, FreeNet & I2P para completar la velada.

Figura 1: Un podcast sobre la Deep Web, el hacking y el Big Data

La charla la han publicado en su podcast - que os dejo por aquí embebido - y espero que no me vayan a despedir de Telefónica por que han dicho en la presentación que han hecho de mí que yo soy el "número 2" algo que ya me gustaría a mí, pero que no es verdad. Soy el "número 2" en el corazón de Salvador, que el número 1 es su comercial de Telefónica asignado. Os la comparto por si no tienes nada que oír este fin de semana.


Figura 2: Podcast sobre DeepWeb, Hacking y Big Data

Por otro lado, Elena ha contado en la presentación que yo de pequeño quería ser dios y, por explicar mejor ese detalle os cuento que la historia es que yo me flipé con Tron donde los "dioses" de los protagonistas eran los programadores informáticos, ya que los protagonistas eran programas bagando por la CPU de un ordenador. Yo quería ser uno de esos dioses... no dios como tal. No vaya a ser que alguien piense que yo tengo algún deseo de ser... Thanos.

A post shared by Chema Alonso (@chemaalonso) on

Eso sí, Salvador me recompensó mi participación con un par de dibujos que son... ouh, yeah!! Y que quedan para mi colección personal. Volveré a participar en alguna ocasión en algún otro podcast con ellos, así que ya os informaré cuando haya algo en la agenda de eventos. Ahora mismo el podcast es finalista en la competición nacional de podcasts en Asespod, así que si os gusta podéis votarlo.

Saludos Malignos!

jueves, agosto 30, 2018

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Cerrolaza de Alise Devices y que no pude resistirme a recomendarlo. Al final, una recomendación de un libro es la expresión de alguien que quiere transmitirte las sensaciones que ha tenido cuando lo ha leído. Y siempre me ha parecido un buen regalo. Ya os dije que la lectura para mí ha sido fundamental en mi vida, tanto en lo personal como en lo profesional.

Figura 1: Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Factfulness no es un texto técnico, aunque podría casi serlo, ya que es un libro que te ayuda a que uses datos y tus propias herramientas para entender el mundo un poco mejor, lejos de los instintos humanos por la negatividad, el miedo o la simplificación de la realidad en conceptos tan simples como "ellos y nosotros", la línea recta o el tamaño de los números.


Hoy quería hacer algo similar pero con algunos libros de 0xWord. La pregunta que me hacen muchas veces es ¿Qué libro me recomiendas? Y la respuesta siempre depende de para qué. No es lo mismo una formación hacia una carrera profesional, una exploración para una aprendizaje inicial, una especialización concreta en un tema o simplemente el disfrute por la lectura en sí.


Figura 3: Consejos grabados en 2015

Hace unos años grabé un vídeo después de recibir en un mes un montón de peticiones de asesoramiento, y quise actualizar esto este verano haciendo un trabajo de clasificación de los libros de 0xWord en una serie de packs que acompañan un escalonado en una formación profesional graduada multitemática. Es decir, en qué orden deberían leerse los libros progresivamente como si fuera de un aprendizaje incremental al estilo del que se sigue en una carrera universitaria o un ciclo de formación profesional.


Al final, cada libro podría considerarse una asignatura cuatrimestral en la que se aprende un tema concreto. Algunos más fundamentales y básicos - como el Hacking con Buscadores que es transversal - otras más especializadas como el Hacking con Drones que publicamos no hace mucho.

Seis recomendaciones personales

Hoy quería haceros la recomendación de tres lecturas que me encantan por diferentes motivos, y que se pueden leer de forma individual. Es decir, libros que sirven para que regalar a alguien o para leer un poquito cada noche antes de dormir o un rato cada mañana en el transporte. Lecturas que de fin de semana en el sofá o de momentos en la playa. Lecturas para aprender y disfrutar. El orden no es importante.

Ya os he hablado mucho de esta novela de Alejandro Ramos y Rodrigo Yepes. Es una aventura de acción en la que a lo largo de la historia el protagonista va resolviendo los misterios utilizando técnicas de hacking reales. Sigue estando de actualidad y seguimos esperando la segunda parte prometida. Es un regalo que seguro que gusta. A mí me encantó, tanto, que hasta me animé a hacer la versión en Cómic Deluxe.
Figura 5: Libro y Cómic de Hacker Épico

Este libro está de rabiosa actualidad hoy en día con el auge de las criptomonedas y el uso cada vez más masivo de tecnologías BlockChain. Desde el punto de vista de seguridad es fundamental entender bien la cadena de bloques, pero también si eres un informático. BlockChain se ha metido en todas las empresas y es un poco triste ver como aún muchos no saben exactamente qué es y cómo funciona. Felix y Yaiza - nuestra primera mujer española hablando en DefCON - hicieron un texto que deberías leerte sí o sí si trabajas con tecnología y sigues hablando de BlockChain de oídas.
Figura 6: Blockchain y su investigación

El último libro que hemos publicado. Muy actualizado y con un punto de vista muy organizado. Se trata de una lectura para gente que sabe algo de seguridad. Que se conoce las herramientas y que ha leído mucho sobre el tema. Ahora llega el punto de profesionalizar esos conocimientos y organizarlos en un trabajo en equipo que de verdad sea útil para el CISO de una empresa. Este libro es fundamental para empezar a trabajar en equipos de seguridad informática de hoy en día, donde la profesionalización es fundamental tanto de los procesos como de las prácticas.

Otro indispensable para leer de forma aislada. Un texto muy práctico y didáctico que explica no solo la parte técnica sino la parte procedimental necesaria para abordar un peritaje judicial de forma profesional. Un texto que, en días como hoy donde el número de incidentes se producen a toda velocidad, en la vida cotidiana de personas y empresas, explica con detalle cómo es la labor de un analista forense,
No puedo resistirme a recomendar encarecidamente esta joya escondida a la vista de todos. Este texto de Cyberhades y Tuxotron es lo más entretenido para leer en cualquier momento. Son anécdotas de la historia de Steve Jobs, Wozniak, Kevin Mitnick, Alan Turing, Capitán Crunch, etcétera que te mantendrán entretenido, divertido, asombrado e inspirado. Para mi es uno de los mejores libros para tener en la cabecera de la cama y estoy deseando que me hagan ya una segunda parte.
Figura 9: Microhistorias
Si usas Windows en tu día a día, no conocer los entresijos de la seguridad del sistema operativo te debería causar inseguridad. Lo primero que debes conocer son los fundamentos de seguridad sobre los que se construye tu sistema operativo. Si no lo conoces, construir sobre sistemas Windows tecnología, administrar servicios, hacer pentesting a máquinas Windows o correr herramientas siempre va a ser a ciegas. No darás el paso de verdad a ser un profesional fino.
Figura 10: Máxima Seguridad en Windows 4ª Edición
Este texto de Sergio de los Santos es una pieza único e indispensable para entenderlo. Una joya de los que hay pocos en el mundo, y tenemos la suerte de tenerlo en Español y actualizado. Un Windows 8, un Windows 8.1 o un Windows 10 se parecen porque son Windows, pero las tecnologías de seguridad van cambiando por momentos. 
Como veis, son solo seis recomendaciones puntuales que a mí me parecen fundamentales y que se pueden leer como disfrute y aprendizaje. Yo siempre cuento la anécdota de que cuando tenía que aprender inglés me aburría sobremanera, así que lo mezclé con Star Wars y decidí que si tenía que leer cosas en inglés que fueran divertidas. Novelas a cascoporro de Star Wars, luego cómics de superhéroes y películas de aventuras. Nada de cosas que no me gustaran. Estas seis recomendaciones son para eso, para disfrutar de la lectura y para aprender.

Saludos Malignos!

miércoles, agosto 29, 2018

Shodan es de cine: Hacking Tautulli, un GUI para Plex Media Server (Parte 2 de 2)

Continuando con la historia que está escrita en la primera parte de este artículo os recuerdo que habíamos descubierto que aparecía una key con un fichero en formato .mp4. Esta key no parte de la base del directorio en que nos encontramos ya que hasta ahora no hemos estado por una carpeta llamada parts, pero parece que referencia al fichero de la película en sí. Al invocar esta URL en el navegador y pulsar Enter… ¡nos la está (des)cargando embebidamente!

Figura 15: Shodan es de cine: Hacking Tautulli, un GUI para Plex Media Server (Parte 2 de 2)

¿Os acordáis más arriba del artículo, de que no podíamos verla porque nos pedía credenciales? Pues señoras y señores, lo de que “todos los caminos llevan a Roma” parece cierto… Solo había que mirar “debajo del felpudo” para hacernos con la “llave”. Para entender la situación dibuje el diagrama reflejado en la siguiente Figura 16.

Figura 16: Diagrama resumiendo la situación

Al final, tiene sentido que si intentamos entrar a ver la película a través de Tautulli nos topamos con la seguridad de la plataforma, pero al tirar con el token y la URL del fichero que aparece en la key y que apunta al servidor donde está Plex esta validación no tiene sentido. En la Figura 16 se muestran dos zonas claramente definidas:
Zona Azul: Shodan es una importante pieza en este “puzzle”. Se sitúa entre la zona azul y el resto de Internet. Será nuestro “portero” que nos dejará acceder al recinto si le decimos “la contraseña”, esa la sabemos (los dos strings a buscar CherryPy/5.1.0 y /home). 
Zona Roja: Estando ya en la Zona Azul (tranquilos, esta no se paga por “estacionar” ni tiene horarios :P) sólo hay que mirar “debajo del felpudo” para hacernos con la llave (en este caso, el Token).
Para ver todo lo expuesto en esta PoC, podéis pasar a la acción en este vídeo que realicé.

Figura 17: Vídeo de la PoC: Hacking Plex Media Server [PMS] through Tautulli (PlexPy) using Shodan

Para aquellos que se cuestionen si realmente notifiqué al usuario, aquí dejo la prueba, para que no se diga que soy malo. Al final el objetivo era entender si un sistema como ese, descubierto aleatoriamente con Shodan tenía robustez. No hacer daño a nadie y por lo tanto avisé.

Figura 18: Notificación al usuario

Parece que el usuario lo agradeció como se puede ver en su escueta pero directa respuesta :). Reflejé también lo expuesto en un “papel” (en inglés) con título: "Don’t break the door, the key is under the doormat"



¡Bonus Track!

Sería raro seria que hiciera un artículo sin esta sección, parece que ya es una costumbre. Creo que es importante mencionar estos detalles que complementan (o potencian) el impacto que puede tener este trabajo. Tautulli contiene una sección para configurar notificaciones y newsletters. En la figura siguiente vemos cómo capturar/desenmascarar sus credenciales usando las herramientas del desarrollador bajo Firefox.

Figura 20: Desenmascarando la password  del formulario bajo Firefox

El puerto usado en PMS puede ser alterado por el usuario (distinto al “by default” que es el 32400) aunque existen métodos para averiguarlo, cómo hacer un barrido con nmap en el caso de que Shodan no haya escaneado ese puerto, pero… ¿Por qué no se lo preguntamos amablemente a Plex directamente? Pues preguntémosle que no perdemos nada.

Figura 21: Datos de conexión internos en la configuración de Plex

El Token de Plex permite consultar los recursos que se tienen asociados (los vinculados a la cuenta del Token del usuario) cómo herramienta de troubleshooting. Está consulta se hace contra los propios servidores de Plex no al servidor de Plex que el usuario se instala cómo producto.

Encontré un Google Dork donde poder encontrar los servidores Tautulli indexados, pero no tiene nada que ver con el resultado que da Shodan (éste último, más enfocado a dispositivos conectados a Internet).

Figura 22: Google Dork de Tautulli

Para esta finalidad no es la herramienta adecuada, pero no va mal saber que existen otras posibilidades.

Reflexiones finales

Shodan dice que hay acerca de 2700 dispositivos Tautulli/PlexPy desprotegidos - sin necesidad de credenciales - en el momento que ha sido escrito el artículo. De ese total, 57 son de España, siendo el país ganador Estados Unidos. Esta cifra la vi en su máximo esplendor en el momento que realicé el vídeo, curiosamente la cifra disminuyó en un 10%. ¿Qué pensáis?… ¿bajará, subirá o se mantendrá (más o menos) igual? Hagan sus apuestas…

Figura 23: Resultados en Shodan

Esto me pareció realmente alarmante, ver un número tan elevado - incluyendo países de todo el mundo -, me hizo pensar que muchos no saben que su centro multimedia está expuesto a la merced de cualquiera. Posiblemente, la gran mayoría sienta la necesidad de poner sus ficheros multimedia en un mismo saco para tenerlos al alcance de todos sus dispositivos (smartphones, tablets, navegadores, clientes aplicaciones que se integran con este software, etcétera) tendrán cómo “checklist” comprobar la tarea de ¿funciona? Y siendo este afirmativo los mecanismos de seguridad son ignorados.

Ya me parece preocupante que se pueda seguir/hacer un “tracking” de la vida multimedia de alguien desperdiciando el Token que muestra Tautulli porque, estando en la Zona Azul cómo se comentaba, hay mucha información con la que “moldear”, útil para muchos fines, ya sean malos o buenos, sin olvidarse de que son datos privados, datos que no deberían de exponerse públicamente. No sólo películas pueden almacenarse en PMS.

Figura 24: Mostrando “Thumbnails” sin Necesidad de Token

Pasando el ratón para aquél que cumpla con los requisitos de tener sus fotos y Tautulli al descubierto, pueden verse sus miniaturas. Por supuesto que también son “downloadables”, debes de indicar el parámetro download=1 en la URI, tipo así:
http://IP:PUERTO/…*fichero.jpg?download=1&X-Plex-Token=TUTOKENOELDEELAQUI
Si no, puede dar un 400 Bad Request (del cuál sabemos la solución). Esto puede llegar a ser una nueva vertiente de ransomware omitiendo la necesidad de cifrar. ¿Para qué van a perder ese tiempo? Si los malos ya saben el e-mail de la víctima (obtenido en la Figura 12 de la primera parte del artículo). Además, haciendo uso del Token parece que Tautulli no te trackea, no deja rastro en registros.

Otros valiosos datos que son públicos, si ya te has hecho con el Token, son los vistos en Figura 21, de ahí además del puerto, sacas cuántos servidores Plex puede llegar a tener configurados con dicha cuenta, móviles que lo usan, direcciones de la red Interna...  modelos de móviles como en el caso de Google y la recuperación de cuentas.

Y que hay sobre los formularios de las notificaciones que se ha visto en Bonus Track de la Figura 20? Esas credenciales pueden ser válidas si son usadas en otras identidades del usuario, ya se ha visto que muchos usan la misma password para todo. Quizá den acceso al Plex del mismo en auténtico modo GUI.

Bien, creo que ya es suficiente. Cómo veis,  el espíritu y las ganas de aprender que decía Amador que tienen los hackers es lo que necesitaos para darnos cuenta de que las cosas pueden ser mejoradas. ,No hace falta centrarse en códigos de gran complejidad accesibles solo a exploiters.  Por supuesto, hay que formarse todo lo que se pueda, y para comenzar los libros de Hacking con Buscadores: Google, Bing & Shodan 3ª Edición o el de Hacking Web Technologies de Chema Alonso, Pablo González y Amador Aparacicio entre otros son perfectos para empezar a entender las herramientas que tenemos a mano...

Figura 25: Libros de Hacking en 0xWord para empezar en el hacking web

Tampoco he usado una cuenta en Shodan para esta PoC (no ha sido necesario visto los resultados), las facilidades son muchas, siéndose un poco curioso y con constancia, “las piezas de un puzzle pueden generar otro tipo de puzzle” y si encaja, tienes otra obra, y ya sólo te quedará exponerla.

Remember… Be Good, Be Hackers!

Autor: Gerard Fuguet (@GerardFuguet)

martes, agosto 28, 2018

Shodan es de cine: Hacking Tautulli, un GUI para Plex Media Server (Parte 1 de 2)

Recibí una invitación para asistir a un evento de ciberseguridad ofrecido por un proveedor de networking, impartiéndose unos días antes del inicio de verano. Este fue su primer evento en el ámbito de la seguridad informática acogiendo a fabricantes conocidos del sector. Entre ellos destacaba una persona experta en este mundo, un hacker, mencionado numerosas veces en este maligno blog y que además es coautor de un libro que si, mi navegador no me engaña,  todavía puede localizarse fácilmente en el córner izquierdo superior de esta página: Hacking Web Technologies. Él es Amador Aparicio (@amadapa).

Figura 1: Shodan es de cine: Hacking Tautulli, un GUI para Plex Media Server (Parte 1 de 2)

Cuando me percaté que se pronunciaba en la agenda dando no una, sino dos charlas: Hacking Web Technologies Old School y From hacking IT to Hacking OT: Jungla 4.0 no dudé en enviar mi OK de asistencia al evento.

El día del evento

Se celebró en Barcelona en el Café de la Pedrera. Antes del comienzo fue fácil localizarle, su camiseta de Rammstein fue lo primero que me llamó la atención - ya somos dos fans : ) -. Me acerqué para saludar, y me recibió estupendamente. No tengáis miedo de acercaros a un hacker, no muerden, son buenos y muy humanos, cómo todo… si se va con buena conducta y respeto ¿Qué razón habría de obtener un desprecio? A todo esto salió un recuerdo fotográfico que os dejo por aquí para que pongáis cara a Amador - con su camiseta de Rammstein -.

Figura 2: Amador y yo en el evento

Pero no quería hablar de la parte social de este evento, sino del contenido y de lo que inspiraron en mi posteriormente, que me animé a hacer un poco de Hacking con Buscadores usando Shodan.

Las charlas y Shodan

Asistir a un evento de manera presencial, es como asistir a un concierto de un grupo en directo, tanto los errores como las improvisaciones ganan un valor especial, por más que sea repetida “la función” en cada lugar, siempre es distinto.

Nos cautivó a todos con sus habilidades de Hacking Web Technologies, a mí en particular la facilidad de “orquestrarShodan a su estilo “old school” ¿Cómo puedo hacerlo con un portátil de gama baja-media y una conexión a Internet? Ese es uno de los objetivos, usando herramientas al alcance de todos a precios rentables.

Las demos que nos brindó eran “live”, es decir, búsqueda de dispositivos de red públicos (y reportados) que aun sabiéndose de ello, parecía no importarles a los propietarios, “muchos prefirieron dejar la puerta abierta o no arreglarla”…

Yo también quiero hacer Hacking Web Technologies

Se me grabaron en la memoria no volátil de mi cabeza esas búsquedas de escasos caracteres que hizo en Shodan, y el impulso motivador para adentrarme en este tipo de buscador fue un “flash” sobre la vulnerabilidad que descubrí en la cámara 360Fly, una vez alcanzado su web server.

Figura 3: Web Server de la 360Fly. Cadena de caracteres a buscar en Shodan

En la Figura 3, vemos cómo se repite la palabra “resource” tanto en título, la URL y hasta en el Body de la página. Era suficiente munición”para activar a Shodan en búsqueda de… ¿cámaras 360Fly públicas? No pareció encontrar ninguna al descubierto pero en la red de pesca lanzada había alguna otra cosa.

Figura 4: Búsqueda en Shodan y resultado del servicio

Un portal nos paraba los pies pidiendo credenciales, se lee Tautulli ¿De qué se tratará? Por la información de las cabeceras HTTP, vemos que el servidor indica: CherryPy/5.1.0. Sigamos más su rastro…

El papel que ejerce Tautulli

Al parecer, según su página web oficial es una aplicación de terceros para monitorizar un servidor multimedia Plex y la palabra Tautulli, viene del idioma Inuktitut. Lo siento, pero parece que Google Translate no lo tiene en su lista de lenguas disponibles.

La sección de descarga de la web nos lleva a su GitHub. Los avances de versionado son frecuentes, pero no parecen hacer lo mismo con todos sus componentes. CherryPy es el servidor web usado, un framework web minimalista escrito en Python. Su “changelog” de versionado también es frecuente.

Figura 5: Parte del Historial de versiones a día de hoy de CherryPy

Y la pregunta que se me vino… ¿cuál es la versión de CherryPy usado en Tautulli? Podríamos viajar al pasado con “la máquina del tiempo” pero en este caso es más práctico usar el propio histórico de GitHub que guarda los cambios cómo trofeos en vitrina” Y la deducción extraída la plasmamos en forma de tabla, que así se verá con mayor claridad.

Figura 6: Tabla de historial de cambios CherryPy en Tautulli

Para sacar estas deducciones, nos centramos en el fichero wsgiserver2.py donde refleja los cambios de versionado de CherryPy. En Figura 6, a la izquierda, se muestra quién realizó, y las veces del cambio de este fichero. A la derecha, y de manera encadenada, se obtiene el rango deducido por las fechas de wsgiserver2.py y la correlación del changelog de Tautulli. La versión de CherryPy que abarca más versiones en Tautulli es la 5.1.0 abarcando versión v1.3.16 (2016-05-01) en adelante (por el momento, la 2.1.14).

Como nota curiosa para bordar algo más el rastro, también podemos ver, que Tautulli antes se llamaba PlexPy y que su creador principal fue drzoidberg33 en lugar de ser JonnyWong16.

Tautulli al descubierto

El dato del servidor CherryPy usado es clave para buscar versiones actuales y las que datan del año 2016 (incluyendo las de PlexPy). El momento antes de poner el string CherryPy/5.1.0 en Shodan lo describiría con un sentimiento similar al que uno podía tener cuando abrías uno de esos huevos sorpresa,… ¿quñe saldrá...?

Figura 7: Portal principal de un Tautulli desprotegido

Entrando en puerto 8181 y al /home en URL sin… ¿usuario ni contraseña? Pues mirad por dónde que ya tenemos la receta para acceder a los Tautulli’s/PlexPy’s expuestos de todo el mundo, eso sí, gracias a Shodan. A priori obtenemos interesante información, cómo:

  • Películas más vistas.
  • Películas más populares.
  • Los programas de TV más vistos.
  • Los programas de televisión más populares.
  • Visto recientemente.
  • Usuarios más activos.
  • La barra de estadísticas...
  • Y... ¡Lo que se está viendo ahora!
Parece una buena fuente de datos de una persona para hacerse un Big Data en toda regla al estilo de Cambridge Analytica si tienes la dirección IP asociada a ti, por cualquier casualidad del destino. Además te dibuja gráficos cómo muestra la siguiente Figura 8.

Figura 8: Gráficas de estadísticas en Tautullli

La avaricia rompe el saco que dicen, pues vamos a ver si podemos romperlo. Cómo hackers intentamos "romper” con la finalidad de que sea reparado/subsanado, notificar algo sin llegar al punto de aprovechar la brecha que un “Bad Guy” podría llegar a hacer. En este contexto, el hecho de romper es para fortalecer, es cómo si vemos a alguien que se le cae algo por el camino y le avisamos para devolvérselo, no nos lo quedamos y nos vamos - para entendernos -, ¡por supuesto!

Echando un ojo a la videoteca

Pica la curiosidad por saber la arquitectura de esa parte. Nos dirigimos a Libraries y entre las distintas categorías que tiene el usuario, decidimos escoger una película de Ace Ventura. Clic para verla en Plex, por lo que pone en la miniatura, pero algo no va a ir bien en ese punto.

Figura 9: Abriendo un streaming

Ohh!... parece que a priori necesitamos las credenciales de Plex. Parece que esa zona es robusta, pero visto todo esto tal vez encontremos otra forma. Vamos a seguir viendo el portal.

No rompas la puerta, la llave esta debajo del felpudo

Otra pieza clave es el valor del Token que encontramos dentro del menú Settings, pues se trata de un master Token generado por un Plex Media Server del usuario que ha tenido que configurarlo en esta zona de la configuración para que pueda funcionar Tautulli con el software de Plex.

Figura 10: Master Token de Plex

Tautulli se alimenta de Plex Media Server (PMS) mediante accesos que realiza con este Token para poder construir una información clara de “tracking” de los movimientos que se realizan del contenido multimedia albergado en PMS.

Y más preguntas que surgieron… ¿qué privilegios nos da este Token? Google nos dijo que puede ser usado de la siguiente forma, según el soporte oficial de Plex, pasando el valor X-Plex-Token cómo parámetro en URL para obtener peticiones bajo XML.

Figura 11: X-Plex-Token en la dirección URL

En la documentación se explica que para obtener el Token hace falta un usuario y password de Plex. Nosotros no tenemos las credenciales, pero no las necesitamos porque tenemos ya el Token  que nos “regalaTautulli. No le haremos el feo y hacemos un “unboxing” del mismo. Usaremos:
http://IP:32400/?X-Plex-Token=YOURTOKENVALUEHERE
En puerto 32400 que es el estándar usado por Plex.

Figura 12: Estructura XML del Servidor Plex

Esto parece una estructura de carpetas ¿verdad? Pero en un entorno más propio de un “cmd style” que no de uno en modo GUI. Vamos a ver, como reto, si somos capaces de llegar a esa película de Ace Ventura y ver su estructura desde otra perspectiva, ahora que tenemos el Master Token de Plex.

Figura 13: Navegación en estructura de carpetas bajo XML

En Figura 12 nos sitúa en el directorio “root”. En Figura 13 nos encontramos dentro de /library ya que saltamos hasta dicho directorio, después a sections (/library/sections) y así sucesivamente, navegando en subcarpetas hasta llegar a la info deseada - siempre indicando el valor de X-Plex-Token cómo autorizador de las consultas en URI -. La interpretación de su XML es bastante intuitiva y te hace saber el tipo de “pavimento que pisas” en todo momento.

Las carpetas se distinguen con el nombre Directory, estos también llevan atributos. Los directorios tienen atributos con nombre key y el valor de éstos son los aceptados en URL. Con lo que, para saltar de directorio (o carpeta) en directorio, usaremos el contenido de las key. Pero espera, esta key parece contener una extensión de fichero, un .mp4. ¿Será otro directorio?

Figura 14: La key de la película

Nota: Puede usarse el atributo title (o el de type) como referencia para tener una idea del contenido, ya que el valor de una key no siempre será igual al valor del atributo title y no contendrá información deducible sobre su contenido.

[Continúa en la segunda parte]

Autor: Gerard Fuguet (@GerardFuguet)

lunes, agosto 27, 2018

Evil FOCA, LiLaS y el Arte del Engaño

Cuando miramos un poco hacia atrás por el revisor puedo ver muchos proyectos a lo largo de los últimos veinte años. Proyectos que comenzaron como una idea, maduraron, y se convirtieron en parte de nuestro ADN. Algunos de esos proyectos como FOCA, Sappo, DirtyTooth, Evil FOCA, Latch o MetaShield, alcanzaron el estatus de ser parte de nuestro camino para siempre.

Figura 1: Evil FOCA, LiLaS y el Arte del Engaño

Pero lo más bonito es todos comenzaron con una idea muy simple. FOCA, comenzó como un proyecto llamado Metaextractor que ampliaba las funcionalidades de una PoC que preparamos para un congreso en la Open Source World Conference llamado OOMetaExtractor. Luego le fuimos añadiendo cosas y se convirtió en la FOCA, y lo derivamos a una versión de protección en forma de MetaShield Protector, ganando incluso premios a la innovación.


Figura 2: Presentación de OOMetaextractor (antes de FOCA)

Pero nunca sabes a dónde va a llegar una idea. Nunca sabes si ese proyecto va a tener sentido. Va a gustar. Va ser útil para alguien en el mundo real. Lo único que sí que sabemos es que hay que seguir proponiendo cosas, darle vueltas a los hacks una y otra vez para ver cuándo las piezas encajan todas a la vez. Por eso seguimos proponiendo cosas constantemente. Y hacemos hackathones para ver qué nuevas ideas aparecen y a quién se le ocurre conectar dos puntos de una forma especial. Diferente. Nueva. 


Figrua 3: CodeTalk for Developers sobre Evil FOCA

Muchas de las cosas que sacamos son especialmente mejoradas cuando alguien que viene de fuera las toca. Cuando alguien con una mirada distinta, diferente, amplía lo que nosotros creamos inicialmente. Por eso hacemos desde hace un año las CodeTalks For Developers en ElevenPaths, donde mostramos las entrañas de nuestros proyectos para que los desarrolladores puedan ampliar las funciones o crear cosas nuevas.


Figura 4: CodeTalk for Developers sobre LiLaS

Todas las sesiones las tenéis en esta lista, pero este verano hemos hecho dos nuevas sesiones dedicadas a los proyectos de Evil FOCA Open Source y al proyecto LiLaS que os dejo por aquí para ver si os estimula la creatividad a alguno de vosotros.


Figura 5: ElevenPaths Talk sobre "El Arte del Engaño"

Además, también nuestro equipo de CSAs ha preparado una nueva ElevenPaths Talks de la Temporada 4 dedicada al "Arte del Engaño", con lo que si quieres aprender cosas nuevas aquí tienes tres seminarios para verte a ratitos. No hay nada como buscar un huequito cada día para aprender un poco más. Siempre un poco más.

Saludos Malignos!

domingo, agosto 26, 2018

Delivery, Deadline & Difusión

Desde que comencé en el mundo laboral, hace ya más de veinte años, siempre he pensado que como parte de la planificación de los objetivos a cumplir, hay que estar comprometido con hacer tres cosas clave para mantener un ritmo saludable de organización del trabajo. La primera de ellas hacer "Delivery" - o entrega - de los proyectos, productos o compromisos adquiridos. No vale con que se queden en ideas buenas, proyectos empezados pero no acabados o intentos fútiles. Hay que sacarlos y entregarlos a los clientes, el público y/o los usuarios. Nada de tener ideas y dejarlas a medias.

Figura 1: Delivery, Deadline & Difusión

La segunda de las piezas del puzzle es tener "Deadlines" grabados a fuego. Si no te marcas una fecha inamovible, entonces todo se puede retrasar una y otra vez. Es fácil caer en la autocomplacencia y mover la fecha de "Delivery" hacia atrás en el calendario. Una y otra vez. Se retrasa una vez. Se retrasa otra. Se retrasa hasta el punto en el que no se hace "Delivery". Eso no funciona para mí. Ni de broma. Hay que hacer "Delivery" de los compromisos y hay que hacerlos en el "Deadline" marcado.

La tercera es que hay que hacer "Difusión" del trabajo. Yo me siento orgulloso de lo que hago. Si no fuera así, no lo haría. No se trata de lo que se ha hecho, sino de lo que se hace día a día. Me motiva el tipo de trabajo que hago. Me gusta jugar con la tecnología. Darle una vuelta y otra. Pensar hacia dónde va el mundo. Qué necesita hoy, que necesitará mañana. Hacer cosas y entregarlas. Así que procuro comunicar con cariño, cuidado, y con detalle todos los trabajos y proyectos en los que me voy embarcando.

La suma de estas tres piezas, a saber, Delivery, Deadlines y Difusión, trae consigo una forma de trabajo que llevo utilizando desde los primeros días de Informática 64. Consiste en buscar en el calendario unas fechas clave que no se puedan mover. Fechas que, porque hay un compromiso público, o porque pasa algo que no podemos controlar nosotros, no van a ser movidas. Así que busco fechas de Eventos o Actos con clientes, compañeros o terceros que dividen el calendario.

Figura 2: Planificación alpha de citas externas en 2018 para ElevenPaths hecha a finales de 2017.
Hay cosas que vamos quitando y añadiendo, pero tenemos un time-line desde el día 1 de Enero.

LUCA, Aura, Movistar Home y 4ª Plataforma tienen sus propios time-line.
Además, hay planificación de eventos externos e internos, con diferentes audiencias.

Cada una de esas actividades públicas llevan asociados unos entregables en forma de producto o proyecto que por tanto tiene que estar listo para ese día, por lo que hay que hacer Delivery antes – o incluso ese mismo día - porque vamos a Difusión en el evento o acto. Eso convierte a ese día marcado en el calendario en el Deadline que no se puede mover. Hay gente convocada. Están esperándonos. No depende de nosotros solos esa fecha.

Por eso, cada evento marcado en el calendario para nuestros equipos es un Deadline en el que hay que hacer Delivery porque es el día de la Difusión del trabajo. Y por supuesto, antes de que comience el año tenemos nuestro calendario de eventos marcado a fuego que te puedo recitar de memoria mes a mes desde Enero hasta Diciembre.

¿Cuáles son nuestros próximos hitos en CDO?

Seguro que si paseas y preguntas por los equipos de trabajo en la unidad CDO se los conocen al dedillo. Son fechas que barajamos desde el principio del año y que sufren modificaciones de más menos pocas semanas, pero que a medida que se acercan los meses, varían cada vez menos. Y como no, para lo que nos queda de año sabemos ya desde hace tiempo cuáles son esas fechas, así que para que sepas lo que está por venir os las dejo por aquí. Estos son los próximos Deadlines en los que haremos Difusión de los nuevos Deliveries.

En Septiembre: La pre-reserva de Movistar Home

Lo primero que tendremos en este mes que viene cerca es el lanzamiento de la pre-reserva de Movistar Home. Para que los early adopters puedan ser justo eso, los primeros en tener disponible en su casa nuestro nuevo teléfono inteligente. El que presentamos en el pasado Mobile World Congress. Este es un Deadline para los equipos de producto, comercialización, estrategia y comunicaciones con el que llevan trabajando todo el mes de agosto.


Figura 3: Presentación de Movistar Home en MWC 2018

Esto casi coincidirá con un gran evento alrededor de la Movistar+ en Telefónica de España que seguro que has ido viendo en las noticias. La construcción de la mejor oferta en contenido de fútbol, el acuerdo con Netflix para que nuestros clientes puedan disfrutar de más contenido a la calidad que da la plataforma del descodificador de Movistar+, más las nuevas series de producción propia, más la inminente llegada del 4K en el desco, más la integración con AURA y el próximo Movistar Home.


Figura 4: Presentación del acuerdo entre Telefónica y Netflix

Si alguien piensa que durante el mes de Agosto Telefónica se para, creedme que no, y prueba de ello es todos los Deadlines que tenemos en estos primeros meses después del verano. Yo además me comprometí con OVUM a estar en su evento de Digital Futures , así que viajaré a Londres a estar en su evento presentando nuestra visión de transformación digital en la casa.

En Octubre: El lanzamiento de Movistar Home

Como avisamos en su día, en Otoño tendríamos el lanzamiento de Movistar Home, pero parece ser que los planes van como esperábamos y podremos tener la fecha a principios de Otoño. Este día está marcado en los planes de proyecto de todos los ingenieros para terminar con anticipación las fases de Code Complete, que dan llegada al equipo de QA.


Lógicamente, este verano se ha estado trabajando a marchas forzadas, y se ha hecho al tiempo que se tenía la campaña de Meet Movistar Home en las tiendas de Madrid y Barcelona para que nuestros clientes lo pudieran probar.


Figura 6: Meet Movistar Home

Para que esto llegue a tiempo, los equipos de la 4ª Plataforma que se encargan de disponibilizar los datos y las APIs, los equipos de AURA que diseñan todos los modelos cognitivos, y los de Movistar Home, han estado trabajando.

En Octubre: El LUCA Innovation Day

Como todos los años, las unidades de LUCA y de ElevenPaths, tienen sus Deadlines a finales del curso, para presentar las novedades tecnológicas en las que han estado trabajando los equipos de producto e ingeniería. Novedades alrededor de soluciones que han pasado muchas fases antes de llegar a este día.


Figura 7: Resumen del evento LUCA Big Data Innovation Day en Chile

Este año le toca primero a LUCA y luego a ElevenPaths (en Noviembre), porque LUCA junto a los equipos de la 4ª Plataforma, ElevenPaths y Aura, también se encarga de liderar otra gran cita que tendrá lugar más adelante: La entrega de becas en el evento del Data Transparency Lab que tenemos programado para finales de año.

Por supuesto, la edición de este evento conlleva la presentación de los nuevos productos, servicios y proyectos que se han estado trabajando este año para presentarlos delante de nuestros clientes por primera vez. Recordad que es una cita de Delivery.

En Noviembre: El Security Innovation Day de ElevenPaths

Este evento es un clásico ya dentro de nuestra unidad. Fue el primer Deadline que institucionalizamos. Se hizo el primero en el año 2013, y hemos hecho ya cinco ediciones. Esta será la sexta ocasión en la que haremos este evento que luego, como es habitual replicamos en Argentina, Brasil, Chile, Colombia y el resto de los países con algo de tiempo después.

Figura 8: Calendario de actividades internas de 11Paths tentativo diseñado en 2017 para 2018

Para llegar a esta cita y comenzar este trabajo, antes, durante el mes de septiembre, tendremos nuestro Summit mundial de seguridad con todos los equipos de ElevenPaths y el resto de las unidades de seguridad. Unos días en los que alienamos el trabajo para el evento y el próximo año.

En Noviembre: El Data Transparency Lab 2018

Esta iniciativia, que está ahora en la fase de Call For Tools, tendrá la fecha de asignación de las becas para el día 15 de Noviembre, y el evento de presentación de los trabajos ya premiados será alrededor de esa fecha, así que nos movilizaremos otro año más para este día.


Tienes toda la información sobre las becas en el post que os publiqué la semana pasada sobre cómo optar a las becas del Data Transparency Lab 2018.

En Noviembre: El Encuentro y el nuevo proyecto

Desde que entré en Telefónica, sin pensar si quiera en ello, he ido a proyecto por año. La verdad es que es una de las cosas que más me gusta. El primer año tuve la suerte de lanzar Talentum con mis compañeros. Luego ElevenPaths. Después LUCA. La 4ª Plataforma. Aura y Movistar Home. Y por supuesto, este, que es mi año número 7 en la casa, no podía ser distinto.

Pero primero hay que hacer el Go o No Go al proyecto en el que estamos trabajando desde antes del verano, y por eso quiero quiero validarlo con mis compañeros. Y la fecha elegida como Deadline para este proyecto es el Encuentro interno de compañía. Lo que tiene a los equipos involucrados en cada detalle del nuevo proyecto con mucha tensión y contando los minutos de cada día.

Yo sueño con detalles de este proyecto como soñaba con los productos de ElevenPaths, LUCA, los detalles de la 4ª Plataforma y cómo debían funcionar Aura o Movistar Home. A tope con él.

Diciembre: Los despliegues de las nuevas capacidades de AURA

Como ya sabéis, lanzamos Aura en seis países el pasado Mobile World Congress, pero hemos estado trabajando duro para llegar con los nuevos despliegues de versiones mejoradas a finales de año. Estas fechas de lanzamientos internos corresponden con campañas de comunicación en los países en los que está disponible - similares al Hola Aura, qué tal que tuvimos en España, así que los equipos tienen ese Deadline a fuego.

A post shared by Chema Alonso (@chemaalonso) on

... Y en 2019 más planificado

Después Enero será un mes de trabajo en la sombra. Meses en los que estaremos preparando nuestro gran Deadline del curso: El Mobile World Congress 2019. Aunque no os lo creáis, tenemos a equipos trabajando ya en ello, y yo ya he repasado la presentación decenas de veces en mi cabeza…. Así que espero que guste tanto como la que hicimos en 2017 con las Hololens y en 2018 con Movistar Home.

Pero no solo eso, también estoy trabajando en la presentación que quiero hacer en la RootedCON 2019 y en cómo vamos a participar en la RSA 2019 en San Francisco. Hasta esa fecha estamos trabajando ya. Parece mentira, pero ya hemos organizado el presupuesto, los contenidos y el trabajo que hay que llevar a San Francisco en la RSA.

Al final, como podéis ver, y es uno de los motivos por los que he querido compartir este post, nuestra apuesta no se basa en tener ideas felices a corto, sino en tener un modelo de trabajo constante en el que buscar que las nuevas ideas, la innovación, la creatividad y el talento de los que trabajan en esta casa se mezcle con el flujo de trabajo diario y planificado. Con mucho esfuerzo de personas que se dejan lo mejor de ellos mismos en su puesto todos los días para que la experiencia que tengan nuestros clientes sea lo mejor que podamos darle y mejor cada día.

Saludos Malignos!

sábado, agosto 25, 2018

¿Cuándo usé mis tokens TOTP? Latch te lo dice

Hace ya tiempo, cuando decidimos que había que incorporar los tokens TOTP a nuestra app de Latch, vimos que una característica que podía ser de mucha utilidad era tener un registro de todos y cada uno de los instantes en el que un token TOTP ha sido mostrado por pantalla en la aplicación. Esta información puede ser valiosa, ya que, aunque no es información de la fecha y la hora de login, sí que es información que acota cuándo el usuario ha podido realizar un acceso utilizando el proceso de autenticación en dos fases.

Figura 1: ¿Cuándo use mis tokens TOTP? Latch te lo dice

Es decir, para autenticarse en un sistema con un doble factor basado en un token TOTP, el usuario debe visualizarlo en la app y teclearlo durante el proceso de login en el portal de autenticación del sitio o la plataforma. Teniendo la información de cuándo ha sido mostrado en la app, el dueño de la identidad podrá saber cuándo pudo iniciar sesión y detectar anomalías de accesos. 


Figura 2: Demo de Latch Cloud TOTP con Dropbox

Así, se podrían detectar accesos paralelos, robos de tokens OAuth, o que alguien tiene un duplicado de la semilla TOTP y está haciendo uso de esta información, cruzando registros de login de otros sistemas.

- Latch para Android
- Latch para iOS

En la última actualización de Latch, además de meter mejoras con respecto a copiar los tokens TOTP en el portapapeles, o añadir soporte para tokens TOTP de hasta 8 dígitos de longitud, se ha añadido la visualización del log de TOTPs. Para ello, desplazando con el dedo la entrada de TOTP en Latch hacia la derecha se accede al menú.

Figura 3: Opciones de una entrada TOTP en Latch 

Las cuatro opciones ya las conocéis. La primera es para renombrrar la entrada, la segunda es para ordenarlo dentro de un grupo o carpeta, la tercera opción es para borrar la entrada, y la cuarta es para tener información del log TOTP y saber cuándo la app de Latch mostró un token TOTP válido. Además, en la parte de abajo y hay posibilidades de acceder a las estadísticas de uso de esos datos.

Figura 4: Estadísticas de visualizaciones de un token TOTP

Con esta información se tiene más detalle de cómo la protección de nuestras identidades está funcionando. No es tan completa como la información de log que tenemos de todos los accesos de una identidad protegida con un Latch como os conté en este artículo, pero al menos acota los márgenes de tiempo e incrementa la información que dan otros sistemas como Google Authenticator.

Saludos Malignos!

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares